Cara kerja plug-in Pembaruan Yang Sadar Kluster

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI, versi 21H2 dan 20H2

Pembaruan Sadar Kluster (CAU) menggunakan plug-in untuk mengoordinasikan penginstalan pembaruan di seluruh simpul dalam kluster failover. Topik ini menyediakan informasi tentang menggunakan plug-in CAU bawaan atau plug-in lain yang Anda instal untuk CAU.

Menginstal plug-in

Plug-in selain plug-in default yang diinstal dengan CAU (Microsoft.WindowsUpdatePlugin dan Microsoft.HotfixPlugin) harus diinstal secara terpisah. Jika CAU digunakan dalam mode pembaruan mandiri, plug-in harus diinstal pada semua node kluster. Jika CAU digunakan dalam mode pembaruan jarak jauh, plug-in harus diinstal pada komputer Koordinator Pembaruan jarak jauh. Plug-in yang Anda instal mungkin memiliki persyaratan penginstalan tambahan pada setiap simpul.

Untuk menginstal plug-in, ikuti instruksi dari penerbit plug-in. Untuk mendaftarkan plug-in secara manual dengan CAU, jalankan cmdlet Register-CauPlugin di setiap komputer tempat plug-in diinstal.

Tentukan argumen plug-in dan plug-in

Tentukan plug-in CAU

Di UI CAU, Anda memilih plug-in dari daftar drop-down plug-in yang tersedia saat Anda menggunakan CAU untuk melakukan tindakan berikut:

• Menerapkan pembaruan ke kluster

• Pratinjau pembaruan untuk kluster

• Mengonfigurasi opsi pembaruan mandiri kluster

Secara default, CAU memilih plug-in Microsoft.WindowsUpdatePlugin. Namun, Anda dapat menentukan plug-in apa pun yang diinstal dan terdaftar di CAU.

Tip

Di UI CAU, Anda hanya dapat menentukan satu plug-in untuk digunakan CAU untuk dipratinjau atau untuk menerapkan pembaruan selama Eksekusi Pembaruan. Dengan menggunakan cmdlet Cau PowerShell, Anda dapat menentukan satu atau beberapa plug-in. Jika Anda perlu menginstal beberapa jenis pembaruan pada kluster, biasanya lebih efisien untuk menentukan beberapa plug-in dalam satu Eksekusi Pembaruan, daripada menggunakan Eksekusi Pembaruan terpisah untuk setiap plug-in. Misalnya, lebih sedikit mulai ulang simpul biasanya akan terjadi.

Dengan menggunakan cmdlet Cau PowerShell yang tercantum dalam tabel berikut, Anda dapat menentukan satu atau beberapa plug-in untuk Eksekusi Pembaruan atau pemindaian dengan melewati parameter –CauPluginName . Anda dapat menentukan beberapa nama plug-in dengan memisahkannya dengan koma. Jika Anda menentukan beberapa plug-in, Anda juga dapat mengontrol bagaimana plug-in memengaruhi satu sama lain selama Eksekusi Pembaruan dengan menentukan parameter -RunPluginsSerially, -StopOnPluginFailure, dan –SeparateReboots . Untuk informasi selengkapnya tentang menggunakan beberapa plug-in, gunakan tautan yang disediakan untuk dokumentasi cmdlet dalam tabel berikut.

Cmdlet	Deskripsi
Add-CauClusterRole	Menambahkan peran berkluster CAU yang menyediakan fungsionalitas pembaruan mandiri ke kluster yang ditentukan.
Invoke-CauRun	Melakukan pemindaian node kluster untuk pembaruan yang berlaku dan menginstal pembaruan tersebut melalui Eksekusi Pembaruan pada kluster yang ditentukan.
Invoke-CauScan	Melakukan pemindaian node kluster untuk pembaruan yang berlaku dan mengembalikan daftar kumpulan pembaruan awal yang akan diterapkan ke setiap simpul dalam kluster yang ditentukan.
Set-CauClusterRole	Mengatur properti konfigurasi untuk peran berkluster CAU pada kluster yang ditentukan.

Jika Anda tidak menentukan parameter plug-in CAU dengan menggunakan cmdlet ini, defaultnya adalah plug-in Microsoft.WindowsUpdatePlugin.

Tentukan argumen plug-in CAU

Saat mengonfigurasi opsi Eksekusi Pembaruan, Anda dapat menentukan satu atau beberapa pasangan nama=nilai (argumen) untuk plug-in yang dipilih untuk digunakan. Misalnya, di UI CAU, Anda dapat menentukan beberapa argumen sebagai berikut:

Name1=Value1; Name2=Value2; Name3=Value3

Pasangan nama=nilai ini harus bermakna bagi plug-in yang Anda tentukan. Untuk beberapa plug-in, argumen bersifat opsional.

