CAU 플러그인의 작동 방식

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

클러스터 인식 업데이트(CAU)는 플러그인을 사용하여 장애 조치(failover) 클러스터의 노드 간에 업데이트 설치를 조정합니다.. 이 항목에서는 기본 제공 CAU 플러그 인 또는 CAU용으로 설치하는 다른 플러그 인을 사용하는 방법에 대한 정보를 제공합니다.

플러그 인 설치

CAU와 함께 설치되는 기본 플러그 인(Microsoft.WindowsUpdatePlugin 및 Microsoft.HotfixPlugin) 이외의 플러그 인을 별도로 설치해야 합니다. CAU를 자동 업데이트 모드로 사용하는 경우에는 모든 클러스터 노드에 플러그 인을 설치해야 합니다. CAU를 원격 업데이트 모드로 사용하는 경우에는 원격 업데이트 코디네이터 컴퓨터에 플러그 인을 설치해야 합니다. 설치하는 플러그 인에는 각 노드에 대한 추가 설치 요구 사항이 있을 수 있습니다.

플러그 인을 설치하려면 플러그 인 게시자의 지시를 따릅니다. 플러그 인을 CAU에 수동으로 등록하려면 플러그 인이 설치된 각 컴퓨터에서 Register-cauplugin cmdlet을 실행합니다.

플러그 인 및 플러그 인 인수 지정

CAU 플러그 인 지정

CAU UI에서는 CAU를 사용하여 다음 작업을 수행할 때 사용 가능한 플러그 인의 드롭다운 목록에서 플러그 인을 선택합니다.

• 클러스터에 업데이트 적용

• 클러스터의 업데이트 미리 보기

• 클러스터 자동 업데이트 옵션 구성

기본적으로 CAU는 플러그 인 Microsoft.WindowsUpdatePlugin을 선택합니다. 그러나 설치되고 CAU에 등록된 플러그 인을 지정할 수 있습니다.

팁

CAU UI에서는 업데이트 실행 중에 업데이트를 미리 보거나 적용하기 위해 사용할 CAU의 단일 플러그 인만 지정할 수 있습니다. CAU PowerShell cmdlet을 사용하면 하나 이상의 플러그인을 지정할 수 있습니다. 클러스터에 여러 유형의 업데이트를 설치해야 하는 경우, 각 플러그인마다 별도의 업데이트 실행을 사용하는 것보다 한 번의 업데이트 실행에서 여러 플러그인을 지정하는 것이 일반적으로 더 효율적입니다. 예를 들어 대개 노드가 다시 시작되는 횟수가 줄어듭니다.

다음 표에 나열된 CAU PowerShell cmdlets을 사용하여 –CauPluginName 매개 변수를 전달하면 업데이트 실행 또는 검사 시 하나 이상의 플러그인을 지정할 수 있습니다. 쉼표로 구분하여 여러 플러그 인 이름을 지정할 수 있습니다. 여러 플러그 인을 지정하는 경우 -RunPluginsSerially, -StopOnPluginFailure및 –SeparateReboots 매개 변수를 지정하여 업데이트 실행 중에 플러그 인이 서로에게 미치는 영향을 제어할 수도 있습니다. 여러 플러그 인을 사용하는 방법에 대한 자세한 내용을 보려면 다음 표에 나와 있는 cmdlet 설명서의 링크를 사용하세요.

cmdlet	설명
Add-CauClusterRole	지정된 클러스터에 자동 업데이트 기능을 제공하는 CAU 클러스터된 역할을 추가합니다.
Invoke-CauRun	적용 가능한 업데이트에 대해 클러스터 노드 검사를 수행하고, 지정된 클러스터에서 업데이트 실행을 통해 해당 업데이트를 설치합니다.
Invoke-CauScan	적용 가능한 업데이트에 대해 클러스터 노드 검사를 수행하고, 지정된 클러스터의 각 노드에 적용되는 초기 업데이트 집합의 목록을 반환합니다.
Set-CauClusterRole	지정된 클러스터에서 CAU 클러스터된 역할의 구성 속성을 설정합니다.

이러한 cmdlet을 사용하여 CAU 플러그 인 매개 변수를 지정하지 않을 경우 기본값은 Microsoft.WindowsUpdatePlugin플러그 인입니다.

CAU 플러그 인 인수 지정

업데이트 실행 옵션을 구성할 때 사용하려고 선택한 플러그 인에 대한 name=value 쌍(인수)을 하나 이상 지정할 수 있습니다. 예를 들어 CAU UI에서 다음과 같은 여러 인수를 지정할 수 있습니다.

