Amazon EC2 針對 Windows Server 2012/R2 終止支援的指引
Windows Server 2012 終止支援說明
本文章將提供您 Amazon Elastic Compute Cloud (Amazon EC2) 針對 Windows Server 2012 及 Windows Server 2012 R2 (Windows Server 2012/R2) 終止支援 (End of Support, EOS) 的指引,協助提供您 Amazon EC2 Windows Server 2012/R2 該如何進行升級、說明升級的方法並且比較其方法的優缺點,並且 AWS 提供新功能會檢查 Microsoft Windows Server 工作負載,列出已終止或支援即將終止的 Microsoft Windows Server 執行個體;額外也整合Windows Server 常見的商用軟體的遷移建議,協助您了解 Windows Server 2012/R2 EOS,讓您選擇及規劃後續的對應計畫。
Amazon EC2 允許客戶在快速可靠的環境中部署 Microsoft Windows Server 2012/R2,以運行任何兼容的基於 Windows 的解決方案。Microsoft 即將結束對 Windows Server 2012/R2 的支援,Windows Server 2012 和 Windows Server 2012 R2 將於 2023 年 10 月 10 日結束。在此日期之後,這些產品將不再收到安全更新、非安全更新、錯誤修復、技術支援 ,或在線技術內容更新。
對現有 Amazon EC2 執行個體沒有直接的影響,客戶可以繼續啟動、執行和停止執行個體,對於作業系統上的服務也沒有直接的影響,客戶還是可以繼續使用遠端桌面連線 (RDP) 和作業系統上的服務,但是 Microsoft 不會為 Windows Server 2012/R2 EOS 產品提供修補程式。
對現有由客戶註冊的自訂 Windows Server 2012/R2 AMI 沒有直接的影響,但 AWS 不會繼續提供在 AWS 管理主控台、快速入門或 AWS Marketplace 發佈或分發包含 Windows Server 2012/R2 作業系統的 AWS Windows AMI。基於AWS官方Windows AMI所建立自訂AMI的客戶,應該考慮多種選項,包括在 AWS 帳戶中以新版作業系統建立自訂 AMI 以啟動新的應用程式。要進一步了解自訂 AMI 建立,請參閱這裡。
您可能也聽過 延伸安全性更新 (ESU),延伸安全性更新是微軟針對已終止支援服務的延伸保固合約,然而 ESU 只能延續支持 EOS 產品 3 年,且僅包含 SQL Server「嚴重」等級的安全更新和佈告欄,和 Windows Server「嚴重」和「重要」等級的項目;因此其他 ESU 未包含的安全性更新,仍會使您的環境繼續暴露於潛在風險中,客戶卻需付出受影響產品年度授權成本的 75%的額外費用來取得 ESU。此外,客戶只能在 Enterprise Agreement (EA)、Enterprise Subscription Agreement (EAS)、Server & Cloud Enrollment (SCE)、Enrollment for Education Solutions (EES) 等合約上,加買軟體保證(Software Assurance, SA) 才能取得 ESU。
在 AWS EC2 平台使用已包含授權的執行個體可讓您存取完全合規的 Microsoft 軟體授權,這些授權中已綁定 Amazon EC2 或 Amazon RDS 執行個體,但包含授權的執行個體並不包含延伸安全性更新 (ESU) ,所以在客戶沒有購買延伸安全性更新 (ESU) 的前提下,AWS EC2 平台上運行的 Windows Server 2012 與 Windows Server 2012 R2 將在 2023 年 10 月 10 日之後 Microsoft 將不再提供修補程式或安全性更新。
AWS Trusted Advisor 在 Amazon EC2 上新增對 Microsoft Windows Server 支援終止的檢查功能
AWS Trusted Advisor 現在支援為 Amazon EC2 上的 Microsoft Windows Server 終止支援 (EOS) 推薦選項。此檢查功能會檢查 Microsoft Windows Server 工作負載,並自動列出支援已終止或支援即將終止的 Microsoft Windows Server 執行個體。例如,Microsoft Windows Server 2012/R2 延長支援將於 2023 年 10 月 10 日終止,則 Trusted Advisor 管理主控台會標記支援將在 18 個月內終止的執行個體,以幫助客戶進一步調查。借助檢查建議,您可以根據最佳實踐在 AWS 上找到靈活的遷移、現代化改造和升級選項。
