Azure Stack Hub Hotfix 1.2005.28.98

概要

セキュリティレビューの一環として、Azure Stack Hub 2005 ビルド用の Azure Stack Hub 特権エンドポイントのロック解除をサポートするために使用される Microsoft が保持する秘密キーが適切にセキュリティで保護されていないと判断しました。さらに調査を行った結果、秘密キーの誤用の証拠は見つかりませんでした。 Microsoft では、この特権エンドポイントサポートのロック解除シーケンスに使用される公開キーをローテーションするために、この修正プログラムを提供しています。

この秘密キーを使用するには、次の条件を満たす必要があります。

Azure Stack Hub アプライアンスのクラウド管理者資格情報が必要です。
Azure Stack Hub Privileged Endpoint IP アドレスへのネットワーク接続が必要です。これらの IP アドレスは、分離されたインフラストラクチャネットワーク上にあることに注意してください。標準的な展開では、これらのアドレスはインターネットルーティング可能な IP アドレスを利用することはできないため、エンドポイントは内部/管理ネットワークからのみアクセス可能になります。
秘密キーを使用してチャレンジ応答サポートトークンを処理し、これを使用して特権エンドポイントのロックを解除する必要があります。これは、Azure Stack Hub での特権エンドポイントの使用に関する記事で説明されているように、Microsoft と直接連携するサポートシナリオに似ています。

この修正プログラムは、Azure Stack Hub 2005 の Azure Stack Hub 特権エンドポイントのロック解除に使用される公開キーをローテーションし、以前のすべての 2005 修正プログラムを含みます。できるだけ早くこの修正プログラムをインストールすることを強くお勧めします。

"VM 配置にアクセスできないノード" というアラートが誤って発生する問題を修正しました。
seedringservices の無効な修復インターフェイスを削除しました。
物理ノードでの SDN ネットワークの信頼性が向上しました。
winrrm ランナーを無効にしました。

以前の修正プログラムリリースからロールアップされた修正プログラム

バグチェックを修正し、クラスター共有ボリュームに対して外部キー保護機能を適用しました。
SRP バックグラウンド使用ジョブの KVS 競合状態により、ストレージアカウントが部分的に復元される可能性がある問題を修正しました。
トンネルが別の GW VM に移動され、VGW が削除された場合に、仮想サブネットがクリーンアップされない問題を修正しました。
登録と内部シークレットのローテーションが失敗する可能性がある問題を修正しました。
内部シークレットローテーションの問題を修正しました。これにより、次の更新でエラーが発生する可能性があります。
クラッシュダンプ設定にメモリ固有の設定を追加しました。
ポータルへのアクセスに影響を与えるデータベースアクセスに関する潜在的な問題を軽減するために、SQL VM を再起動しました。
TableServer の ESENT エラー 59 イベントによってトリガーされた、修復された SMB ハンドル無効化の問題。
UpdateReadiness として AzsInfraRoleSummary Test-Azurestack テストが含まれています。
パッチ &更新中に ERCS メモリの負荷を修復しました。
内部シークレットローテーションにデプロイプロバイダー ID 証明書を含めます。
ネットワークコントローラーの安定性が向上しました。
診断を支援するために、ネットワークコントローラーのログリテンション期間が増加しました。
既定では、Get-AzureStackLog コレクションの一部として Get-NetViewが追加されました。
証明書検証エラーが原因でマーケットプレースのダウンロードが失敗する可能性がある問題を修正しました。
HealthAgent バイナリ切り替えロジックが改善されました。
パッチ & Update (PnU) 後のクラスター共有ボリュームの再バランスが改善されました。
ADSI を使用して HealthAgent でローカルグループメンバーをフェッチしました。
不足しているレコードを追加しました。WASP VM は、スケールインおよびスケールアウト中に DNS コマンドレットを使用してレコードとゾーンを同期できませんでした。
PnU 中のストレージサービスの信頼性が向上しました。
内部ロードバランサーの作成時に問題が発生したパブリック IP クォータの検証を削除しました。
VM の削除の信頼性の向上: クラスターに完全に作成または追加できなかった新しい VM が削除されるようにします。
クラスター共有ボリュームでキー保護機能を確認して適用します。
更新操作と管理者操作が失敗する原因となる "アクセス拒否" の問題を修正しました。
WhsFaultScanner がスタックしたときに再起動し、ユーザーに対してアラートが正しく生成されるようにする問題を修正しました。
ストレージ再生成テレメトリイベントが生成されないオーケストレーションバグを修正しました。
後続の更新プログラムのダウンロードの信頼性に影響する問題を修正しました。
オーケストレーターテレメトリに基づいてエラーを診断する機能が向上しました。
2005 PnU の間にシステム内部サブスクリプションにシステムストレージアカウントを移動する際の SRP 競合状態を修正しました。
サーバー待機時間メトリックの時間単位スケーリングエラーを修正しました
ポータルへのアクセスに影響を与えるデータベースアクセスに関する潜在的な問題を軽減するために、SQL VM を再起動しました。
削除されたストレージアカウントの保持期間の構成が元に戻される問題を修正しました。
ストレージ BLOB とテーブルサービスの信頼性が向上しました。
Send-AzureStackDiagnosticLog PEP コマンドレットの問題に対処しました。
更新エラーが発生したときの HRP 修復時間を長くしました。

修正プログラムの情報

この修正プログラムを適用するには、バージョン 1.2005.6.53 以降が必要です。

大事な 2005 更新プログラムのリリースノートで説明されているように、Test-AzureStack の実行に関する更新アクティビティチェックリスト (パラメーターを指定) を参照し、すべての警告とエラーを含む運用上の問題を解決してください。また、アクティブなアラートを確認し、アクションが必要なアラートを解決します。