Funktionsweise der Plug-Ins für clusterfähiges Aktualisieren

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI (Versionen 21H2 und 20H2)

Das Feature Clusterfähiges Aktualisieren (Cluster-Aware Updating, CAU) nutzt Plug-Ins, um die Installation von Updates auf allen Knoten in einem Failovercluster zu koordinieren. In diesem Thema finden Sie Informationen zur Verwendung der integrierten Plug-Ins für clusterfähiges Aktualisieren oder anderer Plug-Ins, die Sie für clusterfähiges Aktualisieren installieren.

Installieren von Plug-Ins

Die Standard-Plug-Ins werden zusammen mit dem clusterfähigen Aktualisieren installiert (Microsoft.WindowsUpdatePlugin und Microsoft.HotfixPlugin). Alle weiteren Plug-Ins müssen separat installiert werden. Wenn das clusterfähige Aktualisieren im Selbstaktualisierungsmodus verwendet wird, muss das Plug-In auf allen Clusterknoten installiert werden. Wenn das clusterfähige Aktualisieren im Remoteaktualisierungsmodus verwendet wird, muss das Plug-In auf dem Computer installiert werden, der als Remoteupdatekoordinator dient. Ein von Ihnen installiertes Plug-In kann auf den jeweiligen Knoten weitere Installationsanforderungen aufweisen.

Befolgen Sie zum Installieren eines Plug-Ins die Anweisungen des Plug-In-Herausgebers. Führen Sie das Cmdlet Register-CauPlugin auf jedem Computer aus, auf dem ein bestimmtes Plug-In installiert ist, um dieses Plug-In manuell für das clusterfähige Aktualisieren zu registrieren.

Angeben von Plug-Ins und Plug-In-Argumenten

Angeben eines Plug-Ins für clusterfähiges Aktualisieren

Auf der Benutzeroberfläche für clusterfähiges Aktualisieren wählen Sie ein Plug-In aus der Dropdownliste der verfügbaren Plug-Ins aus, wenn Sie das clusterfähige Aktualisieren zum Durchführen der folgenden Aktionen verwenden:

• Anwenden von Updates auf Cluster

• Updatevorschau für Cluster

• Konfigurieren von Selbstaktualisierungsoptionen für Cluster

Standardmäßig wird das Plug-In Microsoft.WindowsUpdatePlugin für das clusterfähige Aktualisieren ausgewählt. Sie können jedoch ein beliebiges Plug-In angeben, das für das clusterfähige Aktualisieren registriert wurden.

Tipp

Über die Benutzeroberfläche für clusterfähiges Aktualisieren können Sie nur ein einzelnes Plug-In für clusterfähiges Aktualisieren zum Anzeigen einer Updatevorschau oder beim Anwenden von Updates während einer Updateausführung angeben. Mit den PowerShell-Cmdlets für clusterfähiges Aktualisieren können Sie ein einzelnes oder mehrere Plug-Ins angeben. Wenn Sie verschiedene Arten von Updates im Cluster installieren müssen, ist es in der Regel effizienter, mehrere Plug-Ins für eine Updateausführung anzugeben, anstatt für jedes Plug-In eine separate Updateausführung zu starten. Dadurch sind z. B. meist weniger Knotenneustarts erforderlich.

Mit den in der folgenden Tabelle aufgeführten PowerShell-Cmdlets für clusterfähiges Aktualisieren können Sie ein einzelnes oder mehrere Plug-Ins für eine Updateausführung oder eine Überprüfung angeben, indem Sie den Parameter -CauPluginName übergeben. Sie können mehrere Plug-In-Namen durch Kommas trennen. Wenn Sie mehrere Plug-Ins angeben, können Sie auch steuern, wie sich die Plug-Ins während einer Updateausführung untereinander beeinflussen, indem Sie die Parameter -RunPluginsSerially, -StopOnPluginFailure und –SeparateReboots angeben. Weitere Informationen zur Verwendung mehrerer Plug-Ins erhalten Sie über die Links zur Cmdlet-Dokumentation, die in der folgenden Tabelle bereitgestellt sind.

Cmdlet	BESCHREIBUNG
Add-CauClusterRole	Fügt die Clusterrolle für clusterfähiges Aktualisieren hinzu, die dem angegebenen Cluster die Selbstaktualisierungsfunktion bereitstellt.
Invoke-CauRun	Prüft Clusterknoten auf geeignete Updates und installiert diese Updates über eine Updateausführung auf dem angegebenen Cluster.
Invoke-CauScan	Prüft Clusterknoten auf geeignete Updates und gibt eine Liste des ersten Updatesatzes zurück, der auf jeden Knoten des angegebenen Clusters angewendet werden würde.
Set-CauClusterRole	Legt Konfigurationseigenschaften für die Clusterrolle für clusterfähiges Aktualisieren auf dem angegebenen Cluster fest.

Wenn Sie mithilfe dieser Cmdlets keinen Plug-In-Parameter für clusterfähiges Aktualisieren angeben, stellt das Plug-In Microsoft.WindowsUpdatePlugin die Standardoption dar.

