Как работают подключаемые модули обновления с поддержкой кластеров
Обновление с поддержкой кластера (CAU) использует подключаемые модули для координации установки обновлений между узлами в отказоустойчивом кластере. В этом разделе приводится информация об использовании встроенных подключаемых модулей CAU или других подключаемых модулей, которые можно установить для кластерного обновления.
Установка подключаемого модуля
Подключаемые модули, не являющиеся подключаемыми модулями CAU по умолчанию (Microsoft.WindowsUpdatePlugin и Microsoft.HotfixPlugin), необходимо устанавливать отдельно. Если кластерное обновление используется в режиме самообновления, подключаемый модуль нужно установить на всех узлах кластера. Если кластерное обновление используется в режиме удаленного обновления, подключаемый модуль нужно установить на удаленном компьютере координатора обновлений. Для установки подключаемого модуля на каждом узле могут предъявляться дополнительные требования.
Чтобы установить подключаемый модуль, выполните инструкции, предоставленные его издателем. Чтобы вручную зарегистрировать подключаемый модуль в CAU, выполните командлет Register-CauPlugin на каждом компьютере, на котором установлен подключаемый модуль.
Указание подключаемого модуля и его аргументов
Указание подключаемого модуля CAU
В пользовательском интерфейсе CAU подключаемый модуль выбирается в раскрывающемся списке доступных подключаемых модулей при использовании CAU для выполнения следующих действий:
применение обновлений к кластеру;
просмотр обновлений для кластера;
настройка параметров самообновления кластера.
По умолчанию CAU выбирает подключаемый модуль Microsoft.WindowsUpdatePlugin. Однако вы можете указать любой подключаемый модуль, установленный и зарегистрированный в CAU.
Совет
В пользовательском интерфейсе CAU можно указать только один подключаемый модуль CAU, который будет использоваться для просмотра или применения обновлений во время прогона обновления. С помощью командлетов PowerShell CAU можно указать один или несколько подключаемых модулей. Если необходимо установить несколько типов обновлений в кластере, обычно более эффективно указать несколько подключаемых модулей в одном запуске обновления, а не использовать отдельный запуск обновления для каждого подключаемого модуля. Это позволяет, к примеру, уменьшить число перезагрузок узлов.
С помощью командлетов PowerShell CAU, перечисленных в следующей таблице, можно указать один или несколько подключаемых модулей для запуска обновления или сканирования, передав параметр –CauPluginName . Чтобы указать несколько имен подключаемых модулей, разделите их запятыми. Если вы указываете несколько подключаемых модулей, то вы также можете контролировать то, как они влияют друг на друга во время прогона обновления, с помощью параметров -RunPluginsSerially, -StopOnPluginFailureи –SeparateReboots . Чтобы получить дополнительную информацию об использовании нескольких подключаемых модулей, используйте ссылки на документацию по командлетам в приведенной ниже таблице.
Командлет | Description |
---|---|
Add-CauClusterRole | Добавляет кластерную роль CAU, обеспечивающую функцию самообновления для указанного кластера. |
Invoke-CauRun | Проверяет наличие обновлений для узлов кластера и устанавливает их посредством прогона обновления в указанном кластере. |
Invoke-CauScan | Проверяет наличие обновлений для узлов кластера и возвращает список начального набора обновлений, которые будут применены к каждому узлу указанного кластера. |
Set-CauClusterRole | Задает свойства конфигурации для кластерной роли CAU в указанном кластере. |
Если параметр подключаемого модуля CAU не указан с помощью этих командлетов, по умолчанию используется подключаемый модуль Microsoft.WindowsUpdatePlugin.
Указание параметров подключаемого модуля CAU
При настройке параметров прогона обновления можно указать одну или несколько пар (аргументов) имя=значение для подключаемого модуля, выбранного для использования. Например, в пользовательском интерфейсе CAU можно указать несколько аргументов следующим образом.
Name1=Value1; Name2=Value2; Name3=Value3
Пары имя=значение должны быть понятны указанному подключаемому модулю. Для некоторых подключаемых модулей аргументы необязательны.
Синтаксис аргументов подключаемого модуля CAU подчиняется указанным ниже общим правилам.
Несколько пар имя=значение разделяются точкой с запятой.
Значение, содержащее пробелы, заключается в кавычки, например: Name1="Value with Spaces".
Точный синтаксис значения зависит от подключаемого модуля.
Чтобы указать аргументы подключаемого модуля с помощью командлетов PowerShell CAU, поддерживающих параметр –CauPluginParameters , передайте параметр формы:
-CauPluginArguments @{Name1=Value1; Name2=Value2; Name3=Value3}
Вы также можете использовать предопределенную хэш-таблицу PowerShell. Чтобы указать аргументы для нескольких подключаемых модулей, передайте несколько хэш-таблиц аргументов, разделив их запятыми. Передайте аргументы подключаемых модулей в том же порядке, в каком подключаемые модули указаны в параметре CauPluginName.
Указание дополнительных аргументов подключаемого модуля
Подключаемые модули, устанавливаемые CAU (Microsoft.WindowsUpdatePlugin и Microsoft.HotfixPlugin), предоставляют дополнительные возможности, доступные для выбора. В пользовательском интерфейсе CAU они отображаются на странице Дополнительные параметры после настройки параметров прогона обновления для подключаемого модуля. Если вы используете командлеты PowerShell CAU, эти параметры настраиваются как необязательные аргументы подключаемого модуля. Дополнительные сведения см. в разделах Использование подключаемого модуля Microsoft.WindowsUpdatePlugin и Использование подключаемого модуля Microsoft.HotfixPlugin далее в этой статье.
Управление подключаемыми модулями с помощью командлетов Windows PowerShell
Командлет | Description |
---|---|
Get-CauPlugin | Возвращает информацию об одном или нескольких подключаемых модулях обновления ПО, зарегистрированных на локальном компьютере. |
Register-CauPlugin | Регистрирует подключаемый модуль обновления ПО CAU на локальном компьютере. |
Отмена регистрации-CauPlugin | Удаляет подключаемый модуль обновления ПО из списка подключаемых модулей, которые могут использоваться компонентом CAU. Примечание. Подключаемые модули, установленные с помощью CAU (Microsoft.WindowsUpdatePlugin и Microsoft.HotfixPlugin), не могут быть отменены. |
Использование Microsoft.WindowsUpdatePlugin
Подключаемый модуль по умолчанию для CAU, Microsoft.WindowsUpdatePlugin, выполняет следующие действия:
- Связывается с агентом обновления Windows в каждом узле отказоустойчивого кластера, чтобы применить обновления, необходимые для продуктов Майкрософт, которые выполняются в каждом узле.
- Устанавливает обновления кластера непосредственно из Обновл. Windows или Центра обновления Майкрософт или с локального сервера служб обновления Windows Server (WSUS).
- Устанавливает только выбранные обновления общего выпуска дистрибутива (GDR). По умолчанию подключаемый модуль применяет только важные обновления ПО. Настройка не требуется. Конфигурация по умолчанию загружает и устанавливает важные обновления GDR в каждом узле.
Примечание.
Чтобы применить обновления, отличные от важных обновлений программного обеспечения, выбранных по умолчанию (например, обновления драйверов), можно настроить дополнительный параметр подключаемого модуля. Дополнительные сведения см. в разделе Настройка строки запроса агента обновления Windows.
Требования
- Отказоустойчивый кластер и компьютер координатора удаленного обновления (при использовании) должны соответствовать требованиям для CAU и конфигурации, необходимой для удаленного управления, перечисленных в разделе "Требования и рекомендации по CAU".
- Ознакомьтесь с рекомендациями по применению обновлений Майкрософт, а затем внесите необходимые изменения в конфигурацию Центра обновления Майкрософт для узлов отказоустойчивого кластера.
- Для получения наилучших результатов рекомендуется запустить анализатор рекомендаций CAU (BPA), чтобы убедиться, что кластер и среда обновления настроены правильно для применения обновлений с помощью CAU. Дополнительные сведения см. в разделе Test CAU updating readiness.
Примечание.
Обновления, требующие принятия условий лицензии Майкрософт или иных действий со стороны пользователя, исключаются. Их необходимо установить вручную.
Дополнительные параметры
При необходимости можно указать следующие аргументы подключаемого модуля для расширения или ограничения набора обновлений, применяемых подключаемым модулем:
- Чтобы настроить подключаемый модуль для применения рекомендуемых обновлений в дополнение к важным обновлениям на каждом узле в пользовательском интерфейсе CAU на странице "Дополнительные параметры", установите флажок "Предоставить мне рекомендуемые обновления" так же, как и флажок "Получить важные обновления".
Кроме того, можно настроить аргумент подключаемого модуля 'IncludeRecommendedUpdates'='True' . - Чтобы настроить подключаемый модуль для фильтрации типов обновлений GDR, применяемых к каждому узлу кластера, укажите строку запроса агента Обновл. Windows с помощью аргумента подключаемого модуля QueryString. Дополнительные сведения см. в разделе Настройка строки запроса агента обновления Windows.
Настройка строки запроса агента обновления Windows
Вы можете настроить аргумент для подключаемого модуля по умолчанию ( Microsoft.WindowsUpdatePlugin), содержащий строку запроса агента обновления Windows (WUA). В этой инструкции используется API WUA для определения одной или нескольких групп обновлений Майкрософт, которые должны быть применены к каждому узлу, на основе критериев выбора. Вы можете объединить несколько критериев с помощью логического И или логического ИЛИ. Строка запроса агента обновления Windows указывается в аргументе подключаемого модуля следующим образом.
QueryString="Criterion1=Value1 and/or Criterion2=Value2=Value2 and/or..."
Например, Microsoft.WindowsUpdatePlugin автоматически выбирает важные обновления, используя аргумент по умолчанию QueryString , который создается с помощью условий IsInstalled, Type, IsHiddenи IsAssigned :
QueryString="IsInstalled=0 и Type='Software' и IsHidden=0 и IsAssigned=1"
При указании аргумента QueryString он используется вместо аргумента по умолчанию QueryString , настроенного для подключаемого модуля.
Пример 1
Чтобы настроить аргумент QueryString , устанавливающий определенное обновление с идентификатором f6ce46c1-971c-43f9-a2aa-783df125f003, укажите следующую строку:
QueryString="UpdateID='f6ce46c1-971c-43f9-a2aa-783df125f003' и IsInstalled=0"
Примечание.
Предыдущий пример можно использовать для применения обновлений с помощью мастера кластерного обновления. Если вы хотите установить определенное обновление, настроив параметры самостоятельного обновления с помощью пользовательского интерфейса CAU или с помощью командлета Add-CauClusterRole или Set-CauClusterRole PowerShell, необходимо отформатировать значение UpdateID с двумя одними кавычками:
QueryString="UpdateID=''f6ce46c1-971c-43f9-a2aa-783df125f003'' и IsInstalled=0"
Пример 2
Чтобы настроить аргумент QueryString , устанавливающий только драйверы, укажите следующую строку:
QueryString="IsInstalled=0 and Type='Driver' and IsHidden=0"
Дополнительные сведения о строках запросов для подключаемого модуля по умолчанию Microsoft.WindowsUpdatePlugin, критерии поиска (например, IsInstalled) и синтаксис, который можно включить в строки запроса, см. в разделе о критериях поиска в справочнике по API агента Обновл. Windows (WUA).
Использование подключаемого модуля Microsoft.HotfixPlugin
Подключаемый модуль Microsoft.HotfixPlugin можно использовать для применения выпусков обновлений Майкрософт для ограниченного распространения (также называются исправлениями, а ранее назывались исправлениями QFE), которые загружаются отдельно и предназначены для устранения конкретных неполадок программного обеспечения Майкрософт. Подключаемый модуль устанавливает обновления из корневой папки в общей папке SMB, а также можно настроить для применения обновлений, отличных от Майкрософт, встроенного ПО и BIOS.
Примечание.
Исправления иногда доступны для скачивания из Microsoft в статьях базы знаний, но они также предоставляются клиентам по мере необходимости.
Требования
Отказоустойчивый кластер и компьютер координатора удаленного обновления (при использовании) должны соответствовать требованиям для CAU и конфигурации, необходимой для удаленного управления, перечисленных в разделе "Требования и рекомендации по CAU".
Ознакомьтесь с рекомендациями по использованию Microsoft.HotfixPlugin.
Для получения наилучших результатов рекомендуется запустить модель анализатора рекомендаций CAU (BPA), чтобы убедиться, что кластер и среда обновления настроены правильно для применения обновлений с помощью CAU. Дополнительные сведения см. в разделе Test CAU updating readiness.
Получите обновления от издателя и скопируйте их или извлеките их в общую папку блока сообщений сервера (SMB), которая поддерживает по крайней мере SMB 2.0 и доступна всеми узлами кластера и компьютером координатора удаленного обновления (если CAU используется в режиме удаленного обновления). Дополнительные сведения см. ниже в разделе Настройка структуры корневой папки с исправлениями .
Примечание.
По умолчанию этот подключаемый модуль устанавливает исправления со следующими расширениями имен файлов: MSU, .msi и MSP.
Скопируйте файл DefaultHotfixConfig.xml (который предоставляется в папке %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating на компьютере, где установлены средства CAU) в созданную корневую папку исправлений и под которой вы извлекли исправления. Например, скопируйте файл конфигурации в \\MyFileServer\Hotfixes\Root\.
Примечание.
Для установки большинства исправлений от корпорации Майкрософт и других обновлений файл конфигурации исправлений по умолчанию можно использовать без изменений. Если этого требует сценарий, вы можете дополнительно настроить файл конфигурации. Файл конфигурации может включать настраиваемые правила, например, для обработки файлов исправлений с конкретными расширениями или для определения поведения конкретных условий выхода. Дополнительные сведения см. ниже в разделе Настройка файла конфигурации исправлений .
Настройка
Настройте указанные ниже параметры. Чтобы получить дополнительную информацию, воспользуйтесь ссылками на дальнейшие подразделы этого раздела.
Путь к общей корневой папке с исправлениями, которая содержит применяемые обновления и файл конфигурации исправлений. Этот путь можно ввести в пользовательском интерфейсе CAU или настроить подключаемый аргумент HotfixRootFolderPath=<Path> PowerShell.
Примечание.
Корневую папку исправлений можно указать как путь к локальной папке или как UNC-путь формы \\ServerName\Share\RootFolderName. Можно использовать путь к доменному или автономному пространству имен DFS. Однако функции подключаемого модуля, которые проверяют разрешения доступа в файле конфигурации исправлений, несовместимы с путем к пространству имен DFS. Поэтому, если вы настроили такой путь, необходимо отключить проверку разрешений доступа в пользовательском интерфейсе CAU или задав аргумент подключаемого модуля DisableAclChecks='True' .
Параметры на сервере, на котором размещена корневая папка исправлений, чтобы проверить наличие соответствующих разрешений на доступ к папке и обеспечить целостность данных, доступ к которым получен из общей папки SMB (подпись SMB или шифрование SMB). Дополнительные сведения см. в разделе Ограничение доступа к корневой папке с исправлениями.
Дополнительные параметры
- Дополнительно можно настроить подключаемый модуль на принудительное использование шифрования SMB при доступе к данным из общей папки с исправлениями. На странице "Дополнительные параметры" на странице "Дополнительные параметры " в пользовательском интерфейсе CAU выберите параметр "Требовать шифрование SMB" при доступе к корневой папке исправлений или настройте аргумент подключаемого модуля PowerShell RequireSMBEncryption='True' PowerShell.
