Windows Server für BS-Einheitentreiberaktualisierungen konfigurieren

Vorgehensweise

Um Windows Server so zu konfigurieren, dass die Aktualisierung von BS-Einheitentreibern unterstützt wird, gehen Sie wie folgt vor.

• Für HTTPS

  1. Signieren und installieren Sie ein Serverzertifikat auf jedem der Windows-Zielsysteme.

     Wichtig

     Das Zertifikat muss die folgenden Informationen enthalten.

     • Betreff: Stellen Sie sicher, dass die Domänenkomponente festgelegt ist (z. B. DC=labs, DC=com, DC=company).

     • Alternativer Name: Stellen Sie sicher, dass der DNS-Name und die Host-IP-Adresse konfiguriert sind (z. B. DNS-Name=node1325C554A6F.labs.company.com und IP-Adresse=10.245.43.149).

  2. Konfigurieren Sie die Remoteverwaltungsbefehle und ‑daten über eine HTTPS-Verbindung, indem Sie einen der folgenden Befehle über eine Administrator-Eingabeaufforderung ausführen, und bestätigen Sie anschließend die vorgeschlagenen Konfigurationsänderungen.

     • winrm quickconfig -transport:https
       

     • winrm create winrm/config/Listener?Address=*+Transport=HTTPS 
       @{Hostname="host_name";CertificateThumbprint="certificate_thumbprint"}
       

     Informationen zur manuellen Einrichtung eines WinRM-HTTPS-Listeners gemäß WinRM-Dokumentation finden Sie unter WinRM für HTTPS-Website konfigurieren.

  3. Konfigurieren Sie die Authentifizierungseinstellungen, je nachdem, ob Sie Domänenaccounts oder lokale Windows-Benutzeraccounts für den Zugriff auf die Windows-Zielserver verwenden möchten.

     • Domänenaccounts

       Wenn Sie Domänenaccounts verwenden möchten, die in der Netzwerkdomäne erstellt und verwaltet werden, muss die Kerberos-Authentifizierung in WinRM aktiviert sein. Sie ist standardmäßig in WinRM aktiviert. Wenn sie derzeit deaktiviert ist, können Sie sie aktivieren, indem Sie den folgenden Befehl über eine Verwaltungsbefehlsaufforderung ausführen:

       winrm set winrm/config/service/Auth @{Kerberos="true"}
       

       Darüber hinaus müssen Sie die Domänenaccounts zu XClarity Administrator hinzufügen, indem Sie die folgenden Schritte ausführen:

       1. Klicken Sie in der XClarity Administrator-Menüleiste auf Bereitstellung > Windows-Treiberaktualisierungen: Übernehmen. Die Seite Windows-Treiberaktualisierungen: Übernehmen wird angezeigt.
       2. Klicken Sie auf Alle Aktionen > Domänenaccount verwalten. Das Dialogfenster Domänenaccounts verwalten wird angezeigt.
       3. Klicken Sie auf das Symbol Erstellen (), um einen Bereich für den Domänenaccount hinzuzufügen. Das Dialogfeld Bereich erstellen wird angezeigt.
       4. Geben Sie einen Bereichsnamen und einen oder mehrere Schlüsselverteilungszentrum-Hostnamen an. Verwenden Sie das Symbol Hinzufügen (), um einen weiteren Hostnamen hinzuzufügen, und verwenden Sie das Symbol Entfernen (), um einen Hostnamen zu entfernen.
       5. Wählen Sie im Feld Diesen Bereich als Standardauswahl festlegen den standardmäßig zu verwendenden Bereich aus.
       6. Klicken Sie auf Speichern, um die Konfiguration zu speichern.
       Wichtig

       • Die verwalteten Windows-Server müssen sich in einem Domänennetzwerk befinden, bevor Sie Domänenaccounts konfigurieren.

       • Verwenden Sie zum Hinzufügen von gespeicherten Anmeldeinformationen für einen Domänenaccount in XClarity Administrator das Format USER@DOMAIN. Das Format DOMAIN/USER wird nicht unterstützt.

