Pemecahan Masalah Patch Manager - AWS Systems Manager
Masalah: Kesalahan “Invoke-PatchBaselineOperation : Akses Ditolak” atau kesalahan “Tidak dapat mengunduh file dari S3" untuk baseline_overrides.jsonMasalah: Penambalan gagal tanpa penyebab atau pesan kesalahan yang jelasMasalah: Hasil kepatuhan tambalan yang tidak terdugaKesalahan saat menjalankan AWS-RunPatchBaseline pada LinuxKesalahan saat AWS-RunPatchBaseline berjalan Windows ServerMenghubungi AWS Support

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemecahan Masalah Patch Manager

Gunakan informasi berikut untuk membantu Anda memecahkan masalah Patch Manager, kemampuan AWS Systems Manager.

Masalah: Kesalahan “Invoke-PatchBaselineOperation : Akses Ditolak” atau kesalahan “Tidak dapat mengunduh file dari S3" untuk baseline_overrides.json

Masalah: Saat operasi penambalan yang ditentukan oleh kebijakan tambalan Anda berjalan, Anda menerima kesalahan yang mirip dengan contoh berikut.

Example error on Windows Server
----------ERROR-------
Invoke-PatchBaselineOperation : Access Denied
At C:\ProgramData\Amazon\SSM\InstanceData\i-02573cafcfEXAMPLE\document\orchestr
ation\792dd5bd-2ad3-4f1e-931d-abEXAMPLE\PatchWindows\_script.ps1:219 char:13
+ $response = Invoke-PatchBaselineOperation -Operation Install -Snapsho ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationStopped: (Amazon.Patch.Ba...UpdateOpera
tion:InstallWindowsUpdateOperation) [Invoke-PatchBaselineOperation], Amazo
nS3Exception
+ FullyQualifiedErrorId : PatchBaselineOperations,Amazon.Patch.Baseline.Op
erations.PowerShellCmdlets.InvokePatchBaselineOperation
failed to run commands: exit status 0xffffffff
Example error on Linux
[INFO]: Downloading Baseline Override from s3://aws-quicksetup-patchpolicy-123456789012-abcde/baseline_overrides.json
[ERROR]: Unable to download file from S3: s3://aws-quicksetup-patchpolicy-123456789012-abcde/baseline_overrides.json.
[ERROR]: Error loading entrance module.

Penyebab: Anda membuat kebijakan tambalan di Quick Setup, dan beberapa node terkelola Anda sudah memiliki profil instance yang dilampirkan (untuk EC2 instance) atau peran layanan yang terpasang (untuk EC2 non-mesin).

Namun, seperti yang ditunjukkan pada gambar berikut, Anda tidak memilih kotak centang Tambahkan IAM kebijakan yang diperlukan ke profil instans yang ada yang dilampirkan ke instance Anda.

Kotak centang Tambahkan IAM kebijakan yang diperlukan ke profil instans yang ada tidak dipilih di area Opsi profil Instans.

Saat Anda membuat kebijakan tambalan, bucket Amazon S3 juga dibuat untuk menyimpan file konfigurasi baseline_overrides.json kebijakan. Jika Anda tidak memilih kotak centang Tambahkan IAM kebijakan yang diperlukan ke profil instans yang ada yang dilampirkan ke instans saat membuat kebijakan, IAM kebijakan dan tag sumber daya yang diperlukan untuk mengakses baseline_overrides.json di bucket S3 tidak secara otomatis ditambahkan ke profil IAM instans dan peran layanan yang ada.

Solusi 1: Hapus konfigurasi kebijakan tambalan yang ada, lalu buat pengganti, pastikan untuk memilih kotak centang Tambahkan IAM kebijakan yang diperlukan ke profil instans yang ada yang dilampirkan ke instance Anda. Pilihan ini menerapkan IAM kebijakan yang dibuat oleh Quick Setup konfigurasi ke node yang sudah memiliki profil instance atau peran layanan terlampir. (Secara default, Quick Setup menambahkan kebijakan yang diperlukan ke instance dan node yang belum memiliki profil instance atau peran layanan.) Untuk informasi selengkapnya, lihat Mengotomatiskan penambalan di seluruh organisasi menggunakan Quick Setup kebijakan tambalan.

Solusi 2: Tambahkan izin dan tag yang diperlukan secara manual ke setiap profil IAM instans dan peran IAM layanan yang Anda gunakan Quick Setup. Untuk instruksi, lihatIzin untuk bucket S3 kebijakan patch.

Masalah: Penambalan gagal tanpa penyebab atau pesan kesalahan yang jelas

Masalah: Operasi patching gagal tanpa mengembalikan pesan kesalahan.

Kemungkinan penyebabnya: Jika lebih dari satu doa AWS-RunPatchBaseline terjadi pada satu waktu, mereka dapat bertentangan satu sama lain, menyebabkan tugas penambalan gagal. Ini mungkin tidak ditunjukkan dalam log penambalan.

