Condividi tramite

Consegnare ggiornamenti della sicurezza estesi per Windows Server 2012

Questo articolo illustra la procedura per abilitare il recapito degli aggiornamenti della sicurezza estesa ai computer Windows Server 2012 di cui è stato eseguito l'onboarding nei server con abilitazione di Arc. È possibile abilitare gli ESU su questi computer individualmente o su scala.

Operazioni preliminari

Pianificare e preparare l'onboarding dei computer nei server abilitati per Azure Arc. Vedere Come preparare la distribuzione di aggiornamenti della sicurezza estesa per Windows Server 2012 per altre informazioni.

È anche necessario il ruolo di Collaboratore nell'Azure RBAC per creare e assegnare aggiornamenti di sicurezza estesi ai server abilitati per Arc.

Gestire le licenze ESU

  1. Da un browser accedere al portale di Azure.

  2. Nel menu del servizio, in Licenze, selezionare Licenze ESU di Windows Server.

    Screenshot della finestra principale dell'ESU che mostra la scheda licenze e le risorse idonee.

    Qui è possibile visualizzare e creare licenze degli ESU e visualizzare le risorse idonee per gli ESU.

Creare licenze di Windows Server 2012 di Azure Arc

Il primo passaggio consiste nell’effettuare il provisioning delle licenze di Windows Server 2012 e 2012 R2 Extended Security Update da Azure Arc. Queste licenze vengono collegate a uno o più server abilitati per Arc selezionati nella sezione successiva.

Dopo aver effettuato il provisioning di una licenza ESU, è necessario specificare lo SKU (Standard o Datacenter), il tipo di core (fisico o vCore) e il numero di core per effettuare il provisioning di una licenza ESU. È anche possibile effettuare il provisioning di una licenza di Aggiornamento della sicurezza estesa in uno stato disattivato, in modo che, alla creazione, non avvii la fatturazione né risulti funzionante. Inoltre, i core associati alla licenza possono essere modificati dopo la fornitura.

Nota

Il provisioning delle licenze ESU richiede l'attestazione della copertura SA o SPLA.

Nella scheda Licenze vengono visualizzate le licenze di Windows Server 2012 di Azure Arc disponibili. Da qui è possibile selezionare una licenza esistente da applicare o creare una nuova licenza.

Screenshot che mostra le licenze esistenti e l'opzione per crearne una nuova.

  1. Per creare una nuova licenza di Windows Server 2012, selezionare Crea e quindi specificare le informazioni necessarie per configurare la licenza nella pagina.

    Per informazioni dettagliate su come completare questo passaggio, vedere Linee guida per il provisioning delle licenze degli Aggiornamenti della sicurezza estesa per Windows Server 2012.

  2. Esaminare le informazioni fornite e quindi selezionare Crea.

    La licenza creata viene visualizzata nell'elenco. È possibile collegarlo a uno o più server abilitati per Arc seguendo i passaggi descritti nella sezione successiva.

È possibile selezionare uno o più server abilitati per Arc per collegarsi a una licenza di Aggiornamento della sicurezza estesa. Dopo aver collegato un server a una licenza ESU attivata, il server è idoneo a ricevere le unità ESU di Windows Server 2012 e 2012 R2.

Nota

Si ha la possibilità di configurare la soluzione per l'applicazione di patch preferita in modo da ricevere tali aggiornamenti, ad esempio Gestore aggiornamenti, Windows Server Update Services, Microsoft Updates, Microsoft Endpoint Configuration Manager o una soluzione di gestione delle patch di terze parti.

  1. Selezionare la scheda Risorse idonee per visualizzare un elenco di tutti i server abilitati per Arc che eseguono Windows Server 2012 e 2012 R2.

    Screenshot della scheda delle risorse idonee che mostra i server idonei per ricevere le ESU.

    La colonna stato ESU indica se il computer è abilitato o meno per le ESU.

