叢集感知更新外掛程式的運作方式

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Azure Stack HCI、版本 21H2 和 20H2

叢集感知更新 (CAU) 會使用外掛程式來協調在容錯移轉叢集中節點內的更新安裝。 此主題提供有關使用內建的 CAU 外掛程式或您為 CAU 安裝的其他外掛程式的資訊。

安裝外掛程式

隨 CAU 安裝之預設外掛程式 (Microsoft.WindowsUpdatePluginMicrosoft.HotfixPlugin) 以外的外掛程式必須另行安裝。 若在自行更新模式中使用 CAU,必須在所有叢集節點上安裝外掛程式。 若在遠端更新模式中使用 CAU,必須在遠端 新協調器電腦中安裝外掛程式。 您安裝的外掛程式在每個節點上可能會有額外的安裝需求。

若要安裝外掛程式,請依照外掛程式發行者的指示執行。 若要手動向 CAU 登錄外掛程式,請在安裝外掛程式的每部電腦上執行 Register-CauPlugin Cmdlet。

指定外掛程式與外掛程式引數

指定 CAU 外掛程式

在 CAU UI 中,當您使用 CAU 來執行下列動作時,您必須從可用外掛程式下拉式清單中選取外掛程式:

  • 套用更新至叢集

  • 預覽叢集的更新

  • 設定叢集自行更新選項

根據預設值,CAU 會選取外掛程式 Microsoft.WindowsUpdatePlugin。 不過,您可以指定任何已安裝並已向 CAU 登錄的外掛程式。

提示

在 CAU UI 中,您只能為 CAU 指定一個外掛程式,以便在「更新執行」期間用來預覽或套用更新。 您可以使用 CAU PowerShell Cmdlet 指定一個或多個外掛程式。如果您需要在叢集上安裝多種更新類型,在一次更新執行中指定多個外掛程式,通常要比每個外掛程式使用個別的更新執行更有效率。 例如,通常需要重新啟動的節點數目較少。

您可以使用下表列出的 CAU PowerShell Cmdlet,指定更新執行的一個或多個外掛程式,或傳遞 –CauPluginName 參數以進行掃描。 若要指定多個外掛程式名稱,請使用逗號將它們分隔。 若指定多個外掛程式,您也可以控制外掛程式在「更新執行」期間如何影響彼此,方式是指定 -RunPluginsSerially-StopOnPluginFailure–SeparateReboots 參數。 如需有關使用多個外掛程式的詳細資訊,請使用下表中提供的 Cmdlet 文件連結。

指令程式 描述
Add-CauClusterRole 新增提供自行更新功能給所指定叢集的 CAU 叢集角色。
Invoke-CauRun 執行叢集節點掃描以判斷適用的更新,並透過所指定叢集上的「更新執行」安裝那些更新。
Invoke-CauScan 執行叢集節點掃描以判斷適用的更新,並傳回將套用至所指定叢集中每個節點的初始更新集清單。
Set-CauClusterRole 設定所指定叢集上的 CAU 叢集角色屬性。

若未使用這些 Cmdlet 指定 CAU 外掛程式參數,預設值是外掛程式 Microsoft.WindowsUpdatePlugin

指定 CAU 外掛程式引數

當您設定「更新執行」選項時,您可以為選取要使用的外掛程式指定一或多個 name=value 組 (引數)。 例如,在 CAU UI 中,您可以指定多個引數,如下所示:

Name1=Value1;Name2=Value2;Name3=Value3

這些 name=value 組對您指定的外掛程式而言必須有意義。 對於某些外掛程式,引數是可省略的。

CAU 外掛程式引數的語法遵循這些一般規則:

  • 多個 name=value 組必須以分號分隔。

  • 包含空格的值必須以引號括住,例如: Name1="Value with Spaces"

  • value 的正確語法取決於外掛程式。

若要使用支援 –CauPluginParameters 參數的 CAU PowerShell Cmdlet 來指定外掛程式引數,請傳遞表單的參數:

-CauPluginArguments @{Name1=Value1;Name2=Value2;Name3=Value3}

您也可以使用預先定義的 PowerShell 雜湊表。 若要指定多個外掛程式的外掛程式引數,請傳遞多個引數雜湊表,並以逗號分隔。 根據 CauPluginName中指定的外掛程式順序傳遞外掛程式引數。

指定可省略的外掛程式引數

CAU 安裝的外掛程式 (Microsoft.WindowsUpdatePluginMicrosoft.HotfixPlugin) 提供可供您選取的其他選項。 在 CAU UI 中,這些會出現在 [其他選項] 頁面上 (在您設定外掛程式的「更新執行」選項之後)。 若您使用 CAU PowerShell Cmdlet,這些選項會設定為可省略的外掛程式引數。 如需詳細資訊,請參閱本主題稍後的 使用 Microsoft.WindowsUpdatePlugin使用 Microsoft.HotfixPlugin

使用 Windows PowerShell Cmdlet 來管理外掛程式

指令程式 描述
Get-CauPlugin 擷取在本機電腦上觸發之一或多個軟體更新外掛程式的相關資訊。
Register-CauPlugin 在本機電腦上登錄 CAU 軟體更新外掛程式。
Unregister-CauPlugin 從可供 CAU 使用的外掛程式清單移除軟體更新外掛程式。 注意: The 隨著 CAU (Microsoft.WindowsUpdatePluginMicrosoft.HotfixPlugin) 安裝的外掛程式無法取消註冊。

使用 Microsoft.WindowsUpdatePlugin

CAU 的預設外掛程式 Microsoft.WindowsUpdatePlugin 會執行下列動作:

  • 與每個容錯移轉叢集節點上的「Windows Update 代理程式」通訊,以套用每個節點上執行之 Microsoft 產品所需的更新。
  • 直接從 Windows Update 或 Microsoft Update,或從內部部署 Windows Server Update Services (WSUS) 伺服器安裝叢集更新。
  • 只會安裝選取的一般發行版本 (GDR) 更新。 根據預設值,外掛程式只會套用重要軟體更新。 不需要組態。 預設設定會在每個節點上下載並安裝重要 GDR 更新。

注意

若要套用預設選取的重要軟體更新以外的更新 (例如驅動程式更新),您可以設定選用外掛程式參數。 如需詳細資訊,請參閱 設定 Windows Update 代理程式查詢字串

需求

  • 容錯移轉叢集和遠端更新協調器電腦 (如果使用) 必須符合 CAU 和設定 (在 CAU 的需求和最佳做法 中列出的遠端管理所需) 的需求。
  • 檢閱套用 Microsoft 更新的建議,然後對容錯移轉叢集節點的 Microsoft Update 設定進行任何必要的變更。
  • 為獲得最佳結果,建議您執行 CAU 最佳做法分析程式 (BPA) 以確保叢集和更新環境已正確設定為使用 CAU 套用更新。 如需詳細資訊,請參閱 Test CAU updating readiness

注意

系統會排除需要接受 Microsoft 授權條款或需要使用者互動的更新,您需要手動安裝這些更新。

其他選項

您也可以指定下列外掛程式引數至引數,或限制將由外掛程式套用的更新集合:

  • 若要將外掛程式設定為套用建議的更新 (除了每個節點上的重要更新之外),請在 CAU UI 中,在 [進階選項] 頁面,選取 [以跟我收到重要更新的相同方式,給我建議的更新] 核取方塊。
    或者,設定 'IncludeRecommendedUpdates'='True' 外掛程式引數。
  • 若要設定外掛程式來篩選套用至每個叢集節點的 GDR 更新類型,請使用 QueryString 外掛程式引數來指定 Windows Update Agent 查詢字串。 如需詳細資訊,請參閱 設定 Windows Update 代理程式查詢字串

設定 Windows Update 代理程式查詢字串

您可以為預設外掛程式 Microsoft.WindowsUpdatePlugin設定外掛程式引數,這是由 Windows Update 代理程式 (WUA) 查詢字串所組成。 此指示使用 WUA API 來識別要套用到每個節點的一或多個 Microsoft 更新群組 (根據特定選取範圍條件)。 您可以使用邏輯 AND 或邏輯 OR 來結合多個條件。 WUA 查詢字串是在外掛程式引數中指定,如下所示:

QueryString="Criterion1=Value1 and/or Criterion2=Value2 and/or…"

例如,Microsoft.WindowsUpdatePlugin 會使用預設的 QueryString 引數 (使用 IsInstalledTypeIsHiddenIsAssigned 標準建構) 自動選取重要的更新:

QueryString="IsInstalled=0 and Type='Software' and IsHidden=0 and IsAssigned=1"

若指定 QueryString 引數,系統會使用它來取代針對外掛程式設定的預設 QueryString

範例 1

設定會安裝由識別碼 f6ce46c1-971c-43f9-a2aa-783df125f003 識別之特定更新的 QueryString引數:

QueryString="UpdateID='f6ce46c1-971c-43f9-a2aa-783df125f003' and IsInstalled=0"

注意

上述範例對於使用 [叢集感知更新精靈] 來套用更新而言是有效的。 若要使用 CAU UI 設定自行更新選項,或使用 Add-CauClusterRoleSet-CauClusterRolePowerShell Cmdlet 來安裝特定更新,您必須使用兩個單引號字元格式化 UpdateID 值:

QueryString="UpdateID=''f6ce46c1-971c-43f9-a2aa-783df125f003'' and IsInstalled=0"

範例 2

設定只會安裝驅動程式的 QueryString 引數:

QueryString="IsInstalled=0 and Type='Driver' and IsHidden=0"

如需預設外掛程式 Microsoft.WindowsUpdatePlugin 的查詢字串、搜尋準則 (如 IsInstalled) 和您可以在查詢字串中指定的語法,請參閱 Windows Update Agent (WUA) API 參考 中的搜尋準則章節。

使用 Microsoft.HotfixPlugin

外掛程式 Microsoft.HotfixPlugin 可用來套用您另行下載來解決特定 Microsoft 軟體問題的 Microsoft 限定發行版本 (LDR) 更新 (已稱為 Hotfix,先前稱為 QFE)。 外掛程式會從 SMB 檔案共用上的根資料夾安裝更新,也可以自訂為套用非 Microsoft 驅動程式、韌體和 BIOS 更新。

注意

Hotfix 有時可在知識庫文章從 Microsoft 下載,但也會視需要提供給客戶。

需求

  • 容錯移轉叢集和遠端更新協調器電腦 (如果使用) 必須符合 CAU 和設定 (在 CAU 的需求和最佳做法 中列出的遠端管理所需) 的需求。

  • 檢閱使用 Microsoft.HotfixPlugin 的建議

  • 為獲得最佳結果,建議您執行 CAU 最佳做法分析程式 (BPA) 模型以確保叢集和更新環境已正確設定為使用 CAU 套用更新。 如需詳細資訊,請參閱 Test CAU updating readiness

  • 從發行者取得更新,並將更新複製到伺服器訊息區塊 (SMB) 檔案共用 (Hotfix 根資料夾),這些檔案共用至少支援 SMB 2.0,並可供所有叢集節點和遠端更新協調器電腦存取 (如果在遠端更新模式下使用 CAU)。 如需詳細資訊,請參閱本主題稍後的 設定 Hotfix 根資料夾結構

    注意

    此外掛程式預設為僅安裝下列副檔名的 Hotfix:.msu、.msi 和 .msp。

  • 將 DefaultHotfixConfig.xml 檔案 (在安裝 CAU 工具的電腦資料夾 %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating 中) 複製至您建立並在其中解壓縮 Hotfix 的 Hotfix 根資料夾中。 例如,請將設定檔複製至 \\MyFileServer\Hotfixes\Root\

    注意

    若要安裝 Microsoft 提供的大部分 Hotfix 與其他更新,您可以使用預設的 Hotfix 設定檔而無需修改。 若您的案例需要,您可以以進階工作方式自訂設定檔。 設定檔可以包含自訂規則,例如處理具有特定副檔名的 Hotfix 或定義特定結束條件行為的規則。 如需詳細資訊,請參閱本主題稍後的 自訂 Hotfix 設定檔

