配置 Windows Server 進行 OS 裝置驅動程式更新
Lenovo XClarity Administrator 會使用透過 HTTPS 或 HTTP 接聽的 Windows 遠端管理服務 (WinRM),在目標 Windows 系統上執行裝置驅動程式的更新指令。WinRM 服務在目標伺服器上的配置必須正確,才能嘗試更新 OS 裝置驅動程式。
開始之前
需要的埠必須可供使用。如需相關資訊,請參閱 埠可用性。
如需在更新 OS 裝置驅動程式之前配置 Windows Server 的相關資訊,請參閱 XClarity Administrator:準備 OS 裝置驅動程式 更新 (白皮書)。
程序
若要配置 Windows Server 以支援更新 OS 裝置驅動程式,請完成下列步驟。
透過 HTTPS
簽署伺服器憑證並安裝至您每一部目標 Windows 系統上。
重要憑證必須包含下列資訊。確定「主體」已設定網域元件(例如 DC=labs, DC=com, DC=company)。
確定「主體替代名稱」已設定 DNS 名稱和主機 IP 位址(例如 DNS 名稱=node1325C554A6F.labs.company.com 且 IP 位址=10.245.43.149)。
從系統管理命令提示字元執行下列其中一個指令,以透過 HTTPS 連線來配置遠端管理指令和資料,然後確認建議的配置變更。
winrm quickconfig -transport:httpswinrm create winrm/config/Listener?Address=*+Transport=HTTPS
@{Hostname="host_name";CertificateThumbprint="certificate_thumbprint"}
若要依照 WinRM 文件內容手動設定 WinRM HTTPS 接聽程式,請參閱如何為 HTTPS 網頁配置 WinRM。
根據您要使用網域帳戶還是 Windows 本端使用者帳戶存取目標 Windows 伺服器,配置鑑別設定。
網域帳戶
如果要使用在網路網域中建立和管理的網域帳戶,則必須在 WinRM 中啟用 Kerberos 鑑別。它在 WinRM 中預設為已啟用。如果它目前已停用,您可以透過從系統管理命令提示字元執行下列指令來啟用它。winrm set winrm/config/service/Auth @{Kerberos="true"}此外,您需要完成以下步驟將網域帳戶新增至 XClarity Administrator- 在 XClarity Administrator 功能表列上,按一下。畫面上會顯示 Windows 驅動程式更新:套用頁面。
- 按一下。管理網域帳戶對話框隨即顯示。
- 按一下建立圖示 (
) 為網域帳戶新增領域。建立領域對話框隨即顯示。 - 指定領域名稱和一個或多個金鑰發佈中心主機名稱。使用新增圖示 (
) 可新增另一個主機名稱,使用移除圖示 (
) 可移除主機名稱。 - 在表格上方的套用此領域做為預設選項欄位中選取預設要使用的領域。
- 按一下儲存,以儲存配置。
重要在配置網域帳戶之前,受管理 Windows 伺服器必須已在網域網路中。
在 XClarity Administrator 中為網域帳戶新增已儲存認證時,請使用格式 USER@DOMAIN。不支援 DOMAIN/USER 格式。
Windows 本端使用者帳戶
如果要使用在目標 Windows 伺服器上建立的使用者帳戶,必須啟用基本鑑別。它在 WinRM 中預設為已停用。如果它目前已停用,您可以透過從系統管理命令提示字元執行下列指令來啟用它。winrm set winrm/config/service/Auth @{Basic="true"}
重要WinRM 指令使用協商鑑別來配置 WinRM 子系統。請勿停用協商鑑別。為避免可能發生逾時,以及在相符性檢查時傳送 WinRM 要求錯誤並執行驅動程式更新,請從系統管理命令提示字元執行下列指令,以增加 WinRM 回應逾時的預設值。建議值為 280000。如需相關資訊,請參閱 Windows 遠端 管理網頁的安裝和配置。
winrm set winrm/config @{MaxTimeoutms="280000"}開啟您針對 WinRM HTTPS 接聽程式所配置的防火牆中的埠。預設 HTTPS 埠為 5986。例如
netsh advfirewall firewall add rule name="Windows Remote Management (HTTPS-In)" dir=in action=allow
protocol=TCP localport=5986如果您使用 HTTPS 接聽程式,請完成下列步驟,以便將憑證新增至 XClarity Administrator 信任儲存庫。將憑證新增至信任儲存庫可讓 XClarity Administrator 信任所連線的 WinRM HTTPS 接聽程式。請針對 Windows 遠端管理服務需要信任的其他憑證路徑,重複下列步驟。
識別並收集您用於為目標 Windows 系統簽署伺服器憑證的憑證管理中心主要憑證。如果您沒有 CA 主要憑證的存取權,請收集伺服器憑證本身或憑證路徑中的其他憑證。
在 XClarity Administrator 功能表列上,按一下以顯示安全性頁面。
按一下「憑證管理」區段下的受信任憑證。
按一下建立圖示 (
) 以顯示新增憑證對話框。瀏覽您在步驟 1 收集的憑證檔案,或是將憑證檔案的內容複製/貼上至文字框中。
按一下建立。
- WinRM 接聽程式在您的目標 Windows 系統上執行之後,XClarity Administrator 就可以連線至這些系統並執行裝置驅動程式更新。
透過 HTTP
從系統管理命令提示字元執行下列指令,以透過 HTTP 連線來配置遠端管理指令和資料,然後確認建議的配置變更。
winrm quickconfig根據您要使用網域帳戶還是 Windows 本端使用者帳戶存取目標 Windows 伺服器,配置鑑別設定。
網域帳戶
如果要使用在網路網域中建立和管理的網域帳戶,則必須在 WinRM 中啟用 Kerberos 鑑別。它在 WinRM 中預設為已啟用。如果它目前已停用,您可以透過從系統管理命令提示字元執行下列指令來啟用它。winrm set winrm/config/service/Auth @{Kerberos="true"}此外,您需要完成以下步驟將網域帳戶新增至 XClarity Administrator- 在 XClarity Administrator 功能表列上,按一下。畫面上會顯示 Windows 驅動程式更新:套用頁面。
- 按一下。管理網域帳戶對話框隨即顯示。
- 按一下建立圖示 () 為網域帳戶新增領域。建立領域對話框隨即顯示。
- 指定領域名稱和一個或多個金鑰發佈中心主機名稱。使用新增圖示 () 可新增另一個主機名稱,使用移除圖示 () 可移除主機名稱。
- 在表格上方的套用此領域做為預設選項欄位中選取預設要使用的領域。
- 按一下儲存,以儲存配置。
重要在配置網域帳戶之前,受管理 Windows 伺服器必須已在網域網路中。
在 XClarity Administrator 中為網域帳戶新增已儲存認證時,請使用格式 USER@DOMAIN。不支援 DOMAIN/USER 格式。
Windows 本端使用者帳戶
如果要使用在目標 Windows 伺服器上建立的使用者帳戶,必須啟用基本鑑別。它在 WinRM 中預設為已停用。如果它目前已停用,您可以透過從系統管理命令提示字元執行下列指令來啟用它。winrm set winrm/config/service/Auth @{Basic="true"}
重要WinRM 指令使用協商鑑別來配置 WinRM 子系統。請勿停用協商鑑別。從系統管理命令提示字元執行下列指令,在本系統上為更新指令配置足夠的記憶體。
winrm set winrm/config/winrs @{MaxMemoryPerShellMB="1024"}從系統管理命令提示字元執行下列指令,以允許未經加密的資料。
winrm set winrm/config/service @{AllowUnencrypted="true"}開啟您針對 WinRM HTTP 接聽程式所配置的防火牆中的埠。預設 HTTPS 埠為 5985。例如
netsh advfirewall firewall add rule name="Windows Remote Management (HTTP-In)" dir=in action=allow
protocol=TCP localport=5985
WinRM 接聽程式在您的目標 Windows 系統上執行之後,XClarity Administrator 就可以連線至這些系統並執行裝置驅動程式更新。