Name1=Value1;Name2=Value2;Name3=Value3

이러한 name=value 쌍은 지정한 플러그 인에 의미가 있어야 합니다. 일부 플러그 인 인수는 선택 사항입니다.

CAU 플러그 인 인수의 구문은 다음과 같은 일반 규칙을 따릅니다.

• 여러 name=value 쌍은 세미콜론으로 구분됩니다.

• 공백이 포함된 값은 따옴표로 묶습니다(예: Name1="Value with Spaces").

• value 의 정확한 구문은 플러그 인에 따라 다릅니다.

CAU PowerShell cmdlets에서 –CauPluginParameters 매개 변수를 지원하는 경우, 다음 형식의 매개 변수를 전달하여 플러그인 인수를 지정할 수 있습니다:

-CauPluginArguments @{Name1=Value1;Name2=Value2;Name3=Value3}

또한, 미리 정의된 PowerShell 해시 테이블을 사용할 수 있습니다. 둘 이상의 플러그 인에 대한 플러그 인 인수를 지정하려면 인수의 여러 해시 테이블을 쉼표로 구분하여 전달합니다. CauPluginName에 지정된 순서대로 플러그 인에서 플러그 인 인수를 전달해야 합니다.

선택적 플러그 인 인수 지정

CAU에서 설치하는 플러그 인(Microsoft.WindowsUpdatePlugin 및 Microsoft.HotfixPlugin)은 선택할 수 있는 추가 옵션을 제공합니다. CAU UI에서는 플러그 인에 대한 업데이트 실행 옵션을 구성한 후 추가 옵션 페이지에 이러한 옵션이 표시됩니다. CAU PowerShell cmdlet을 사용하는 경우, 이러한 옵션은 선택적 플러그인 인수로 구성됩니다. 자세한 내용은 이 항목의 뒷부분에 있는 Microsoft.WindowsUpdatePlugin 사용 및 Microsoft.HotfixPlugin 사용 을 참조하세요.

Windows PowerShell cmdlet을 사용하여 플러그 인 관리

cmdlet	설명
Get-CauPlugin	로컬 컴퓨터에 등록된 하나 이상의 소프트웨어 업데이트 플러그 인에 대한 정보를 검색합니다.
Register-cauplugin	CAU 소프트웨어 업데이트 플러그 인을 로컬 컴퓨터에 등록합니다.
Unregister-CauPlugin	CAU에서 사용할 수 있는 플러그 인 목록에서 소프트웨어 업데이트 플러그 인을 제거합니다. 비고: CAU(Microsoft.WindowsUpdatePlugin 및 Microsoft.HotfixPlugin)와 함께 설치된 플러그인은 등록을 취소할 수 없습니다.

Microsoft.WindowsUpdatePlugin 사용 방법

CAU의 기본 플러그인인 Microsoft.WindowsUpdatePlugin은 다음 작업을 수행합니다.

• 각 장애 조치 클러스터 노드에서 실행 중인 Microsoft 제품에 필요한 업데이트를 적용하기 위해 각 노드에서 Windows 업데이트 에이전트와 통신합니다.
• Windows 업데이트 또는 Microsoft 업데이트, 또는 온프레미스 WSUS(Windows Server Update Services) 서버에서 직접 클러스터 업데이트를 설치합니다.
• 선택한 일반 배포 릴리스(GDR) 업데이트만 설치합니다. 기본적으로 플러그 인은 중요한 소프트웨어 업데이트만 적용합니다. 구성이 필요하지 않습니다. 기본 구성에서 중요한 GDR 업데이트를 다운로드하여 각 노드에 설치합니다.

참고 항목

기본적으로 선택한 중요한 소프트웨어 업데이트(예: 드라이버 업데이트)가 아닌 다른 업데이트를 적용하려면 선택적 플러그인 매개 변수를 구성할 수 있습니다. 자세한 내용은 Windows 업데이트 에이전트 쿼리 문자열 구성를 참조하세요.

요구 사항

• 장애 조치 클러스터 및 원격 업데이트 코디네이터 컴퓨터(사용하는 경우)는 CAU 요구 사항 및 모범 사례에 나열된 CAU 요구 사항 및 원격 관리에 필요한 구성을 충족해야 합니다.
• Microsoft 업데이트를 적용하기 위한 권장 사항을 검토한 후, 장애 조치 클러스터 노드에 대하여 Microsoft 업데이트 구성에 필요한 변경 사항을 적용합니다.
• 최상의 결과를 위해 CAU 모범 사례 분석기(BPA)를 실행하여 클러스터 및 업데이트 환경이 CAU를 사용하여 업데이트를 적용하도록 올바르게 구성되었는지 확인하는 것이 좋습니다. 자세한 내용은 Test CAU updating readiness를 참조하세요.

