官方原版Windows7或Windows7 SP1虚拟机无法安装VMware Tools的解决方法

VMware Workstation下的Windows虚拟机无法安装VMware Tools的原因有多种，每个人遇到的情况可能不同。本文针对的是使用微软官方原版Windows7或Windows7 SP1安装程序创建的虚拟机出现的问题。安装VMware Tools时出现如图1、2、3、4、5报错，重新执行安装仍然是一样的结果。

先说解决方法，然后解释问题原因。

解决方法很简单，就是安装KB3033929这个Windows7系统补丁。到这，大家就可以自己去安装补丁解决了。往下是具体如何获取这个补丁、如何传入虚拟机、造成问题的原因和相关知识的延伸，可看可不看，视个人需要而定。

微软发布的Windows更新程序有多种类型，安全更新、质量更新、功能更新等。这里不做区分，统称为补丁了。除了KB3033929，在其之后发布的补丁中也有可以解决这个问题的，比如KB3212646、KB4019264、KB4474419等。感兴趣的可以自行细究实测。这里建议安装KB3033929，因为它是所有补丁中第一个、且只为了解决这个问题的补丁。后续发布的其他补丁多少都包含其他方面的更新，有些累赘。

KB3033929，在网上搜索下载，装好后再去安装VMware Tools就一切正常了。鉴于网上资源鱼龙混杂，为防中招流氓或恶意程序，推荐大家前往微软官方地址下载。网址：www.catalog.update.microsoft.com。这个网站叫Microsoft Update Catalog，是微软官方提供的一个供用户下载微软系软件更新、驱动程序和补丁的网站。包含针对Windows、Windows Server、Visual Studio等的更新。网站主页如图6。当然，这是我发稿时的截图，未来可能会有变化，只要网址对，就不会有问题。大家可以通过网页右上方的搜索框搜索相关资源下载。我做了演示，如图7、8、9、10。

对图9，大家可能会有疑问。为什么会有两个文件，为什么只下载上边的，下边那个是干什么的？一般来说，是只有一个文件的，有时候会有两个，就像图9一样。如果是一个文件直接下载即可，如果是两个文件，则有一个是必需的，另一个可能需要，也可能不需要。文件名中包含你指定的补丁名的那个是必须的，格式不一定，可能是.exe，也可能是.msu。我们现在要下载KB3033929，故文件名中包含KB3033929的是我们必须下载的，即第一个文件。另外的文件具体是干什么用的，我没有找到准确的说法，可能是用于修复该补丁安装时可能产生的问题的。比如某补丁安装时可能造成死机、蓝屏、安装失败等，这时就会附带一个文件，当发生这些问题时用于修复。如果没发生问题，则不必使用。但这只是我的个人推断，没有可靠的依据，如有哪位朋友知晓，可以告知，以解疑惑。

.exe和.msu格式都可直接双击运行。文件名后边一长串的字符是此文件的哈希值，这里用的是SHA1算法。简单说一下哈希值，哈希值是通过对文件执行哈希算法而得出的一串字符。这串字符对每个文件来说具有唯一性，因此常用来校验文件的完整性、防篡改等。例如微软发布了KB3033929这个补丁程序，我们需要通过网络下载到本地，而网络传输过程中是有可能发生数据丢失的。轻微的数据丢失很难发现，那我们如何判断自己拿到的文件是不是原文件呢？这时候就可以对你的文件执行哈希算法，生成哈希值，然后和微软原版的哈希值比较。一致则没问题，不一致则发生了数据丢失，需要重新下载。同理，如果有人对文件做了手脚，你也可以通过哈希值轻易发现，免于麻烦，这就是防篡改。

补丁下载好后，如何放入虚拟机是个问题。因为没有安装VMware Tools，物理机和虚拟机间不可直接复制粘贴，也不可设置共享文件夹。我推荐三种方法，一是利用Windows系统自带的共享功能；二是使用U盘；三是利用局域网传输软件、网盘软件、带文件传输功能的通讯软件等。先说第一种，利用Windows系统自带的共享功能。注意，共享对象只能是文件夹，不能是文件。需要将要共享的文件放入一个文件夹，然后共享这个文件夹。操作如图11、12、13、14、15。

共享文件夹设置好后，与当前物理机处于同一局域网下的其他电脑均可访问。虚拟机需将网卡设置为NAT或仅主机模式。桥接模式也可以，但考虑到大家每个人物理机的网络状态不同，桥接模式的使用可能会遇到问题，故不推荐，桥接模式不做演示。这里以NAT模式为例，设置方法如图16、17、18。VMware Workstation虚拟机的网卡默认使用NAT模式，所以如果你没手动改过，此步可省略。

网卡模式设置好后，需要知道此虚拟机所用虚拟网卡名，以便到物理机中查看对应的局域网IP。查看方法如图19、20、21。

从图21中可以看到，NAT模式所用虚拟网卡名为VMnet8。接下来根据这个虚拟网卡名，来查看物理机对应的局域网IP。步骤如图22、23、24。

由图24可知，物理机的局域网IP为192.168.46.1。接下来便可在虚拟机中根据这一IP地址，获取物理机共享的文件。操作步骤如图25、26、27。

注意一下，如图25，除了在文件资源资源管理器的路径框输入\\ \ + 物理机IP，也可以输入\\ \ + 共享文件夹的网络路径。共享文件夹的网络路径如图15。输入网络路径则可免去查询IP地址这么多麻烦，但我实测发现，使用网络路径的加载时间普遍长于使用IP地址。前者按下Enter键后可能需要半分钟到一分钟的时间才弹出身份验证窗口，而后者一般几秒内就会弹出。故推荐大家使用输入IP地址的方式。但这只是我个人的使用体验，可能具有偶然性或受限于我的设备，大家知道一下就可以。

如图26，系统用户名不区分大小写。如物理机系统用户名为Fly，则这里输入fly、FLY、Fly都可以。物理机系统用户若未设密码，则虚拟机访问共享文件夹会失败。解决方法如图28、29、30、31。

如图27，顺利获取到了物理机共享的文件夹。进入文件夹，将其中的补丁文件复制到虚拟机内，运行，如图32、33、34。注意，必须将文件复制到虚拟机内再运行，直接在共享文件夹内运行无效。

补丁装好后，尝试安装VMware Tools。如图35、36、37、38、39、40、41。可见，已经可以正常安装，一切正常了。

这是第一种方法，利用Windows系统自带的文件夹共享功能，将补丁文件传入虚拟机。第二种方法是利用U盘。U盘可以是USB1.1、2.0、3.0、3.1等任意类型。如U盘为USB2.0或以下类型，则插入物理机的任一USB口皆可，不论这个USB口是什么类型。如U盘为USB3.0或以上类型，则必须插入物理机的USB2.0或以下接口。如不满足上述要求，虚拟机将无法识别U盘。因为微软原版Windows7或Windows7 SP1只内置了USB2.0驱动，只能识别USB2.0及以下类型的U盘，USB3.0及以上类型无法识别。操作方法比较简单，先将U盘插入物理机，复制补丁文件到U盘，再将U盘连接到虚拟机，复制补丁文件到虚拟机。将U盘连接到虚拟机方法如图42、43。

第三种方法是利用局域网传输软件、网盘软件、带文件传输功能的通讯软件等。比如在物理机和虚拟机上都安装飞秋这类的局域网传输软件，就可以互传文件了。或者在虚拟机上安装个百度网盘，从网盘下载。或者物理机和虚拟机都安装QQ、微信等。

正常来说，Windows系统打补丁很简单，不需要上面那些麻烦，只需在系统更新中更新一下即可。但由于微软已于2020年1月14日开始，停止了对Windows7系统的支持，这种方法已经用不了了。所以这是一个失效的方法。

除了安装补丁的方法，也可以通过更换VMware Tools版本来解决这个问题。VMware Tools从11.1.0这个版本开始放弃使用SHA1算法进行数字签名的签发，改为SHA2，故11.1.0以下版本皆可在未打补丁的Windows7或Windows7 SP1虚拟机上正常安装。11.1.0及以上版本则必须打了补丁才能安装。所以说，这是一个不完美的解决办法，未打补丁的Windows7或Windows7 SP1虚拟机只能使用旧版VMware Tools。随着版本更新，旧版本落后的功能会越来越多。

关于如何解决”官方原版Windows7或Windows7 SP1虚拟机无法安装VMware Tools“的问题，上述内容已经阐述完毕。下面解释一下此问题的原因。

原因在于原版Windows7或Windows7 SP1系统只支持SHA1（SHA128）算法对驱动程序进行签名验证，2019年12月3日，微软宣布废弃SHA1，改为仅用SHA2（SHA256）算法进行数字签名的签发。故之后各大厂商的各种新版驱动程序均使用的是SHA2算法进行数字签名的签发。数字签名包括签发和验证两个过程，必须采用相同的哈希算法才能正常验证，不同则必然验证失败，验证失败就会有图1这样的提示。KB3033929的更新内容就是增加Windows7对SHA2算法的支持，如图44。关于数字签名，三言两语难以说明，本文所涉只需理解到以下程度即可。

1. Windows对驱动程序进行数字签名，是为了验证驱动程序的来源合法性和完整性。保证用户使用的驱动程序来自官方开发者，是安全可靠的，程序完整，未被篡改。

2. 数字签名需要用到哈希函数，用于生成目标文件的哈希值。哈希函数包括多种算法，MD5、SHA128、SHA256、SHA512等。同一算法，不同文件的哈希值基本可以说不可能相同，即具有唯一性。不同算法，同一文件的哈希值绝不可能相同，因为单从生成的哈希值位数上来说就不同。MD5生成值128位、SHA128是160位、SHA256是256位、SHA512是512位。

3. 驱动程序必须通过微软官方的WHQL认证，才能在Windows系统上正常安装，否则将会报类似图1的警告，无法安装。当然，也可以通过关闭Windows系统的强制驱动程序签名，来安装未经WHQL认证的驱动程序。但这样做会降低系统安全性，对一个希望长久发展的企业来说也不可能要求用户以这样一种方式安装自家产品。所以目前来说，各大厂商基于Windows系统的驱动程序一定是经过了WHQL认证的。

4. 官方原版Windows7或Windows7 SP1系统仅支持验证SHA1算法签发的数字签名。安装了KB3033929等补丁后，既可以验证SHA1算法签发的数字签名，又可以验证SHA2算法的。微软2019年12月3日宣布废弃SHA1，改为仅用SHA2，指的是以后对驱动程序新版本数字签名的签发只用SHA2，不用SHA1了。但不影响Windows系统验证以前用SHA1算法签发的数字签名。

以上就是本文的所有内容了，谢谢大家观看。

谢谢支持，谢谢。

ID：愚者知识库1号文章。

撰于2022年2月10日。