Sintaks argumen plug-in CAU mengikuti aturan umum ini:

• Beberapa pasangan nama=nilai dipisahkan oleh titik koma.

• Nilai yang berisi spasi dikelilingi oleh tanda kutip, misalnya: Name1="Nilai dengan Spasi".

• Sintaks nilai yang tepat tergantung pada plug-in.

Untuk menentukan argumen plug-in dengan menggunakan cmdlet Cau PowerShell yang mendukung parameter –CauPluginParameters , berikan parameter formulir:

-CauPluginArguments @{Name1=Value1; Name2=Value2; Name3=Value3}

Anda juga dapat menggunakan tabel hash PowerShell yang telah ditentukan sebelumnya. Untuk menentukan argumen plug-in untuk lebih dari satu plug-in, teruskan beberapa tabel hash argumen, dipisahkan dengan koma. Berikan argumen plug-in dalam urutan plug-in yang ditentukan dalam CauPluginName.

Tentukan argumen plug-in opsional

Plug-in yang diinstal CAU (Microsoft.WindowsUpdatePlugin dan Microsoft.HotfixPlugin) menyediakan opsi tambahan yang dapat Anda pilih. Di UI CAU, ini muncul di halaman Opsi Tambahan setelah Anda mengonfigurasi opsi Perbarui Eksekusi untuk plug-in. Jika Anda menggunakan cmdlet PowerShell CAU, opsi ini dikonfigurasi sebagai argumen plug-in opsional. Untuk informasi selengkapnya, lihat Menggunakan Microsoft.WindowsUpdatePlugin dan Menggunakan Microsoft.HotfixPlugin nanti dalam topik ini.

Mengelola plug-in menggunakan cmdlet Windows PowerShell

Cmdlet	Deskripsi
Get-CauPlugin	Mengambil informasi tentang satu atau beberapa perangkat lunak yang memperbarui plug-in yang terdaftar di komputer lokal.
Register-CauPlugin	Mendaftarkan perangkat lunak CAU yang memperbarui plug-in di komputer lokal.
Batalkan pendaftaran-CauPlugin	Menghapus perangkat lunak yang memperbarui plug-in dari daftar plug-in yang dapat digunakan oleh CAU. Catatan: Plug-in yang diinstal dengan CAU (Microsoft.WindowsUpdatePlugin dan Microsoft.HotfixPlugin) tidak dapat dibatalkan pendaftarannya.

Menggunakan Microsoft.WindowsUpdatePlugin

Plug-in default untuk CAU, Microsoft.WindowsUpdatePlugin, melakukan tindakan berikut:

• Berkomunikasi dengan Agen Windows Update pada setiap simpul kluster failover untuk menerapkan pembaruan yang diperlukan untuk produk Microsoft yang berjalan pada setiap simpul.
• Menginstal pembaruan kluster langsung dari Windows Update atau Microsoft Update, atau dari server Windows Server Update Services (WSUS) lokal.
• Instal hanya pembaruan rilis distribusi umum (GDR) yang dipilih. Secara default, plug-in hanya menerapkan pembaruan perangkat lunak penting. Tidak diperlukan konfigurasi. Konfigurasi default mengunduh dan menginstal pembaruan GDR penting pada setiap simpul.

Catatan

Untuk menerapkan pembaruan selain pembaruan perangkat lunak penting yang dipilih secara default (misalnya, pembaruan driver), Anda dapat mengonfigurasi parameter plug-in opsional. Untuk informasi selengkapnya, lihat Mengonfigurasi string kueri Agen Pembaruan Windows.

Persyaratan

• Kluster failover dan komputer Koordinator Pembaruan jarak jauh (jika digunakan) harus memenuhi persyaratan untuk CAU dan konfigurasi yang diperlukan untuk manajemen jarak jauh yang tercantum dalam Persyaratan dan Praktik Terbaik untuk CAU.
• Tinjau Rekomendasi untuk menerapkan pembaruan Microsoft, lalu buat perubahan yang diperlukan pada konfigurasi Microsoft Update Anda untuk node kluster failover.
• Untuk hasil terbaik, kami sarankan Anda menjalankan CAU Best Practices Analyzer (BPA) untuk memastikan bahwa kluster dan lingkungan pembaruan dikonfigurasi dengan benar untuk menerapkan pembaruan dengan menggunakan CAU. Untuk informasi selengkapnya, lihat Menguji kesiapan pembaruan CAU.