     • Lokale Windows-Benutzeraccounts

       Wenn Sie Benutzeraccounts verwenden möchten, die auf den Windows-Zielservern erstellt wurden, muss die Standardauthentifizierung aktiviert werden. Sie ist in WinRM standardmäßig deaktiviert. Wenn sie derzeit deaktiviert ist, können Sie sie aktivieren, indem Sie den folgenden Befehl über eine Verwaltungsbefehlsaufforderung ausführen:

       winrm set winrm/config/service/Auth @{Basic="true"}
       

     Wichtig

     WinRM-Befehl verwendet Authentifizierung verhandeln, um das WinRM-Subsystem zu konfigurieren. Deaktivieren Sie nicht die Authentifizierung.

  4. Um eine mögliche Zeitlimitüberschreitung und das Senden von WinRM-Anforderungsfehlern bei der Konformitätsprüfung und Durchführung von Treiberaktualisierungen zu vermeiden, erhöhen Sie den Standardwert für die Zeitlimitüberschreitung von WinRM-Antworten, indem Sie den folgenden Befehl über eine Administrator-Eingabeaufforderung ausführen. Es wird ein Wert von 280.000 empfohlen. Weitere Informationen finden Sie unter Installation und Konfiguration für Windows- Remoteverwaltung-Website.

     winrm set winrm/config @{MaxTimeoutms="280000"}
     

  5. Öffnen Sie den Port in der Firewall, den Sie für den WinRM HTTPS-Listener konfiguriert haben. Der Standard-HTTPS-Port ist 5986. Zum Beispiel

     netsh advfirewall firewall add rule name="Windows Remote Management (HTTPS-In)" dir=in action=allow 
     protocol=TCP localport=5986
     

  6. Wenn Sie HTTPS-Listener verwenden, gehen Sie wie folgt vor, um das Zertifikat zum XClarity Administrator-Truststore hinzuzufügen. Indem Sie das Zertifikat zum Truststore hinzufügen, kann XClarity Administrator die WinRM HTTPS-Listener als vertrauenswürdig einstufen, mit denen es eine Verbindung hergestellt wird. Wiederholen Sie die folgenden Schritte für zusätzliche Zertifizierungspfade, die für die Windows-Remoteverwaltung als vertrauenswürdig eingestuft werden müssen.

     1. Ermitteln und sammeln Sie das Stammzertifikat der Zertifizierungsstelle, das Sie zum Signieren der Serverzertifikate für das Windows-Zielsystem verwendet haben. Wenn Sie keinen Zugriff auf das CA-Stammzertifikat haben, sammeln Sie das Serverzertifikat selbst oder ein anderes Zertifikat im Zertifizierungspfad.

     2. Wählen Sie in der Menüleiste von XClarity Administrator die Optionen Verwaltung > Sicherheit aus, um die Seite Sicherheit aufzurufen.

     3. Klicken Sie im Abschnitt für die Zertifikatsverwaltung auf Vertrauenswürdige Zertifikate.

     4. Klicken Sie auf das Symbol Erstellen (), um das Dialogfeld Zertifikat hinzufügen anzuzeigen.

     5. Suchen Sie nach der Zertifikatsdatei, die Sie in Schritt 1 erfasst haben, oder kopieren Sie die Inhalte des Zertifikatsdatei und fügen Sie sie im Textfeld ein.

     6. Klicken Sie auf Erstellen.

  7. Wenn der WinRM-Listener auf Ihren Windows-Zielsystemen ausgeführt wird, kann XClarity Administrator eine Verbindung mit diesen Systemen herstellen und Aktualisierungen der Einheitentreiber durchführen.

• Für HTTP

  1. Konfigurieren Sie die Remoteverwaltungsbefehle und ‑daten über eine HTTP-Verbindung, indem Sie den folgenden Befehl über eine Administrator-Eingabeaufforderung ausführen, und bestätigen Sie die vorgeschlagenen Konfigurationsänderungen.

     winrm quickconfig
     

  2. Konfigurieren Sie die Authentifizierungseinstellungen, je nachdem, ob Sie Domänenaccounts oder lokale Windows-Benutzeraccounts für den Zugriff auf die Windows-Zielserver verwenden möchten.

