Solución de problemas de Patch Manager

Utilice la siguiente información para ayudarlo a solucionar problemas con Patch Manager, una capacidad de AWS Systems Manager.

Problema: error “Invoke-PatchBaselineOperation : Access Denied” o error “Unable to download file from S3” para baseline_overrides.json

Problema: cuando se ejecutan las operaciones de implementación de revisiones especificadas en su política de revisiones, recibe un error similar al siguiente ejemplo.

Example error on Windows Server

----------ERROR-------
Invoke-PatchBaselineOperation : Access Denied
At C:\ProgramData\Amazon\SSM\InstanceData\i-02573cafcfEXAMPLE\document\orchestr
ation\792dd5bd-2ad3-4f1e-931d-abEXAMPLE\PatchWindows\_script.ps1:219 char:13
+ $response = Invoke-PatchBaselineOperation -Operation Install -Snapsho ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationStopped: (Amazon.Patch.Ba...UpdateOpera
tion:InstallWindowsUpdateOperation) [Invoke-PatchBaselineOperation], Amazo
nS3Exception
+ FullyQualifiedErrorId : PatchBaselineOperations,Amazon.Patch.Baseline.Op
erations.PowerShellCmdlets.InvokePatchBaselineOperation
failed to run commands: exit status 0xffffffff

Example error on Linux

[INFO]: Downloading Baseline Override from s3://aws-quicksetup-patchpolicy-123456789012-abcde/baseline_overrides.json
[ERROR]: Unable to download file from S3: s3://aws-quicksetup-patchpolicy-123456789012-abcde/baseline_overrides.json.
[ERROR]: Error loading entrance module.

Causa: creó una política de revisiones en Quick Setup y algunos de sus nodos gestionados ya tenían un perfil de instancia asociado (para instancias de EC2) o un rol de servicio asociado (para máquinas que no sean de EC2).

Sin embargo, como se muestra en la siguiente imagen, no seleccionó la casilla Agregar las políticas de IAM requeridas a los perfiles de instancia existentes asociados a sus instancias.

Cuando crea una política de revisiones, se crea un bucket de Amazon S3 para almacenar el archivo baseline_overrides.json de configuración de la política. Si no selecciona la casilla Agregar las políticas de IAM requeridas a los perfiles de instancia existentes asociados a sus instancias cuando crea la política, las políticas de IAM y las etiquetas de recursos que se necesitan para acceder a baseline_overrides.json en el bucket de S3 no se agregan automáticamente a los perfiles de instancia de IAM y roles de servicio existentes.

Solución 1: elimine la configuración de políticas de revisiones existente y, a continuación, cree una que la sustituya. Asegúrese de seleccionar la casilla Agregar las políticas de IAM requeridas a los perfiles de instancia existentes asociados a sus instancias. Esta selección aplica las políticas de IAM creadas por Quick Setup a los nodos que ya tienen un perfil de instancia o un rol de servicio asociado. (De forma predeterminada, Quick Setup agrega las políticas necesarias a las instancias y los nodos que aún no tienen perfiles de instancia o roles de servicio). Para obtener más información, consulte Automatizar la aplicación de revisiones en toda la organización mediante una política de revisiones de Quick Setup.

Solución 2: agregue manualmente los permisos y las etiquetas necesarios a cada perfil de instancia de IAM y rol de servicio de IAM que utilice con Quick Setup. Para obtener instrucciones, consulte Permisos para el bucket de S3 de la política de revisiones.

Problema: la implementación de revisiones falla sin una causa aparente y sin arrojar un mensaje de error

Problema: una operación de implementación de revisiones falla sin arrojar un error.

Causa posible: si AWS-RunPatchBaseline se invoca más de una vez, estas pueden entrar en conflicto entre sí y provocar un error en las tareas de implementación de revisiones. Es posible que esto no se indique en los registros de implementación de revisiones.

Para comprobar si las operaciones simultáneas de implementación de revisiones pueden haberse interrumpido entre sí, revise el historial de comandos en Run Command, una capacidad de AWS Systems Manager. En el caso de un nodo administrado con un error durante la implementación de revisiones, compruebe si se intentó implementar revisiones a la máquina mediante varias operaciones con una diferencia de 2 minutos entre sí. En ocasiones, este escenario puede provocar un error.

