Applies ToWindows Server 2012 Windows Embedded 8 Standard
Версия:
Windows Server 2012
Здесь описаны все обновления (как связанные, так и не связанные с системой безопасности) для Windows Server 2012, опубликованные через Центр обновления Windows. Эти обновления предназначены для исправления ошибок в операционной системе, а также помогают повысить ее общую надежность.
В левой части страницы находится справочник по всем обновлениям, выпущенным для данной версии Windows. Мы рекомендуем устанавливать все обновления Windows, доступные для вашего устройства. Установка последнего обновления означает, что вы устанавливаете все предыдущие обновления, включая важные исправления системы безопасности.
Текущее состояние Windows Server 2012
Для получения самой последней информации об известных проблемах для Windows и Windows Server перейдите на панель мониторинга состояния выпуска Windows.
Примечания и сообщения
Общие
ВАЖНО! С июля 2020 г. во всех Центрах обновления Windows отключается функция RemoteFX vGPU из-за уязвимости в системе безопасности. Дополнительные сведения об этой уязвимости см. в CVE-2020-1036 и KB4570006. После установки этого обновления попытки запуска виртуальных машин (ВМ), в которых включена функция RemoteFX vGPU, будут завершаться сбоем и будут появляться следующие сообщения:
Если повторно включить функцию RemoteFX vGPU, появится следующее сообщение:
-
«Виртуальная машина не может быть запущена, так как все GPU с поддержкой RemoteFX отключены в диспетчере Hyper-V».
-
«Не удается запустить виртуальную машину, так как на сервере недостаточно ресурсов GPU».
-
«Видеоадаптер RemoteFX 3D больше не поддерживается. Если вы все еще используете этот адаптер, ваша безопасность под угрозой. Дополнительные сведения см. на странице (https://go.microsoft.com/fwlink/?linkid=2131976)”
С 11 февраля 2020 г. прекращена поддержка Internet Explorer 10. Сведения о том, как получить Internet Explorer 11 для Windows Server 2012 или Windows 8 Embedded Standard, см. в статье KB4492872. Установите одно из следующих применимых обновлений, чтобы получить последние исправления для системы безопасности.
-
Накопительный пакет обновления для Internet Explorer 11 для Windows Server 2012.
-
Накопительный пакет обновления для Internet Explorer 11 для Windows 8 Embedded Standard.
-
Ежемесячный накопительный пакет обновления за ноябрь 2020 г.
См. также
-
Центр обновления Windows: вопросы и ответы
-
Журнал обновлений Windows 8.1 и Windows Server 2012 R2
-
Журнал обновлений Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)
-
Журнал обновлений Windows Server 2008 с пакетом обновления 2 (SP2)
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
Windows Server 2012 R2 — надежная серверная операционная система, которая продолжает использоваться в корпоративных средах благодаря своей стабильности и поддержке ключевых серверных ролей. На этой странице представлены последние обновления для Windows Server 2012 R2, которые улучшают безопасность, производительность и совместимость. Вы можете скачать их через официальный сайт Microsoft или напрямую с нашего сервера. Каждое обновление подробно описано с указанием его функций и назначения.
Приобрести лицензионные ключи активации для Windows Server 2012 R2 вы можете в нашем каталоге с моментальной доставкой на вашу электронную почту в автоматическом режиме. Заказы обрабатываются 24/7.
Также вы можете скачать официальные дистрибутивы Windows Server 2012 R2 из нашего каталога по прямым ссылкам. Подробности на следующей странице.
Список обновлений
— Скачать KB5052108
— Скачать KB5046260
— Скачать KB5039340
— Скачать KB5037923
— Скачать KB5031003
— Скачать KB5029368
— Скачать KB5028872
— Скачать KB5018519
— Скачать KB5017398
— Скачать KB5014025
Обновления для Windows Server 2012 R2
Скачать KB5052108
Обновление KB5052108, выпущенное в марте 2025 года, представляет собой накопительное обновление для Windows Server 2012 R2. Оно поднимает сборку до версии 6.3.9600.XXXX (точный номер сборки будет уточнен после релиза). Это обновление включает последние исправления безопасности и улучшения производительности для серверов в рамках программы Extended Security Updates (ESU).
Основные функции и изменения:
1. Устранение уязвимостей безопасности, выявленных в начале 2025 года.
2. Повышение стабильности сетевых компонентов.
3. Оптимизация работы служб Active Directory и Hyper-V.
4. Улучшение совместимости с современными приложениями.
KB5052108 необходимо для серверов, участвующих в программе ESU, чтобы обеспечить их защиту после окончания основной поддержки в октябре 2023 года.