참고 항목

Microsoft 사용 조건에 대한 동의가 필요하거나 사용자의 개입이 필요한 업데이트는 제외되며, 이는 수동으로 설치해야 합니다.

추가 옵션

필요한 경우, 다음 플러그인 인수 중 하나를 지정하여 플러그인에서 적용하는 일련의 업데이트를 확장하거나 제한할 수 있습니다.

• 각 노드에서 중요한 업데이트 외에도 권장 업데이트를 적용하도록 플러그인을 구성하려면, CAU UI에서 추가 옵션 페이지로 이동하여 중요 업데이트를 받는 방식으로 권장 업데이트도 받습니다 확인란을 선택합니다.
  또는 'IncludeRecommendedUpdates'='True' 플러그 인 인수를 구성합니다.
• 플러그인을 구성하여 각 클러스터 노드에 적용되는 GDR 업데이트 유형을 필터링하려면 QueryString 플러그인 인수를 사용하여 Windows 업데이트 에이전트 쿼리 문자열을 지정합니다. 자세한 내용은 Windows 업데이트 에이전트 쿼리 문자열 구성를 참조하세요.

Windows 업데이트 에이전트 쿼리 문자열 구성

WUA(Windows 업데이트 에이전트) 쿼리 문자열을 구성하는 기본 플러그 인( Microsoft.WindowsUpdatePlugin)에 대한 플러그 인 인수를 구성할 수 있습니다. 이 명령은 WUA API를 사용하여 특정 선택 조건에 따라 각 노드에 적용할 하나 이상의 Microsoft 업데이트 그룹을 식별합니다. 논리 AND 또는 논리 OR을 사용하여 여러 조건을 조합할 수 있습니다. WUA 쿼리 문자열은 플러그 인 인수에 다음과 같이 지정됩니다.

QueryString="Criterion1=Value1 and/or Criterion2=Value2 and/or…"

예를 들어 Microsoft.WindowsUpdatePlugin 은 IsInstalled , Type, IsHidden및 IsAssigned조건을 사용하여 생성된 기본 QueryString 인수를 통해 중요 업데이트를 자동으로 선택합니다.

QueryString="IsInstalled=0 and Type='Software' and IsHidden=0 and IsAssigned=1"

QueryString 인수를 지정하면 플러그 인에 대해 구성된 기본 QueryString 대신 이 인수가 사용됩니다.

예 1

ID f6ce46c1-971c-43f9-a2aa-783df125f003 으로 식별되는 특정 업데이트를 설치하는 QueryString인수를 구성하려면:

QueryString="UpdateID='f6ce46c1-971c-43f9-a2aa-783df125f003' and IsInstalled=0"

참고 항목

위 예제는 클러스터 인식 업데이트 마법사를 사용하여 업데이틀 적용하는 데 유효합니다. CAU UI에서 자동 업데이트 옵션을 구성하거나 Add-CauClusterRole 또는 Set-CauClusterRolePowerShell cmdlet을 사용하여 특정 업데이트를 설치하려면 UpdateID 값을 두 개의 작은 따옴표 문자로 형식화해야 합니다.

QueryString="UpdateID=''f6ce46c1-971c-43f9-a2aa-783df125f003'' and IsInstalled=0"

예제 2

드라이버만 설치하는 QueryString 인수를 구성하려면:

QueryString="IsInstalled=0 and Type='Driver' and IsHidden=0"

기본 플러그인 Microsoft.WindowsUpdatePlugin의 쿼리 문자열, 검색 기준(예: IsInstalled) 및 쿼리 문자열에 포함할 수 있는 구문에 대한 자세한 내용은 Windows 업데이트 에이전트(WUA) API 참조의 검색 기준 섹션을 참조하세요.

Microsoft.HotfixPlugin 사용

Microsoft.HotfixPlugin 플러그 인은 특정 Microsoft 소프트웨어 문제를 해결하기 위해 독립적으로 다운로드하는 Microsoft LDR(Limited Distribution Release) 업데이트(핫픽스라고도 하며, 이전의 QFE)를 적용하는 데 사용할 수 있습니다. 플러그인은 SMB 파일 공유의 루트 폴더에서 업데이트를 설치하며, Microsoft가 아닌 드라이버, 펌웨어 및 BIOS 업데이트를 적용하도록 사용자 지정할 수 있습니다.

참고 항목

핫픽스는 때로는 Microsoft의 기술 자료 문서에서 다운로드할 수 있지만 필요에 따라 고객에게도 제공됩니다.

요구 사항

• 장애 조치 클러스터 및 원격 업데이트 코디네이터 컴퓨터(사용하는 경우)는 CAU 요구 사항 및 모범 사례에 나열된 CAU 요구 사항 및 원격 관리에 필요한 구성을 충족해야 합니다.

