Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Cluster-Aware Update (CAU) använder plugin-program för att samordna installationen av uppdateringar mellan noder i ett redundanskluster. Det här avsnittet innehåller information om hur du använder inbyggda CAU-plugin-program eller andra plugin-program som du installerar för CAU.
Installera ett plugin-program
Ett annat plugin-program än standard-plugin-program som är installerade med CAU (Microsoft.WindowsUpdatePlugin och Microsoft.HotfixPlugin) måste installeras separat. Om CAU används i självuppdateringsläge måste plugin-programmet installeras på alla klusternoder. Om CAU används i fjärruppdateringsläge måste plugin-programmet vara installerat på fjärruppdateringskoordinatordatorn. Ett plugin-program som du installerar kan ha ytterligare installationskrav på varje nod.
Om du vill installera ett plugin-program följer du anvisningarna från plugin-programmets utgivare. Om du vill registrera ett plugin-program manuellt med CAU kör du cmdleten Register-CauPlugin på varje dator där plugin-programmet är installerat.
Ange ett plugin-program och plugin-argument
Ange ett CAU-plugin-program
I CAU-användargränssnittet väljer du ett plugin-program från en listruta med tillgängliga plugin-program när du använder CAU för att utföra följande åtgärder:
Tillämpa uppdateringar på klustret
Förhandsversionsuppdateringar för klustret
Konfigurera självuppdateringsalternativ för kluster
Som standard väljer CAU plugin-programmet Microsoft.WindowsUpdatePlugin. Du kan dock ange alla plugin-program som är installerade och registrerade med CAU.
Tip
I CAU-användargränssnittet kan du bara ange ett enda plugin-program för CAU som ska användas för att förhandsgranska eller tillämpa uppdateringar under en uppdateringskörning. Med hjälp av CAU PowerShell-cmdletar kan du ange ett eller flera plugin-program. Om du behöver installera flera typer av uppdateringar i klustret är det vanligtvis mer effektivt att ange flera plugin-program i en uppdateringskörning i stället för att använda en separat uppdateringskörning för varje plugin-program. Till exempel sker färre omstarter av noder vanligtvis.
Med hjälp av CAU PowerShell-cmdletar som visas i följande tabell kan du ange ett eller flera plugin-program för en uppdateringskörning eller genomsökning genom att skicka parametern -CauPluginName . Du kan ange flera plugin-namn genom att avgränsa dem med kommatecken. Om du anger flera plugin-program kan du också styra hur plugin-programmen påverkar varandra under en uppdateringskörning genom att ange parametrarna -RunPluginsSerially, -StopOnPluginFailure och –SeparateReboots . Mer information om hur du använder flera plugin-program finns i länkarna till cmdlet-dokumentationen i följande tabell.
| Cmdlet | Description |
|---|---|
| Add-CauClusterRole | Lägger till den CAU-klustrade rollen som tillhandahåller självuppdateringsfunktionaliteten till det angivna klustret. |
| Invoke-CauRun | Utför en genomsökning av klusternoder efter tillämpliga uppdateringar och installerar uppdateringarna via en uppdateringskörning i det angivna klustret. |
| Invoke-CauScan | Utför en genomsökning av klusternoder efter tillämpliga uppdateringar och returnerar en lista över den första uppsättningen uppdateringar som skulle tillämpas på varje nod i det angivna klustret. |
| Set-CauClusterRole | Anger konfigurationsegenskaper för CAU-klusterrollen i det angivna klustret. |
Om du inte anger en CAU-plugin-parameter med hjälp av dessa cmdletar är standardinställningen plugin-programmet Microsoft.WindowsUpdatePlugin.
Ange CAU-plugin-argument
När du konfigurerar alternativen Uppdatera körning kan du ange ett eller flera namn=värdepar (argument) för det valda plugin-programmet som ska användas. I CAU-användargränssnittet kan du till exempel ange flera argument på följande sätt:
Name1=Value1;Name2=Value2;Name3=Value3
Dessa namn=värdepar måste vara meningsfulla för plugin-programmet som du anger. För vissa plugin-program är argumenten valfria.
Syntaxen för CAU-plugin-argumenten följer dessa allmänna regler:
Flera namn=värdepar avgränsas med semikolon.
