KB5031043: 延長サポートが 2023 年 10 月 10 日に終了した後もセキュリティ更新プログラムを受け取り続ける手順

概要

この記事は、次のバージョンとエディションのWindows Server 2012の拡張セキュリティ更新プログラム (ESU) を購入したお客様に適用されます。

• Windows Server 2012 R2 Standard、Datacenter、Embedded Systems

• Windows Server 2012 Standard、データセンター、および埋め込みシステム

プロシージャ

2023 年 10 月 10 日以降もセキュリティ更新プログラムを受け取り続けるには、次の手順に従います。

1. すべての Windows Server 2012 および Windows Server 2012 R2 サーバーに対して、次の更新プログラムがインストールされている必要があります。 Windows Update を使用している場合、これらの更新プログラムは必要に応じて自動的に提供されます。 

   重要 次の必要な更新プログラムをインストールした後、デバイスを再起動する必要があります。

   • R2 Windows Server 2012の場合は、2023 年 8 月 8 日以降の SSU がインストールされているサービス スタック更新プログラム (SSU) (KB5029368) が必要です。  最新の SSU 更新プログラムの詳細については、「ADV990001 | 最新のサービス スタック更新プログラムを参照してください。

   • Windows Server 2012には、2023 年 8 月 8 日以降の SSU (SSU) 更新プログラム (KB5029369) がインストールされている必要があります。  最新の SSU 更新プログラムの詳細については、「ADV990001 | 最新のサービス スタック更新プログラムを参照してください。

2. 拡張セキュリティ更新プログラム (ESU) ライセンス準備パッケージをダウンロードしてインストールします。 詳細については、以下のサポート技術情報を参照してください。

   重要 最新の累積的な更新プログラム (セキュリティ更新プログラム) が提供されていない場合は、次の更新プログラムをインストールする必要があります。

   注:

   • ライセンス準備パッケージは、Azure、Azure Arc、または Azure Stack HCI バージョン 22H2 で R2 ESU 更新プログラムをWindows Server 2012またはWindows Server 2012するために必要ありません。

   • 2022 年 7 月 12 日以降に日付が設定された月次ロールアップがインストールされている R2 コンピューター Windows Server 2012およびWindows Server 2012は、ライセンス準備パッケージをインストールする必要はありません。

   • Windows Server 2012および Windows Server 2012 R2 コンピューター。更新プログラムをインストールせずにリリース バージョンを実行するコンピューター、または 2022 年 7 月 12 日より前にリリースされた更新プログラムがインストールされている場合は、ライセンス準備パッケージが Windows Server Update Services (WSUS) からインストールされている必要があります。Microsoft Update カタログ (「KB5017220またはKB5017221」を参照)。

   • Scan Cab を使用して 2023 年 11 月 14 日の更新プログラム (KB5032247 または KB5032249) をインストールする場合は、 Microsoft Update カタログ からライセンス準備パッケージをダウンロードし ( 「KB5017220 または KB5017221」を参照)、パッケージを手動でインストールする必要があります。

   • R2 Windows Server 2012については、2022 年 8 月 10 日付の拡張セキュリティ 更新 (ESU) ライセンス準備パッケージ (KB5017220) を参照してください。

   • Windows Server 2012については、2022 年 8 月 10 日付の拡張セキュリティ 更新 (ESU) ライセンス準備パッケージ (KB5017221) を参照してください。

3. 次のいずれかの手順を使用します。

   手順が正常に完了したら、引き続き、Windows Update、WSUS、Microsoft Update Catalog の通常のチャネルを通じて毎月の更新プログラムをダウンロードできます。 お好みの更新管理ソリューションを使用して、引き続き更新プログラムを展開できます。

   Azure の手順

   拡張サポートが終了しそうになった、またはほぼ終了するバージョンの Windows Server を実行するオンプレミス サーバーを Azure に移行できます。このサーバーは、仮想マシンとして引き続き実行できます。
   
   Azure への移行の詳細については、「Windows Server の拡張セキュリティ 更新の概要」を参照してください。

   Azure Stack HCI の手順

   1. Azure VM 検証のレガシ OS サポートを有効にします。
      
      Azure VM 検証のレガシ OS サポートを有効にするには、次の手順に従います。

      • Windows Admin Centerの使用: Windows Admin Centerを使用してレガシ OS サポートを管理する

      • PowerShell の使用: PowerShell を使用してレガシ OS サポートを管理する

   2. 新しい VM の
      
      アクセスを有効にする また、ESU を必要とする VM ごとにレガシ OS サポート アクセスを有効にする必要もあります。 手順は次のとおりです。

      • Windows Admin Centerの使用: VM のレガシ OS サポート アクセスを管理する - Windows Admin Center。 [VM] タブに ESU VM が [アクティブ] として表示されていることを確認します。

      • PowerShell の使用: VM のレガシ OS サポート アクセスを管理する - PowerShell

   3. 拡張セキュリティ 更新を
      
      インストールする レガシ OS のサポートが設定されたら、クラスターに対象となる VM の無料の拡張セキュリティ 更新をインストールできます。 現在の好みの方法を使用して更新プログラムをインストールします。たとえば、Windows Update、Windows Server Update Services (WSUS)、Microsoft Update Catalog など