— Скачать с сайта Microsoft
— Скачать с нашего сервера
Скачать KB5046260
Обновление KB5046260, выпущенное в ноябре 2024 года, представляет собой накопительное обновление для .NET Framework 4.8 на Windows Server 2012 R2. Оно устраняет уязвимости и повышает стабильность приложений, использующих .NET.
Основные функции и изменения:
1. Устранение уязвимостей в .NET Framework (CVE-2024-XXXX, уточняется после релиза).
2. Исправление ошибок в обработке запросов IIS.
3. Улучшение производительности веб-приложений.
4. Повышение совместимости с новыми библиотеками .NET.
KB5046260 важно для серверов, на которых работают приложения, зависящие от .NET Framework 4.8.
— Скачать с сайта Microsoft
— Скачать с нашего сервера
Скачать KB5039340
Обновление KB5039340, выпущенное в июне 2024 года, является Servicing Stack Update (SSU) для Windows Server 2012 R2. Оно улучшает компоненты системы обновлений.
Основные функции и изменения:
1. Обновление стека обслуживания для надежной установки последующих патчей.
2. Исправление ошибок в работе Windows Update.
3. Повышение совместимости с накопительными обновлениями 2024 года.
4. Подготовка системы к будущим ESU-обновлениям.
KB5039340 требуется установить перед другими обновлениями 2024 года для минимизации сбоев.
— Скачать с сайта Microsoft
— Скачать с нашего сервера
Скачать KB5037923
Обновление KB5037923, выпущенное в мае 2024 года, — это накопительное обновление для .NET Framework 4.8 на Windows Server 2012 R2.
Основные функции и изменения:
1. Устранение уязвимостей в .NET Framework (CVE-2024-XXXX).
2. Исправление сбоев в серверных приложениях на .NET 4.8.
3. Улучшение производительности обработки данных в IIS.
4. Обновление безопасности для веб-приложений.
KB5037923 критично для серверов с активными .NET-приложениями.
— Скачать с сайта Microsoft
— Скачать с нашего сервера
Скачать KB5031003
Обновление KB5031003, выпущенное в октябре 2023 года, — это обновление для .NET Framework 4.8 на Windows Server 2012 R2.
Основные функции и изменения:
1. Устранение уязвимостей в .NET Framework (CVE-2023-XXXX).
2. Исправление ошибок в работе веб-приложений.
3. Улучшение совместимости с обновлениями Windows Server.
4. Повышение стабильности приложений на .NET.
KB5031003 рекомендуется для серверов с .NET-приложениями перед переходом на ESU.
— Скачать с сайта Microsoft
— Скачать с нашего сервера
Скачать KB5029368
Обновление KB5029368, выпущенное в августе 2023 года, — это Servicing Stack Update (SSU) для Windows Server 2012 R2.
Основные функции и изменения:
1. Обновление компонентов установки обновлений.
2. Исправление ошибок в работе Windows Update.
3. Повышение надежности процесса обновления системы.
4. Подготовка к установке накопительных обновлений 2023 года.
KB5029368 необходимо для корректной работы последующих патчей.
— Скачать с сайта Microsoft
— Скачать с нашего сервера
Скачать KB5028872
Обновление KB5028872, выпущенное в июле 2023 года, представляет собой накопительное обновление безопасности для Windows Server 2012 R2.
Основные функции и изменения:
1. Устранение уязвимостей в ядре и сетевых компонентах.
2. Повышение стабильности Hyper-V.
3. Исправление ошибок в работе Active Directory.
4. Улучшение безопасности файловых служб.
KB5028872 важно для поддержания безопасности перед окончанием основной поддержки.
— Скачать с сайта Microsoft
— Скачать с нашего сервера
Скачать KB5018519
Обновление KB5018519, выпущенное в октябре 2022 года, — это обновление для .NET Framework 4.8 на Windows Server 2012 R2.
Основные функции и изменения:
1. Устранение уязвимостей в .NET Framework (CVE-2022-XXXX).
2. Исправление ошибок в работе приложений на .NET.
3. Улучшение производительности IIS.
4. Повышение безопасности серверных приложений.
KB5018519 рекомендуется для серверов с .NET-приложениями.
— Скачать с сайта Microsoft
— Скачать с нашего сервера
Скачать KB5017398
Обновление KB5017398, выпущенное в сентябре 2022 года, — это Servicing Stack Update (SSU) для Windows Server 2012 R2.
Основные функции и изменения:
1. Обновление стека обслуживания для установки патчей.
2. Исправление ошибок в Windows Update.
3. Повышение стабильности процесса обновления.
4. Подготовка к накопительным обновлениям 2022 года.
KB5017398 требуется перед установкой последующих обновлений.
— Скачать с сайта Microsoft
— Скачать с нашего сервера
Скачать KB5014025
Обновление KB5014025, выпущенное в мае 2022 года, — это Servicing Stack Update (SSU) для Windows Server 2012 R2.
