简介
本文适用于为以下版本和版本的Windows Server 2012购买扩展安全更新 (ESU) 的客户:
-
Windows Server 2012 R2 Standard、Datacenter 和 Embedded Systems
-
Windows Server 2012 Standard、数据中心和嵌入式系统
Procedure
若要在 2023 年 10 月 10 日之后继续接收安全更新,请执行以下步骤:
-
对于所有Windows Server 2012和Windows Server 2012 R2 服务器,必须安装以下更新。 如果你使用的是 Windows 更新,则将自动为你提供所需更新。
重要说明 安装以下所需更新后,必须重启设备。
-
对于Windows Server 2012 R2,必须安装日期为 2023 年 8 月 8 日或更高版本的 SSU (SSU ) ( KB5029368) 服务堆栈更新。 有关最新 SSU 更新的详细信息,请参阅 ADV990001 | 最新的服务堆栈更新。
-
对于Windows Server 2012,必须安装日期为 2023 年 8 月 8 日或更高版本的 SSU (SSU ) (KB5029369) 服务堆栈更新。 有关最新 SSU 更新的详细信息,请参阅 ADV990001 | 最新的服务堆栈更新。
-
-
下载并安装扩展安全更新 (ESU) 许可准备包。 有关更多信息,请参阅以下 Microsoft 知识库文章:
重要说明 如果未) 提供最新的累积更新 (安全更新,则必须安装以下更新。
注意:
-
无需许可准备包即可在 Azure、Azure Arc 或 Azure Stack HCI 版本 22H2 上获取Windows Server 2012或Windows Server 2012 R2 ESU 更新。
-
安装日期为 2022 年 7 月 12 日或之后的每月汇总Windows Server 2012和Windows Server 2012 R2 计算机不需要安装许可准备包。
-
Windows Server 2012和Windows Server 2012运行发布版本的 R2 计算机,但未安装任何更新或安装了某些日期早于 2022 年 7 月 12 日的更新,必须安装Windows Server Update Services (WSUS) 或Microsoft 更新目录 (请参阅KB5017220或KB5017221) 。
-
使用 Scan Cab 安装 2023 年 11 月 14 日更新 (KB5032247 或 KB5032249) 的客户需要从 Microsoft 更新目录 下载许可准备包 (请参阅 KB5017220 或 KB5017221) 并手动安装包。
-
-
使用以下步骤之一。
成功完成这些步骤后,可以通过Windows 更新、WSUS 和 Microsoft 更新目录等常用渠道继续下载每月更新。 可以使用首选的更新管理解决方案继续部署更新。
Azure 的步骤
可以将运行已达到或即将结束的 Windows Server 版本的本地服务器迁移到 Azure,你可以在其中继续将它们作为虚拟机运行。
有关迁移到 Azure 的详细信息,请参阅适用于 Windows Server 的扩展安全汇报概述。Azure Stack HCI 的步骤
-
为 Azure VM 验证启用旧版 OS 支持。
按照以下说明启用对 Azure VM 验证的旧版 OS 支持:-
使用Windows Admin Center:使用 Windows Admin Center 管理旧版 OS 支持
-
使用 PowerShell:使用 PowerShell 管理旧版 OS 支持
-
-
为新 VM
启用访问权限 还必须为每个需要 ESU 的 VM 启用旧版 OS 支持访问权限。 请按照以下说明操作:-
使用Windows Admin Center:管理 VM 的旧版 OS 支持访问权限 - Windows Admin Center。 检查 ESU VM 在“VM”选项卡中是否显示为“活动”。
-
使用 PowerShell:管理 VM 的旧版 OS 支持访问权限 - PowerShell
-
-
安装扩展安全汇报
设置旧版 OS 支持后,可以为群集上符合条件的 VM 安装免费的扩展安全汇报。 使用当前首选方法安装更新;例如,Windows 更新、Windows Server Update Services (WSUS) 、Microsoft 更新目录
有关详细信息,请参阅通过 Azure Stack HCI 汇报 (ESU) 扩展安全性。
Azure Arc 的步骤
-
对于 在没有 Azure Arc 的情况下在本地运行的 Windows Server:
-
对于 使用 Azure Arc 在本地运行的 Windows Server。
-
如果 Windows Server 在 Azure 或 Azure Stack HCI 版本 22H2 上) 的虚拟机 (VM 中运行,或者 Azure-Arc 启用和注册无密钥即用即付服务的设备,则不需要部署 MAK 密钥。
-
若要部署 Azure Arc 启用的扩展安全性汇报,必须通过部署 Connected Machine 代理将设备加入已启用 Azure Arc 的服务器。 然后,可以预配扩展安全更新许可证并将其链接到已启用 Azure Arc 的服务器,从而提供即用即付、每月 Azure 计费服务的灵活性。
-
为Windows Server 2012 ESU 注册的已启用 Azure Arc 的服务器可以免费获得 Azure 更新管理、计算机配置和更改跟踪和清单功能。 有关详细信息,请参阅准备通过 Azure Arc 为Windows Server 2012提供扩展安全汇报。
-
提供对终结点“microsoft.com/pkiops/certs”
的访问权限 如果无法打开对此终结点的访问权限,可以在已启用 Azure Arc 的服务器上下载中间 CA (有效期长达 6 个月,) 作为临时解决方案。-
对于 Azure 商业云,请下载 Microsoft 发布的此中间 CA。 将下载的证书安装为“中间证书颁发机构\证书”下的“本地计算机”。 使用以下命令正确安装证书:
certutil -addstore CA 'Microsoft Azure TLS 发证 CA 01 - xsign.crt'
-
对于 Azure 政府 云,请下载 Microsoft 发布的此中间 CA。 将下载的证书安装为“中间证书颁发机构\证书”下的“本地计算机”。 使用以下命令正确安装证书:
certutil -addstore CA 'Microsoft Azure TLS 发证 CA 02 - xsign.crt'
-
-
有关详细信息,请参阅为Windows Server 2012传递扩展安全汇报。
-
更多信息
如果使用Windows 更新,如果你是 ESU 客户,系统会自动为你提供最新的 SSU。 若要获取最新 SSU 的独立包,请在 Microsoft 更新目录中搜索它。 有关 SSU 的一般信息,请参阅服务堆栈更新和服务堆栈更新 (SSU):常见问题解答。
-
对于其他 Azure 产品(例如 Azure VMWare、Azure Nutanix 解决方案、Azure Stack (Hub、Edge) ,或者对于 Azure 上的自带映像(用于 Windows Server 2012 或 Windows Server 2012 R2),必须部署 ESU 密钥。
-
Azure 资源需要最新的 SSL/TLS 证书,以确保终结点可用且已更新。
-
Azure 资源需要与 Azure 实例 MetaData Service (IMDS)建立连接。
