KB5031043: процедура продолжения получения обновлений для системы безопасности после окончания расширенной поддержки 10 октября 2023 г.

Введение

Эта статья относится к клиентам, приобретающим расширенные обновления для системы безопасности (ESU) для следующих версий и выпусков Windows Server 2012:

• Windows Server 2012 R2 Standard, Datacenter и Embedded Systems

• Windows Server 2012 Standard, центр обработки данных и внедренные системы

Процедура

Чтобы продолжить получать обновления для системы безопасности после 10 октября 2023 г., выполните следующие действия.

1. Для всех серверов Windows Server 2012 и Windows Server 2012 R2 необходимо установить следующие обновления. Если вы используете Центр обновления Windows, эти обновления будут предложены вам автоматически. 

   ВАЖНО После установки следующих необходимых обновлений необходимо перезапустить устройство.

   • Для Windows Server 2012 R2 необходимо установить обновление стека обслуживания (SSU) (KB5029368), датированное 8 августа 2023 г. или более поздней версии SSU.  Дополнительные сведения о последних обновлениях SSU см. в ADV990001 | Последние Обновления стека обслуживания.

   • Для Windows Server 2012 необходимо установить обновление стека обслуживания (SSU) (KB5029369), датированное 8 августа 2023 г. или более поздней версии SSU.  Дополнительные сведения о последних обновлениях SSU см. в ADV990001 | Последние Обновления стека обслуживания.

2. Скачайте и установите пакет подготовки лицензирования расширенных обновлений безопасности (ESU). Дополнительные сведения см. в следующих статьях базы знаний Майкрософт:

   ВАЖНО Если вам не предлагаются последние накопительные обновления (обновления для системы безопасности), необходимо установить следующее обновление.

   ЗАМЕТКИ

   • Пакет подготовки лицензирования не требуется для получения Windows Server 2012 или Windows Server 2012 обновлений ESU R2 в Azure, Azure Arc или Azure Stack HCI версии 22H2.

   • Windows Server 2012 и Windows Server 2012 компьютерах R2 с ежемесячным накопительным пакетом, установленным 12 июля 2022 г. или позже, не нужно устанавливать пакет подготовки к лицензированию.

   • Windows Server 2012 и Windows Server 2012 компьютерах R2, на которых запущена версия выпуска без установленных обновлений или установлены некоторые обновления, выпущенные до 12 июля 2022 г., должен быть установлен пакет подготовки лицензирования из Windows Server Update Services (WSUS) или Каталог Центра обновления Майкрософт (см. KB5017220 или KB5017221).

   • Клиенты, использующие Scan Cab для установки обновления от 14 ноября 2023 г. (KB5032247 или KB5032249), должны скачать пакет подготовки к лицензированию из каталога Центра обновления Майкрософт (см. KB5017220 или KB5017221) и установить пакет вручную.

   • Сведения о Windows Server 2012 R2 см. в пакете подготовки лицензирования Обновления расширенной безопасности (ESU) от 10 августа 2022 г. (KB5017220).

   • Windows Server 2012 см. в статье Пакет подготовки лицензирования для расширенной Обновления безопасности (ESU) от 10 августа 2022 г. (KB5017221).

3. Выполните одно из следующих действий.

   После успешного выполнения этих действий можно продолжить скачивание ежемесячных обновлений через обычные каналы клиентский компонент Центра обновления Windows, WSUS и каталога Центра обновления Майкрософт. Вы можете продолжить развертывание обновлений с помощью предпочитаемого решения для управления обновлениями.

   Действия для Azure

   Вы можете перенести локальные серверы под управлением версии Windows Server, которая достигла или почти достигла конца расширенной поддержки, в Azure, где вы можете продолжать запускать их как виртуальные машины.
   
   Дополнительные сведения о миграции в Azure см. в статье Обзор Обновления расширенной безопасности для Windows Server.

   Действия для Azure Stack HCI

   1. Включите поддержку устаревшей ос для проверки виртуальной машины Azure.
      
      Чтобы включить поддержку устаревшей ос для проверки виртуальной машины Azure, выполните следующие инструкции.

      • Использование Windows Admin Center. Управление поддержкой устаревших ОС с помощью Windows Admin Center

      • Использование PowerShell: управление поддержкой устаревших ОС с помощью PowerShell

   2. Включение доступа для новых виртуальных машин
      
      Необходимо также включить устаревший доступ к поддержке ОС для каждой виртуальной машины, для которых требуется ESU. Следуйте приведенным ниже инструкциям.

      • Использование Windows Admin Center. Управление доступом к поддержке устаревших ОС для виртуальных машин — Windows Admin Center. Убедитесь, что виртуальные машины ESU отображаются как активные на вкладке Виртуальная машина.

      • Использование PowerShell: управление доступом к поддержке устаревших ОС для виртуальных машин — PowerShell

   3. Установка Обновления
      
      расширенной безопасности После настройки поддержки устаревших ОС можно установить бесплатные Обновления расширенной безопасности для соответствующих виртуальных машин в кластере. Установите обновления с помощью выбранного метода. например, клиентский компонент Центра обновления Windows, Windows Server Update Services (WSUS), Каталог Центра обновления Майкрософт

   Дополнительные сведения см. в статье Расширенный Обновления безопасности (ESU) через Azure Stack HCI.