  2. Per abilitare gli ESU per uno o più computer, selezionarli nell'elenco, quindi selezionare Abilita ESU.

  3. Nel riquadro Abilita aggiornamenti della sicurezza estesa mostra il numero di computer selezionati per abilitare l'ESU e le licenze di Windows Server 2012 disponibili per l'applicazione. Selezionare una licenza per collegarsi ai computer selezionati e poi selezionare Abilita.

    Screenshot delle opzioni per selezionare la licenza da applicare ai computer scelti in precedenza.

    Nota

    È possibile creare una licenza da questa pagina, invece di sceglierne una esistente, selezionando Crea una licenza ESU.

Quando si torna alla scheda Risorse idonee, viene visualizzato lo stato delle macchine selezionate come abilitate.

Se si verificano problemi durante il processo di abilitazione, vedere Risolvere i problemi di recapito degli aggiornamenti della sicurezza estesi per Windows Server 2012 per assistenza.

Abilitare le unità ESU su larga scala utilizzando i criteri di Azure

Per il collegamento su larga scala dei server a una licenza di Azure Arc Extended Security Update e per bloccare la modifica o la creazione delle licenze, è consigliabile usare i criteri predefiniti di Azure seguenti:

I criteri di Azure possono essere specificati in una sottoscrizione o in un gruppo di risorse di destinazione per scenari di controllo e gestione.

Scenari aggiuntivi

Esistono alcuni scenari in cui è possibile ricevere patch degli aggiornamenti della sicurezza estesa senza costi aggiuntivi. Due di questi scenari supportati da Azure Arc sono Sviluppo/Test (Visual Studio) e Ripristino di emergenza (istanze DR con diritto al beneficio derivante da Software Assurance o solo dalla sottoscrizione. Entrambi questi scenari richiedono che si usi già Windows Server 2012/R2 ESU abilitati da Azure Arc per computer di produzione fatturabili.

Avviso

Non creare una licenza ESU di Windows Server 2012/R2 solo per carichi di lavoro di sviluppo/test o ripristino di emergenza. Non è consigliabile effettuare il provisioning di una licenza ESU solo per carichi di lavoro non fatturabili. Inoltre, verranno fatturati completamente tutti i core di cui è stato effettuato il provisioning con una licenza ESU e tutti i core di sviluppo/test per la licenza non verranno fatturati finché vengono contrassegnati di conseguenza in base alle qualifiche seguenti.

Per qualificarsi per questi scenari, è necessario avere già:

  • Licenza ESU fatturabile. È necessario avere già effettuato il provisioning e aver attivato una licenza WS2012 Arc ESU progettata per essere collegata ai normali server abilitati per Azure Arc in esecuzione in ambienti di produzione, ad esempio scenari ESU fatturati normalmente. L'assegnazione di questa licenza deve essere effettuata solo per i core fatturabili, non per i core idonei agli aggiornamenti della sicurezza estesi gratuiti, ad esempio core destinati a sviluppo/test.

  • Server abilitati per Arc. Avete integrato le vostre macchine Windows Server 2012 e Windows Server 2012 R2 nei server abilitati per Azure Arc per scopi di sviluppo/test con sottoscrizioni di Visual Studio o ripristino di emergenza.

Per registrare i server abilitati per Azure Arc idonei per le ESU senza costi aggiuntivi, seguire questa procedura per contrassegnare e collegare:

  1. Contrassegnare sia la licenza WS2012 Arc ESU (creata per l'ambiente di produzione con core solo per i server dell'ambiente di produzione) sia i server abilitati per Azure Arc non di produzione con una delle coppie nome-valore seguenti, corrispondenti all'eccezione appropriata:

    1. Nome: "Utilizzo ESU"; Valore: "WS2012 VISUAL STUDIO DEV TEST"

    2. Nome: "Utilizzo ESU"; Valore: "RIPRISTINO DI EMERGENZA WS2012"

    Nel caso in cui si usi la licenza ESU per più scenari di eccezione, contrassegnare la licenza con il tag: Nome: "Utilizzo ESU"; Valore: "WS2012 MULTIPURPOSE"

  2. Collegare la licenza contrassegnata (creata per l'ambiente di produzione con core solo per i server di produzione) ai computer con Windows Server 2012 e Windows Server 2012 R2 abilitati da Azure Arc non di produzione. Non concedere licenze ai core per questi server o creare una nuova licenza ESU solo per questi server.

