Comment fonctionnent les plug-ins de la mise à jour adaptée aux clusters

  • Article

S’applique à : Windows server 2022, Windows server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI, versions 21H2 et 20H2

La mise à jour adaptée aux clusters (CAU) utilise des plug-ins pour coordonner l’installation des mises à jour sur les nœuds d’un cluster de basculement. Cette rubrique fournit des informations sur l'utilisation des plug-ins de la Mise à jour adaptée aux clusters ou d'autres plug-ins que vous installez pour la Mise à jour adaptée aux clusters.

Installer un plug-in

Vous devez installer séparément un autre plug-in que les plug-ins par défaut installés avec la Mise à jour adaptée aux clusters (Microsoft.WindowsUpdatePlugin et Microsoft.HotfixPlugin). Si la Mise à jour adaptée aux clusters est utilisée en mode de mise à jour automatique, le plug-in doit être installé sur tous les nœuds de cluster. Si la Mise à jour adaptée aux clusters est utilisée en mode de mise à jour à distance, le plug-in doit être installé sur l'ordinateur coordinateur de mise à jour distant. Quand vous installez un plug-in, son installation peut dépendre de conditions requises supplémentaires sur chaque nœud.

Pour installer un plug-in, suivez les instructions de l'éditeur de plug-ins. Pour inscrire manuellement un plug-in auprès de la Mise à jour adaptée aux clusters, exécutez l’applet de commande Register-CauPlugin sur chaque ordinateur sur lequel le plug-in est installé.

Spécifier un plug-in et ses arguments

Spécifier un plug-in de la Mise à jour adaptée aux clusters

Dans l'interface utilisateur de la Mise à jour adaptée aux clusters, sélectionnez un plug-in dans la liste déroulante des plug-ins disponibles quand vous utilisez la Mise à jour adaptée aux clusters pour effectuer les actions suivantes :

  • Appliquer des mises à jour au cluster

  • Obtenir un aperçu des mises à jour du cluster

  • Configurer les options de mise à jour automatique du cluster

Par défaut, la Mise à jour adaptée aux clusters sélectionne le plug-in Microsoft.WindowsUpdatePlugin. Cependant, vous pouvez spécifier n'importe quel plug-in installé et inscrit auprès de la Mise à jour adaptée aux clusters.

Conseil

Dans l'interface utilisateur de la Mise à jour adaptée aux clusters, vous ne pouvez spécifier qu'un seul plug-in utilisable par la Mise à jour adaptée aux clusters pour obtenir un aperçu ou appliquer des mises à jour durant une Exécution de mise à jour. En utilisant l’applet de commande de mise à jour adaptée aux clusters PowerShell, vous pouvez spécifier un ou plusieurs plug-ins. Si vous devez installer plusieurs types de mise à jour sur le cluster, il est généralement plus efficace de spécifier plusieurs plug-ins dans une Exécution de mise à jour, plutôt que d’utiliser une Exécution de mise à jour distincte pour chaque plug-in. Par exemple, les redémarrages de nœuds seront généralement moins nombreux.

À l'aide des applets de commande de mise à jour adaptée aux clusters PowerShell qui sont répertoriées dans le tableau suivant, vous pouvez spécifier un ou plusieurs plug-ins pour une Exécution de mise à jour ou une analyse en passant le paramètre –CauPluginName. Vous pouvez spécifier plusieurs noms de plug-ins en les séparant par des virgules. Si vous spécifiez plusieurs plug-ins, vous pouvez également contrôler la façon dont les plug-ins s'influencent mutuellement durant une Exécution de mise à jour en spécifiant les paramètres -RunPluginsSerially, -StopOnPluginFailure et –SeparateReboots. Pour plus d'informations sur l'utilisation de plusieurs plug-ins, voir les liens vers la documentation de l'applet de commande dans le tableau suivant.

Applet de commande Description
Add-CauClusterRole Ajoute le rôle en cluster de la Mise à jour adaptée aux clusters, qui fournit la fonctionnalité de mise à jour automatique au cluster spécifié.
Invoke-CauRun Effectue une analyse des nœuds de cluster à la recherche des mises à jour applicables et installe ces mises à jour via une Exécution de mise à jour sur le cluster spécifié.
Invoke-CauScan Effectue une analyse des nœuds de cluster à la recherche des mises à jour applicables et retourne une liste de l'ensemble initial des mises à jour qui peuvent être appliquées à chaque nœud du cluster spécifié.
Set-CauClusterRole Définit les propriétés de configuration du rôle en cluster de la Mise à jour adaptée aux clusters sur le cluster spécifié.

Si vous ne spécifiez aucun paramètre de plug-in de la Mise à jour adaptée aux clusters à l'aide de ces applets de commande, la valeur par défaut est représentée par le plug-in Microsoft.WindowsUpdatePlugin.