• Microsoft.HotfixPlugin 사용에 대한 권장 사항 검토.

• 최상의 결과를 위해 CAU 모범 사례 분석기(BPA) 모델을 실행하여 클러스터 및 업데이트 환경이 CAU를 사용하여 업데이트를 적용하도록 올바르게 구성되었는지 확인하는 것이 좋습니다. 자세한 내용은 Test CAU updating readiness를 참조하세요.

• 업데이트를 게시자로부터 받아, SMB 2.0 이상을 지원하는 파일 공유 폴더(핫픽스 루트 폴더)에 복사하거나 압축을 풀어 넣으세요. 이 폴더는 클러스터의 모든 노드 및 원격 업데이트 코디네이터 컴퓨터(CAU가 원격 업데이트 모드에서 사용되는 경우)에서 접근할 수 있어야 합니다.. 자세한 내용은 이 항목의 뒷부분에 있는 핫픽스 루트 폴더 구조 구성 을 참조하세요.

  참고 항목

  기본적으로 이 플러그인은 .msu, .msi 및 .msp 파일 이름 확장자를 가진 핫픽스만 설치합니다.

• CAU 도구가 설치된 컴퓨터의 %systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating 폴더에 있는 DefaultHotfixConfig.xml 파일을, 핫픽스를 추출한 핫픽스 루트 폴더로 복사하세요. 예를 들어, 구성 파일을 \\MyFileServer\Hotfixes\Root\에 복사합니다.

  참고 항목

  Microsoft 및 기타 업데이트에서 제공하는 대부분의 핫픽스를 설치하려면 기본 핫픽스 구성 파일을 수정하지 않고 사용하면 됩니다. 시나리오에 필요한 경우 고급 작업으로 구성 파일을 사용자 지정할 수 있습니다. 예를 들어 특정 확장명이 있는 핫픽스 파일을 처리하거나 특정 종료 조건에 대한 동작을 정의하려면 이 구성 파일을 사용자 지정 규칙에 포함할 수 있습니다. 자세한 내용은 이 항목의 뒷부분에 있는 핫픽스 구성 파일 사용자 지정 을 참조하세요.

구성

다음 설정을 구성합니다. 자세한 내용은 이 항목의 뒷부분에 있는 섹션의 링크를 참조하세요.

• 적용할 업데이트 및 핫픽스 구성 파일이 포함된 공유 핫픽스 루트 폴더의 경로. CAU UI에 이 경로를 입력하거나 HotfixRootFolderPath=<Path> PowerShell 플러그인 인수를 구성할 수 있습니다.

  참고 항목

  핫픽스 루트 폴더를 로컬 폴더 경로 또는 \\ServerName\Share\RootFolderName 형식의 UNC 경로로 지정할 수 있습니다. 도메인 기반 또는 독립 실행형 DFS 네임스페이스 경로를 사용할 수 있습니다. 그러나 핫픽스 구성 파일에서 액세스 권한을 확인하는 플러그 인 기능은 DFS 네임스페이스 경로와 호환되지 않으므로 이를 구성한 경우 CAU UI를 사용하거나 DisableAclChecks='True' 플러그 인 인수를 구성하여 액세스 권한 확인을 사용하지 않도록 설정해야 합니다.

• 핫픽스 루트 폴더를 호스팅하는 서버의 설정에서 해당 폴더에 대한 적절한 액세스 권한을 확인하고, SMB 공유 폴더(SMB 서명 또는 SMB 암호화)에서 액세스한 데이터의 무결성을 확인합니다. 자세한 내용은 핫픽스 루트 폴더에 대한 액세스 제한를 참조하세요.

추가 옵션

• 필요한 경우 핫픽스 파일 공유에서 데이터에 액세스할 때 SMB 암호화가 적용되도록 플러그 인을 구성합니다. CAU UI의 추가 옵션 페이지에서 핫픽스 루트 폴더에 액세스 할 때 SMB 암호화 필요 옵션을 선택하거나, RequireSMBEncryption='True' PowerShell 플러그인 인수를 구성합니다.

  Important

  SMB 서명 또는 SMB 암호화를 통해 SMB 데이터 무결성을 보장하려면 SMB 서버에서 추가 구성 단계를 수행해야 합니다. 자세한 내용은 핫픽스 루트 폴더에 대한 액세스 제한의 4단계를 참조하세요. SMB 암호화 사용을 적용하는 옵션을 선택했는데 핫픽스 루트 폴더가 SMB 암호화를 사용해 액세스하도록 구성되어 있지 않으면 업데이트 실행이 실패하게 됩니다.

