KB5031043: Quy trình tiếp tục nhận bản cập nhật bảo mật sau khi hỗ trợ mở rộng kết thúc vào ngày 10 tháng 10 năm 2023

Giới thiệu

Bài viết này áp dụng cho những khách hàng mua bản cập nhật bảo mật mở rộng (ESU) cho các phiên bản và phiên bản Windows Server 2012 sau đây:

• Windows Server 2012 R2 Standard, Datacenter và Embedded Systems

• Windows Server 2012 Standard, Datacenter và Embedded Systems

Quy trình

Để tiếp tục nhận được bản cập nhật bảo mật sau ngày 10 tháng 10 năm 2023, hãy làm theo các bước sau:

1. Đối với tất cả các máy chủ Windows Server 2012 và Windows Server 2012 R2, bạn phải cài đặt các bản cập nhật sau. Nếu bạn sử dụng Windows Update, các bản cập nhật này sẽ được cung cấp tự động khi cần. 

   QUAN TRỌNG Bạn phải khởi động lại thiết bị sau khi cài đặt các bản cập nhật bắt buộc sau.

   • Đối với Windows Server 2012 R2, bạn phải cài đặt bản cập nhật sắp xếp cung cấp dịch vụ (SSU) (KB5029368) ngày 8 tháng 8 năm 2023 hoặc SSU mới hơn.  Để biết thêm thông tin về các bản cập nhật SSU mới nhất, hãy ADV990001 | Bản xếp chồng dịch vụ Cập nhật.

   • Đối với Windows Server 2012, bạn phải cài đặt bản cập nhật sắp xếp cung cấp dịch vụ (SSU) (KB5029369) ngày 8 tháng 8 năm 2023 hoặc SSU mới hơn.  Để biết thêm thông tin về các bản cập nhật SSU mới nhất, hãy ADV990001 | Bản xếp chồng dịch vụ Cập nhật.

2. Tải xuống và cài đặt Gói Chuẩn bị Cấp phép Bản cập nhật Bảo mật Mở rộng (ESU). Để biết thêm thông tin, hãy xem các bài viết sau trong Cơ sở Kiến thức Microsoft:

   QUAN TRỌNG Nếu bạn không được cung cấp các bản cập nhật tích lũy mới nhất (bản cập nhật bảo mật), bạn phải cài đặt bản cập nhật sau.

   GHI CHÚ

   • Không cần phải có gói chuẩn bị cấp phép để tải các bản cập nhật ESU của Windows Server 2012 hoặc Windows Server 2012 R2 trên Azure, Azure Arc hoặc Azure Stack HCI, phiên bản 22H2.

   • Các máy tính chạy Windows Server 2012 và Windows Server 2012 R2 có Bản tổng hợp Hàng tháng được cài đặt vào hoặc sau ngày 12 tháng 7 năm 2022 không cần cài đặt gói chuẩn bị cấp phép.

   • Các máy tính chạy Windows Server 2012 và Windows Server 2012 R2 chạy phiên bản phát hành không cài đặt bất kỳ bản cập nhật nào hoặc đã cài đặt một số bản cập nhật trước ngày 12 tháng 7 năm 2022 phải cài đặt gói chuẩn bị cấp phép từ Windows Server Update Services (WSUS) hoặc Danh mục Microsoft Update ( xem KB5017220hoặc KB5017221).

   • Những khách hàng sử dụng Scan Cab để cài đặt bản cập nhật ngày 14 tháng 11 năm 2023 (KB5032247 hoặc KB5032249) cần tải xuống gói chuẩn bị cấp phép từ Danh mục Microsoft Update ( xem KB5017220 hoặc KB5017221) và cài đặt gói theo cách thủ công.

   • Đối với Windows Server 2012 R2, hãy xem Gói Chuẩn bị Cấp phép Extended Security Cập nhật (ESU) được phát hành ngày 10 tháng 8 năm 2022 (KB5017220).

   • Đối với Windows Server 2012, hãy xem Gói Chuẩn bị Cấp phép Bảo mật Mở rộng Cập nhật (ESU) được phát hành ngày 10 tháng 8 năm 2022 (KB5017221).

3. Sử dụng một trong các bước sau.

   Sau khi hoàn tất thành công các bước, bạn có thể tiếp tục tải xuống các bản cập nhật hàng tháng thông qua các kênh thông thường của Windows Update, WSUS và Danh mục Microsoft Update. Bạn có thể tiếp tục triển khai các bản cập nhật bằng cách sử dụng giải pháp quản lý bản cập nhật ưa thích của mình.

