Skip to main content

การกำหนดค่า Windows Server สำหรับการอัปเดตไดรเวอร์อุปกรณ์ OS

Lenovo XClarity Administrator ใช้บริการ Windows Remote Management (WinRM) ที่ฟังผ่าน HTTPS หรือ HTTP เพื่อดำเนินการคำสั่งอัปเดตไดรเวอร์อุปกรณ์บนระบบ Windows เป้าหมาย บริการ WinRM จะต้องได้รับการกำหนดค่าอย่างถูกต้องบนเซิร์ฟเวอร์เป้าหมายก่อนพยายามอัปเดตไดรเวอร์อุปกรณ์ของ OS

ก่อนจะเริ่มต้น

ต้องมีพอร์ตที่จำเป็น สำหรับข้อมูลเพิ่มเติม โปรดดู ความพร้อมใช้งานของพอร์ต

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่า Windows Server ก่อนอัปเดตไดรเวอร์อุปกรณ์ OS โปรดดูที่ XClarity Administrator: การเตรียมการอัปเดตไดรเวอร์ อุปกรณ์ OS (เอกสารวิชาการ)

ขั้นตอน

ในการกำหนดค่า Windows Server เพื่อรองรับการอัปเดตไดรเวอร์อุปกรณ์ของ OS ให้ดำเนินการตามขั้นตอนต่อไปนี้

  • สำหรับ HTTPS

    1. ลงนามและติดตั้งใบรับรองเซิร์ฟเวอร์ในระบบ Windows เป้าหมายแต่ละระบบ

      สำคัญ
      ใบรับรองต้องประกอบด้วยข้อมูลต่อไปนี้

      • ในส่วน Subject (เรื่อง) ให้ตรวจสอบว่ามีการตั้งค่า Domain Component (ส่วนประกอบโดเมน) (ตัวอย่างเช่น DC=labs, DC=com, DC=company)

      • ใน Subject Alternative Name (ชื่อแสดงแทนของชื่อเรื่อง) ให้ตรวจสอบว่ามีการตั้งค่า DNS Name (ชื่อ DNS) และ IP Address (ที่อยู่ IP) (ตัวอย่างเช่น DNS Name=node1325C554A6F.labs.company.com และ IP Address=10.245.43.149)

    2. กำหนดค่าคำสั่งและข้อมูลการจัดการระยะไกลผ่านทางการเชื่อมต่อ HTTPS โดยใช้คำสั่งหนึ่งในต่อไปนี้จากพร้อมท์คำสั่งระดับผู้ดูแล แล้วยืนยันการเปลี่ยนแปลงการกำหนดค่าที่แนะนำ

      • winrm quickconfig -transport:https
      • winrm create winrm/config/Listener?Address=*+Transport=HTTPS 
        @{Hostname="host_name";CertificateThumbprint="certificate_thumbprint"}

      ในการติดตั้งตัวฟัง HTTPS ของ WinRM ด้วยตนเองตามเอกสารของ WinRM โปรดดู วิธีการกำหนดค่า WinRM สำหรับเว็บเพจ HTTPS

    3. กำหนดค่าการตั้งค่าการตรวจสอบความถูกต้องจะขึ้นอยู่กับว่าคุณต้องการใช้บัญชีโดเมนหรือบัญชีผู้ใช้ภายในเครื่อง Windows เพื่อเข้าถึงเซิร์ฟเวอร์ Windows เป้าหมายหรือไม่

