Cómo funcionan los complementos de actualización de Cluster-Aware

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI, versiones 21H2 y 20H2

La actualización compatible con clústeres (CAU) usa complementos para coordinar la instalación de actualizaciones entre nodos de un clúster de conmutación por error. En este tema se proporciona información sobre el uso de los complementos CAU integrados u otros complementos que puedes instalar para CAU.

Instalar un complemento

Los complementos que no sean los predeterminados que se instalan con CAU (Microsoft.WindowsUpdatePlugin y Microsoft.HotfixPlugin) deben instalarse por separado. Si se usa CAU en modo de auto-actualización, el complemento se debe instalar en todos los nodos del clúster. Si se usa CAU en modo de actualización remota, el complemento se debe instalar en el equipo coordinador de actualizaciones remotas. Un complemento instalado por el usuario puede tener requisitos de instalación distintos en cada nodo.

Para instalar un complemento, sigue las instrucciones de su editor. Para registrar manualmente un complemento con CAU, ejecute el cmdlet Register-CauPlugin en cada equipo en que se haya instalado el complemento.

Especificar un complemento y sus argumentos

Especificar un complemento CAU

En la interfaz de usuario de CAU, debes seleccionar un complemento de una lista desplegable de complementos disponibles cuando uses CAU para realizar las siguientes acciones:

  • Aplicar actualizaciones al clúster

  • Obtener una vista previa de las actualizaciones del clúster

  • Configurar las herramientas de auto-actualización del clúster

De manera predeterminada, CAU selecciona el complemento Microsoft.WindowsUpdatePlugin. No obstante, puedes especificar cualquier complemento instalado y registrado con CAU.

Sugerencia

En la interfaz de usuario de CAU solo puedes especificar un complemento para que CAU lo use para obtener una vista previa o para aplicar actualizaciones durante una ejecución de actualización. Mediante el uso de los cmdlets de PowerShell de CAU, puede especificar uno o varios complementos. Si necesita instalar varios tipos de actualizaciones en el clúster, normalmente es más eficaz especificar varios complementos en una ejecución de actualización, en lugar de usar una ejecución de actualización independiente para cada complemento. Por ejemplo, lo normal es que se produzcan menos reinicios de nodos.

Mediante el uso de los cmdlets de PowerShell de CAU que se enumeran en la tabla siguiente, puede especificar uno o varios complementos para una ejecución de actualización o un examen pasando el parámetro –CauPluginName . Puedes especificar varios nombres de complementos separándolos con comas. Si especificas varios complementos, también puedes controlar cómo se influyen mutuamente durante una ejecución de actualización. Para ello, especifica los parámetros -RunPluginsSerially, -StopOnPluginFailure y –SeparateReboots. Para obtener más información sobre el uso de varios complementos, usa los vínculos a la documentación del cmdlet proporcionados en la tabla siguiente.

Cmdlet Descripción
Add-CauClusterRole Agrega el rol en clúster de CAU que proporciona la funcionalidad de auto-actualización al clúster especificado.
Invoke-CauRun Realiza un examen de los nodos del clúster para buscar actualizaciones aplicables y las instala por medio de una ejecución de actualización en el clúster especificado.
Invoke-CauScan Realiza un examen de los nodos del clúster para buscar actualizaciones aplicables y devuelve una lista del conjunto inicial de actualizaciones que se aplicarían a cada nodo en el clúster especificado.
Set-CauClusterRole Establece las propiedades de configuración del rol en clúster de CAU en el clúster especificado.

Si no especificas un parámetro de complemento CAU con estos cmdlets, el valor predeterminado es el complemento Microsoft.WindowsUpdatePlugin.

Especificar argumentos de un complemento CAU

Al configurar las opciones de ejecución de actualización, puedes especificar uno o más pares nombre=valor (argumentos) para que los use el complemento seleccionado. Por ejemplo, en la interfaz de usuario de CAU puedes especificar varios argumentos de la siguiente manera:

Name1=Value1; Name2=Value2; Name3=Value3

Estos pares nombre=valor deben ser significativos para el complemento que especifiques. Para algunos complementos, los argumentos son opcionales.

La sintaxis de los argumentos del complemento CAU sigue estas reglas generales:

  • Varios pares nombre=valor se separan mediante punto y coma.

  • Un valor que contenga espacios se incluye entre comillas, por ejemplo: Name1="Value with Spaces".

  • La sintaxis exacta de valor depende del complemento.

Para especificar argumentos de complemento mediante los cmdlets de PowerShell de CAU que admiten el parámetro –CauPluginParameters , pase un parámetro del formulario:

-CauPluginArguments @{Name1=Value1; Name2=Value2; Name3=Value3}

También puede usar una tabla hash de PowerShell predefinida. Para especificar argumentos para más de un complemento, pasa varias tablas hash de argumentos, separadas por comas. Pasa los argumentos de complemento en el orden de complementos especificado en CauPluginName.

Especificar argumentos de complemento opcionales

Los complementos que instala CAU (Microsoft.WindowsUpdatePlugin y Microsoft.HotfixPlugin) proporcionan opciones adicionales que puedes seleccionar. En la IU de CAU, aparecen en una página de Opciones adicionales después de configurar las opciones de ejecución de actualización del complemento. Si usa los cmdlets de PowerShell de CAU, estas opciones se configuran como argumentos de complemento opcionales. Para obtener más información, consulta Usar Microsoft.WindowsUpdatePlugin y Usar Microsoft.HotfixPlugin más adelante en este tema.

Administrar complementos con cmdlets de Windows PowerShell

Cmdlet Descripción
Get-CauPlugin Recupera información sobre uno o más complementos de actualización de software registrados en el equipo local.
Register-CauPlugin Registra un complemento de actualización de software CAU en el equipo local.
Unregister-CauPlugin Elimina un complemento de actualización de software de la lista de complementos que CAU puede usar. Nota: Los complementos instalados con CAU (Microsoft.WindowsUpdatePlugin y Microsoft.HotfixPlugin) no se pueden anular el registro.

Uso de Microsoft.WindowsUpdatePlugin

El complemento predeterminado para CAU, Microsoft.WindowsUpdatePlugin, realiza las siguientes acciones:

  • Se comunica con el Agente de Windows Update en los nodos de los clústeres de conmutación por error con el fin de aplicar las actualizaciones necesarias para los productos de Microsoft que estén en ejecución en cada nodo.
  • Instala actualizaciones de clúster directamente desde Windows Update o Microsoft Update, o bien desde un servidor local de Windows Server Update Services (WSUS).
  • Instala solo actualizaciones de versión de distribución general (GDR) seleccionadas. De manera predeterminada, el complemento solo aplica actualizaciones de software importantes. No se requiere ninguna configuración. La configuración predeterminada descarga e instala actualizaciones GDR importantes en cada nodo.

Nota

Para aplicar otras actualizaciones además de las actualizaciones de software importantes seleccionadas de manera predeterminada (por ejemplo, actualizaciones de controladores), puedes configurar un parámetro de complemento adicional. Para obtener más información, consulta Configurar la cadena de consulta del Agente de Windows Update.

Requisitos

  • El clúster de conmutación por error y el equipo coordinador de actualizaciones remotas (si se usan) deben cumplir los requisitos de CAU y la configuración necesaria para la administración remota que aparecen en Requisitos y procedimientos recomendados para CAU.
  • Consulta las Recomendaciones para aplicar actualizaciones de Microsoft y, a continuación, realiza los cambios necesarios en la configuración de Microsoft Update para los nodos del clúster de conmutación por error.
  • Para obtener los mejores resultados, te recomendamos que ejecutes el Analizador de procedimientos recomendados (BPA) de CAU para asegurarte de que el clúster y el entorno de actualización estén configurados correctamente para aplicar actualizaciones mediante CAU. Para obtener más información, consulta Probar la preparación para la actualización de CAU.

Nota

Las actualizaciones que requieren la aceptación de términos de licencia de Microsoft o que requieren la interacción del usuario se excluyen y deben instalarse manualmente.

