Windows Server 2012 R2 已于 2023 年 10 月 10 日结束扩展支持,购买扩展安全更新(ESU)需通过微软合作伙伴、Volume Licensing 或 Azure 门户。配置核心是获取 MAK 密钥并在本地激活,或通过 Azure Arc 纳管,仅适用于仍需运行该系统的过渡场景。
先说结论:ESU 仅提供关键安全补丁,不提供新功能或技术支持,最长可购买 3 年。
- 适合:无法立即迁移且面临合规风险的本地遗留系统
- 先准备:确认版本为 R2 标准版或数据中心版,备份系统状态
- 验收:Windows 更新历史记录中出现 ESU 相关补丁,slmgr 显示许可状态正常
命令速用版
本地部署场景需使用 slmgr 命令激活 ESU 密钥,Azure 场景通常自动生效。
slmgr /ipk <ESU_MAK_Key>(安装密钥)
slmgr /ato(尝试激活)
slmgr /dlv(查看许可详细信息)
为什么会这样
微软生命周期策略规定产品支持到期后不再提供免费更新,ESU 是付费延续安全保护的官方方案。
Windows Server 2012 R2 主流支持早已结束,扩展支持也于 2023 年 10 月终止。ESU 计划允许客户在支持结束后继续接收安全更新,防止漏洞暴露。这不是功能升级,而是风险缓释措施,目的是给迁移争取时间。
分步处理
步骤 1:确认系统版本与资格
运行 winver 确认版本为 Windows Server 2012 R2。ESU 不适用于原始 2012 版本,仅适用于 R2。
步骤 2:购买 ESU 许可
通过微软云解决方案提供商(CSP)、Volume Licensing Service Center (VLSC) 或 Azure 门户购买。本地服务器通常按核心数计费,Azure 虚拟机可通过勾选选项启用。
步骤 3:配置本地激活(仅限非 Azure 场景)
获取 ESU MAK 密钥后,以管理员身份运行命令提示符。输入 slmgr /ipk 安装密钥,随后运行 slmgr /ato 激活。若使用 Azure Arc 纳管,需在 Azure 门户分配许可。
步骤 4:启用更新
确保服务器能连接 Windows Update 或内部 WSUS 服务器。ESU 补丁通常通过常规更新通道推送,但需许可状态正确。
怎么验证是否生效
打开设置中的更新和安全,查看 Windows 更新历史记录。若看到_kb 开头的安全补丁且日期在 2023 年 10 月之后,说明 ESU 生效。
运行 slmgr /dlv,查看许可状态描述中是否包含 Extended Security Update 相关字样或密钥通道信息。
常见坑
ESU 不包含非安全更新,某些功能 bug 可能不会修复。本地部署必须确保时间同步准确,否则激活失败。Azure 虚拟机若未正确关联许可,即使勾选 ESU 也可能无法接收补丁。
常见问题
ESU 最多能买几年?
最多 3 年。微软 ESU 计划通常按年提供,最长延续 3 年,之后必须迁移系统。
Azure 上的虚拟机需要手动配置吗?
通常不需要。Azure 混合 benefit 或直接购买 ESU 选项后,平台会自动处理补丁推送,无需输入 MAK 密钥。
ESU 价格是多少?
公开资料中没有看到可靠的量化数据。价格取决于核心数、渠道伙伴及区域,需咨询微软销售或合作伙伴。
参考来源
Microsoft Learn - Windows Server 2012 R2 生命周期 (https://learn.microsoft.com/en-us/lifecycle/products/windows-server-2012-r2)
Microsoft Learn - 扩展安全更新概述 (https://learn.microsoft.com/en-us/windows-server/get-started/extended-security-updates)