Untuk memeriksa apakah operasi patching bersamaan mungkin telah saling mengganggu, tinjau riwayat perintah di Run Command, kemampuan AWS Systems Manager. Untuk node terkelola dengan kegagalan tambalan, periksa untuk melihat apakah beberapa operasi mencoba menambal mesin dalam waktu 2 menit satu sama lain. Skenario ini terkadang dapat menyebabkan kegagalan.

Anda juga dapat menggunakan AWS Command Line Interface (AWS CLI) untuk memeriksa upaya patching bersamaan dengan menggunakan perintah berikut. Ganti nilai untuk node-id dengan ID untuk node terkelola Anda.

aws ssm list-commands \
    --filter "key=DocumentName,value=AWS-RunPatchBaseline" \
    --query 'Commands[*].{CommandId:CommandId,RequestedDateTime:RequestedDateTime,Status:Status}' \
    --instance-id node-id \
    --output table

Solusi: Jika Anda menentukan bahwa patching gagal karena operasi patching yang bersaing pada node terkelola yang sama, sesuaikan konfigurasi patching Anda untuk menghindari hal ini terjadi lagi. Misalnya, jika dua jendela pemeliharaan menentukan waktu penambalan yang tumpang tindih, hapus atau revisi salah satunya. Jika jendela pemeliharaan menentukan satu operasi penambalan, tetapi kebijakan tambalan menentukan yang berbeda untuk waktu yang sama, pertimbangkan untuk menghapus tugas dari jendela pemeliharaan.

Jika Anda menentukan bahwa operasi patching yang bertentangan bukanlah penyebab kegagalan dalam skenario ini, kami sarankan untuk menghubungi. AWS Support

Masalah: Hasil kepatuhan tambalan yang tidak terduga

Masalah: Saat meninjau detail kepatuhan penambalan yang dihasilkan setelah Scan operasi, hasilnya menyertakan informasi yang tidak mencerminkan aturan yang ditetapkan di baseline patch Anda. Misalnya, pengecualian yang Anda tambahkan ke daftar tambalan Ditolak di baseline patch terdaftar sebagai. Missing Atau tambalan yang diklasifikasikan sebagai Important terdaftar sebagai hilang meskipun baseline patch Anda hanya menentukan Critical tambalan.

Penyebab: Patch Manager saat ini mendukung beberapa metode menjalankan Scan operasi:

  • Kebijakan tambalan yang dikonfigurasi di Quick Setup

  • Opsi Manajemen Host yang dikonfigurasi di Quick Setup

  • Jendela pemeliharaan untuk menjalankan tambalan Scan atau Install tugas

  • Patch sesuai permintaan sekarang beroperasi

Ketika Scan operasi berjalan, itu menimpa detail kepatuhan dari pemindaian terbaru. Jika Anda memiliki lebih dari satu metode yang disiapkan untuk menjalankan Scan operasi, dan mereka menggunakan baseline patch yang berbeda dengan aturan yang berbeda, mereka akan menghasilkan hasil kepatuhan patch yang berbeda.

Solusi: Untuk menghindari hasil kepatuhan patch yang tidak terduga, sebaiknya gunakan hanya satu metode pada satu waktu untuk menjalankan Patch Manager Scanoperasi. Untuk informasi selengkapnya, lihat Menghindari penimpaan data kepatuhan patch yang tidak disengaja.

Kesalahan saat menjalankan AWS-RunPatchBaseline pada Linux

Masalah: Kesalahan 'Tidak ada file atau direktori tersebut”

Masalah: Ketika Anda menjalankan AWS-RunPatchBaseline, patching gagal dengan salah satu kesalahan berikut.

IOError: [Errno 2] No such file or directory: 'patch-baseline-operations-X.XX.tar.gz'
Unable to extract tar file: /var/log/amazon/ssm/patch-baseline-operations/patch-baseline-operations-1.75.tar.gz.failed to run commands: exit status 155
Unable to load and extract the content of payload, abort.failed to run commands: exit status 152

Penyebab 1: Dua perintah untuk AWS-RunPatchBaseline dijalankan berjalan pada saat yang sama pada node terkelola yang sama. Hal ini menciptakan kondisi balapan yang menyebabkan file patch-baseline-operations* sementara tidak dibuat atau diakses dengan benar.

Penyebab 2: Ruang penyimpanan yang tersisa tidak cukup dalam direktori /var.

Solusi 1: Pastikan tidak ada jendela pemeliharaan yang memiliki dua atau lebih Run Command tugas yang berjalan AWS-RunPatchBaseline dengan tingkat Prioritas yang sama dan yang berjalan pada target yang samaIDs. Jika ini kasusnya, urutkan ulang prioritasnya. Run Command adalah kemampuan AWS Systems Manager.