Ett värde som innehåller blanksteg omges av citattecken, till exempel: Name1="Value with Spaces".
Den exakta värdesyntaxen beror på plugin-programmet.
Om du vill ange plugin-argument med hjälp av CAU PowerShell-cmdletar som stöder parametern -CauPluginParameters skickar du en parameter i formuläret:
-CauPluginArguments @{Name1=Value1; Name2=Value2; Name3=Value3}
Du kan också använda en fördefinierad PowerShell-hashtabell. Om du vill ange plugin-argument för fler än ett plugin-program skickar du flera hash-tabeller med argument, avgränsade med kommatecken. Skicka plugin-argumenten i den plugin-ordning som anges i CauPluginName.
Ange valfria plugin-argument
De plugin-program som CAU installerar (Microsoft.WindowsUpdatePlugin och Microsoft.HotfixPlugin) innehåller ytterligare alternativ som du kan välja. I CAU-användargränssnittet visas dessa på sidan Ytterligare alternativ när du har konfigurerat uppdateringskörningsalternativ för plugin-programmet. Om du använder CAU PowerShell-cmdletar konfigureras dessa alternativ som valfria plugin-argument. Mer information finns i Använda Microsoft.WindowsUpdatePlugin och Använd Microsoft.HotfixPlugin senare i det här avsnittet.
Hantera plugin-program med Windows PowerShell-cmdletar
| Cmdlet | Description |
|---|---|
| Get-CauPlugin | Hämtar information om en eller flera programuppdateringsprogram som är registrerade på den lokala datorn. |
| Register-CauPlugin | Registrerar ett CAU-plugin för programuppdatering på den lokala datorn. |
| Unregister-CauPlugin | Tar bort ett programuppdateringsinsticksprogram från listan över insticksprogram som kan användas av CAU. Not: De plugin-program som är installerade med CAU (Microsoft.WindowsUpdatePlugin och Microsoft.HotfixPlugin) kan inte avregistreras. |
Använda Microsoft.WindowsUpdatePlugin
Standard-plugin-programmet för CAU, Microsoft.WindowsUpdatePlugin, utför följande åtgärder:
- Kommunicerar med Windows Update Agent på varje nod för failover-kluster för att tillämpa uppdateringar som behövs för de Microsoft-produkter som körs på varje nod.
- Installerar klusteruppdateringar direkt från Windows Update eller Microsoft Update, eller från en lokal Windows Server Update Services-server (WSUS).
- Installerar endast valda gdr-uppdateringar (General Distribution Release). Plugin-programmet tillämpar som standard endast viktiga programuppdateringar. Ingen konfiguration krävs. Standardkonfigurationen laddar ned och installerar viktiga GDR-uppdateringar på varje nod.
Note
Om du vill tillämpa andra uppdateringar än viktiga programuppdateringar som har valts som standard (till exempel drivrutinsuppdateringar) kan du konfigurera en valfri plugin-parameter. Mer information finns i Konfigurera Windows Update Agent-frågesträngen.
Requirements
- Redundansklustret och fjärruppdateringskoordinatordatorn (om den används) måste uppfylla kraven för CAU och den konfiguration som krävs för fjärrhantering som anges i Krav och metodtips för CAU.
- Granska Rekommendationer för att tillämpa Microsoft-uppdateringaroch gör sedan nödvändiga ändringar i Microsoft Update-konfigurationen för noderna i redundansklustret.
- För bästa resultat rekommenderar vi att du kör CAU Best Practices Analyzer (BPA) för att säkerställa att klustret och uppdateringsmiljön är korrekt konfigurerade för att tillämpa uppdateringar med hjälp av CAU. Mer information finns i Test CAU-uppdateringsberedskap.
Note
Uppdateringar som kräver godkännande av Microsoft-licensvillkor eller kräver användarinteraktion undantas och måste installeras manuellt.
Ytterligare alternativ
Du kan också ange följande plugin-argument för att utöka eller begränsa den uppsättning uppdateringar som tillämpas av plugin-programmet:
- Om du vill konfigurera plugin-programmet för att tillämpa rekommenderade uppdateringar utöver viktiga uppdateringar på varje nod går du till cau-användargränssnittet på sidan Ytterligare alternativ och markerar kryssrutan Ge mig rekommenderade uppdateringar på samma sätt som jag får viktiga uppdateringar .