Основные функции и изменения:
1. Улучшение компонентов системы обновлений.
2. Исправление сбоев при установке патчей.
3. Повышение надежности Windows Update.
4. Подготовка к накопительным обновлениям 2022 года.
KB5014025 важно для стабильной работы системы обновлений.
— Скачать с сайта Microsoft
— Скачать с нашего сервера
The purpose of this page is to maintain a list of known Microsoft hotfixes, patches and known issues related to the Active Directory Certificate Services role. The page will be updated as new releases are made by Microsoft as well as when new issues are identified. You can subscribe to the page to receive automated alerts when the content has changed. If you have any feedback or comments, or notice something that is missing, let us know.
Contact Us
Change Log – Last Updated May 19, 2022
May 19, 2022 – Added KB5014754 – Certificate-based authentication changes on Windows domain controllers.
November 7, 2016 – Moved OCSP Magic Number to Client Issues, Updated Interactive Services Session 0 info for Thales Security World 12.1 Software Release
June 6, 2016 – Add Bug 5298357 about invalid ASN.1 encoding of certificate issuance policies extensions
HotFixes
- KB 5014754 (CVE-2022-26931 and CVE-2022-23923) – Certificate-based authentication changes on Windows domain controllers. This update addresses an elevation of privilege vulnerability that can occur when the Kerberos Distribution Center (KDC) is servicing a certificate-based authentication request. Before the May 10, 2022 security update, certificate-based authentication would not account for a dollar sign ($) at the end of a machine name. This allowed related certificates to be emulated (spoofed) in various ways. Additionally, conflicts between User Principal Names (UPN) and sAMAccountName introduced other emulation (spoofing) vulnerabilities that we also address with this security update.
- KB 942076 (MSKB Archive) – Error message when you visit a Web site that is hosted on IIS 7.0: “HTTP Error 404.11 – URL_DOUBLE_ESCAPED”
Note: ADCS will resolve the issue if installed on the same machine as IIS. However, if hosting Delta CRL files on an alternate computer, this will be an issue
- KB 2827759 – A CA does not replace space characters in URL paths for CRL distribution points and authority information access extensions
- KB 2740017 – PIN dialog box for smart card authentication appears two times when you try to access CA certificates on a computer that is running Windows Server 2008 R2 or Windows Server 2012
Note: Can also affect some Card based Hardware Security Modules – such as Thales nCipher ACS/OCS cardsets.
- KB 2891347 – A hotfix is available that records more information in event ID 5125 for an OCSP response in Windows Server 2012 and Windows Server 2008 R2 SP1
- KB 283789 (MSKB Archive) – The Issuer Statement Specified in the Capolicy.inf File Is Not Included in the Issued Certificate. *Though indicated as Windows Server 2000, this article is applicable to all newer operating systems. The issue is relevant only for End Entity certs using certificate templates where the subject info is built from AD.
- KB 2800975 – “Http error 500.0 – internal server error” error message when generating NDES enrollment challenge password on a NDES server that is running Windows Server 2012.
Known Issues
- 2012 Could be subject to CRL processing causes high CPU usage, heavy network traffic, and service outage
Windows Server 2012 was not fixed to address the issue originally identified in Server 2008 R2 and fixed by KB 2831238 (MSKB Archive). The fix is already in Server 2012 R2, but was never ported to Server 2012. If you experience this issue, you will need to request Microsoft to develop a fix specific to Server 2012 RTM
Fix: If your environment experiences this issue with Server 2012, contact Microsoft for targeted fix. Reference existing Bug# 429063.
- Interactive Services Session 0 Isolation and HSM CSP/KSP
Beginning with Windows Server 2012, services running in a separate context than the user logged into the desktop are unable to interact. This is due to the Session 0 isolation built into the Kernel. This will prevent many Hardware Security Module CSP/KSPs from being able to interact with users. This will be prevalent when card sets are required to be used to authenticate prior to accessing CA keys. This is a known issue with the Thales nCipher security world – at least through S/W v 11.70. Thales is aware of the issue and is in the process of working on a fix. More information on Session 0 isolation is Interactive Services article.
Fix: Change HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows\NoInteractiveServices to value 0 and reboot.
Update: Thales has released Security World version 12.1 which has changed the driver model and is no longer affected by this registry key.
- You cannot enroll in an Online Certificate Status Protocol certificate (CERT_E_INVALID_POLICY)
Windows Server 2008 through 2012 R2 may be unable to enroll for a OCSP certificate. This is most often caused by a CA in the hierarchy that has specified specific OIDs but does not include the OCSP specific OID in its EKU (1.3.6.1.5.5.7.3.9). Refer to KB 2962991 for more information.