      • บัญชีโดเมน

        หากคุณต้องการใช้บัญชีโดเมนที่ถูกสร้างขึ้นและมีการจัดการในโดเมนเครือข่าย คุณจะต้องเปิดใช้งานการตรวจสอบความถูกต้อง Kerberos ใน WinRM ซึ่งถูกเปิดใช้งานใน WinRM ตามค่าเริ่มต้น หากถูกปิดใช้งานอยู่ในขณะนี้ คุณสามารถเปิดใช้งานได้โดยการรันสั่งต่อไปนี้จากพร้อมท์สั่งสำหรับการดูแลระบบ
        winrm set winrm/config/service/Auth @{Kerberos="true"}
        นอกจากนี้ คุณต้องเพิ่มบัญชีโดเมนลงใน XClarity Administrator โดยปฏิบัติตามขั้นตอนต่างๆ ต่อไปนี้
        1. จากแถบเมนู XClarity Administrator ให้คลิก การเตรียมใช้งาน > การอัปเดตไดรเวอร์ Windows: นำไปใช้ หน้า การอัปเดตไดรเวอร์ Windows: นำไปใช้ จะปรากฏขึ้น
        2. คลิก การดำเนินการทั้งหมด > จัดการบัญชีโดเมน กล่องโต้ตอบ จัดการบัญชีโดเมน จะปรากฏขึ้นมา
        3. คลิกไอคอน สร้าง (ไอคอนสร้าง) เพื่อเพิ่ม Realm สำหรับบัญชีโดเมน กล่องโต้ตอบ สร้าง Realm จะปรากฏขึ้น
        4. ระบุชื่อ Realm และชื่อโฮสต์ศูนย์การกระจายคีย์อย่างน้อยหนึ่งชื่อ ใช้ไอคอน เพิ่ม (ไอคอนเพิ่ม) เพื่อเพิ่มชื่อโฮสต์อื่นและใช้ไอคอน นำออก (ไอคอนนำออก) เพื่อนำชื่อโฮสต์ออก
        5. เลือก Realm ที่จะใช้ตามค่าเริ่มต้นในฟิลด์ ใช้ Realm นี้เป็นการเลือกเริ่มต้น ด้านบนตาราง
        6. คลิก บันทึก เพื่อบันทึกการกำหนดค่า
        สำคัญ

        • เซิร์ฟเวอร์ Windows ที่ได้รับการจัดการจะต้องอยู่ในเครือข่ายโดเมนก่อนจึงจะกำหนดค่าบัญชีโดเมนได้

        • เมื่อคุณเพิ่มข้อมูลประจำตัวที่จัดเก็บไว้สำหรับบัญชีโดเมน XClarity Administrator โปรดใช้รูปแบบ USER@DOMAIN ไม่รองรับรูปแบบ DOMAIN/USER

      • บัญชีผู้ใช้ภายในเครื่อง Windows

        หากคุณต้องการใช้บัญชีผู้ใช้ที่สร้างขึ้นบนเซิร์ฟเวอร์ Windows เป้าหมาย คุณจะต้องเปิดใช้งานการตรวจสอบความถูกต้องแบบพื้นฐาน ซึ่งจะถูกปิดใช้งานใน WinRM ตามค่าเริ่มต้น หากถูกปิดใช้งานอยู่ในขณะนี้ คุณสามารถเปิดใช้งานได้โดยการรันสั่งต่อไปนี้จากพร้อมท์สั่งสำหรับการดูแลระบบ
        winrm set winrm/config/service/Auth @{Basic="true"}
      สำคัญ
      คำสั่ง WinRM ใช้ Negotiate Authentication เพื่อกำหนดค่าระบบย่อยของ WinRM ห้าม ปิดใช้งานคำสั่ง Negotiate Authentication

    4. เพื่อหลีกเลี่ยงปัญหาการหมดเวลาและการส่งข้อผิดพลาดคำขอ WinRM ระหว่างการตรวจสอบความสอดคล้องและการอัปเดตโปรแกรมควบคุม ให้เพิ่มค่าเริ่มต้นของการหมดเวลาตอบสนองของ WinRM ด้วยการเรียกใช้คำสั่งต่อไปนี้จากพร้อมท์คำสั่งการจัดการ ขอแนะนำให้ใช้ค่า 280000 สำหรับข้อมูลเพิ่มเติม โปรดดู การติดตั้งและการกำหนดค่าสำหรับเว็บเพจ Windows Remote Management

      winrm set winrm/config @{MaxTimeoutms="280000"}

    5. เปิดพอร์ตในไฟร์วอลล์ที่คุณกำหนดค่าไว้สำหรับตัวฟัง HTTPS ของ WinRM ตัวอย่างเช่น พอร์ต HTTPS เริ่มต้นคือ 5986

      netsh advfirewall firewall add rule name="Windows Remote Management (HTTPS-In)" dir=in action=allow 
      protocol=TCP localport=5986