• 필요한 경우 핫픽스 루트 폴더 및 핫픽스 구성 파일에 대한 기본 권한 확인을 사용하지 않도록 설정합니다. CAU UI에서 핫픽스 루트 폴더 및 구성 파일에 대한 관리자 권한 확인 안 함을 선택하거나 DisableAclChecks='True' 플러그 인 인수를 구성합니다.
• 필요에 따라 HotfixInstallerTimeoutMinutes=<Integer> 인수를 구성하여 핫픽스 플러그인이 핫픽스 설치 프로세스의 응답을 기다리는 시간을 지정할 수 있습니다. (기본값은 30분입니다.) 예를 들어, 2시간의 제한 시간을 지정하려면 HotfixInstallerTimeoutMinutes=120을 설정합니다.
• 필요에 따라 HotfixConfigFileName = <name> 플러그인 인수를 구성하여 핫픽스 루트 폴더에 있는 핫픽스 구성 파일의 이름을 지정할 수 있습니다. 이름을 지정하지 않으면 기본 이름인 DefaultHotfixConfig.xml이 사용됩니다.

핫픽스 루트 폴더 구조 구성

핫픽스 플러그 인이 작동하려면 핫픽스가 SMB 파일 공유(핫픽스 루트 폴더)에 잘 정의된 구조로 저장되어야 하며, CAU UI 또는 CAU PowerShell cmdlet을 사용하여 핫픽스 루트 폴더의 경로로 핫픽스 플러그인을 구성해야 합니다. 이 경로는 HotfixRootFolderPath 인수로 플러그 인에 전달됩니다. 다음 예제에 표시된 대로 업데이트 필요에 따라 핫픽스 루트 폴더에 대한 몇 가지 구조 중 하나를 선택할 수 있습니다. 구조를 준수하지 않는 파일이나 폴더는 무시됩니다.

예제 1 - 모든 클러스터 노드에 핫픽스를 적용하는 데 사용되는 폴더 구조

핫픽스가 모든 클러스터 노드에 적용되도록 지정하려면 핫픽스 루트 폴더 아래의 CAUHotfix_All 폴더에 핫픽스를 복사합니다. 이 예제에서 HotfixRootFolderPath 플러그인 인수는 \\MyFileServer\Hotfixes\Root\로 설정됩니다. CAUHotfix_All 폴더에는 확장명이 .msu, .msi 및 .msp이고 모든 클러스터 노드에 적용되는 업데이트 세 개가 포함되어 있습니다. 업데이트 파일 이름은 설명을 위한 용도로만 제공됩니다.

참고 항목

이 예제와 다음 예제에서 기본 이름이 DefaultHotfixConfig.xml인 핫픽스 구성 파일은 핫픽스 루트 폴더의 필요한 위치에 표시됩니다.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

예제 2 - 특정 업데이트를 특정 노드에만 적용하는 데 사용되는 폴더 구조

특정 노드에만 적용되는 핫픽스를 지정하려면 노드 이름에 핫픽스 루트 폴더 아래의 하위 폴더를 사용합니다. 예를 들어 클러스터 노드의 NetBIOS 이름인 ContosoNode1을 사용합니다. 그런 다음 이 노드에만 적용되는 업데이트를 이 하위 폴더로 이동합니다. 다음의 예제에서 HotfixRootFolderPath 플러그인 인수는 \\MyFileServer\Hotfixes\Root\로 설정됩니다. CAUHotfix_All 폴더의 업데이트는 모든 클러스터 노드에 적용되고, Node1_Specific_Update.msu 는 ContosoNode1에만 적용됩니다.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...
   ContosoNode1\
      Node1_Specific_Update.msu
      ...

예제 3 - msu, .msi 및.msp 파일 이외의 업데이트를 적용하는 데 사용되는 폴더 구조

기본적으로 Microsoft.HotfixPlugin 은 확장명이 .msu, .msi 또는 .msp인 업데이트만 적용합니다. 그러나 특정 업데이트는 확장명이 다르며, 다른 설치 명령이 필요할 수 있습니다. 예를 들어 확장명이 .exe인 펌웨어 업데이트를 클러스터의 노드에 적용해야 할 수 있습니다. 기본이 아닌 특정 업데이트 유형을 설치해야 함을 나타내는 하위 폴더로 핫픽스 루트 폴더를 구성할 수 있습니다. 또한 핫픽스 구성 XML 파일의 <FolderRules> 요소에 설치 명령을 지정하는 해당 폴더 설치 규칙을 구성해야 합니다.