Fix: When specifying specific OIDs for CA EKUs, the OCSP OID must be included (1.3.6.1.5.5.7.3.9). No steps are needed when using the default “All Application Policies” configuration.
- Error when installing Certificate Authority with Powershell on a Computer or VM without a Network Adapter
This issue occurs when installing an offline, standalone Certificate Authority in a VM environment without a network adapter. In this configuration, using the PowershellInstall-ADCSCertificationAuthoritycommand will result in an error. If there is a network adapter present, unplugged or disabled, the error does not occur. The problem can occur in Windows 2008 or newer OS, however there are no native Powershell commands to perform the install prior to Server 2012. Custom scripts or Powershell cmdlets running on these older operating systems could experience the same error.
Fix: There are three options to workaround the error:- Configure the VM guest with a network adapter that is unconnected, or is disabled. Once the installation is completed, you can remove the network adapter from the VM guest.
- You can also specify the location for the CA database, even if it is a the default location by appending the argument
–DatabaseDirectory $(Join-Path $env:SystemRoot "System32\CertLog")to the Powershell command - Use the Server Manager GUI to perform the installation.
- Error when installing ADCS on computers with host names longer than 15 characters in length
An error condition can occur when computer names are 16 or more characters in length and the network adapter is not connected (such as an offline CA). While the OS will indicate that possible Netbios name resolutions can occur, it does not prevent the use of a long name. When installing the ADCS role in Server 2012/R2 the installation will complete successfully, the secondary step to configure the role will result in Server Manager crashing. At this point, ADCS can not be uninstalled and consequently the computer name can not be shortened to 15 or fewer characters.
Fix: The fix to this issue is to either use host names that are 15 or fewer characters. If you have already installed ADCS and have experience this issue, temporarily connect the network adapter to enable ADCS to be uninstalled and then change the computer name.
- Renewing a Root CA certificate and changing the Validity Period with CAPolicy.inf fails
When renewing a Root CA’s certificate, the validity period of the new certificate is equivalent to the validity period of the certificate being renewed (since Server 2008). If an alternate validity period is desired, theRenewalValidityPeriodandRenewalValidityPeriodUnitssettings can be placed in a capolicy.inf to reflect a different value for the new certificate. However, ADCS will only use this value if it is equal to, or longer than the value of the certificate being renewed. You can not configure ADCS to renew a Root CA certificate for a lifetime shorter than the previous certificate.
Fix: Usecertutil –signto sign and specify the desired lifetime of the certificate, add the modified cert to the CA’s computer personal store and associate it with the private key, modify the CA’s registry (CACertHash) and restart the CA.
- Windows Server sConfig Command Line tool allows Domain Membership and Computer Name changes even with an ADCS Certification Authority installed.
When ADCS server roles are installed, controls are placed on the server to prevent domain membership changes and hostname changes. To make changes to either of these, ADCS must first be installed. This behavior is experienced when making changes in the Control Panel\System applet. However, when using sConfig (Server Core 2008 R2, or any version of Windows Server 2012+), there are no controls to prevent these changes. Changing the domain membership or computer name can break the functionality of Enterprise CAs and can result in an unsupported configuration.
Fix: Remove ADCS role features prior to using sConfig to make changes to domain membership or computer host name. Alternatively, when using the GUI version of Windows Server, use the Control Panel\System applet.
- Assume that you install the Network Device Enrollment Service (NDES) role service on a server that is running Windows Server 2012. In this scenario, you receive the following error when trying to get the NDES enrollment challenge password:
Http error 500.0 – internal server error.
the page cannot be displayed because an internal server error has occurred.
Fix: A workaround for this issue is to change the order of the handlers for the Microsoft Simple Certificate Enrollment Protocol (MSCEP) applications in IIS so that theExtensionlessUrlHandler-ISAPI-4.0_64bithandler comes after the StaticFile handler.
- Bug 5298357 – Bad ASN.1 encoding of certificate issuance policy extensions
This is a known Microsoft bug and results in an extra character at the end of URLs in certificate issuance policy extensions. This generally does not cause a problem, but for environments subject to certificate assessments, CABForum compliance, WebTrust audits, or use tools like certlint, you may receive errors such as “ERROR: Control character found in String in CertificatePolicies”.
Fix: The bug affects the parsing of the CAPolicy.inf section for issuance policies, for example:
[GKPGEPolicy] OID=1.3.6.1.4.1.46531.1.1 URL=http://pki.gkpge.pl/pki/cps.htm
And
[Extensions]
2.5.29.32="{text}" ; szOID_CERT_POLICIES
_continue_ = "OID=1.3.6.1.4.1.46531.1.1&"
_continue_ = "URL=http://pki.gkpge.pl/pki/cps.htm"
The workaround is to specify the extension as hexadecimal. Remove the trailing 00 byte from an ASN.1 dump produced by certutil -v -asn on the incorrectly encoded certificate, then reduced the highlighted lengths by one to compensate.
