群集感知更新插件如何工作

  • 项目

适用于:Windows server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Azure Stack HCI 21H2 和 20H2

群集感知更新 (CAU) 使用插件来协调故障转移群集中节点的更新安装。 本主题提供有关使用内置 CAU 插件或你为 CAU 安装的其他插件的信息。

安装插件

使用 CAU 安装的非默认插件(Microsoft.WindowsUpdatePluginMicrosoft.HotfixPlugin)必须单独安装。 如果在自我更新模式中使用 CAU,则该插件必须安装在所有群集节点上。 如果在远程更新模式中使用 CAU,则该插件必须安装在远程更新协调器计算机上。 你安装的插件可能会在每个节点上有其他安装要求。

若要安装插件,请按照来自插件发布者的说明进行操作。 若要使用 CAU 手动注册插件,请在安装插件的每台计算机上运行 Register-CauPlugin cmdlet。

指定插件和插件参数

指定 CAU 插件

在 CAU UI 中,当你使用 CAU 来执行以下操作时,从可用插件的下拉列表中选择插件:

  • 将更新应用到群集

  • 群集的预览更新

  • 配置群集自我更新选项

默认情况下,CAU 选择插件 Microsoft.WindowsUpdatePlugin。 但是,你可以指定任何使用 CAU 安装和注册的插件。

提示

在 CAU UI 中,你只能为 CAU 指定一个更新运行期间用于预览或应用更新的插件。 使用 CAU PowerShell cmdlet,你可以指定一个或多个插件。如果你需要在群集上安装多个类型的更新,则在一个更新运行中指定多个插件通常更高效,而不是针对每个插件使用单独更新运行。 例如,通常会发生更少的节点重新启动。

通过使用在下表中列出的 CAU PowerShell cmdlet,你可以通过传递 –CauPluginName 参数为更新运行或扫描指定一个或多个插件。 你可以通过用逗号分隔的方式来指定多个插件名称。 如果指定多个插件,你还可以通过指定 -RunPluginsSerially-StopOnPluginFailure–SeparateReboots 参数控制插件在更新运行期间如何相互影响。 有关使用多个插件的详细信息,请使用下表中的 cmdlet 文档所提供的链接。

Cmdlet 说明
Add-CauClusterRole 将提供自我更新功能的 CAU 群集角色添加到指定的群集。
Invoke-CauRun 为适用的更新执行群集节点的扫描并通过更新运行在指定的群集上安装这些更新。
Invoke-CauScan 为适用的更新执行群集节点的扫描,并返回将应用于指定群集中每个节点的更新的初始集列表。
Set-CauClusterRole 为指定群集上的 CAU 群集角色设置配置属性。

如果你不通过使用这些 cmdlet 指定 CAU 插件参数,则默认为插件 Microsoft.WindowsUpdatePlugin

指定 CAU 插件参数

在你配置更新运行选项时,可以指定一个或多个名称=值对(参数)以供所选的插件使用。 例如,在 CAU UI 中,你可以指定多个参数,如下所示:

Name1=Value1;Name2=Value2;Name3=Value3

对于你所指定的插件而言,这些名称=值对必须是有意义的。 对于某些插件,这些参数是可选的。

CAU 插件参数的语法遵循以下通用规则:

  • 多个名称=值对用分号分隔。

  • 包含空格的值括在引号中,例如: Name1="Value with Spaces"

  • 的确切语法取决于该插件。

若要使用支持 –CauPluginParameters 参数的 CAU PowerShell cmdlet 来指定插件参数,请传递以下形式的参数:

-CauPluginArguments @{Name1=Value1;Name2=Value2;Name3=Value3}

你还可以使用一个预定义的 PowerShell 哈希表。 若要为多个插件指定插件参数,请传递多个用逗号分隔的哈希表参数。 以 CauPluginName 中指定的插件顺序传递插件参数。

指定可选的插件参数

CAU 安装的插件(Microsoft.WindowsUpdatePluginMicrosoft.HotfixPlugin)提供可以选择的其他选项。 在 CAU UI 中,在你为插件配置更新运行选项之后,这些选项显示在“其他选项”页面上。 如果要使用 CAU PowerShell cmdlet,请将这些选项配置为可选的插件参数。 有关详细信息,请参阅本主题后面部分中的使用 Microsoft.WindowsUpdatePlugin使用 Microsoft.HotfixPlugin

