Sammendrag

Som en del av en sikkerhetsgjennomgang fastslo vi at en privatnøkkel som ble holdt hos Microsoft, som brukes til å låse opp det privilegerte Azure Stack Hub-endepunktet for Azure Stack Hub 2002-bygget, ikke var riktig sikret. Videre undersøkelser fant ingen bevis for misbruk av privatnøkkelen. Microsoft tilbyr denne hurtigreparasjonen for å rotere fellesnøkkelen som brukes for denne privilegerte endepunktstøtte-opplåsingssekvensen, av en overflod av forsiktighet.  

Hvis du vil bruke denne privatnøkkelen, må følgende betingelser være oppfylt:

  1. Du må ha legitimasjon for skyadministrator for Azure Stack Hub Appliance.

  2. Du må ha nettverkstilkobling til IP-adressene til Azure Stack Hub Privileged Endpoint. Vær oppmerksom på at disse IP-adressene er på det isolerte infrastrukturnettverket. I en standard distribusjon ville ikke disse adressene utnytte IP-adresser som kan rutes på Internett, noe som gjør endepunktene bare tilgjengelige fra ditt interne/administrasjonsnettverk.

  3. Du må bruke den private nøkkelen til å behandle støttetokenet for svar på utfordringer og bruke det til å låse opp det privilegerte endepunktet. Dette ligner på et støttescenario som er direkte engasjert med Microsoft, som beskrevet i Azure Stack Hub-artikkelen Ved hjelp av det privilegerte endepunktet i Azure Stack Hub.

Denne hurtigreparasjonen roterer den offentlige nøkkelen som brukes til å låse opp det privilegerte Azure Stack Hub-endepunktet for Azure Stack Hub 2002 og inkluderer alle tidligere 2002-hurtigreparasjoner. Vi anbefaler på det sterkeste å installere denne hurtigreparasjonen så snart som mulig. 

Løsninger som er rullet opp fra tidligere hurtigreparasjonsutgivelser

  • Forbedret SDN-nettverkspålitelighet på de fysiske nodene.

  • Løste et problem der et virtuelt delnett ikke ble ryddet opp hvis tunnelen ble flyttet til en annen GW VM og deretter VGW ble slettet.

  • Løste et problem som kan føre til at registrering og intern hemmelig rotasjon mislykkes.

  • La til minnespesifikke innstillinger for krasjdumpinnstillinger.

  • Utbedret SMB-håndtering av ugyldiggjøringsproblem utløst av ESENT-feil 59-hendelse i TableServer.

  • Løste et problem som påvirket påliteligheten ved nedlasting av etterfølgende oppdateringer.

  • Forbedret påliteligheten til NuGet-pakkeinstallasjonen etter uventet feil.

  • Løste et problem der validering av rullegardinliste for abonnement mislykkes når brukeren bare har skrivetillatelse for RG.

  • Løste et problem der blob-nedlastingssiden har et problem ved nedlasting av store elementer.

  • Løste et problem der konfigurasjonen av oppbevaringsperioden for slettede lagringskontoer gjenopprettes.

  • Forbedret stabilitet for nettverkskontroller.

  • Økt nettverkskontrollerloggoppbevaring for å hjelpe til med diagnosen.

  • Løste et problem der marketplace-nedlastinger kan mislykkes på grunn av en sertifikatvalideringsfeil.

  • Inkluder identitetssertifikatet for distribusjonsleverandøren i den interne hemmelige rotasjonen.

  • Løste Windows Storage WMI for å holde samtalen responsiv, for å forbedre påliteligheten til lagringsadministrasjonsoperasjoner.

  • La til TPM-statusovervåking for fysiske verter.

  • Startet SQL VM-er på nytt for å redusere mulig problem med databasetilgang som påvirker tilgangen til portalen.

  • Forbedret påliteligheten til lagringsblob og tabelltjeneste.

  • Løste et problem der VMSS-oppretting med Standard_DS2_v2 SKU gjennom brukergrensesnittet alltid mislyktes.

  • Forbedringer for konfigurasjonsoppdatering.

  • Fast KVS-opplistingslekkasje i DiskRP for å forbedre påliteligheten til diskoperasjoner.

  • Aktiverte muligheten til å generere krasjdumper for vert på nytt og utløse NMI-krasj for heng.

  • Adressert sikkerhetsproblem for DNS-server beskrevet i CVE-2020-1350.

  • Endringer som adresserte klyngeustabilitet.

  • Forbedret pålitelighet for oppretting av JEA-endepunkt.

  • Løste feilen for å oppheve blokkeringen av samtidig virtuell maskin i satsvise størrelser på 20 eller høyere.

  • Forbedret påliteligheten og stabiliteten til portalen, og la til en overvåkingsfunksjonalitet for å starte vertstjenesten på nytt hvis den opplever nedetid.

  • Løste et problem der noen varsler ikke ble stanset midlertidig under oppdateringen.

  • Forbedret diagnostikk rundt feil i DSC-ressurser.

  • Forbedret feilmelding generert av en uventet feil i bare metalldistribusjonsskript.