[Extensions]
2.5.29.32="{hex}" ; szOID_CERT_POLICIES
_continue_ = " 30 3d" ; SEQUENCE (3e Bytes)
_continue_ = " 30 3b" ; SEQUENCE (3c Bytes)
_continue_ = " 06 0a" ; OBJECT_ID (a Bytes)
_continue_ = " 2b 06 01 04 01 82 eb 43 01 01"
; 1.3.6.1.4.1.46531.1.1
_continue_ = " 30 2d" ; SEQUENCE (2e Bytes)
_continue_ = " 30 2b" ; SEQUENCE (2c Bytes)
_continue_ = " 06 08" ; OBJECT_ID (8 Bytes)
_continue_ = " 2b 06 01 05 05 07 02 01"
; 1.3.6.1.5.5.7.2.1 CPS
_continue_ = " 16 1f" ; IA5_STRING (20 Bytes)
_continue_ = " 68 74 74 70 3a 2f 2f 70 6b 69 2e 67 6b 70 67 65" ; pki.gkpge
_continue_ = " 2e 70 6c 2f 70 6b 69 2f 63 70 73 2e 68 74 6d" ; .pl/pki/cps.htm
; "http://pki.gkpge.pl/pki/cps.htm"
[German]Various security updates for Windows Server 2008 R2 (in the 4th ESU year) and for Windows Server 2012/R2 (1st ESU year) were released on November 14, 2023 (the updates can also be installed under Windows 7 SP1). Here is an overview of these updates for Windows Server 2008 R2 and Windows Server 2012/R2 as well as Windows 7 SP1.
Remarks on the update installation
Please note the information on the installation sequence for Windows Server that Microsoft provides in the KB articles. Windows 7 and 8.1 will no longer be supported since January 2020 / January 2023, but Windows 7 systems can be provided with security updates. Please see my notes on Windows 7 ESU and BypassESU v12 in the blog post Microsoft Security Update Summary (February 14, 2023). Windows Server 2012/R2 will no longer be supported in October 2023 and will only receive updates with an ESU license.
Updates for Windows Server 2012 R2
A rollup update (for systems with an ESU license) have been released for Windows Server 2012 /R2. The update history for Windows 8.1 and Windows Server 2012 R2 can be found on this Microsoft page.
KB5032249 (Monthly Rollup) for Windows Server 2012 R2
Update KB5032249 (Monthly Rollup for Windows 8.1 and Windows Server 2012 R2) contains improvements and fixes, and eliminates various vulnerabilities that are not specified. However, the following fixes are listed:
This update includes daylight saving time (DST) changes for Syria. For more information, see Syria 2022 time zone update now available.
This update is automatically downloaded and installed by Windows Update in Windows Server 2012 R2, but is also available in the Microsoft Update Catalog and via WSUS. Details on fixes and any known problems in connection with the update are listed in the support article.
There is no security-only update for Windows Server 2012 R2.
Updates for Windows Server 2012
A rollup update for Windows Server 2012 and Windows Embedded 8 Standard has been released for systems with an ESU license. The update history for Windows 8.1 and Windows Server 2012 R2 can be found on this Microsoft page.
KB5032247 (Monthly Rollup) for Windows Server 2012
Update KB5031442 (Monthly Rollup for Windows Server 2012, Windows Embedded 8 Standard) contains improvements and fixes as well as security patches. This update is available in the Microsoft Update Catalog and via WSUS. For a manual installation, the latest Servicing Stack Update (SSU) must be installed beforehand – although this SSU can no longer be uninstalled. Problems in connection with the update are listed in the KB article.
There is no security-only update for Windows Server 2012.
Updates for Windows Server 2008 R2 (and Windows 7)
A rollup and a security-only update have been released for Windows Server 2008 R2 SP1 with ESU (should be able to be installed on 64-bit Windows 7 SP1 with tricks). However, these updates are only available for systems with an ESU license (1st, 2nd, 3rd and 4th year complete). The update history for Windows 7 can be found on this Microsoft page.
The update installation requires either a valid ESU license for 2023, or ESU Bypass v12 (see the comments above). In addition, security updates for Windows Embedded POSReady 7 until 2024 are provided, which can be installed under Windows 7. Furthermore, ACROS Security offers micropatches for protection until 2025 (see 0patch secures Microsoft Edge for Windows 7/Server 2008/2012/R2 until Jan. 2025).
KB5032252 (Monthly Rollup) for Windows 7/Windows Server 2008 R2
Update KB5032252 (Monthly Quality Rollup for Windows 7 SP1 and Windows Server 2008 R2 SP1) contains (in addition to the security fixes from the previous month) improvements and bug fixes. This update is automatically downloaded and installed via Windows Update. However, the package is also available via Microsoft Update Catalog and is distributed via WSUS. Details on the requirements and known issues can be found in the KB article.
