KB5031043: процедура продовження отримання оновлень системи безпеки після завершення розширеної підтримки 10 жовтня 2023 р.

Вступ

Ця стаття стосується користувачів, які придбали розширені оновлення системи безпеки (ESU) для таких версій і випусків Windows Server 2012:

• Windows Server 2012 R2 Standard, Datacenter та вбудовані системи

• Windows Server 2012 Standard, Datacenter та Вбудовані системи

Процедура

Щоб і надалі отримувати оновлення системи безпеки після 10 жовтня 2023 р., виконайте такі дії:

1. Для всіх серверів Windows Server 2012 і Windows Server 2012 R2 потрібно інсталювати наведені нижче оновлення. Якщо ви використовуєте Windows Update, ці оновлення будуть запропоновані вам автоматично за необхідності. 

   ВАЖЛИВО Після інсталяції наведених нижче необхідних оновлень необхідно перезавантажити пристрій.

   • Для Windows Server 2012 R2 потрібно інсталювати оновлення стека обслуговування (SSU) (KB5029368), яке датоване 8 серпня 2023 року або пізнішим оновленням стека обслуговування.  Докладні відомості про останні оновлення SSU див. в ADV990001 | Останній стек обслуговування Оновлення.

   • Для Windows Server 2012 потрібно інсталювати оновлення стека обслуговування (SSU) (KB5029369), яке датоване 8 серпня 2023 року або пізнішим оновленням SSU.  Докладні відомості про останні оновлення SSU див. в ADV990001 | Останній стек обслуговування Оновлення.

2. Завантажте та інсталюйте Пакет підготовки до ліцензування Extended Security Updates (ESU). Додаткові відомості див. в таких статтях бази знань Microsoft:

   ВАЖЛИВО Якщо вам не пропонуються останні сукупні оновлення (оновлення системи безпеки), потрібно інсталювати наведене нижче оновлення.

   НОТАТКИ

   • Пакет підготовки до ліцензування не потрібен для отримання оновлень ESU для Windows Server 2012 або Windows Server 2012 R2 в Azure, Azure Arc або Azure Stack HCI версії 22H2.

   • Комп'ютери Windows Server 2012 і Windows Server 2012 R2, на яких інстальовано щомісячне зведене оновлення від 12 липня 2022 р. або пізніше, не потрібно інсталювати пакет підготовки до ліцензування.

   • Комп'ютери з Windows Server 2012 і Windows Server 2012 R2, на яких інстальовано версію випуску без інстальованих оновлень або інстальованих деяких оновлень, випущених раніше 12 липня 2022 року, мають інсталювати пакет підготовки до ліцензування з каталогу служби Windows Server Update Services (WSUS) або Microsoft Update (див. KB5017220 або KB5017221).

   • Користувачам, які інсталюють оновлення від 14 листопада 2023 року (KB5032247 або KB5032249) за допомогою Scan Cab, потрібно завантажити пакет підготовки до ліцензування з каталогу Microsoft Update (див. KB5017220 або KB5017221) та інсталювати пакет вручну.

   • Для Windows Server 2012 R2 див. пакет підготовки до ліцензування Extended Security Оновлення (ESU), випущений 10 серпня 2022 року (KB5017220).

   • Для Windows Server 2012 див. пакет підготовки до ліцензування Extended Security Оновлення (ESU), випущений 10 серпня 2022 року (KB5017221).

3. Виконайте одну з наведених нижче дій.

   Виконавши ці кроки, ви зможете й надалі завантажувати щомісячні оновлення через звичайні канали Windows Update, WSUS і Каталог Microsoft Update. Ви можете й надалі розгортати оновлення, використовуючи рекомендоване рішення для керування оновленнями.

   Кроки для Azure

   Ви можете перенести локальні сервери, на яких запущено версію Windows Server, яка досягла або майже добігає кінця розширеної підтримки до Azure, де їх можна й надалі запускати як віртуальні машини.
   
   Докладні відомості про перенесення до Azure див. в статті Огляд розширеної Оновлення безпеки для Windows Server.

   Кроки для Azure Stack HCI

   1. Увімкніть підтримку застарілої ОС для перевірки віртуальної машини Azure.
      
      Дотримуйтеся цих вказівок, щоб увімкнути підтримку застарілої ОС для перевірки віртуальної машини Azure:

      • Використання Центру Admin Windows: керування застарілою підтримкою ОС за допомогою Центру Admin Windows

      • Використання PowerShell: керування застарілою підтримкою ОС за допомогою PowerShell

   2. Увімкнення доступу до нових віртуальних машин
      
      Потрібно також увімкнути доступ до підтримки застарілої ОС для кожної віртуальної машини, для яких потрібна програма подовженого оновлення системи безпеки. Дотримуйтеся цих інструкцій:

      • Використання Центру Admin Windows. Керування доступом до підтримки застарілих ОС для віртуальних машин – Центр Admin Windows. Переконайтеся, що віртуальні машини ESU відображаються як Активні на вкладці VM.

      • Використання PowerShell: керування доступом до підтримки застарілої ОС для віртуальних машин – PowerShell

   3. Інсталяція розширеного Оновлення
      
      безпеки Після налаштування застарілої підтримки ОС ви можете інсталювати безкоштовні Оновлення розширеної безпеки для відповідних віртуальних машин у кластері. Інсталюйте оновлення за допомогою поточного методу налаштування; наприклад, Windows Update, служби Windows Server Update Services (WSUS), Каталог Microsoft Update

   Докладні відомості див. в статті Розширена Оновлення безпеки (ESU) через Azure Stack HCI.

