Как работают подключаемые модули обновления с поддержкой кластеров

Cluster-Aware обновление (CAU) использует подключаемые модули для координации установки обновлений между узлами в отказоустойчивом кластере. В этом разделе приводится информация об использовании встроенных подключаемых модулей CAU или других подключаемых модулей, которые можно установить для кластерного обновления.

Установка подключаемого модуля

Подключаемый модуль, отличный от подключаемых модулей по умолчанию, установленных с CAU (Microsoft.WindowsUpdatePlugin и Microsoft.HotfixPlugin), должен быть установлен отдельно. Если кластерное обновление используется в режиме самообновления, подключаемый модуль нужно установить на всех узлах кластера. Если кластерное обновление используется в режиме удаленного обновления, подключаемый модуль нужно установить на удаленном компьютере координатора обновлений. Для установки подключаемого модуля на каждом узле могут предъявляться дополнительные требования.

Чтобы установить подключаемый модуль, выполните инструкции, предоставленные его издателем. Чтобы вручную зарегистрировать подключаемый модуль в CAU, выполните командлет Register-CauPlugin на каждом компьютере, на котором установлен подключаемый модуль.

Указание подключаемого модуля и его аргументов

Указание подключаемого модуля CAU

В пользовательском интерфейсе CAU подключаемый модуль выбирается в раскрывающемся списке доступных подключаемых модулей при использовании CAU для выполнения следующих действий:

  • применение обновлений к кластеру;

  • просмотр обновлений для кластера;

  • настройка параметров самообновления кластера.

По умолчанию CAU выбирает подключаемый модуль Microsoft.WindowsUpdatePlugin. Однако вы можете указать любой подключаемый модуль, установленный и зарегистрированный в CAU.

Tip

В пользовательском интерфейсе CAU можно указать только один подключаемый модуль CAU, который будет использоваться для просмотра или применения обновлений во время прогона обновления. С помощью командлетов PowerShell CAU можно указать один или несколько подключаемых модулей. Если необходимо установить несколько типов обновлений в кластере, обычно более эффективно указать несколько подключаемых модулей в одном запуске обновления, а не использовать отдельный запуск обновления для каждого подключаемого модуля. Это позволяет, к примеру, уменьшить число перезагрузок узлов.

С помощью командлетов PowerShell CAU, перечисленных в следующей таблице, можно указать один или несколько подключаемых модулей для запуска обновления или сканирования, передав параметр –CauPluginName . Чтобы указать несколько имен подключаемых модулей, разделите их запятыми. Если указать несколько подключаемых модулей, вы также можете управлять тем, как подключаемые модули влияют друг на друга во время обновления, указав параметры -RunPluginsSerily, -StopOnPluginFailure и –SeparateReboots . Чтобы получить дополнительную информацию об использовании нескольких подключаемых модулей, используйте ссылки на документацию по командлетам в приведенной ниже таблице.

Cmdlet Description
Add-CauClusterRole Добавляет кластерную роль CAU, обеспечивающую функцию самообновления для указанного кластера.
Invoke-CauRun Проверяет наличие обновлений для узлов кластера и устанавливает их посредством прогона обновления в указанном кластере.
Invoke-CauScan Проверяет наличие обновлений для узлов кластера и возвращает список начального набора обновлений, которые будут применены к каждому узлу указанного кластера.
Set-CauClusterRole Задает свойства конфигурации для кластерной роли CAU в указанном кластере.

Если параметр подключаемого модуля CAU не указан с помощью этих командлетов, по умолчанию используется подключаемый модуль Microsoft.WindowsUpdatePlugin.

Указание параметров подключаемого модуля CAU

При настройке параметров запуска обновления можно указать одну или несколько пар name=value (аргументы) для выбранного подключаемого модуля. Например, в пользовательском интерфейсе CAU можно указать несколько аргументов следующим образом.

Name1=Value1;Name2=Value2;Name3=Value3

Эти пары name=value должны быть значимыми для указанного подключаемого модуля. Для некоторых подключаемых модулей аргументы необязательны.