Opciones adicionales

Opcionalmente, puede especificar los siguientes argumentos de complemento para aumentar o restringir el conjunto de actualizaciones que aplica el complemento:

  • Para configurar el complemento para aplicar las actualizaciones recomendadas además de las importantes en cada nodo, en la interfaz de usuario de CAU, en la página Opciones adicionales, activa la casilla Ofrecerme actualizaciones recomendadas de la misma forma que recibo las actualizaciones importantes.
    Como alternativa, configura el argumento del complemento 'IncludeRecommendedUpdates'='True'.
  • Para configurar el complemento para que filtre los tipos de actualizaciones GDR que se aplican a cada nodo del clúster, especifica una cadena de consulta del Agente de Windows Update con un argumento del complemento QueryString. Para obtener más información, consulta Configurar la cadena de consulta del Agente de Windows Update.

Configurar la cadena de consulta del Agente de Windows Update

Puedes configurar un argumento de complemento para el complemento predeterminado, Microsoft.WindowsUpdatePlugin, que sea una cadena de consulta del Agente de Windows Update (WUA). Esta instrucción usa la API de WUA para identificar uno o más grupos de actualizaciones de Microsoft que se aplicarán a cada nodo, según criterios de selección específicos. Puedes combinar varios criterios mediante un AND lógico o mediante un OR lógico. La cadena de consulta de WUA se especifica en un argumento del complemento de la manera siguiente:

QueryString="Criterio1=Valor1 y/o Criterio2=Valor2 y/o..."

Por ejemplo, Microsoft.WindowsUpdatePlugin selecciona automáticamente actualizaciones importantes mediante un argumento QueryString predeterminado que se construye con los criterios IsInstalled, Type, IsHidden y IsAssigned:

QueryString="IsInstalled=0 y Type='Software' e IsHidden=0 e IsAssigned=1"

Si especificas un argumento QueryString, se usa en lugar del argumento QueryString predeterminado configurado para el complemento.

Ejemplo 1

Para configurar un argumento QueryString que instale una actualización concreta identificada por el id. f6ce46c1-971c-43f9-a2aa-783df125f003:

QueryString="UpdateID='f6ce46c1-971c-43f9-a2aa-783df125f003' e IsInstalled=0"

Nota

El ejemplo anterior es válido para aplicar actualizaciones por medio del Asistente para actualización compatible con clústeres. Si desea instalar una actualización específica mediante la configuración de opciones de actualización automática con la interfaz de usuario de CAU o mediante el cmdlet Add-CauClusterRole o Set-CauClusterRolePowerShell, debe dar formato al valor UpdateID con dos caracteres de comillas simples:

QueryString="UpdateID=''f6ce46c1-971c-43f9-a2aa-783df125f003'' e IsInstalled=0"

Ejemplo 2

Para configurar un argumento QueryString que solo instale controladores:

QueryString="IsInstalled=0 y Type='Driver' e IsHidden=0"

Para obtener más información sobre las cadenas de consulta para el complemento predeterminado, Microsoft.WindowsUpdatePlugin, los criterios de búsqueda (como IsInstalled) y la sintaxis que puede incluir en las cadenas de consulta, consulte la sección sobre los criterios de búsqueda en la referencia de api del agente de Windows Update (WUA).

Usar Microsoft.HotfixPlugin

El complemento Microsoft.HotfixPlugin se puede usar para aplicar actualizaciones de versión de distribución limitada (LDR) de Microsoft (también conocidas como revisiones y anteriormente como QFE) que descargues de manera independiente para solucionar problemas de software de Microsoft específicos. El complemento instala actualizaciones de una carpeta raíz en un recurso compartido de archivos SMB y también se puede personalizar para aplicar actualizaciones de BIOS, firmware y controladores que no son de Microsoft.

Nota

A veces la descarga de revisiones está disponible desde artículos de Microsoft Knowledge Base, pero también se proporcionan a los clientes cuando son necesarias.

Requisitos

  • El clúster de conmutación por error y el equipo coordinador de actualizaciones remotas (si se usan) deben cumplir los requisitos de CAU y la configuración necesaria para la administración remota que aparecen en Requisitos y procedimientos recomendados para CAU.

  • Consulta Recomendaciones para usar Microsoft.HotfixPlugin.