Solusi 2: Pastikan hanya satu jendela pemeliharaan pada satu waktu yang berjalan Run Command tugas yang digunakan AWS-RunPatchBaseline pada target yang sama dan pada jadwal yang sama. Jika demikian, ubah jadwalnya.

Solusi 3: Pastikan hanya satu State Manager asosiasi berjalan AWS-RunPatchBaseline pada jadwal yang sama dan menargetkan node terkelola yang sama. State Manager adalah kemampuan AWS Systems Manager.

Solusi 4: Bebaskan ruang penyimpanan yang cukup dalam direktori /var untuk paket pembaruan.

Masalah: kesalahan 'proses lain telah mengakuisisi yum lock'

Masalah: Ketika Anda menjalankan AWS-RunPatchBaseline, patching gagal dengan kesalahan berikut.

12/20/2019 21:41:48 root [INFO]: another process has acquired yum lock, waiting 2 s and retry.

Penyebab: AWS-RunPatchBaseline Dokumen telah mulai berjalan pada node terkelola di mana ia sudah berjalan di operasi lain dan telah memperoleh yum proses manajer paket.

Solusi: Pastikan tidak State Manager asosiasi, tugas jendela pemeliharaan, atau konfigurasi lain yang berjalan AWS-RunPatchBaseline pada jadwal menargetkan node terkelola yang sama sekitar waktu yang sama.

Masalah: kesalahan 'Izin ditolak / gagal menjalankan perintah'

Masalah: Ketika Anda menjalankan AWS-RunPatchBaseline, patching gagal dengan kesalahan berikut.

sh: 
/var/lib/amazon/ssm/instanceid/document/orchestration/commandid/PatchLinux/_script.sh: Permission denied
failed to run commands: exit status 126

Penyebab: /var/lib/amazon/ mungkin dipasang dengan izin noexec. Ini menjadi masalah karena SSM Agent mengunduh skrip payload ke /var/lib/amazon/ssm dan menjalankannya dari lokasi itu.

Solusi: Pastikan Anda telah mengonfigurasi partisi eksklusif ke /var/log/amazon dan/var/lib/amazon, dan bahwa partisi tersebut dipasang dengan exec izin.

Masalah: kesalahan 'Tidak dapat mengunduh muatan'

Masalah: Ketika Anda menjalankan AWS-RunPatchBaseline, patching gagal dengan kesalahan berikut.

Unable to download payload: https://s3.amzn-s3-demo-bucket.region.amazonaws.com/aws-ssm-region/patchbaselineoperations/linux/payloads/patch-baseline-operations-X.XX.tar.gz.failed to run commands: exit status 156

Penyebab: Node terkelola tidak memiliki izin yang diperlukan untuk mengakses bucket Amazon Simple Storage Service (Amazon S3) yang ditentukan.

Solusi: Perbarui konfigurasi jaringan Anda sehingga titik akhir S3 dapat dijangkau. Untuk detail selengkapnya, lihat informasi tentang akses yang diperlukan ke bucket S3 Patch Manager di SSM Agent komunikasi dengan bucket S3 AWS terkelola.

Masalah: kesalahan 'kombinasi pengelola paket dan versi python yang tidak didukung’

Masalah: Ketika Anda menjalankan AWS-RunPatchBaseline, patching gagal dengan kesalahan berikut.

An unsupported package manager and python version combination was found. Apt requires Python3 to be installed.
failed to run commands: exit status 1

Penyebab: Versi python3 yang didukung tidak diinstal pada Debian Server, Raspberry Pi OS, atau Ubuntu Server contoh.

Solusi: Instal versi python3 yang didukung (3.0 - 3.10) di server, yang diperlukan untuk Debian Server, Raspberry Pi OS, dan Ubuntu Server node terkelola.

Masalah: Patch Manager tidak menerapkan aturan yang ditentukan untuk mengecualikan paket tertentu

Masalah: Anda telah mencoba untuk mengecualikan paket tertentu dengan menentukannya dalam /etc/yum.conf file, dalam formatexclude=package-name, tetapi mereka tidak dikecualikan selama Patch Manager Installoperasi.

Penyebab: Patch Manager tidak memasukkan pengecualian yang ditentukan dalam /etc/yum.conf file.

Solusi: Untuk mengecualikan paket tertentu, buat dasar patch kustom dan buat aturan untuk mengecualikan paket yang tidak ingin diinstal.

Masalah: Penambalan gagal dan Patch Manager melaporkan bahwa ekstensi Indikasi Nama Server ke TLS tidak tersedia

Masalah: Operasi patching mengeluarkan pesan berikut ini.