  • Lagt til robusthet under fysiske nodereparasjonsoperasjoner.

  • Løste en kodefeil som noen ganger førte til at HRP SF-appen ble usunn. Løste også en kodefeil som hindret varsler i å bli avbrutt under oppdateringen.

  • Lagt til robusthet for bildeopprettingskode når målbanen uventet ikke finnes.

  • La til diskoppryddingsgrensesnitt for VM-er for ERCS og sørget for at det kjøres før du prøver å installere nytt innhold på disse virtuelle maskinene.

  • Forbedret kontroll av quorum for Service Fabric-nodereparasjon i banen for automatisk utbedring.

  • Forbedret logikk rundt å bringe klyngenoder tilbake på nettet i sjeldne tilfeller der ekstern intervensjon setter dem inn i en uventet tilstand.

  • Forbedret robusthet for motorkode for å sikre at skrivefeil i maskinnavnhylsen ikke forårsaker uventet tilstand i ECE-konfigurasjonen når manuelle handlinger brukes til å legge til og fjerne noder.

  • La til en tilstandskontroll for å oppdage reparasjonsoperasjoner for virtuell maskin eller fysisk node som ble stående i en delvis fullført tilstand fra tidligere støtteøkter.

  • Forbedret diagnoselogging for installasjon av innhold fra NuGet-pakker under oppdateringsorkestrering.

  • Løste den interne hemmelige rotasjonsfeilen for kunder som bruker AAD som identitetssystem, og blokkerer utgående Internett-tilkobling for ERCS.

  • Økt standard tidsavbrudd for Test-AzureStack for AzsScenarios til 45 minutter.

  • Forbedret oppdateringspålitelighet for HealthAgent.

  • Løste et problem der VM-reparasjon av ERCS VM-er ikke ble utløst under utbedringshandlinger.

  • Gjorde vertsoppdatering motstandsdyktig mot problemer forårsaket av en stille feil under opprydding av foreldede vm-filer for infrastruktur.

  • La til en forebyggende løsning for certutil-analysefeil når du bruker tilfeldig genererte passord.

  • La til en runde med tilstandskontroller før motoroppdateringen, slik at mislykkede administrasjonsoperasjoner kan fortsette å kjøre med den opprinnelige versjonen av orkestreringskoden.

  • Løste ACS-sikkerhetskopieringsfeil da ACSSettingsService-sikkerhetskopien ble fullført først.

  • Oppgradert virkemåtenivå for Azure Stack AD FS-farmen til v4. Azure Stack Hubs distribuert med 1908 eller nyere er allerede på v4.

  • Forbedret påliteligheten til oppdateringsprosessen for verten.

  • Løste et problem med sertifikatfornyelse som kunne ha ført til at intern hemmelig rotasjon mislyktes.

  • Løste synkroniseringsvarselet for den nye tidsserveren for å løse et problem der det feilaktig oppdaget et tidssynkroniseringsproblem da tidskilden ble angitt med 0x8-flagget.

  • Rettet en valideringsbetingelsesfeil som oppstod ved bruk av det nye grensesnittet for automatisk logginnsamling, og den oppdaget

  • https://login.windows.net/ som et ugyldig Azure AD endepunkt.

  • Løste et problem som hindret bruk av automatisk SQL-sikkerhetskopiering via SQLIaaSExtension.

  • Rettet varslingen som ble brukt i Test-AzureStack ved validering av nettverkskontrollersertifikatene.

  • Oppgradert virkemåtenivå for Azure Stack AD FS-farmen til v4. Azure Stack Hubs distribuert med 1908 eller nyere er allerede på v4.

  • Forbedret påliteligheten til oppdateringsprosessen for verten.

  • Løste et problem med sertifikatfornyelse som kunne ha ført til at intern hemmelig rotasjon mislyktes.

  • Reduserte varselutløsere for å unngå unødvendige proaktive loggsamlinger.

  • Forbedret påliteligheten til lagringsoppgradering ved å fjerne tidsavbrudd for WMI-kallet for Windows Health Service.

Hurtigreparasjonsinformasjon

Hvis du vil bruke denne hurtigreparasjonen, må du ha versjon 1.2002.0.35 eller nyere.

Viktig Som beskrevet i produktmerknadene for 2002-oppdateringen, må du kontrollere at du refererer til sjekklisten for oppdateringsaktivitet på test-AzureStack (med angitte parametere), og løse eventuelle driftsproblemer som finnes, inkludert alle advarsler og feil. Se også gjennom aktive varsler og løs alle som krever handling.

Filinformasjon

Last ned følgende filer. Følg deretter instruksjonene på siden Bruk oppdateringer i Azure Stack på Microsoft Learn-nettstedet for å bruke denne oppdateringen på Azure Stack.

Last ned ZIP-filen nå.

Last ned XML-hurtigreparasjonsfilen nå.

Mer informasjon

Oppdateringsressurser for Azure Stack Hub

Administrer oppdateringer i Azure Stack-oversikt

Bruk oppdateringer i Azure Stack

Overvåk oppdateringer i Azure Stack ved hjelp av det privilegerte endepunktet

Facebook LinkedIn E-post

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders