En este artículo te mostramos los pasos para enrolar un servidor al servicio Azure ARC, lo cual permite acceder al programa ESU (Extended Security Updates), lo que posibilita que los servidores Windows 2012 R2 sigan recibiendo actualizaciones de seguridad durante 3 años. No obstante, la recomendación es que se migre el servicio a un nuevo servidor con un Sistema Operativo más reciente y con soporte en vigor.
Requisitos para enrolar el servidor
Es necesario disponer de una suscripción en Azure y de un usuario con el rol de Contributor o Azure Connected Machine Onboarding en el Resource Group que contendrán los servidores enrolados. Puedes revisar otros prerrequisitos en el artículo de Microsoft, así como las plataformas y versiones de sistema operativo soportados.
Pasos a seguir para enrolar el servidor
1. Desde la Home de Azure buscar Azure ARC y acceder al servicio.
2. Seleccionar la opción Machines del menú de la izquierda:
3. A la derecha aparecerán los servidores ya enrolados, estará vacía si es el primero. Pulsar la opción Add/Create y en el menú elegir Add a machine:
4. En la siguiente ventana, elegir el servidor o los servidores a añadir:
5. Independientemente de la opción elegida los pasos son los mismos, lo que cambiará es el contenido del script que se generará automáticamente:
- Seleccionar la suscripción y el grupo de recursos dónde queremos que se alojen los servidores enrolados. Si no existe el grupo de recursos, es necesario crear uno nuevo. Para ello, lo primero es seleccionar la región (normalmente West Europe), el sistema operativo (Windows) y el método de conectividad (por defecto será Público) y pulsar Siguiente:
- Definir etiquetas, este paso es opcional.
- Descargar el script generado o copiarlo para llevarlo al servidor a enrolar:
6. Acceder como administrador local al servidor que se quiere enrolar y copiar el script previamente descargado.
7. Ejecutar una consola de PowerShell en modo administrador, acceder a la carpeta en la que se ha copiado el script y ejecutarlo (.\OnboardingScript.ps1)
8. Durante la ejecución, introducir las credenciales de acceso a Azure. Importante: El usuario tiene que tener los permisos adecuados para poder enrolar el servidor.
9. Si la autenticación es correcta, se mostrará el siguiente mensaje, tras el cual es posible cerrar el navegador:
10. En la consola de Power Shell es necesario comprobar que el script ha finalizado y que el servidor se ha conectado a Azure:
11. Al regresar a la consola de administración de Azure, en el servicio Azure ARC - Machines aparecerá el servidor recientemente enrolado, así como el estado del agente:
12. Lo siguiente será crear las licencias que se van a utilizar. Para ello, en el menú de la izquierda de la página de administración del servicio Azure ARC, es necesario seleccionar Extended Security Updates. Una vez en la pestaña Licenses, pulsar Crear:
13. A continuación, es necesario cumplimentar el asistente con los datos de las licencias que se van a crear. En la opción Core Type hay que elegir el tipo de core que más se adecúe y especificar la cantidad de cores de la licencia. Tras realizar esta selección, marcar el checkbox y pulsar Crear. En el siguiente enlace puedes ver más detalles sobre el tipo de core.
14. Una vez creado, aparecerá la licencia en la pestaña Licencias (esto puede llevar unos minutos).
15. Para poder enlazar los servidores con la licencia, es necesario acceder a la pestaña Elegible resources, en la que aparecerá un listado de los servidores enrolados en ARC. Para activarlo en la licencias, hay que marcar el checkbox del servidor y pulsar Enable ESUs. A continuación se mostrará un formulario con un desplegable en el que aparecen las licencias previamente creadas. Lo siguiente será elegir las licencias que se desean usar, el tipo de core y pulsar Habilitar:
Restricciones de Seguridad sobre la suscripción
Con el objetivo de que no se generen recursos de manera ilícita sobre la suscripción usada para ESU, se recomienda realizar las siguientes acciones.
1. Limitar el acceso con privilegios a la suscripción:
Es posible que algunos usuarios tengan privilegios sobre el tenant (Administradores de M365, por ejemplo) pero que no deban tener permisos sobre la suscripción que se va a usar para licenciar Windows 2012 R2 y así controlar el coste de dicha suscripción.
Para ello es necesario:
- Acceder al portal de administración de Azure y hacer click en la suscripción a gestionar:
- Se mostrarán los datos de la suscripción en el panel de la derecha, acceder a Control de acceso (IAM):
- Se abrirá un nuevo panel, en el que es necesario seleccionar Asignación de roles. Es importante asegurarse que en la opción Propietario y Colaborador solo estén los usuarios que tengan que tener ese privilegio, retirando los que no deban tener ese rol. Para ello, hay que seleccionar el checkbox correspondiente y pulsar Quitar:
- Si es necesario otorgar permisos de lectura a algún usuario, debe realizarse pulsando Agregar - Agregar asignación de roles, y seleccionando el rol Lector. A continuación, en Miembros es necesario agregar el usuario al que queremos dar permisos de lectura. Por último, pulsar Revisar y asignar para que se ejecuten los permisos:
2. Limitar la creación de recursos sobre la suscripción
Para limitar la creación de recursos es necesario generar una política de Azure que aplique sobre toda la suscripción. Para ello, hay que seguir unos sencillos pasos:
- Acceder al Panel de Control de Directiva y seleccionar Definiciones en el menú de la izquierda:
-
A continuación, filtrar por Allowed resource types o Tipos de recursos permitidos para que se muestre la política por defecto creada para ese fin:
- Una vez en la directiva, es necesario pulsar Asignar para seleccionar la directiva que irá con nuestra suscripción:
- En la pestaña Aspectos básicos es necesario seleccionar la suscripción en el campo Ámbito:
- En la pestaña Parámetros, es necesario desplegar Tipos de recursos permitidos, buscar las licencias o licenses y seleccionar las tres que aparecen en el apartado Microsoft.HybridCompute. Por último, es necesario seleccionar Revisar y crear. En la pestaña Mensaje de no cumplimiento se puede añadir un mensaje específico sobre el error que se muestra si alguien intenta crear algún recurso.