  • Para obtener los mejores resultados, te recomendamos que ejecutes el modelo del Analizador de procedimientos recomendados (BPA) de CAU para asegurarte de que el clúster y el entorno de actualización estén configurados correctamente para aplicar actualizaciones mediante CAU. Para obtener más información, consulta Probar la preparación para la actualización de CAU.

  • Obtén las actualizaciones del editor y cópialas o extráelas en un recurso compartido de archivos de Bloque de mensajes del servidor (SMB) (carpeta raíz de revisiones) que admita como mínimo SMB 2.0 y al que puedan tener acceso todos los nodos del clúster y el equipo coordinador de actualizaciones remotas (si se usa CAU en modo de actualización remota). Para obtener más información, consulta Configurar una estructura de carpetas raíz de revisiones más adelante en este tema.

    Nota

    De forma predeterminada, este complemento solo instala revisiones con las siguientes extensiones de nombre de archivo: .msu, .msi y .msp.

  • Copia el archivo DefaultHotfixConfig.xml (que se proporciona en la carpeta %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating) en la carpeta raíz de revisiones que has creado y en la que has extraído las revisiones, en un equipo que tenga las herramientas de CAU instaladas. Por ejemplo, copia el archivo de configuración en \\MyFileServer\Hotfixes\Root\.

    Nota

    Para instalar la mayoría de revisiones proporcionadas por Microsoft y otras actualizaciones, se puede usar el archivo de configuración de revisiones predeterminado sin modificaciones. Si tu escenario lo requiere, puedes personalizar el archivo de configuración como tarea avanzada. El archivo de configuración puede incluir reglas personalizadas, por ejemplo, para manipular archivos de revisión que tienen extensiones de archivo específicas o para definir los comportamientos de condiciones de salida específicas. Para obtener más información, consulta Personalizar el archivo de configuración de revisiones más adelante en este tema.

Configuración

Configura las siguientes opciones. Para obtener más información, consulta los vínculos a las secciones más adelante en este tema.

  • La ruta de acceso a la carpeta raíz de revisiones compartida que contiene las actualizaciones que se aplicarán y el archivo de configuración de revisiones. Puede escribir esta ruta de acceso en la interfaz de usuario de CAU o configurar el argumento del complemento de PowerShell HotfixRootFolderPath=<Path> .

    Nota

    Puedes especificar la carpeta raíz de revisiones como carpeta local o como ruta UNC con el formato \\NombreDeServidor\RecursoCompartido\NombreDeCarpetaRaíz. Se puede usar una ruta de acceso del espacio de nombres DFS independiente o basada en dominios. No obstante, las características del complemento que comprueban los permisos de acceso en el archivo de configuración de revisiones son incompatibles con una ruta del espacio de nombres DFS, por tanto si configuras una ruta de este tipo, debes deshabilitar la comprobación de los permisos de acceso mediante la interfaz de usuario de CAU o mediante la configuración del argumento de complemento DisableAclChecks='True'.

  • La configuración del servidor que hospeda la carpeta raíz de revisiones para comprobar los permisos de acceso adecuados a la carpeta y garantizar la integridad de los datos a los que se tiene acceso desde la carpeta compartida SMB (firma o cifrado SMB). Para obtener más información, consulta Restringir el acceso a la carpeta raíz de revisiones.

Opciones adicionales

  • Si lo deseas, configura el complemento para que se exija el cifrado SMB al tener acceso a datos del recurso compartido de archivos de revisiones. En la interfaz de usuario de CAU, en la página Opciones adicionales , seleccione la opción Requerir cifrado SMB para acceder a la carpeta raíz de la revisión o configure el argumento del complemento RequireSMBEncryption='True' de PowerShell.

    Importante

    Debes realizar pasos de configuración adicionales en el servidor SMB para habilitar la integridad de datos SMB con la firma o el cifrado SMB. Para obtener más información, consulta el paso 4 de Restringir el acceso a la carpeta raíz de revisiones. Si seleccionas la opción para exigir el uso del cifrado SMB y la carpeta raíz de revisiones no está configurada para el acceso mediante el cifrado SMB, la ejecución de actualización generará un error.