   Các bước dành cho Azure

   Bạn có thể di chuyển các máy chủ tại chỗ chạy phiên bản Windows Server đã đến hoặc sắp đến hạn kết thúc hỗ trợ mở rộng cho Azure, nơi bạn có thể tiếp tục chạy chúng dưới dạng máy ảo.
   
   Để biết thêm thông tin về Di chuyển sang Azure, hãy xem Phần mở rộng Cập nhật tổng quan về Windows Server.

   Các bước đối với Azure Stack HCI

   1. Bật hỗ trợ HĐH kế thừa để xác minh Azure VM.
      
      Làm theo các hướng dẫn sau để bật hỗ trợ HĐH kế thừa để xác minh Azure VM:

      • Sử dụng Trung tâm Quản trị Windows: Quản lý hỗ trợ HĐH kế thừa bằng cách sử dụng Trung Quản trị Windows

      • Sử dụng PowerShell: Quản lý hỗ trợ HĐH kế thừa bằng PowerShell

   2. Bật quyền truy nhập cho máy ảo mới
      
      Bạn cũng phải bật quyền truy cập hỗ trợ HĐH kế thừa cho từng máy ảo yêu cầu ESU. Làm theo các hướng dẫn sau:

      • Sử dụng Trung tâm Quản trị Windows: Quản lý quyền truy nhập hỗ trợ HĐH kế thừa cho máy ảo của bạn - Trung Quản trị Windows. Kiểm tra xem máy ảo ESU của bạn có xuất hiện dưới dạng Hiện hoạt trong tab Máy ảo hay không.

      • Sử dụng PowerShell: Quản lý quyền truy nhập hỗ trợ HĐH kế thừa cho máy ảo của bạn - PowerShell

   3. Cài đặt phiên bản Bảo mật Mở rộng Cập nhật
      
      Sau khi thiết lập hỗ trợ HĐH cũ, bạn có thể cài đặt phiên bản Bảo mật Mở rộng Cập nhật cho các máy ảo đủ điều kiện trên cụm của mình. Cài đặt bản cập nhật bằng cách sử dụng phương thức ưu tiên hiện tại của bạn; ví dụ: Windows Update, Dịch vụ Cập nhật Windows Server (WSUS), Danh mục Microsoft Update

   Để biết thêm thông tin, hãy xem tệp Bảo Cập nhật Mở rộng (ESU) thông qua Azure Stack HCI.

   Các bước dành cho Azure Arc

   1. Đối với Máy chủ Windows chạy tại chỗ không có Azure Arc:

      1. Tải xuống khóa bổ trợ ESU MAK từ cổng thông tin VLSC.

      2. Triển khai và kích hoạt khóa bổ trợ ESU MAK bằng cách sử Slmgr.vbs công cụ VAMT.

         • Nếu bạn sử dụng công cụ VAMT, bạn phải cập nhật các tập tin cấu hình VAMT.

         • Kích hoạt trực tuyến hoặc Kích hoạt proxy có thể được sử dụng để triển khai và kích hoạt khóa bổ trợ ESU MAK.

         • Nếu bạn sử dụng kích hoạt trực tuyến, bạn phải đảm bảo rằng thiết bị có quyền truy nhập vào các điểm cuối của máy chủ Kích hoạt Microsoft.

      3. Các bước cài đặt , kích hoạt và triển khai ESU cho Windows Server 2012 và Windows Server 2012 R2 cũng giống như đối với Windows Server 2008 và Windows Server 2008 R2.

   2. Đối với Máy chủ Windows chạy tại chỗ với Azure Arc.

      1. Không bắt buộc phải triển khai khóa MAK nếu Máy chủ Windows đang chạy trong máy ảo (VM) trên Azure hoặc Azure Stack HCI, phiên bản 22H2 hoặc thiết bị được Azure-Arc kích hoạt và đăng ký Dịch vụ Thanh toán Khi Bạn Sử dụng không cần khóa.