Catatan

Pembaruan yang memerlukan penerimaan persyaratan lisensi Microsoft atau mengharuskan interaksi pengguna dikecualikan, dan harus diinstal secara manual.

Opsi tambahan

Secara opsional, Anda dapat menentukan argumen plug-in berikut untuk menambah atau membatasi kumpulan pembaruan yang diterapkan oleh plug-in:

• Untuk mengonfigurasi plug-in untuk menerapkan pembaruan yang direkomendasikan selain pembaruan penting pada setiap simpul, di UI CAU, pada halaman Opsi Tambahan, pilih kotak centang Beri saya pembaruan yang direkomendasikan dengan cara yang sama seperti saya menerima pembaruan penting.
  Atau, konfigurasikan argumen plug-in 'IncludeRecommendedUpdates'='True '.
• Untuk mengonfigurasi plug-in untuk memfilter jenis pembaruan GDR yang diterapkan ke setiap simpul kluster, tentukan string kueri Agen Pembaruan Windows menggunakan argumen plug-in QueryString . Untuk informasi selengkapnya, lihat Mengonfigurasi string kueri Agen Pembaruan Windows.

Mengonfigurasi string kueri Agen Windows Update

Anda dapat mengonfigurasi argumen plug-in untuk plug-in default, Microsoft.WindowsUpdatePlugin, yang terdiri dari string kueri Agen Pembaruan Windows (WUA). Instruksi ini menggunakan WUA API untuk mengidentifikasi satu atau beberapa grup pembaruan Microsoft untuk diterapkan ke setiap simpul, berdasarkan kriteria pilihan tertentu. Anda dapat menggabungkan beberapa kriteria dengan menggunakan AND logis atau OR logis. String kueri WUA ditentukan dalam argumen plug-in sebagai berikut:

QueryString="Criterion1=Value1 and/or Criterion2=Value2 and/or..."

Misalnya, Microsoft.WindowsUpdatePlugin secara otomatis memilih pembaruan penting dengan menggunakan argumen QueryString default yang dibangun menggunakan kriteria IsInstalled, Type, IsHidden, dan IsAssigned:

QueryString="IsInstalled=0 and Type='Software' and IsHidden=0 and IsAssigned=1"

Jika Anda menentukan argumen QueryString, argumen tersebut digunakan sebagai pengganti QueryString default yang dikonfigurasi untuk plug-in.

Contoh 1

Untuk mengonfigurasi argumen QueryString yang menginstal pembaruan tertentu seperti yang diidentifikasi oleh ID f6ce46c1-971c-43f9-a2aa-783df125f003:

QueryString="UpdateID='f6ce46c1-971c-43f9-a2aa-783df125f003' dan IsInstalled=0"

Catatan

Contoh sebelumnya valid untuk menerapkan pembaruan dengan menggunakan Wizard Pembaruan Sadar Kluster. Jika Anda ingin menginstal pembaruan tertentu dengan mengonfigurasi opsi pembaruan mandiri dengan UI CAU atau dengan menggunakan cmdlet PowerShell Add-CauClusterRole atau Set-CauClusterRole, Anda harus memformat nilai UpdateID dengan dua karakter kutipan tunggal:

QueryString="UpdateID=''f6ce46c1-971c-43f9-a2aa-783df125f003'' dan IsInstalled=0"

Contoh 2

Untuk mengonfigurasi argumen QueryString yang hanya menginstal driver:

QueryString="IsInstalled=0 and Type='Driver' and IsHidden=0"

Untuk informasi selengkapnya tentang string kueri untuk plug-in default, Microsoft.WindowsUpdatePlugin, kriteria pencarian (seperti IsInstalled), dan sintaks yang dapat Anda sertakan dalam string kueri, lihat bagian tentang kriteria pencarian di Referensi API Agen Pembaruan Windows (WUA).

Menggunakan Microsoft.HotfixPlugin

Plug-in Microsoft.HotfixPlugin dapat digunakan untuk menerapkan pembaruan rilis distribusi terbatas (LDR) Microsoft (juga disebut perbaikan, dan sebelumnya disebut QFEs) yang Anda unduh secara independen untuk mengatasi masalah perangkat lunak Microsoft tertentu. Plug-in menginstal pembaruan dari folder akar pada berbagi file SMB dan juga dapat disesuaikan untuk menerapkan pembaruan driver, firmware, dan BIOS non-Microsoft.