  • Si lo deseas, puedes deshabilitar las comprobaciones predeterminadas de permisos suficientes para la carpeta raíz de revisiones y el archivo de configuración de revisiones. En la interfaz de usuario de CAU, selecciona Deshabilitar comprobación del acceso del administrador a la carpeta raíz de revisiones y el archivo de configuración o configura el argumento de complemento DisableAclChecks='True'.
  • Opcionalmente, configure el argumento HotfixInstallerTimeoutMinutes=<Integer> para especificar cuánto tiempo espera el complemento de revisión para que se devuelva el proceso del instalador de revisiones. (El valor predeterminado es 30 minutos). Por ejemplo, para especificar un período de tiempo de espera de dos horas, establezca HotfixInstallerTimeoutMinutes=120.
  • Opcionalmente, configure el argumento del complemento HotfixConfigFileName = <nombre> para especificar un nombre para el archivo de configuración de revisiones que se encuentra en la carpeta raíz de la revisión. Si no se especifica, se usa el nombre predeterminado DefaultHotfixConfig.xml.

Configurar una estructura de carpetas raíz de revisiones

Para que el complemento de revisión funcione, las revisiones deben almacenarse en una estructura bien definida en un recurso compartido de archivos SMB (carpeta raíz de revisión) y debe configurar el complemento de revisión con la ruta de acceso a la carpeta raíz de revisiones mediante la interfaz de usuario de CAU o los cmdlets de PowerShell de CAU. Esta ruta de acceso se pasa al complemento como el argumento HotfixRootFolderPath. Puedes elegir una de varias estructuras para la carpeta raíz de revisiones, en función de las necesidades de actualización, como se muestra en los siguientes ejemplos. Los archivos o carpetas que no siguen la estructura se ignoran.

Ejemplo 1: estructura de carpetas usada para aplicar revisiones a todos los nodos del clúster

Para especificar qué revisiones se aplican a todos los nodos del clúster, cópialas en una carpeta denominada CAUHotfix_All dentro de la carpeta raíz de revisiones. En este ejemplo, el argumento de complemento HotfixRootFolderPath está establecido en \\MyFileServer\Hotfixes\Root\. La carpeta CAUHotfix_All contiene tres actualizaciones con las extensiones .msu, .msi y .msp que se aplicarán a todos los nodos del clúster. Los nombres de los archivos de actualización solo tienen fines ilustrativos.

Nota

En este y los ejemplos siguientes, el archivo de configuración de revisiones con su nombre predeterminado DefaultHotfixConfig.xml se muestra en su ubicación requerida en la carpeta raíz de revisiones.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

Ejemplo 2: estructura de carpetas usada para aplicar determinadas actualizaciones solo a un nodo específico

Para especificar revisiones que se aplican solo a un nodo específico, usa una subcarpeta de la carpeta raíz de revisiones con el nombre del nodo. Usa el nombre NetBIOS del nodo del clúster, por ejemplo, ContosoNode1. A continuación, mueve las actualizaciones que solo se aplican a este nodo a esta subcarpeta. En el ejemplo siguiente, el argumento de complemento HotfixRootFolderPath está establecido en \\MyFileServer\Hotfixes\Root\. Las actualizaciones de la carpeta CAUHotfix_All se aplicarán a todos los nodos del clúster y Node1_Specific_Update.msu se aplicará solo a ContosoNode1.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...
   ContosoNode1\
      Node1_Specific_Update.msu
      ...

Ejemplo 3: estructura de carpetas usada para aplicar actualizaciones distintas de los archivos .msu, .msi y .msp

De manera predeterminada, Microsoft.HotfixPlugin solo aplica actualizaciones con las extensiones .msu, .msi o .msp. No obstante, ciertas actualizaciones podrían tener extensiones diferentes y requerir comandos de instalación distintos. Por ejemplo, es posible que tengas que aplicar una actualización de firmware con la extensión .exe a un nodo del clúster. Puedes configurar la carpeta raíz de revisiones con una subcarpeta que indique que se debe instalar un tipo de actualización específico y no predeterminado. También debes configurar una regla de instalación de carpeta correspondiente que especifique el comando de instalación en el elemento <FolderRules> del archivo XML de configuración de revisiones.