Синтаксис аргументов подключаемого модуля CAU подчиняется указанным ниже общим правилам.

  • Несколько пар name=value разделяются точкой с запятой.

  • Значение, содержащее пробелы, окружено кавычками, например Name1="Value with Spaces".

  • Точный синтаксис значения зависит от подключаемого модуля.

Чтобы указать аргументы подключаемого модуля с помощью командлетов PowerShell CAU, поддерживающих параметр –CauPluginParameters , передайте параметр формы:

-CauPluginArguments @{Name1=Value1; Name2=Value2; Name3=Value3}

Вы также можете использовать предопределенную хэш-таблицу PowerShell. Чтобы указать аргументы для нескольких подключаемых модулей, передайте несколько хэш-таблиц аргументов, разделив их запятыми. Передайте аргументы подключаемого модуля в порядке, указанном в CauPluginName.

Указание дополнительных аргументов подключаемого модуля

Подключаемые модули, устанавливаемые CAU (Microsoft.WindowsUpdatePlugin и Microsoft.HotfixPlugin), предоставляют дополнительные параметры, которые можно выбрать. В пользовательском интерфейсе CAU эти параметры отображаются на странице "Дополнительные параметры" после настройки параметров обновления для подключаемого модуля. Если вы используете командлеты PowerShell CAU, эти параметры настраиваются как необязательные аргументы подключаемого модуля. Дополнительные сведения см. в разделе " Использование Microsoft.WindowsUpdatePlugin " и "Использование Microsoft.HotfixPlugin " далее в этом разделе.

Управление подключаемыми модулями с помощью командлетов Windows PowerShell

Cmdlet Description
Get-CauPlugin Возвращает информацию об одном или нескольких подключаемых модулях обновления ПО, зарегистрированных на локальном компьютере.
Register-CauPlugin Регистрирует подключаемый модуль обновления ПО CAU на локальном компьютере.
Unregister-CauPlugin Удаляет подключаемый модуль обновления ПО из списка подключаемых модулей, которые могут использоваться компонентом CAU. Заметка: Подключаемые модули, установленные с помощью CAU (Microsoft.WindowsUpdatePlugin и Microsoft.HotfixPlugin), не могут быть отменены.

Использование Microsoft.WindowsUpdatePlugin

Подключаемый модуль по умолчанию для CAU , Microsoft.WindowsUpdatePlugin, выполняет следующие действия:

  • Связывается с агентом обновления Windows в каждом узле отказоустойчивого кластера, чтобы применить обновления, необходимые для продуктов Майкрософт, которые выполняются в каждом узле.
  • Устанавливает обновления кластера непосредственно из Обновл. Windows или Центра обновления Майкрософт или с локального сервера служб обновления Windows Server (WSUS).
  • Устанавливает только выбранные обновления общего выпуска дистрибутива (GDR). По умолчанию подключаемый модуль применяет только важные обновления ПО. Настройка не требуется. Конфигурация по умолчанию загружает и устанавливает важные обновления GDR в каждом узле.

Note

Чтобы применить обновления, отличные от важных обновлений программного обеспечения, выбранных по умолчанию (например, обновления драйверов), можно настроить дополнительный параметр подключаемого модуля. Дополнительные сведения см. в разделе "Настройка строки запроса агента центра обновления Windows".

Requirements

  • Отказоустойчивый кластер и компьютер координатора удаленного обновления (при использовании) должны соответствовать требованиям для CAU и конфигурации, необходимой для удаленного управления, перечисленных в разделе "Требования и рекомендации по CAU".
  • Ознакомьтесь с рекомендациями по применению обновлений Майкрософт, а затем внесите необходимые изменения в конфигурацию Центра обновления Майкрософт для узлов отказоустойчивого кластера.
  • Для получения наилучших результатов рекомендуется запустить анализатор рекомендаций CAU (BPA), чтобы убедиться, что кластер и среда обновления настроены правильно для применения обновлений с помощью CAU. Дополнительные сведения см. в разделе "Проверка готовности к обновлению CAU".

