Como funcionam os plug-ins de Atualização com Suporte a Cluster
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI, versões 21H2 e 20H2
A CAU (Atualização com Suporte a Cluster) usa plug-ins para coordenar a instalação de atualizações entre nós em um cluster de failover. Este tópico fornece informações sobre como usar os plug-ins internos do CAU ou outros plug-ins que você instala para o CAU.
Instalar um plug-in
Um plug-in, exceto os plug-ins padrão instalados com o CAU (Microsoft.WindowsUpdatePlugin e Microsoft.HotfixPlugin), deve ser instalado separadamente. Se o CAU for usado em modo de autoatualização, o plug-in deverá ser instalado em todos os nós do cluster. Se o CAU for usado no modo de atualização remota, o plug-in deverá ser instalado no computador Coordenador de Atualização remota. Um plug-in que você instala pode ter requisitos adicionais de instalação em cada nó.
Para instalar um plug-in, siga as instruções do publicador de plug-ins. Para registrar manualmente um plug-in com a CAU, execute o cmdlet Register-CauPlugin em cada computador em que o plug-in está instalado.
Especificar um plug-in e os argumentos de plug-in
Especificar um plug-in do CAU
Na IU do CAU, é possível selecionar um plug-in em uma lista suspensa de plug-ins disponíveis quando você usa o CAU para executar as seguintes ações:
Aplicar atualizações ao cluster
Visualizar atualizações para o cluster
Configurar opções de autoatualização do cluster
Por padrão, o CAU seleciona o plug-in Microsoft.WindowsUpdatePlugin. No entanto, você pode especificar qualquer plug-in que esteja instalado e registrado com o CAU.
Dica
Na IU do CAU, só é possível especificar um único plug-in a ser usado pelo CAU para visualizar ou aplicar atualizações durante uma Execução de Atualização. Usando os cmdlets PowerShell da CAU, é possível especificar um ou mais plug-ins. Se for necessário instalar vários tipos de atualizações no cluster, geralmente é mais eficiente especificar vários plug-ins em uma Execução de Atualização, em vez de usar uma Execução de Atualização separada para cada plug-in. Por exemplo, normalmente ocorrerá um número menor de reinicializações de nós.
Ao usar os cmdlets PowerShell da CAU que estão listados na tabela a seguir, você pode especificar um ou mais plug-ins para uma Execução de Atualização ou examinar passando o parâmetro –CauPluginName. Você pode especificar vários nomes de plug-in, separando-os com vírgulas. É possível especificar vários plug-ins. Você também pode controlar como os plug-ins influenciam uns aos outros durante uma Execução de Atualização, especificando os parâmetros -RunPluginsSerially, -StopOnPluginFailure e –SeparateReboots. Para mais informações sobre o uso de vários plug-ins, use os links fornecidos para a documentação de cmdlet na tabela a seguir.
| Cmdlet | Descrição |
|---|---|
| Add-CauClusterRole | Adiciona a função clusterizada de CAU que fornece a funcionalidade de autoatualização ao cluster especificado. |
| Invoke-CauRun | Executa uma varredura de nós do cluster quanto às atualizações aplicáveis e instala essas atualizações através de uma Execução de Atualização no cluster especificado. |
| Invoke-CauScan | Executa uma varredura de nós do cluster quanto às atualizações aplicáveis e retorna uma lista do conjunto inicial de atualizações que seriam aplicadas a cada nó no cluster especificado. |
| Set-CauClusterRole | Define as propriedades de configuração para a função clusterizada do CAU no cluster especificado. |
Se você não especificar um parâmetro de plug-in do CAU usando esses cmdlets, o padrão será o plug-in Microsoft.WindowsUpdatePlugin.
Especificar argumentos de plug-in do CAU
Quando você configura as opções de Execução de Atualização, pode especificar um ou mais pares (argumentos) name=value para uso do plug-in selecionado. Por exemplo, na IU do CAU, é possível especificar vários argumentos, da seguinte forma:
Name1=Value1;Name2=Value2;Name3=Value3
Esses pares name=value devem ser significativos para o plug-in que você especificar. Para alguns plug-ins, os argumentos são opcionais.