Du kan också konfigurera plugin-argumentet IncludeRecommendedUpdates='True' . - Om du vill konfigurera plugin-programmet för att filtrera de typer av GDR-uppdateringar som tillämpas på varje klusternod anger du en Windows Update Agent-frågesträng med hjälp av ett QueryString-plugin-argument . Mer information finns i Konfigurera Windows Update Agent-frågesträngen.
Konfigurera Windows Update Agent-frågesträngen
Du kan konfigurera ett plugin-argument för standard-plugin-programmet , Microsoft.WindowsUpdatePlugin, som består av en WUA-frågesträng (Windows Update Agent). Den här instruktionen använder WUA-API:et för att identifiera en eller flera grupper av Microsoft-uppdateringar som ska tillämpas på varje nod, baserat på specifika urvalsvillkor. Du kan kombinera flera villkor med hjälp av en logisk AND eller en logisk OR. WUA-frågesträngen anges i ett plugin-argument enligt följande:
QueryString="Kriterium1=Värde1 och/eller Kriterium2=Värde2 och/eller..."
Till exempel väljer Microsoft.WindowsUpdatePlugin automatiskt viktiga uppdateringar med hjälp av ett standardargument för QueryString som konstrueras med hjälp av kriterierna IsInstalled, Type, IsHidden och IsAssigned :
QueryString = "IsInstalled = 0 och Type='Programvara' och IsHidden = 0 och IsAssigned = 1"
Om du anger ett QueryString-argument används det i stället för standard querystring som har konfigurerats för plugin-programmet.
Exempel 1
Så här konfigurerar du ett QueryString-argument som installerar en specifik uppdatering enligt ID f6ce46c1-971c-43f9-a2aa-783df125f003:
QueryString="UpdateID='f6ce46c1-971c-43f9-a2aa-783df125f003' och IsInstalled=0"
Note
Föregående exempel är giltigt för att tillämpa uppdateringar med hjälp av Cluster-Aware Updating Wizard. Om du vill installera en specifik uppdatering genom att konfigurera självuppdateringsalternativ med CAU-användargränssnittet eller med hjälp av PowerShell-cmdleten Add-CauClusterRole eller Set-CauClusterRole, måste du formatera UpdateID-värdet med två tecken med ett citattecken:
QueryString="UpdateID='f6ce46c1-971c-43f9-a2aa-783df125f003'' och IsInstalled=0"
Exempel 2
Så här konfigurerar du ett QueryString-argument som endast installerar drivrutiner:
Frågesträng="IsInstalled=0 och Typ='Drivrutin' och IsHidden=0"
Mer information om frågesträngar för standard-plugin-programmet, Microsoft.WindowsUpdatePlugin, sökvillkoren (till exempel IsInstalled) och syntaxen som du kan inkludera i frågesträngarna finns i avsnittet om sökvillkor i API-referensen för Windows Update Agent (WUA).
Använda Microsoft.HotfixPlugin
Plugin-programmet Microsoft.HotfixPlugin kan användas för att tillämpa Microsofts uppdateringar av begränsad distributionsversion (LDR) (kallas även snabbkorrigeringar och kallades tidigare QFEs) som du laddar ned separat för att åtgärda specifika Microsoft-programvaruproblem. Plugin-programmet installerar uppdateringar från en rotmapp på en SMB-filresurs och kan också anpassas för att tillämpa drivrutins-, inbyggd programvara och BIOS-uppdateringar som inte kommer från Microsoft.
Note
Snabbkorrigeringar är ibland tillgängliga för nedladdning från Microsoft i Knowledge Base-artiklar, men de tillhandahålls även till kunder efter behov.
Requirements
Redundansklustret och fjärruppdateringskoordinatordatorn (om den används) måste uppfylla kraven för CAU och den konfiguration som krävs för fjärrhantering som anges i Krav och metodtips för CAU.
Granska rekommendationer för att använda Microsoft.HotfixPlugin.
För bästa resultat rekommenderar vi att du kör BPA-modellen (CAU Best Practices Analyzer) för att säkerställa att klustret och uppdateringsmiljön är korrekt konfigurerade för att tillämpa uppdateringar med hjälp av CAU. Mer information finns i Test CAU-uppdateringsberedskap.