新增的檢查功能“Microsoft Windows Server 支援終止的 Amazon EC2 執行個體”已在 AWS Business Support 和 AWS Enterprise Support 計劃中提供。客戶可以在 AWS Trusted Advisor 管理主控台中查看此檢查,也可以通過 AWS Support API 訪問。要了解有關使用 Amazon CloudWatch 設置警示的詳情,請參閱使用 CloudWatch 建立 Trusted Advisor 警示。如需更多資訊,請訪問 AWS Trusted Advisor 網頁並查閱參考文檔。
Amazon EC2 Windows Server 2012 升級的方法 (In-Place & Migrate)
根據您所使用的作業系統和採取的方式,升級至新版 Windows Server 的程序可能有極大的差異。 我們使用下列詞彙來區別不同的動作。
- 升級 - 也稱為「就地升級」。 在相同的 EC2 執行個體上進行升級的操作,舊版作業系統將被取代,由新版作業系統繼續在相同的 EC2 執行個體上運行。
- 遷移 - 使用包含較新版本的 Windows AMI 來建立新的 EC2 執行個體,重新安裝相應的服務或軟體,再將資料進行搬遷的操作,最後淘汰或刪除包含舊版作業系統的 EC2 執行個體。
升級
您可以一次升級至較新版本的 Windows Server,但限制最多上下兩版才能有良好相容性。 例如 Windows Server 2012 R2 可以升級至 Windows Server 2016 或 Windows Server 2019,但直接升級至 Windows Server 2022可能會出現錯誤。
來源/目標 | Windows Server 2008 R2 | Windows Server 2012 | Windows Server 2012 R2 | Windows Server 2016 | Windows Server 2019 | Windows Server 2022 |
Windows Server 2008 | Yes | Yes | - | - | - | - |
Windows Server 2008 R2 | - | Yes | Yes | - | - | - |
Windows Server 2012 | - | - | Yes | Yes | - | - |
Windows Server 2012 R2 | - | - | - | Yes | Yes | - |
Windows Server 2016 | - | - | - | - | Yes | Yes |
Windows Server 2019 | - | - | - | - | - | Yes |
請注意不論採用哪一種的升級方式都有其風險,升級之前務必做好備份,在 EC2 平台上建議手動建立 AMI 做備份 ,如果升級過程中發生意外,可以從備份的 AMI 來還原 EC2 執行個體。
在升級前請評估以下事項:
1. 升級過程中 EC2 執行個體需要花費 40 分鐘到數個小時進行升級作業,這段時間將無法使用遠端桌面 (RDP) 服務, EC2 執行個體上的服務也將無法正常執行,所以請評估是否可以接受服務離線的時間。
2. 升級可能發生失敗或是無法正常進入作業系統,建議將預計升級的 EC2 執行個體,使用 AMI 備份並還原到封閉的 VPC 網路環境下進行升級的演練,通過演練可以具體評估升級花費的時間與對於作業系統和服務的影響,如果演練過程發生失敗或異常,也可以提前做問題的調查與排除。
3. 針對既有服務或是大型商用軟體進行審慎的評估,通常大型商用軟體會要求只能支援在特定作業系統上運行,例如 SQL Server 2008 R2 最高只支援運行在 Windows Server 2012 R2 上,一旦將作業系統升級到 Windows Server 2016 或更新的版本,這可能會造成 SQL Server 2008 R2 無法正常運行。
4. 預計升級的 EC2 執行個體建議至少要有 2 vCPUs 和 4GB 記憶體,並且在C磁碟也至少要有 10GB 的可用磁碟空間以利於升級的運行,如果硬體條件不符合您可以更換到較大類型的 EC2 執行個體,或是擴展 EBS 磁碟的大小 ,不論是更換 EC2 類型或擴展 EBS 磁碟,建議操作前也務必建立 AMI 做備份。
5. (選用)建議升級之前將已經安裝的防毒軟體或是資安防護服務給進行停用,或是解除安裝相關軟體,這類的軟體可能造成升級過程異常或失敗,可以在確認已經升級成功後立即重新安裝回來。
在 EC2 平台上可以使用兩種的升級方式:
* 手動使用新版 Windows 作業系統安裝檔案來進行升級,升級前必須手動安裝 EC2Launch 和 AWS Systems Manager SSM Agent 後續再進行升級,建議觀看影片來了解整個升級過程的步驟,當中使用到的安裝檔案和指令可以參考這個文件說明。
* 使用 AWS Systems Manager Automation 自動化升級,這個方式可以讓手動進行的升級操作轉變成自動化程序,通過腳本的定義將作業系統升級到較新的版本,請注意這個方式不能支援在 Windows 網域控制器 (domain controller), 叢集 (cluster) 和有安裝以下伺服器角色的作業系統上。
* Remote Desktop Session Host (RDSH)
* Remote Desktop Connection Broker (RDCB)
* Remote Desktop Virtualization Host (RDVH)
* Remote Desktop Web Access (RDWA)
升級過程的監控與問題排除:
1. 升級過程將無法使用遠端桌面 (RDP) 服務來確認升級的過程,您會觀察到 EC2 執行個體的健康檢查狀態發生 1 of 2 失敗的問題,這是可以預期的現象,所以建議可以通過螢幕截圖來確認目前升級的進度。
2. 升級如果失敗退回到舊版作業系統,不論是手動或自動化升級,都可以參考 Windows 安裝日誌或事件記錄來確認升級失敗的原因。
3. 在升級過程中,請勿通過 EC2 控制台或 API 來關機或重新啟動 EC2 執行個體,這可能造成升級失敗甚至無法正常進入作業系統。
遷移
遷移是一個比較安全並且風險相對較小的做法,但所使用的時間或是成本也會比較高,因為新舊版本的作業系統是屬於兩台不同的 EC2 執行個體,所以會有比較寬裕的時間進行資料的備份再匯入到新的作業系統上,由於服務或是大型商用軟體也是採用全新安裝與設定,也可以在過程中進行新版軟體的部署,並且檢視與新版作業系統的相容性,不過在遷移過程中會依據作業時間的不同,會需要支付兩台 EC2 執行個體的費用。
如果在 EC2 執行個體上使用 Windows 網域控制器 (Domain Controller), 叢集 (Cluster) 和有安裝以下伺服器角色的作業系統,我們建議使用遷移的方式而非升級的作法,下面章節將細部說明對於 Windows Server 常見的商用軟體的遷移建議。
* Remote Desktop Session Host (RDSH)
* Remote Desktop Connection Broker (RDCB)
* Remote Desktop Virtualization Host (RDVH)
* Remote Desktop Web Access (RDWA)
Amazon EC2 Windows Server 2012 升級 In-Place & Migrate 的優缺點
上個章節介紹您有兩種方法可以汰換Amazon EC2上執行Windows Server 2012/R2版本,分別為“升級”和“遷移”,而Microsoft 傳統上建議客戶使用“遷移”方法將Windows更新到較新的版本,而非使用升級。本章節將提供給您關於Amazon EC2 Windows Server 2012/R2使用“升級”和“遷移”的優缺點,協助您選擇及規劃適合的汰換計畫。
就地升級會將Windows Server作業系統檔案升級,通常保留您的個人設定及檔案不變,而不需要抹除並重新安裝作業系統,從Windows Server 2012/R2作業系統更新至較新的作業系統、保留您的設定、伺服器角色和功能,以及資料保持不變。不過,Windows Server 2012/R2作業系統並非有新版作業系統的路徑,某些角色或功能不支援此動作,或需要您採取額外的步驟。 所以使用升級的速度較快,但若軟體不相容可能會導致升級過程中或是升級後產生錯誤,因此也提高升級失敗的風險。