/var/log/amazon/ssm/patch-baseline-operations/urllib3/util/ssl_.py:369: 
SNIMissingWarning: An HTTPS request has been made, but the SNI (Server Name Indication) extension
to TLS is not available on this platform. This might cause the server to present an incorrect TLS 
certificate, which can cause validation failures. You can upgrade to a newer version of Python 
to solve this. 
For more information, see https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings

Penyebab: Pesan ini tidak menunjukkan kesalahan. Sebagai gantinya, ini adalah peringatan bahwa versi Python yang lebih lama didistribusikan dengan sistem operasi tidak mendukung Indikasi Nama TLS Server. Skrip payload patch Systems Manager mengeluarkan peringatan ini saat menghubungkan ke dukungan AWS APIs SNI itu.

Solusi: Untuk memecahkan masalah kegagalan patch ketika pesan ini dilaporkan, tinjau konten file stdout dan stderr. Jika Anda belum mengonfigurasi baseline patch untuk menyimpan file-file ini di bucket S3 atau di Amazon CloudWatch Logs, Anda dapat menemukan file di lokasi berikut di node terkelola Linux Anda.

/var/lib/amazon/ssm/instance-id/document/orchestration/Run-Command-execution-id/awsrunShellScript/PatchLinux

Masalah: Patch Manager laporan 'Tidak ada lagi cermin untuk dicoba'

Masalah: Operasi patching mengeluarkan pesan berikut ini.

[Errno 256] No more mirrors to try.

Penyebab: Repositori yang dikonfigurasi pada node terkelola tidak berfungsi dengan benar. Kemungkinan penyebab untuk hal ini meliputi:

  • Cache yum rusak.

  • Repositori tidak URL dapat dihubungi karena masalah terkait jaringan.

Solusi: Patch Manager menggunakan manajer paket default node terkelola untuk melakukan operasi patching. Periksa kembali bahwa repositori dikonfigurasi dan beroperasi dengan benar.

Masalah: Penambalan gagal dengan 'Kode kesalahan yang dikembalikan dari curl adalah 23'

Masalah: Operasi patching yang menggunakan AWS-RunPatchBaseline gagal dengan kesalahan yang mirip dengan berikut ini:

05/01/2023 17:04:30 root [ERROR]: Error code returned from curl is 23

Penyebab: Alat curl yang digunakan pada sistem Anda tidak memiliki izin yang diperlukan untuk menulis ke sistem file. Ini dapat terjadi ketika jika alat curl default manajer paket digantikan oleh versi yang berbeda, seperti yang diinstal dengan snap.

Solusi: Jika versi curl yang disediakan oleh manajer paket dihapus saat versi yang berbeda diinstal, instal ulang.

Jika Anda perlu menginstal beberapa versi curl, pastikan bahwa versi yang terkait dengan manajer paket ada di direktori pertama yang tercantum dalam PATH variabel. Anda dapat memeriksa ini dengan menjalankan perintah echo $PATH untuk melihat urutan direktori saat ini yang diperiksa untuk file yang dapat dieksekusi pada sistem Anda.

Masalah: Penambalan gagal dengan pesan 'Kesalahan membongkar paket rpm... '

Masalah: Operasi penambalan gagal dengan kesalahan yang mirip dengan yang berikut ini:

Error : Error unpacking rpm package python-urllib3-1.25.9-1.amzn2.0.2.noarch
python-urllib3-1.25.9-1.amzn2.0.1.noarch was supposed to be removed but is not!
failed to run commands: exit status 1

Penyebab 1: Ketika paket tertentu hadir di beberapa installer paket, seperti keduanya pip dan yum ataudnf, konflik dapat terjadi ketika menggunakan manajer paket default.

Contoh umum terjadi dengan urllib3 paket, yang ditemukan dipip,yum, dandnf.

Penyebab 2: python-urllib3 Paket rusak. Hal ini dapat terjadi jika file paket diinstal atau diperbarui oleh pip setelah paket rpm itu sebelumnya diinstal oleh yum ataudnf.

Solusi: Hapus python-urllib3 paket dari pip dengan menjalankan perintahsudo pip uninstall urllib3, simpan paket hanya di manajer paket default (yumataudnf).

Masalah: Penambalan gagal dengan pesan 'Kesalahan ditemui saat mengunduh paket'

Masalah: Selama menambal, Anda menerima kesalahan yang mirip dengan yang berikut ini:

YumDownloadError: [u'Errors were encountered while downloading 
packages.', u'libxml2-2.9.1-6.el7_9.6.x86_64: [Errno 5] [Errno 12] 
Cannot allocate memory', u'libxslt-1.1.28-6.el7.x86_64: [Errno 5] 
[Errno 12] Cannot allocate memory', u'libcroco-0.6.12-6.el7_9.x86_64: 
[Errno 5] [Errno 12] Cannot allocate memory', u'openldap-2.4.44-25.el7_9.x86_64: 
[Errno 5] [Errno 12] Cannot allocate memory',

Penyebab: Kesalahan ini dapat terjadi ketika memori tidak cukup tersedia pada node terkelola.