Angeben von Plug-In-Argumenten für clusterfähiges Aktualisieren

Wenn Sie die Optionen für die Updateausführung konfigurieren, können Sie ein oder mehrere Paare vom Typ Name=Wert (Argumente) angeben, die für das ausgewählte Plug-In verwendet werden. Auf der Benutzeroberfläche für clusterfähiges Aktualisieren können Sie z. B. wie folgt mehrere Argumente angeben:

Name1=Wert1;Name2=Wert2;Name3=Wert3

Diese Paare vom Typ Name=Wert müssen für das angegebene Plug-In verwertbar sein. Für einige Plug-Ins sind diese Argumente optional.

Die Syntax der Plug-In-Argumente für clusterfähiges Aktualisieren folgt den folgenden allgemeinen Regeln:

• Mehrere Paare vom Typ Name=Wert werden durch Semikolons getrennt.

• Ein Leerzeichen enthaltender Wert wird in Anführungszeichen eingeschlossen. Beispiel: Name1="Value with Spaces".

• Die genaue Syntax für den Wert hängt vom Plug-In ab.

Übergeben Sie einen Parameter in der folgenden Form, um Plug-In-Argumente mithilfe der PowerShell-Cmdlets für clusterfähiges Aktualisieren anzugeben, die den Parameter –CauPluginParameters unterstützen:

-CauPluginArguments @{Name1=Wert1;Name2=Wert2;Name3=Wert3}

Sie können auch eine vordefinierte PowerShell-Hashtabelle verwenden. Übergeben Sie mehrere durch Kommas getrennte Hashtabellen mit Argumenten, um Plug-In-Argumente für mehrere Plug-Ins anzugeben. Übergeben Sie die Plug-In-Argumente in der Plug-In-Reihenfolge, die in CauPluginName angegeben ist.

Angeben optionaler Plug-In-Argumente

Die für das clusterfähige Aktualisieren installierten Plug-Ins (Microsoft.WindowsUpdatePlugin und Microsoft.HotfixPlugin) bieten zusätzliche Optionen, die Sie auswählen können. Diese werden auf der Benutzeroberfläche für clusterfähiges Aktualisieren auf der Seite Zusätzliche Optionen angezeigt, nachdem Sie die Optionen für die Updateausführung für das Plug-In konfiguriert haben. Bei Verwendung der PowerShell-Cmdlets für clusterfähiges Aktualisieren werden diese Optionen als optionale Plug-In-Argumente konfiguriert. Weitere Informationen finden Sie weiter unten in diesem Thema unter Verwenden von Microsoft.WindowsUpdatePlugin und Verwenden von Microsoft.HotfixPlugin.

Verwalten von Plug-Ins mithilfe von Windows PowerShell-Cmdlets

Cmdlet	BESCHREIBUNG
Get-CauPlugin	Ruft Informationen zu mindestens einem Softwareaktualisierungs-Plug-In ab, das auf dem lokalen Computer registriert ist.
Register-CauPlugin	Registriert ein Softwareaktualisierungs-Plug-In für clusterfähiges Aktualisieren auf dem lokalen Computer.
Unregister-CauPlugin	Entfernt ein Softwareaktualisierungs-Plug-In aus der Liste der Plug-Ins, die für clusterfähiges Aktualisieren verwendet werden können. Hinweis: Die Registrierung der mit dem Feature zum clusterfähigen Aktualisieren installierten Plug-Ins (Microsoft.WindowsUpdatePlugin und Microsoft.HotfixPlugin) kann nicht aufgehoben werden.

Verwenden von „Microsoft.WindowsUpdatePlugin“

Das Standard-Plug-In für das clusterfähige Aktualisieren, Microsoft.WindowsUpdatePlugin, führt die folgenden Aktionen aus:

• Das Plug-In steht in Kontakt mit dem Windows Update-Agent auf den einzelnen Knoten des Failoverclusters, um Updates für die Microsoft-Produkte anzuwenden, die auf den einzelnen Knoten ausgeführt werden.
• Es installiert Clusteraktualisierungen direkt von Windows Update oder Microsoft Update oder von einem lokalen WSUS-Server (Windows Server Update Services).
• Es installiert nur ausgewählte Updates von allgemeinen Vertriebsversionen. Das Plug-In wendet standardmäßig nur wichtige Softwareupdates an. Es ist keine Konfiguration erforderlich. Die Standardkonfiguration lädt wichtige Updates von allgemeinen Vertriebsversionen auf die einzelnen Knoten herunter und installiert sie.

Hinweis

Sie können einen optionalen Plug-In-Parameter konfigurieren, um neben den standardmäßig ausgewählten wichtigen Softwareupdates (z. B. Treiberupdates) auch andere Updates anzuwenden. Weitere Informationen finden Sie unter Konfigurieren der Abfragezeichenfolge für den Windows Update-Agent.

Anforderungen

• Der Computer für den Failovercluster und den Remoteupdatekoordinator (sofern verwendet) muss den Anforderungen für clusterfähiges Aktualisieren sowie der Konfiguration entsprechen, die für die Remoteverwaltung erforderlich ist, die unter Anforderungen und Best Practices für clusterfähiges Aktualisieren aufgeführt ist.
• Lesen Sie die Empfehlungen für die Anwendung von Microsoft-Updates, und nehmen Sie dann alle erforderlichen Änderungen an der Microsoft-Updatekonfiguration für die Failoverclusterknoten vor.
• Um die besten Ergebnisse zu erzielen, empfiehlt es sich, dass Sie den Best Practices Analyzer (BPA) für clusterfähiges Aktualisieren ausführen, um sicherzustellen, dass die Cluster- und Updateumgebung ordnungsgemäß für die Anwendung von Updates über clusterfähiges Aktualisieren konfiguriert sind. Weitere Informationen finden Sie unter Testen der Updatebereitschaft für clusterfähiges Aktualisieren.