Catatan

Perbaikan kadang-kadang tersedia untuk diunduh dari Microsoft di artikel Pangkalan Pengetahuan, tetapi mereka juga disediakan untuk pelanggan sesuai kebutuhan.

Persyaratan

• Kluster failover dan komputer Koordinator Pembaruan jarak jauh (jika digunakan) harus memenuhi persyaratan untuk CAU dan konfigurasi yang diperlukan untuk manajemen jarak jauh yang tercantum dalam Persyaratan dan Praktik Terbaik untuk CAU.

• Tinjau Rekomendasi untuk menggunakan Microsoft.HotfixPlugin.

• Untuk hasil terbaik, kami sarankan Anda menjalankan model CAU Best Practices Analyzer (BPA) untuk memastikan bahwa kluster dan lingkungan pembaruan dikonfigurasi dengan benar untuk menerapkan pembaruan dengan menggunakan CAU. Untuk informasi selengkapnya, lihat Menguji kesiapan pembaruan CAU.

• Dapatkan pembaruan dari penerbit, dan salin atau ekstrak ke berbagi file Blok Pesan Server (SMB) (folder akar perbaikan) yang mendukung setidaknya SMB 2.0 dan yang dapat diakses oleh semua node kluster dan komputer Koordinator Pembaruan jarak jauh (jika CAU digunakan dalam mode pembaruan jarak jauh). Untuk informasi selengkapnya, lihat Mengonfigurasi struktur folder akar perbaikan nanti dalam topik ini.

  Catatan

  Secara default, plug-in ini hanya menginstal perbaikan dengan ekstensi nama file berikut: .msu, .msi, dan .msp.

• Salin file DefaultHotfixConfig.xml (yang disediakan dalam folder %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating di komputer tempat alat CAU diinstal) ke folder akar perbaikan yang Anda buat dan tempat Anda mengekstrak perbaikan. Misalnya, salin file konfigurasi ke \\MyFileServer\Hotfixes\Root\.

  Catatan

  Untuk menginstal sebagian besar perbaikan yang disediakan oleh Microsoft dan pembaruan lainnya, file konfigurasi perbaikan default dapat digunakan tanpa modifikasi. Jika skenario Anda memerlukannya, Anda dapat menyesuaikan file konfigurasi sebagai tugas tingkat lanjut. File konfigurasi dapat mencakup aturan kustom, misalnya, untuk menangani file perbaikan yang memiliki ekstensi tertentu, atau untuk menentukan perilaku untuk kondisi keluar tertentu. Untuk informasi selengkapnya, lihat Menyesuaikan file konfigurasi perbaikan nanti dalam topik ini.

Konfigurasi

Konfigurasikan pengaturan berikut. Untuk informasi selengkapnya, lihat tautan ke bagian nanti dalam topik ini.

• Jalur ke folder akar perbaikan bersama yang berisi pembaruan yang akan diterapkan dan berisi file konfigurasi perbaikan. Anda dapat mengetik jalur ini di UI CAU atau mengonfigurasi argumen plug-in HotfixRootFolderPath=<Path> PowerShell.

  Catatan

  Anda dapat menentukan folder akar perbaikan sebagai jalur folder lokal atau sebagai jalur UNC formulir \\ServerName\Share\RootFolderName. Jalur Namespace Layanan DFS berbasis domain atau mandiri dapat digunakan. Namun, fitur plug-in yang memeriksa izin akses dalam file konfigurasi perbaikan tidak kompatibel dengan jalur DFS Namespace, jadi jika Anda mengonfigurasinya, Anda harus menonaktifkan pemeriksaan izin akses dengan menggunakan UI CAU atau dengan mengonfigurasi argumen plug-in DisableAclChecks='True '.

• Pengaturan di server yang menghosting folder akar perbaikan untuk memeriksa izin yang sesuai untuk mengakses folder dan memastikan integritas data yang diakses dari folder bersama SMB (penandatanganan SMB atau Enkripsi SMB). Untuk informasi selengkapnya, lihat Membatasi akses ke folder akar perbaikan.

Opsi tambahan

• Secara opsional, konfigurasikan plug-in sehingga Enkripsi SMB diberlakukan saat mengakses data dari berbagi file perbaikan. Di UI CAU, pada halaman Opsi Tambahan, pilih opsi Perlu Enkripsi SMB dalam mengakses folder akar perbaikan, atau konfigurasikan argumen plug-in RequireSMBEncryption='True' PowerShell.