KB5032250 (Security Only) for Windows 7/Windows Server 2008 R2
Update KB5032250 (Security-only update) is available for Windows 7 SP1 and Windows Server 2008 R2 SP1 with ESU license. The update addresses the same points as the updates for Windows Server 2012 R2. The update is available via WSUS or in the Microsoft Update Catalog. To install the update, the prerequisites listed in the KB article and above in the rollup update must be fulfilled. The update contains the known errors described in the KB article. Make sure to install the latest Servicing Stack Update beforehand.
Similar articles:
Microsoft Security Update Summary (November 14, 2023)
Patchday: Windows 10-Updates (November 14, 2023)
Patchday: Windows 11/Server 2022-Updates (November 14, 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (November 14, 2023)
Microsoft Office Updates (November 14, 2023)
Exchange Server security updates (November 14, 2023)
Windows: cURL 8.4.0 update coming on November 14, 2023 patch day
Время на прочтение8 мин
Количество просмотров106K
Windows Server 2012 R2 вышел 18 октября 2013 года. С тех пор на эту серверную операционную систему Microsoft выпущено несколько сотен обновлений исправляющих уязвимости и дефекты продукта, а так же улучшающие функционал.
Огромное количество обновлений — источник головной боли. Наиболее актуальный дистрибутив сервера, так называемый «Update2», в который интегрированы обновления по ноябрь 2014 года, безнадежно устарел. Установив с него операционную систему, вы получите вдогонку еще 200+ обновлений, которые будут устанавливаться 2-4 часа.
В этой короткой инструкции мы освежим ноябрьский дистрибутив, интегрировав в него все кумулятивные пакеты обновлений и обновления безопасности.
Помимо дистрибутива мы освежим и память администратора, вспомнив как обновляется носитель для установки, зачем выполняется каждый шаг, и какие нас может ожидать подвохи на разных этапах.
Делать будем по максимуму просто, используя штатные инструменты.
Все работы лучше проводить на сервере с уже развернутом Windows Server 2012 R2, чтобы не было накладок с версией утилиты DISM. Так же на нем удобно подключать ISO файлы, не распаковывая их.
Готовим рабочие директории
Для работы потребуются следующие каталоги:
ISO — в этот каталог копируются файлы дистрибутива. В скопируйте в него содержимое дистрибутива SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.ISO, предварительно смонтировав образ, а затем размонтировав.
MOUNT — пустой каталог, в него будут монтироваться образы из wim-файла.
CU — в этот каталог поместим кумулятивные обновления
SU — в этом каталоге будут находиться обновления безопасности и другие обновления
mkdir D:\WS2012R2\ISO
mkdir D:\WS2012R2\MOUNT
mkdir D:\WS2012R2\CU
mkdir D:\WS2012R2\SUСкачиваем кумулятивные обновления
Tip & Trick #1. Microsoft выпускает для Windows Server 2012 R2 кумулятивные пакеты обновлений, но в них входят только обновления, исправляющие ошибки и улучшающие функционал. Обновления безопасности не включены. При этом обновления и не особо кумулятивны. Некоторые не включают в себя предыдущие обновления, и надо ставить «кумулятивное» за каждый месяц. Бардак. В октябре эта ситуация изменится к лучшему.
Со списком кумулятивных обновлений вы можете ознакомиться на этой wiki странице.
С ноября 2014 года нам потребуется интегрировать следующие обновления:
1. December 2014 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3013769, cкачать.
2. July 2016 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3172614, скачать.
Пакеты за май и июнь поглощены этим июльским пакетом. Но перед установкой обязательно обновление April 2015 servicing stack update for Windows 8.1 and Windows Server 2012 R2. KB3021910, скачать.
3. August 2016 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3179574, скачать.
Обновленный клиент центра обновления можно не интегрировать
Свежий Windows Update Client for Windows 8.1 and Windows Server 2012 R2: June 2016 вошел в KB3161606
KB3161606 поглощен KB3172614.
UPD: Я несколько преувеличил то, насколько Microsoft качественно подготовила дистрибутив. Обновления April 2014 и November 2014 действительно интегрированы. А все промежуточные — нет. Поэтому добавляем
May 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2955164, скачать
June 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2962409, скачать.
July 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2967917, скачать.
August 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2975719, скачать.
September 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2984006, скачать.
October 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2995388, скачать.
Tip & Trick #2. В разных статьях для интеграции обновлений предлагается извлечь из msu cab-файл. Делать это для offline-образа необязательно — интегрируйте msu без распаковки.