    6. หากคุณกำลังใช้งานตัวฟัง HTTPS ให้เพิ่มใบรับรองกับพื้นที่จัดเก็บที่น่าเชื่อถือของ XClarity Administrator โดยดำเนินการดังต่อไปนี้ การเพิ่มใบรับรองไปยังพื้นที่จัดเก็บที่น่าเชื่อถือจะช่วยให้ XClarity Administrator สามารถเชื่อถือตัวฟัง HTTPS ของ WinRM ที่เชื่อมต่ออยู่ได้ ทำขั้นตอนต่อไปนี้ซ้ำสำหรับพาธการรับรองเพิ่มเติมใดๆ ที่จำเป็นต้องมีความเชื่อถือสำหรับบริการ Windows Remote Management

      1. ระบุและรวบรวมใบรับรองระดับสูงของผู้ให้บริการออกใบรับรองที่คุณใช้เพื่อลงนามใบรับรองเซิร์ฟเวอร์สำหรับระบบ Windows เป้าหมาย หากคุณไม่มีสิทธิ์เข้าใช้ใบรับรองระดับสูงของ CA ให้รวบรวมใบรับรองเซิร์ฟเวอร์ หรือใบรับรองอื่นในพาธการรับรอง

      2. จากแถบเมนู XClarity Administrator ให้คลิก การดูแลระบบ > การรักษาความปลอดภัย เพื่อแสดงหน้าการรักษาความปลอดภัย

      3. คลิก ใบรับรองที่เชื่อถือได้ ภายใต้ส่วนการจัดการใบรับรอง

      4. คลิกไอคอน สร้าง (ไอคอนสร้าง) เพื่อแสดงกล่องโต้ตอบเพิ่มใบรับรอง

      5. ให้เรียกดูไฟล์ใบรับรองที่คุณรวบรวมในขั้นตอนที่ 1 หรือคัดลอก/วางเนื้อหาของไฟล์ใบรับรองลงในกล่องข้อความ

      6. คลิก สร้าง

    7. หลังจากที่ตัวฟัง WinRM กำลังรันอยู่บนระบบ Windows เป้าหมายของคุณแล้ว XClarity Administrator คุณจะสามารถเชื่อมต่อระบบเหล่านี้และดำเนินการอัปเดตไดรเวอร์อุปกรณ์ได้

  • สำหรับ HTTP

    1. กำหนดค่าคำสั่งและข้อมูลการจัดการระยะไกลผ่านทางการเชื่อมต่อ HTTP โดยใช้คำสั่งต่อไปนี้จากพร้อมท์คำสั่งระดับผู้ดูแล แล้วยืนยันการเปลี่ยนแปลงการกำหนดค่าที่แนะนำ

      winrm quickconfig

    2. กำหนดค่าการตั้งค่าการตรวจสอบความถูกต้องจะขึ้นอยู่กับว่าคุณต้องการใช้บัญชีโดเมนหรือบัญชีผู้ใช้ภายในเครื่อง Windows เพื่อเข้าถึงเซิร์ฟเวอร์ Windows เป้าหมายหรือไม่