Hinweis

Updates, die das Akzeptieren von Microsoft-Lizenzbedingungen oder andere Benutzerinteraktionen erfordern, werden ausgeschlossen und müssen manuell installiert werden.

Zusätzliche Optionen

Optional können Sie die folgenden Plug-In-Argumente angeben, um die Anzahl der vom Plug-In angewendeten Updates zu erhöhen oder zu begrenzen:

• Aktivieren Sie auf der Benutzeroberfläche für clusterfähiges Aktualisieren auf der Seite Weitere Optionen das Kontrollkästchen Empfohlene Updates auf die gleiche Weise wie wichtige Updates bereitstellen, um das Plug-In zu konfigurieren, damit zusätzlich zu wichtigen Updates auch empfohlene Updates auf die einzelnen Knoten angewendet werden.
  Alternativ konfigurieren Sie das Plug-In-Argument 'IncludeRecommendedUpdates'='True'.
• Geben Sie eine Abfragezeichenfolge für den Windows Update-Agent mithilfe des Plug-In-Arguments QueryString an, um das Plug-In so zu konfigurieren, dass die Typen von Updates von allgemeinen Vertriebsversionen gefiltert werden, die auf die einzelnen Clusterknoten angewendet werden. Weitere Informationen finden Sie unter Konfigurieren der Abfragezeichenfolge für den Windows Update-Agent.

Konfigurieren der Abfragezeichenfolge für den Windows Update-Agent

Sie können ein Plug-In-Argument für das Standard-Plug-In, Microsoft.WindowsUpdatePlugin, konfigurieren, das aus einer Abfragezeichenfolge für den Windows Update-Agent (WUA) besteht. Diese Anweisung verwendet die WUA-API, um eine oder mehrere Gruppen von Microsoft-Updates zu ermitteln, die auf Basis bestimmter Auswahlkriterien auf die einzelnen Knoten angewendet werden. Sie können mehrere Kriterien mithilfe einer logischen UND- oder ODER-Operation kombinieren. Die WUA-Abfragezeichenfolge wird wie folgt in einem Plug-In-Argument angegeben:

QueryString="Kriterium1=Wert1 and/or Kriterium2=Wert2“ and/or …"

Microsoft.WindowsUpdatePlugin wählt z. B. wichtige Updates automatisch mithilfe des Standardarguments QueryString aus, das mit den Kriterien IsInstalled, Type, IsHidden und IsAssigned erzeugt wird:

QueryString="IsInstalled=0 and Type='Software' and IsHidden=0 and IsAssigned=1"

Wenn Sie das Argument QueryString angeben, wird es anstelle des standardmäßigen QueryString-Arguments verwendet, das für das Plug-In konfiguriert ist.

Beispiel 1

So konfigurieren Sie ein QueryString-Argument, das ein bestimmtes Update installiert, das durch die ID f6ce46c1-971c-43f9-a2aa-783df125f003 gekennzeichnet ist

QueryString="UpdateID='f6ce46c1-971c-43f9-a2aa-783df125f003' and IsInstalled=0"

Hinweis

Das vorherige Beispiel gilt für die Anwendung von Updates mithilfe des Assistenten für clusterfähiges Aktualisieren. Wenn Sie ein bestimmtes Update durch Konfigurieren von Selbstaktualisierungsoptionen über die Benutzeroberfläche für clusterfähiges Aktualisieren oder mithilfe der PowerShell-Cmdlets Add-CauClusterRole oder Set-CauClusterRole installieren möchten, müssen Sie den UpdateID-Wert mit zwei einfachen Anführungszeichen formatieren:

QueryString="UpdateID=''f6ce46c1-971c-43f9-a2aa-783df125f003'' and IsInstalled=0"

Beispiel 2

So konfigurieren Sie ein QueryString-Argument, das ausschließlich Treiber installiert

QueryString="IsInstalled=0 and Type='Driver' and IsHidden=0"

Weitere Informationen zu Abfragezeichenfolgen für das standardmäßige Plug-In (Microsoft.WindowsUpdatePlugin), zu den Suchkriterien (z. B. IsInstalled) und zur Syntax, die Sie in die Abfragezeichenfolgen einbeziehen können, finden Sie im Abschnitt zu den Suchkriterien in der Referenz zur Windows Update-Agent-API.

Verwenden von "Microsoft.HotfixPlugin"

Mithilfe des Microsoft.HotfixPlugin-Plug-Ins können Sie Microsoft-Updates für eingeschränkte Vertriebsversionen (Limited Distribution Releases, LDRs) anwenden, die Sie zur Behandlung bestimmter Probleme mit Software von Microsoft unabhängig herunterladen. (Diese Updates werden auch als Hotfixes oder vormals als QFEs bezeichnet.) Das Plug-In installiert Updates aus einem Stammordner auf einer SMB-Dateifreigabe und kann auch so angepasst werden, dass es Treiber-, -Firmware- und BIOS-Updates von anderen Anbietern als Microsoft anwendet.