Note

Обновления, требующие принятия условий лицензии Майкрософт или иных действий со стороны пользователя, исключаются. Их необходимо установить вручную.

Дополнительные параметры

При необходимости можно указать следующие аргументы подключаемого модуля для расширения или ограничения набора обновлений, применяемых подключаемым модулем:

  • Чтобы настроить подключаемый модуль для применения рекомендуемых обновлений в дополнение к важным обновлениям на каждом узле в пользовательском интерфейсе CAU на странице "Дополнительные параметры ", установите флажок "Предоставить мне рекомендуемые обновления" так же, как и флажок "Получить важные обновления ".
    Кроме того, настройте подключаемый модуль "IncludeRecommendedUpdates'='True".
  • Чтобы настроить подключаемый модуль для фильтрации типов обновлений GDR, применяемых к каждому узлу кластера, укажите строку запроса агента обновления Windows с помощью аргумента подключаемого модуля QueryString . Дополнительные сведения см. в разделе "Настройка строки запроса агента центра обновления Windows".

Настройка строки запроса агента обновления Windows

Вы можете настроить подключаемый модуль для подключаемого модуля по умолчанию Microsoft.WindowsUpdatePlugin, который состоит из строки запроса агента обновления Windows (WUA). В этой инструкции используется API WUA для определения одной или нескольких групп обновлений Майкрософт, которые должны быть применены к каждому узлу, на основе критериев выбора. Вы можете объединить несколько критериев с помощью логического И или логического ИЛИ. Строка запроса агента обновления Windows указывается в аргументе подключаемого модуля следующим образом.

QueryString="Criterion1=Value1 and/or Criterion2=Value2 and/or..."

Например, Microsoft.WindowsUpdatePlugin автоматически выбирает важные обновления с помощью аргумента QueryString по умолчанию, созданного с помощью условий IsInstalled, Type, IsHidden и IsAssigned :

QueryString="IsInstalled=0 и Type='Software' и IsHidden=0 и IsAssigned=1"

Если указать аргумент QueryString , он используется вместо объекта QueryString по умолчанию, настроенного для подключаемого модуля.

Пример 1

Чтобы настроить аргумент QueryString , который устанавливает определенное обновление, как определено идентификатором f6ce46c1-971c-43f9-a2aa-783df125f003:

QueryString="UpdateID='f6ce46c1-971c-43f9-a2aa-783df125f003' и IsInstalled=0"

Note

Предыдущий пример можно использовать для применения обновлений с помощью мастера кластерного обновления. Если вы хотите установить определенное обновление, настроив параметры самостоятельного обновления с помощью пользовательского интерфейса CAU или с помощью командлета Add-CauClusterRole или Set-CauClusterRolePowerShell, необходимо отформатировать значение UpdateID с двумя одними кавычками:

QueryString="UpdateID=''f6ce46c1-971c-43f9-a2aa-783df125f003'' и IsInstalled=0"

Пример 2

Чтобы настроить аргумент QueryString , который устанавливает только драйверы:

QueryString="IsInstalled=0 и Type='Driver' и IsHidden=0"

Дополнительные сведения о строках запросов для подключаемого модуля по умолчанию Microsoft.WindowsUpdatePlugin, критерии поиска (например, IsInstalled) и синтаксис, который можно включить в строки запроса, см. в разделе о критериях поиска в справочнике по API агента обновления Windows (WUA).

Использование подключаемого модуля Microsoft.HotfixPlugin

Подключаемый модуль Microsoft.HotfixPlugin можно использовать для применения обновлений ограниченного выпуска дистрибутива Майкрософт (LDR) (также называемых исправлениями и ранее называемыми QFEs), которые вы загружаете независимо для решения конкретных проблем с программным обеспечением Майкрософт. Подключаемый модуль устанавливает обновления из корневой папки в общей папке SMB, а также можно настроить для применения обновлений, отличных от Майкрософт, встроенного ПО и BIOS.