Spécifier les arguments du plug-in de la Mise à jour adaptée aux clusters

Quand vous configurez les options de l'Exécution de mise à jour, vous pouvez spécifier une ou plusieurs paires name=value (arguments) pour le plug-in sélectionné à utiliser. Par exemple, dans l'interface utilisateur de la Mise à jour adaptée aux clusters, vous pouvez spécifier plusieurs arguments comme suit :

Name1=Value1;Name2=Value2;Name3=Value3

Les paires name=value doivent avoir un sens pour le plug-in que vous spécifiez. Pour certains plug-ins, les arguments sont facultatifs.

La syntaxe des arguments du plug-in de la Mise à jour adaptée aux clusters respecte les règles générales suivantes :

  • Plusieurs paires name=value sont séparées par des points-virgules.

  • Une valeur qui contient des espaces est entourée par des guillemets, par exemple : Name1="Value with Spaces".

  • La syntaxe exacte de value dépend du plug-in.

Pour spécifier des arguments de plug-in à l'aide des applets de commande de mise à jour adaptée aux clusters PowerShell, qui prennent en charge le paramètre –CauPluginParameters, passez un paramètre sous la forme suivante :

-CauPluginArguments @{Name1=Value1;Name2=Value2;Name3=Value3}

Vous pouvez également utiliser une table de hachage PowerShell prédéfinie. Pour spécifier des arguments de plug-in pour plusieurs plug-ins, passez plusieurs tables de hachage d'arguments, en les séparant par des virgules. Passez les arguments de plug-in selon l'ordre des plug-ins spécifié dans CauPluginName.

Spécifier des arguments de plug-in facultatifs

Les plug-ins installés par la Mise à jour adaptée aux clusters (Microsoft.WindowsUpdatePlugin et Microsoft.HotfixPlugin) offrent des options supplémentaires que vous pouvez sélectionner. Dans l’interface utilisateur de la Mise à jour adaptée aux clusters, ceux-ci s’affichent sur la page Options supplémentaires une fois que vous avez configuré les options d’exécution de la mise à jour pour le plug-in. Si vous utilisez les applets de commande PowerShell de la mise à jour adaptée aux clusters, ces options sont configurées en tant qu’arguments de plug-in facultatifs. Pour plus d'informations, voir Utiliser Microsoft.WindowsUpdatePlugin et Utiliser Microsoft.HotfixPlugin plus loin dans cette rubrique.

Gérer les plug-ins à l'aide des applets de commande Windows PowerShell

Applet de commande Description
Get-CauPlugin Récupère les informations relatives à un ou plusieurs plug-ins de mise à jour de logiciels, qui sont inscrits sur l'ordinateur local.
Register-CauPlugin Inscrit un plug-in de mise à jour de logiciels pour la Mise à jour adaptée aux clusters sur l'ordinateur local.
Unregister-CauPlugin Supprime un plug-in de mise à jour de logiciels dans la liste des plug-ins qui peuvent être utilisés par la Mise à jour adaptée aux clusters. Note : les plug-ins installés avec la Mise à jour adaptée aux clusters (Microsoft.WindowsUpdatePlugin et Microsoft.HotfixPlugin) ne peuvent pas être désinscrits.

Utiliser Microsoft.WindowsUpdatePlugin

Le plug-in par défaut pour la mise à jour CAU, Microsoft.WindowsUpdatePlugin, effectue les actions suivantes :

  • Communique avec l'Agent de mise à jour automatique Windows Update sur chaque nœud de cluster de basculement pour appliquer les mises à jour nécessaires pour les produits Microsoft qui sont en cours d'exécution sur chaque nœud.
  • Installe les mises à jour de cluster directement à partir de Windows Update, de Microsoft Update ou d'un serveur WSUS (Windows Server Update Services) local.
  • Installe uniquement les mises à jour sélectionnées, relatives aux correctifs logiciels grand public. Par défaut, le plug-in applique uniquement les mises à jour de logiciels importantes. Aucune configuration n'est requise. La configuration par défaut télécharge et installe les mises à jour importantes relatives aux correctifs logiciels grand public sur chaque nœud.

Notes

Pour appliquer d'autres mises à jour que les mises à jour de logiciels importantes sélectionnées par défaut (par exemple, les mises à jour de pilotes), vous pouvez configurer un paramètre de plug-in optionnel. Pour plus d'informations, voir Configurer la chaîne de requête de l'Agent de mise à jour automatique Windows Update.

Configuration requise

Notes

Les mises à jour qui demandent l'acceptation des termes du contrat de licence Microsoft ou qui imposent une interaction de l'utilisateur sont exclues. Elles doivent être installées manuellement.