Hinweis

Hotfixes stehen gelegentlich in Knowledge Base-Artikeln von Microsoft zum Download bereit, aber sie werden Benutzern auch auf Anforderung bereitgestellt.

Anforderungen

• Der Computer für den Failovercluster und den Remoteupdatekoordinator (sofern verwendet) muss den Anforderungen für clusterfähiges Aktualisieren sowie der Konfiguration entsprechen, die für die Remoteverwaltung erforderlich ist, die unter Anforderungen und Best Practices für clusterfähiges Aktualisieren aufgeführt ist.

• Lesen Sie hierzu Empfehlungen zur Verwendung von Microsoft.HotfixPlugin.

• Um die besten Ergebnisse zu erzielen, empfiehlt es sich, dass Sie das BPA-Modell (Best Practices Analyzer) für clusterfähiges Aktualisieren ausführen, um sicherzustellen, dass die Cluster- und Updateumgebung ordnungsgemäß für die Anwendung von Updates über clusterfähiges Aktualisieren konfiguriert sind. Weitere Informationen finden Sie unter Testen der Updatebereitschaft für clusterfähiges Aktualisieren.

• Rufen Sie die Updates vom Herausgeber ab, und kopieren oder extrahieren Sie sie in eine(r) SMB-Dateifreigabe (Hotfixstammordner), die mindestens SMB 2.0 unterstützt und für alle Clusterknoten sowie den Remotecomputer des Updatekoordinators verfügbar ist (wenn das clusterfähige Aktualisieren im Remoteaktualisierungsmodus verwendet wird). Weitere Informationen finden Sie weiter unten in diesem Thema unter Konfigurieren einer Hotfixstammordnerstruktur.

  Hinweis

  Dieses Plug-In installiert standardmäßig nur Hotfixes mit den folgenden Dateinamenerweiterungen: MSU, MSI und MSP.

• Kopieren Sie die Datei "DefaultHotfixConfig.xml" (die im Order %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating auf einem Computer bereitgestellt wird, auf dem die Tools für clusterfähiges Aktualisieren installiert sind) in den von Ihnen erstellten Hotfixstammordner, in dem Sie die Hotfixes extrahiert haben. Kopieren Sie die Konfigurationsdatei z. B. in den Ordner \\MyFileServer\Hotfixes\Root\.

  Hinweis

  Für die Installation der meisten von Microsoft bereitgestellten Hotfixes und anderer Updates kann die standardmäßige Hotfixkonfigurationsdatei ohne Änderungen verwendet werden. Sie können die Konfigurationsdatei als erweiterte Aufgabe anpassen, wenn dies in Ihrem Szenario erforderlich ist. Die Konfigurationsdatei kann benutzerdefinierte Regeln enthalten, z. B. zum Behandeln von Hotfixdateien mit spezieller Erweiterung oder zum Definieren eines Verhaltens für bestimmte Beendigungsbedingungen. Weitere Informationen finden Sie weiter unten in diesem Thema unter Anpassen der Hotfixkonfigurationsdatei.

Konfiguration

Konfigurieren Sie die folgenden Einstellungen. Weitere Informationen finden Sie über die Links zu weiter unten in diesem Thema folgenden Abschnitten.

• Der Pfad zum freigegebenen Hotfixstammordner, der die anzuwendenden Updates und die Hotfixkonfigurationsdatei enthält. Sie können diesen Pfad über die Benutzeroberfläche für clusterfähiges Aktualisieren eingeben oder das PowerShell-Plug-In-Argument HotfixRootFolderPath=<Path> konfigurieren.

  Hinweis

  Sie können den Hotfixstammordner als lokalen Pfad oder als UNC-Pfad im Format \\ServerName\Share\RootFolderName angeben. Es kann ein domänenbasierter oder eigenständiger DFS-Namespacepfad verwendet werden. Die Plug-In-Features, die die Zugriffsberechtigungen in der Hotfixkonfigurationsdatei prüfen, sind inkompatibel zu DFS-Namespacepfaden. Wenn Sie daher einen DFS-Namespacepfad konfigurieren, müssen Sie die Prüfung der Zugriffsberechtigungen mithilfe der Benutzeroberfläche für clusterfähiges Aktualisieren oder durch Konfigurieren des Plug-In-Arguments DisableAclChecks='True' deaktivieren.

• Einstellungen auf dem Server, der den Hotfixstammordner hostet, zum Prüfen der geeigneten Zugriffsberechtigungen für den Ordner sowie zum Gewährleisten der Integrität der Daten, auf die über den freigegebenen SMB-Ordner zugegriffen wird (SMB-Signatur oder SMB-Verschlüsselung). Weitere Informationen finden Sie unter Einschränken des Zugriffs auf den Hotfixstammordner.

Zusätzliche Optionen

• Konfigurieren Sie optional das Plug-In, damit beim Zugriff auf Daten von der Hotfixdateifreigabe die SMB-Verschlüsselung erzwungen wird. Wählen Sie auf der Benutzeroberfläche für clusterfähiges Aktualisieren auf der Seite Zusätzliche Optionen das Kontrollkästchen SMB-Verschlüsselung beim Zugriff auf Hotfixstammordner anfordern aus, oder konfigurieren Sie das PowerShell-Plug-In-Argument RequireSMBEncryption='True'.