Note

Исправления иногда доступны для скачивания из Microsoft в статьях базы знаний, но они также предоставляются клиентам по мере необходимости.

Requirements

  • Отказоустойчивый кластер и компьютер координатора удаленного обновления (при использовании) должны соответствовать требованиям для CAU и конфигурации, необходимой для удаленного управления, перечисленных в разделе "Требования и рекомендации по CAU".

  • Ознакомьтесь с рекомендациями по использованию Microsoft.HotfixPlugin.

  • Для получения наилучших результатов рекомендуется запустить модель анализатора рекомендаций CAU (BPA), чтобы убедиться, что кластер и среда обновления настроены правильно для применения обновлений с помощью CAU. Дополнительные сведения см. в разделе "Проверка готовности к обновлению CAU".

  • Получите обновления от издателя и скопируйте их или извлеките их в общую папку блока сообщений сервера (SMB), которая поддерживает по крайней мере SMB 2.0 и доступна всеми узлами кластера и компьютером координатора удаленного обновления (если CAU используется в режиме удаленного обновления). Дополнительные сведения см. в разделе "Настройка структуры корневой папки исправлений " далее в этом разделе.

    Note

    По умолчанию этот подключаемый модуль устанавливает исправления со следующими расширениями имен файлов: MSU, .msi и MSP.

  • Скопируйте файл DefaultHotfixConfig.xml (который предоставляется в папке %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating на компьютере, где установлены средства CAU), в созданную корневую папку исправлений и под которой вы извлекли исправления. Например, скопируйте файл конфигурации в \\MyFileServer\Hotfixes\Root\.

    Note

    Для установки большинства исправлений от корпорации Майкрософт и других обновлений файл конфигурации исправлений по умолчанию можно использовать без изменений. Если этого требует сценарий, вы можете дополнительно настроить файл конфигурации. Файл конфигурации может включать настраиваемые правила, например, для обработки файлов исправлений с конкретными расширениями или для определения поведения конкретных условий выхода. Дополнительные сведения см. в разделе "Настройка файла конфигурации исправлений" далее в этом разделе.

Configuration

Настройте указанные ниже параметры. Чтобы получить дополнительную информацию, воспользуйтесь ссылками на дальнейшие подразделы этого раздела.

  • Путь к общей корневой папке с исправлениями, которая содержит применяемые обновления и файл конфигурации исправлений. Этот путь можно ввести в пользовательском интерфейсе CAU или настроить подключаемый аргумент HotfixRootFolderPath=<Path> PowerShell.

    Note

    Корневую папку исправлений можно указать как путь к локальной папке или как UNC-путь формы \\ServerName\Share\RootFolderName. Можно использовать путь к доменному или автономному пространству имен DFS. Однако функции подключаемого модуля, проверяющие разрешения доступа в файле конфигурации исправлений, несовместимы с путьом пространства имен DFS, поэтому если вы настроите его, необходимо отключить проверку разрешений доступа с помощью пользовательского интерфейса CAU или путем настройки подключаемого модуля DisableAclChecks='True' подключаемый модуль.

  • Параметры на сервере, на котором размещена корневая папка исправлений, чтобы проверить наличие соответствующих разрешений на доступ к папке и обеспечить целостность данных, доступ к которым получен из общей папки SMB (подпись SMB или шифрование SMB). Дополнительные сведения см. в разделе "Ограничить доступ к корневой папке исправлений".

Дополнительные параметры

  • Дополнительно можно настроить подключаемый модуль на принудительное использование шифрования SMB при доступе к данным из общей папки с исправлениями. На странице "Дополнительные параметры " на странице "Дополнительные параметры" в пользовательском интерфейсе CAU выберите параметр "Требовать шифрование SMB" при доступе к корневой папке исправлений или настройте аргумент подключаемого модуля PowerShell RequireSMBEncryption='True' PowerShell.