También puede usar la AWS Command Line Interface (AWS CLI) para comprobar si hay intentos simultáneos de implementación de revisiones mediante el siguiente comando. Sustituya el valor del node-id por el ID del nodo administrado.

aws ssm list-commands \
    --filter "key=DocumentName,value=AWS-RunPatchBaseline" \
    --query 'Commands[*].{CommandId:CommandId,RequestedDateTime:RequestedDateTime,Status:Status}' \
    --instance-id node-id \
    --output table

Solución: si determina que la implementación de revisiones falló debido a operaciones de implementación de revisiones realizadas en el mismo nodo administrado, ajuste las configuraciones de implementación de revisiones para evitar que esto vuelva a ocurrir. Por ejemplo, si dos periodos de mantenimiento especifican tiempos de implementación de revisiones superpuestas, elimine o revise uno de ellos. Si un periodo de mantenimiento especifica una operación de implementación de revisiones, pero una política de revisiones especifica una operación diferente para el mismo momento, considere eliminar la tarea del periodo de mantenimiento.

Si determina que las operaciones de implementación de revisiones conflictivas no fueron la causa del error en este escenario, recomendamos que se ponga en contacto con AWS Support.

Problema: resultados de conformidad de revisiones inesperados

Problema: al revisar los detalles de conformidad de revisiones generados después de una operación de Scan, los resultados incluyen información que no refleja las reglas establecidas en la línea de base de revisiones. Por ejemplo, una excepción que haya agregado a la lista Rejected patches (Revisiones rechazadas) en una línea de base de revisiones aparece como Missing. O bien, las revisiones clasificadas como Important aparecen como faltantes, aunque la línea de base de revisiones especifique únicamente las revisiones Critical.

Causa: Patch Manager admite actualmente varios métodos de ejecución de operaciones Scan:

Cuando se ejecuta una operación de Scan, sobrescribe los detalles de conformidad del análisis más reciente. Si tiene más de un método configurado para ejecutar una operación de Scan y estos utilizan diferentes líneas de base de revisiones con diferentes reglas, los resultados de conformidad de las revisiones variarán.

Solución: para evitar resultados inesperados en cuanto a la conformidad de las revisiones, se recomienda utilizar solo un método a la vez para ejecutar la operación de Patch Manager Scan. Para obtener más información, consulte Evitar sobrescrituras involuntarias de datos de conformidad de revisiones.

Errores al ejecutar AWS-RunPatchBaseline en Linux

Asunto: error “No such file or directory” (No existe tal archivo o directorio)

Problema: cuando se ejecuta AWS-RunPatchBaseline, la aplicación de revisiones presenta uno de los siguientes errores.

IOError: [Errno 2] No such file or directory: 'patch-baseline-operations-X.XX.tar.gz'

Unable to extract tar file: /var/log/amazon/ssm/patch-baseline-operations/patch-baseline-operations-1.75.tar.gz.failed to run commands: exit status 155

Unable to load and extract the content of payload, abort.failed to run commands: exit status 152

Causa 1: se ejecutaban dos comandos AWS-RunPatchBaseline al mismo tiempo en el mismo nodo administrado. De este modo, se crea una condición de velocidad que da lugar a que no se cree file patch-baseline-operations* temporal ni se acceda correctamente a él.

Causa 2: no hay suficiente espacio de almacenamiento en el directorio /var.

Solución 1: asegúrese de que no haya ningún periodo de mantenimiento con dos o más tareas de Run Command que ejecuten AWS-RunPatchBaseline con el mismo nivel de prioridad y que se ejecuten en los mismos ID de destino. Si este es el caso, se debe reordenar la prioridad. Run Command es una capacidad de AWS Systems Manager.

Solución 2: asegúrese de que solo un periodo de mantenimiento a la vez esté ejecutando tareas de Run Command que utilicen AWS-RunPatchBaseline en los mismos destinos y dentro de la misma programación. En este caso, cambie la programación.

Solución 3: asegúrese de que solo una asociación de State Manager esté ejecutando AWS-RunPatchBaseline en la misma programación y se dirija a os mismos nodos administrados. State Manager es una capacidad de AWS Systems Manager.

Solución 4: libere espacio de almacenamiento suficiente en el directorio /var para los paquetes de actualización.

Asunto: error “another process has acquired yum lock” (otro proceso tiene el bloqueo de yum)

Problema: cuando se ejecuta AWS-RunPatchBaseline, la aplicación de revisiones presenta el siguiente error.

12/20/2019 21:41:48 root [INFO]: another process has acquired yum lock, waiting 2 s and retry.

Causa: el documento AWS-RunPatchBaseline ha comenzado a ejecutarse en un nodo administrado que ya se ejecuta en otra operación y ha adquirido el proceso yum del administrador de paquetes.

Solución: asegúrese de que ninguna asociación de State Manager, tarea de periodo de mantenimiento u otra configuración que ejecute AWS-RunPatchBaseline de forma programada tenga como destino el mismo nodo administrado aproximadamente al mismo tiempo.

Asunto: error “Permission denied / failed to run commands” (Permiso denegado/Error al ejecutar comandos)

Problema: cuando se ejecuta AWS-RunPatchBaseline, la aplicación de revisiones presenta el siguiente error.

sh: 
/var/lib/amazon/ssm/instanceid/document/orchestration/commandid/PatchLinux/_script.sh: Permission denied
failed to run commands: exit status 126

Causa: /var/lib/amazon/ podría montarse con permisos de noexec. Esto supone un problema, ya que SSM Agent descarga los scripts de carga en /var/lib/amazon/ssm y los ejecuta desde esa ubicación.

Solución: asegúrese de haber configurado particiones exclusivas para /var/log/amazon y /var/lib/amazon, y que están montados con permisos de exec.

Asunto: error “Unable to download payload” (No se puede descargar la carga)

Problema: cuando se ejecuta AWS-RunPatchBaseline, la aplicación de revisiones presenta el siguiente error.

Unable to download payload: https://s3.amzn-s3-demo-bucket.region.amazonaws.com/aws-ssm-region/patchbaselineoperations/linux/payloads/patch-baseline-operations-X.XX.tar.gz.failed to run commands: exit status 156

Causa: el nodo administrado no cuenta con los permisos necesarios para obtener acceso al bucket de Amazon Simple Storage Service (Amazon S3) especificado.

Solución: actualice la configuración de la red para que se pueda acceder a los puntos de enlace de S3. Para obtener más información, consulte la información acerca del acceso necesario a los buckets de S3 para Patch Manager en Comunicaciones de SSM Agent con buckets de S3 administrados de AWS.

Asunto: error “unsupported package manager and python version combination” (Combinación de administrador de paquetes y versión de python no compatible)

Problema: cuando se ejecuta AWS-RunPatchBaseline, la aplicación de revisiones presenta el siguiente error.

An unsupported package manager and python version combination was found. Apt requires Python3 to be installed.
failed to run commands: exit status 1

Causa: no se ha instalado una versión de python3 compatible en la instancia de Debian Server, Raspberry Pi OS o Ubuntu Server.

Solución: instale una versión de python3 compatible (3.0 o 3.10) en el servidor, lo que es necesario para los nodos administrados de Debian Server, Raspberry Pi OS y Ubuntu Server.

Asunto: Patch Manager no aplica las reglas especificadas para excluir determinados paquetes

Problema: ha intentado excluir determinados paquetes al especificarlos en el archivo /etc/yum.conf, con el formato exclude=package-name, pero no se excluyen durante la operación Install de Patch Manager.

Causa Patch Manager: no incluye las exclusiones especificadas en el archivo /etc/yum.conf.

Solución: para excluir paquetes específicos, cree una línea de base de revisiones personalizada y cree una regla que excluya aquellos paquetes que no desea instalar.

Asunto: se produce un error en la aplicación de revisiones y Patch Manager notifica que la extensión de la indicación de nombre de servidor a TLS no está disponible

Problema: la operación de aplicación de revisiones muestra el siguiente mensaje.

/var/log/amazon/ssm/patch-baseline-operations/urllib3/util/ssl_.py:369: 
SNIMissingWarning: An HTTPS request has been made, but the SNI (Server Name Indication) extension
to TLS is not available on this platform. This might cause the server to present an incorrect TLS 
certificate, which can cause validation failures. You can upgrade to a newer version of Python 
to solve this. 
For more information, see https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings

Causa: este mensaje no indica un error. En su lugar, aparece una advertencia de que la versión más antigua de Python distribuida con el sistema operativo no es compatible con la indicación de nombre de servidor de TLS. El script de carga de revisiones de Systems Manager muestra esta advertencia cuando se conecta a las API de AWS que son compatibles con SNI.