      • บัญชีโดเมน

        หากคุณต้องการใช้บัญชีโดเมนที่ถูกสร้างขึ้นและมีการจัดการในโดเมนเครือข่าย คุณจะต้องเปิดใช้งานการตรวจสอบความถูกต้อง Kerberos ใน WinRM ซึ่งถูกเปิดใช้งานใน WinRM ตามค่าเริ่มต้น หากถูกปิดใช้งานอยู่ในขณะนี้ คุณสามารถเปิดใช้งานได้โดยการรันสั่งต่อไปนี้จากพร้อมท์สั่งสำหรับการดูแลระบบ
        winrm set winrm/config/service/Auth @{Kerberos="true"}
        นอกจากนี้ คุณต้องเพิ่มบัญชีโดเมนลงใน XClarity Administrator โดยปฏิบัติตามขั้นตอนต่างๆ ต่อไปนี้
        1. จากแถบเมนู XClarity Administrator ให้คลิก การเตรียมใช้งาน > การอัปเดตไดรเวอร์ Windows: นำไปใช้ หน้า การอัปเดตไดรเวอร์ Windows: นำไปใช้ จะปรากฏขึ้น
        2. คลิก การดำเนินการทั้งหมด > จัดการบัญชีโดเมน กล่องโต้ตอบ จัดการบัญชีโดเมน จะปรากฏขึ้นมา
        3. คลิกไอคอน สร้าง (ไอคอนสร้าง) เพื่อเพิ่ม Realm สำหรับบัญชีโดเมน กล่องโต้ตอบ สร้าง Realm จะปรากฏขึ้น
        4. ระบุชื่อ Realm และชื่อโฮสต์ศูนย์การกระจายคีย์อย่างน้อยหนึ่งชื่อ ใช้ไอคอน เพิ่ม (ไอคอนเพิ่ม) เพื่อเพิ่มชื่อโฮสต์อื่นและใช้ไอคอน นำออก (ไอคอนนำออก) เพื่อนำชื่อโฮสต์ออก
        5. เลือก Realm ที่จะใช้ตามค่าเริ่มต้นในฟิลด์ ใช้ Realm นี้เป็นการเลือกเริ่มต้น ด้านบนตาราง
        6. คลิก บันทึก เพื่อบันทึกการกำหนดค่า
        สำคัญ

        • เซิร์ฟเวอร์ Windows ที่ได้รับการจัดการจะต้องอยู่ในเครือข่ายโดเมนก่อนจึงจะกำหนดค่าบัญชีโดเมนได้

        • เมื่อคุณเพิ่มข้อมูลประจำตัวที่จัดเก็บไว้สำหรับบัญชีโดเมน XClarity Administrator โปรดใช้รูปแบบ USER@DOMAIN ไม่รองรับรูปแบบ DOMAIN/USER

      • บัญชีผู้ใช้ภายในเครื่อง Windows

        หากคุณต้องการใช้บัญชีผู้ใช้ที่สร้างขึ้นบนเซิร์ฟเวอร์ Windows เป้าหมาย คุณจะต้องเปิดใช้งานการตรวจสอบความถูกต้องแบบพื้นฐาน ซึ่งจะถูกปิดใช้งานใน WinRM ตามค่าเริ่มต้น หากถูกปิดใช้งานอยู่ในขณะนี้ คุณสามารถเปิดใช้งานได้โดยการรันสั่งต่อไปนี้จากพร้อมท์สั่งสำหรับการดูแลระบบ
        winrm set winrm/config/service/Auth @{Basic="true"}
      สำคัญ
      คำสั่ง WinRM ใช้ Negotiate Authentication เพื่อกำหนดค่าระบบย่อยของ WinRM ห้าม ปิดใช้งานคำสั่ง Negotiate Authentication

    3. จัดสรรหน่วยความจำให้เพียงพอสำหรับคำสั่งอัปเดตในระบบนี้ โดยใช้คำสั่งต่อไปนี้จากพร้อมท์คำสั่งระดับผู้ดูแล

      winrm set winrm/config/winrs @{MaxMemoryPerShellMB="1024"}

    4. อนุญาตข้อมูลที่ไม่มีการเข้ารหัสโดยใช้คำสั่งต่อไปนี้จากพร้อมท์คำสั่งระดับผู้ดูแล

      winrm set winrm/config/service @{AllowUnencrypted="true"}

    5. เปิดพอร์ตในไฟร์วอลล์ที่คุณกำหนดค่าไว้สำหรับตัวฟัง HTTP ของ WinRM ตัวอย่างเช่น พอร์ต HTTPS เริ่มต้นคือ 5985

      netsh advfirewall firewall add rule name="Windows Remote Management (HTTP-In)" dir=in action=allow 
      protocol=TCP localport=5985

    หลังจากที่ตัวฟัง WinRM กำลังรันอยู่บนระบบ Windows เป้าหมายของคุณแล้ว XClarity Administrator คุณจะสามารถเชื่อมต่อระบบเหล่านี้และดำเนินการอัปเดตไดรเวอร์อุปกรณ์ได้