  Penting

  Anda harus melakukan langkah-langkah konfigurasi tambahan di server SMB untuk mengaktifkan integritas data SMB dengan penandatanganan SMB atau Enkripsi SMB. Untuk informasi selengkapnya, lihat Langkah 4 di Membatasi akses ke folder akar perbaikan. Jika Anda memilih opsi untuk memberlakukan penggunaan Enkripsi SMB, dan folder akar perbaikan tidak dikonfigurasi untuk akses dengan menggunakan Enkripsi SMB, Eksekusi Pembaruan akan gagal.

• Secara opsional, nonaktifkan pemeriksaan default untuk izin yang memadai untuk folder akar perbaikan dan file konfigurasi perbaikan. Di UI CAU, pilih Nonaktifkan periksa akses administrator ke folder akar perbaikan dan file konfigurasi, atau konfigurasikan argumen plug-in DisableAclChecks='True' .
• Secara opsional, konfigurasikan argumen HotfixInstallerTimeoutMinutes=<Integer> untuk menentukan berapa lama plug-in perbaikan menunggu proses penginstal perbaikan kembali. (Defaultnya adalah 30 menit.) Misalnya, untuk menentukan periode batas waktu dua jam, atur HotfixInstallerTimeoutMinutes=120.
• Secara opsional, konfigurasikan argumen plug-in HotfixConfigFileName = <name> untuk menentukan nama untuk file konfigurasi perbaikan yang terletak di folder akar perbaikan. Jika tidak ditentukan, nama default DefaultHotfixConfig.xml digunakan.

Mengonfigurasi struktur folder akar perbaikan

Agar plug-in perbaikan berfungsi, perbaikan harus disimpan dalam struktur yang terdefinisi dengan baik dalam berbagi file SMB (folder akar perbaikan), dan Anda harus mengonfigurasi plug-in perbaikan dengan jalur ke folder akar perbaikan dengan menggunakan UI CAU atau cmdlet Cau PowerShell. Jalur ini diteruskan ke plug-in sebagai argumen HotfixRootFolderPath . Anda dapat memilih salah satu dari beberapa struktur untuk folder akar perbaikan, sesuai dengan kebutuhan pembaruan Anda, seperti yang ditunjukkan dalam contoh berikut. File atau folder yang tidak mematuhi struktur diabaikan.

Contoh 1 - Struktur folder yang digunakan untuk menerapkan perbaikan ke semua node kluster

Untuk menentukan bahwa perbaikan berlaku untuk semua node kluster, salin ke folder bernama CAUHotfix_All di bawah folder akar perbaikan. Dalam contoh ini, argumen plug-in HotfixRootFolderPath diatur ke \\MyFileServer\Hotfixes\Root\. Folder CAUHotfix_All berisi tiga pembaruan dengan ekstensi .msu, .msi, dan .msp yang akan diterapkan ke semua node kluster. Nama file pembaruan hanya untuk tujuan ilustrasi.

Catatan

Dalam contoh ini dan berikut, file konfigurasi perbaikan dengan nama default DefaultHotfixConfig.xml ditampilkan di lokasi yang diperlukan di folder akar perbaikan.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

Contoh 2 - Struktur folder yang digunakan untuk menerapkan pembaruan tertentu hanya ke simpul tertentu

Untuk menentukan perbaikan yang hanya berlaku untuk simpul tertentu, gunakan subfolder di bawah folder akar perbaikan dengan nama simpul. Gunakan nama NetBIOS dari node kluster, misalnya, ContosoNode1. Kemudian, pindahkan pembaruan yang hanya berlaku untuk simpul ini ke subfolder ini. Dalam contoh berikut, argumen plug-in HotfixRootFolderPath diatur ke \\MyFileServer\Hotfixes\Root\. Pembaruan di folder CAUHotfix_All akan diterapkan ke semua node kluster, dan Node1_Specific_Update.msu hanya akan diterapkan ke ContosoNode1.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...
   ContosoNode1\
      Node1_Specific_Update.msu
      ...

Contoh 3 - Struktur folder yang digunakan untuk menerapkan pembaruan selain file .msu, .msi, dan .msp

Secara default, Microsoft.HotfixPlugin hanya menerapkan pembaruan dengan ekstensi .msu, .msi, atau .msp. Namun, pembaruan tertentu mungkin memiliki ekstensi yang berbeda dan memerlukan perintah penginstalan yang berbeda. Misalnya, Anda mungkin perlu menerapkan pembaruan firmware dengan ekstensi .exe ke node dalam kluster. Anda dapat mengonfigurasi folder akar perbaikan dengan subfolder yang menunjukkan jenis pembaruan tertentu dan non-default harus diinstal. Anda juga harus mengonfigurasi aturan penginstalan folder terkait yang menentukan perintah penginstalan dalam <FolderRules> elemen dalam file XML konfigurasi perbaikan.