  Wichtig

  Sie müssen auf dem SMB-Server zusätzliche Konfigurationsschritte ausführen, um die SMB-Datenintegrität mithilfe der SMB-Signatur oder SMB-Verschlüsselung zu ermöglichen. Weitere Informationen finden Sie unter Schritt 4 in Einschränken des Zugriffs auf den Hotfixstammordner. Wenn Sie die Option zum Erzwingen der Verwendung der SMB-Verschlüsselung auswählen und der Hotfixstammordner nicht für den Zugriff mit SMB-Verschlüsselung konfiguriert ist, tritt bei der Updateausführung ein Fehler auf.

• Deaktivieren Sie optional die Standardprüfungen auf ausreichende Berechtigungen für den Hotfixstammordner und die Hotfixkonfigurationsdatei. Wählen Sie auf der Benutzeroberfläche für clusterfähiges Aktualisieren die Option Prüfung auf Administratorzugriff auf Hotfixstammordner und Konfigurationsdatei deaktivieren aus, oder konfigurieren Sie das Plug-In-Argument DisableAclChecks='True'.
• Optional können Sie das Argument HotfixInstallerTimeoutMinutes=<Integer> konfigurieren, um anzugeben, wie lange das Hotfix-Plugin auf die Rückmeldung des Prozesses zur Hotfixinstallation wartet. (Der Standardwert beträgt 30 Minuten.) Legen Sie z. B. HotfixInstallerTimeoutMinutes=120 fest, um ein Zeitlimit von zwei Stunden anzugeben.
• Optional konfigurieren Sie das Plug-In-Argument HotfixConfigFileName = <Name>, um einen Namen für die Hotfixkonfigurationsdatei anzugeben, die sich im Hotfixstammordner befindet. Wenn der Name nicht angegeben wird, lautet der Standardname "DefaultHotfixConfig.xml".

Konfigurieren einer Hotfixstammordnerstruktur

Damit das Hotfix-Plug-In funktioniert, müssen die Hotfixes in einer sorgfältig definierten Struktur auf einer SMB-Dateifreigabe (Hotfixstammordner) gespeichert werden. Zudem müssen Sie das Hotfix-Plug-In mit dem Pfad zum Hotfixstammordner über die Benutzeroberfläche oder den PowerShell-Cmdlets für clusterfähiges Aktualisieren konfigurieren. Dieser Pfad wird als HotfixRootFolderPath-Argument an das Plug-In übergeben. Gemäß Ihrer Aktualisierungsanforderungen können Sie für den Hotfixstammordner eine von vielen Strukturen auswählen, wie in den folgenden Beispielen gezeigt. Dateien oder Ordner, die der Struktur nicht entsprechen, werden ignoriert.

Beispiel 1: Ordnerstruktur zum Anwenden von Hotfixes auf alle Clusterknoten

Um anzugeben, dass Hotfixes für alle Clusterknoten gelten, kopieren Sie sie unter dem Hotfixstammordner in einen Ordner namens CAUHotfix_All. In diesem Beispiel wurde für das Plug-In-Argument HotfixRootFolderPath der Wert \\MyFileServer\Hotfixes\Root\ festgelegt. Der Ordner CAUHotfix_All enthält drei Updates mit den Erweiterungen MSU, MSI und MSP, die auf alle Clusterknoten angewendet werden. Die Namen der Updatedateien dienen nur zur Veranschaulichung.

Hinweis

In diesem und den folgenden Beispielen wird die Hotfixkonfigurationsdatei mit dem Standardnamen "DefaultHotfixConfig.xml" am erforderlichen Speicherort im Hotfixstammordner angezeigt.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

Beispiel 2: Ordnerstruktur zum Anwenden bestimmter Updates auf einen bestimmten Knoten

Um Hotfixes anzugeben, die nur auf einen bestimmten Knoten angewendet werden, verwenden Sie unter dem Hotfixstammordner einen Unterordner mit dem Namen dieses Knotens. Verwenden Sie den NetBIOS-Namen des Clusterknotens, z. B. ContosoNode1. Verschieben Sie dann die Updates, die nur für diesen Knoten gelten, in diesen Unterordner. In folgendem Beispiel wurde für das Plug-In-Argument HotfixRootFolderPath der Wert \\MyFileServer\Hotfixes\Root\ festgelegt. Die Updates im Ordner CAUHotfix_All werden auf alle Clusterknoten angewendet, während Node1_Specific_Update.msu nur auf ContosoNode1 angewendet wird.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...
   ContosoNode1\
      Node1_Specific_Update.msu
      ...

Beispiel 3: Ordnerstruktur zum Anwenden von Updates mit anderen Dateierweiterungen als MSU, MSI und MSP

Das Plug-In Microsoft.HotfixPlugin wendet standardmäßig nur Updates mit den Erweiterungen MSU, MSI oder MSP an. Bestimmte Updates können jedoch andere Erweiterungen aufweisen und somit andere Installationsbefehle erfordern. Möglicherweise müssen Sie ein Firmwareupdate mit der Erweiterung EXE auf einen Knoten in einem Cluster anwenden. Sie können den Hotfixstammordner mit einem Unterordner konfigurieren, der angibt, dass ein bestimmter, nicht standardmäßiger Updatetyp installiert werden muss. Sie müssen auch eine entsprechende Ordnerinstallationsregel konfigurieren, die den Installationsbefehl im <FolderRules> -Element in der XML-Datei der Hotfixkonfiguration angibt.