Options supplémentaires

Vous pouvez éventuellement spécifier les arguments de plug-in suivants pour augmenter ou restreindre l'ensemble des mises à jour appliquées par le plug-in :

  • Pour configurer le plug-in et appliquer les mises à jour recommandées, en plus des mises à jour importantes, sur chaque nœud, dans l'interface utilisateur de la Mise à jour adaptée aux clusters, dans la page Options supplémentaires, cochez la case Recevoir les mises à jour recommandées de la même façon que vous recevez les mises à jour importantes.
    Vous pouvez également configurer l'argument de plug-in 'IncludeRecommendedUpdates'='True'.
  • Pour configurer le plug-in et filtrer les types de mise à jour relatifs aux correctifs logiciels grand public appliqués sur chaque nœud de cluster, spécifiez une chaîne de requête de l'Agent de mise à jour automatique Windows Update à l'aide de l'argument de plug-in QueryString. Pour plus d'informations, voir Configurer la chaîne de requête de l'Agent de mise à jour automatique Windows Update.

Configurer la chaîne de requête de l'Agent de mise à jour automatique Windows Update

Vous pouvez configurer un argument de plug-in pour le plug-in par défaut, Microsoft.WindowsUpdatePlugin, qui se compose d'une chaîne de requête de l'Agent de mise à jour automatique Windows Update. Cette instruction utilise l'API WUA pour identifier un ou plusieurs groupes de mises à jour Microsoft à appliquer à chaque nœud, en fonction de critères de sélection spécifiques. Vous pouvez combiner plusieurs critères à l'aide d'une logique ET ou d'une logique OU. La chaîne de requête WUA est spécifiée dans un argument de plug-in comme suit :

QueryString="Criterion1=Value1 et/ou Criterion2=Value2 et/ou…"

Par exemple, Microsoft.WindowsUpdatePlugin sélectionne automatiquement les mises à jour importantes à l'aide d'un argument QueryString par défaut, qui est construit à partir des critères IsInstalled, Type, IsHidden et IsAssigned :

QueryString="IsInstalled=0 et Type='Software' and IsHidden=0 et IsAssigned=1 »

Si vous spécifiez un argument QueryString, il est utilisé à la place de l'argument QueryString par défaut configuré pour le plug-in.

Exemple 1

Pour configurer un argument QueryString qui installe une mise à jour spécifique identifiée par l'ID f6ce46c1-971c-43f9-a2aa-783df125f003 :

QueryString="UpdateID='f6ce46c1-971c-43f9-a2aa-783df125f003' and IsInstalled=0"

Notes

L'exemple précédent permet d'appliquer les mises à jour à l'aide de l'Assistant Mise à jour adaptée aux clusters. Pour installer une mise à jour spécifique en configurant les options de mise à jour automatique de l’interface utilisateur de la Mise à jour adaptée aux clusters ou en utilisant les applets de commande Add-CauClusterRole ou Set-CauClusterRolePowerShell, vous devez formater la valeur UpdateID suivante avec deux guillemets simples :

QueryString="UpdateID='f6ce46c1-971c-43f9-a2aa-783df125f003' et IsInstalled=0"

Exemple 2

Pour configurer un argument QueryString qui installe uniquement les pilotes :

QueryString="IsInstalled=0 and Type='Driver' et IsHidden=0"

Pour plus d'informations sur les chaînes de requête du plug-in par défaut, Microsoft.WindowsUpdatePlugin, les critères de recherche (par exemple IsInstalled) et la syntaxe à inclure dans les chaînes de requête, voir la section relative aux critères de recherche dans les Informations de référence sur les API de l'Agent de mise à jour automatique Windows Update.

Utiliser Microsoft.HotfixPlugin

Le plug-in Microsoft.HotfixPlugin peut être utilisé pour appliquer des mises à jour LDR (Limited Distribution Release) Microsoft (également appelées correctifs logiciels et auparavant correctifs QFE) que vous téléchargez indépendamment pour résoudre des problèmes logiciels Microsoft spécifiques. Le plug-in installe les mises à jour à partir d’un dossier racine sur un partage de fichiers SMB et peut également être personnalisé pour appliquer des mises à jour de pilotes, de microprogrammes et de BIOS non-Microsoft.

Notes

Microsoft propose parfois de télécharger ces correctifs logiciels à partir d'articles de la Base de connaissances. Toutefois, ils sont également fournis aux clients en fonction des besoins.

Configuration requise

  • Le cluster de basculement et l'ordinateur coordinateur de mise à jour distant (le cas échéant) doivent respecter les conditions requises par la Mise à jour adaptée aux clusters et la configuration requise pour l'administration à distance, conformément aux indications fournies dans Configuration requise et meilleures pratiques concernant la mise à jour adaptée aux clusters.

  • Consultez Recommandations pour l'utilisation de Microsoft.HotfixPlugin.

  • Pour de meilleurs résultats, nous vous recommandons d'exécuter le modèle Best Practices Analyzer (BPA) de la Mise à jour adaptée aux clusters. Cela vous permet de vous assurer que les environnements des clusters et des mise à jour sont correctement configurés pour l'application de mises à jour via la Mise à jour adaptée aux clusters. Pour plus d'informations, voir Tester l'état de préparation aux mises à jour par la Mise à jour adaptée aux clusters.

  • Procurez-vous les mises à jour de l'éditeur. Vous devez ensuite les copier ou les extraire sur un partage de fichiers SMB (dossier racine de correctifs logiciels) qui prend en charge au moins le protocole SMB 2.0 et qui est accessible à tous les nœuds de cluster, ainsi qu'à l'ordinateur coordinateur de mise à jour distant (si la Mise à jour adaptée aux clusters est utilisée en mode de mise à jour à distance). Pour plus d'informations, voir Configurer la structure d'un dossier racine de correctifs logiciels plus loin dans cette rubrique.

    Notes

    Par défaut, ce plug-in installe uniquement les correctifs logiciels ayant les extensions de noms de fichiers suivantes : .msu, .msi et .msp.

  • Copiez le fichier DefaultHotfixConfig.xml (fourni dans le dossier %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating sur un ordinateur où sont installés les outils de la Mise à jour adaptée aux clusters) vers le dossier racine de correctifs logiciels que vous avez créé et dans lequel vous avez extrait ces correctifs. Par exemple, copiez le fichier de configuration dans \\MyFileServer\Hotfixes\Root\.

    Notes

    Pour installer la plupart des correctifs logiciels fournis par Microsoft, ainsi que les autres mises à jour, vous pouvez utiliser le fichier de configuration de correctif logiciel par défaut en l'état. Si votre scénario l'impose, vous pouvez personnaliser le fichier de configuration dans le cadre d'une tâche avancée. Le fichier de configuration peut inclure des règles personnalisées, par exemple pour gérer les fichiers de correctifs logiciels qui ont des extensions spécifiques ou pour définir des comportements pour des conditions de sortie spécifiques. Pour plus d'informations, voir Personnaliser le fichier de configuration de correctif logiciel plus loin dans cette rubrique.

Configuration

Configurez les paramètres suivants. Pour plus d'informations, voir les liens vers les sections présentes plus loin dans cette rubrique.

  • Chemin d'accès du dossier racine de correctifs logiciels partagé, qui contient les mises à jour à appliquer, ainsi que le fichier de configuration de correctifs logiciels. Vous pouvez taper ce chemin d'accès dans l'interface utilisateur de la Mise à jour adaptée aux clusters ou configurer l'argument de plug-in HotfixRootFolderPath=<Path>.

    Notes

    Vous pouvez spécifier le dossier racine de correctifs logiciels en tant que chemin d'accès de dossier local ou chemin d'accès UNC au format \\NomServeur\Partage\NomDossierRacine. Vous pouvez utiliser un chemin d'accès d'espace de noms basé sur un domaine ou d'espace de noms DFS autonome. Toutefois, les fonctionnalités de plug-in qui vérifient les autorisations d'accès dans le fichier de configuration de correctif logiciel sont incompatibles avec un chemin d'accès d'espace de noms DFS. Ainsi, pour configurer ce dernier, vous devez désactiver la vérification des autorisations d'accès en utilisant l'interface utilisateur de la Mise à jour adaptée aux clusters ou en configurant l'argument de plug-in DisableAclChecks='True'.

  • Paramètres du serveur qui héberge le dossier racine de correctifs logiciels pour vérifier les autorisations appropriées d'accès au dossier et garantir l'intégrité des données accessibles à partir du dossier partagé SMB (signature SMB ou chiffrement SMB). Pour plus d'informations, voir Restreindre l'accès au dossier racine de correctifs logiciels.

Options supplémentaires

  • Éventuellement, configurez le plug-in pour permettre l'application du chiffrement SMB durant l'accès aux données à partir du partage de fichiers des correctifs logiciels. Dans l’interface utilisateur de la Mise à jour adaptée aux clusters, dans la page Options supplémentaires, cochez la case Exiger le chiffrement SMB lors de l’accès au dossier racine de correctifs logiciels ou configurez l’argument de plug-in RequireSMBEncryption='True'.

    Important

    Vous devez effectuer des étapes de configuration supplémentaires sur le serveur SMB pour garantir l'intégrité des données via une signature SMB ou un chiffrement SMB. Pour plus d'informations, voir l'étape 4 dans Restreindre l'accès au dossier racine de correctifs logiciels. Si vous sélectionnez l'option permettant d'appliquer le chiffrement SMB, et si le dossier racine de correctifs logiciels n'est pas configuré pour être accessible via le chiffrement SMB, l'Exécution de mise à jour échoue.