Solución: para solucionar cualquier error en la aplicación de revisiones cuando se notifica este mensaje, revise el contenido de los archivos stdout y stderr. Si no ha configurado la línea de base de revisiones para almacenar estos archivos en un bucket de S3 o en Registros de Amazon CloudWatch, puede ubicar los archivos en la siguiente ubicación en su nodo administrado de Linux.

/var/lib/amazon/ssm/instance-id/document/orchestration/Run-Command-execution-id/awsrunShellScript/PatchLinux

Asunto: Patch Manager notifica “No more mirrors to try” (No más espejos para probar)

Problema: la operación de aplicación de revisiones muestra el siguiente mensaje.

[Errno 256] No more mirrors to try.

Causa: los repositorios configurados en el nodo administrado no funcionan correctamente. Entre las causas posibles se incluyen las siguientes:

Solución: Patch Manager utiliza el administrador de paquetes predeterminado del nodo administrado para realizar la operación de aplicación de revisiones. Verifique que los repositorios se han configurado y funcionan correctamente.

Problema: la implementación de revisiones falla y arroja el mensaje “Error code returned from curl is 23”.

Problema: una operación de implementación de revisiones que usa AWS-RunPatchBaseline falla y arroja un error similar al siguiente:

05/01/2023 17:04:30 root [ERROR]: Error code returned from curl is 23

Causa: la herramienta curl que se utiliza en sus sistemas carece de los permisos necesarios para escribir en el sistema de archivos. Esto puede ocurrir si la herramienta curl predeterminada del administrador de paquetes se reemplazó por una versión diferente, como una instalada con snap.

Solución: si la versión curl que proporciona el administrador de paquetes se desinstaló tras la instalación de una versión diferente, vuelva a instalarla.

Si necesita mantener instaladas varias versiones de curl, asegúrese de que la versión asociada al administrador de paquetes esté en el primer directorio de la variable PATH. Para comprobarlo, ejecute el comando echo $PATH para ver el orden actual de los directorios en los que se comprueban los archivos ejecutables del sistema.

Problema: la implementación de revisiones falla y arroja el mensaje “Error unpacking rpm package…”

Problema: una operación de implementación de revisiones falla y arroja un error similar al siguiente:

Error : Error unpacking rpm package python-urllib3-1.25.9-1.amzn2.0.2.noarch
python-urllib3-1.25.9-1.amzn2.0.1.noarch was supposed to be removed but is not!
failed to run commands: exit status 1

Causa 1: cuando un paquete concreto está presente en varios instaladores de paquetes como pip, yum o dnf, pueden producirse conflictos cuando se utiliza el administrador de paquetes predeterminado.

Un ejemplo habitual es el del paquete urllib3, que se encuentra en pip, yum y dnf.

Causa 2: el paquete de python-urllib3 está dañado. Esto puede suceder si los archivos del paquete se instalaron o actualizaron usando pip después de que el paquete rpm fuera instalado previamente mediante yum o dnf.

Solución: elimine el paquete python-urllib3 de pip ejecutando el comando sudo pip uninstall urllib3 y manteniendo el paquete solo en el administrador de paquetes predeterminado (yum o dnf).

Problema: la implementación de revisiones falla y arroja el mensaje “Se encontraron errores cuando se descargaron los paquetes”.

Problema: durante la implementación de revisiones, recibe un error similar al siguiente:

YumDownloadError: [u'Errors were encountered while downloading 
packages.', u'libxml2-2.9.1-6.el7_9.6.x86_64: [Errno 5] [Errno 12] 
Cannot allocate memory', u'libxslt-1.1.28-6.el7.x86_64: [Errno 5] 
[Errno 12] Cannot allocate memory', u'libcroco-0.6.12-6.el7_9.x86_64: 
[Errno 5] [Errno 12] Cannot allocate memory', u'openldap-2.4.44-25.el7_9.x86_64: 
[Errno 5] [Errno 12] Cannot allocate memory',

Causa: este error puede producirse cuando no hay suficiente memoria disponible en un nodo administrado.

Solución: configure la memoria de intercambio o actualice la instancia a un tipo diferente para aumentar la compatibilidad con la memoria. A continuación, inicie una nueva operación de implementación de revisiones.

Problema: la implementación de revisiones falla y arroja el mensaje “The following signatures couldn't be verified because the public key is not available”

Problema: la implementación de revisiones falla en Ubuntu Server y arroja un error similar al siguiente:

02/17/2022 21:08:43 root [ERROR]: W:GPG error: 
http://repo.mysql.com/apt/ubuntu  bionic InRelease: The following 
signatures couldn't be verified because the public key is not available: 
NO_PUBKEY 467B942D3A79BD29, E:The repository ' http://repo.mysql.com/apt/ubuntu bionic

Causa: la clave GNU Privacy Guard (GPG) caducó o falta.

Solución: actualice la clave GPG o vuelva a agregarla.

Por ejemplo, si tomamos como ejemplo el error anterior, vemos que falta la clave 467B942D3A79BD29 y es necesario agregarla. Para ello, ejecute cualquiera de los comandos siguientes:

sudo apt-key adv --keyserver hkps://keyserver.ubuntu.com --recv-keys 467B942D3A79BD29

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys 467B942D3A79BD29

O bien, ejecute el siguiente comando para actualizar todas las claves:

sudo apt-key adv --keyserver hkps://keyserver.ubuntu.com --refresh-keys

Si el error se repite después de esto, recomendamos informar el problema a la organización que mantiene el repositorio. Hasta que haya una solución disponible, puede editar el archivo /etc/apt/sources.list para omitir el repositorio durante el proceso de implementación de revisiones.

Para ello, abra el archivo sources.list para editarlo, localice la línea del repositorio e inserte un carácter # al principio de la línea para comentarla. Guarde el archivo y, a continuación, ciérrelo.

Problema: la implementación de revisiones falla y arroja el mensaje “NoMoreMirrorsRepoError”

Problema: recibe un error similar al siguiente:

NoMoreMirrorsRepoError: failure: repodata/repomd.xml from pgdg94: [Errno 256] No more mirrors to try.

Causa: hay un error en el repositorio de origen.

Solución: recomendamos informar el problema a la organización que mantiene el repositorio. Hasta que se corrija el error, puede deshabilitar el repositorio a nivel del sistema operativo. Para ello, ejecute el siguiente comando y reemplace el valor repo-name por el nombre de su repositorio:

yum-config-manager --disable repo-name

A continuación se muestra un ejemplo.

yum-config-manager --disable pgdg94

Tras ejecutar este comando, ejecute otra operación de implementación de revisiones.

Problema: la implementación de revisiones falla y arroja el mensaje “No se puede descargar la carga”.

Problema: recibe un error similar al siguiente:

Unable to download payload: 
https://s3.dualstack.eu-west-1.amazonaws.com/aws-ssm-eu-west-1/patchbaselineoperations/linux/payloads/patch-baseline-operations-1.83.tar.gz.
failed  to run commands: exit status 156

Causa: la configuración del nodo administrado contiene errores o está incompleta.

Solución: asegúrese de que el nodo administrado esté configurado con lo siguiente:

Problema: la implementación de revisiones falla y arroja el mensaje “install errors: dpkg: error: dpkg frontend is locked by another process”

Problema: la implementación de revisiones falla y arroja un error similar al siguiente:

install errors: dpkg: error: dpkg frontend is locked by another process
failed to run commands: exit status 2
Failed to install package; install status Failed

Causa: el administrador de paquetes ya está ejecutando otro proceso en un nodo administrado a nivel del sistema operativo. Si ese otro proceso tarda mucho en completarse, es posible que se agote el tiempo de espera de la operación de implementación de revisiones de Patch Manager y se produzca un error.

Solución: una vez finalizado el otro proceso que utiliza el administrador de paquetes, ejecute una nueva operación de implementación de revisiones.

Problema: cuando implementa las revisiones, se produce un error del Ubuntu Server que indica “dpkg was interrupted”

Problema: la implementación de revisiones falla en el Ubuntu Server y arroja un error similar al siguiente:

E: dpkg was interrupted, you must manually run
'dpkg --configure -a' to correct the problem.

Causa: uno o más paquetes están mal configurados.

Solución: siga los pasos que se indican a continuación:

Problema: la utilidad del administrador de paquetes no puede resolver una dependencia del paquete

Problema: el administrador de paquetes nativo del nodo administrado no puede resolver una dependencia del paquete y se produce un error cuando se implementan las revisiones. El siguiente ejemplo de mensaje de error indica este tipo de error en un sistema operativo que utiliza yum como administrador de paquetes.