    Important

    Чтобы включить проверку целостности данных SMB с использованием подписания или шифрования SMB, необходимо выполнить дополнительные действия по настройке на SMB-сервере. Дополнительные сведения см. в шаге 4 Ограничение доступа к корневой папке исправлений. Если выбран вариант принудительного использования шифрования SMB, а корневая папка исправлений не настроена для доступа с применением шифрования SMB, обновление не будет выполнено.

  • Вы можете отключить выполняющиеся по умолчанию проверки достаточности разрешений на доступ к корневой папке исправлений и файлу конфигурации исправлений. В пользовательском интерфейсе CAU выберите «Отключить проверку доступа администратора к корневой папке обновления и файлу конфигурации» или настройте аргумент подключаемого модуля DisableAclChecks='True'.
  • При необходимости настройте аргумент HotfixInstallerTimeoutMinutes=<Integer> , чтобы указать, как долго подключаемый модуль исправления ожидает возврата процесса установщика исправлений. (Значение по умолчанию — 30 минут.) Например, чтобы указать период ожидания в течение двух часов, задайте исправление HotfixInstallerTimeoutMinutes=120.
  • При необходимости настройте аргумент HotfixConfigFileName = <имя> подключаемого модуля, чтобы указать имя файла конфигурации исправлений, расположенного в корневой папке исправлений. Если он не указан, используется имя по умолчанию DefaultHotfixConfig.xml.

Настройка структуры корневой папки с исправлениями

Чтобы подключаемый модуль исправления работал, исправления должны храниться в четко определенной структуре в общей папке SMB (корневой папке исправлений), и необходимо настроить подключаемый модуль исправления с путем к корневой папке исправлений с помощью пользовательского интерфейса CAU или командлетов CAU PowerShell. Этот путь передается в подключаемый модуль в качестве аргумента HotfixRootFolderPath . Для корневой папки исправлений можно выбрать одну из нескольких структур в соответствии с потребностями в обновлении, как показано в примерах ниже. Файлы и папки, которые не соответствуют структуре, игнорируются.

Пример 1. Структура папок, используемая для применения исправлений ко всем узлам кластера

Чтобы указать, что исправления применяются ко всем узлам кластера, скопируйте их в папку с именем CAUHotfix_All в корневой папке исправлений. В этом примере для подключаемого модуля HotfixRootFolderPath задано значение \\MyFileServer\Hotfixes\Root\. Папка CAUHotfix_All содержит три обновления с расширениями MSU, .msiи MSP, которые будут применяться ко всем узлам кластера. Имена файлов обновлений приведены только для иллюстрации.

Note

В этом и последующих примерах файл конфигурации исправлений с именем по умолчанию DefaultHotfixConfig.xml находится в требуемом месте в корневой папке исправлений.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

Пример 2. Структура папок, используемая для применения определенных обновлений только к конкретному узлу

Чтобы применить обновления только к определенному узлу, используйте вложенную папку с именем узла в корневой папке исправлений. Используйте имя NetBIOS узла кластера, например ContosoNode1. Затем переместите в эту вложенную папку обновления, которые необходимо применить только к этому узлу. В следующем примере подключаемый аргумент HotfixRootFolderPath имеет значение \\MyFileServer\Hotfixes\Root\. Обновления в папке CAUHotfix_All будут применяться ко всем узлам кластера, а Node1_Specific_Update.msu будет применяться только к ContosoNode1.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...
   ContosoNode1\
      Node1_Specific_Update.msu
      ...

Пример 3. Структура папок, используемая для применения обновлений, отличных от MSU, .msi и MSP-файлов

По умолчанию Microsoft.HotfixPlugin применяет обновления только с расширением MSU, .msiили MSP. Однако некоторые обновления могут иметь другие расширения и требовать других команд для установки. Например, может потребоваться применить обновление встроенного ПО с расширением EXE к узлу кластера. В корневой папке исправлений можно создать вложенную папку для установки обновления конкретного нестандартного типа. Также необходимо настроить соответствующее правило установки для папки, которое определяет команду установки в элементе <FolderRules> XML-файла конфигурации исправлений.