   Кроки для Azure Arc

   1. Для серверів Windows, які працюють локально без Azure Arc:

      1. Завантажте ключ додаткового компонента MAK ESU з порталу VLSC.

      2. Розгорніть і активуйте ключ додаткового компонента MAK подовженого оновлення системи безпеки за допомогою засобуSlmgr.vbs або VAMT.

         • Якщо використовується засіб VAMT, потрібно оновити файли конфігурації VAMT.

         • Активацію через Інтернет або активацію проксі-сервера можна використовувати для розгортання та активації ключа додаткового компонента MAK подовженого оновлення системи безпеки.

         • Якщо ви використовуєте онлайнову активацію, переконайтеся, що пристрій має доступ до кінцевих точок сервера активації Microsoft.

      3. Дії з інсталяції, активації та розгортання безпеки для Windows Server 2012 і Windows Server 2012 R2 такі самі, як і для Windows Server 2008 і Windows Server 2008 R2.

   2. Для серверів Windows, які працюють локально з Azure Arc.

      1. Розгортання ключа MAK не обов'язкове, якщо сервери Windows запущено на віртуальних машинах (віртуальних машинах) в Azure або Azure Stack HCI версії 22H2 або пристроях, які Azure-Arc увімкнуто та зареєстровано для служби pay-As-You-Go без ключа.

      2. Щоб розгорнути розширений Оновлення безпеки, активований Azure Arc, потрібно ввімкнути пристрої на серверах з підтримкою Azure Arc, розгорнувши агент підключеного комп'ютера. Потім ви можете підготувати ліцензії на розширене оновлення системи безпеки та пов'язати їх із серверами з підтримкою Azure Arc, що забезпечує гнучкість щомісячної служби виставлення рахунків Azure з оплатою за передплату на будь-який час.

      3. Сервери з підтримкою Azure Arc, зареєстровані для користувачів windows Server 2012, отримують можливості Azure Update Management, Machine Configuration і Change Tracking and Inventory без додаткової плати. Докладні відомості див. в статті Підготовка до надання розширеної Оновлення безпеки для Windows Server 2012 через Azure Arc.

      4. Надати доступ до кінцевої точки "microsoft.com/pkiops/certs"
         Якщо не вдається відкрити доступ до цієї кінцевої точки, можна завантажити проміжний центр сертифікації (дійсний до 6 місяців) на сервери з підтримкою Azure Arc як рішення stopgap.

         • Для комерційної хмари Azure завантажте проміжний центр сертифікації, опублікований корпорацією Майкрософт. Інсталюйте завантажений сертифікат як локальний комп'ютер у розділі Проміжні центри сертифікації\Сертифікати. Щоб інсталювати сертифікат належним чином, скористайтеся такою командою:

           certutil - addstore CA "Microsoft Azure TLS, що видає CA 01 - xsign.crt"

         • Для хмари Azure для державних установ завантажте проміжний центр сертифікації, опублікований корпорацією Майкрософт. Інсталюйте завантажений сертифікат як локальний комп'ютер у розділі Проміжні центри сертифікації\Сертифікати. Щоб інсталювати сертифікат належним чином, скористайтеся такою командою:

           certutil -addstore CA "Microsoft Azure TLS, що видає CA 02 - xsign.crt"

   Докладні відомості див. в статті Надання Оновлення розширеної безпеки для Windows Server 2012.

Додаткові відомості

Якщо ви використовуєте Windows Update, останнє оновлення SSU буде запропоновано вам автоматично, якщо ви є клієнтом ESU. Щоб отримати автономний пакет для останнього оновлення SSU, виконайте пошук у Каталозі Microsoft Update. Загальні відомості про оновлення стека обслуговування (SSU) див. в статті Оновлення стека обслуговування та Стек обслуговування Оновлення (SSU): запитання й відповіді.

• Для інших продуктів Azure, як-от Azure VMWare, Azure Nutanix Solution, Azure Stack (Концентратор, Edge) або для власних зображень в Azure для Windows Server 2012 або Windows Server 2012 R2, потрібно розгорнути ключ ESU.

• Щоб забезпечити доступність кінцевих точок і оновлення ресурсів Azure, потрібно оновити сертифікати SSL або TLS.

• Для ресурсів Azure потрібне підключення до служби метаданих екземпляра Azure (IMDS).

Посилання

• Що таке програма розширеного оновлення системи безпеки (ESU)?

• Огляд розширених Оновлення безпеки для Windows Server 2008, 2008 R2, 2012 і 2012 R2

• Отримайте максимальну користь від Windows Server за допомогою цих 5 практичних порад

• Збільшення інвестицій у Windows Server завдяки новим перевагам і більшій гнучкості

• Виправлення неполадок у розширеній Оновлення безпеки (ESU) | Microsoft Learn

• Windows Server 2012/R2: розширена Оновлення безпеки

• Розширена Оновлення безпеки (подовжені оновлення системи безпеки): активація через Інтернет або проксі-сервер

• Перші оновлення ESU для Windows Server 2012/R2 вичерпано! Ви захищені?