Установка обновлений на Windows Server 2012R2 в 2024 году

w2012r2 logo

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз я вам показал, как устранять ошибку "Удаленный сеанс был отключен из за сбоя создания хранилища лицензий с запретом доступа" при попытке подключения к серверу через RDP клиента. В сегодняшней статье я хочу поделиться опытом, который я приобрел решая для себя вот такую задачу. Потребовалось мне развернуть тестовый стенд с разными версиями ОС, там присутствовал Windows Server 2012R2. Эта операционная система перестала обновляться с конца 2023 года без расширенной поддержки. В данной статье я покажу как вы можете в 2024 году и до 2026 года включительно получать самые актуальные обновления закрывающие уязвимости, если кому нужно то поделюсь уже собранным ISO.

Windows Server 2012 R2 и End of Support

EOS означает "End of Support" или "конец поддержки". Когда продукт или операционная система достигает конца срока поддержки, это означает, что разработчик больше не будет предоставлять обновления безопасности, исправления ошибок или другие виды поддержки для этой версии продукта. 10 октября 2023 Microsoft официально оповестило, что прекращает базовую поддержку Windows Server 2012 R2, но позволяя корпоративным клиентам покупать расширенные Обновления безопасности (ESU) до 2026 года.

Обновления безопасности (ESU) — это Extended Security Updates, что означает продление обновлений безопасности. ESU представляет собой сервис поддержки, который предоставляется производителями программного обеспечения для продления срока обновлений безопасности для устаревших версий операционных систем или другого программного обеспечения. Это позволяет пользователям продолжать получать важные обновления безопасности и исправления уязвимостей после того, как официальная поддержка для их версии программного обеспечения была прекращена.

По хорошему если ваши серверы работают в проде и вы хотите получать обновления, вам нужно купить ключи ESU.

Люди склонны называть ключи ESU взаимозаменяемыми ключами многократной активации (MAK), ключами продукта ESU или лицензионными ключами ESU

https://www.microsoft.com/licensing/how-to-buy/how-to-buy

Так как у меня изначально тестовый стенд и не подразумевает лицензирования, я буду делать все на ОС с grace period.

Настройка получения обновлений в Windows Server 2012 R2 после 2023 года

Мой тестовый стенд состоит из виртуальных машин, где была произведена чистая установка Windows Server 2012 R2. Далее в системе с помощью центра обновления Windows были поставлены все возможные обновления, которые позволялось скачать без дополнительных настроек. Самое последнее накопительное обновление безопасности, доступное для установки без ключа SSU это "Ежемесячный набор исправлений качества системы безопасности для систем Windows Server 2012 R2 на базе процессоров x64 (KB5031419), 10 2023"

Ежемесячный набор исправлений качества системы безопасности для систем Windows Server 2012 R2 на базе процессоров x64 (KB5031419), 10 2023

Далее если вы будите производить поиск свежих обновлений, то будете получать статус "Нет доступных обновлений"

Нет доступных обновлений

Чтобы это обойти нам нужно скачать ряд KB

  • 1️⃣Первым делом вам необходимо скачать последнее обновление стека обслуживания (SSU), на момент написания статьи это апрельская версия KB5037021. Для скачивания я советую идти в каталог обновлений (НО ЕСЛИ ТАМ НЕ БУДЕТ НУЖНОГО KB, можно скачать у меня одним пакетом чуть ниже)

https://www.catalog.update.microsoft.com/Search.aspx?q=KB5037021

Скачивание KB5037021

  • 2️⃣Следующим шагом нужно скачать 2022-08 Extended Security Updates (ESU) Licensing Preparation Package KB5017220 (пакет подготовки к лицензированию расширенных обновлений безопасности (ESU)). 

Скачивание kb5017220

  • 3️⃣Теперь скачайте нужный ежемесячный накопительный пакет, зависит от того, какой файл манифест прописан в файле реестра. Для этого в каталоге в поиске введите "windows server 2012 r2 security". В моем случае это 2024-04 Security Monthly Quality Rollup for Windows Server 2012 R2 for x64-based Systems (KB5036960).

Скачать 2024-05 Security Monthly Quality Rollup for Windows Server 2012 R2 for x64-based Systems (KB5037823)

  • 4️⃣Файл реестра SideBySide с таким содержанием:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\amd64_microsoft-windows-s..edsecurityupdatesai_31bf3856ad364e35_none_0e8b36cfce2fb332]
@="6.3"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\amd64_microsoft-windows-s..edsecurityupdatesai_31bf3856ad364e35_none_0e8b36cfce2fb332\6.3]
@="6.3.9600.21924"
"6.3.9600.21924"=hex:01

Обратите внимание, что данный ключ включает уникальное имя файла манифеста amd64_microsoft-windows-s..edsecurityupdatesai_31bf3856ad364e35_none_0e8b36cfce2fb332, вы легко можете получить ошибку на более свежем обновлении отличном от KB5036960, так как, там фигурирует уже другое имя файла.

Файл реестра SideBySide

Последовательная установка компонентов

  • 1️⃣Когда у вас все подготовлено, то мы можем следовать вот такому порядку. Сначала устанавливаем KB5037021.

Установка KB5037021

Процесс Установки KB5037021

Завершение Установки KB5037021

  • 2️⃣Далее производим установку KB5017220.

производим установку KB5017220

  • 3️⃣Теперь запустите файл добавляющий ключ реестра, тут либо вы его скачаете у меня ниже в наборе или же можете сделать сами. Соглашаемся с добавлением.