組態

設定下列設定。 如需詳細資訊,請參閱此主題稍後的小節的連結。

  • 包含要套用之更新與 Hotfix 設定檔之共用 Hotfix 根資料夾的路徑。 您可以在 CAU UI 中輸入此路徑,或設定 HotfixRootFolderPath=<Path> PowerShell 外掛程式引數。

    注意

    您可以將 hotfix 根資料夾指定為本機資料夾路徑或表單的 UNC 路徑 \\ServerName\Share\RootFolderName。 您可以使用網域型或獨立 DFS 命名空間路徑。 不過,檢查 Hotfix 設定檔中之存取權限的外掛程式功能與 DFS 命名空間路徑不相容,因此若您已設定 DFS 命名空間路徑,則必須使用 CAU UI 或透過設定 DisableAclChecks='True' 外掛程式引數來停用存取權限檢查。

  • 對於在託管 Hotfix 根資料夾的伺服器上的設定,檢查是否有適當的資料夾存取權限,並確保從 SMB 共用資料夾存取的資料完整性 (SMB 簽署或 SMB 加密)。 如需詳細資訊,請參閱 限制對 Hotfix 根資料夾的存取

其他選項

  • 您可以設定外掛程式,以便在使用者存取 Hotfix 檔案共用中的資料時強制執行 SMB 加密。 在 CAU UI 中,在 [進階選項] 頁面上,選取 [存取 Hotfix 根資料夾時需要 SMB 加密] 選項,或設定 RequireSMBEncryption='True' PowerShell 外掛程式引數。

    重要

    您必須在 SMB 伺服器上執行額外的設定步驟,以使用 SMB 簽署或 SMB 加密來啟用 SMB 資料完整性。 如需詳細資訊,請參閱 限制對 Hotfix 根資料夾的存取中的步驟 4。 若選取強制使用 SMB 加密的選項,且未使用 SMB 加密來設定對 Hotfix 根資料夾的存取權,「更新執行」將失敗。

  • 或者,您可以停用是否有足夠權限可存取 Hotfix 根資料夾與 Hotfix 設定檔的預設檢查。 在 CAU UI 中,選取 [停用 Hotfix 根資料夾和設定檔的管理員存取權檢查] ,或設定 DisableAclChecks='True' 外掛程式引數。
  • 或者,設定 HotfixInstallerTimeoutMinutes=<Integer> 引數,以指定 Hotfix 外掛程式要等候 Hotfix 安裝程式程序傳回的時間長短。 (預設為 30 分鐘。) 例如,若要指定兩小時的逾時期間,請設定 HotfixInstallerTimeoutMinutes=120
  • 或者,設定 HotfixConfigFileName = <name> 外掛程式引數,以指定位於 Hotfix 根資料夾的 Hotfix 設定檔的名稱。 若未指定,會使用預設名稱 DefaultHotfixConfig.xml。

設定 Hotfix 根資料夾結構

為了讓 Hotfix 外掛程式運作,必須將 Hotfix 儲存在 SMB 檔案共用 (Hotfix 根資料夾) 中已正確定義的結構中,而且您必須使用 CAU UI 或 CAU PowerShell Cmdlet 來設定 Hotfix 外掛程式的 Hotfix 根資料夾路徑。 此路徑會以 HotfixRootFolderPath 引數的形式傳遞給外掛程式。 您可以根據您的更新需求為 Hotfix 根資料夾選擇數種結構的其中之一,如下列範例所示。 未遵守該結構的檔案或資料夾會被忽略。

範例 1 - 用來將 Hotfix 套用到所有叢集節點的資料夾結構

若要指定將 Hotfix 套用到所有叢集節點,請將它們複製到 Hotfix 根資料夾下名為 CAUHotfix_All 的資料夾。 在此範例中,HotfixRootFolderPath 外掛程式引數設定為 \\MyFileServer\Hotfixes\Root\CAUHotfix_All 資料夾包含三個具有 .msu、.msi 與 .msp 副檔名且將套用到所有叢集節點的更新。 更新檔案名稱只適用於示範用途。