  • Éventuellement, désactivez les vérifications par défaut de l'adéquation des autorisations pour le dossier racine de correctifs logiciels et le fichier de configuration de correctif logiciel. Dans l'interface utilisateur de la Mise à jour adaptée aux clusters, sélectionnez Désactiver la vérification des droits d'accès d'administrateur au dossier racine de correctif logiciel et au fichier de configuration, ou configurez l'argument de plug-in DisableAclChecks='True'.
  • Éventuellement, configurez l'argument HotfixInstallerTimeoutMinutes=<Integer> pour spécifier le délai pendant lequel le plug-in de correctif logiciel doit attendre le retour du processus d'installation du correctif logiciel. (La période par défaut est 30 minutes.) Par exemple, pour spécifier un délai d'attente de deux heures, définissez HotfixInstallerTimeoutMinutes=120.
  • Éventuellement, configurez l'argument de plug-in HotfixConfigFileName = <name> pour spécifier le nom du fichier de configuration de correctif logiciel qui se trouve dans le dossier racine de correctifs logiciels. Si aucune indication n'est spécifiée, le nom par défaut DefaultHotfixConfig.xml est utilisé.

Configurer la structure d'un dossier racine de correctifs logiciels

Pour permettre le bon fonctionnement du plug-in de correctif logiciel, les correctifs logiciels doivent être stockés dans une structure bien définie au sein d’un partage de fichiers SMB (dossier racine de correctifs logiciels). En outre, vous devez configurer le plug-in de correctif logiciel avec le chemin d’accès du dossier racine de correctifs logiciels. Pour ce faire, vous pouvez vous servir de l’interface utilisateur de la Mise à jour adaptée aux clusters ou des applets de commande PowerShell de la Mise à jour adaptée aux clusters. Ce chemin d'accès est passé au plug-in en tant qu'argument HotfixRootFolderPath. Vous disposez de plusieurs structures au choix pour le dossier racine de correctifs logiciels, en fonction de vos besoins de mise à jour, comme le montrent les exemples suivants. Les fichiers ou dossiers qui n'adhèrent pas à la structure sont ignorés.

Exemple 1 : Structure de dossiers utilisée pour appliquer des correctifs logiciels à tous les nœuds de cluster

Pour spécifier que les correctifs logiciels s'appliquent à tous les nœuds de cluster, copiez-les dans un dossier nommé CAUHotfix_All sous le dossier racine de correctifs logiciels. Dans cet exemple, l'argument de plug-in HotfixRootFolderPath a la valeur \\MyFileServer\Hotfixes\Root\. Le dossier CAUHotfix_All contient trois mises à jour avec les extensions .msu, .msi et .msp, qui seront appliquées à tous les nœuds de cluster. Les noms de fichiers des mises à jour sont uniquement utilisés à des fins d'illustration.

Notes

Dans cet exemple et les exemples suivants, le fichier de configuration de correctif logiciel ayant le nom par défaut DefaultHotfixConfig.xml est représenté à son emplacement approprié dans le dossier racine de correctifs logiciels.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

Exemple 2 : Structure de dossiers utilisée pour appliquer uniquement certaines mises à jour à un nœud spécifique

Pour spécifier les correctifs logiciels qui s'appliquent uniquement à un nœud spécifique, utilisez un sous-dossier sous le dossier racine de correctifs logiciels ayant le nom du nœud. Utilisez le nom NetBIOS du nœud de cluster, par exemple ContosoNode1. Déplacez ensuite les mises à jour qui s'appliquent uniquement à ce nœud vers ce sous-dossier. Dans l'exemple suivant, l'argument de plug-in HotfixRootFolderPath a la valeur \\MyFileServer\Hotfixes\Root\. Les mises à jour du dossier CAUHotfix_All sont appliquées à tous les nœuds de cluster. Par ailleurs, Node1_Specific_Update.msu est appliqué uniquement à ContosoNode1.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...
   ContosoNode1\
      Node1_Specific_Update.msu
      ...

Exemple 3 : Structure de dossiers utilisée pour appliquer d'autres mises à jour que les fichiers .msu, .msi et .msp

Par défaut, Microsoft.HotfixPlugin applique uniquement les mises à jour ayant l'extension .msu, .msi ou .msp. Toutefois, certaines mises à jour peuvent avoir d'autres extensions et demander des commandes d'installation distinctes. Par exemple, vous pouvez être amené à appliquer une mise à jour de microprogramme avec l'extension .exe à un nœud dans un cluster. Vous pouvez configurer le dossier racine de correctifs logiciels avec un sous-dossier qui indique qu'un type de mise à jour spécifique, qui n'est pas un type de mise à jour par défaut, doit être installé. Vous devez également configurer une règle d'installation de dossier correspondante qui spécifie la commande d'installation de l'élément <FolderRules> dans le fichier XML de configuration de correctif logiciel.