Solusi: Konfigurasikan memori swap, atau tingkatkan instance ke jenis yang berbeda untuk meningkatkan dukungan memori. Kemudian mulailah operasi penambalan baru.

Masalah: Penambalan gagal dengan pesan bahwa 'Tanda tangan berikut tidak dapat diverifikasi karena kunci publik tidak tersedia'

Masalah: Penambalan gagal Ubuntu Server dengan kesalahan yang mirip dengan berikut ini:

02/17/2022 21:08:43 root [ERROR]: W:GPG error: 
http://repo.mysql.com/apt/ubuntu  bionic InRelease: The following 
signatures couldn't be verified because the public key is not available: 
NO_PUBKEY 467B942D3A79BD29, E:The repository ' http://repo.mysql.com/apt/ubuntu bionic

Penyebab: Kunci GNU Privacy Guard (GPG) telah kedaluwarsa atau hilang.

Solusi: Segarkan kembali GPG kunci, atau tambahkan kunci lagi.

Misalnya, menggunakan kesalahan yang ditunjukkan sebelumnya, kita melihat bahwa 467B942D3A79BD29 kuncinya hilang dan harus ditambahkan. Untuk melakukannya, jalankan salah satu dari perintah berikut:

sudo apt-key adv --keyserver hkps://keyserver.ubuntu.com --recv-keys 467B942D3A79BD29
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys 467B942D3A79BD29

Atau, untuk menyegarkan semua tombol, jalankan perintah berikut:

sudo apt-key adv --keyserver hkps://keyserver.ubuntu.com --refresh-keys

Jika kesalahan berulang setelah ini, kami sarankan untuk melaporkan masalah ke organisasi yang memelihara repositori. Sampai perbaikan tersedia, Anda dapat mengedit /etc/apt/sources.list file untuk menghilangkan repositori selama proses patching.

Untuk melakukannya, buka sources.list file untuk diedit, cari baris untuk repositori, dan masukkan # karakter di awal baris untuk mengomentarinya. Kemudian simpan dan tutup file.

Masalah: Penambalan gagal dengan pesan 'NoMoreMirrorsRepoError'

Masalah: Anda menerima kesalahan yang mirip dengan berikut ini:

NoMoreMirrorsRepoError: failure: repodata/repomd.xml from pgdg94: [Errno 256] No more mirrors to try.

Penyebab: Ada kesalahan dalam repositori sumber.

Solusi: Kami merekomendasikan pelaporan masalah ke organisasi yang memelihara repositori. Sampai kesalahan diperbaiki, Anda dapat menonaktifkan repositori di tingkat sistem operasi. Untuk melakukannya, jalankan perintah berikut, ganti nilai untuk repo-name dengan nama repositori Anda:

yum-config-manager --disable repo-name

Berikut adalah contohnya.

yum-config-manager --disable pgdg94

Setelah Anda menjalankan perintah ini, jalankan operasi patching lain.

Masalah: Penambalan gagal dengan pesan 'Tidak dapat mengunduh payload'

Masalah: Anda menerima kesalahan yang mirip dengan berikut ini:

Unable to download payload: 
https://s3.dualstack.eu-west-1.amazonaws.com/aws-ssm-eu-west-1/patchbaselineoperations/linux/payloads/patch-baseline-operations-1.83.tar.gz.
failed  to run commands: exit status 156

Penyebab: Konfigurasi node terkelola berisi kesalahan atau tidak lengkap.

Solusi: Pastikan node terkelola dikonfigurasi dengan yang berikut:

  • Aturan keluar TCP 443 dalam kelompok keamanan.

  • Aturan keluar TCP 443 di. NACL

  • Aturan Ingress TCP 1024-65535 di. NACL

  • NAT/IGWdalam tabel rute untuk menyediakan konektivitas ke titik akhir S3. Jika instans tidak memiliki akses internet, berikan konektivitas dengan titik akhir S3. Untuk melakukan itu, tambahkan titik akhir gateway S3 di VPC dan integrasikan dengan tabel rute node terkelola.

Masalah: Penambalan gagal dengan pesan 'kesalahan instal: dpkg: kesalahan: frontend dpkg dikunci oleh proses lain'

Masalah: Penambalan gagal dengan kesalahan yang mirip dengan yang berikut ini:

install errors: dpkg: error: dpkg frontend is locked by another process
failed to run commands: exit status 2
Failed to install package; install status Failed

Penyebab: Manajer paket sudah menjalankan proses lain pada node terkelola di tingkat sistem operasi. Jika proses lain itu membutuhkan waktu lama untuk diselesaikan, Patch Manager operasi penambalan dapat habis waktu dan gagal.

Solusi: Setelah proses lain yang menggunakan manajer paket selesai, jalankan operasi penambalan baru.