使用 Windows PowerShell cmdlet 管理插件

Cmdlet 说明
Get-CauPlugin 检索有关一个或多个在本地计算机上注册的软件更新插件的信息。
Register-CauPlugin 在本地计算机上注册 CAU 软件更新插件。
Unregister-CauPlugin 从 CAU 可以使用的插件列表中删除软件更新插件。 注意:使用 CAU 安装的插件(Microsoft.WindowsUpdatePlugin 和 Microsoft.HotfixPlugin)无法注销。

使用 Microsoft.WindowsUpdatePlugin

CAU 的默认插件 Microsoft.WindowsUpdatePlugin 执行以下操作:

  • 与每个故障转移群集节点上的 Windows 更新代理通信,以应用在每个节点上运行的 Microsoft 产品所需的更新。
  • 直接从 Windows 更新或 Microsoft 更新或从本地 Windows Server Update Services (WSUS) 服务器安装群集更新。
  • 仅安装所选的、常规分发版本 (GDR) 更新。 默认情况下,该插件仅应用重要软件更新。 不需要任何配置。 默认配置在每个节点上下载并安装重要的 GDR 更新。

注意

若要应用不是默认情况下选中的重要软件更新的更新(例如,驱动程序更新),你可以配置一个可选的插件参数。 有关详细信息,请参阅配置 Windows 更新代理查询字符串

要求

  • 故障转移群集和远程更新协调器计算机(如果使用)必须满足 CAU 的要求以及适用于 CAU 的要求和最佳实践中列出的远程管理所需的配置。
  • 查看对应用 Microsoft 更新的建议,然后对你的故障转移群集节点的 Microsoft 更新配置进行任何必要的更改。
  • 为了获得最佳结果,我们建议你运行 CAU 最佳实践分析程序 (BPA) 以确保正确配置群集和更新环境,从而通过使用 CAU 来应用更新。 有关详细信息,请参阅测试 CAU 更新的准备情况

注意

排除需要接受 Microsoft 许可条款或需要用户交互的更新,并且必须手动安装更新。

附加选项

或者,你可以指定以下插件参数来增加或限制由该插件所应用的更新集:

  • 除了在每个节点上的重要更新,若要配置插件以应用推荐的更新,请在 CAU UI 中的“其他选项”页面上,选中“以我接收重要更新的相同方式为我提供推荐的更新”复选框。
    或者,配置 'IncludeRecommendedUpdates'='True' 插件参数。
  • 若要配置插件以筛选应用于每个群集节点的 GDR 更新类型,则使用 QueryString 插件参数指定 Windows 更新代理查询字符串。 有关详细信息,请参阅配置 Windows 更新代理查询字符串

配置 Windows 更新代理查询字符串

你可以为默认的插件 Microsoft.WindowsUpdatePlugin 配置插件参数,其中包含 Windows 更新代理 (WUA) 查询字符串。 根据特定的选择条件,此指令使用 WUA API 来标识一个或多个组的 Microsoft 更新,以便应用到每个节点。 你可以通过使用逻辑“与”或者逻辑“或”组合多个条件。 在插件参数中指定 WUA 查询字符串,如下所示:

QueryString="Criterion1=Value1 and/or Criterion2=Value2 and/or…"

例如,通过使用默认的 Microsoft.WindowsUpdatePlugin 参数,QueryString 自动选择重要更新,该默认参数使用 IsInstalledTypeIsHiddenIsAssigned 条件构造:

QueryString="IsInstalled=0 and Type='Software' and IsHidden=0 and IsAssigned=1"

如果你指定 QueryString 参数,则它用于替换为插件配置的默认 QueryString

示例 1

若要配置安装某个特定更新的 QueryString 参数(该更新由 ID f6ce46c1-971c-43f9-a2aa-783df125f003 标识):

QueryString="UpdateID='f6ce46c1-971c-43f9-a2aa-783df125f003' and IsInstalled=0"

注意

前面的示例适用于通过使用群集感知更新向导应用更新。 如果你想要借助 CAU UI 通过配置自我更新选项,或使用 Add-CauClusterRole 或 Set-CauClusterRole PowerShell cmdlet 来安装某个特定更新,则必须将 UpdateID 值的格式设置为具有两个单引号字符:

QueryString="UpdateID=''f6ce46c1-971c-43f9-a2aa-783df125f003'' and IsInstalled=0"

示例 2

若要配置仅安装驱动程序的 QueryString 参数:

QueryString="IsInstalled=0 and Type='Driver' and IsHidden=0"