Dans l'exemple suivant, l'argument de plug-in HotfixRootFolderPath a la valeur \\MyFileServer\Hotfixes\Root\. Plusieurs mises à jour sont appliquées à l'ensemble des nœuds de cluster. En outre, la mise à jour de microprogramme SpecialHotfix1.exe est appliquée à ContosoNode1 à l'aide de FolderRule1. Pour plus d'informations sur la configuration de FolderRule1 dans le fichier de configuration de correctif logiciel, voir Personnaliser le fichier de configuration de correctif logiciel plus loin dans cette rubrique.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

   ContosoNode1\
      FolderRule1\
          SpecialHotfix1.exe
      ...

Personnaliser le fichier de configuration de correctif logiciel

Le fichier de configuration de correctif logiciel contrôle la façon dont Microsoft.HotfixPlugin installe les types de fichier de correctif logiciel spécifiques dans un cluster de basculement. Le schéma XML du fichier de configuration est défini dans HotfixConfigSchema.xsd, qui se trouve dans le dossier suivant d'un ordinateur où sont installés les outils de la Mise à jour adaptée aux clusters :

%systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating folder

Pour personnaliser le fichier de configuration de correctif logiciel, copiez l'exemple de fichier de configuration DefaultHotfixConfig.xml depuis cet emplacement vers le dossier racine de correctifs logiciels, puis effectuez les changements appropriés pour votre scénario.

Important

Pour appliquer la plupart des correctifs logiciels fournis par Microsoft, ainsi que les autres mises à jour, vous pouvez utiliser le fichier de configuration de correctif logiciel par défaut en l'état. La personnalisation du fichier de configuration de correctif logiciel est une tâche effectuée uniquement dans les scénarios d'usage avancés.

Par défaut, le fichier XML de configuration de correctif logiciel définit les règles d'installation et les conditions de sortie des deux catégories suivantes de correctifs logiciels :

  • Fichiers de correctifs logiciels ayant les extensions que le plug-in peut installer par défaut (fichiers .msu, .msi et .msp).

    Ils sont définis en tant qu'éléments <ExtensionRules> dans l'élément <DefaultRules> . Il existe un élément <Extension> pour chacun des types de fichier pris en charge par défaut. La structure XML générale est la suivante :

    <DefaultRules>
    <ExtensionRules>
      <Extension name="MSI">
        <!-- Template and ExitConditions elements for installation of .msi files follow -->
         ...
      </Extension>
      <Extension name="MSU">
        <!-- Template and ExitConditions elements for installation of .msu files follow -->
         ...
      </Extension>
      <Extension name="MSP">
        <!-- Template and ExitConditions elements for installation of .msp files follow -->
         ...
      </Extension>
         ...
   </ExtensionRules>
</DefaultRules>

    Si vous devez appliquer certains types de mise à jour à l'ensemble des nœuds de cluster de votre environnement, vous pouvez définir des éléments <Extension> supplémentaires.

  • Fichiers de correctifs logiciels ou d'autres mises à jour qui ne sont pas des fichiers .msi, .msu ou .msp, par exemple les mises à jour des pilotes non Microsoft, des microprogrammes et du BIOS.

    Chaque type de fichier qui n'est pas un type par défaut est configuré en tant qu'élément <Folder> dans l'élément <FolderRules> . L'attribut name de l'élément <Folder> doit être identique au nom d'un dossier dans le dossier racine de correctifs logiciels, qui contient les mises à jour du type correspondant. Le dossier peut se trouver dans le dossier CAUHotfix_All ou dans un dossier spécifique à un nœud. Par exemple, si FolderRule1 est configuré dans le dossier racine de correctifs logiciels, configurez l'élément suivant du fichier XML pour définir le modèle d'installation et les conditions de sortie des mises à jour dans ce dossier :

    <FolderRules>
      <Folder name="FolderRule1">
        <!-- Template and ExitConditions elements for installation of updates in FolderRule1 follow -->
         ...
      </Folder>
      ...
</FolderRules>

Les tableaux suivants décrivent les attributs <Template> et les sous-éléments <ExitConditions> possibles.

Attribut <Template> Description
path Chemin d'accès complet du programme d'installation pour le type de fichier défini dans l'attribut <Extension name> .

Pour spécifier le chemin d’accès d’un fichier de mise à jour dans la structure du dossier racine de correctifs logiciels, utilisez $update$.
parameters Chaîne de paramètres obligatoires et facultatifs pour le programme spécifié dans path.