注意

在此範例與下列範例中,具有此預設名稱 (DefaultHotfixConfig.xml) 的 Hotfix 設定檔是顯示在 Hotfix 根資料夾的必要位置。

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

範例 2 - 用於只將特定更新套用到特定節點的資料夾結構

若要指定只將 Hotfix 套用到特定節點,請使用 Hotfix 根資料夾下具有節點名稱的子資料夾。 使用叢集節點的 NetBIOS 名稱,例如 ContosoNode1。 接著,將只要套用到此節點的更新移動到此子資料夾中。 在下列範例中,HotfixRootFolderPath 外掛程式引數設定為 \\MyFileServer\Hotfixes\Root\CAUHotfix_All 資料夾中的更新將套用到所有叢集節點,而 Node1_Specific_Update.msu 將只套用到 ContosoNode1

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...
   ContosoNode1\
      Node1_Specific_Update.msu
      ...

範例 3 - 用於套用 .msu、.msi 與 .msp 檔案以外之更新的資料夾結構

根據預設值, Microsoft.HotfixPlugin 只會套用具有 .msu、.msi 或 .msp 副檔名的更新。 不過,特定更新可能會有不同的副檔名,而且需要不同的安裝命令。 例如,您可能需要將具有副檔名 .exe 的韌體更新套用到叢集中的節點。 您可以在 Hotfix 根資料夾中設定子資料夾,以指示應該安裝特定非預設更新類型。 您也必須設定對應的資料夾安裝規則,以在 Hotfix 設定 XML 檔案的 <FolderRules> 元素中指定安裝命令。

在下列範例中,HotfixRootFolderPath 外掛程式引數設定為 \\MyFileServer\Hotfixes\Root\。 有數個更新將套用到所有叢集節點,有一個韌體更新 SpecialHotfix1.exe 將套用到 ContosoNode1 (使用 FolderRule1)。 如需有關在 Hotfix 設定檔中設定 FolderRule1 的資訊,請參閱此主題稍後的 自訂 Hotfix 設定檔

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

   ContosoNode1\
      FolderRule1\
          SpecialHotfix1.exe
      ...

自訂 Hotfix 設定檔

Hotfix 設定檔控制 Microsoft.HotfixPlugin 如何在容錯移轉叢集中安裝特定的 Hotfix 檔案類型。 設定檔的 XML 結構描述是在 HotfixConfigSchema.xsd 中定義,此 .xsd 檔案位於已安裝 CAU 工具之電腦的下列資料夾:

%systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating 資料夾

若要自訂 Hotfix 設定檔,請將範例設定檔 DefaultHotfixConfig.xml 從此位置複製到 Hotfix 根資料夾,並根據您的案例進行適當的修改。

重要

若要套用 Microsoft 提供的大部分 Hotfix 與其他更新,您可以使用預設的 Hotfix 設定檔而無需修改。 Hotfix 設定檔自訂是進階使用案例中的工作。

根據預設值,Hotfix 設定 XML 檔案會定義下列兩種 Hotfix 類別的安裝規則與結束條件:

  • 具有外掛程式預設可安裝之副檔名 (.msu、.msi 與 .msp 檔案) 的 Hotfix 檔案。

    這些是定義為 <ExtensionRules> 元素中的 <DefaultRules> 元素。 每個預設支援的檔案類型都有一個 <Extension> 元素。 一般 XML 結構如下所示:

    <DefaultRules>
    <ExtensionRules>
      <Extension name="MSI">
        <!-- Template and ExitConditions elements for installation of .msi files follow -->
         ...
      </Extension>
      <Extension name="MSU">
        <!-- Template and ExitConditions elements for installation of .msu files follow -->
         ...
      </Extension>
      <Extension name="MSP">
        <!-- Template and ExitConditions elements for installation of .msp files follow -->
         ...
      </Extension>
         ...
   </ExtensionRules>
</DefaultRules>