Hämta uppdateringarna från utgivaren och kopiera dem eller extrahera dem till en SMB-filresurs (Server Message Block) (snabbkorrigeringsrotmapp) som stöder minst SMB 2.0 och som är tillgänglig för alla klusternoder och fjärrdatorn för uppdateringskoordinator (om CAU används i fjärruppdateringsläge). Mer information finns i Konfigurera en rotmappsstruktur för snabbkorrigeringar senare i det här avsnittet.
Note
Som standard installerar det här plugin-programmet endast snabbkorrigeringar med följande filnamnstillägg: .msu, .msioch .msp.
Kopiera DefaultHotfixConfig.xml -filen (som finns i mappen %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating på en dator där CAU-verktygen är installerade) till den snabbkorrigeringsrotmapp som du skapade och under vilken du extraherade snabbkorrigeringarna. Kopiera till exempel konfigurationsfilen till \\MyFileServer\Hotfixes\Root\.
Note
Om du vill installera de flesta snabbkorrigeringar som tillhandahålls av Microsoft och andra uppdateringar kan standardkonfigurationsfilen för snabbkorrigeringar användas utan ändringar. Om ditt scenario kräver det kan du anpassa konfigurationsfilen som en avancerad uppgift. Konfigurationsfilen kan innehålla anpassade regler, till exempel för att hantera snabbkorrigeringsfiler som har specifika tillägg eller för att definiera beteenden för specifika avslutningsvillkor. Mer information finns i Anpassa konfigurationsfilen för snabbkorrigeringar senare i det här avsnittet.
Configuration
Konfigurera följande inställningar. Mer information finns i länkarna till avsnitt senare i det här avsnittet.
Sökvägen till den delade rotmappen för snabbkorrigeringar som innehåller uppdateringarna som ska tillämpas och konfigurationsfilen för snabbkorrigeringar. Du kan skriva den här sökvägen i CAU-användargränssnittet eller konfigurera HotfixRootFolderPath=<Path> PowerShell-plugin-argumentet.
Note
Du kan ange snabbkorrigeringsrotmappen som en lokal mappsökväg eller som en UNC-sökväg i formuläret \\ServerName\Share\RootFolderName. En domänbaserad eller fristående DFS-namnområdessökväg kan användas. Plugin-funktionerna som kontrollerar åtkomstbehörigheter i snabbkorrigeringskonfigurationsfilen är dock inte kompatibla med en SÖKväg för DFS-namnrymd, så om du konfigurerar en, måste du inaktivera kontrollen av åtkomstbehörigheter med hjälp av CAU-användargränssnittet eller genom att konfigurera plugin-argumentet DisableAclChecks='True' .
Inställningar på servern som är värd för snabbkorrigeringsrotmappen för att söka efter lämpliga behörigheter för att komma åt mappen och säkerställa integriteten för de data som nås från den delade SMB-mappen (SMB-signering eller SMB-kryptering). Mer information finns i Begränsa åtkomsten till snabbkorrigeringsrotmappen.
Ytterligare alternativ
- Du kan också konfigurera plugin-programmet så att SMB-kryptering tillämpas vid åtkomst till data från snabbkorrigeringsfilresursen. I CAU-användargränssnittet går du till sidan Ytterligare alternativ och väljer alternativet Kräv SMB-kryptering vid åtkomst till snabbkorrigeringens rotmapp eller konfigurerar powershell-plugin-argumentet RequireSMBEncryption='True' .
Important
Du måste utföra ytterligare konfigurationssteg på SMB-servern för att aktivera SMB-dataintegritet med SMB-signering eller SMB-kryptering. Mer information finns i Steg 4 i Begränsa åtkomsten till snabbkorrigeringsrotmappen. Om du väljer alternativet för att framtvinga användningen av SMB-kryptering och snabbkorrigeringsrotmappen inte har konfigurerats för åtkomst med hjälp av SMB-kryptering, misslyckas uppdateringskörningen.
- Valfritt kan du inaktivera standardkontrollerna för att säkerställa tillräcklig behörighet för snabbkorrigeringsrotmappen och snabbkorrigeringskonfigurationsfilen. I CAU-användargränssnittet väljer du Inaktivera kontroll av administratörsåtkomst till snabbkorrigeringsrotmappen och konfigurationsfilen, eller konfigurerar DisableAclChecks='True' plugin-argument.