09/22/2020 08:56:09 root [ERROR]: yum update failed with result code: 1, 
message: [u'rpm-python-4.11.3-25.amzn2.0.3.x86_64 requires rpm = 4.11.3-25.amzn2.0.3', 
u'awscli-1.18.107-1.amzn2.0.1.noarch requires python2-botocore = 1.17.31']

Causa: en los sistemas operativos Linux, Patch Manager utiliza el administrador de paquetes nativo de la máquina para ejecutar las operaciones de implementación de revisiones, como yum, dnf, apt y zypper. Las aplicaciones detectan, instalan, actualizan o eliminan automáticamente los paquetes dependientes según sea necesario. Sin embargo, algunas condiciones pueden provocar que el administrador de paquetes no pueda completar una operación de dependencia, como las siguientes:

Solución: la implementación de revisiones puede fallar debido a un problema de dependencia por una amplia variedad de motivos. Por lo tanto, recomendamos que se ponga en contacto con AWS Support para obtener ayuda con la solución de problemas.

Errores al ejecutar AWS-RunPatchBaseline en Windows Server

Asunto: pares de familia de productos y productos no coincidentes

Problema: cuando crea una línea de base de revisiones en la consola de Systems Manager, debe especificar una familia de productos y un producto. Por ejemplo, puede elegir:

Causa: si intenta crear una línea de base de revisiones con una par de producto y familia de productos que no coincide, se mostrará un mensaje de error. A continuación se indican los motivos por los que esto puede ocurrir:

Solución: para evitar este problema en la consola, elija siempre opciones de las listas secundarias Currently available options (Opciones disponibles actualmente).

También puede ver los productos que tienen revisiones disponibles mediante el comando describe-patch-properties de la AWS CLI o el comando DescribePatchProperties de la API.

Asunto: el resultado de AWS-RunPatchBaseline devuelve un HRESULT (Windows Server)

Problema: ha recibido un error como el siguiente.

----------ERROR-------
Invoke-PatchBaselineOperation : Exception Details: An error occurred when 
attempting to search Windows Update.
Exception Level 1:
 Error Message: Exception from HRESULT: 0x80240437
 Stack Trace: at WUApiLib.IUpdateSearcher.Search(String criteria)..
(Windows updates)
11/22/2020 09:17:30 UTC | Info | Searching for Windows Updates.
11/22/2020 09:18:59 UTC | Error | Searching for updates resulted in error: Exception from HRESULT: 0x80240437
----------ERROR-------
failed to run commands: exit status 4294967295

Causa: este resultado indica que las API nativas de Windows Update no han podido ejecutar las operaciones de aplicación de revisiones.

Solución: verifique el código HResult en los siguientes temas de microsoft.com para identificar los pasos de solución de problemas que permitan resolver el error:

Asunto: el nodo administrado no tiene acceso al catálogo de Windows Update ni a WSUS

Problema: ha recibido un error como el siguiente.

Downloading PatchBaselineOperations PowerShell module from https://s3.aws-api-domain/path_to_module.zip to C:\Windows\TEMP\Amazon.PatchBaselineOperations-1.29.zip.

Extracting PatchBaselineOperations zip file contents to temporary folder.

Verifying SHA 256 of the PatchBaselineOperations PowerShell module files.

Successfully downloaded and installed the PatchBaselineOperations PowerShell module.

Patch Summary for

PatchGroup :

BaselineId :

Baseline : null

SnapshotId :

RebootOption : RebootIfNeeded

OwnerInformation :

OperationType : Scan

OperationStartTime : 1970-01-01T00:00:00.0000000Z

OperationEndTime : 1970-01-01T00:00:00.0000000Z

InstalledCount : -1

InstalledRejectedCount : -1

InstalledPendingRebootCount : -1

InstalledOtherCount : -1

FailedCount : -1

MissingCount : -1

NotApplicableCount : -1

UnreportedNotApplicableCount : -1

EC2AMAZ-VL3099P - PatchBaselineOperations Assessment Results - 2020-12-30T20:59:46.169

----------ERROR-------

Invoke-PatchBaselineOperation : Exception Details: An error occurred when attempting to search Windows Update.

Exception Level 1:

Error Message: Exception from HRESULT: 0x80072EE2

Stack Trace: at WUApiLib.IUpdateSearcher.Search(String criteria)

at Amazon.Patch.Baseline.Operations.PatchNow.Implementations.WindowsUpdateAgent.SearchForUpdates(String

searchCriteria)

At C:\ProgramData\Amazon\SSM\InstanceData\i-02573cafcfEXAMPLE\document\orchestration\3d2d4864-04b7-4316-84fe-eafff1ea58

e3\PatchWindows\_script.ps1:230 char:13

+ $response = Invoke-PatchBaselineOperation -Operation Install -Snapsho ...