В следующем примере подключаемый аргумент HotfixRootFolderPath имеет значение \\MyFileServer\Hotfixes\Root\. К всем узлам кластера будет применено несколько обновлений, а обновление встроенного ПО SpecialHotfix1.exe будет применено к ContosoNode1 с помощью FolderRule1. Сведения о настройке FolderRule1 в файле конфигурации исправлений см. в разделе "Настройка файла конфигурации исправлений " далее в этом разделе.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

   ContosoNode1\
      FolderRule1\
          SpecialHotfix1.exe
      ...

Настройка файла конфигурации исправлений

Файл конфигурации исправлений определяет, как Microsoft.HotfixPlugin устанавливает определенные типы файлов исправлений в отказоустойчивом кластере. Схема XML файла конфигурации определяется в файле HotfixConfigSchema.xsd, который находится на компьютере с установленными средствами CAU в следующей папке:

%systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating folder

Чтобы настроить файл конфигурации исправлений, скопируйте образец файла конфигурации DefaultHotfixConfig.xml из этого расположения в корневую папку исправлений и внесите в него изменения в соответствии со своим сценарием.

Important

Для применения большинства исправлений от корпорации Майкрософт и других обновлений файл конфигурации исправлений по умолчанию можно использовать без изменений. Настраивать файл конфигурации исправлений требуется только в особых сценариях использования.

По умолчанию XML-файл конфигурации исправлений определяет правила установки и условия выхода для двух категорий исправлений.

  • Файлы исправлений с расширениями, которые подключаемый модуль может устанавливать по умолчанию (файлы MSU, MSI и MSP).

    Они определяются как элементы <ExtensionRules> в элементе <DefaultRules> . Для каждого поддерживаемого по умолчанию типа файлов имеется один элемент <Extension> . Общая структура XML имеет следующий вид.

    <DefaultRules>
    <ExtensionRules>
      <Extension name="MSI">
        <!-- Template and ExitConditions elements for installation of .msi files follow -->
         ...
      </Extension>
      <Extension name="MSU">
        <!-- Template and ExitConditions elements for installation of .msu files follow -->
         ...
      </Extension>
      <Extension name="MSP">
        <!-- Template and ExitConditions elements for installation of .msp files follow -->
         ...
      </Extension>
         ...
   </ExtensionRules>
</DefaultRules>

    Если необходимо применять обновления определенных типов ко всем узлам кластера в среде, можно определить дополнительные элементы <Extension> .

  • Исправления и другие файлы обновлений, отличные от MSI, MSU или MSP, например обновления для сторонних драйверов, встроенного ПО и BIOS.

    Каждый нестандартный тип файлов настраивается как элемент <Folder> в элементе <FolderRules> . Атрибут имени элемента <Folder> должен совпадать с именем вложенной папки в корневой папке исправлений, в которой будут содержаться обновления соответствующего типа. Папка может находиться в папке CAUHotfix_All или в папке, относяющейся к узлу. Например, если FolderRule1 настроена в корневой папке исправлений, настройте следующий элемент в XML-файле, чтобы определить шаблон установки и выйти из условий обновления в этой папке:

    <FolderRules>
      <Folder name="FolderRule1">
        <!-- Template and ExitConditions elements for installation of updates in FolderRule1 follow -->
         ...
      </Folder>
      ...
</FolderRules>

В таблице ниже описываются атрибуты <Template> и возможные дочерние элементы <ExitConditions> .

Атрибут <Template> Description
path Полный путь к программе установки для типа файлов, определенного в атрибуте <Extension name> .

Чтобы указать путь к файлу обновления в структуре корневой папки исправлений, используйте элемент $update$.
parameters Строка с обязательными и необязательными параметрами для программы, указанной в атрибуте path.