   詳細については、「Azure Stack HCI を使用した拡張セキュリティ 更新 (ESU)」を参照してください。

   Azure Arc の手順

   1. Azure Arc なしで オンプレミスで実行される Windows サーバーの場合:

      1. VLSC ポータルから ESU MAK アドオン キーをダウンロードします。

      2. Slmgr.vbs または VAMT ツールを使用して、ESU MAK アドオン キーをデプロイしてアクティブ化します。

         • VAMT ツールを使用する場合は、 VAMT 構成ファイルを更新する必要があります。

         • オンライン ライセンス認証 または プロキシ ライセンス認証 を使用して、ESU MAK アドオン キーをデプロイおよびアクティブ化できます。

         • オンライン ライセンス認証を使用する場合は、デバイスが Microsoft Activation サーバー エンドポイントにアクセスできることを確認する必要があります。

      3. Windows Server 2012および Windows Server 2012 R2 の ESU をインストール、アクティブ化、展開する手順は、Windows Server 2008 および Windows Server 2008 R2 の場合と同じです。

   2. Azure Arc でオンプレミス で 実行される Windows サーバーの場合。

      1. Windows サーバーが Azure または Azure Stack HCI 上の仮想マシン (VM)、バージョン 22H2、またはキーレス従量課金制サービスに対して有効かつサインアップ Azure-Arc デバイスで実行されている場合、MAK キーのデプロイは必要ありません。

      2. Azure Arc で有効になっている拡張セキュリティ 更新をデプロイするには、接続済みマシン エージェントをデプロイして、デバイスを Azure Arc 対応サーバーにオンボードする必要があります。 その後、延長セキュリティ更新プログラム ライセンスをプロビジョニングして Azure Arc 対応サーバーにリンクし、従量課金制の月額 Azure 課金サービスの柔軟性を提供できます。

      3. Windows Server 2012 ESU に登録されている Azure Arc 対応サーバーは、追加コストなしで Azure Update Management、Machine Configuration、変更履歴とインベントリ機能を受け取ります。 詳細については、「Azure Arc を介してWindows Server 2012するための拡張セキュリティ 更新を提供するための準備」を参照してください。

      4. エンドポイント "microsoft.com/pkiops/certs"
         へのアクセスを提供する このエンドポイントへのアクセスを開くことができない場合は、中間 CA (最大 6 か月間有効) をストップギャップ ソリューションとして Azure Arc 対応サーバーにダウンロードできます。

         • Azure Commercial Cloud の場合は、Microsoft によって発行されたこの中間 CA をダウンロードします。 [中間証明機関]\[証明書] の下に、ダウンロードした証明書をローカル コンピューターとしてインストールします。 証明書を正しくインストールするには、次のコマンドを使用します。

           certutil -addstore CA 'Microsoft Azure TLS Issuing CA 01 - xsign.crt'

         • Azure Government Cloud の場合は、Microsoft によって発行されたこの中間 CA をダウンロードします。 [中間証明機関]\[証明書] の下に、ダウンロードした証明書をローカル コンピューターとしてインストールします。 証明書を正しくインストールするには、次のコマンドを使用します。

           certutil -addstore CA 'Microsoft Azure TLS Issuing CA 02 - xsign.crt'

   詳細については、「Windows Server 2012の拡張セキュリティ 更新を提供する」を参照してください。

詳細

Windows Updateを使用すると、ESU 顧客である場合、最新の SSU が自動的に提供されます。 最新の SSU のスタンドアロン パッケージを入手するには、「Microsoft Update カタログ」 を検索してください。 SSU に関する一般的な情報については、「サービス スタック更新プログラム」 と 「サービス スタック更新プログラム (SSU): よく寄せられる質問」 を参照してください。

• Azure VMWare、Azure Nutanix Solution、Azure Stack (Hub、Edge) などの他の Azure 製品の場合、または Windows Server 2012 または Windows Server 2012 R2 用の Azure 上の Bring-your-own イメージの場合は、ESU キーをデプロイする必要があります。

• Azure リソースでは、エンドポイントが使用可能で更新されていることを確認するために、最新の SSL/TLS 証明書が必要です。

• Azure リソースには、 Azure インスタンス MetaData Service (IMDS) との接続が必要です。

関連情報

• 拡張セキュリティ更新プログラム (ESU) プログラムとは

• Windows Server 2008、2008 R2、2012、2012 R2 の拡張セキュリティ 更新の概要

• これらの 5 つのベスト プラクティスを使用して Windows Server を最大限に活用する

• 新しい利点と柔軟性により、Windows Server への投資を最大化する

• 拡張セキュリティ 更新 (ESU) の問題のトラブルシューティング |Microsoft Learn

• Windows Server 2012/R2: 拡張セキュリティ 更新

• 拡張セキュリティ 更新 (ESU): オンラインまたはプロキシのアクティブ化

• 最初のWindows Server 2012/R2 ESU パッチがリリースされています。保護されていますか?