Pour spécifier un paramètre qui représente le chemin d’accès d’un fichier de mise à jour dans la structure du dossier racine de correctifs logiciels, utilisez $update$.
Sous-élément <ExitConditions> Description
<Success> Définit un ou plusieurs codes de sortie qui indiquent que la mise à jour spécifiée a réussi. Il s'agit d'un sous-élément obligatoire.
<Success_RebootRequired> Définit éventuellement un ou plusieurs codes de sortie qui indiquent que la mise à jour spécifiée a réussi et que le nœud doit redémarrer.
Note : l’élément <Folder> peut éventuellement contenir l’attribut alwaysReboot. Si cet attribut est défini, il indique que, si un correctif installé par cette règle retourne l'un des codes de sortie défini dans <Success>, il est interprété en tant que condition de sortie <Success_RebootRequired> .
<Fail_RebootRequired> Définit éventuellement un ou plusieurs codes de sortie qui indiquent que la mise à jour spécifiée a échoué et que le nœud doit redémarrer.
<AlreadyInstalled> Définit éventuellement un ou plusieurs codes de sortie qui indiquent que la mise à jour spécifiée n'a pas été appliquée, car elle est déjà installée.
<NotApplicable> Définit éventuellement un ou plusieurs codes de sortie qui indiquent que la mise à jour spécifiée n'a pas été appliquée, car elle ne s'applique pas au nœud de cluster.

Important

Tout code de sortie qui n'est pas explicitement défini dans <ExitConditions> est interprété comme un échec de la mise à jour. Par ailleurs, le nœud ne redémarre pas.

Restreindre l'accès au dossier racine de correctifs logiciels

Vous devez suivre plusieurs étapes pour configurer le serveur de fichiers SMB et le partage de fichiers. Cela vous permet de sécuriser les fichiers du dossier racine de correctifs logiciels et le fichier de configuration de correctif logiciel en autorisant uniquement leur accès dans le cadre de Microsoft.HotfixPlugin. Ces étapes activent plusieurs fonctionnalités qui permettent d'éviter une éventuelle falsification des fichiers de correctifs logiciels et la compromission du cluster de basculement.

Les étapes générales sont les suivantes :

  1. Identifier le compte d'utilisateur employé pour les Exécutions de mise à jour à l'aide du plug-in

  2. Configurer ce compte d'utilisateur dans les groupes nécessaires sur un serveur de fichiers SMB

  3. Configurer les autorisations d'accès au dossier racine de correctifs logiciels

  4. Configurer les paramètres relatifs à l'intégrité des données SMB

  5. Activer une règle de Pare-feu Windows sur le serveur SMB

Étape 1 : identifier le compte d'utilisateur employé pour les Exécutions de mise à jour à l'aide du module de correctif logiciel

Le compte utilisé dans la Mise à jour adaptée aux clusters pour vérifier les paramètres de sécurité durant une Exécution de mise à jour à l'aide de Microsoft.HotfixPlugin varie selon que la Mise à jour adaptée aux clusters est utilisée en mode de mise à jour à distance ou en mode de mise à jour automatique, comme suit :

  • Mode de mise à jour à distance Compte qui possède des privilèges d'administrateur sur le cluster pour obtenir un aperçu des mises à jour et les appliquer.

  • Mode de mise à jour automatique Nom de l'objet ordinateur virtuel qui est configuré dans Active Directory pour le rôle en cluster de la Mise à jour adaptée aux clusters. Il s'agit soit du nom d'un objet ordinateur virtuel préconfiguré dans Active Directory pour le rôle en cluster de la Mise à jour adaptée aux clusters, soit du nom généré par la Mise à jour adaptée aux clusters pour le rôle en cluster. Pour obtenir le nom, s'il est généré par la Mise à jour adaptée aux clusters, exécutez l'applet de commande PowerShell Get-CauClusterRole wps_2 de la Mise à jour adaptée aux clusters. Dans la sortie, ResourceGroupName est le nom du compte de l'objet ordinateur virtuel généré.

Étape 2 : configurer ce compte d'utilisateur dans les groupes nécessaires sur un serveur de fichiers SMB

Important

Vous devez ajouter le compte utilisé pour les Exécutions de mise à jour en tant que compte d'administrateur local sur le serveur SMB. Si cela n'est pas autorisé en raison des stratégies de sécurité de votre organisation, configurez ce compte avec les autorisations nécessaires sur le serveur SMB à l'aide de la procédure suivante.

Pour configurer un compte d'utilisateur sur le serveur SMB

  1. Ajoutez le compte utilisé pour les Exécutions de mise à jour au groupe Utilisateurs du modèle COM distribué et à l’un des groupes suivants : Utilisateurs avec pouvoir, Opérateurs de serveur ou Opérateurs d’impression.