En el ejemplo siguiente, el argumento de complemento HotfixRootFolderPath está establecido en \\MyFileServer\Hotfixes\Root\. Se aplicarán varias actualizaciones a todos los nodos del clúster y se aplicará una actualización de firmware SpecialHotfix1.exe a ContosoNode1 mediante FolderRule1. Para obtener información sobre la configuración de FolderRule1 en el archivo de configuración de revisiones, consulta Personalizar el archivo de configuración de revisiones más adelante en este tema.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

   ContosoNode1\
      FolderRule1\
          SpecialHotfix1.exe
      ...

Personalizar el archivo de configuración de revisiones

El archivo de configuración de revisiones controla cómo Microsoft.HotfixPlugin instala tipos de archivo de revisión específicos en un clúster de conmutación por error. El esquema XML para el archivo de configuración se define en HotfixConfigSchema.xsd, que está ubicado en la siguiente carpeta en un equipo con las herramientas CAU instaladas:

%systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating carpeta

Para personalizar el archivo de configuración de revisiones, copia el archivo de configuración de ejemplo DefaultHotfixConfig.xml desde esta ubicación a la carpeta raíz de revisiones y realiza las modificaciones apropiadas para tu escenario.

Importante

Para aplicar la mayoría de revisiones proporcionadas por Microsoft y otras actualizaciones, se puede usar el archivo de configuración de revisiones predeterminado sin modificaciones. La personalización del archivo de configuración de revisiones es una tarea solo en escenarios de uso avanzados.

De manera predeterminada, el archivo XML de configuración de revisiones define reglas de instalación y condiciones de salida para las dos categorías de revisiones siguientes:

  • Archivos de revisión con extensiones que el complemento puede instalar de manera predeterminada (archivos .msu, .msi y .msp).

    Se definen como elementos <ExtensionRules> en el elemento <DefaultRules> . Hay un elemento <Extension> para cada uno de los tipos de archivo compatibles predeterminados. La estructura XML general es la siguiente:

    <DefaultRules>
        <ExtensionRules>
          <Extension name="MSI">
            <!-- Template and ExitConditions elements for installation of .msi files follow -->
             ...
          </Extension>
          <Extension name="MSU">
            <!-- Template and ExitConditions elements for installation of .msu files follow -->
             ...
          </Extension>
          <Extension name="MSP">
            <!-- Template and ExitConditions elements for installation of .msp files follow -->
             ...
          </Extension>
             ...
       </ExtensionRules>
    </DefaultRules>
    

    Si tienes que aplicar ciertos tipos de actualizaciones a todos los nodos de clúster del entorno, puedes definir elementos <Extension> adicionales.

  • Archivos de revisión o de otras actualizaciones que no sean archivos .msi, .msu o .msp, por ejemplo, actualizaciones de controladores, firmware y BIOS que no sean de Microsoft.

    Cada tipo de archivo no predeterminado está configurado como un elemento <Folder> en el elemento <FolderRules> . El atributo de nombre del elemento <Folder> debe ser idéntico al nombre de una carpeta en la carpeta raíz de revisiones que contendrá las actualizaciones del tipo correspondiente. La carpeta puede estar dentro de la carpeta CAUHotfix_All o en una carpeta específica del nodo. Por ejemplo, si FolderRule1 se configura en la carpeta raíz de revisiones, configura el elemento siguiente en el archivo XML para definir una plantilla de instalación y condiciones de salida para las actualizaciones en esa carpeta:

    <FolderRules>
          <Folder name="FolderRule1">
            <!-- Template and ExitConditions elements for installation of updates in FolderRule1 follow -->
             ...
          </Folder>
          ...
    </FolderRules>
    

En las tablas siguientes se describen los atributos <Template> y los posibles elementos secundarios <ExitConditions> .

Atributo <Template> Descripción
path La ruta de acceso completa al programa de instalación del tipo de archivo que se define en el atributo <Extension name> .

Para especificar la ruta de acceso a un archivo de actualización en la estructura de la carpeta raíz de revisiones, use $update$.

parameters Una cadena de parámetros obligatorios y opcionales para el programa que se especifica en path.

Para especificar un parámetro que sea la ruta de acceso a un archivo de actualización en la estructura de la carpeta raíz de revisiones, use $update$.

