为操作系统设备驱动程序更新配置 Windows Server
Lenovo XClarity Administrator 使用 Windows 远程管理服务(WinRM)侦听 HTTPS 或 HTTP 以在目标 Windows 系统上运行设备驱动程序更新命令。尝试更新操作系统设备驱动程序前,必须在目标服务器上正确配置 WinRM 服务。
开始之前
所需端口必须可用。有关详细信息,请参阅端口可用性。
有关在更新操作系统设备驱动程序之前配置 Windows Server 的详细信息,请参阅《XClarity Administrator:准备操作系统设备 驱动程序更新》(白皮书)。
过程
要配置 Windows Server 以支持更新操作系统设备驱动程序,请完成以下步骤。
对于 HTTPS
在每个目标 Windows 系统上签署并安装服务器证书。
重要证书必须包含以下信息。在主题中,请确保已设置域组件(例如,DC = 实验室、DC = com、DC = company)。
在主题备用名称中,请确保已设置 DNS 名称和主机 IP 地址(例如,DNS 名称 = node1325C554A6F.labs.company.com,IP 地址 = 10.245.43.149)。
通过在管理命令提示符中运行以下命令之一以配置 HTTPS 连接上的远程管理命令和数据,然后确认建议的配置更改。
winrm quickconfig -transport:httpswinrm create winrm/config/Listener?Address=*+Transport=HTTPS
@{Hostname="host_name";CertificateThumbprint="certificate_thumbprint"}
要根据 WinRM 文档手动设置 WinRM HTTPS 侦听器,请参阅如何为 HTTPS 网页配置 WinRM。
配置认证设置,具体方法取决于是使用域帐户还是 Windows 本地用户帐户访问目标 Windows 服务器。
域帐户
如果要使用在网络域中创建和管理的域帐户,则必须在 WinRM 中启用 Kerberos 认证。WinRM 中默认会启用该认证。如果该认证当前已禁用,则可以通过从管理命令提示符运行以下命令来启用它:winrm set winrm/config/service/Auth @{Kerberos="true"}此外,还需要完成以下步骤将域帐户添加到 XClarity Administrator- 从 XClarity Administrator 菜单栏中,单击。随后将显示“Windows 驱动程序更新:应用”页面。
- 单击。随后将显示“管理域帐户”对话框。
- 单击创建图标(
),向域帐户添加域。随后将显示“创建域”对话框。 - 指定域名称以及一个或多个密钥分发中心主机名。使用添加图标(
)可以添加其他主机名,而使用删除图标(
)则可以删除主机名。 - 在表上方的应用此域作为默认选择字段中选择默认要使用的域。
- 单击保存以保存配置。
重要配置域帐户之前,受管的 Windows 服务器必须已位于域网络中。
在 XClarity Administrator 中添加域帐户的存储的凭证时,请使用格式 USER@DOMAIN。不支持 DOMAIN/USER 格式。
Windows 本地用户帐户
如果要使用在目标 Windows 服务器上创建的用户帐户,则必须启用基本认证。WinRM 中默认会禁用该认证。如果该认证当前已禁用,则可以通过从管理命令提示符运行以下命令来启用它:winrm set winrm/config/service/Auth @{Basic="true"}
重要WinRM 命令使用协商认证来配置 WinRM 子系统。请勿 禁用协商认证。为避免可能发生的超时以及在合规性检查和执行驱动程序更新时发送 WinRM 请求错误,请通过在管理命令提示符处运行以下命令来增加 WinRM 响应超时的默认值。建议值为 280000。有关详细信息,请参阅 Windows 远程管理的安装和 配置网页。
winrm set winrm/config @{MaxTimeoutms="280000"}在防火墙中打开为 WinRM HTTPS 侦听器配置的端口。默认 HTTPS 端口是 5986。例如:
netsh advfirewall firewall add rule name="Windows Remote Management (HTTPS-In)" dir=in action=allow
protocol=TCP localport=5986如果使用 HTTPS 侦听器,请完成以下步骤以将证书添加到 XClarity Administrator 信任存储区。将证书添加到信任存储区将允许 XClarity Administrator 信任其连接的 WinRM HTTPS 侦听器。对 Windows 远程管理服务需要信任的任何其他证书路径重复执行以下步骤。
找出并收集为目标 Windows 系统签署服务器证书使用的证书颁发机构根证书。如果没有该 CA 根证书的访问权限,请收集该服务器证书本身或该证书路径中的其他证书。
从 XClarity Administrator 菜单栏中,单击以显示“安全性”页面。
在“证书管理”部分下单击可信证书。
单击创建图标(
)以显示“添加证书”对话框。请浏览步骤 1 中收集的证书文件,或将该证书文件的内容复制/粘贴到文本框中。
单击创建。
- WinRM 侦听器在目标 Windows 系统上运行后,XClarity Administrator 可连接到这些系统,然后执行设备驱动程序更新。
对于 HTTP
通过在管理命令提示符中运行以下命令以配置 HTTP 连接上的远程管理命令和数据,然后确认建议的配置更改。
winrm quickconfig配置认证设置,具体方法取决于是使用域帐户还是 Windows 本地用户帐户访问目标 Windows 服务器。
域帐户
如果要使用在网络域中创建和管理的域帐户,则必须在 WinRM 中启用 Kerberos 认证。WinRM 中默认会启用该认证。如果该认证当前已禁用,则可以通过从管理命令提示符运行以下命令来启用它:winrm set winrm/config/service/Auth @{Kerberos="true"}此外,还需要完成以下步骤将域帐户添加到 XClarity Administrator- 从 XClarity Administrator 菜单栏中,单击。随后将显示“Windows 驱动程序更新:应用”页面。
- 单击。随后将显示“管理域帐户”对话框。
- 单击创建图标(),向域帐户添加域。随后将显示“创建域”对话框。
- 指定域名称以及一个或多个密钥分发中心主机名。使用添加图标()可以添加其他主机名,而使用删除图标()则可以删除主机名。
- 在表上方的应用此域作为默认选择字段中选择默认要使用的域。
- 单击保存以保存配置。
重要配置域帐户之前,受管的 Windows 服务器必须已位于域网络中。
在 XClarity Administrator 中添加域帐户的存储的凭证时,请使用格式 USER@DOMAIN。不支持 DOMAIN/USER 格式。
Windows 本地用户帐户
如果要使用在目标 Windows 服务器上创建的用户帐户,则必须启用基本认证。WinRM 中默认会禁用该认证。如果该认证当前已禁用,则可以通过从管理命令提示符运行以下命令来启用它:winrm set winrm/config/service/Auth @{Basic="true"}
重要WinRM 命令使用协商认证来配置 WinRM 子系统。请勿 禁用协商认证。通过从管理命令提示符运行以下命令为此系统上的更新命令分配足够内存。
winrm set winrm/config/winrs @{MaxMemoryPerShellMB="1024"}通过从管理命令提示符运行以下命令允许非加密数据。
winrm set winrm/config/service @{AllowUnencrypted="true"}在防火墙中打开为 WinRM HTTP 侦听器配置的端口。默认 HTTPS 端口是 5985。例如:
netsh advfirewall firewall add rule name="Windows Remote Management (HTTP-In)" dir=in action=allow
protocol=TCP localport=5985
WinRM 侦听器在目标 Windows 系统上运行后,XClarity Administrator 可连接到这些系统,然后执行设备驱动程序更新。