Masalah: Menambal Ubuntu Server gagal dengan kesalahan 'dpkg terganggu'

Masalah: Pada Ubuntu Server, penambalan gagal dengan kesalahan yang mirip dengan yang berikut ini:

E: dpkg was interrupted, you must manually run
'dpkg --configure -a' to correct the problem.

Penyebab: Satu atau lebih paket salah dikonfigurasi.

Solusi: Lakukan langkah-langkah berikut:

  1. Periksa untuk melihat paket mana yang terpengaruh, dan apa masalahnya dengan setiap paket dengan menjalankan perintah berikut, satu per satu:

    sudo apt-get check
    sudo dpkg -C
    dpkg-query -W -f='${db:Status-Abbrev} ${binary:Package}\n' | grep -E ^.[^nci]

  2. Perbaiki paket dengan masalah dengan menjalankan perintah berikut:

    sudo dpkg --configure -a

  3. Jika perintah sebelumnya tidak sepenuhnya menyelesaikan masalah, jalankan perintah berikut:

    sudo apt --fix-broken install

Masalah: Utilitas manajer paket tidak dapat menyelesaikan ketergantungan paket

Masalah: Manajer paket asli pada node terkelola tidak dapat menyelesaikan ketergantungan paket dan tambalan gagal. Contoh pesan kesalahan berikut menunjukkan jenis kegagalan pada sistem operasi yang digunakan yum sebagai manajer paket.

09/22/2020 08:56:09 root [ERROR]: yum update failed with result code: 1, 
message: [u'rpm-python-4.11.3-25.amzn2.0.3.x86_64 requires rpm = 4.11.3-25.amzn2.0.3', 
u'awscli-1.18.107-1.amzn2.0.1.noarch requires python2-botocore = 1.17.31']

Penyebab: Pada sistem operasi Linux, Patch Manager menggunakan manajer paket asli pada mesin untuk menjalankan operasi patching. sepertiyum,,dnf, apt dan. zypper Aplikasi secara otomatis mendeteksi, menginstal, memperbarui, atau menghapus paket dependen sesuai kebutuhan. Namun, beberapa kondisi dapat mengakibatkan manajer paket tidak dapat menyelesaikan operasi ketergantungan, seperti:

  • Beberapa repositori yang saling bertentangan dikonfigurasi pada sistem operasi.

  • Repositori jarak jauh tidak dapat URL diakses karena masalah terkait jaringan.

  • Paket untuk arsitektur yang salah ditemukan di repositori.

Solusi: Patching mungkin gagal karena masalah ketergantungan karena berbagai alasan. Oleh karena itu, kami menyarankan Anda menghubungi AWS Support untuk membantu pemecahan masalah.

Kesalahan saat AWS-RunPatchBaseline berjalan Windows Server

Masalah: pasangan keluarga produk/produk yang tidak cocok

Masalah: Ketika Anda membuat dasar patch di konsol Systems Manager, Anda menentukan keluarga produk dan produk. Sebagai contoh, Anda dapat memilih:

  • Keluarga produk: Office

    Produk: Office 2016

Penyebab: Jika Anda mencoba untuk membuat dasar patch dengan pasangan keluarga produk/produk yang tidak cocok, sebuah pesan kesalahan akan ditampilkan. Berikut ini adalah beberapa alasan mengapa hal ini terjadi:

  • Anda memilih pasangan keluarga produk dan produk yang valid tetapi kemudian menghapus pilihan keluarga produk.

  • Anda memilih produk dari sub-daftar Pilihan usang atau tidak cocok bukan dari sub-daftar Pilihan yang tersedia dan cocok.

    Item dalam produk Sublis opsi usang atau tidak cocok mungkin telah dimasukkan dalam kesalahan melalui perintah or (). SDK AWS Command Line Interface AWS CLIcreate-patch-baseline Ini bisa berarti adanya kesalahan pengetikan atau produk ditugaskan ke keluarga produk yang salah. Sebuah produk juga disertakan dalam sub-daftar Pilihan usang atau tidak cocok jika ditentukan untuk dasar patch sebelumnya tetapi tidak memiliki patch yang tersedia dari Microsoft.

Solusi: Untuk menghindari masalah ini di konsol, selalu pilih opsi dari sub-daftar Pilihan yang tersedia saat ini.

Anda juga dapat melihat produk yang memiliki tambalan yang tersedia dengan menggunakan describe-patch-properties perintah di AWS CLI atau DescribePatchProperties API perintah.

Masalah: AWS-RunPatchBaseline output mengembalikan HRESULT (Windows Server)

Masalah: Anda menerima pesan kesalahan seperti berikut ini.