Elemento secundario <ExitConditions> Descripción
<Success> Define uno o más códigos de salida que indican que la actualización en cuestión se ha realizado correctamente. Es un elemento secundario obligatorio.
<Success_RebootRequired> De manera opcional, define uno o más códigos de salida que indican que la actualización en cuestión se ha realizado correctamente y que el nodo se debe reiniciar.
Nota: Opcionalmente, el <Folder> elemento puede contener el alwaysReboot atributo . Si se establece este atributo, indica que si una revisión instalada por esta regla devolverá uno de los códigos de salida definidos en <Success>, se interpreta como condición de salida <Success_RebootRequired> .
<Fail_RebootRequired> De manera opcional, define uno o más códigos de salida que indican que la actualización en cuestión se ha realizado de manera incorrecta y que el nodo se debe reiniciar.
<AlreadyInstalled> De manera opcional, define uno o más códigos de salida que indican que la actualización en cuestión no se ha aplicado porque ya está instalada.
<NotApplicable> De manera opcional, define uno o más códigos de salida que indican que la actualización en cuestión no se ha aplicado porque no se aplica al nodo del clúster.

Importante

Los códigos de salida que no se definan de manera explícita en <ExitConditions> se interpretan como un error de actualización y el nodo no se reinicia.

Restringir el acceso a la carpeta raíz de revisiones

Debe realizar varios pasos para configurar el servidor de archivos SMB y el recurso compartido de archivos para ayudar a proteger los archivos de carpeta raíz de revisiones y el archivo de configuración de revisiones para el acceso solo en el contexto de Microsoft.HotfixPlugin. Estos pasos habilitan varias características que ayudan a impedir posibles manipulaciones de los archivos de revisión de manera que se pueda poner en peligro el clúster de conmutación por error.

Los pasos generales son los siguientes:

  1. Identificar la cuenta de usuario que se usa para las ejecuciones de actualización mediante el complemento

  2. Configurar esta cuenta de usuario en los grupos necesarios en el servidor de archivos SMB

  3. Configurar permisos para tener acceso a la carpeta raíz de revisiones

  4. Configurar las opciones de integridad de datos SMB

  5. Habilitar una regla de Firewall de Windows en el servidor SMB

Paso 1. Identificar la cuenta de usuario que se usa para las ejecuciones de actualización mediante el complemento de revisiones

La cuenta que se usa en CAU para comprobar la configuración de seguridad mientras se realiza una ejecución de actualización con Microsoft.HotfixPlugin depende de si se usa CAU en modo de actualización remota o en modo de auto-actualización, de la manera siguiente:

  • Modo de actualización remota La cuenta que tiene privilegios administrativos en el clúster para obtener una vista previa de las actualizaciones y aplicarlas.

  • Modo de auto-actualización El nombre del objeto de equipo virtual configurado en Active Directory para el rol en clúster de CAU. Es el nombre de un objeto de equipo virtual preconfigurado en Active Directory para el rol en clúster de CAU o el nombre que CAU genera para el rol en clúster. Para obtener el nombre si lo genera cau cau, ejecute el cmdlet de PowerShell Get-CauClusterRole cau. En la salida, ResourceGroupName es el nombre de la cuenta de objeto de equipo virtual generada.

Paso 2. Configurar esta cuenta de usuario en los grupos necesarios en el servidor de archivos SMB

Importante

Debes agregar la cuenta que se usa para ejecuciones de actualización como cuenta de administrador local en el servidor SMB. Si las directivas de seguridad de tu organización no lo permiten, configura esta cuenta con los permisos necesarios en el servidor SMB mediante el procedimiento siguiente.

Para configurar una cuenta de usuario en el servidor SMB
  1. Agregue la cuenta que se usa para ejecuciones de actualización al grupo Usuarios COM distribuidos y a uno de los siguientes grupos: Usuario avanzado, Operación de servidor u Operador de impresión.

  2. Para habilitar los permisos de WMI necesarios para la cuenta, inicia la consola de administración de WMI en el servidor SMB. Inicie PowerShell y escriba el siguiente comando:

    wmimgmt.msc
    
  3. En el árbol de consola, haz clic con el botón derecho en Control WMI (local) y, a continuación, haz clic en Propiedades.