Dalam contoh berikut, argumen plug-in HotfixRootFolderPath diatur ke \\MyFileServer\Hotfixes\Root\. Beberapa pembaruan akan diterapkan ke semua node kluster, dan pembaruan firmware SpecialHotfix1.exe akan diterapkan ke ContosoNode1 dengan menggunakan FolderRule1. Untuk informasi tentang mengonfigurasi FolderRule1 dalam file konfigurasi perbaikan, lihat Menyesuaikan file konfigurasi perbaikan nanti dalam topik ini.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

   ContosoNode1\
      FolderRule1\
          SpecialHotfix1.exe
      ...

Mengkustomisasi file konfigurasi perbaikan

File konfigurasi perbaikan mengontrol bagaimana Microsoft.HotfixPlugin menginstal jenis file perbaikan tertentu dalam kluster failover. Skema XML untuk file konfigurasi ditentukan dalam HotfixConfigSchema.xsd, yang terletak di folder berikut di komputer tempat alat CAU diinstal:

%systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating folder

Untuk menyesuaikan file konfigurasi perbaikan, salin file konfigurasi sampel DefaultHotfixConfig.xml dari lokasi ini ke folder akar perbaikan dan buat modifikasi yang sesuai untuk skenario Anda.

Penting

Untuk menerapkan sebagian besar perbaikan yang disediakan oleh Microsoft dan pembaruan lainnya, file konfigurasi perbaikan default dapat digunakan tanpa modifikasi. Kustomisasi file konfigurasi perbaikan hanya merupakan tugas dalam skenario penggunaan tingkat lanjut.

Secara default, file XML konfigurasi perbaikan menentukan aturan penginstalan dan kondisi keluar untuk dua kategori perbaikan berikut:

• File perbaikan dengan ekstensi yang dapat diinstal plug-in secara default (file .msu, .msi, dan .msp).

  Ini didefinisikan sebagai <ExtensionRules> elemen dalam <DefaultRules> elemen . Ada satu <Extension> elemen untuk setiap jenis file default yang didukung. Struktur XML umum adalah sebagai berikut:

  <DefaultRules>
      <ExtensionRules>
        <Extension name="MSI">
          <!-- Template and ExitConditions elements for installation of .msi files follow -->
           ...
        </Extension>
        <Extension name="MSU">
          <!-- Template and ExitConditions elements for installation of .msu files follow -->
           ...
        </Extension>
        <Extension name="MSP">
          <!-- Template and ExitConditions elements for installation of .msp files follow -->
           ...
        </Extension>
           ...
     </ExtensionRules>
  </DefaultRules>
  

  Jika Anda perlu menerapkan jenis pembaruan tertentu ke semua node kluster di lingkungan Anda, Anda dapat menentukan elemen tambahan <Extension> .

• Hotfix atau file pembaruan lainnya yang bukan file .msi, .msu, atau .msp, misalnya, driver non-Microsoft, firmware, dan pembaruan BIOS.

  Setiap jenis file non-default dikonfigurasi sebagai <Folder> elemen dalam <FolderRules> elemen . Atribut <Folder> nama elemen harus identik dengan nama folder di folder akar perbaikan yang akan berisi pembaruan jenis yang sesuai. Folder dapat berada di folder CAUHotfix_All atau di folder khusus simpul. Misalnya, jika FolderRule1 dikonfigurasi di folder akar perbaikan, konfigurasikan elemen berikut dalam file XML untuk menentukan templat penginstalan dan kondisi keluar untuk pembaruan di folder tersebut:

  <FolderRules>
        <Folder name="FolderRule1">
          <!-- Template and ExitConditions elements for installation of updates in FolderRule1 follow -->
           ...
        </Folder>
        ...
  </FolderRules>
  

Tabel berikut menjelaskan <Template> atribut dan subelemen yang mungkin <ExitConditions> .

atribut <Template>	Deskripsi
path	Jalur lengkap ke program penginstalan untuk jenis file yang ditentukan dalam <Extension name> atribut . Untuk menentukan jalur ke file pembaruan dalam struktur folder akar perbaikan, gunakan $update$.
parameters	String parameter yang diperlukan dan opsional untuk program yang ditentukan dalam path. Untuk menentukan parameter yang merupakan jalur ke file pembaruan dalam struktur folder akar perbaikan, gunakan $update$.

<ExitConditions> subelemen	Deskripsi
<Success>	Menentukan satu atau beberapa kode keluar yang menunjukkan pembaruan yang ditentukan berhasil. Ini adalah subelemen yang diperlukan.
<Success_RebootRequired>	Secara opsional mendefinisikan satu atau beberapa kode keluar yang menunjukkan pembaruan yang ditentukan berhasil dan simpul harus dimulai ulang. Catatan: Secara opsional, <Folder> elemen dapat berisi alwaysReboot atribut . Jika atribut ini diatur, itu menunjukkan bahwa jika perbaikan yang diinstal oleh aturan ini mengembalikan salah satu kode keluar yang didefinisikan dalam , itu ditafsirkan <Success>sebagai <Success_RebootRequired> kondisi keluar.
<Fail_RebootRequired>	Secara opsional mendefinisikan satu atau beberapa kode keluar yang menunjukkan pembaruan yang ditentukan gagal dan simpul harus dimulai ulang.
<AlreadyInstalled>	Secara opsional mendefinisikan satu atau beberapa kode keluar yang menunjukkan pembaruan yang ditentukan tidak diterapkan karena sudah diinstal.
<NotApplicable>	Secara opsional mendefinisikan satu atau beberapa kode keluar yang menunjukkan pembaruan yang ditentukan tidak diterapkan karena tidak berlaku untuk node kluster.

Penting

Kode keluar apa pun yang tidak didefinisikan secara eksplisit ditafsirkan <ExitConditions> sebagai pembaruan gagal, dan simpul tidak dimulai ulang.

Membatasi akses ke folder akar perbaikan

Anda harus melakukan beberapa langkah untuk mengonfigurasi server file SMB dan berbagi file untuk membantu mengamankan file folder akar perbaikan dan file konfigurasi perbaikan untuk akses hanya dalam konteks Microsoft.HotfixPlugin. Langkah-langkah ini memungkinkan beberapa fitur yang membantu mencegah kemungkinan perusakan file perbaikan dengan cara yang dapat membahayakan kluster failover.

Langkah-langkah umumnya adalah sebagai berikut:

1. Mengidentifikasi akun pengguna yang digunakan untuk Memperbarui Eksekusi dengan menggunakan plug-in

2. Konfigurasikan akun pengguna ini dalam grup yang diperlukan di server file SMB

3. Mengonfigurasi izin untuk mengakses folder akar perbaikan

4. Mengonfigurasi pengaturan untuk integritas data SMB

5. Mengaktifkan aturan Windows Firewall pada server SMB

Langkah 1: Identifikasi akun pengguna yang digunakan untuk Memperbarui Eksekusi dengan menggunakan plug-in perbaikan

Akun yang digunakan dalam CAU untuk memeriksa pengaturan keamanan saat melakukan Eksekusi Pembaruan menggunakan Microsoft.HotfixPlugin bergantung pada apakah CAU digunakan dalam mode pembaruan jarak jauh atau mode pembaruan mandiri, sebagai berikut:

• Mode pembaruan jarak jauh Akun yang memiliki hak administratif pada kluster untuk mempratinjau dan menerapkan pembaruan.

• Mode pembaruan mandiri Nama objek komputer virtual yang dikonfigurasi di Direktori Aktif untuk peran berkluster CAU. Ini adalah nama objek komputer virtual prestaged di Direktori Aktif untuk peran berkluster CAU atau nama yang dihasilkan oleh CAU untuk peran berkluster. Untuk mendapatkan nama jika dihasilkan oleh CAU, jalankan cmdlet PowerShell CAU Get-CauClusterRole . Dalam output, ResourceGroupName adalah nama akun objek komputer virtual yang dihasilkan.

Langkah 2: Konfigurasikan akun pengguna ini di grup yang diperlukan di server file SMB

Penting

Anda harus menambahkan akun yang digunakan untuk Memperbarui Eksekusi sebagai akun administrator lokal di server SMB. Jika ini tidak diizinkan karena kebijakan keamanan di organisasi Anda, konfigurasikan akun ini dengan izin yang diperlukan di server SMB dengan menggunakan prosedur berikut.

Untuk mengonfigurasi akun pengguna di server SMB

1. Tambahkan akun yang digunakan untuk Memperbarui Eksekusi ke grup Pengguna COM Terdistribusi dan ke salah satu grup berikut: Pengguna Daya, Operasi Server, atau Operator Cetak.