Производим обязательную перезагрузку сервера

Добавление ключа реестра SideBySide

  • 4️⃣После перезагрузки ставим Security Monthly Quality Rollup for Windows Server 2012 R2 for x64-based Systems, у меня это KB5036960. Он минуты полторы-две будет сканировать ваш компьютер, после чего предложит стандартную установку. Производим ее. После чего потребуется перезагрузка для применения изменений

Успешная установка KB5036960

Применение KB5036960

После перезагрузке зайдите в центр обновления Windows и удостоверьтесь, что в списке успешно установленных числится KB5036960.

Успешная установка обновлений в Windows Server 2012 R2

После нового поиска обновлений, высветилось KB5012670.

Повторный поиск обновлений в Windows Server 2012R2

Скачать KB5037021, kb5017220, KB5036960, файл реестра

Для удобства я вам подготовил архив, где вы можете скачать все нужные обновления на апрель 2024 года.

Скачать KB5037021, kb5017220, KB5036960, файл реестра - https://cloud.mail.ru/public/2TgU/egvFzhEAe

Возможные проблемы

Если вы будите пытаться установить не KB5036960, а что-то новее, то из-за неправильной записи в реестре на файл манифест вы будите получать ошибку:

Ошибка установки: не удается установить следующее обновление из-за ошибки 0x8000FFFF: Обновление системы безопасности для ОС Windows (KB5037823).

Ошибка установки: не удается установить следующее обновление из-за ошибки 0x8000FFFF: Обновление системы безопасности для ОС Windows (KB5037823).

Где брать publicKeyToken от manifest файла

Теперь встает вопрос, где взять нужный publicKeyToken который используется в записи реестра и версию билда. Я выделил его жирным текстом в том файле реестра.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\amd64_microsoft-windows-s..edsecurityupdatesai_31bf3856ad364e35_none_0e8b36cfce2fb332]
@="6.3"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\amd64_microsoft-windows-s..edsecurityupdatesai_31bf3856ad364e35_none_0e8b36cfce2fb332\6.3]
@="6.3.9600.21924"
"6.3.9600.21924"=hex:01

Покажу на примере установленного пакета обновления. Чтобы его найти в KB5036960, вам нужно ее открыть с помощью архиватора 7-zip или WinRar. Тут находите XML файл

Поиск publicKeyToken в KB

Далее откройте CAB файл с именем Windows8.1-KB5036960-x64.cab и найдите в нем файл с именем amd64_microsoft-windows-s..edsecurityupdatesai_31bf3856ad364e35_6.3.9600.21924_none_НОМЕР. 

Поиск файла manifest

Из данного файла вам нужно взять значения version.

Версия билда в файле manifest

Теперь понимая, где и что искать давайте разберем пакет обновления за май 2024 kb5037823

Откройте так же KB5037823 с помощью архиватора и убедитесь в значении publicKeyToken. Если он отличается от того, что мы ранее писали в файл редактирующий ключ реестра SideBySide, то замените значения. В моем случае, это такое же значение 31bf3856ad364e35, значит я его оставляю.

Просмотр publicKeyToken у пакета обновления Windows

Теперь ищем файл манифеста в файле-архиве Windows8.1-KB5037823-x64.cab. Напомню он начинается на amd64_microsoft-windows-s..edsecurityupdatesai_publicKeyToken _version_none_НОМЕР. В моем примере это amd64_microsoft-windows-s..edsecurityupdatesai_31bf3856ad364e35_6.3.9600.21972_none_599c7a4bf64e9ba1.manifest. Открываем его и копируем из него полностью билд версии.

Подготовка к установке обновлений в Windows Server 2012R2

В результате мой новый REG файл будет иметь фот такое содержимое (НАПОМИНАЮ, его легко редактировать любым текстовым редактором)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\amd64_microsoft-windows-s..edsecurityupdatesai_31bf3856ad364e35_none_0e8b36cfce2fb332]
@="6.3"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\amd64_microsoft-windows-s..edsecurityupdatesai_31bf3856ad364e35_none_0e8b36cfce2fb332\6.3]
@="6.3.9600.21972"
"6.3.9600.21972"=hex:01

Готовый reg файл для установки обновлений в W2012R2

Теперь остается его запустить и заново попробовать установить вашу KB. Отправляем вашу Windows Server 2012 R2 в перезагрузку.

Перезагрузка Windows Server 2012R2

В результате все должно получиться. После загрузки ОС убедитесь, что нужное вам обновление успешно установилось.

Успешная установка обновления в W2012R2

Понимаю, что есть ручная работа, но зато вы получаете своевременно пакеты безопасности под вашу Windows Server 2012R2 и ваш сервер еще вам послужит. Если остались вопросы, то пишите их в комментариях. Если у вас есть другие методы, то так же жду вас. С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.

Оцените статью
Настройка серверов windows и linux
Добавить комментарий

  1. Михаил

    Иван, спасибо за мануал. это с каждым апдэйтом надо рег файл править и в ручную запускать, или дальше автоматом подхватовать будет?

  2. Иван Семин автор

    Нужно следить за правильным манифестом, как показали пока тесты уже 4 месяца не меняется SideBySide

  3. Леонид

    Спасибо за информацию обновил 2012 R2. Интересно с 2008 R2 прокатит такой метод?

  4. Иван Семин автор

    Честно не пробовал, если попробуете напишите свой опыт

  5. Леонид

    Метод с 2008 R2 тоже работает, проверил.

  6. Александер

    Большое человеческое спасибо