若要详细了解默认插件 Microsoft.WindowsUpdatePlugin 的查询字符串、搜索条件(如 IsInstalled)以及可在查询字符串中包含的语法,请参阅 Windows 更新代理 (WUA) API 参考中有关搜索条件的部分。

使用 Microsoft.HotfixPlugin

可以使用 Microsoft.HotfixPlugin 插件来应用你独立下载的 Microsoft 有限分发版本 (LDR) 更新(也称为修补程序,以前称为 QFE),以便解决特定的 Microsoft 软件问题。 该插件从 SMB 文件共享上的根文件夹安装更新,还可以对其进行自定义以应用非 Microsoft 驱动程序、固件和 BIOS 更新。

注意

修补程序有时可从 Microsoft 知识库文章中下载,但它们也会根据需要提供给客户。

要求

  • 故障转移群集和远程更新协调器计算机(如果使用)必须满足 CAU 的要求以及适用于 CAU 的要求和最佳实践中列出的远程管理所需的配置。

  • 查看使用 Microsoft.HotfixPlugin 的建议

  • 为了获得最佳结果,我们建议你运行 CAU 最佳实践分析程序 (BPA) 模型以确保正确配置群集和更新环境,从而通过使用 CAU 应用更新。 有关详细信息,请参阅测试 CAU 更新的准备情况

  • 获取来自发布者的更新,并且将它们复制或提取到服务器消息块 (SMB) 文件共享(修补程序根文件夹),该文件共享至少支持 SMB 2.0 并且所有群集节点和远程更新协调器计算机都可以访问(如果在远程更新模式中使用 CAU)。 有关详细信息,请参阅本主题后面部分中的配置修补程序根文件夹结构

    注意

    默认情况下,此插件仅安装具有以下文件扩展名的修补程序:.msu、.msi 和 .msp。

  • 将 DefaultHotfixConfig.xml 文件(在安装了 CAU 工具的计算机上的 %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating 文件夹中提供)复制到你创建的并且在其中提取了修补程序的修补程序根文件夹。 例如,将配置文件复制到 \\MyFileServer\Hotfixes\Root\

    注意

    若要安装由 Microsoft 和其他更新提供的大部分修补程序,可以使用默认修补程序配置文件而无需任何修改。 如果你的方案需要它,你可以将配置文件作为一项高级任务进行自定义。 例如,配置文件可以包含自定义规则,以便处理具有特定扩展名的修补程序文件或定义特定退出条件的行为。 有关详细信息,请参阅本主题后面部分中的自定义修补程序配置文件

配置

配置以下设置。 有关详细信息,请参阅本主题中后面部分的链接。

  • 包含要应用的更新以及修补程序配置文件的共享修补程序根文件夹的路径。 你可以在 CAU UI 中键入该路径,或配置 HotfixRootFolderPath=<Path> PowerShell 插件参数。

    注意

    你可以将修补程序根文件夹指定为本地文件夹路径或 UNC 路径(格式为 \\ServerName\Share\RootFolderName)。 可以使用基于域的或独立的 DFS 命名空间路径。 但是,在修补程序的配置文件中检查访问权限的插件功能与 DFS 命名空间路径不兼容,因此如果你配置一个插件,则必须通过使用 CAU UI 或通过配置 DisableAclChecks='True' 插件参数禁用对访问权限的检查。

  • 托管修补程序根文件夹的服务器上的设置,用于检查访问该文件夹的相应权限,并确保从 SMB 共享文件夹(SMB 签名或 SMB 加密)访问的数据的完整性。 有关详细信息,请参阅限制对修补程序根文件夹的访问权限

附加选项

  • 或者,配置该插件以便在从修补程序文件共享中访问数据时强制进行 SMB 加密。 在 CAU UI 中,在“其他选项”页面上,选择“访问修补程序根文件夹时要求使用 SMB 加密”选项,或配置 RequireSMBEncryption='True' PowerShell 插件参数。

    重要

    若要借助 SMB 签名或 SMB 加密启用 SMB 数据的完整性,则必须在 SMB 服务器上执行额外的配置步骤。 有关详细信息,请参阅限制对修补程序根文件夹的访问权限中的第 4 步。 如果你选择强制使用 SMB 加密选项,并且修补程序根文件夹未配置为使用 SMB 加密进行访问,则更新运行将失败。