A sintaxe dos argumentos de plug-in do CAU segue estas regras gerais:
Vários pares de name=value são separados por ponto e vírgula.
Um valor que contém espaços fica entre aspas, por exemplo: Name1="Value with Spaces".
A sintaxe exata de value depende do plug-in.
Para especificar argumentos de plug-in usando os cmdlets PowerShell da CAU que dão suporte ao parâmetro –CauPluginParameters, passe um parâmetro com a forma:
-CauPluginArguments @{Name1=Value1;Name2=Value2;Name3=Value3}
Você também pode usar uma tabela de hash do PowerShell predefinida. Para especificar argumentos de plug-in para mais de um plug-in, passe várias tabelas de hash de argumentos, separados por vírgulas. Passe os argumentos de plug-in na ordem de plug-in especificada em CauPluginName.
Especificar argumentos de plug-in opcionais
Os plug-ins que o CAU instala (Microsoft.WindowsUpdatePlugin e Microsoft.HotfixPlugin) fornecem opções adicionais que você pode selecionar. Na interface do usuário da CAU, elas aparecem em uma página Opções Adicionais depois de configurar as opções de Execução de Atualização para o plug-in. Se você estiver usando os cmdlets PowerShell da CAU, essas opções serão configuradas como argumentos de plug-in opcionais. Para mais informações, consulte Usar o Microsoft.WindowsUpdatePlugin e Usar o Microsoft.HotfixPlugin, mais adiante neste tópico.
Gerenciar plug-ins usando os cmdlets do Windows PowerShell
| Cmdlet | Descrição |
|---|---|
| Get-CauPlugin | Recupera informações sobre um ou mais plug-ins de atualização de software que estão registrados no computador local. |
| Register-CauPlugin | Registra um plug-in de atualização de software do CAU no computador local. |
| Unregister-CauPlugin | Remove um plug-in de atualização de software da lista de plug-ins que podem ser usados pelo CAU. Observação: os plug-ins que são instalados com a CAU (Microsoft.WindowsUpdatePlugin e Microsoft.HotfixPlugin) não podem ter o registro cancelado. |
Como usar o Microsoft.WindowsUpdatePlugin
O plug-in padrão para CAU, Microsoft.WindowsUpdatePlugin, executa as seguintes ações:
- Comunica-se com o Windows Update Agent em cada nó do cluster de failover para aplicar atualizações necessárias aos produtos da Microsoft que estão sendo executados em cada nó.
- Instala atualizações de cluster diretamente do Windows Update ou Microsoft Update ou de um servidor WSUS (Windows Server Update Services) local.
- Instala apenas atualizações de GDR (Versão de Distribuição Geral) selecionadas. Por padrão, o plug-in aplica apenas atualizações de software importantes. Nenhuma configuração é necessária. A configuração padrão baixa e instala atualizações importantes de GDR em cada nó.
Observação
Para aplicar outras atualizações que não sejam as atualizações de software importantes selecionadas por padrão (por exemplo, atualizações de drivers), você pode configurar um parâmetro de plug-in opcional. Para mais informações, consulte Configurar a cadeia de caracteres de consulta do Windows Update Agent.
Requisitos
- O cluster de failover e o computador Coordenador de Atualização remoto (se usado) devem cumprir os requisitos do CAU e a configuração necessária para o gerenciamento remoto listado em Requisitos e práticas recomendadas do CAU.
- Examine as Recomendações para aplicação de atualizações da Microsoft e faça as alterações necessárias à configuração do Microsoft Update para os nós do cluster de failover.
- Para melhores resultados, recomendamos que você execute o BPA (Analisador de Práticas Recomendadas) do CAU para garantir que o ambiente de cluster e as atualizações estejam configurados corretamente para aplicar atualizações usando o CAU. Para mais informações, consulte Testar a prontidão de atualização do CAU.
Observação
As atualizações que exigem aceitação de termos de licença da Microsoft ou interação do usuário são excluídas, e devem ser instaladas manualmente.