  2. Pour activer les autorisations WMI nécessaires pour le compte, démarrez la console de gestion WMI sur le serveur SMB. Démarrez PowerShell, puis tapez la commande suivante :

    wmimgmt.msc

  3. Dans l'arborescence de la console, cliquez avec le bouton droit sur Contrôle WMI (local), puis cliquez sur Propriétés.

  4. Cliquez sur Sécurité, puis développez Racine.

  5. Cliquez sur CIMV2, puis sur Sécurité.

  6. Ajoutez le compte utilisé pour les Exécutions de mise à jour à la liste Noms de groupes ou d'utilisateurs.

  7. Accordez les autorisations Méthodes d'exécution et Appel à distance autorisé au compte utilisé pour les Exécutions de mise à jour.

Étape 3 : configurer les autorisations d'accès au dossier racine de correctifs logiciels

Par défaut, quand vous essayez d'appliquer des mises à jour, le plug-in de correctif logiciel vérifie la configuration des autorisations du système de fichiers NTFS pour l'accès au dossier racine de correctifs logiciels. Si les autorisations d'accès au dossier ne sont pas configurées correctement, toute Exécution de mise à jour basée sur le plug-in de correctif logiciel échoue.

Si vous utilisez la configuration par défaut du plug-in de correctif logiciel, vérifiez que les autorisations d'accès au dossier répondent aux conditions requises suivantes.

  • Le groupe Utilisateurs dispose d'une autorisation d'accès en lecture.

  • Si le plug-in applique des mises à jour avec l'extension .exe, le groupe Utilisateurs dispose de l'autorisation d'exécution.

  • Seuls certains principaux de sécurité peuvent (mais ce n'est pas obligatoire) avoir une autorisation d'accès en écriture ou pour modification. Les principaux autorisés sont le groupe Administrateurs local, ainsi que les comptes SYSTEME, CREATEUR PROPRIETAIRE et TrustedInstaller. Les autres comptes ou groupes ne sont pas autorisés à écrire ou changer les autorisations du dossier racine de correctifs logiciels.

Éventuellement, vous pouvez désactiver les vérifications précédentes que le plug-in effectue par défaut. Vous pouvez le faire de deux façons :

  • Si vous utilisez les applets de commande PowerShell de la Mise à jour adaptée aux clusters, configurez l'argument DisableAclChecks='True' dans le paramètre CauPluginArguments du plug-in de correctif logiciel.

  • Si vous utilisez l'interface de la Mise à jour adaptée aux clusters, sélectionnez l'option Désactiver la vérification des droits d'accès d'administrateur au dossier racine de correctif logiciel et au fichier de configuration dans la page Options de mise à jour supplémentaires de l'Assistant qui permet de configurer les options d'Exécution de mise à jour.

Cependant, dans de nombreux environnements, nous vous recommandons d'utiliser la configuration par défaut pour appliquer ces vérifications.

Étape 4 : configurer les paramètres relatifs à l'intégrité des données SMB

Pour vérifier l'intégrité des données dans les connexions entre les nœuds de cluster et le partage de fichiers SMB, le plug-in de correctif demande l'activation des paramètres sur le partage de fichiers SMB pour la signature SMB ou le chiffrement SMB. Le chiffrement SMB, qui offre une sécurité accrue et de meilleures performances dans de nombreux environnements, est pris en charge à partir de Windows Server 2012. Vous pouvez activer l'un ou l'autre de ces paramètres, ou les deux à la fois, comme suit :

  • Pour activer la signature SMB, voir la procédure décrite dans l’ article 887429 de la Base de connaissances Microsoft.

  • Pour activer le chiffrement SMB du dossier partagé SMB, exécutez l’applet de commande PowerShell suivante sur le serveur SMB :

    Set-SmbShare <ShareName> -EncryptData $true

    Où <ShareName> est le nom du dossier partagé SMB.

Éventuellement, pour appliquer l’utilisation du chiffrement SMB dans les connexions au serveur SMB, sélectionnez l’option Exiger le chiffrement SMB lors de l’accès au dossier racine de correctifs logiciels dans l’interface utilisateur de la Mise à jour adaptée aux clusters, ou configurez l’argument de plug-in RequireSMBEncryption=’True’ à l’aide des applets de commande PowerShell de la Mise à jour adaptée aux clusters.

Important

Si vous sélectionnez l'option permettant d'appliquer le chiffrement SMB, et si le dossier racine de correctifs logiciels n'est pas configuré pour les connexions qui utilisent le chiffrement SMB, l'Exécution de mise à jour échoue.

Étape 5 : activer une règle de Pare-feu Windows sur le serveur SMB

Vous devez activer la règle Administration à distance du serveur de fichiers (SMB-In) dans le Pare-feu Windows du serveur de fichiers SMB. Ceci est activé par défaut dans Windows Server 2016 R2, Windows Server 2012, Windows Server 2012 R2 et Windows Server 2012.

Références supplémentaires