- Du kan också konfigurera argumentet HotfixInstallerTimeoutMinutes=<Integer> för att ange hur länge snabbkorrigeringsplug-in väntar på att snabbkorrigeringsinstallationsprocessen ska avslutas. (Standardvärdet är 30 minuter.) Om du till exempel vill ange en tidsgräns på två timmar anger du HotfixInstallerTimeoutMinutes=120.
- Du kan också konfigurera plugin-argumentet HotfixConfigFileName = <namn> för att specificera ett namn för konfigurationsfilen för snabbkorrigeringen som finns i rotmappen för snabbkorrigeringen. Om det inte anges används standardnamnet DefaultHotfixConfig.xml.
Konfigurera en grundmappstruktur för snabbkorrigeringar
För att snabbkorrigerings-plugin-programmet ska fungera måste snabbkorrigeringar lagras i en väldefinierad struktur i en SMB-filresurs (snabbkorrigeringsrotmapp) och du måste konfigurera snabbkorrigerings-plugin-programmet med sökvägen till snabbkorrigeringsrotmappen med hjälp av CAU-användargränssnittet eller CAU PowerShell-cmdletarna. Den här sökvägen skickas till plugin-programmet som argumentet HotfixRootFolderPath . Du kan välja en av flera strukturer för snabbkorrigeringsrotmappen, enligt dina uppdateringsbehov, som du ser i följande exempel. Filer eller mappar som inte följer strukturen ignoreras.
Exempel 1 – Mappstruktur som används för att tillämpa snabbkorrigeringar på alla klusternoder
Om du vill ange att snabbkorrigeringar gäller för alla klusternoder kopierar du dem till en mapp med namnet CAUHotfix_All under snabbkorrigeringsrotmappen. I det här exemplet är plugin-argumentet HotfixRootFolderPath inställt på \\MyFileServer\Hotfixes\Root\. Mappen CAUHotfix_All innehåller tre uppdateringar med tilläggen .msu, .msioch .msp som ska tillämpas på alla klusternoder. Uppdateringsfilnamnen är endast i illustrationssyfte.
Note
I det här och följande exempel visas snabbkorrigeringskonfigurationsfilen med dess standardnamn DefaultHotfixConfig.xml på den plats som krävs i snabbkorrigeringsrotmappen.
\\MyFileServer\Hotfixes\Root\
DefaultHotfixConfig.xml
CAUHotfix_All\
Update1.msu
Update2.msi
Update3.msp
...
Exempel 2 – Mappstruktur som används för att endast tillämpa vissa uppdateringar på en specifik nod
Om du vill ange snabbkorrigeringar som endast gäller för en specifik nod använder du en undermapp under snabbkorrigeringsrotmappen med nodens namn. Använd NetBIOS-namnet på klusternoden, till exempel ContosoNode1. Flytta sedan uppdateringarna som endast gäller för den här noden till den här undermappen. I följande exempel är plugin-argumentet HotfixRootFolderPath inställt på \\MyFileServer\Hotfixes\Root\. Uppdateringar i mappen CAUHotfix_All tillämpas på alla klusternoder och Node1_Specific_Update.msu tillämpas endast på ContosoNode1.
\\MyFileServer\Hotfixes\Root\
DefaultHotfixConfig.xml
CAUHotfix_All\
Update1.msu
Update2.msi
Update3.msp
...
ContosoNode1\
Node1_Specific_Update.msu
...
Exempel 3 – Mappstruktur som används för att tillämpa andra uppdateringar än .msu-, .msi- och .msp-filer
Som standard tillämpar Microsoft.HotfixPlugin endast uppdateringar med tillägget .msu, .msieller .msp. Vissa uppdateringar kan dock ha olika tillägg och kräva olika installationskommandon. Du kan till exempel behöva tillämpa en uppdatering av inbyggd programvara med tillägget .exe på en nod i ett kluster. Du kan konfigurera snabbkorrigeringsrotmappen med en undermapp som anger att en specifik uppdateringstyp som inte är standard ska installeras. Du måste också konfigurera en motsvarande mappinstallationsregel som anger installationskommandot i <FolderRules>-elementet i XML-filen för snabbkorrigeringskonfiguration.
I följande exempel är plugin-argumentet HotfixRootFolderPath inställt på \\MyFileServer\Hotfixes\Root\. Flera uppdateringar kommer att tillämpas på alla klusternoder och en uppdatering av inbyggd programvara SpecialHotfix1.exe tillämpas på ContosoNode1 med hjälp av FolderRule1. Information om hur du konfigurerar FolderRule1 i snabbkorrigeringskonfigurationsfilen finns i Anpassa konfigurationsfilen för snabbkorrigeringar senare i det här avsnittet.
\\MyFileServer\Hotfixes\Root\
DefaultHotfixConfig.xml
CAUHotfix_All\
Update1.msu
Update2.msi
Update3.msp
...
ContosoNode1\
FolderRule1\
SpecialHotfix1.exe
...
Anpassa snabbkorrigeringskonfigurationsfilen
Konfigurationsfilen för snabbkorrigeringar styr hur Microsoft.HotfixPlugin installerar specifika snabbkorrigeringsfiltyper i ett redundanskluster. XML-schemat för konfigurationsfilen definieras i HotfixConfigSchema.xsd, som finns i följande mapp på en dator där CAU-verktygen är installerade:
%systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating-mappen
Om du vill anpassa konfigurationsfilen för snabbkorrigeringar kopierar du exempelkonfigurationsfilen DefaultHotfixConfig.xml från den här platsen till snabbkorrigeringsrotmappen och gör lämpliga ändringar för ditt scenario.
Important
Om du vill använda de flesta snabbkorrigeringar som tillhandahålls av Microsoft och andra uppdateringar kan standardkonfigurationsfilen för snabbkorrigeringar användas utan ändringar. Anpassning av konfigurationsfilen för snabbkorrigeringar är endast en uppgift i avancerade användningsscenarier.
Som standard definierar XML-filen för snabbkorrigeringskonfiguration installationsregler och avslutningsvillkor för följande två kategorier av snabbkorrigeringar:
Snabbkorrigeringsfiler med tillägg som plugin-programmet kan installera som standard (.msu, .msioch .msp-filer).
Dessa definieras som
<ExtensionRules>element i<DefaultRules>-elementet. Det finns ett<Extension>element för var och en av de standardfiltyper som stöds. Den allmänna XML-strukturen är följande:<DefaultRules> <ExtensionRules> <Extension name="MSI"> <!-- Template and ExitConditions elements for installation of .msi files follow --> ... </Extension> <Extension name="MSU"> <!-- Template and ExitConditions elements for installation of .msu files follow --> ... </Extension> <Extension name="MSP"> <!-- Template and ExitConditions elements for installation of .msp files follow --> ... </Extension> ... </ExtensionRules> </DefaultRules>Om du behöver tillämpa vissa uppdateringstyper på alla klusternoder i din miljö kan du definiera ytterligare
<Extension>element.Snabbkorrigeringar eller andra uppdateringsfiler som inte är .msi, .msu- eller .msp-filer, till exempel drivrutiner som inte kommer från Microsoft, inbyggd programvara och BIOS-uppdateringar.
Varje filtyp som inte är standard konfigureras som ett
<Folder>element i<FolderRules>-elementet. Namnattributet för<Folder>-elementet måste vara identiskt med namnet på en mapp i snabbkorrigeringsrotmappen som innehåller uppdateringar av motsvarande typ. Mappen kan finnas i mappen CAUHotfix_All eller i en nodspecifik mapp. Om FolderRule1 till exempel har konfigurerats i rotmappen för snabbkorrigeringar konfigurerar du följande element i XML-filen för att definiera en installationsmall och avsluta villkoren för uppdateringarna i mappen:<FolderRules> <Folder name="FolderRule1"> <!-- Template and ExitConditions elements for installation of updates in FolderRule1 follow --> ... </Folder> ... </FolderRules>
I följande tabeller beskrivs de <Template> attributen och möjliga <ExitConditions> underelement.