    若需要將特定更新類型套用到您環境中的所有叢集節點,您可以定義額外的 <Extension> 元素。

  • Hotfix 或其他非 .msi、.msu 或 .msp 檔案的更新檔案,例如非 Microsoft 驅動程式、韌體與 BIOS 更新。

    每個非預設的檔案類型都是設定為 <Folder> 元素中的 <FolderRules> 元素。 <Folder> 元素的名稱屬性必須與將包含對應類型更新之 Hotfix 根資料夾中的資料夾名稱相同。 該資料夾可以位於 CAUHotfix_All 資料夾或節點特定資料夾。 例如,若已在 Hotfix 根資料夾中設定 FolderRule1 ,請在 XML 檔案中設定下列元素,以定義該資料夾中之更新的安裝範本與結束條件。

    <FolderRules>
      <Folder name="FolderRule1">
        <!-- Template and ExitConditions elements for installation of updates in FolderRule1 follow -->
         ...
      </Folder>
      ...
</FolderRules>

下表說明 <Template> 屬性與可能的 <ExitConditions> 子元素。

<Template> 屬性 描述
path <Extension name> 屬性中定義之檔案類型的安裝程式完整路徑。

若要指定 Hotfix 根資料夾結構中之更新的路徑,請使用 $update$
parameters path中指定之程式的必要或選擇性參數字串。

若要指定 Hotfix 根資料夾結構中之更新檔案的路徑參數,請使用 $update$
<ExitConditions> 子元素 描述
<Success> 定義一或多個指出所指定更新已順利完成的結束代碼。 這是必要的子元素。
<Success_RebootRequired> 您可以定義一或多個結束代碼,指出所指定更新成功且節點必須重新啟動
注意:或者,<Folder> 元素可以包含 alwaysReboot 屬性。 若已設定此屬性,它會指出此規則安裝的 Hotfix 是否傳回 <Success>中定義的其中一個結束代碼,它是解譯為 <Success_RebootRequired> 結束條件。
<Fail_RebootRequired> 您可以定義一或多個結束代碼,指出所指定更新失敗且節點必須重新啟動
<AlreadyInstalled> 您可以定義一或多個結束代碼,指出所指定更新因為已安裝而未套用。
<NotApplicable> 您可以定義一或多個結束代碼,指出所指定更新因為不適用於叢集節點而未套用。

重要

未在 <ExitConditions> 中明確定義的所有結束代碼都會被解譯為更新失敗而且節點未重新啟動。

限制對 Hotfix 根資料夾的存取

您必須執行數個步驟來設定 SMB 檔案伺服器與檔案共用,協助保護 Hotfix 根資料夾檔案與 Hofix 設定檔,只允許在 Microsoft.HotfixPlugin的環境中進行存取。 這些步驟會啟用數個功能,它們可以協助防止 Hotfix 檔案遭竄改而使得容錯移轉叢集有安全之虞。

一般步驟如下所示:

  1. 使用外掛程式識別「更新執行」使用的使用者帳戶

  2. 在 SMB 檔案伺服器上的適當群組中設定此使用者帳戶

  3. 設定對 Hotfix 根資料夾的存取權限

  4. 設定 SMB 資料完整性設定

  5. 在 SMB 伺服器上啟用 Windows 防火牆規則

步驟 1:使用 Hotfix 外掛程式識別「更新執行」使用的使用者帳戶

使用 Microsoft.HotfixPlugin 執行「更新執行」時,在 CAU 中用來檢查安全性設定的帳戶視 CAU 是在遠端更新模式或自行更新模式中使用而定,如下所示:

  • 遠端更新模式 :叢集上具有預覽及套用更新之系統管理權限的帳戶。

  • 自行更新模式 :針對 CAU 叢集角色在 Active Directory 中設定之虛擬電腦物件的名稱。 這是針對 CAU 叢集角色在 Active Directory 中預先設置之虛擬電腦物件的名稱,或 CAU 針對叢集角色產生的名稱。 若要取得名稱 (如果是由 CAU 產生),請執行 Get-CauClusterRole CAU PowerShell Cmdlet。 在輸出中, ResourceGroupName 是產生之虛擬電腦物件帳戶的名稱。

步驟 2:在 SMB 檔案伺服器上的適當群組中設定此使用者帳戶

重要

您必須在 SMB 伺服器上新增一個帳戶,供「更新執行」做為本機系統管理員帳戶使用。 若因為您組織的安全性原則而不允許您這樣做,請使用下列程序在 SMB 伺服器上為此帳戶設定必要權限。