Opções adicionais
Opcionalmente, você pode especificar os seguintes argumentos de plug-in para aumentar ou restringir o conjunto de atualizações aplicadas pelo plug-in:
- Para configurar o plug-in para aplicar as atualizações recomendadas, além das atualizações importantes em cada nó, na IU do CAU, na página Opções Adicionais, marque a caixa de seleção Envie-me atualizações recomendadas da mesma maneira que eu recebo atualizações importantes.
Você também pode configurar o argumento de plug-in 'IncludeRecommendedUpdates'='True'. - Para configurar o plug-in para filtrar os tipos de atualizações de GDR que são aplicadas a cada nó do cluster, especifique uma cadeia de caracteres de consulta do Windows Update Agent usando um argumento de plug-in QueryString. Para mais informações, consulte Configurar a cadeia de caracteres de consulta do Windows Update Agent.
Configurar a cadeia de caracteres de consulta do Windows Update Agent
Você pode configurar um argumento de plug-in para o plug-in padrão, Microsoft.WindowsUpdatePlugin, que consiste em uma cadeia de caracteres de consulta do WUA (Windows Update Agent). Essa instrução usa a API do WUA para identificar um ou mais grupos de atualizações da Microsoft para aplicar a cada nó, com base em critérios de seleção específicos. Você pode combinar vários critérios, usando um AND ou um OR lógico. A cadeia de caracteres de consulta do WUA é especificada em um argumento de plug-in da seguinte forma:
QueryString="Criterion1=Value1 e/ou Criterion2=Value2 e/ou…"
Por exemplo, o Microsoft.WindowsUpdatePlugin seleciona automaticamente as atualizações importantes, usando um argumento padrão QueryString que é construído usando os critérios IsInstalled, Type, IsHidden e IsAssigned:
QueryString="IsInstalled=0 e Type='Software' e IsHidden=0 e IsAssigned=1"
Se você especificar um argumento QueryString, ele será usado no lugar do QueryString padrão configurado para o plug-in.
Exemplo 1
Para configurar um argumento QueryString que instala uma atualização específica como identificado pela ID f6ce46c1-971c-43f9-a2aa-783df125f003:
QueryString="UpdateID='f6ce46c1-971c-43f9-a2aa-783df125f003' e IsInstalled=0"
Observação
O exemplo anterior é válido para a aplicação de atualizações usando o Assistente de Atualização com Suporte a Cluster. Se você deseja instalar uma atualização específica configurando opções de autoatualização com a interface do usuário da CAU ou usando o cmdlet PowerShell Add-CauClusterRole ou Set-CauClusterRole, formate o valor UpdateID com dois caracteres de aspas simples:
QueryString="UpdateID=''f6ce46c1-971c-43f9-a2aa-783df125f003'' e IsInstalled=0"
Exemplo 2
Para configurar um argumento QueryString que instala somente drivers:
QueryString="IsInstalled=0 e Type='Driver' e IsHidden=0"
Para obter mais informações sobre cadeias de caracteres de consulta para o plug-in padrão, Microsoft.WindowsUpdatePlugin, os critérios de pesquisa (como IsInstalled) e a sintaxe que você pode incluir nessas cadeias, consulte a seção sobre critérios de pesquisa em Referência de API do WUA (Windows Update Agent).
Usar o Microsoft.HotfixPlugin
O plug-in Microsoft.HotfixPlugin pode ser usado para aplicar atualizações de LDR (Versão de Distribuição Limitada) da Microsoft, também chamadas de hotfixes, antigos QFEs, que você pode baixar de forma independente para abordar problemas específicos de software da Microsoft. O plug-in instala atualizações de uma pasta raiz em um compartilhamento de arquivos SMB e também pode ser personalizado para aplicar atualizações de driver, firmware e BIOS que não são da Microsoft.
Observação
Os hotfixes estão, às vezes, disponíveis para download em artigos da Base de Conhecimento da Microsoft, mas eles também são fornecidos aos clientes conforme necessário.
Requisitos
O cluster de failover e o computador Coordenador de Atualização remoto (se usado) devem cumprir os requisitos do CAU e a configuração necessária para o gerenciamento remoto listado em Requisitos e práticas recomendadas do CAU.
Examine as Recomendações para uso do Microsoft.HotfixPlugin.
Para melhores resultados, recomendamos que você execute o modelo BPA (Analisador de Práticas Recomendadas) do CAU para garantir que o ambiente de cluster e atualização esteja configurado corretamente para aplicar atualizações usando o CAU. Para mais informações, consulte Testar a prontidão de atualização do CAU.
Obtenha as atualizações do publicador, e copie ou extraia-as para um compartilhamento de arquivos de protocolo SMB (pasta raiz de hotfix) que dá suporte a pelo menos o SMB 2.0 e seja acessível por todos os nós do cluster e pelo computador Coordenador de Atualização remota (se o CAU for usado no modo de atualização remota). Para mais informações, consulte Configurar uma estrutura de pastas raiz de hotfix mais adiante neste tópico.
Observação
Por padrão, esse plug-in instala apenas hotfixes com as seguintes extensões de nome de arquivo: .msu, .msi e .msp.
Copie o arquivo DefaultHotfixConfig.xml (fornecido na pasta %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating em um computador onde as ferramentas do CAU estão instaladas) para a pasta raiz de hotfix que você criou e da qual extraiu os hotfixes. Por exemplo, copie o arquivo de configuração para \\MyFileServer\Hotfixes\Root\.
Observação
Para instalar a maioria dos hotfixes fornecidos pela Microsoft e outras atualizações, o arquivo de configuração padrão de hotfix pode ser usado sem modificação. Se o cenário exigir, você pode personalizar o arquivo de configuração como uma tarefa avançada. O arquivo de configuração pode incluir regras personalizadas, por exemplo, para processar arquivos de hotfix com extensões específicas ou definir comportamentos para condições de saída específicas. Para mais informações, consulte Personalizar o arquivo de configuração de hotfix mais adiante neste tópico.
Configuração
Defina as configurações a seguir. Para mais informações, consulte os links para as seções mais adiante neste tópico.
O caminho para a pasta raiz compartilhada de hotfix que contém as atualizações a serem aplicadas e o arquivo de configuração do hotfix. Você pode digitar este caminho na interface do usuário da CAU ou configurar o argumento de plug-in do PowerShell HotfixRootFolderPath=<Path>.
Observação
Você pode especificar a pasta raiz de hotfix como um caminho de pasta local ou como um caminho UNC da forma \\ServerName\Share\RootFolderName. Um caminho de namespace do DFS autônomo ou baseado em domínio pode ser usado. No entanto, os recursos de plug-in que verificam permissões de acesso no arquivo de configuração de hotfix são incompatíveis com um caminho de namespace do DFS. Assim, se você configurar um, deverá desabilitar a verificação de permissões de acesso usando a IU do CAU ou configurar o argumento de plug-in DisableAclChecks='True'.
As configurações no servidor que hospeda a pasta raiz de hotfix para verificar se há permissões adequadas para acessar a pasta e garantir a integridade dos dados acessados a partir da pasta compartilhada SMB (assinatura SMB ou criptografia SMB). Para mais informações, consulte Restringir o acesso à pasta raiz de hotfix.
Opções adicionais
- Você pode também configurar o plug-in para que a Criptografia do SMB seja imposta ao acessar dados do compartilhamento de arquivo de hotfix. Na interface do usuário da CAU, na página Opções Adicionais, selecione a opção Exigir Criptografia SMB ao acessar a pasta raiz de hotfix ou configure o argumento de plug-in do PowerShell RequireSMBEncryption='True'.
Importante
Você deve executar etapas adicionais de configuração no servidor SMB para habilitar a integridade dos dados SMB com assinatura ou criptografia SMB. Para mais informações, consulte a Etapa 4 em Restringir o acesso à pasta raiz de hotfix. Se você selecionar a opção para impor o uso da Criptografia SMB, e a pasta raiz de hotfix não estiver configurada para acesso com o uso dessa criptografia SMB, ocorrerá falha na Execução de Atualização.