Внимание
Чтобы включить проверку целостности данных SMB с использованием подписания или шифрования SMB, необходимо выполнить дополнительные действия по настройке на SMB-сервере. Дополнительные сведения см. в шаге 4 раздела Ограничение доступа к корневой папке с исправлениями. Если выбран вариант принудительного использования шифрования SMB, а корневая папка исправлений не настроена для доступа с применением шифрования SMB, обновление не будет выполнено.
- Вы можете отключить выполняющиеся по умолчанию проверки достаточности разрешений на доступ к корневой папке исправлений и файлу конфигурации исправлений. В пользовательском интерфейсе CAU выберите параметр Отключить проверку административного доступа к корневой папке и файлу конфигурации исправленийили задайте аргумент подключаемого модуля DisableAclChecks='True' .
- При необходимости настройте аргумент HotfixInstallerTimeoutMinutes=<Integer> , чтобы указать, как долго подключаемый модуль исправления ожидает возврата процесса установщика исправлений. (Значение по умолчанию — 30 минут.) Например, чтобы указать период ожидания в течение двух часов, задайте исправление HotfixInstallerTimeoutMinutes=120.
- При необходимости настройте аргумент HotfixConfigFileName = <имя> подключаемого модуля, чтобы указать имя файла конфигурации исправлений, расположенного в корневой папке исправлений. Если он не указан, используется имя по умолчанию DefaultHotfixConfig.xml.
Настройка структуры корневой папки с исправлениями
Чтобы подключаемый модуль исправления работал, исправления должны храниться в четко определенной структуре в общей папке SMB (корневой папке исправлений), и необходимо настроить подключаемый модуль исправления с путем к корневой папке исправлений с помощью пользовательского интерфейса CAU или командлетов CAU PowerShell. Этот путь передается в подключаемый модуль в виде аргумента HotfixRootFolderPath . Для корневой папки исправлений можно выбрать одну из нескольких структур в соответствии с потребностями в обновлении, как показано в примерах ниже. Файлы и папки, которые не соответствуют структуре, игнорируются.
Пример 1. Структура папок, используемая для применения исправлений ко всем узлам кластера
Чтобы применить исправления ко всем узлам кластера, скопируйте их в папку с именем CAUHotfix_All в корневой папке исправлений. В этом примере для подключаемого модуля HotfixRootFolderPath задано значение \\MyFileServer\Hotfixes\Root\. Папка CAUHotfix_All содержит три обновления с расширениями MSU, MSI и MSP, которые будут применены ко всем узлам кластера. Имена файлов обновлений приведены только для иллюстрации.
Примечание.
В этом и последующих примерах файл конфигурации исправлений с именем по умолчанию DefaultHotfixConfig.xml находится в требуемом месте в корневой папке исправлений.
\\MyFileServer\Hotfixes\Root\
DefaultHotfixConfig.xml
CAUHotfix_All\
Update1.msu
Update2.msi
Update3.msp
...
Пример 2. Структура папок, используемая для применения определенных обновлений только к конкретному узлу
Чтобы применить обновления только к определенному узлу, используйте вложенную папку с именем узла в корневой папке исправлений. Используйте NetBIOS-имя узла кластера, например ContosoNode1. Затем переместите в эту вложенную папку обновления, которые необходимо применить только к этому узлу. В следующем примере подключаемый аргумент HotfixRootFolderPath имеет значение \\MyFileServer\Hotfixes\Root\. Обновления в папке CAUHotfix_All будут применены ко всем узлам кластера, а обновление Node1_Specific_Update.msu — только к узлу ContosoNode1.
\\MyFileServer\Hotfixes\Root\
DefaultHotfixConfig.xml
CAUHotfix_All\
Update1.msu
Update2.msi
Update3.msp
...
ContosoNode1\
Node1_Specific_Update.msu
...
Пример 3. Структура папок, используемая для применения обновлений, отличных от MSU, .msi и MSP-файлов
По умолчанию подключаемый модуль Microsoft.HotfixPlugin применяет обновления только с расширениями MSU, MSI и MSP. Однако некоторые обновления могут иметь другие расширения и требовать других команд для установки. Например, может потребоваться применить обновление встроенного ПО с расширением EXE к узлу кластера. В корневой папке исправлений можно создать вложенную папку для установки обновления конкретного нестандартного типа. Также необходимо настроить соответствующее правило установки для папки, которое определяет команду установки в элементе <FolderRules>
XML-файла конфигурации исправлений.
В следующем примере подключаемый аргумент HotfixRootFolderPath имеет значение \\MyFileServer\Hotfixes\Root\. Несколько обновлений будут применены ко всем узлам кластера, а обновление встроенного ПО SpecialHotfix1.exe будет применено к узлу ContosoNode1 с помощью правила FolderRule1. Подробнее о настройке правила FolderRule1 в файле конфигурации исправлений см. в подразделе Настройка файла конфигурации исправлений далее в этом разделе.
\\MyFileServer\Hotfixes\Root\
DefaultHotfixConfig.xml
CAUHotfix_All\
Update1.msu
Update2.msi
Update3.msp
...
ContosoNode1\
FolderRule1\
SpecialHotfix1.exe
...
Настройка файла конфигурации исправлений
Файл конфигурации исправлений управляет тем, как подключаемый модуль Microsoft.HotfixPlugin устанавливает определенные типы исправлений в отказоустойчивом кластере. Схема XML файла конфигурации определяется в файле HotfixConfigSchema.xsd, который находится на компьютере с установленными средствами CAU в следующей папке:
%systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating folder
Чтобы настроить файл конфигурации исправлений, скопируйте образец файла конфигурации DefaultHotfixConfig.xml из этого расположения в корневую папку исправлений и внесите в него изменения в соответствии со своим сценарием.
Внимание
Для применения большинства исправлений от корпорации Майкрософт и других обновлений файл конфигурации исправлений по умолчанию можно использовать без изменений. Настраивать файл конфигурации исправлений требуется только в особых сценариях использования.
По умолчанию XML-файл конфигурации исправлений определяет правила установки и условия выхода для двух категорий исправлений.
Файлы исправлений с расширениями, которые подключаемый модуль может устанавливать по умолчанию (файлы MSU, MSI и MSP).
Они определяются как элементы
<ExtensionRules>
в элементе<DefaultRules>
. Для каждого поддерживаемого по умолчанию типа файлов имеется один элемент<Extension>
. Общая структура XML имеет следующий вид.<DefaultRules> <ExtensionRules> <Extension name="MSI"> <!-- Template and ExitConditions elements for installation of .msi files follow --> ... </Extension> <Extension name="MSU"> <!-- Template and ExitConditions elements for installation of .msu files follow --> ... </Extension> <Extension name="MSP"> <!-- Template and ExitConditions elements for installation of .msp files follow --> ... </Extension> ... </ExtensionRules> </DefaultRules>
Если необходимо применять обновления определенных типов ко всем узлам кластера в среде, можно определить дополнительные элементы
<Extension>
.Исправления и другие файлы обновлений, отличные от MSI, MSU или MSP, например обновления для сторонних драйверов, встроенного ПО и BIOS.
Каждый нестандартный тип файлов настраивается как элемент
<Folder>
в элементе<FolderRules>
. Атрибут имени элемента<Folder>
должен совпадать с именем вложенной папки в корневой папке исправлений, в которой будут содержаться обновления соответствующего типа. Эта вложенная папка может находиться в папке CAUHotfix_All или в папке для определенного узла. Например, если в корневой папке исправлений настроено правило FolderRule1 , то, чтобы определить шаблон установки и условия выхода для обновлений в этой папке, настройте следующий элемент в XML-файле:<FolderRules> <Folder name="FolderRule1"> <!-- Template and ExitConditions elements for installation of updates in FolderRule1 follow --> ... </Folder> ... </FolderRules>
В таблице ниже описываются атрибуты <Template>
и возможные дочерние элементы <ExitConditions>
.