  • 或者,禁用针对修补程序根文件夹的足够权限和修补程序配置文件的默认检查。 在 CAU UI 中,选择“禁用针对修补程序根文件夹和配置文件的管理员访问权限的检查”,或配置 DisableAclChecks='True' 插件参数。
  • 或者,配置 HotfixInstallerTimeoutMinutes=<Integer> 参数来指定修补程序插件等待该修补程序安装程序进程返回的时间。 (默认值为 30 分钟。)例如,若要指定两个小时的超时周期,请设置 HotfixInstallerTimeoutMinutes=120。
  • 或者,配置 HotfixConfigFileName = <name> 插件参数以指定位于修补程序根文件夹中的修补程序配置文件的名称。 如果未指定,则使用默认名称 DefaultHotfixConfig.xml。

配置修补程序根文件夹结构

为了使修补程序插件起作用,修补程序必须以 SMB 文件共享(修补程序根文件夹)中明确定义的结构进行存储,并且你必须通过使用 CAU UI 或 CAU PowerShell cmdlet 以及修补程序根文件夹的路径来配置修补程序插件。 此路径作为 HotfixRootFolderPath 参数传递到该插件。 如以下示例所示,根据更新需要,你可以为修补程序根文件夹选择多个结构中的一个。 不符合该结构的文件或文件夹将会忽略。

示例 1 - 用于将修补程序应用到所有群集节点的文件夹结构

若要指定适用于所有群集节点的修补程序,请将它们复制到一个位于修补程序根文件夹下名为 CAUHotfix_All 的文件夹。 在此示例中,HotfixRootFolderPath 插件参数设置为 \\MyFileServer\Hotfixes\Root\CAUHotfix_All 文件夹包含三个具有 .msu、.msi 和 .msp 扩展名的更新,这些更新将适用于所有群集节点。 更新文件名称仅用于说明目的。

注意

在此示例和以下示例中,具有默认名称 DefaultHotfixConfig.xml 的修补程序配置文件在修补程序根文件夹中其所需的位置中显示。

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

示例 2 - 用于将某些更新仅应用于特定节点的文件夹结构

若要指定仅适用于特定节点的修补程序,请在具有节点名称的修补程序根文件夹下使用子文件夹。 使用群集节点的 NetBIOS 名称,例如,ContosoNode1。 然后,将仅适用于此节点的更新移动到该子文件夹。 在以下示例中,HotfixRootFolderPath 插件参数设置为 \\MyFileServer\Hotfixes\Root\CAUHotfix_All 文件夹中的更新将应用到所有群集节点,并且 Node1_Specific_Update.msu 将仅可应用到 ContosoNode1

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...
   ContosoNode1\
      Node1_Specific_Update.msu
      ...

示例 3 - 用于应用 .msu、.msi 和 .msp 文件以外更新的文件夹结构

默认情况下,Microsoft.HotfixPlugin 仅将应用具有 .msu、.msi 或 .msp 扩展名的更新。 但是,某些更新可能具有不同的扩展名,并且需要不同的安装命令。 例如,你可能需要将具有 .exe 扩展名的固件更新应用于群集中的节点。 你可以使用子文件夹配置修补程序根文件夹,该子文件夹指示应安装的特定、非默认更新类型。 你还必须配置相应的文件夹安装规则,该规则用于指定修补程序配置 XML 文件中的 <FolderRules> 元素内的安装命令。

在以下示例中,HotfixRootFolderPath 插件参数设置为 \\MyFileServer\Hotfixes\Root\。 多个更新将应用于所有群集节点,并且通过使用 FolderRule1 将固件更新 SpecialHotfix1.exe 应用于 ContosoNode1。 有关在修补程序配置文件中配置 FolderRule1 的详细信息,请参阅本主题后面部分中的自定义修补程序配置文件

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

   ContosoNode1\
      FolderRule1\
          SpecialHotfix1.exe
      ...

自定义修补程序配置文件

修补程序配置文件控制 Microsoft.HotfixPlugin 如何在故障转移群集中安装特定修补程序文件类型。 在 HotfixConfigSchema.xsd 文件内定义的配置文件的 XML 架构,该文件位于安装 CAU 工具的计算机上的以下文件夹中:

%systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating folder

若要自定义修补程序配置文件,将从该位置的示例配置文件 DefaultHotfixConfig.xml 复制到修补程序根文件夹并为你的方案进行适当的修改。

重要

若要应用由 Microsoft 和其他更新所提供的大部分修补程序,可以使用默认修补程序配置文件而无需任何修改。 自定义修补程序配置文件是仅在高级使用方案中才出现的任务。