遷移會涉及擷取設定、組態和資料,並將這些移植到全新 Amazon EC2 執行個體上的新版作業系統 (例如:Windows Server 2019 on Amazon EC2)。此方法等同於遷移 Windows Server 2012/R2 的角色或功能,從執行 Windows Server 2012/R2 的EC2移至另一部執行新版作業系統的Windows Server on EC2。使用遷移方法可能會減少升級錯誤或問題,但相較於就地升級可能需要更長的時間,因為需要佈建(或是手動佈建)新的執行個體、計劃、移植和重新配置應用程式,以及調整新執行個體上的組態設定,且在遷移中或遷移後可能會丟失系統或是應用程式層級的歷史數據。
方法 | 優點 | 缺點 |
就地升級 |
|
|
遷移 |
|
|
Windows Server 常見的商用軟體的遷移建議
在 EC2 執行個體上使用 Windows 網域控制器 (Domain Controller), 叢集 (Cluster) 的作業系統,我們建議使用遷移的方式而非就地升級的作法,以下提供 Microsoft 常見的商用軟體Active Directory、IIS (Internet Information Services)、SQL Server和Exchange Server遷移說明;若您還有使用其他的 Windows Server 角色或商用軟體 (例如:SharePoint),可以參考文件或與您的廠商聯繫討論適合的升級計畫。
Active Directory
Active Directory (AD) 通常由一台到多台的網域控制器 (Domain Controller) 所組合而成的分散式服務架構,並且在網域控制器之間會互相同步網域的資料,所以在 AD 的環境上,建議可以採用添加新的網域控制器的作法,當新的網域控制器已經完成資料的同步後,就可以將舊的網域控制器進行降級 (Demotion) 並退出網域後就可以進行淘汰,相關的步驟請參考文件。
IIS (Internet Information Services)
IIS 服務內建在 Windows Server 內,所以 IIS 8 和 IIS 8.5 on Windows Server 2012/R2 也同在 2023 年 10 月 10 日結束延伸支援,進入到終止支援 (EOS) 的階段。由於 IIS 無法單獨進行升級,所以想要升級到 IIS 10 也就必須要遷移到新版作業系統的方式,IIS 遷移可以通過 Microsoft 釋出的 IIS Easy Migration Tool (IEMT) 工具,或是使用 Web Deployment Tool 來同步不同 IIS 之間的網站。
SQL Server
SQL Server 是個別安裝到 Windows Server 上,所以在一個 Windows Server 版本上可以支援多個 SQL Server 的版本,例如 Windows Server 2012 R2 作業系統可以支援 SQL Server 2008 到 2017 的版本,在升級評估上可以區分幾個項目:
1. SQL Server是單機作業還是有Always On可用性群組 (Always On Availability Group)。
2. SQL Server 版本是否已經面臨 EOS , 當前 SQL Server EOS 版本為 SQL Server 2012,SQL Server EOS 時間表可以參考。
3. Windows Server 版本是否已經面臨 EOS。
4. 允許 SQL Server 服務離線的時間。
方案一:
建立新版本的 Windows Server 作業系統與 SQL Server 執行個體,並採用完整檔案備份再還原的方式。
方案二:
使用 AWS Database Migration Service (DMS) 將資料庫遷移到 Amazon RDS for SQL Server。
方案三:
在 Always On Availability Group (AG) 的架構下,採用滾動升級(圖一)的方式,將節點Windows Server 版本輪流升級。(使用此方案須確認您的網路品質,若網路品質不佳發生斷線情況,則可能會發生資料重新同步複寫而導致延長升級時間)
方案四:
如果是單機作業的環境也可以考慮先部署 Always On Availability Group (AG) 的架構,並且同樣採用滾動升級(圖一)的方式,將節點 Windows Server 版本輪流升級。(使用此方案須確認您的網路品質,若網路品質不佳發生斷線情況,則可能會發生資料重新同步複寫而導致延長升級時間)
(圖一) 滾動升級
本段落僅討論 SQL Server 遷移的可行方案,因應不同客戶的環境架構也有不同的注意事項與遷移方式,若您有不同的架構或遷移問題,請與您的廠商討論適合的升級計畫。
Exchange Server
Exchange Server 在遷移的規劃上需要評估的事項如下:
1. 每一個 Exchange Server 版本所支援的作業系統、Active Directory 的作業系統與 AD Forest Functional Level、使用的瀏覽器版本與 Outlook 版本,在遷移之前必須先確保其他環境的搭配,避免 Exchange Server 遷移失敗或造成用戶端訪問的問題,詳細支援內容請參考文件。
2. 在不同的 Exchange Server 版本會有不同 Exchange Server 角色,例如在 Exchange Server 2013 上的 Client Access Server ( CAS ) 角色,在 Exchange Server 2016 上已經整併到 Mailbox Server 角色內,所以在遷移之前必須確認 Exchange Server 角色的處理方式,不同的 Exchange Server 角色說明請參考文件。
3. 遷移的過程中可能會有 Exchange Server 版本混合的場景,所以請參考文件來確保滿足先決條件。
由於 Exchange Server 限制資料庫可用性群組 (DAG) 的每個成員都必須執行相同的作業系統,在升級作業系統的需求下,是無法將新版作業系統加入到現有的 DAG 內,所以必須使用新版作業系統建立新的一組 DAG ,然後將信箱 (Mailbox) 遷移到新的 DAG 上,最後將舊的 DAG 內的伺服器給淘汰。本段落僅討論信箱 (Mailbox) 遷移到新的 DAG,因應不同客戶的環境架構也有不同的注意事項與遷移方式,若您有使用其他 Exchange Server 的角色請與您的廠商討論適合的升級計畫。
Sharon Chien(錢佳萱), Solutions Architect, AWS
Sharon Chien 目前任職於 AWS Taiwan,擔任其解決方案架構師,擁有豐富的雲端平台經驗,協助顧客遷移和導入 AWS 雲端平台,客戶領域涉及製造業、零售、媒體、政府、醫療及企業 IT 的雲端規劃、遷移和大數據分析等經驗。致力於學習、分享並且了解顧客需求建立 AWS 雲端架構,持續協助企業數位轉型與創新。
Sharon Chien is a Solutions Architect at AWS Taiwan, with experience in cloud platform. She assists customer in migrating to and adopting AWS cloud platform, with customer from various industries including manufacturing, retail, media, government, healthcare, and enterprise IT, providing cloud planning, migration, and big data analysis solutions. She is committed to learning, sharing, and understanding customer needs to establish AWS cloud architecture and continuously helps businesses with digital transformation and innovation.
George Chang, Cloud Support Engineer, AWS
George 是一位專注於 Windows 工作負載的 AWS 雲端技術支援工程師,擁有豐富的雲端平台支援經驗。George 熱衷於幫助企業優化其雲端運營以及解決問題,是一位優秀的疑難排解者。他善於溝通和協作,與客戶密切合作,快速識別和解決問題。
George is a skilled AWS Cloud Support Engineer with a focus on Windows workloads. He has extensive experience in cloud platform support. George is passionate about helping businesses optimize their cloud operations and problem resolving, is a master troubleshooter. He is a strong communicator and collaborator, working closely with customer to quickly identify and address issues.