Questo collegamento non attiverà una violazione di conformità o un blocco di imposizione, consentendo di estendere l'applicazione di una licenza oltre i core di cui è stato effettuato il provisioning. L'aspettativa è che la licenza includa solo core per i server di produzione e fatturati. Tutti i core aggiuntivi verranno addebitati e comportano una sovra-fatturazione.

Importante

L'aggiunta di questi tag alla licenza non rende la licenza gratuita o riduce il numero di core di licenza addebitati. Questi tag consentono di collegare i computer Azure alle licenze esistenti già configurate con core pagabili senza dover creare nuove licenze o aggiungere altri core ai computer gratuiti.

Esempio:

  • Sono disponibili otto istanze di Windows Server 2012 R2 Standard, ognuna con otto core fisici. Sei di questi computer Windows Server 2012 R2 Standard sono destinati alla produzione e 2 di questi computer Windows Server 2012 R2 Standard sono idonei per le ESU gratuite perché il sistema operativo è stato concesso in licenza tramite una sottoscrizione di Visual Studio Dev Test.
    • È necessario effettuare prima il provisioning e attivare una normale licenza ESU per Windows Server 2012/R2 che è Standard Edition e ha 48 core fisici per coprire i 6 computer di produzione. È consigliabile collegare questa normale licenza ESU di produzione ai sei server di produzione.
    • Successivamente, dovresti riutilizzare questa licenza esistente, non aggiungere altri core o effettuare il provisioning di una licenza separata e collegare questa licenza ai due computer Windows Server 2012 R2 standard non di produzione. È necessario contrassegnare la licenza ESU e i due computer Windows Server 2012 R2 Standard non di produzione con Nome: "Utilizzo ESU" e Valore: "WS2012 VISUAL STUDIO DEV TEST".
    • Ciò comporta una licenza ESU per 48 core e verranno fatturati i 48 core. Non verranno addebitati i 16 core aggiuntivi dei server di test di sviluppo aggiunti a questa licenza, purché la licenza ESU e le risorse del server di test di sviluppo siano contrassegnate in modo appropriato.

Nota

È necessaria una normale licenza di produzione per iniziare e verranno fatturati solo i core di produzione.

Aggiornamento da Windows Server 2012/2012 R2

Quando si aggiorna un computer Windows Server 2012/2012R a Windows Server 2016 o versione successiva, non è necessario rimuovere l'agente Connected Machine dal computer. Il nuovo sistema operativo sarà visibile per il computer in Azure entro pochi minuti dal completamento dell'aggiornamento. I computer aggiornati non richiedono più ESU e non sono più idonei. Qualsiasi licenza ESU associata al computer non viene scollegata automaticamente dal computer. Per istruzioni su come eseguire questa operazione manualmente, vedere Scollegare una licenza.

Valutare lo stato della patch ESU WS2012

Per rilevare se i server abilitati per Azure Arc sono stati patchati con gli aggiornamenti della sicurezza estesi di Windows Server 2012/R2 più recenti, è possibile usare il criterio Azure Policy Gli aggiornamenti di sicurezza estesi dovrebbero essere installati sui computer Windows Server 2012 Arc. Questa definizione di criteri, basata su Configurazione computer, identifica se il server ha ricevuto le patch ESU più recenti. È possibile osservare questo dalle sezioni "Assegnazione ospite" e "Conformità agli standard di Azure" integrate nel portale Azure.

  • Last updated on