   Действия для Azure Arc

   1. Для серверов Windows Server, работающих локально без Azure Arc:

      1. Скачайте ключ надстройки ESU MAK на портале VLSC.

      2. Разверните и активируйте ключ надстройки ESU MAK с помощью средстваSlmgr.vbs или VAMT.

         • Если вы используете средство VAMT, необходимо обновить файлы конфигурации VAMT.

         • Активация через Интернет или активация прокси-сервера можно использовать для развертывания и активации ключа надстройки ESU MAK.

         • Если вы используете активацию через Интернет, необходимо убедиться, что устройство имеет доступ к конечным точкам сервера активации Майкрософт.

      3. Инструкции по установке, активации и развертыванию EKU для Windows Server 2012 и Windows Server 2012 R2 такие же, как для Windows Server 2008 и Windows Server 2008 R2.

   2. Для серверов Windows, работающих локально с Azure Arc.

      1. Развертывание ключа MAK не требуется, если серверы Windows server работают на виртуальных машинах в Azure или Azure Stack HCI версии 22H2 или устройствах, которые Azure-Arc включены и зарегистрированы для использования службы с оплатой по мере использования без ключа.

      2. Чтобы развернуть Обновления расширенной безопасности, включенные в Azure Arc, необходимо подключить устройства к серверам с поддержкой Azure Arc, развернув агент подключенного компьютера. Затем вы можете подготовить и связать лицензии расширенных обновлений безопасности с серверами с поддержкой Azure Arc, обеспечивая гибкость ежемесячной службы с оплатой по мере использования Azure.

      3. Серверы с поддержкой Azure Arc, зарегистрированные для Windows Server 2012 ESU, получают возможности управления обновлениями Azure, конфигурации компьютера и Отслеживание изменений и инвентаризация без дополнительных затрат. Дополнительные сведения см. в статье Подготовка к доставке Обновления расширенной безопасности для Windows Server 2012 через Azure Arc.

      4. Предоставление доступа к конечной точке "microsoft.com/pkiops/certs"
         Если вы не можете открыть доступ к этой конечной точке, вы можете скачать промежуточный ЦС (срок действия до 6 месяцев) на серверах с поддержкой Azure Arc в качестве решения stopgap.

         • Для коммерческого облака Azure скачайте этот промежуточный ЦС, опубликованный корпорацией Майкрософт. Установите скачанный сертификат как локальный компьютер в разделе Промежуточные центры сертификации\Сертификаты. Чтобы правильно установить сертификат, используйте следующую команду:

           certutil -addstore ЦС "Microsoft Azure TLS, выдающий ЦС 01 - xsign.crt"

         • Для Azure для государственных организаций Cloud скачайте этот промежуточный ЦС, опубликованный корпорацией Майкрософт. Установите скачанный сертификат как локальный компьютер в разделе Промежуточные центры сертификации\Сертификаты. Чтобы правильно установить сертификат, используйте следующую команду:

           certutil -addstore ЦС "Microsoft Azure TLS, выдающий CA 02 - xsign.crt"

   Дополнительные сведения см. в статье Предоставление Обновления расширенной безопасности для Windows Server 2012.

Дополнительные сведения

Если вы используете клиентский компонент Центра обновления Windows, последняя версия SSU будет предлагаться вам автоматически, если вы являетесь клиентом ESU. Чтобы получить автономный пакет для последней версии SSU, найдите его в каталоге Центра обновления Майкрософт. Общие сведения о SSU см. в разделах Обновления стека обслуживания и Обновления стека обслуживания (SSU): часто задаваемые вопросы.

• Для других продуктов Azure, таких как Azure VMWare, Решение Azure Nutanix, Azure Stack (Hub, Edge) или для использования собственных образов в Azure для Windows Server 2012 или Windows Server 2012 R2, необходимо развернуть ключ ESU.

• Для ресурсов Azure требуются актуальные сертификаты SSL/TLS, чтобы обеспечить доступность и обновление конечных точек.

• Для ресурсов Azure требуется подключение к службе MetaData экземпляра Azure (IMDS).

Ссылки

• Что такое программа расширенного обновления для системы безопасности (ESU)?

• Обзор Обновления расширенной безопасности для Windows Server 2008, 2008 R2, 2012 и 2012 R2

• Получите максимум от Windows Server с помощью этих 5 рекомендаций

• Максимальное увеличение инвестиций в Windows Server благодаря новым преимуществам и большей гибкости

• Устранение неполадок в Обновления расширенной безопасности (ESU) | Microsoft Learn

• Windows Server 2012/R2: Обновления расширенной безопасности

• Расширенная Обновления безопасности (EKU): активация через Интернет или прокси-сервер

• Первые Windows Server 2012/R2 исправлений ESU не установлены! Вы защищены?