     • Domänenaccounts

       Wenn Sie Domänenaccounts verwenden möchten, die in der Netzwerkdomäne erstellt und verwaltet werden, muss die Kerberos-Authentifizierung in WinRM aktiviert sein. Sie ist standardmäßig in WinRM aktiviert. Wenn sie derzeit deaktiviert ist, können Sie sie aktivieren, indem Sie den folgenden Befehl über eine Verwaltungsbefehlsaufforderung ausführen:

       winrm set winrm/config/service/Auth @{Kerberos="true"}
       

       Darüber hinaus müssen Sie die Domänenaccounts zu XClarity Administrator hinzufügen, indem Sie die folgenden Schritte ausführen:

       1. Klicken Sie in der XClarity Administrator-Menüleiste auf Bereitstellung > Windows-Treiberaktualisierungen: Übernehmen. Die Seite Windows-Treiberaktualisierungen: Übernehmen wird angezeigt.
       2. Klicken Sie auf Alle Aktionen > Domänenaccount verwalten. Das Dialogfenster Domänenaccounts verwalten wird angezeigt.
       3. Klicken Sie auf das Symbol Erstellen (), um einen Bereich für den Domänenaccount hinzuzufügen. Das Dialogfeld Bereich erstellen wird angezeigt.
       4. Geben Sie einen Bereichsnamen und einen oder mehrere Schlüsselverteilungszentrum-Hostnamen an. Verwenden Sie das Symbol Hinzufügen (), um einen weiteren Hostnamen hinzuzufügen, und verwenden Sie das Symbol Entfernen (), um einen Hostnamen zu entfernen.
       5. Wählen Sie im Feld Diesen Bereich als Standardauswahl festlegen den standardmäßig zu verwendenden Bereich aus.
       6. Klicken Sie auf Speichern, um die Konfiguration zu speichern.
       Wichtig

       • Die verwalteten Windows-Server müssen sich in einem Domänennetzwerk befinden, bevor Sie Domänenaccounts konfigurieren.

       • Verwenden Sie zum Hinzufügen von gespeicherten Anmeldeinformationen für einen Domänenaccount in XClarity Administrator das Format USER@DOMAIN. Das Format DOMAIN/USER wird nicht unterstützt.

     • Lokale Windows-Benutzeraccounts

       Wenn Sie Benutzeraccounts verwenden möchten, die auf den Windows-Zielservern erstellt wurden, muss die Standardauthentifizierung aktiviert werden. Sie ist in WinRM standardmäßig deaktiviert. Wenn sie derzeit deaktiviert ist, können Sie sie aktivieren, indem Sie den folgenden Befehl über eine Verwaltungsbefehlsaufforderung ausführen:

       winrm set winrm/config/service/Auth @{Basic="true"}
       

     Wichtig

     WinRM-Befehl verwendet Authentifizierung verhandeln, um das WinRM-Subsystem zu konfigurieren. Deaktivieren Sie nicht die Authentifizierung.

  3. Weisen Sie genügend Hauptspeicher für die Aktualisierungsbefehle auf diesem System zu, indem sie den folgenden Befehl über eine Administrator-Eingabeaufforderung ausführen.

     winrm set winrm/config/winrs @{MaxMemoryPerShellMB="1024"}
     

  4. Lassen Sie unverschlüsselte Daten zu, indem Sie den folgenden Befehl über eine Administrator-Eingabeaufforderung ausführen.

     winrm set winrm/config/service @{AllowUnencrypted="true"}
     

  5. Öffnen Sie den Port in der Firewall, den Sie für den WinRM-HTTP-Listener konfiguriert haben. Der Standard-HTTPS-Port ist 5985. Zum Beispiel

     netsh advfirewall firewall add rule name="Windows Remote Management (HTTP-In)" dir=in action=allow 
     protocol=TCP localport=5985
     

  Wenn der WinRM-Listener auf Ihren Windows-Zielsystemen ausgeführt wird, kann XClarity Administrator eine Verbindung mit diesen Systemen herstellen und Aktualisierungen der Einheitentreiber durchführen.