- Opcionalmente, desabilite as verificações padrão quanto a permissões suficientes para a pasta raiz de hotfix e o arquivo de configuração do hotfix. Na IU do CAU, selecione Desabilitar verificação de acesso de administrador à pasta raiz de hotfix e ao arquivo de configuração, ou configure o argumento de plug-in DisableAclChecks='True'.
- Como alternativa, configure o argumento HotfixInstallerTimeoutMinutes=<Integer> para especificar por quanto tempo o plug-in do hotfix aguarda o retorno do processo do instalador de hotfix. (O padrão é 30 minutos.) Por exemplo, para especificar um período de tempo limite de duas horas, defina HotfixInstallerTimeoutMinutes=120.
- Como opção, configure o argumento de plug-in HotfixConfigFileName = <name> para especificar um nome para o arquivo de configuração do hotfix que está localizado na pasta raiz de hotfix. Se não for especificado, o nome padrão DefaultHotfixConfig.xml será usado.
Configurar uma estrutura de pastas raiz de hotfix
Para que o plug-in do hotfix funcione, os hotfixes devem ser armazenados em uma estrutura bem definida em um compartilhamento de arquivos SMB (pasta raiz de hotfix), e o plug-in de hotfix deve ser configurado com o caminho para a pasta raiz de hotfix usando a interface do usuário da CAU ou os cmdlets PowerShell da CAU. Esse caminho é passado para o plug-in como o argumento HotfixRootFolderPath. Você pode escolher uma das várias estruturas para a pasta raiz de hotfix, de acordo com as suas necessidades de atualização, como mostrado nos exemplos a seguir. Arquivos ou pastas que não aderem à estrutura são ignorados.
Exemplo 1 – Estrutura de pastas usada para aplicar hotfixes a todos os nós do cluster
Para especificar que os hotfixes sejam aplicados a todos os nós do cluster, copie-os em uma pasta chamada CAUHotfix_All na pasta raiz de hotfix. Neste exemplo, o argumento de plug-in HotfixRootFolderPath é definido como \\MyFileServer\Hotfixes\Root\. A pasta CAUHotfix_All contém três atualizações com as extensões .msu, .msi e .msp que serão aplicadas a todos os nós do cluster. Os nomes dos arquivos de atualização são apenas para fins de ilustração.
Observação
Neste e nos exemplos a seguir, o arquivo de configuração do hotfix com seu nome padrão DefaultHotfixConfig.xml é mostrado em seu local exigido na pasta raiz de hotfix.
\\MyFileServer\Hotfixes\Root\
DefaultHotfixConfig.xml
CAUHotfix_All\
Update1.msu
Update2.msi
Update3.msp
...
Exemplo 2 – Estrutura de pastas usada para aplicar determinadas atualizações apenas a um nó específico
Para especificar hotfixes que se aplicam apenas a um nó específico, use uma subpasta da pasta raiz de hotfix com o nome do nó. Use o nome NetBIOS do nó de cluster, por exemplo, ContosoNode1. Em seguida, mova as atualizações que se aplicam apenas a esse nó para essa subpasta. No exemplo a seguir, o argumento de plug-in HotfixRootFolderPath é definido como \\MyFileServer\Hotfixes\Root\. As atualizações da pasta CAUHotfix_All serão aplicadas a todos os nós do cluster e Node1_Specific_Update.msu será aplicado apenas a ContosoNode1.
\\MyFileServer\Hotfixes\Root\
DefaultHotfixConfig.xml
CAUHotfix_All\
Update1.msu
Update2.msi
Update3.msp
...
ContosoNode1\
Node1_Specific_Update.msu
...
Exemplo 3 – Estrutura de pastas usada para aplicar atualizações diferentes dos arquivos .msu, .msi e .msp
Por padrão, o Microsoft.HotfixPlugin só aplica atualizações com as extensões .msu, .msi ou .msp. No entanto, algumas atualizações podem ter extensões diferentes e exigem diferentes comandos de instalação. Por exemplo, você pode precisar aplicar uma atualização de firmware com a extensão .exe a um nó em um cluster. Você pode configurar a pasta raiz de hotfix com uma subpasta que indica que um tipo de atualização específica, não padrão, deve ser instalado. Você também deve configurar uma regra de instalação de pasta correspondente que especifica o comando de instalação no elemento <FolderRules> no arquivo XML de configuração de hotfix.