  4. Haz clic en Seguridad y, a continuación, expande Raíz.

  5. Haz clic en CIMV2 y, a continuación, haz clic en Seguridad.

  6. Agrega la cuenta que se usa para las actualizaciones de ejecución a la lista Nombres de grupos o usuarios.

  7. Concede los permisos Ejecutar métodos y Llamada remota habilitada a la cuenta que se usa para las ejecuciones de actualización.

Paso 3. Configurar permisos para tener acceso a la carpeta raíz de revisiones

De manera predeterminada, cuando intentes aplicar actualizaciones, el complemento de revisiones comprobará la configuración de los permisos del sistema de archivos NTFS para tener acceso a la carpeta raíz de revisiones. Si los permisos de acceso a la carpeta no están configurados correctamente, es posible que una ejecución de actualización que use el complemento de revisiones no se realice correctamente.

Si usas la configuración predeterminada del complemento de revisiones, asegúrate de que los permisos de acceso a la carpeta cumplan con los requisitos siguientes.

  • El grupo Usuarios tiene permiso de lectura.

  • Si el complemento va a aplicar actualizaciones con la extensión .exe, el grupo Usuarios tiene permiso de ejecución.

  • Solo se permite a ciertas entidades de seguridad tener permisos de escritura o modificación (pero no se les obliga a ello). Las entidades de seguridad permitidas son el grupo Administradores local, SYSTEM, CREATOR OWNER y TrustedInstaller. No se permite a otras cuentas o grupos tener permisos de escritura o modificación en la carpeta raíz de revisiones.

De manera opcional, puedes deshabilitar las comprobaciones anteriores que realiza el complemento de manera predeterminada. Puede hacerlo de una de las maneras siguientes:

  • Si usa los cmdlets de PowerShell de CAU, configure el argumento DisableAclChecks='True' en el parámetro CauPluginArguments para el complemento de revisión.

  • Si usas la interfaz de usuario de CAU, selecciona la opción Deshabilitar comprobación del acceso del administrador a la carpeta raíz de revisiones y el archivo de configuración en la página Opciones de actualización adicionales del asistente que se usa para configurar las opciones de la ejecución de actualización.

No obstante, como procedimiento recomendado en muchos entornos, recomendamos usar la configuración predeterminada para exigir estas comprobaciones.

Paso 4. Configurar las opciones de integridad de datos SMB

Para comprobar la integridad de los datos en las conexiones entre los nodos de clúster y el recurso compartido de archivos SMB, el complemento de revisiones necesita que habilites la configuración del recurso compartido de archivos SMB para la firma o el cifrado SMB. El cifrado SMB, que proporciona seguridad mejorada y un mejor rendimiento en muchos entornos, se admite a partir de Windows Server 2012. Puedes habilitar una o ambas configuraciones, de la manera siguiente:

  • Para habilitar la firma SMB, consulte el procedimiento del artículo 887429 en Microsoft Knowledge Base.

  • Para habilitar el cifrado SMB para la carpeta compartida de SMB, ejecute el siguiente cmdlet de PowerShell en el servidor SMB:

    Set-SmbShare <ShareName> -EncryptData $true
    

    Donde <ShareName> es el nombre de la carpeta compartida de SMB.

Opcionalmente, para aplicar el uso del cifrado SMB en las conexiones al servidor SMB, seleccione la opción Requerir cifrado SMB para acceder a la opción de carpeta raíz de revisión en la interfaz de usuario de CAU o configure el argumento de complemento RequireSMBEncryption='True' mediante los cmdlets de PowerShell de cau.

Importante

Si seleccionas la opción para exigir el uso del cifrado SMB y la carpeta raíz de revisiones no está configurada para las conexiones que usan el cifrado SMB, la ejecución de actualización generará un error.

Paso 5. Habilitar una regla de Firewall de Windows en el servidor SMB

Debes habilitar la regla Administración remota de servidores de archivos (SMB de entrada) en Firewall de Windows en el servidor de archivos SMB. Esto está habilitado de forma predeterminada en Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

Referencias adicionales