다음의 예제에서 HotfixRootFolderPath 플러그인 인수는 \\MyFileServer\Hotfixes\Root\로 설정됩니다. 여러 업데이트가 모든 클러스터 노드에 적용되며, 펌웨어 업데이트 SpecialHotfix1.exe 는 FolderRule1 을 사용하여 ContosoNode1에 적용됩니다. 핫픽스 구성 파일에서 ContosoNode1 을 구성하는 방법에 대한 자세한 내용은 이 항목의 뒷부분에 있는 핫픽스 구성 파일 사용자 지정 을 참조하세요.

\\MyFileServer\Hotfixes\Root\
   DefaultHotfixConfig.xml
   CAUHotfix_All\
      Update1.msu
      Update2.msi
      Update3.msp
      ...

   ContosoNode1\
      FolderRule1\
          SpecialHotfix1.exe
      ...

핫픽스 구성 파일 사용자 지정

핫픽스 구성 파일은 Microsoft.HotfixPlugin 이 장애 조치(failover) 클러스터에 특정 핫픽스 파일 형식을 설치하는 방식을 제어합니다. 구성 파일의 XML 스키마는 HotfixConfigSchema.xsd에 정의되며, 이 파일은 CAU 도구가 설치되어 있는 컴퓨터의 다음 폴더에 있습니다.

%systemroot%\System32\WindowsPowerShell\v1.0\Modules\ClusterAwareUpdating 폴더

핫픽스 구성 파일을 사용자 지정하려면 이 위치에서 핫픽스 루트 폴더로 예제 구성 파일 DefaultHotfixConfig.xml을 복사한 다음 시나리오에 맞게 적절히 수정합니다.

Important

Microsoft 및 기타 업데이트에서 제공하는 대부분의 핫픽스를 적용하려면 기본 핫픽스 구성 파일을 수정하지 않고 사용하면 됩니다. 핫픽스 구성 파일의 사용자 지정은 고급 사용 시나리오에서만 사용되는 작업입니다.

기본적으로 핫픽스 구성 XML 파일은 다음 두 가지 범주의 핫픽스에 대한 설치 규칙 및 종료 조건을 정의합니다.

• 플러그 인에서 기본적으로 설치할 수 있는 확장명이 있는 핫픽스 파일(.msu, .msi 및 .msp 파일)

  <ExtensionRules> 요소의 <DefaultRules> 요소로 정의되며, 지원되는 기본 파일 형식마다 하나의 <Extension> 요소가 있습니다. 일반적인 XML 구조는 다음과 같습니다.

  <DefaultRules>
      <ExtensionRules>
        <Extension name="MSI">
          <!-- Template and ExitConditions elements for installation of .msi files follow -->
           ...
        </Extension>
        <Extension name="MSU">
          <!-- Template and ExitConditions elements for installation of .msu files follow -->
           ...
        </Extension>
        <Extension name="MSP">
          <!-- Template and ExitConditions elements for installation of .msp files follow -->
           ...
        </Extension>
           ...
     </ExtensionRules>
  </DefaultRules>
  

  사용자 환경의 모든 클러스터 노드에 특정 업데이트 유형을 적용해야 하는 경우 추가 <Extension> 요소를 정의할 수 있습니다.

• .msi, .msu 또는 .msp 파일이 아닌 핫픽스 또는 기타 업데이트 파일(예: 타사 드라이버, 펌웨어 및 BIOS 업데이트)

  기본이 아닌 각 파일 형식은 <Folder> 요소의 <FolderRules> 요소로 구성됩니다. <Folder> 요소의 이름 특성은 핫픽스 루트 폴더에서 해당 유형의 업데이트가 포함되는 폴더의 이름과 동일해야 합니다. 이 폴더는 CAUHotfix_All 폴더 또는 노드별 폴더에 있습니다. 예를 들어 FolderRule1 이 핫픽스 루트 폴더에 구성된 경우 XML 파일에서 해당 폴더의 업데이트에 대한 설치 템플릿 및 종료 조건을 정의하는 다음 요소를 구성합니다.

  <FolderRules>
        <Folder name="FolderRule1">
          <!-- Template and ExitConditions elements for installation of updates in FolderRule1 follow -->
           ...
        </Folder>
        ...
  </FolderRules>
  

다음 표에서는 <Template> 특성 및 가능한 <ExitConditions> 하위 요소에 대해 설명합니다.

<Template> 특성	설명
path	<Extension name> 특성에 정의된 파일 형식에 대한 설치 프로그램의 전체 경로입니다. 핫픽스 루트 폴더 구조 내 업데이트 파일의 경로를 지정하려면 $update$를 사용합니다.
parameters	path에 지정된 프로그램에 대한 필수 및 선택적 매개 변수 문자열입니다. 핫픽스 루트 폴더 구조 내 업데이트 파일의 경로인 매개 변수를 지정하려면 $update$를 사용합니다.