No exemplo a seguir, o argumento de plug-in HotfixRootFolderPath é definido como \\MyFileServer\Hotfixes\Root\. Várias atualizações serão aplicadas a todos os nós do cluster e uma atualização de firmware SpecialHotfix1.exe será aplicada ao ContosoNode1 usando FolderRule1. Para informações sobre como configurar FolderRule1 no arquivo de configuração de hotfix, consulte Personalizar o arquivo de configuração do hotfix mais adiante neste tópico.
\\MyFileServer\Hotfixes\Root\
DefaultHotfixConfig.xml
CAUHotfix_All\
Update1.msu
Update2.msi
Update3.msp
...
ContosoNode1\
FolderRule1\
SpecialHotfix1.exe
...
Personalizar o arquivo de configuração de hotfix
O arquivo de configuração de hotfix controla como o Microsoft.HotfixPlugin instala tipos de arquivo de hotfix específicos em um cluster de failover. O esquema XML do arquivo de configuração é definido no HotfixConfigSchema.xsd, que está localizado na seguinte pasta em um computador onde as ferramentas do CAU estão instaladas:
Pasta %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating
Para personalizar o arquivo de configuração de hotfix, copie o arquivo de configuração de amostra DefaultHotfixConfig.xml deste local para a pasta raiz do hotfix e faça as modificações apropriadas para o seu cenário.
Importante
Para aplicar a maioria dos hotfixes fornecidos pela Microsoft e outras atualizações, o arquivo de configuração padrão de hotfix pode ser usado sem modificação. A personalização do arquivo de configuração de hotfix é uma tarefa apenas em cenários de uso avançados.
Por padrão, o arquivo XML de configuração de hotfix define regras de instalação e condições de saída para as duas categorias de hotfixes a seguir:
Arquivos de hotfix com extensões que o plug-in pode instalar por padrão (arquivos .msu, .msi e .msp).
Eles são definidos como elementos
<ExtensionRules>no elemento<DefaultRules>. Há um elemento<Extension>para cada um dos tipos de arquivos padrão suportados. A estrutura XML geral é a seguinte:<DefaultRules> <ExtensionRules> <Extension name="MSI"> <!-- Template and ExitConditions elements for installation of .msi files follow --> ... </Extension> <Extension name="MSU"> <!-- Template and ExitConditions elements for installation of .msu files follow --> ... </Extension> <Extension name="MSP"> <!-- Template and ExitConditions elements for installation of .msp files follow --> ... </Extension> ... </ExtensionRules> </DefaultRules>Se você precisar aplicar determinados tipos de atualização a todos os nós do cluster em seu ambiente, poderá definir elementos
<Extension>adicionais.Hotfix ou outros arquivos de atualização que não sejam arquivos .msi, .msu ou .msp, por exemplo, drivers não Microsoft, firmware e atualizações de BIOS.
Cada tipo de arquivo não padrão é configurado como um elemento
<Folder>no elemento<FolderRules>. O atributo de nome do elemento<Folder>deve ser idêntico ao nome de uma pasta na pasta raiz do hotfix que conterá as atualizações do tipo correspondente. A pasta pode estar na pasta CAUHotfix_All ou em uma pasta específica de nó. Por exemplo, se FolderRule1 estiver configurado na pasta raiz de hotfix, configure o seguinte elemento no arquivo XML para definir um modelo de instalação e condições de saída para as atualizações dessa pasta:<FolderRules> <Folder name="FolderRule1"> <!-- Template and ExitConditions elements for installation of updates in FolderRule1 follow --> ... </Folder> ... </FolderRules>
As tabelas a seguir descrevem os atributos <Template> e os possíveis subelementos <ExitConditions> .