In folgendem Beispiel wurde für das Plug-In-Argument HotfixRootFolderPath der Wert \\MyFileServer\Hotfixes\Root\ festgelegt. Es werden verschiedene Updates auf alle Clusterknoten angewendet. Zusätzlich wird das Firmwareupdate SpecialHotfix1.exe mithilfe von FolderRule1 auf ContosoNode1 angewendet. Weitere Informationen zum Konfigurieren von FolderRule1 in der Hotfixkonfigurationsdatei finden Sie später in diesem Abschnitt unter Anpassen der Hotfixkonfigurationsdatei.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

   ContosoNode1\
      FolderRule1\
          SpecialHotfix1.exe
      ...

Anpassen der Hotfixkonfigurationsdatei

Die Hotfixkonfigurationsdatei steuert, wie bestimmte Hotfixtypen von Microsoft.HotfixPlugin in einem Failovercluster installiert werden. Das XML-Schema für die Konfigurationsdatei wird in der Datei "HotfixConfigSchema.xsd" definiert, die sich im folgenden Ordner auf einem Computer befindet, auf dem die Tools für clusterfähiges Aktualisieren installiert sind:

%systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating

Kopieren Sie die Beispielkonfigurationsdatei "DefaultHotfixConfig.xml" aus diesem Speicherort in den Hotfixstammordner, und nehmen Sie die entsprechenden Änderungen für Ihr Szenario vor, um die Hotfixkonfigurationsdatei anzupassen:

Wichtig

Für die Anwendung der meisten von Microsoft bereitgestellten Hotfixes und anderer Updates kann die standardmäßige Hotfixkonfigurationsdatei ohne Änderungen verwendet werden. Die Anpassung der Hotfixkonfigurationsdatei zählt nur in fortgeschrittenen Verwendungsszenarios zu den erforderlichen Aufgaben.

Standardmäßig definiert die XML-Datei der Hotfixkonfiguration die Installationsregeln und Beendigungsbedingungen für die folgenden beiden Kategorien von Hotfixes:

• Hotfixdateien mit Erweiterungen, die vom Plug-In standardmäßig installiert werden können (MSU-, MSI- und MSP-Dateien).

  Diese sind als <ExtensionRules> -Elemente im <DefaultRules> -Element definiert. Für jeden standardmäßig unterstützten Dateityp gibt es ein <Extension> -Element. Die allgemeine XML-Struktur sieht wie folgt aus:

  <DefaultRules>
      <ExtensionRules>
        <Extension name="MSI">
          <!-- Template and ExitConditions elements for installation of .msi files follow -->
           ...
        </Extension>
        <Extension name="MSU">
          <!-- Template and ExitConditions elements for installation of .msu files follow -->
           ...
        </Extension>
        <Extension name="MSP">
          <!-- Template and ExitConditions elements for installation of .msp files follow -->
           ...
        </Extension>
           ...
     </ExtensionRules>
  </DefaultRules>
  

  Wenn Sie bestimmte Updatetypen auf alle Clusterknoten in der Umgebung anwenden müssen, können Sie weitere <Extension> -Elemente definieren.

• Hotfix- oder andere Updatedateien, bei denen es sich nicht um MSI-, MSU- oder MSP-Dateien handelt, z. B. nicht von Microsoft stammende Treiber, Firmware und BIOS-Updates.

  Jeder nicht standardmäßige Dateityp wird als <Folder> -Element im <FolderRules> -Element konfiguriert. Das Namensattribut des <Folder> -Elements muss mit dem Namen eines Ordners im Hotfixstammordner übereinstimmen, der Updates vom entsprechenden Typ enthalten wird. Der Ordner kann sich im Ordner CAUHotfix_All oder in einem knotenabhängigen Ordner befinden. Wenn FolderRule1 z. B. im Hotfixstammordner konfiguriert ist, konfigurieren Sie das folgende Element in der XML-Datei, damit es eine Installationsvorlage und Beendigungsbedingungen für die Updates in diesem Ordner definiert:

  <FolderRules>
        <Folder name="FolderRule1">
          <!-- Template and ExitConditions elements for installation of updates in FolderRule1 follow -->
           ...
        </Folder>
        ...
  </FolderRules>
  

In der folgenden Tabelle werden die <Template> -Attribute und mögliche <ExitConditions> -Unterelemente beschrieben.

<Template>-Attribut	BESCHREIBUNG
path	Der vollständige Pfad zum Installationsprogramm für den Dateityp, der im <Extension name> -Attribut definiert ist. Verwenden Sie $update$, um den Pfad zu einer Updatedatei in der Hotfix-Stammordnerstruktur anzugeben.
parameters	Eine Zeichenfolge erforderlicher und optionaler Parameter für das Programm, das in pathangegeben ist. Verwenden Sie $update$, um einen Parameter anzugeben, der dem Pfad zu einer Updatedatei in der Hotfix-Stammordnerstruktur entspricht.