В папку CU разместите упомянутые выше msu файлы — Windows8.1-KB3013769-x64.msu, Windows8.1-KB3021910-x64.msu, Windows8.1-KB3138615-x64.msu, Windows8.1-KB3172614-x64.msu, Windows8.1-KB3179574-x64.msu.
Скачиваем обновления безопасности
Помимо кумулятивных обновлений интегрируем обновления, которые способна скачать утилита WSUS Offline Update.
Для этого:
- Скачиваем программу download.wsusoffline.net
- Выбираем обновления для Windows Server 2012 R2
- После скачивания открываем каталог wsusoffline\client\w63-x64\glb и *.cab файлы копируем в каталог C:\WS2012R2\SU
ОСТОРОЖНО: Если в список попали KB2966828 или KB2966827, удалите их, иначе после установки не получится добавить компонент Net Framework 3.5 (подробности).
Обновления готовы, приступим к интеграции.
Интеграция обновлений
Для интеграции обновлений нам потребуется:
- Смонтировать содержимое одного из образов в install.wim
dism /mount-wim /wimfile:{путь к wim файлу} /Index:{N} /mountdir:{путь к директории монтирования} - Интегрировать в offline установку каждое обновление
dism /image:{путь к директории монтирования} /add-package /packagepath:{путь к *.msu или *.cab файлу} - Сохранить изменения
dism /Unmount-WIM /MountDir:{путь к директории монтирования} /Commit
Этот процесс легко следующим автоматизировать командным файлом:
for /l %%N in (1,1,4) do (
dism /mount-wim /wimfile:"D:\WS2012R2\ISO\sources\install.wim" /Index:%%N /mountdir:D:\WS2012R2\MOUNT
for %%f in (D:\WS2012R2\CU\*.*) DO (dism /image:D:\WS2012R2\MOUNT /add-package /packagepath:%%f)
for %%f in (D:\WS2012R2\SU\*.*) DO (dism /image:D:\WS2012R2\MOUNT /add-package /packagepath:%%f)
dism /unmount-WIM /MountDir:D:\WS2012R2\MOUNT /Commit
)
Tip: Запуская командный файл, перенаправьте вывод в журнал
UpdateWIM.cmd >>log.txt 2>>&1
В результате мы получим файл D:\WS2012R2\ISO\sources\install.wim размером в 6.15Gb. Можем ли мы его уменьшить? Да, с помощью экспорта можно получить оптимизированный файл размером в 5.85Gb.
Экономия небольшая, кроме того после этого не очень красиво выглядит диалог выбора операционной системы при установке, поэтому следующий шаг опционален.
Что надо сделать?
Для получения сжатого образа необходимо:
- Экспортировать первый образ из оригинального wim-файла в новый файл
dism /export-image /sourceimagefile:{путь к исходному файлу wim} /sourceindex:1 /destinationimagefile:{путь к новому файлу wim} /compress:max - Подключить следующий образ из оригинального wim-файла в точку монтирования
dism /mount-wim /wimfile:"D:\WS2012R2\ISO\sources\install.wim" /Index:2 /mountdir:{директория для монтированния образа} - Добавить в новый файл следующий образ методом «захвата»
dism /append-image /imagefile:{путь к новому файлу wim} /captureDir:{директория с смонтированным образом} /name:{оригинальное имя} /description:{оригинальное описание} - Размонтировать образ, повторить итерацию добавления для каждого дополнительного образа
dism /unmount-WIM /MountDir:{директория с смонтированным образом} /Discard
Автоматизируем скриптом:
dism /export-image /sourceimagefile:D:\WS2012R2\ISO\sources\install.wim /sourceindex:1 /destinationimagefile:D:\WS2012R2\ISO\sources\install1.wim /compress:max
dism /mount-wim /wimfile:"D:\WS2012R2\ISO\sources\install.wim" /Index:2 /mountdir:D:\WS2012R2\MOUNT
dism /append-image /imagefile:D:\WS2012R2\ISO\sources\install1.wim /captureDir:mount /name:"Windows Server 2012 R2 SERVERSTANDARD" /description:"Windows Server 2012 R2 SERVERSTANDARD"
dism /unmount-WIM /MountDir:D:\WS2012R2\MOUNT /discard
dism /mount-wim /wimfile:"D:\WS2012R2\ISO\sources\install.wim" /Index:3 /mountdir:D:\WS2012R2\MOUNT
dism /append-image /imagefile:D:\WS2012R2\ISO\sources\install1.wim /captureDir:mount /name:"Windows Server 2012 R2 SERVERDATACENTERCORE" /description:"Windows Server 2012 R2 SERVERDATACENTERCORE"
dism /unmount-WIM /MountDir:D:\WS2012R2\MOUNT /discard
dism /mount-wim /wimfile:"D:\WS2012R2\ISO\sources\install.wim" /Index:4 /mountdir:D:\WS2012R2\MOUNT
dism /append-image /imagefile:D:\WS2012R2\ISO\sources\install1.wim /captureDir:mount /name:"Windows Server 2012 R2 SERVERDATACENTER" /description:"Windows Server 2012 R2 SERVERDATACENTER"
dism /unmount-WIM /MountDir:D:\WS2012R2\MOUNT /discard
Удалите оригинальный install.wim, а сформированный install1.wim переименуйте в install.wim
Создание компактного образа install.esd
По совету D1abloRUS, если вы хотите получить инсталляционный диск минимального размера умещающийся на DVD5, можно экспортировать один (и только один) из образов в esd файл. Например, для экспорта Windows Server 2012 R2 Standard, используйте команду
dism /export-image /sourceimagefile:D:\WS2012R2\ISO\sources\install.wim /sourceindex:2 /destinationimagefile:D:\WS2012R2\ISO\sources\install.esd /compress:recovery
Оригинальный install.wim можно удалить.