Atributo <Template> |
Descrição |
|---|---|
path |
O caminho completo para o programa de instalação para o tipo de arquivo definido no atributo <Extension name> .Para especificar o caminho para um arquivo de atualização na estrutura da pasta raiz de hotfix, use |
parameters |
Uma cadeia de caracteres de parâmetros necessários e opcionais para o programa que está especificado em path.Para especificar um parâmetro que seja o caminho para um arquivo de atualização na estrutura da pasta raiz de hotfix, use |
Subelemento <ExitConditions> |
Descrição |
|---|---|
<Success> |
Define um ou mais códigos de saída que indicam que a atualização especificada foi bem-sucedida. Este é um subelemento obrigatório. |
<Success_RebootRequired> |
Opcionalmente, defina um ou mais códigos de saída que indicam que a atualização especificada foi bem-sucedida e que o nó deve ser reiniciado. Observação: opcionalmente, o elemento <Folder> pode conter o atributo alwaysReboot. Se esse atributo for definido, ele indicará que, se um hotfix instalado por essa regra retornar um dos códigos de saída definidos como <Success>, ele será interpretado como uma condição de saída <Success_RebootRequired> . |
<Fail_RebootRequired> |
Você também pode definir um ou mais códigos de saída que indicam que a atualização especificada falhou e o nó deve ser reiniciado. |
<AlreadyInstalled> |
Opcionalmente, define um ou mais códigos de saída que indicam que a atualização especificada não foi aplicada porque já está instalada. |
<NotApplicable> |
Opcionalmente, define um ou mais códigos de saída que indicam que a atualização especificada não foi aplicada porque não se aplica ao nó do cluster. |
Importante
Qualquer código de saída que não seja explicitamente definido em <ExitConditions> é interpretado como falha na atualização e o nó não reinicia.
Restringir o acesso à pasta raiz de hotfix
Você deve executar várias etapas para configurar o servidor de arquivos SMB e o compartilhamento de arquivos para ajudar a proteger os arquivos da pasta raiz de hotfix e o arquivo de configuração de hotfix para acesso somente no contexto do Microsoft.HotfixPlugin. Essas etapas habilitam vários recursos que ajudam a evitar possíveis violações dos arquivos de hotfix que podem comprometer o cluster de failover.
As etapas gerais são as seguintes:
Identificar a conta de usuário usada para Execuções de Atualização, utilizando o plug-in
Configurar a conta do usuário nos grupos necessários em um servidor de arquivos SMB
Configurar permissões para acessar a pasta raiz de hotfix
Definir configurações para a integridade dos dados SMB
Habilitar uma regra de Firewall do Windows no servidor SMB
Etapa 1: identificar a conta de usuário usada para Execuções de Atualização utilizando o plug-in de hotfix
A conta usada no CAU para verificar configurações de segurança ao realizar uma Execução de Atualização usando o Microsoft.HotfixPlugin depende se o CAU é usado no modo de atualização remota ou no modo de autoatualização, como segue:
Modo de atualização remota A conta com privilégios administrativos no cluster para visualizar e aplicar atualizações.
Modo de autoatualização O nome de objeto do computador virtual configurado no Active Directory para a função clusterizada do CAU. Esse é o nome de um objeto de computador virtual de pré-teste no Active Directory para a função clusterizada do CAU ou o nome gerado pelo CAU para a função clusterizada. Para obter o nome gerado pela CAU, execute o cmdlet PowerShell da CAU Get-CauClusterRole. Na saída, ResourceGroupName é o nome da conta do objeto de computador virtual gerado.
Etapa 2: configurar a conta do usuário nos grupos necessários em um servidor de arquivos SMB
Importante
Você deve adicionar a conta usada para as Execuções de Atualização como uma conta de administrador local no servidor SMB. Se isso não for permitido por causa das políticas de segurança de sua organização, configure essa conta com as permissões necessárias no servidor SMB usando o procedimento a seguir.
Para configurar uma conta de usuário no servidor SMB
Adicione a conta usada para as Execuções da Atualização ao grupo de Usuários do Distributed COM e a um dos seguintes grupos: Usuário Avançado, Operação do Servidor ou Operador de Impressão.