<Template>-attributet |
Description |
|---|---|
path |
Den fullständiga sökvägen till installationsprogrammet för filtypen som definieras i attributet <Extension name>.Om du vill ange sökvägen till en uppdateringsfil i rotmappsstrukturen för snabbkorrigeringar använder du |
parameters |
En sträng med obligatoriska och valfria parametrar för programmet som anges i path.Om du vill ange en parameter som är sökvägen till en uppdateringsfil i rotmappsstrukturen för snabbkorrigeringar använder du |
<ExitConditions> underelement |
Description |
|---|---|
<Success> |
Definierar en eller flera avslutskoder som anger att den angivna uppdateringen lyckades. Det här är ett obligatoriskt underelement. |
<Success_RebootRequired> |
Du kan också definiera en eller flera slutkoder som anger att den angivna uppdateringen lyckades och noden måste startas om. Not: Om du vill kan elementet <Folder> innehålla alwaysReboot attributet. Om det här attributet anges anger det att om en snabbkorrigering som installeras av den här regeln returnerar en av de slutkoder som definieras i <Success>tolkas det som ett <Success_RebootRequired> avslutningsvillkor. |
<Fail_RebootRequired> |
Du kan också definiera en eller flera slutkoder som anger att den angivna uppdateringen misslyckades och noden måste startas om. |
<AlreadyInstalled> |
Du kan också definiera en eller flera slutkoder som anger att den angivna uppdateringen inte tillämpades eftersom den redan är installerad. |
<NotApplicable> |
Du kan också definiera en eller flera slutkoder som anger att den angivna uppdateringen inte tillämpades eftersom den inte gäller för klusternoden. |
Important
All slutkod som inte uttryckligen definieras i <ExitConditions> tolkas som att uppdateringen misslyckades och noden inte startas om.
Begränsa åtkomsten till snabbkorrigeringsrotmappen
Du måste utföra flera steg för att konfigurera SMB-filservern och filresursen för att skydda snabbkorrigeringens rotmappfiler och konfigurationsfilen för snabbkorrigeringar för åtkomst endast i kontexten för Microsoft.HotfixPlugin. De här stegen möjliggör flera funktioner som förhindrar eventuell manipulering av snabbkorrigeringsfilerna på ett sätt som kan äventyra redundansklustret.
De allmänna stegen är följande:
Identifiera det användarkonto som används för att uppdatera körningar med hjälp av plugin-programmet
Konfigurera det här användarkontot i de grupper som krävs på en SMB-filserver
Konfigurera behörigheter för åtkomst till snabbkorrigeringsrotmappen
Konfigurera inställningar för SMB-dataintegritet
Aktivera en Windows-brandväggsregel på SMB-servern
Steg 1: Identifiera användarkontot som används för att uppdatera körningar med hjälp av snabbkorrigeringspluginet
Det konto som används i CAU för att kontrollera säkerhetsinställningarna när du utför en uppdateringskörning med Hjälp av Microsoft.HotfixPlugin beror på om CAU används i fjärruppdateringsläge eller självuppdateringsläge enligt följande:
Fjärruppdateringsläge Kontot som har administratörsbehörighet i klustret för att förhandsgranska och tillämpa uppdateringar.
Läge för självuppdatering Namnet på det virtuella datorobjekt som har konfigurerats i Active Directory för den CAU-klustrade rollen. Det här är antingen namnet på ett fördefinierat virtuellt datorobjekt i Active Directory för den CAU-klustrade rollen eller namnet som genereras av CAU för den klustrade rollen. Hämta namnet om det genereras av CAU genom att köra PowerShell-cmdleten Get-CauClusterRole CAU. I utdata är ResourceGroupName namnet på det genererade objektkontot för virtuell dator.
Steg 2: Konfigurera det här användarkontot i de grupper som behövs på en SMB-filserver
Important
Du måste lägga till det konto som används för att uppdatera körningar som ett lokalt administratörskonto på SMB-servern. Om detta inte är tillåtet på grund av säkerhetsprinciperna i din organisation konfigurerar du det här kontot med nödvändiga behörigheter på SMB-servern med hjälp av följande procedur.
Så här konfigurerar du ett användarkonto på SMB-servern
Lägg till det konto som används för att uppdatera körningar till gruppen Distribuerade COM-användare och till någon av följande grupper: Power User, Server Operation eller Print Operator.