Чтобы задать параметр, который содержит путь к файлу обновления в структуре корневой папки исправлений, используйте элемент $update$.
Дочерний элемент <ExitConditions> Description
<Success> Определяет один или несколько кодов выхода, указывающих на успешное применение обновления. Это обязательный дочерний элемент.
<Success_RebootRequired> Определяет один или несколько кодов выхода, указывающих на успешное применение обновления и необходимость перезапуска узла (необязательный дочерний элемент).
Заметка:<Folder> При необходимости элемент может содержать alwaysReboot атрибут. Если этот атрибут задан, он указывает на то, что при возвращении исправлением, устанавливаемым этим правилом, одного из кодов выхода, которые определены в дочернем элементе <Success>, он интерпретируется как условие выхода <Success_RebootRequired> .
<Fail_RebootRequired> Определяет один или несколько кодов выхода, указывающих на сбой при применении обновления и необходимость перезапуска узла (необязательный дочерний элемент).
<AlreadyInstalled> Определяет один или несколько кодов выхода, указывающих на то, что обновление не было применено, так как оно уже установлено (необязательный дочерний элемент).
<NotApplicable> Определяет один или несколько кодов выхода, указывающих на то, что обновление не было применено, так как оно не требуется для этого узла кластера (необязательный дочерний элемент).

Important

Все коды выхода, которые не определены явным образом в элементе <ExitConditions> , интерпретируются как коды сбоя обновления, и узел не перезапускается.

Ограничение доступа к корневой папке с исправлениями

Необходимо выполнить несколько действий, чтобы настроить файловый сервер SMB и общую папку, чтобы защитить файлы корневой папки исправлений и файл конфигурации исправлений для доступа только в контексте Microsoft.HotfixPlugin. При этом будет включен ряд функций, позволяющих защитить файлы исправлений от несанкционированного доступа, который может поставить отказоустойчивый кластер под угрозу.

Общий порядок действий.

  1. Определение учетной записи пользователя, применяемой для выполнения прогонов обновления с помощью подключаемого модуля

  2. Настройка учетной записи пользователя в необходимых группах на файловом сервере SMB

  3. Настройка разрешений на доступ к корневой папке исправлений

  4. Настройка параметров для обеспечения целостности данных SMB

  5. Включение правила брандмауэра Windows на сервере SMB

Шаг 1. Определение учетной записи пользователя, используемой для обновления запусков с помощью подключаемого модуля исправления

Учетная запись, используемая в CAU для проверки параметров безопасности при выполнении обновления с помощью Microsoft.HotfixPlugin , зависит от того, используется ли CAU в режиме удаленного обновления или в режиме самостоятельного обновления, как показано ниже.

  • Режим удаленного обновления Учетная запись с правами администратора в кластере для предварительного просмотра и применения обновлений.

  • Режим самостоятельного обновления Имя объекта виртуального компьютера, настроенного в Active Directory для кластеризованной роли CAU. Это либо имя виртуального объекта-компьютера, предварительно подготовленного в Active Directory для кластерной роли CAU, либо имя, созданное компонентом CAU для кластерной роли. Чтобы получить имя, если оно создается CAU, выполните командлет Get-CauClusterRole CAU PowerShell. В выходных данных ResourceGroupName — это имя созданной учетной записи объекта виртуального компьютера.

Шаг 2. Настройка этой учетной записи пользователя в необходимых группах на файловом сервере SMB

Important

Необходимо добавить учетную запись, используемую для выполнения прогонов обновления, в группу локальных администраторов SMB-сервера. Если это запрещено политиками безопасности организации, настройте для этой учетной записи необходимые разрешения на SMB-сервере с помощью описанной ниже процедуры.

Настройка учетной записи пользователя на SMB-сервере

  1. Добавьте учетную запись, которая используется для выполнения прогонов обновления, в группу "Пользователи DCOM" и одну из следующих групп: "Опытные пользователи", "Операторы сервера" или "Операторы печати".