<ExitConditions> 하위 요소	설명
<Success>	지정된 업데이트가 성공했음을 나타내는 하나 이상의 종료 코드를 정의합니다. 이는 필수 하위 요소입니다.
<Success_RebootRequired>	지정된 업데이트가 성공했으며 노드를 다시 시작해야 함을 나타내는 하나 이상의 종료 코드를 선택적으로 정의합니다. 비고: 필요에 따라 <Folder> 요소에는 alwaysReboot 특성이 포함될 수 있습니다. 이 특성을 설정하면 이 규칙에 의해 설치된 핫픽스가 <Success>에 정의된 종료 코드 중 하나를 반환하는 경우 <Success_RebootRequired> 종료 조건으로 해석됩니다.
<Fail_RebootRequired>	지정된 업데이트가 실패했으며 노드를 다시 시작해야 함을 나타내는 하나 이상의 종료 코드를 선택적으로 정의합니다.
<AlreadyInstalled>	지정된 업데이트가 이미 설치되어 있어 적용되지 않았음을 나타내는 하나 이상의 종료 코드를 선택적으로 정의합니다.
<NotApplicable>	지정된 업데이트가 클러스터 노드에 적용되지 않아 적용하지 못했음을 나타내는 하나 이상의 종료 코드를 선택적으로 정의합니다.

Important

<ExitConditions> 에 명시적으로 정의되지 않은 모든 종료 코드는 업데이트 실패로 해석되며, 노드는 다시 시작되지 않습니다.

핫픽스 루트 폴더에 대한 액세스 제한

핫픽스 루트 폴더 파일과 핫픽스 구성 파일을 보호하고, Microsoft.HotfixPlugin의 컨텍스트에서만 액세스할 수 있도록 하려면 SMB 파일 서버와 파일 공유를 구성하는 몇 가지 단계를 수행해야 합니다. 이러한 단계를 수행하면 장애 조치(failover) 클러스터를 손상시킬 수 있는 방식의 핫픽스 파일 변조를 방지하는 데 도움이 되는 몇 가지 기능이 설정됩니다.

일반적인 단계는 다음과 같습니다.

1. 플러그 인을 사용하여 업데이트 실행에 사용되는 사용자 계정 식별

2. SMB 파일 서버의 필요한 그룹에서 이 사용자 계정 구성

3. 핫픽스 루트 폴더 액세스 권한 구성

4. SMB 데이터 무결성에 대한 설정 구성

5. SMB 서버에서 Windows 방화벽 규칙 사용

1단계: 핫픽스 플러그인을 사용하여 업데이트 실행에 사용되는 사용자 계정 식별

Microsoft.HotfixPlugin 을 사용하여 업데이트 실행을 수행하는 동안 CAU에서 보안 설정을 확인하는 데 사용되는 계정은 다음과 같이 CAU가 원격 업데이트 모드로 사용되는지 또는 자동 업데이트 모드로 사용되는지에 따라 다릅니다.

• 원격 업데이트 모드 업데이트를 미리 보고 적용할 수 있는 클러스터의 관리 권한이 있는 계정입니다.

• 자동 업데이트 모드 CAU 클러스터된 역할에 대해 Active Directory에 구성된 가상 컴퓨터 개체의 이름입니다. CAU 클러스터된 역할에 대해 Active Directory에서 사전 준비된 가상 컴퓨터 개체 이름이거나, 클러스터된 역할에 대해 CAU에서 생성되는 이름입니다. CAU에서 생성된 이름을 가져오려면, Get-CauClusterRole CAU PowerShell cmdlet을 실행합니다. 출력에서 ResourceGroupName 이 생성된 가상 컴퓨터 개체 계정의 이름입니다.

2단계: SMB 파일 서버의 필요한 그룹에서 이 사용자 계정 구성

Important

업데이트 실행에 사용되는 계정을 SMB 서버에서 로컬 관리자 계정으로 추가해야 합니다. 조직의 보안 정책 때문에 이 작업이 허용되지 않으면 다음 절차를 사용하여 SMB 서버에서 필요한 사용 권한으로 이 계정을 구성합니다.

SMB 서버에서 사용자 계정을 구성하려면

1. 업데이트 실행에 사용되는 계정을 Distributed COM Users 그룹과 Power User, Server Operation 또는 Print Operator 그룹 중 하나에 추가합니다.

2. 계정에 대해 필요한 WMI 권한을 사용하도록 설정하려면 SMB 서버에서 WMI 관리 콘솔을 시작합니다. PowerShell을 시작하고 다음 명령을 입력합니다.

   wmimgmt.msc
   

3. 콘솔 트리에서 WMI 컨트롤(로컬)을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

4. 보안을 클릭하고 루트를 확장합니다.