<ExitConditions>-Unterelement	BESCHREIBUNG
<Success>	Definiert mindestens einen Beendigungscode, der auf die erfolgreiche Ausführung des angegebenen Updates hinweist. Dies ist ein erforderliches Unterelement.
<Success_RebootRequired>	Definiert optional mindestens einen Beendigungscode, der darauf hinweist, dass das Update erfolgreich ausgeführt wurde und der Knoten neu gestartet werden muss. Hinweis: Das Element <Folder> kann optional das Attribut alwaysReboot enthalten. Wenn dieses Attribut festgelegt ist, zeigt es an, dass wenn ein von dieser Regel installiertes Hotfix einen der Beendigungscodes zurückgibt, die in <Success>definiert sind, dieser als <Success_RebootRequired> -Beendigungsbedingung interpretiert wird.
<Fail_RebootRequired>	Definiert optional mindestens einen Beendigungscode, der darauf hinweist, dass das Update nicht erfolgreich ausgeführt wurde und der Knoten neu gestartet werden muss.
<AlreadyInstalled>	Definiert optional mindestens einen Beendigungscode, der darauf hinweist, dass das angegebene Update nicht angewendet wurde, da es bereits installiert ist.
<NotApplicable>	Definiert optional mindestens einen Beendigungscode, der darauf hinweist, dass das angegebene Update nicht angewendet wurde, da es nicht für den Clusterknoten gilt.

Wichtig

Ein Beendigungscode, der in <ExitConditions> nicht explizit definiert ist, wird bei einem Fehler des Updates interpretiert und der Knoten wird nicht neu gestartet.

Einschränken des Zugriffs auf den Hotfixstammordner

Sie müssen verschiedene Schritte ausführen, um den SMB-Dateiserver und die -Dateifreigabe so zu konfigurieren, dass nur im Kontext von Microsoft.HotfixPlugin auf die Dateien im Hotfixstammordner und die Hotfixkonfigurationsdatei zugegriffen werden kann. Diese Schritte aktivieren verschiedene Features, die dabei helfen, mögliche Manipulationen an den Hotfixdateien zu verhindern, die möglicherweise den Failovercluster gefährden können.

Dies sind die Hauptschritte:

1. Identifizieren des für Updateausführungen verwendeten Benutzerkontos mithilfe des Plug-Ins

2. Konfigurieren dieses Benutzerkontos in den erforderlichen Gruppen auf einem SMB-Dateiserver

3. Konfigurieren der Berechtigungen für den Zugriff auf den Hotfixstammordner

4. Konfigurieren der Einstellungen für die SMB-Datenintegrität

5. Aktivieren der Windows-Firewall-Regel auf dem SMB-Server

Schritt 1: Identifizieren des für Updateausführungen verwendeten Benutzerkontos mithilfe des Plug-Ins

Das Konto, das für das clusterfähige Aktualisieren zum Prüfen der Sicherheitseinstellungen während einer Updateausführung mithilfe von Microsoft.HotfixPlugin verwendet wird, hängt wie folgt davon ab, ob das clusterfähige Aktualisieren im Remoteaktualisierungsmodus oder im Selbstaktualisierungsmodus verwendet wird:

• Remoteaktualisierungsmodus Das Konto, das auf dem Cluster über Administratorrechte verfügt, um eine Updatevorschau anzuzeigen oder Updates anzuwenden.

• Selbstaktualisierungsmodus Der Name des virtuellen Computerobjekts, das in Active Directory für die Clusterrolle für clusterfähiges Aktualisieren konfiguriert ist. Dies ist entweder der Name eines vorab bereitgestellten virtuellen Computerobjekts in Active Directory für die Clusterrolle für clusterfähiges Aktualisieren oder der Name, der von der Clusterrolle für clusterfähiges Aktualisieren generiert wird. Wenn der Name durch das Feature zum clusterfähigen Aktualisieren generiert wurde, führen Sie das PowerShell-Cmdlet Get-CauClusterRole aus, um ihn abzurufen. In der Ausgabe ist ResourceGroupName der Name des generierten virtuellen Computerobjektkontos.

Schritt 2: Konfigurieren dieses Benutzerkontos in den erforderlichen Gruppen auf einem SMB-Dateiserver

Wichtig

Sie müssen das für die Updateausführungen verwendete Konto als lokales Administratorkonto auf dem SMB-Server hinzufügen. Wenn dies aufgrund der Sicherheitsrichtlinien in Ihrer Organisation nicht zulässig ist, konfigurieren Sie dieses Konto auf dem SMB-Server mit den erforderlichen Berechtigungen, indem Sie das folgende Verfahren durchführen.

So konfigurieren Sie ein Benutzerkonto auf dem SMB-Server

1. Fügen Sie das für Updateausführungen verwendete Konto zur Gruppe „Distributed COM-Benutzer“ sowie zu einer der folgenden Gruppen hinzu: Hauptbenutzer, Servervorgang oder Druck-Operator.

2. Starten Sie die WMI-Verwaltungskonsole auf dem SMB-Server, um die erforderlichen WMI-Berechtigungen für das Konto zu aktivieren. Starten Sie PowerShell, und geben Sie dann den folgenden Befehl ein:

   wmimgmt.msc
   

3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf WMI-Kontrolle (Lokal), und klicken Sie dann auf Eigenschaften.

4. Klicken Sie auf Sicherheit, und erweitern Sie dann Stamm.

5. Klicken Sie auf CIMV2 und dann auf Sicherheit.

6. Fügen Sie das für Updateausführungen verwendete Konto zur Liste Gruppen- oder Benutzernamen hinzu.

7. Erteilen Sie dem für Updateausführungen verwendeten Konto die Berechtigungen Methoden ausführen und Remoteaktivierung.

Schritt 3: Konfigurieren der Berechtigungen für den Zugriff auf den Hotfixstammordner

Wenn Sie versuchen, Updates anzuwenden, prüft das Hotfix-Plug-In standardmäßig die Konfiguration der NTFS-Dateisystemberechtigungen hinsichtlich des Zugriffs auf den Hotfixstammordner. Wenn die Ordnerzugriffsberechtigungen nicht ordnungsgemäß konfiguriert sind, kann eine Updateausführung mit dem Hotfix-Plug-In möglicherweise fehlschlagen.

Wenn Sie die Standardkonfiguration des Hotfix-Plug-Ins verwenden, stellen Sie sicher, dass die Berechtigungen für den Ordnerzugriff den folgenden Anforderungen entsprechen.

• Die Gruppe "Benutzer" verfügt über die Berechtigung "Lesen".

• Wenn das Plug-In Updates mit der Erweiterung EXE anwendet, verfügt die Gruppe "Benutzer" über die Berechtigung "Ausführen".

• Nur bestimmten Sicherheitsprinzipalen ist die Berechtigung "Schreiben" oder "Ändern" gestattet (diese ist aber nicht erforderlich). Die zulässigen Prinzipale sind die Gruppe der lokalen Administratoren, SYSTEM, ERSTELLER-BESITZER und TrustedInstaller. Anderen Konten oder Gruppen ist es nicht gestattet, die Berechtigung "Schreiben" oder "Ändern" für den Hotfixstammordner zu verwenden.

Optional können die vorherigen Prüfungen deaktiviert werden, die standardmäßig vom Plug-In ausgeführt werden. Dazu haben Sie zwei Möglichkeiten:

• Wenn Sie die PowerShell-Cmdlets für clusterfähiges Aktualisieren verwenden, konfigurieren Sie das Argument DisableAclChecks='True' im Parameter CauPluginArguments für das Hotfix-Plug-In.

• Wenn Sie die Benutzeroberfläche für clusterfähiges Aktualisieren verwenden, wählen Sie die Option Prüfung auf Administratorzugriff auf Hotfixstammordner und Konfigurationsdatei deaktivieren auf der Seite Weitere Updateoptionen aus, die zum Konfigurieren der Optionen von Updateausführungen verwendet wird.

Es wird jedoch in vielen Umgebungen als bewährte Methode empfohlen, dass Sie diese Prüfungen mithilfe der Standardkonfiguration erzwingen.

Schritt 4: Konfigurieren der Einstellungen für die SMB-Datenintegrität

Für die Überprüfung der Datenintegrität in den Verbindungen zwischen den Clusterknoten und der SMB-Dateifreigabe erfordert das Hotfix-Plug-In, dass Sie die Einstellungen der SMB-Dateifreigabe für die SMB-Signatur oder SMB-Verschlüsselung aktivieren. Die SMB-Verschlüsselung, die in vielen Umgebungen eine höhere Sicherheit und bessere Leistungen bietet, wird ab Windows Server 2012 unterstützt. Sie können eine oder beide Einstellungen wie folgt aktivieren:

• Informationen zum Aktivieren der SMB-Signatur finden Sie unter dem Verfahren in der Microsoft Knowledge Base in Artikel 887429 .

• Führen Sie das folgende PowerShell-Cmdlet auf dem SMB-Server aus, um die SMB-Verschlüsselung für den freigegebenen SMB-Ordner zu aktivieren:

  Set-SmbShare <ShareName> -EncryptData $true
  

  Dabei gibt <ShareName> den Namen des freigegebenen SMB-Ordners an.

Um optional die Verwendung der SMB-Verschlüsselung für Verbindungen mit dem SMB-Server zu erzwingen, wählen Sie in der Benutzeroberfläche für clusterfähiges Aktualisieren die Option SMB-Verschlüsselung beim Zugriff auf Hotfixstammordner anfordern aus, oder konfigurieren Sie über die PowerShell-Cmdlets für clusterfähiges Aktualisieren das Plug-In-Argument RequireSMBEncryption='True'.

Wichtig

Wenn Sie die Option zum Erzwingen der Verwendung der SMB-Verschlüsselung auswählen und der Hotfixstammordner nicht für Verbindungen konfiguriert ist, die die SMB-Verschlüsselung verwenden, tritt bei der Updateausführung ein Fehler auf.

Schritt 5: Aktivieren der Windows-Firewall-Regel auf dem SMB-Server

Sie müssen die Regel Dateiserver-Remoteverwaltung (SMB eingehend) in der Windows-Firewall auf dem SMB-Dateiserver aktivieren. Diese Regel ist in Windows Server 2016, Windows Server 2012 R2 und Windows Server 2012 standardmäßig aktiviert.

Weitere Verweise

• Übersicht über die clusterfähige Aktualisierung

• Windows PowerShell-Cmdlets für das clusterfähige Aktualisieren

• Referenz zu Plug-Ins für clusterfähiges Aktualisieren