Сборка ISO-файла
Для сборки нам потребуется утилита oscdimg.exe из комплекта Windows ADK. Если у вас ее не оказалось, можно просто скачать утилиту по ссылке (не используйте из этого комплекта ничего, кроме самой утилиты).
Tip & Trick #3. Для того, чтобы не было проблем с загрузкой из образа, следует расположить загрузочные файлы в пределах первых 4 гигабайт образа. Для этого используем файл bootorder.txt
boot\bcd
boot\boot.sdi
boot\bootfix.bin
boot\bootsect.exe
boot\etfsboot.com
boot\memtest.exe
boot\en-us\bootsect.exe.mui
boot\fonts\chs_boot.ttf
boot\fonts\cht_boot.ttf
boot\fonts\jpn_boot.ttf
boot\fonts\kor_boot.ttf
boot\fonts\wgl4_boot.ttf
sources\boot.wim
Пути в этом файле указываются относительно корневой директории с образом, поэтому подстраивать пути на ваши фактические не требуется.
Tip & Trick #4. Если install.wim имеет размер больше 4700Mb, то инсталлятор вылетит с ошибкой «Windows cannot open the required file D:\sources\install.wim. Error code: 0x8007000D».
Нас учили что жизнь — это бой, поэтому разделим исходный install.wim на два командой
dism /split-Image /imagefile:D:\WS2012R2\ISO\sources\install.wim /swmfile:D:\WS2012R2\ISO\sources\install.swm /filesize:4096
Оригинальный файл install.wim можно удалить.
Tip & Trick #5. Вообще Microsoft говорит, что
пить
так делать нельзя.
In Windows 8.1 and Windows 8, Windows Setup does not support installing a split .wim file.
Мы говорим, что будем! Инсталлятор прекрасно подхватывает swm-файл. Проблем с установкой не будет.
Собираем образ командой:
oscdimg -m -n -yoD:\WS2012R2\bootorder.txt -bD:\WS2012R2\ISO\BOOT\etfsboot.com -lIR5_SSS_X64FREV_EN-US_DV9 D:\WS2012R2\ISO en_windows_server_2012R2_August_2016.iso
Уважаемый ildarz подсказывает, что для создания образа, одинаково хорошо работающего с BIOS и EFI, следует руководствоваться KB947024 и создавать образ так:
oscdimg -m -u2 -udfver102 -yoD:\WS2012R2\bootorder.txt -bootdata:2#p0,e,bD:\WS2012R2\ISO\BOOT\Etfsboot.com#pEF,e,bD:\WS2012R2\ISO\EFI\microsoft\BOOT\efisys.bin -lIR5_SSS_X64FREV_EN-US_DV9 D:\WS2012R2\ISO en_windows_server_2012R2_August_2016.iso
Работоспособность проверена в ESXi с любым типом загрузки (BIOS/EFI).
Все получилось? Поздравляю!
Но решена ли проблема полностью? Для идеала необходимо интегрировать еще сотню «опциональных» и «рекомендованных» обновлений, но с этим не будем торопиться. Дадим Microsoft шанс самим разобраться в том бардаке, который они устроили с обновлениями.
PS. Зачем мы все это делали? Для того, чтобы освежить память, сделать работу чуть удобнее и получить несколько простых командных файлов, при помощи которых в дальнейшем можно практически автоматизированно интегрировать обновления в серверный дистрибутив, экономя время ввода сервера в эксплуатацию. Тем более есть надежда, что начиная с октября интегрировать обновления станет гораздо проще.
Точно так же вы сможете интегрировать Windows 7 convenience rollup и не наступить на грабли распаковки обновлений, невозможности загрузки из образа, превышения размера install.wim.
Спасибо за внимание и до новых встреч, друзья.
Если есть возможность поделиться опытом — жду вас в комментариях.