在 SMB 伺服器上設定使用者帳戶

  1. 新增將供「更新執行」使用的帳戶至 Distributed COM Users 群組與下列其中一個群組:Power User、Server Operation 或 Print Operator。

  2. 若要為該帳戶啟用必要的 WMI 權限,請啟動 SMB 伺服器上的 WMI 管理主控台。 啟動 PowerShell,然後輸入下列命令:

    wmimgmt.msc

  3. 在主控台樹狀目錄中,在 [WMI 控制 (本機)] 上按一下滑鼠右鍵,然後按一下 [內容]

  4. 按一下 [安全性] ,然後展開 [根目錄]

  5. 按一下 [CIMV2] ,然後按一下 [安全性]

  6. 新增將供「更新執行」使用的帳戶至 [群組或使用者名稱] 清單。

  7. 將「執行方法」 與「遠端啟用」 權限授與將供「更新執行」使用的帳戶。

步驟 3:設定對 Hotfix 根資料夾的存取權限

根據預設值,當您嘗試套用更新時,Hotfix 外掛程式會檢查 NTFS 檔案系統權限設定,判斷是否能存取 Hotfix 根資料夾。 若未正確設定資料夾存取權限,使用該 Hotfix 外掛程式的「更新執行」可能會失敗。

若使用 Hotfix 外掛程式的預設設定,請確定資料夾存取權限符合下列需求。

  • Users 群組必須具有「讀取」權限。

  • 若外掛程式將使用 .exe 副檔名來套用更新,Users 群組必須具有「執行」權限。

  • 只有有特定安全性主體才能具有「寫入」或「修改」權限 (但並非必要條件)。 允許的主體是本機 Administrators 群組、SYSTEM、CREATOR OWNER 與 TrustedInstaller。 其他帳戶或群組不能有 Hotfix 根資料夾的「寫入」或「修改」權限。

或者,您可以停用外掛程式預設會執行的上述檢查。 您可以使用下列其中一種作法:

  • 如果您使用 CAU PowerShell Cmdlet,請在 Hotfix 外掛程式的 CauPluginArguments 參數中,設定 DisableAclChecks='True' 引數。

  • 若您是使用 CAU UI,請在用來設定「更新執行」選項的精靈中,選取 [其他更新選項] 頁面上的 [停用 Hotfix 根資料夾和設定檔的管理員存取權檢查] 選項。

不過,做為許多環境中的最佳做法,我們建議您使用預設設定來強制這些檢查。

步驟 4:設定 SMB 資料完整性設定

為檢查叢集節點與 SMB 檔案共用間之連線的資料完整性,Hotfix 外掛程式要求您必須在 SMB 檔案共用上啟用 SMB 簽署或 SMB 加密設定。 從 Windows Server 2012 開始就支援 SMB 加密,它在許多環境中提供加強的安全性與更好的效能。 您可以啟用任一設定或同時啟用這兩個設定,如下所示:

  • 若要啟用 SMB 簽署,請參閱 Microsoft 知識庫中的 文章 887429

  • 若要為 SMB 共用資料夾啟用 SMB 加密,請在 SMB 伺服器上執行下列 PowerShel Cmdlet:

    Set-SmbShare <ShareName> -EncryptData $true

    其中 <ShareName> 是 SMB 共用資料夾的名稱。

或者,若要強制在與 SMB 伺服器之間的連線中使用 SMB 加密,請選取 CAU UI 中的 [存取 Hotfix 根資料夾時需要 SMB 加密] 選項,或使用 CAU Cmdlet 設定 RequireSMBEncryption='True' 外掛程式引數。

重要

若選取強制使用 SMB 加密的選項,且未針對使用 SMB 加密的連線設定 Hotfix 根資料夾,「更新執行」將失敗。

步驟 5:在 SMB 伺服器上啟用 Windows 防火牆規則

您必須在 SMB 檔案伺服器上的「Windows 防火牆」中啟用 [檔案伺服器遠端管理 (SMB-In)] 規則。 在 Windows Server 2016、Windows Server 2012 R2 和 Windows Server 2012 中,此預設為啟用。

其他參考