Om du vill aktivera nödvändiga WMI-behörigheter för kontot startar du WMI-hanteringskonsolen på SMB-servern. Starta PowerShell och skriv sedan följande kommando:
wmimgmt.mscI konsolträdet högerklickar du på WMI-kontroll (lokal)och klickar sedan på Egenskaper.
Klicka på Säkerhet och expandera sedan Rot.
Klicka på CIMV2 och sedan på Säkerhet.
Lägg till det konto som används för uppdateringar i grupplistan eller användarnamnlistan.
Bevilja behörigheterna Kör metoder och Fjärraktivera till det konto som används för uppdatering av körningar.
Steg 3: Konfigurera behörigheter för åtkomst till snabbkorrigeringsrotmappen
När du försöker tillämpa uppdateringar kontrollerar snabbkorrigerings-plugin-programmet som standard konfigurationen av NTFS-filsystemets behörigheter för åtkomst till snabbkorrigeringsrotmappen. Om behörigheterna för mappåtkomst inte har konfigurerats korrekt kan det hända att en uppdateringskörning med snabbkorrigerings-plugin-programmet misslyckas.
Om du använder standardkonfigurationen för plugin-programmet för snabbkorrigeringar kontrollerar du att behörigheterna för mappåtkomst uppfyller följande krav.
Gruppen Användare har läsbehörighet.
Om insticksprogrammet kommer att tillämpa uppdateringar med tillägget .exe har gruppen Användare behörighet att köra.
Endast vissa säkerhetsprinciper har tillåtelse (men är inte skyldiga) att ha skriv- eller ändringsbehörighet. De tillåtna principalerna är den lokala gruppen Administratörer, SYSTEM, CREATOR OWNER och TrustedInstaller. Andra konton eller grupper har inte behörighet att skriva eller ändra i snabbkorrigeringsrotmappen.
Du kan också inaktivera de föregående kontrollerna som plugin-programmet utför som standard. Du kan göra detta på något av två sätt:
Om du använder CAU PowerShell-cmdletar konfigurerar du argumentet DisableAclChecks='True' i parametern CauPluginArguments för plugin-programmet för snabbkorrigeringar.
Om du använder CAU-användargränssnittet väljer du Inaktivera kontroll för administratörsåtkomst till snabbkorrigeringsrotmappen och konfigurationsfilen på sidan Ytterligare uppdateringsalternativ i guiden som används för att konfigurera alternativ för uppdateringskörning.
Men som bästa praxis i många miljöer rekommenderar vi att du använder standardkonfigurationen för att framtvinga dessa kontroller.
Steg 4: Konfigurera inställningar för SMB-dataintegritet
För att söka efter dataintegritet i anslutningarna mellan klusternoderna och SMB-filresursen kräver snabbkorrigerings-plugin-programmet att du aktiverar inställningar på SMB-filresursen för SMB-signering eller SMB-kryptering. SMB-kryptering, som ger förbättrad säkerhet och bättre prestanda i många miljöer, stöds från och med Windows Server 2012. Du kan aktivera endera eller båda av dessa inställningar på följande sätt:
Information om hur du aktiverar SMB-signering finns i proceduren i artikeln 887429 i Microsoft Knowledge Base.
Om du vill aktivera SMB-kryptering för den delade SMB-mappen kör du följande PowerShell-cmdlet på SMB-servern:
Set-SmbShare <ShareName> -EncryptData $trueDär <ShareName> är namnet på den delade SMB-mappen.
Om du vill använda SMB-kryptering i anslutningarna till SMB-servern kan du välja Kräv SMB-kryptering vid åtkomst till rotmappen för snabbkorrigeringar i CAU-användargränssnittet eller konfigurera RequireSMBEncryption='True' plugin-argument med hjälp av CAU PowerShell-cmdletarna.
Important
Om du väljer alternativet för att framtvinga användningen av SMB-kryptering och snabbkorrigeringsrotmappen inte har konfigurerats för anslutningar som använder SMB-kryptering, misslyckas uppdateringskörningen.
Steg 5: Aktivera en Windows-brandväggsregel på SMB-servern
Du måste aktivera regeln Filserver för fjärrhantering (SMB-in) i Windows-brandväggen på SMB-filservern. Detta är aktiverat som standard i Windows Server 2016, Windows Server 2012 R2 och Windows Server 2012.