2. Untuk mengaktifkan izin WMI yang diperlukan untuk akun, mulai Konsol Manajemen WMI di server SMB. Mulai PowerShell lalu ketik perintah berikut:

   wmimgmt.msc
   

3. Di pohon konsol, klik kanan Kontrol WMI (Lokal), lalu klik Properti.

4. Klik Keamanan, lalu perluas Root.

5. Klik CIMV2, lalu klik Keamanan.

6. Tambahkan akun yang digunakan untuk Memperbarui Eksekusi ke daftar Nama grup atau pengguna.

7. Berikan izin Jalankan Metode dan Aktifkan Jarak Jauh ke akun yang digunakan untuk Memperbarui Eksekusi.

Langkah 3: Mengonfigurasi izin untuk mengakses folder akar perbaikan

Secara default, ketika Anda mencoba menerapkan pembaruan, plug-in perbaikan memeriksa konfigurasi izin sistem file NTFS untuk akses ke folder akar perbaikan. Jika izin akses folder tidak dikonfigurasi dengan benar, Eksekusi Pembaruan menggunakan plug-in perbaikan mungkin gagal.

Jika Anda menggunakan konfigurasi default plug-in perbaikan, pastikan bahwa izin akses folder memenuhi persyaratan berikut.

• Grup Pengguna memiliki izin Baca.

• Jika plug-in akan menerapkan pembaruan dengan ekstensi .exe, grup Pengguna memiliki izin Jalankan.

• Hanya prinsip keamanan tertentu yang diizinkan (tetapi tidak diperlukan) untuk memiliki izin Tulis atau Ubah. Prinsipal yang diizinkan adalah grup Administrator lokal, SYSTEM, CREATOR OWNER, dan TrustedInstaller. Akun atau grup lain tidak diizinkan memiliki izin Tulis atau Ubah pada folder akar perbaikan.

Secara opsional, Anda dapat menonaktifkan pemeriksaan sebelumnya yang dilakukan plug-in secara default. Anda dapat melakukannya dengan salah satu dari dua cara ini:

• Jika Anda menggunakan cmdlet Cau PowerShell, konfigurasikan argumen DisableAclChecks='True' di parameter CauPluginArguments untuk plug-in perbaikan.

• Jika Anda menggunakan UI CAU, pilih opsi Nonaktifkan periksa akses administrator ke folder akar perbaikan dan file konfigurasi pada halaman Opsi Pembaruan Tambahan dari wizard yang digunakan untuk mengonfigurasi opsi Eksekusi Pembaruan.

Namun, sebagai praktik terbaik di banyak lingkungan, kami sarankan Anda menggunakan konfigurasi default untuk menerapkan pemeriksaan ini.

Langkah 4: Mengonfigurasi pengaturan untuk integritas data SMB

Untuk memeriksa integritas data dalam koneksi antara node kluster dan berbagi file SMB, plug-in perbaikan mengharuskan Anda mengaktifkan pengaturan pada berbagi file SMB untuk penandatanganan SMB atau Enkripsi SMB. Enkripsi SMB, yang memberikan keamanan yang ditingkatkan dan performa yang lebih baik di banyak lingkungan, didukung mulai windows Server 2012. Anda dapat mengaktifkan salah satu atau kedua pengaturan ini, sebagai berikut:

• Untuk mengaktifkan penandatanganan SMB, lihat prosedur di artikel 887429 di Pangkalan Pengetahuan Microsoft.

• Untuk mengaktifkan Enkripsi SMB untuk folder bersama SMB, jalankan cmdlet PowerShell berikut ini di server SMB:

  Set-SmbShare <ShareName> -EncryptData $true
  

  Di mana <ShareName> adalah nama folder bersama SMB.

Secara opsional, untuk memberlakukan penggunaan Enkripsi SMB dalam koneksi ke server SMB, pilih opsi Perlu Enkripsi SMB dalam mengakses folder akar perbaikan di UI CAU, atau konfigurasikan argumen plug-in RequireSMBEncryption='True' dengan menggunakan cmdlet PowerShell CAU.

Penting

Jika Anda memilih opsi untuk memberlakukan penggunaan Enkripsi SMB, dan folder akar perbaikan tidak dikonfigurasi untuk koneksi yang menggunakan Enkripsi SMB, Eksekusi Pembaruan akan gagal.

Langkah 5: Aktifkan aturan Windows Firewall di server SMB

Anda harus mengaktifkan aturan Manajemen Jarak Jauh Server File (SMB-in) di Windows Firewall pada server file SMB. Ini diaktifkan secara default di Windows Server 2016, Windows Server 2012 R2, dan Windows Server 2012.

Referensi Tambahan

• Gambaran Umum Pembaruan Sadar Kluster

• Cmdlet Windows PowerShell Pembaruan Sadar Kluster

• Referensi Plug-in Pembaruan Sadar Kluster