----------ERROR-------
Invoke-PatchBaselineOperation : Exception Details: An error occurred when 
attempting to search Windows Update.
Exception Level 1:
 Error Message: Exception from HRESULT: 0x80240437
 Stack Trace: at WUApiLib.IUpdateSearcher.Search(String criteria)..
(Windows updates)
11/22/2020 09:17:30 UTC | Info | Searching for Windows Updates.
11/22/2020 09:18:59 UTC | Error | Searching for updates resulted in error: Exception from HRESULT: 0x80240437
----------ERROR-------
failed to run commands: exit status 4294967295

Penyebab: Output ini menunjukkan bahwa Pembaruan Windows asli APIs tidak dapat menjalankan operasi penambalan.

Solusi: Periksa HResult kode dalam topik microsoft.com berikut untuk mengidentifikasi langkah-langkah pemecahan masalah untuk menyelesaikan kesalahan:

Masalah: node terkelola tidak memiliki akses ke Katalog Pembaruan Windows atau WSUS

Masalah: Anda menerima pesan kesalahan seperti berikut ini.

Downloading PatchBaselineOperations PowerShell module from https://s3.aws-api-domain/path_to_module.zip to C:\Windows\TEMP\Amazon.PatchBaselineOperations-1.29.zip.

Extracting PatchBaselineOperations zip file contents to temporary folder.

Verifying SHA 256 of the PatchBaselineOperations PowerShell module files.

Successfully downloaded and installed the PatchBaselineOperations PowerShell module.

Patch Summary for

PatchGroup :

BaselineId :

Baseline : null

SnapshotId :

RebootOption : RebootIfNeeded

OwnerInformation :

OperationType : Scan

OperationStartTime : 1970-01-01T00:00:00.0000000Z

OperationEndTime : 1970-01-01T00:00:00.0000000Z

InstalledCount : -1

InstalledRejectedCount : -1

InstalledPendingRebootCount : -1

InstalledOtherCount : -1

FailedCount : -1

MissingCount : -1

NotApplicableCount : -1

UnreportedNotApplicableCount : -1

EC2AMAZ-VL3099P - PatchBaselineOperations Assessment Results - 2020-12-30T20:59:46.169

----------ERROR-------

Invoke-PatchBaselineOperation : Exception Details: An error occurred when attempting to search Windows Update.

Exception Level 1:

Error Message: Exception from HRESULT: 0x80072EE2

Stack Trace: at WUApiLib.IUpdateSearcher.Search(String criteria)

at Amazon.Patch.Baseline.Operations.PatchNow.Implementations.WindowsUpdateAgent.SearchForUpdates(String

searchCriteria)

At C:\ProgramData\Amazon\SSM\InstanceData\i-02573cafcfEXAMPLE\document\orchestration\3d2d4864-04b7-4316-84fe-eafff1ea58

e3\PatchWindows\_script.ps1:230 char:13

+ $response = Invoke-PatchBaselineOperation -Operation Install -Snapsho ...

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : OperationStopped: (Amazon.Patch.Ba...UpdateOperation:InstallWindowsUpdateOperation) [Inv

oke-PatchBaselineOperation], Exception

+ FullyQualifiedErrorId : Exception Level 1:

Error Message: Exception Details: An error occurred when attempting to search Windows Update.

Exception Level 1:

Error Message: Exception from HRESULT: 0x80072EE2

Stack Trace: at WUApiLib.IUpdateSearcher.Search(String criteria)

at Amazon.Patch.Baseline.Operations.PatchNow.Implementations.WindowsUpdateAgent.SearchForUpdates(String searc

---Error truncated----

Penyebab: Kesalahan ini mungkin terkait dengan komponen Pembaruan Windows, atau kurangnya konektivitas ke Katalog Pembaruan Windows atau Layanan Pembaruan Server Windows (WSUS).

Solusi: Konfirmasikan bahwa node terkelola memiliki konektivitas ke Katalog Pembaruan Microsoft melalui gateway internet, NAT gateway, atau NAT instance. Jika Anda menggunakanWSUS, konfirmasikan bahwa node terkelola memiliki konektivitas ke WSUS server di lingkungan Anda. Jika konektivitas tersedia untuk tujuan yang dimaksudkan, periksa dokumentasi Microsoft untuk potensi penyebab HResult 0x80072EE2. Ini mungkin menunjukkan masalah tingkat sistem operasi.

Masalah: PatchBaselineOperations PowerShell modul tidak dapat diunduh

Masalah: Anda menerima pesan kesalahan seperti berikut ini.

Preparing to download PatchBaselineOperations PowerShell module from S3.
                    