默认情况下,修补程序配置 XML 文件定义安装规则和针对以下两个修补程序类别的退出条件:

  • 在默认情况下,插件可以安装的具有扩展名的修补程序文件(.msu、.msi 和 .msp 文件)。

    它们定义为 <ExtensionRules> 元素中的 <DefaultRules> 元素。 还有一个用于每个默认支持文件类型的 <Extension> 元素。 常规 XML 结构如下所示:

    <DefaultRules>
    <ExtensionRules>
      <Extension name="MSI">
        <!-- Template and ExitConditions elements for installation of .msi files follow -->
         ...
      </Extension>
      <Extension name="MSU">
        <!-- Template and ExitConditions elements for installation of .msu files follow -->
         ...
      </Extension>
      <Extension name="MSP">
        <!-- Template and ExitConditions elements for installation of .msp files follow -->
         ...
      </Extension>
         ...
   </ExtensionRules>
</DefaultRules>

    如果你需要将某些更新类型应用到你的环境中的所有群集节点,则可以定义其他 <Extension> 元素。

  • 修补程序或其他不是 .msi、.msu 或 .msp 文件的更新文件,例如,非 Microsoft 驱动程序、固件和 BIOS 更新。

    每种非默认文件类型配置为 <Folder> 元素中的 <FolderRules> 元素。 <Folder> 元素的名称属性必须与将包含相应类型更新的修补程序根文件夹中文件夹的名称相同。 该文件夹可以位于 CAUHotfix_All 文件夹或节点特定的文件夹中。 例如,如果在修补程序根文件夹中配置 FolderRule1,则在 XML 文件中配置以下元素以定义安装模板和该文件夹中更新的退出条件:

    <FolderRules>
      <Folder name="FolderRule1">
        <!-- Template and ExitConditions elements for installation of updates in FolderRule1 follow -->
         ...
      </Folder>
      ...
</FolderRules>

下表描述了 <Template> 属性和可能的 <ExitConditions> 子元素。

<Template> 特性 说明
path <Extension name> 属性中所定义文件类型的安装程序的完整路径。

若要指定修补程序根文件夹结构中的更新文件的路径,请使用 $update$
parameters path中指定的程序的必需和可选参数字符串。

若要指定一个作为修补程序根文件夹结构中的更新文件路径的参数,请使用 $update$
<ExitConditions> 子元素 说明
<Success> 定义一个或多个表明指定更新已成功的退出代码。 这是必需的子元素。
<Success_RebootRequired> 或者,定义一个或多个退出代码,以表明指定的更新已成功,并且节点必须重新启动。
注意:<Folder> 元素还可以包含 alwaysReboot 属性。 如果设置此属性,它表明如果按照此规则安装修补程序,则返回在 <Success>中定义的退出代码之一,此情况可以解释为 <Success_RebootRequired> 退出条件。
<Fail_RebootRequired> 或者,定义一个或多个退出代码,以表明指定的更新已失败,并且节点必须重新启动。
<AlreadyInstalled> 或者,定义一个或多个退出代码,以表明不应用指定的更新,因为它已经安装。
<NotApplicable> 或者,定义一个或多个退出代码,以表明不应用指定的更新,因为它不适用于群集节点。

重要

任何未在 <ExitConditions> 中明确定义的退出代码解释为更新失败,并且不重新启动节点。

限制对修补程序根文件夹的访问权限

你必须执行几个步骤来配置 SMB 文件服务器和文件共享以帮助确保仅在 Microsoft.HotfixPlugin的上下文中对修补程序根文件夹的文件和修补程序配置文件进行访问。 这些步骤启用多个功能,从而帮助防止可能在某种程度上危及故障转移群集的修补程序文件篡改。

常规步骤如下所示:

  1. 通过使用插件标识用于更新运行的用户帐户

  2. 在 SMB 文件服务器上必要的组中配置此用户帐户

  3. 配置权限以访问修补程序根文件夹

  4. 配置 SMB 数据完整性的设置

  5. 在 SMB 服务器上启用 Windows 防火墙规则

步骤 1:通过使用修补程序插件标识用于更新运行的用户帐户

当使用 Microsoft.HotfixPlugin 执行更新运行时,在 CAU 中用于检查安全设置的帐户取决于是在远程更新模式还是在自我更新模式中使用 CAU,如下所示:

