如何取得 Windows Server 的延伸安全性更新 (ESU)

  • 發行項

適用於 Windows Server 的延伸安全性更新 (ESU) 包含等級為 [重大][重要] 的安全性更新和公告。 使用 ESU 之前,您應該先閱讀 Windows Server 概觀的延伸安全性更新,以了解什麼是 ESU、可供使用的期限,以及您有什麽選項。

取得 ESU 的方式取決於您伺服器裝載的位置。 您可以透過下列選項取得 ESU 的存取權。

  • Azure 虛擬機器 - 會針對 ESU 自動啟用 Azure 中裝載的適用虛擬機器 (VM),這些更新會免費提供,不需要部署 MAK 金鑰或採取任何其他動作。 若要深入了解,請參閱 Azure 上的延伸安全性更新

  • 已啟用 Azure Arc 的伺服器 - 如果您的伺服器位於內部部署環境或裝載環境中,您可以透過 Azure 入口網站註冊您的 Windows Server 2012 和 2012 R2 或 SQL Server 2012 機器,獲得延申安全性更新,透過 Azure Arc 連線,且您每月會透過 Azure 訂用帳戶計費。 若要深入了解,請參閱 Azure Arc 所啟用的延伸安全性更新1

  • 非 Azure 實體和虛擬機器 - 如果您無法使用 Azure Arc 連線,請使用非 Azure VM 上的延申安全性更新,方法是使用多重啟用金鑰 (MAK),並將它套用至相關伺服器。 這個 MAK 金鑰可讓 Windows Update 伺服器知道您可以繼續接收安全性更新。 若要深入了解,請參閱從 Microsoft 365 系統管理中心存取您的多重啟用金鑰1

1 使用已啟用 Azure Arc 的伺服器和非 Azure 機器時,您必須購買 ESU。 若要購買 ESU,您必須透過大量授權方案提供軟體保證,例如 Enterprise 合約 (EA)、Enterprise 合約訂用帳戶 (EAS)、教育版解決方案註冊 (EES) 或伺服器和雲端註冊 (SCE)。

注意

在為內部部署 VM 或實體伺服器購買 ESU 之後,您的多重啟用金鑰可能需要 3-5 個工作天才能使用。 您的組織也可能需要時間來規劃和部署新的金鑰。 購買 ESU 之前,您應該記住這個時間表。

Azure 上的延伸安全性更新

Azure 中裝載的適用虛擬機器會自動針對 ESU 啟用,並免費提供這些更新。 您不需要執行任何設定,也不需額外付費即可使用 Azure VM 的 ESU。 如果設定為接收更新,則 ESU 會自動傳遞至 Azure VM。

注意

延申安全性更新也適用於其他 Azure 產品,例如 Azure 專用主機、Azure VMware 解決方案、Azure Nutanix 解決方案和 Azure Stack (Hub、Edge 和 HCI),而且可能需要額外的設定。 請連絡 Microsoft 支援服務尋求協助。

Azure Classic VMs (Microsoft.ClassicCompute) 亦需要額外設定來接收行延伸安全性更新,因為其無法存取決定延伸安全性更新資格的 Azure 執行個體中繼資料服務

Azure Arc 所啟用的延伸安全性更新

如果 ESU 已透過 Azure Arc 連線並註冊 ESU,則會自動傳遞至已啟用 Azure Arc 的伺服器。這也適用於連線至 Azure Arc 的非 Azure 伺服器。

您可以使用 Azure 原則或 Azure 入口網站大規模註冊 ESU,不需要預付費用,將會透過 Azure 訂用帳戶每月計費。 您也不需要啟用產品金鑰。

已啟用 Azure Arc 的伺服器也可讓您使用其他 Azure 服務,例如:

  • Azure 更新管理員。
  • 適用於雲端的 Microsoft Defender。
  • Azure 原則 (機器設定)。
  • Azure 監視器 (VM 見解)。

從 2023 年 9 月起,您可以透過 Azure Arc 啟用 Windows Server 2012 和 2012 R2 ESU。您可以立即將 Windows Server 2012 和 2012 R2 伺服器連線到 Azure Arc,將混合式機器與已啟用 Azure Arc 的伺服器連線

若要準備在已啟用 Arc 的伺服器上啟用 Windows Server 2012 和 2012R2 ESU,請遵循下列步驟:

  1. 登入 Azure 入口網站

  2. 在搜尋列中,輸入 [伺服器 - Azure Arc],然後選取相符的服務專案。

  3. 將現有的 Windows Server 2012 或 2012 R2 機器新增至 Azure Arc。若要了解如何開始使用已啟用 Azure Arc 的伺服器,請參閱 將混合式機器與已啟用 Azure Arc 的伺服器連線

若要深入了解有 Azure Arc 的 ESU,請參閱 準備傳遞適用於 Windows Server 2012 的延伸安全性更新傳遞適用於 Windows 2012 和 2012 R2 的延伸安全性更新

從 Microsoft 365 系統管理中心存取您的多重啟用金鑰

無法連線到 Azure Arc 以套用 ESU 的客戶,可以透過 Microsoft 365 系統管理中心使用多重啟用金鑰 (MAK):

  1. 登入 Microsoft 365 系統管理中心

  2. 選取 [您的產品] > [大量授權] > [檢視合約]

  3. 選取您用來購買 ESU 的合約編號、其旁邊的三個點 (更多動作圖示),然後選取 [檢視產品金鑰]。 此頁面上顯示合約可使用的所有產品金鑰。

  4. 擁有 MAK 之後,請在符合資格的伺服器上安裝新的金鑰。 若要深入了解安裝和啟用 MAK,請參閱我們的技術社群部落格文章 [取得合格 Windows 裝置的延伸安全性更新]

下載並安裝延伸安全性更新

Windows Server 的 ESU 傳遞、下載和套用與其他 Windows 更新一樣。 透過 ESU 提供的更新只是 安全性 更新。

您必須先安裝最新的服務堆疊更新 (SSU) 和授權準備套件,才能下載並安裝 ESU。 若要深入了解安裝最新 SSU 和授權準備套件所需的步驟,請參閱 KB5031043: 在延伸支援於 2023 年 10 月 10 日結束之後,繼續接收安全性更新的程序

您可以使用任何已備妥的工具和流程來安裝更新。 唯一的差別在於系統必須使用上一節產生的金鑰來註冊,才能下載並安裝更新。

對於 Azure 中所託管的 VM,系統會自動為您完成讓伺服器能夠進行 ESU 的程序。 應該會下載更新並加以安裝,無需額外的設定。