准备为 Windows Server 2012 提供扩展安全更新

2025-07-26

随着 Windows Server 2012 和 Windows Server 2012 R2 于 2023 年 10 月 10 日终止支持，已启用 Azure Arc 的服务器允许在扩展安全更新 (ESU) 中注册现有的 Windows Server 2012/2012 R2 计算机。 Azure Arc 提供成本灵活性和改进的交付体验，使你能够更好地迁移到 Azure。

本文旨在帮助你了解其优点，以及如何准备使用已启用 Arc 的服务器来提供 ESU。

Key benefits

为 Windows Server 2012/2012 R2 计算机提供 ESU 具有以下主要优势：

标准预付费套餐：可以灵活地注册每月订阅服务，并能够在年中迁移。
Azure 计费：可以降低现有的 Microsoft Azure 使用量承诺 (MACC)，并使用 Microsoft 成本管理和计费来分析成本。
内置清单：Azure 门户中标识了符合条件的已启用 Arc 的服务器上的 Windows Server 2012/2012 R2 ESU 的覆盖范围和注册状态，其中突出显示了差异和状态更改。
无密钥交付：在已启用 Azure Arc 的 Windows Server 2012/2012 R2 计算机上注册 ESU 不需要获取或激活密钥。

对 Azure 服务的访问权限

对于在 Azure Arc 启用的 WS2012 ESU 中注册的启用 Azure Arc 的服务器，从 2023 年 10 月 10 日起可免费访问以下 Azure 服务：

Azure 更新管理器 - 统一管理和治理更新符合性，不仅包括 Azure 和混合计算机，还包括所有 Windows Server 2012/2012 R2 计算机的 ESU 更新符合性。

在 ESU 中进行注册不会影响 Azure 更新管理器。通过 Azure Arc 在 ESU 中进行注册后，服务器将能够获得 ESU 修补程序。这些修补程序可以通过 Azure 更新管理器或任何其他修补解决方案提供。你仍需要从 Microsoft 更新或 Windows Server Update Services 来配置更新。
Azure Policy 来宾配置 - 审核虚拟机中的配置设置。来宾配置通过已启用 Azure Arc 的服务器支持本机 Azure VM 以及非 Azure 物理和虚拟服务器。

此外，还有通过已启用 Azure Arc 的服务器提供的其他 Azure 服务，包括以下产品/服务：

Microsoft Defender for Cloud - 是云安全态势管理 (CSPM) 支柱的一部分，它通过 Microsoft Defender for Servers 提供服务器保护，以帮助保护你免受各种网络威胁和漏洞的影响。
Microsoft Sentinel - 收集与安全相关的事件，并将其与其他数据源相关联。

准备提供 ESU

规划和准备通过安装 Azure Connected Machine 代理（版本 1.34 或更高版本）来建立与 Azure 的连接，将计算机连接到已启用 Azure Arc 的服务器。

安装此连接后，即可注册服务器接收扩展安全更新 (ESU)。 Windows Server 2012 扩展安全更新支持 Windows Server 2012 和 R2 Standard 和 Datacenter 版本。不支持 Windows Server 2012 存储。

我们建议将计算机部署到 Azure Arc，以便为相关 Azure 服务提供支持的功能来管理 ESU 做好准备。将这些计算机加入到已启用 Azure Arc 的服务器后，你将可以了解其 ESU 覆盖范围，并通过 Azure 门户或使用 Azure Policy 进行注册。此服务的计费从 2023 年 10 月（即 Windows Server 2012 终止支持后）开始。

Note

若要购买 ESU，必须通过批量许可计划获得软件保障，例如企业协议 (EA)、企业协议订阅 (EAS)、教育解决方案合约 (EES)、服务器和云合约 (SCE)，或者通过 Azure 开放价值计划获得。或者，如果 Windows Server 2012/2012 R2 计算机通过 SPLA 或服务器订阅获得许可，则无需软件保障即可购买 ESU。
为已启用 Azure Arc 的服务器下载许可包和服务堆栈更新 (SSU)，如 KB5031043：在 2023 年 10 月 10 日结束延期支持后继续接收安全更新的过程。

Deployment options

已启用 Azure Arc 的服务器拥有以下多种规模加入选项：

通过配置服务器运行自定义任务序列。
部署通过组策略的计划任务。

Note

不建议通过 Azure Arc 将 ESU 传送到虚拟桌面基础结构 (VDI) 上运行的虚拟机。 VDI 系统应使用多次激活密钥 (MAK) 来应用 ESU。有关详细信息，请参阅从 Microsoft 365 管理中心访问多次激活密钥。

网络

确保你的计算机拥有必要的网络，可连接到 Azure Arc。连接选项包括：

Public endpoint
Proxy server
专用链接或 Azure Express Route。

查看网络先决条件，准备非 Azure 环境以部署到 Azure Arc。

如果只对以下任一产品或两种产品的扩展安全更新使用启用了 Azure Arc 的服务器：

Windows Server 2012
SQL Server 2012

微软 Azure 由世纪互联运营

Note

目前，适用于 Windows Server 2012 的扩展安全更新所用的已启用 Azure Arc 的服务器在世纪互联运营的 Azure 区域中不可用。

Tip

若要利用已启用 Arc 的服务器的完整产品/服务，例如扩展和远程连接，请确保允许适用于你的场景的其他 URL。有关详细信息，请参阅 Connected Machine 代理网络要求。

需要的证书颁发机构

Windows Server 2012 的扩展安全更新需要以下证书颁发机构：

如有必要，可以手动下载和安装这些证书颁发机构。

Next steps

详细了解如何规划 Windows Server 和SQL Server 终止支持以及获取扩展安全更新。
通过面向混合云和多云的 Azure Arc 登陆区域加速器，了解最佳做法和设计模式。
详细了解已启用 Arc 的服务器，以及它们如何通过 Azure Connected Machine 代理与 Azure 配合使用。
浏览将计算机加入已启用 Azure Arc 的服务器的选项。

通过