  2. Чтобы предоставить учетной записи необходимые разрешения WMI, запустите на SMB-сервере консоль управления WMI. Запустите PowerShell и введите следующую команду:

    wmimgmt.msc

  3. В дереве консоли щелкните правой кнопкой мыши элемент управления WMI (локальный) и выберите пункт "Свойства".

  4. Щелкните "Безопасность" и разверните узел Root.

  5. Щелкните CIMV2 и нажмите кнопку "Безопасность".

  6. Добавьте учетную запись, используемую для обновления запусков, в список "Имена групп или пользователей".

  7. Предоставьте разрешения execute Methods and Remote Enable для учетной записи, используемой для обновления запусков.

Шаг 3. Настройка разрешений для доступа к корневой папке исправлений

По умолчанию при попытке применить обновления подключаемый модуль исправлений проверяет конфигурацию разрешений на доступ к корневой папке исправлений в файловой системе NTFS. Если разрешения на доступ к папке настроены неправильно, происходит сбой прогона обновления с помощью подключаемого модуля исправлений.

Если для подключаемого модуля исправлений используется конфигурация по умолчанию, проверьте, отвечают ли разрешения на доступ к папке указанным ниже требованиям.

  • Группа "Пользователи" имеет разрешение на чтение.

  • Если подключаемый модуль будет применять обновления с расширением EXE, группа "Пользователи" должна иметь разрешение на выполнение.

  • Только некоторые субъекты безопасности могут (но необязательно) иметь разрешение на запись или изменение. К таким субъектам относятся группа локальных администраторов, СИСТЕМА, СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ и TrustedInstaller. Остальные учетные записи и группы не могут иметь разрешения на запись и изменение для корневой папки исправлений.

Вы также можете отключить предварительные проверки, которые подключаемый модуль выполняет по умолчанию. Это можно сделать одним из двух способов.

  • Если вы используете командлеты PowerShell CAU, настройте аргумент DisableAclChecks='True' в параметре CauPluginArguments для подключаемого модуля исправления.

  • Если вы используете пользовательский интерфейс CAU, выберите параметр "Отключить проверку доступа администратора к корневой папке исправлений и файлу конфигурации" на странице "Дополнительные параметры обновления" мастера, который используется для настройки параметров запуска обновления.

Однако в большинстве сред мы рекомендуем использовать конфигурацию по умолчанию для принудительного выполнения этих проверок.

Шаг 4. Настройка параметров для целостности данных SMB

Для проверки целостности данных, передаваемых через соединения между узлами кластера и общей папкой SMB, подключаемый модуль исправлений требует включения подписания SMB или шифрования SMB для общей папки SMB. Шифрование SMB, которое обеспечивает повышенную безопасность и более высокую производительность во многих средах, поддерживается начиная с Windows Server 2012. Вы можете включить один или оба этих параметра, как указано ниже.

  • Чтобы включить подписывание SMB, см. процедуру, описанную в статье 887429 в базе знаний Майкрософт.

  • Чтобы включить шифрование SMB для общей папки SMB, выполните следующий командлет PowerShell на сервере SMB:

    Set-SmbShare <ShareName> -EncryptData $true

    Где <ShareName> — это имя общей папки SMB.

При необходимости для принудительного применения шифрования SMB в подключениях к серверу SMB выберите параметр "Требовать шифрование SMB" при доступе к корневой папке исправлений в пользовательском интерфейсе CAU или настройте подключаемый аргумент RequireSMBEncryption='True' с помощью командлетов PowerShell CAU.

Important

Если выбран вариант принудительного использования шифрования SMB, а корневая папка исправлений не настроена для доступа с применением шифрования SMB, обновление не будет выполнено.

Шаг 5. Включение правила брандмауэра Windows на сервере SMB

Необходимо включить правило удаленного управления файловым сервером (SMB-in) в брандмауэре Windows на файловом сервере SMB. Эта функция включена по умолчанию в Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012.

Дополнительные ссылки

  • Last updated on