      2. Để triển khai cài đặt Cập nhật bảo mật mở rộng mà Azure Arc bật, bạn phải triển khai các thiết bị của mình với máy chủ hỗ trợ Azure Arc bằng cách triển khai tác nhân Máy Kết nối. Sau đó, bạn có thể cung cấp và liên kết giấy phép Bản cập nhật Bảo mật Mở rộng với máy chủ hỗ trợ Azure Arc, cung cấp dịch vụ thanh toán theo phương thức thanh toán theo thời gian thực, được lập hóa đơn Azure hàng tháng một cách linh hoạt.

      3. Máy chủ hỗ trợ Azure Arc được đăng ký cho ESU Windows Server 2012 sẽ nhận được Chức năng Quản lý Bản cập nhật Azure, Cấu hình Máy và Theo dõi Thay đổi và Kiểm kê mà không phải trả thêm phí. Để biết thêm thông tin, hãy xem Chuẩn bị cung cấp bản cập nhật Bảo mật Mở Cập nhật cho Windows Server 2012 thông qua Azure Arc.

      4. Cung cấp quyền truy nhập vào "điểm cuối" microsoft.com/pkiops/certs"
         Nếu bạn không thể mở quyền truy nhập vào điểm cuối này, bạn có thể tải xuống CA trung gian (có giá trị tối đa 6 tháng) trên máy chủ hỗ trợ Azure Arc như một giải pháp dừng hoạt động.

         • Đối với Azure Commercial Cloud, hãy tải xuống CA trung gian này do Microsoft phát hành. Cài đặt chứng chỉ đã tải xuống dưới dạng Máy tính Cục bộ theo Cơ quan cấp Chứng chỉ Trung gian\Chứng chỉ. Sử dụng lệnh sau đây để cài đặt chứng chỉ đúng cách:

           certutil -addstore CA 'Microsoft Azure TLS Phát hành CA 01 - xsign.crt'

         • Ví dụ Azure Government Cloud, hãy tải xuống CA trung gian này do Microsoft phát hành. Cài đặt chứng chỉ đã tải xuống dưới dạng Máy tính Cục bộ theo Cơ quan cấp Chứng chỉ Trung gian\Chứng chỉ. Sử dụng lệnh sau đây để cài đặt chứng chỉ đúng cách:

           certutil -addstore CA 'Microsoft Azure TLS Phát hành CA 02 - xsign.crt'

   Để biết thêm thông tin, hãy xem Cung cấp bản cập Cập nhật bảo mật mở rộng cho Windows Server 2012.

Thông tin thêm

Nếu bạn sử Windows Update, hệ điều hành SSU mới nhất sẽ tự động được cung cấp cho bạn nếu bạn là khách hàng của ESU. Để tải gói độc lập cho SSU mới nhất, hãy tìm kiếm gói đó trong Danh mục Microsoft Update. Để biết thông tin chung về SSU , hãy xem Bản cập nhật sắp xếp cung cấp dịch vụ và Bản xếp chồng Dịch vụ Cập nhật (SSU): Câu hỏi Thường Gặp.

• Đối với các sản phẩm Azure khác như Azure VMWare, Azure Nutanix Solution, Azure Stack (Hub, Edge) hoặc đối với các hình ảnh mang theo của riêng bạn trên Azure dành cho Windows Server 2012 hoặc Windows Server 2012 R2, bạn phải triển khai khóa ESU.

• Tài nguyên Azure yêu cầu chứng chỉ SSL/TLS cập nhật để đảm bảo các điểm cuối sẵn dùng và được cập nhật.

• Tài nguyên Azure yêu cầu kết nối với Dịch vụ MetaData phiên bản Azure (IMDS).

Tham khảo

• Chương trình Bản cập nhật Bảo mật Mở rộng (ESU) là gì?

• Tổng quan về bản cập Cập nhật mở rộng dành cho Windows Server 2008, 2008 R2, 2012 và 2012 R2

• Tận dụng tối đa Windows Server với 5 biện pháp tốt nhất sau

• Tối đa hóa các khoản đầu tư windows Server của bạn với các lợi ích mới và linh hoạt hơn

• Khắc phục sự cố trong Cài đặt Cập nhật mở rộng (ESU) | Microsoft Learn

• Windows Server 2012/R2: Bản cập nhật Bảo mật Mở Cập nhật

• Bản cập nhật Bảo Cập nhật Mở rộng (ESU): Kích hoạt trực tuyến hoặc proxy

• Các Bản vá lỗi ESU của Windows Server 2012/R2 đầu tiên đã được phát hành! Bạn có được bảo vệ không?