5. CIMV2를 클릭한 다음 보안을 클릭합니다.

6. 업데이트 실행에 사용되는 계정을 그룹 또는 사용자 이름 목록에 추가합니다.

7. 업데이트 실행에 사용되는 계정에 메서드 실행 및 원격으로부터 사용 가능 권한을 부여합니다.

3단계: 핫픽스 루트 폴더 액세스 권한 구성

업데이트를 적용하려고 하면 기본적으로 핫픽스 플러그 인에서 핫픽스 루트 폴더에 액세스할 수 있는 NTFS 파일 시스템 권한의 구성을 확인합니다. 폴더 액세스 권한이 제대로 구성되어 있지 않으면 핫픽스 플러그 인을 사용한 업데이트 실행에 실패할 수 있습니다.

핫픽스 플러그 인의 기본 구성을 사용하는 경우 폴더 액세스 권한이 다음 요구 사항을 충족하는지 확인합니다.

• Users 그룹에 읽기 권한이 있어야 합니다.

• 플러그 인에서 확장명이 .exe인 업데이트를 적용하는 경우 Users 그룹에 실행 권한이 있어야 합니다.

• 특정 보안 주체에만 쓰기 또는 수정 권한이 허용됩니다(필수는 아님). 허용되는 주체는 로컬 Administrators 그룹, SYSTEM, CREATOR OWNER 및 TrustedInstaller입니다. 다른 계정 또는 그룹에는 핫픽스 루트 폴더에 대한 쓰기 또는 수정 권한이 허용되지 않습니다.

필요한 경우 플러그 인에서 기본적으로 수행하는 위 확인을 사용하지 않도록 설정할 수 있습니다. 이 작업은 다음 두 가지 방법 중 한 가지로 수행할 수 있습니다.

• CAU PowerShell cmdlets을 사용하는 경우, 핫픽스 플러그인에 대해 CauPluginArguments 매개 변수에서 DisableAclChecks='True' 인수를 구성합니다.

• CAU UI를 사용하는 경우 업데이트 실행 옵션을 구성하는 데 사용되는 마법사의 추가 업데이트 옵션 페이지에서 핫픽스 루트 폴더 및 구성 파일에 대한 관리자 권한 확인 안 함 옵션을 선택합니다.

그러나 대부분의 환경에서는 기본 구성을 사용하여 이러한 확인을 적용하는 것이 좋습니다.

4단계: SMB 데이터 무결성에 대한 설정 구성

클러스터 노드와 SMB 파일 공유 간의 연결에서 데이터 무결성을 확인하려면 SMB 파일 공유에서 SMB 서명 또는 SMB 암호화에 대한 설정을 사용하도록 설정해야 합니다. SMB 암호화는 보안이 강화되고 많은 환경에서 더 나은 성능을 제공하며, Windows Server 2012부터 지원됩니다. 이러한 설정 중 하나 또는 모두를 다음과 같이 설정할 수 있습니다.

• SMB 서명을 사용하려면 Microsoft 기술 자료 문서 887429 의 절차를 참조하세요.

• SMB 공유 폴더에 SMB 암호화를 사용하려면 SMB 서버에서 다음 PowerShell cmdlet을 실행합니다.

  Set-SmbShare <ShareName> -EncryptData $true
  

  여기서 <ShareName>은 SMB 공유 폴더의 이름입니다.

필요에 따라 SMB 서버 연결에서 SMB 암호화 사용을 강제하려면, CAU UI에서 핫픽스 루트 폴더에 접근할 때 SMB 암호화 필요 옵션을 선택하거나, CAU PowerShell cmdlet을 사용하여 RequireSMBEncryption='True' 플러그인 인수를 구성합니다.

Important

SMB 암호화 사용을 적용하는 옵션을 선택했는데 핫픽스 루트 폴더가 SMB 암호화를 사용해 연결하도록 구성되어 있지 않으면 업데이트 실행이 실패하게 됩니다.

5단계: SMB 서버에서 Windows 방화벽 규칙 활성화

SMB 파일 서버의 Windows 방화벽에서 파일 서버 원격 관리(SMB-In) 규칙을 사용하도록 설정해야 합니다. Windows Server 2016, Windows Server 2012 R2 및 Windows Server 2012에서 기본적으로 활성화되어 있습니다.

추가 참조

• Cluster-Aware Updating Overview

• 클러스터 인식 업데이트 Windows PowerShell Cmdlet

• 클러스터 인식 업데이트 플러그 인 참조