Атрибут <Template> |
Description |
---|---|
path |
Полный путь к программе установки для типа файлов, определенного в атрибуте <Extension name> .Чтобы указать путь к файлу обновления в структуре корневой папки исправлений, используйте элемент |
parameters |
Строка с обязательными и необязательными параметрами для программы, указанной в атрибуте path .Чтобы задать параметр, который содержит путь к файлу обновления в структуре корневой папки исправлений, используйте элемент |
Дочерний элемент <ExitConditions> |
Description |
---|---|
<Success> |
Определяет один или несколько кодов выхода, указывающих на успешное применение обновления. Это обязательный дочерний элемент. |
<Success_RebootRequired> |
Определяет один или несколько кодов выхода, указывающих на успешное применение обновления и необходимость перезапуска узла (необязательный дочерний элемент). Примечание. При необходимости <Folder> элемент может содержать alwaysReboot атрибут. Если этот атрибут задан, он указывает на то, что при возвращении исправлением, устанавливаемым этим правилом, одного из кодов выхода, которые определены в дочернем элементе <Success> , он интерпретируется как условие выхода <Success_RebootRequired> . |
<Fail_RebootRequired> |
Определяет один или несколько кодов выхода, указывающих на сбой при применении обновления и необходимость перезапуска узла (необязательный дочерний элемент). |
<AlreadyInstalled> |
Определяет один или несколько кодов выхода, указывающих на то, что обновление не было применено, так как оно уже установлено (необязательный дочерний элемент). |
<NotApplicable> |
Определяет один или несколько кодов выхода, указывающих на то, что обновление не было применено, так как оно не требуется для этого узла кластера (необязательный дочерний элемент). |
Внимание
Все коды выхода, которые не определены явным образом в элементе <ExitConditions>
, интерпретируются как коды сбоя обновления, и узел не перезапускается.
Ограничение доступа к корневой папке с исправлениями
Необходимо выполнить несколько действий, чтобы настроить файловый сервер SMB и общую папку, чтобы защитить файлы корневой папки исправлений и файл конфигурации исправлений для доступа только в контексте Microsoft.HotfixPlugin. При этом будет включен ряд функций, позволяющих защитить файлы исправлений от несанкционированного доступа, который может поставить отказоустойчивый кластер под угрозу.
Общий порядок действий.
Определение учетной записи пользователя, применяемой для выполнения прогонов обновления с помощью подключаемого модуля
Настройка учетной записи пользователя в необходимых группах на файловом сервере SMB
Настройка разрешений на доступ к корневой папке исправлений
Настройка параметров для обеспечения целостности данных SMB
Включение правила брандмауэра Windows на сервере SMB
Шаг 1. Определение учетной записи пользователя, используемой для обновления запусков с помощью подключаемого модуля исправления
Учетная запись, которая используется в CAU для проверки параметров безопасности при выполнении прогона обновления с помощью подключаемого модуля Microsoft.HotfixPlugin , зависит от режима кластерного обновления (удаленное обновление или самообновление).
Режим удаленного обновления — учетная запись с административными правами на просмотр и применение обновлений в кластере.
Режим самообновления — имя виртуального объекта-компьютера, настроенного в Active Directory для кластерной роли CAU. Это либо имя виртуального объекта-компьютера, предварительно подготовленного в Active Directory для кластерной роли CAU, либо имя, созданное компонентом CAU для кластерной роли. Чтобы получить имя, если оно создается CAU, выполните командлет Get-CauClusterRole CAU PowerShell. В выходных данных ResourceGroupName — это имя созданной учетной записи виртуального объекта-компьютера.
Шаг 2. Настройка этой учетной записи пользователя в необходимых группах на файловом сервере SMB
Внимание
Необходимо добавить учетную запись, используемую для выполнения прогонов обновления, в группу локальных администраторов SMB-сервера. Если это запрещено политиками безопасности организации, настройте для этой учетной записи необходимые разрешения на SMB-сервере с помощью описанной ниже процедуры.
Настройка учетной записи пользователя на SMB-сервере
Добавьте учетную запись, которая используется для выполнения прогонов обновления, в группу "Пользователи DCOM" и одну из следующих групп: "Опытные пользователи", "Операторы сервера" или "Операторы печати".
Чтобы предоставить учетной записи необходимые разрешения WMI, запустите на SMB-сервере консоль управления WMI. Запустите PowerShell и введите следующую команду:
wmimgmt.msc
В дереве консоли правой кнопкой мыши щелкните Элемент управления WMI (локальный), а затем выберите пункт Свойства.
Щелкните Безопасностьи разверните элемент Корень.
Щелкните CIMV2, а затем выберите Безопасность.
Добавьте учетную запись, используемую для выполнения прогонов обновления, в список Группы или пользователи .
Предоставьте учетной записи, используемой для выполнения прогонов обновления, разрешения Выполнение методов и Включить удаленно .
Шаг 3. Настройка разрешений для доступа к корневой папке исправлений
По умолчанию при попытке применить обновления подключаемый модуль исправлений проверяет конфигурацию разрешений на доступ к корневой папке исправлений в файловой системе NTFS. Если разрешения на доступ к папке настроены неправильно, происходит сбой прогона обновления с помощью подключаемого модуля исправлений.
Если для подключаемого модуля исправлений используется конфигурация по умолчанию, проверьте, отвечают ли разрешения на доступ к папке указанным ниже требованиям.
Группа "Пользователи" имеет разрешение на чтение.
Если подключаемый модуль будет применять обновления с расширением EXE, группа "Пользователи" должна иметь разрешение на выполнение.
Только некоторые субъекты безопасности могут (но необязательно) иметь разрешение на запись или изменение. К таким субъектам относятся группа локальных администраторов, СИСТЕМА, СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ и TrustedInstaller. Остальные учетные записи и группы не могут иметь разрешения на запись и изменение для корневой папки исправлений.
Вы также можете отключить предварительные проверки, которые подключаемый модуль выполняет по умолчанию. Это можно сделать одним из двух способов.
Если вы используете командлеты PowerShell CAU, настройте аргумент DisableAclChecks='True' в параметре CauPluginArguments для подключаемого модуля исправления.
Если используется пользовательский интерфейс CAU, выберите параметр Отключить проверку административного доступа к корневой папке и файлу конфигурации исправлений на странице Дополнительные параметры обновления мастера, служащего для настройки параметров прогона обновления.
Однако в большинстве сред мы рекомендуем использовать конфигурацию по умолчанию для принудительного выполнения этих проверок.
Шаг 4. Настройка параметров для целостности данных SMB
Для проверки целостности данных, передаваемых через соединения между узлами кластера и общей папкой SMB, подключаемый модуль исправлений требует включения подписания SMB или шифрования SMB для общей папки SMB. Шифрование SMB, которое обеспечивает повышенную безопасность и более высокую производительность во многих средах, поддерживается начиная с Windows Server 2012. Вы можете включить один или оба этих параметра, как указано ниже.
Сведения о включении подписания SMB см. в процедуре, описанной в статье 887429 базы знаний Майкрософт.
Чтобы включить шифрование SMB для общей папки SMB, выполните следующий командлет PowerShell на сервере SMB:
Set-SmbShare <ShareName> -EncryptData $true
Где <ShareName> — это имя общей папки SMB.
При необходимости для принудительного применения шифрования SMB в подключениях к серверу SMB выберите параметр "Требовать шифрование SMB" при доступе к корневой папке исправлений в пользовательском интерфейсе CAU или настройте подключаемый аргумент RequireSMBEncryption='True' с помощью командлетов PowerShell CAU.
Внимание
Если выбран вариант принудительного использования шифрования SMB, а корневая папка исправлений не настроена для доступа с применением шифрования SMB, обновление не будет выполнено.
Шаг 5. Включение правила брандмауэра Windows на сервере SMB
В брандмауэре Windows на файловом сервере SMB необходимо включить правило Удаленное управление файловым сервером (SMB — входящий трафик) . Эта функция включена по умолчанию в Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012.