  • 远程更新模式 用于在群集上预览并应用更新的具有管理权限的帐户。

  • 自我更新模式 用于在 Active Directory 中为 CAU 群集角色配置的虚拟计算机对象的名称。 这是为 CAU 群集角色在 Active Directory 中预留的虚拟计算机对象的名称或由 CAU 为群集角色生成的名称。 若要获取由 CAU 生成的名称,请运行 Get-CauClusterRole CAU PowerShell cmdlet。 在输出中,ResourceGroupName 是生成的虚拟计算机对象帐户的名称。

步骤 2:在 SMB 文件服务器上必要的组中配置此用户帐户

重要

你必须在 SMB 服务器上作为本地管理员帐户添加用于更新运行的帐户。 如果因为你组织中的安全策略而不允许这样做,则通过以下过程在 SMB 服务器上使用必要的权限来配置此帐户。

在 SMB 服务器上配置用户帐户

  1. 将用于“更新运行”的帐户添加到 Distributed COM Users 组和以下任一组:超级用户、服务器操作或打印操作员。

  2. 若要启用帐户所需的 WMI 权限,请在 SMB 服务器上启动 WMI 管理控制台。 启动 PowerShell,然后键入以下命令:

    wmimgmt.msc

  3. 在控制台树中,右键单击“WMI 控件(本地)”,然后单击“属性”

  4. 单击“安全”,然后展开“根”

  5. 单击“CIMV2”,然后单击“安全”

  6. 将用于更新运行的帐户添加到“组或用户名”列表。

  7. 将“执行方法”和“远程启用”权限授予用于更新运行的帐户。

步骤 3:配置权限以访问修补程序根文件夹

默认情况下,当尝试应用更新时,修补程序插件将检查访问修补程序根文件夹的 NTFS 文件系统权限的配置。 如果文件夹访问权限配置不正确,则使用修补程序插件的更新运行可能会失败。

如果你使用修补程序插件的默认配置,请确保文件夹访问权限满足以下要求。

  • 用户组具有读取权限。

  • 如果该插件将使用 .exe 扩展名应用更新,则用户组具有执行权限。

  • 只允许(但不是必需的)某些安全主体具有写入或修改权限。 允许的主体是本地管理员组、SYSTEM、CREATOR OWNER 和 TrustedInstaller。 其他帐户或组不允许具有写入或修改修补程序根文件夹的权限。

或者,你可以禁用该插件在默认情况下执行的前面的检查。 可以通过两种方法执行此操作:

  • 如果使用 CAU PowerShell cmdlet,请在修补程序插件的 CauPluginArguments 参数中配置 DisableAclChecks='True' 参数。

  • 如果使用 CAU UI,请选择用于配置更新运行选项的向导中“其他更新选项”页面上的“禁用对修补程序根文件夹和配置文件管理员访问权限的检查”选项。

但是,作为在许多环境中的最佳实践,我们建议你使用默认的配置强制执行这些检查。

步骤 4:配置 SMB 数据完整性的设置

若要检查群集节点和 SMB 文件共享之间的连接中的数据完整性,修补程序插件要求你启用 SMB 文件共享上针对 SMB 签名或 SMB 加密的设置。 SMB 加密在许多环境中提供了增强的安全性和更好的性能,从 Windows Server 2012 起开始受支持。 你可以启用其中一种设置或同时启用这两种设置,如下所示:

  • 若要启用 SMB 签名,请参阅 Microsoft 知识库内的 文章 887429 中描述的过程。

  • 若要为 SMB 共享文件夹启用 SMB 加密,请在 SMB 服务器上运行以下 PowerShell cmdlet:

    Set-SmbShare <ShareName> -EncryptData $true

    其中 <ShareName> 是 SMB 共享文件夹的名称。

或者,若要在 SMB 服务器的连接中强制使用 SMB 加密,请选择 CAU UI 中的“访问修补程序根文件夹时要求使用 SMB 加密”选项,或通过使用 CAU PowerShell cmdlet 来配置 RequireSMBEncryption='True' 插件参数。

重要

如果你选择强制使用 SMB 加密的选项,并且修补程序根文件夹未配置为使用 SMB 加密的连接,则更新运行将失败。

步骤 5:在 SMB 服务器上启用 Windows 防火墙规则

你必须在 SMB 文件服务器上的 Windows 防火墙中启用“文件服务器远程管理 (SMB-in)”规则。 在 Windows Server 2016、Windows Server 2012 R2 和 Windows Server 2012 中,这会默认启用。

其他参考