Para habilitar as permissões WMI necessárias para a conta, inicie o Console de Gerenciamento de WMI no servidor SMB. Inicie o PowerShell e digite o seguinte comando:
wmimgmt.mscNa árvore do console, clique com o botão direito em Controle WMI (Local) e depois em Propriedades.
Clique em Segurança e expanda Raiz.
Clique em CIMV2 e depois em Segurança.
Adicione a conta que é usada para as Execuções de Atualização à lista Nomes de grupo ou de usuário.
Conceda as permissões para Executar Métodos e Habilitação Remota para a conta usada para as Execuções de Atualização.
Etapa 3: configurar permissões para acessar a pasta raiz de hotfix
Por padrão, quando você tenta aplicar as atualizações, o plug-in de hotfix verifica a configuração das permissões do sistema de arquivos NTFS para o acesso à pasta raiz de hotfix. Se as permissões de acesso à pasta não estiverem configuradas corretamente, uma Execução de Atualização usando o plug-in do hotfix poderá falhar.
Se você usar a configuração padrão do plug-in de hotfix, garanta que as permissões de acesso à pasta atendam aos requisitos abaixo.
O grupo de Usuários tem permissão de Leitura.
Se o plug-in for aplicar atualizações com a extensão exe., o grupo de Usuários terá permissão para Executar.
Para ter a permissão de Gravar ou Modificar, só são permitidas certas entidades de segurança (mas não são obrigatórias). As entidades permitidas são o grupo local de Administradores, SISTEMA, PROPRIETÁRIO CRIADOR e TrustedInstaller. Outras contas ou grupos não têm permissão para Gravar ou Modificar na pasta raiz de hotfix.
Você também pode desabilitar as verificações anteriores que o plug-in executa por padrão. É possível fazer isso de duas formas:
Se você estiver usando os cmdlets PowerShell da CAU, configure o argumento DisableAclChecks='True' no parâmetro CauPluginArguments para o plug-in de hotfix.
Se você estiver usando a IU do CAU, selecione a opção Desabilitar verificação para acesso de administrador à pasta raiz de hotfix e ao arquivo de configuração na página Opções Adicionais de Atualização do assistente usado para configurar as opções de Execução de Atualização.
No entanto, como melhor prática em muitos ambientes, é recomendável usar a configuração padrão para impor essas verificações.
Etapa 4: definir configurações para a integridade dos dados SMB
Para verificar a integridade dos dados nas conexões entre os nós do cluster e o compartilhamento de arquivo SMB, o plug-in de hotfix requer que você habilite as configurações no compartilhamento de arquivos SMB para a assinatura SMB ou criptografia SMB. A Criptografia SMB, que oferece mais segurança e melhor desempenho em muitos ambientes, tem suporte a partir do Windows Server 2012. É possível habilitar uma ou ambas as configurações, da seguinte forma:
Para habilitar assinatura SMB, consulte o procedimento no artigo 887429 na Base de Dados de Conhecimento Microsoft.
Para habilitar a Criptografia SMB para a pasta compartilhada de SMB, execute o seguinte cmdlet PowerShell no servidor SMB:
Set-SmbShare <ShareName> -EncryptData $trueEm que <ShareName> é o nome da pasta compartilhada de SMB.
Opcionalmente, para impor o uso da Criptografia SMB nas conexões com o servidor SMB, selecione a opção Exigir Criptografia SMB para acessar a pasta raiz de hotfix na interface do usuário da CAU ou configure o argumento de plug-in RequireSMBEncryption='True' usando os cmdlets PowerShell da CAU.
Importante
Se você selecionar a opção para impor o uso da Criptografia SMB, e a pasta raiz de hotfix não estiver configurada para conexões que usam criptografia SMB, a Execução de Atualização falhará.
Etapa 5: habilitar uma regra de Firewall do Windows no servidor SMB
É necessário habilitar a regra Gerenciamento Remoto do Servidor de Arquivos (SMB-Entrada) no Firewall do Windows no servidor de arquivo SMB. Isso é habilitado por padrão no Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012.