Downloading PatchBaselineOperations PowerShell module from https://s3.aws-api-domain/path_to_module.zip to C:\Windows\TEMP\Amazon.PatchBaselineOperations-1.29.zip.
----------ERROR-------

C:\ProgramData\Amazon\SSM\InstanceData\i-02573cafcfEXAMPLE\document\orchestration\aaaaaaaa-bbbb-cccc-dddd-4f6ed6bd5514\

PatchWindows\_script.ps1 : An error occurred when executing PatchBaselineOperations: Unable to connect to the remote server

+ CategoryInfo : NotSpecified: (:) [Write-Error], WriteErrorException

+ FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,_script.ps1

failed to run commands: exit status 4294967295

Solusi: Periksa konektivitas node terkelola dan izin ke Amazon Simple Storage Service (Amazon S3). Peran node terkelola AWS Identity and Access Management (IAM) harus menggunakan izin minimum yang dikutip dalam. SSM Agent komunikasi dengan bucket S3 AWS terkelola Node harus berkomunikasi dengan titik akhir Amazon S3 melalui titik akhir gateway Amazon S3, gateway, NAT atau gateway internet. Untuk informasi lebih lanjut tentang persyaratan VPC Endpoint untuk AWS Systems Manager SSM Agent (SSM Agent), lihatMeningkatkan keamanan EC2 instans dengan menggunakan VPC endpoint untuk Systems Manager.

Masalah: patch yang hilang

Masalah: AWS-RunPatchbaseline berhasil diselesaikan, tetapi ada beberapa patch yang hilang.

Berikut ini adalah beberapa penyebab umum dan solusinya.

Penyebab 1: Baseline tidak efektif.

Solusi 1: Untuk memeriksa apakah ini penyebabnya, gunakan prosedur berikut.

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Run Command.

  3. Pilih tab Riwayat perintah lalu pilih perintah yang baseline-nya ingin Anda periksa.

  4. Pilih node terkelola yang memiliki tambalan yang hilang.

  5. Pilih Langkah 1 - Output dan temukan nilai BaselineId.

  6. Periksa konfigurasi dasar patch yang ditetapkan, yaitu, sistem operasi, nama produk, klasifikasi, dan kepelikan untuk dasar patch.

  7. Buka Katalog Microsoft Update.

  8. Cari artikel Pangkalan Pengetahuan Microsoft (KB) IDs (misalnya,KB3216916).

  9. Verifikasi bahwa nilai di bawah Produk cocok dengan node terkelola Anda dan pilih Judul yang sesuai. Jendela Detail Pembaruan baru akan terbuka.

  10. Di tab Ikhtisar, klasifikasi dan MSRCtingkat keparahan harus sesuai dengan konfigurasi dasar patch yang Anda temukan sebelumnya.

Penyebab 2: patch diganti.

Solusi 2: Untuk memeriksa apakah ini benar, gunakan prosedur berikut.

  1. Buka Katalog Microsoft Update.

  2. Cari artikel Pangkalan Pengetahuan Microsoft (KB) IDs (misalnya,KB3216916).

  3. Verifikasi bahwa nilai di bawah Produk cocok dengan node terkelola Anda dan pilih Judul yang sesuai. Jendela Detail Pembaruan baru akan terbuka.

  4. Buka tab Detail paket. Cari entri di bawah tajuk Pembaruan ini telah digantikan oleh pembaruan berikut:.

Penyebab 3: Patch yang sama mungkin memiliki nomor KB yang berbeda karena pembaruan online WSUS dan Window ditangani sebagai Saluran Rilis independen oleh Microsoft.

Solusi 3: Periksa kelayakan patch. Jika paket tidak tersedia di bawahWSUS, instal OS Build 14393.3115. Jika paket tersedia untuk semua build sistem operasi, instal OS Build 18362.1256 dan 18363.1256.

Menghubungi AWS Support

Jika Anda tidak dapat menemukan solusi pemecahan masalah di bagian ini atau di masalah Systems Manager di AWS re:Post, dan Anda memiliki AWS Support paket Pengembang, Bisnis, atau Perusahaan, Anda dapat membuat kasus dukungan teknis di. AWS Support

Sebelum Anda menghubungi AWS Support, kumpulkan item berikut:

  • SSMlog agen

  • Run Command ID perintah, ID jendela pemeliharaan, atau ID eksekusi Otomasi

  • Untuk Windows Server node terkelola, juga kumpulkan yang berikut ini:

    • %PROGRAMDATA%\Amazon\PatchBaselineOperations\Logs seperti yang dijelaskan pada tab Windows pada Cara menginstal patch

    • Log pembaruan Windows: Untuk Windows Server 2012 R2 dan yang lebih tua, gunakan%windir%/WindowsUpdate.log. Untuk Windows Server 2016 dan yang lebih baru, jalankan PowerShell perintah terlebih dahulu Get-WindowsUpdateLogsebelum menggunakan %windir%/WindowsUpdate.log

  • Untuk node yang dikelola Linux, kumpulkan juga yang berikut ini:

    • Isi direktori /var/lib/amazon/ssm/instance-id/document/orchestration/Run-Command-execution-id/awsrunShellScript/PatchLinux