Informationen zum Patchen von Anwendungen, die von Microsoft unter Windows Server veröffentlicht wurden - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Informationen zum Patchen von Anwendungen, die von Microsoft unter Windows Server veröffentlicht wurden

Verwenden Sie die Informationen in diesem Thema, um die Vorbereitung auf Patchanwendungen auf Windows Server mit Patch Manager, einem Tool in AWS Systems Manager, zu erleichtern.

Patching von Microsoft-Anwendungen

Patching-Support für Anwendungen auf von Windows Server verwalteten Knoten ist auf Anwendungen beschränkt, die von Microsoft veröffentlicht werden.

Anmerkung

In einigen Fällen veröffentlicht Microsoft Patches für Anwendungen, die kein aktualisiertes Datum und keine aktualisierte Uhrzeit angeben. In diesen Fällen wird ein aktualisiertes Datum und eine Uhrzeit von 01/01/1970 standardmäßig angegeben.

Patch-Baselines, um von Microsoft veröffentlichte Anwendungen zu patchen

Für Windows Server werden drei vordefinierte Patch-Baselines bereitgestellt. Die Patch-Baselines AWS-DefaultPatchBaseline und AWS-WindowsPredefinedPatchBaseline-OS unterstützen nur Betriebssystemupdates auf dem Windows-Betriebssystem selbst. AWS-DefaultPatchBaseline wird als Standard-Patch-Baseline für von Windows Server verwalteten Knoten verwendet, es sei denn, Sie geben eine andere Patch-Baseline an. Die Konfigurationseinstellungen in diesen beiden Patch-Baselines sind identisch. Die neuere der beiden, AWS-WindowsPredefinedPatchBaseline-OS, wurde erstellt, um sie von der dritten vordefinierten Patch-Baseline für Windows Server zu unterscheiden. Diese Patch-Baseline, AWS-WindowsPredefinedPatchBaseline-OS-Applications, kann verwendet werden, um Patches sowohl auf das Windows Server-Betriebssystem als auch auf unterstützte Anwendungen, die von Microsoft veröffentlicht wurden, anzuwenden.

Sie können zum Aktualisieren von Anwendungen, die von Microsoft veröffentlicht wurden, auf Windows Server-Computern auch benutzerdefinierte Patch-Baselines erstellen.

Support für das Patchen von Anwendungen, die von Microsoft auf lokalen Servern, Edge-Geräten und anderen Nicht-Knoten veröffentlicht wurden VMs EC2

Um von Microsoft veröffentlichte Anwendungen auf virtuellen Maschinen (VMs) und anderen nicht EC2 verwalteten Knoten zu patchen, müssen Sie die Stufe Advanced-Instances aktivieren. Die Nutzung des Advanced-Instances-Kontingents ist kostenpflichtig. Für Patch-Anwendungen, die von Microsoft auf Amazon Elastic Compute Cloud (Amazon EC2) -Instances veröffentlicht wurden, fallen jedoch keine zusätzlichen Gebühren an. Weitere Informationen finden Sie unter Konfigurieren von Instance-Kontingenten.

Windows-Update-Option für „andere Microsoft-Produkte“

Damit Patch Manager von Microsoft auf Ihren von Windows Server verwalteten Knoten veröffentlichte Anwendungen patchen kann, muss die Windows-Update-Option Ich möchte Updates für andere Microsoft-Produkte erhalten, wenn ich Windows aktualisiere auf dem verwalteten Knoten aktiviert sein.

Informationen zum Zulassen dieser Option für einen einzelnen verwalteten Knoten finden Sie unter Aktualisieren von Office mit Microsoft Update auf der Microsoft-Support-Website.

Bei einer Flotte von verwalteten Knoten auf Windows Server 2016 und höher können Sie die Einstellung mithilfe eines Group Policy Object (GPO, Gruppenrichtlinienobjekt) aktivieren. Navigieren Sie im Gruppenrichtlinien-Verwaltungseditor zu Computer-Konfiguration, Administrative Vorlagen, Windows-Komponenten, Windows-Updates und wählen Sie Installieren von Updates für andere Microsoft-Produkte aus. Wir empfehlen außerdem, das GPO mit zusätzlichen Parametern zu konfigurieren, die ungeplante automatische Updates und Neustarts außerhalb von Patch Manager verhindern. Weitere Informationen finden Sie unter Konfigurieren automatischer Updates in einer Umgebung ohne Active Directory auf der Website für technische Dokumentation von Microsoft.

Bei einer Flotte von verwalteten Knoten, die auf Windows Server 2012 oder 2012 R2 ausgeführt werden, können Sie die Option mithilfe eines Skripts aktivieren, wie unter Aktivieren und Deaktivieren von Microsoft Update in Windows 7 über Skript auf der Microsoft-Docs-Blog-Website beschrieben. Sie können z. B. Folgendes tun:

  1. Speichern Sie das Skript aus dem Blogbeitrag in einer Datei.

  2. Laden Sie die Datei in einen Amazon Simple Storage Service (Amazon S3)-Bucket oder an einem anderen zugänglichen Speicherort hoch.

  3. Verwenden SieRun Command, ein Tool in AWS Systems Manager, um das Skript mithilfe des Systems Manager Manager-Dokuments (SSM-Dokument) AWS-RunPowerShellScript mit einem Befehl ähnlich dem folgenden auf Ihren verwalteten Knoten auszuführen.

    Invoke-WebRequest `
    -Uri "https://s3.aws-api-domain/amzn-s3-demo-bucket/script.vbs" `
    -Outfile "C:\script.vbs" cscript c:\script.vbs
Mindestparameteranforderungen

Um von Microsoft veröffentlichte Anwendungen in Ihre benutzerdefinierte Patch-Baseline aufzunehmen, müssen Sie mindestens das Produkt angeben, das Sie patchen möchten. Der folgende Befehl AWS Command Line Interface (AWS CLI) veranschaulicht die Mindestanforderungen für das Patchen eines Produkts, z. B. Microsoft Office 2016.

Linux & macOS
aws ssm create-patch-baseline \
    --name "My-Windows-App-Baseline" \
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows Server
aws ssm create-patch-baseline ^
    --name "My-Windows-App-Baseline" ^
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"

Wenn Sie die Produktfamilie der Microsoft-Anwendung angeben, müssen alle Produkte der ausgewählten Produktfamilie unterstützt werden. Um beispielsweise das Produkt „Active Directory Rights Management Services Client 2.0“ zu patchen, müssen Sie dessen Produktfamilie als „Active Directory“ und nicht beispielsweise als „Office“ oder „SQL Server“ angeben. Der folgende AWS CLI Befehl demonstriert eine übereinstimmende Kombination von Produktfamilie und Produkt.

Linux & macOS
aws ssm create-patch-baseline \
    --name "My-Windows-App-Baseline" \
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows Server
aws ssm create-patch-baseline ^
    --name "My-Windows-App-Baseline" ^
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Anmerkung

Wenn Sie eine Fehlermeldung über eine nicht übereinstimmende Produkt- und Familienkopplung erhalten, finden Sie unter Problem: Nicht übereinstimmende Produktpaare family/product Tipps zur Lösung des Problems.