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : OperationStopped: (Amazon.Patch.Ba...UpdateOperation:InstallWindowsUpdateOperation) [Inv

oke-PatchBaselineOperation], Exception

+ FullyQualifiedErrorId : Exception Level 1:

Error Message: Exception Details: An error occurred when attempting to search Windows Update.

Exception Level 1:

Error Message: Exception from HRESULT: 0x80072EE2

Stack Trace: at WUApiLib.IUpdateSearcher.Search(String criteria)

at Amazon.Patch.Baseline.Operations.PatchNow.Implementations.WindowsUpdateAgent.SearchForUpdates(String searc

---Error truncated----

Causa: este error podría estar relacionado con los componentes de Windows Update, o bien con la falta de conectividad con el catálogo de Windows Update o con Windows Server Update Services (WSUS).

Solución: confirme que el nodo administrado tiene conectividad con el catálogo de Microsoft Update a través de una puerta de enlace de Internet, una puerta de enlace NAT o una instancia NAT. Si utiliza WSUS, confirme que el nodo administrado dispone de conectividad con el servidor WSUS de su entorno. Si la conectividad está disponible para el destino previsto, verifique otras causas posibles de HResult 0x80072EE2 en la documentación de Microsoft. Esto podría significar un problema a nivel del sistema operativo.

Asunto: el módulo PatchBaselineOperations de PowerShell no se puede descargar

Problema: ha recibido un error como el siguiente.

Preparing to download PatchBaselineOperations PowerShell module from S3.
                    
Downloading PatchBaselineOperations PowerShell module from https://s3.aws-api-domain/path_to_module.zip to C:\Windows\TEMP\Amazon.PatchBaselineOperations-1.29.zip.
----------ERROR-------

C:\ProgramData\Amazon\SSM\InstanceData\i-02573cafcfEXAMPLE\document\orchestration\aaaaaaaa-bbbb-cccc-dddd-4f6ed6bd5514\

PatchWindows\_script.ps1 : An error occurred when executing PatchBaselineOperations: Unable to connect to the remote server

+ CategoryInfo : NotSpecified: (:) [Write-Error], WriteErrorException

+ FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,_script.ps1

failed to run commands: exit status 4294967295

Solución: verifique la conectividad del nodo administrado y los permisos a Amazon Simple Storage Service (Amazon S3). El rol de AWS Identity and Access Management (IAM) del nodo administrado debe utilizar los permisos mínimos citados en Comunicaciones de SSM Agent con buckets de S3 administrados de AWS. El nodo debe comunicarse con el punto de conexión de Amazon S3 a través del punto de conexión de la puerta de enlace de Amazon S3, la puerta de enlace NAT o la puerta de enlace de Internet. Para obtener más información acerca de los requisitos del punto de enlace de la VPC para AWS Systems Manager SSM Agent (SSM Agent), consulte Mejora de la seguridad de las instancias de EC2 mediante puntos de conexión de VPC para Systems Manager.

Asunto: revisiones faltantes

Problema: AWS-RunPatchbaseline se ha completado correctamente, pero faltan algunos revisiones.

A continuación, se presentan algunas causas comunes y sus respectivas soluciones.

Causa 1: la base de referencia no es efectiva.

Solución 1: para comprobar si esta es la causa, utilice el siguiente procedimiento.

Causa 2: se reemplazó la revisión.

Solución 2: para verificar si esta es así, utilice el siguiente procedimiento.

Causa 3: la misma revisión puede tener diferentes números de KB debido a que Microsoft gestiona las actualizaciones online de WSUS y Window como canales de publicación independientes.

Solución 3: compruebe la elegibilidad de las revisiones. Si el paquete no está disponible en WSUS, instale la compilación 14393.3115 del sistema operativo. Si el paquete está disponible para todas las compilaciones del sistema operativo, instale las compilaciones 18362.1256 y 18363.1256 del sistema operativo.

Ponerse en contacto con AWS Support

Si no encuentra soluciones a los problemas en esta sección o en los problemas de Systems Manager en AWS re:Post, y cuenta con un plan Developer Business o Enterprise de AWS Support, puede crear un caso de soporte técnico en AWS Support.

Antes de contactar con AWS Support, recopile los siguientes elementos: