Aplicar ESU do Windows Server 2012 R2 em VMs Hyper‑V: onde licenciar e como ativar

Precisa manter VMs do Windows Server 2012 R2 com patches após o fim do suporte? Veja como aplicar o ESU corretamente em ambiente Hyper‑V, onde licenciar (host x VM) e o passo a passo para ativar e validar as atualizações.

Visão geral e resposta direta

Em cenários com hosts Hyper‑V no Windows Server 2019 executando VMs com Windows Server 2012 R2, a licença Extended Security Updates (ESU) deve ser aplicada dentro de cada VM 2012 R2. O ESU é específico da versão/instância do sistema convidado e não é instalado no host 2019. Após cumprir os pré‑requisitos na VM, você ativa a chave ESU e, então, a VM passa a receber os patches de segurança estendidos via Windows Update/WSUS/MECM.

Contexto do ambiente

• Hosts: quatro hosts Hyper‑V com Windows Server 2019.
• Convidados: cinco VMs rodando Windows Server 2012 R2 (Standard/Datacenter).
• Objetivo: continuar recebendo atualizações de segurança críticas para as VMs 2012 R2 por meio do programa ESU.

O que é o ESU do Windows Server 2012 R2

O ESU é um complemento de licenciamento que fornece atualizações de segurança críticas e importantes após o fim do suporte da versão. Ele não adiciona novas funcionalidades, não inclui suporte técnico padrão e não altera a necessidade de manter o sistema com Servicing Stack Updates (SSU) e pré‑requisitos apropriados. Pense nele como um “passe de atualizações de segurança” com validade por períodos anuais (Ano 1, Ano 2, Ano 3), adquiridos separadamente.

Onde instalar e como ativar o ESU em ambiente Hyper‑V

O destino da chave ESU é a VM que executa o Windows Server 2012 R2, pois o direito está atrelado à instância do sistema operacional convidado, não ao host de virtualização. Isso vale independentemente de o host estar no Windows Server 2016/2019/2022.

Resumo da solução aplicada

Etapa	Ação	Observações
Alvo da licença	Instalar a chave ESU em cada VM Windows Server 2012 R2	O ESU é exclusivo para a versão/instância 2012 R2; não se aplica ao host 2019.
Pré‑requisitos na VM	1. SSU KB5029368 (08 ago 2023) ou mais recente. 2. ESU Licensing Preparation Package KB5017220 (10 ago 2022).	Ambos disponíveis no Catálogo do Windows Update.
Ativação da chave	1. slmgr /ipk <suachaveESU> 2. slmgr /dlv → anote o Activation ID do ESU. 3. slmgr /ato <Activation ID>	Executar em Prompt de Comando como administrador.
Pós‑ativação	Reinicie a VM ou execute o Windows Update manualmente	A VM passa a receber patches estendidos.

Pré‑requisitos obrigatórios dentro da VM

Antes de aplicar a chave ESU, garanta que cada VM 2012 R2 atenda aos itens abaixo:

1. Servicing Stack Update (SSU) KB5029368 (ou mais recente).
2. Pacote de Preparação para Licenciamento ESU KB5017220.

Como verificar se os KBs estão presentes (execute dentro da VM):

powershell Get-HotFix -Id KB5029368,KB5017220

wmic qfe | find "5029368"
wmic qfe | find "5017220"

DISM /Online /Get-Packages | findstr /i "5017220 5029368" 

Se algum pré‑requisito estiver ausente, instale‑o antes de tentar a ativação do ESU. Sem esses componentes, as atualizações ESU não serão aplicadas (erro “Update is not applicable”).

Passo a passo de ativação da chave ESU

As chaves ESU são, em geral, chaves MAK específicas por Ano (Y1, Y2, Y3). Ative em cada VM 2012 R2:

1. Abra um Prompt de Comando (Admin) dentro da VM.
2. Instale a chave ESU: slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
3. Descubra o Activation ID do componente ESU: slmgr /dlv Procure pela seção do “ESU” e anote o Activation ID exibido.
4. Ative o ESU usando o Activation ID (com internet habilitada): slmgr /ato <ActivationID> Dica: se a comunicação online for restrita, utilize a ativação telefônica a partir do assistente de ativação (slui.exe) ou gere o ID de instalação via slmgr /dti e conclua por telefone.
5. Confirme o sucesso: slmgr /dlv Verifique o status “Licensed”/“Activated” para o ESU.
6. Reinicie a VM (recomendado) e execute o Windows Update ou seu mecanismo de distribuição de patches.

Validação pós‑ativação

• Windows Update: procure por atualizações de segurança recentes aplicáveis ao 2012 R2 e instale‑as.
• WSUS/MECM: sincronize e aprove as atualizações mensais. As atualizações ESU são classificadas como de segurança para o produto “Windows Server 2012 R2”; apenas máquinas com o ESU ativado conseguem instalá‑las.
• Logs: em 2012 R2, revise C:\Windows\WindowsUpdate.log.
• Lista de hotfixes: confirme que novos KBs de segurança pós‑fim‑de‑suporte estão instalados: powershell Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10

Licenciamento por núcleo x por VM

Há dois modelos comuns para ambientes virtualizados:

Modelo	Como funciona	Quando faz sentido	Pontos de atenção
ESU por núcleo do host	Licencia todos os núcleos físicos de cada host 2019 com Software Assurance ativo e adquire o ESU correspondente por núcleo. As VMs 2012 R2 no host coberto ficam elegíveis.	Hosts com SA, alta densidade de VMs 2012 R2 e mobilidade frequente entre hosts.	Requer SA válida e cobertura de todos os núcleos; atenção a overcommit e a movimentações entre hosts fora de cobertura.
ESU por VM (add‑on)	Adquire um ESU add‑on para cada VM 2012 R2, sem depender do licenciamento do host.	Ambientes menores, sem SA, ou com poucas VMs legadas.	Controle individual por VM; rastreamento rigoroso para compliance e renovações anuais.

Boas práticas: mantenha um inventário atualizado de VMs 2012 R2 com coluna para Edição (Standard/Datacenter), Datacenter/Local, Responsável, Chave ESU, Ano (Y1/Y2/Y3), Status de Ativação, e Último Patch aplicado.

Automatizando a ativação em várias VMs

Para múltiplas VMs, padronize com PowerShell Remoting (WinRM). O exemplo abaixo aplica a chave, coleta o Activation ID do ESU e ativa — tudo remotamente. Aviso: Windows Server 2012 R2 não suporta PowerShell Direct (-VMName), então habilite remoting via rede (Enable-PSRemoting) e use credenciais adequadas.

# Parâmetros
$Vms      = @("SRV-LEGADO01","SRV-LEGADO02","SRV-LEGADO03")
$Cred     = Get-Credential
$EsuKey   = "XXXXX-XXXXX-XXXXX-XXXXX-XXXXX"

$Script = {
param($Key)

Instala a chave ESU

cscript.exe $env:windir\system32\slmgr.vbs /ipk $Key | Out-Null

Obtém o Activation ID do ESU

$dlv = cscript.exe $env:windir\system32\slmgr.vbs /dlv 2>&1
$activationId = ($dlv | Select-String -Pattern "Activation ID:" -Context 0,2 |
Where-Object { $_.ToString() -match "ESU|Extended Security" } |
Select-Object -First 1).ToString().Split(":")[-1].Trim()
if (-not $activationId) {
fallback: pega a primeira ocorrência de Activation ID
$activationId = ($dlv | Select-String -Pattern "Activation ID:" |
Select-Object -First 1).ToString().Split(":")[-1].Trim()
}

Ativa usando o Activation ID

if ($activationId) {
cscript.exe $env:windir\system32\slmgr.vbs /ato $activationId | Out-Null
}

Retorna status resumido

[PSCustomObject]@{
ComputerName = $env:COMPUTERNAME
ESUKey       = $Key.Substring(0,5) + "-*"
ActivationID = $activationId
SSUPresent   = (Get-HotFix -Id KB5029368 -ErrorAction SilentlyContinue) -ne $null
PrepPresent  = (Get-HotFix -Id KB5017220 -ErrorAction SilentlyContinue) -ne $null
}
}

$results = foreach ($vm in $Vms) {
Invoke-Command -ComputerName $vm -Credential $Cred -ScriptBlock $Script -ArgumentList $EsuKey
}

$results | Format-Table -AutoSize 

Dica de gestão: armazene os resultados em CSV para auditoria e compliance.

$results | Export-Csv .\relatorio-ativacao-esu.csv -NoTypeInformation -Encoding UTF8

Aplicando patches ESU: Windows Update, WSUS e MECM

• Windows Update direto: após a ativação, as VMs passam a receber as atualizações ESU normalmente. Reinicie se solicitado.
• WSUS: confirme que o produto “Windows Server 2012 R2” e a classificação “Atualizações de Segurança” estão selecionados. Aprove e implante conforme sua política.
• Microsoft Endpoint Configuration Manager (SCCM/MECM): sincronize o catálogo, crie collections específicas de VMs 2012 R2 com ESU ativo e use SUGs (Software Update Groups) mensais.
• Ambientes sem Internet: baixe os MSUs no Catálogo do Windows Update e aplique offline via wusa.exe (respeitando a ordem: SSU → Monthly Rollup / Security Only).

Solução de problemas comuns

Erro	Causa provável	Como resolver
0xC004F050 (chave inválida)	Chave ESU incorreta para a edição (Standard/Datacenter) ou Ano (Y1/Y2/Y3)	Valide a edição da VM e o “Ano” da chave; reinstale com slmgr /ipk correto.
0xC004F074 (KMS indisponível)	Tentativa de ativação via KMS; ESU costuma usar MAK	Forçar MAK: slmgr /ato <ActivationID> com acesso à Internet ou via telefone.
“Update is not applicable”	Pré‑requisitos ausentes (SSU/KB de preparação) ou ESU não ativado	Instale KB5029368 e KB5017220; confirme ativação do ESU com slmgr /dlv.
Falhas de proxy/firewall	Bloqueio de endpoints de ativação ou do Windows Update	Liberar comunicação de ativação/licenciamento e do Windows Update; testar com winhttp.

Boas práticas de operação e compliance

• Inventário: documente cada VM 2012 R2 com chave/ano ESU, status de ativação e data do último patch.
• Janelas de manutenção: alinhe reinicializações com as janelas de produção e aplique “staged rollout”.
• Backups: assegure ponto de restauração ou snapshot consistente (apenas para rollback de emergência; não mantenha snapshots por longos períodos).
• Segurança: mesmo com ESU, endureça a superfície de ataque (RDP seguro, TLS moderno, desabilitar SMBv1, revisão de contas locais).
• Migração planejada: estabeleça roteiro para atualizar para Windows Server 2019/2022 ou mover cargas para Azure, reduzindo custos recorrentes do ESU.

Estrategia de longo prazo

O ESU é uma ponte, não um destino. Paralelamente à manutenção mensal, defina um plano de modernização:

• Atualização in‑place (quando viável) ou migração para Windows Server 2019/2022.
• Replataforma: mover workloads para PaaS/IaaS modernos com ciclos de vida mais longos.
• Azure: em determinadas ofertas, há benefícios específicos para workloads legadas — avalie custo total e governança.

Perguntas frequentes

Preciso instalar o ESU no host Hyper‑V?
Não. O ESU é aplicado na VM convidada 2012 R2. O host 2019 não recebe ESU para beneficiar convidados.

Posso mover a VM entre hosts?
Sim. O direito acompanha a instância da VM. Se você optar por ESU por núcleo do host, garanta que a VM rode apenas em hosts cobertos.

Como sei se minha VM realmente recebeu patches ESU?
Após ativação e sincronização, verifique novos KBs mensais de segurança aplicados (via Windows Update/WSUS) e valide no histórico de atualizações ou com Get-HotFix.

Preciso de uma chave por ano?
Sim, o ESU é vendido em períodos anuais. Garanta a aquisição/renovação no ciclo correto para evitar janela sem cobertura.

O ESU inclui suporte técnico?
Não. Ele fornece apenas atualizações de segurança. Suporte adicional depende do seu contrato.

Checklist rápido para o administrador

• Confirmar quais VMs executam Windows Server 2012 R2.
• Definir o modelo de licenciamento: por núcleo (com SA) ou por VM.
• Instalar pré‑requisitos: SSU KB5029368 e KB5017220.
• Instalar e ativar a chave ESU em cada VM (slmgr /ipk → /dlv → /ato).
• Reiniciar e aplicar patches via Windows Update/WSUS/MECM.
• Registrar evidências de ativação e de patches instalados.
• Planejar migração para versões suportadas ou cloud.

Exemplo prático de execução em uma VM

1. Verifique pré‑requisitos: Get-HotFix -Id KB5029368,KB5017220
2. Instale a chave: slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
3. Obtenha o Activation ID e ative: slmgr /dlv slmgr /ato <ActivationID>
4. Atualize a máquina: control.exe /name Microsoft.WindowsUpdate
5. Audite o resultado: Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 5

Observações finais importantes

• Garanta que a edição da chave ESU corresponda à edição do Windows (Standard x Datacenter) e ao Ano correto.
• Mantenha registro seguro das chaves e renovações anuais.
• Ambientes sem acesso à Internet devem prever ativação por telefone e distribuição offline de atualizações (MSU).
• Considere o impacto de reinicializações em serviços críticos; coordene com os donos das aplicações.