AWSSupport-TroubleshootWindowsUpdate - AWS Systems Manager 自動化手冊參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWSSupport-TroubleshootWindowsUpdate

Description

AWSSupport-TroubleshootWindowsUpdate執行手冊是用來識別可能失敗的問題,Amazon Elastic Compute Cloud (Amazon EC2) Windows 執行個體的 Windows 更新。

它是如何工作的?

執行手冊執行下列步驟:

  • 檢查目標 Amazon EC2 執行個體是否由管理 AWS Systems Manager。

  • 檢查系統管理員修補作業是否支援代理程式 (SSM 代理程式) 和 Windows 伺服器版本。 AWS Systems Manager

  • 檢查建議用於 Windows 更新的可用磁碟空間,以及重新開機是否處於擱置狀態。擱置中的重新啟動通常表示更新正在擱置中,並且在執行其他更新之前需要重新啟動。

  • 在作業系統層級設定 Proxy 設定,這有助於疑難排解連線問題。

  • 執行 Amazon Simple Storage Service (Amazon S3) 端點連線測試,並呼叫 GetDeployablePatchSnapshotForInstanceAPI 操作以擷取受管節點使用之修補基準的目前快照。

  • 如果連線失敗,提供執行手AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2冊的選項,以分析執行個體與 Amazon S3 端點的連線。

  • 驗證 Windows 更新組態並測試 Windows 伺服器更新服務 (WSUS) (如果適用)。

重要

  • 不支援使用中目錄網域控制站。

  • 不支援視窗伺服器 2008 R2 版或以前的版本。

  • 不支援 SSM 代理程式 1.2.371 或之前的版本。

  • AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2runbook 用來分析VPC Reachability Analyzer來源和服務端點之間的網路連線。您需要針對來源與目標之間執行的分析收費。如需詳細資訊,請參閱 Amazon VPC 定價

  • 並非所有支援「Systems Manager」的地區都可使用 AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2 Runbook。

運行此自動化(控制台)

文件類型

 自動化

擁有者

Amazon

平台

Windows

參數

必要的 IAM 許可

AutomationAssumeRole參數需要下列動作才能成功使用 runbook。

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • ssm:DescribeInstanceInformation

  • ssm:SendCommand

  • ssm:ListCommandInvocations

  • ssm:ListCommands

注意

若要執行子 RunbookAWSSupport-AnalyzeAWSEndpointReachabilityFromEC2,請新增此文件中列出的權限。

指示

請依照下列步驟設定自動化操作:

  1. 瀏覽至「文件」下AWSSupport-TroubleshootWindowsUpdate的「Systems Manager」。

  2. 選擇 Execute automation (執行自動化)。

  3. 對於輸入參數,請輸入以下內容:

    • AutomationAssumeRole (可選):

      (IAM) 角色的 Amazon 資源名稱 AWS AWS Identity and Access Management (ARN),可讓 Systems Manager 自動化代表您執行動作。如果未指定角色,Systems Manager 自動化會使用啟動此 runbook 的使用者的權限。

    • InstanceId (必填):

      輸入視窗更新失敗的 Amazon EC2 執行個體識別碼。

    • RunVpcReachabilityAnalyzer(可選):

      如果網路問題是由延伸檢查判斷,或指定true的執行個體 ID 不是代管執行個體,請指定執行AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2自動化操作。如需有關此子自動化的詳細資訊,請參閱文件。預設值為 false

    • RetainVpcReachabilityAnalysis(可選):

      只有相關RunVpcReachabilityAnalyzer,如果是true。指定true保留由建立的網路分析路徑和相關分析Reachability Analyzer。依預設,這些資源會在成功分析後刪除。如果您選擇保留分析,子工作流程簿不會刪除分析,您可以在 Amazon VPC 主控台中將其視覺化。控制台鏈接將在子自動化輸出中可用。預設值false

    Input parameters form for an AWS EC2 instance with fields for InstanceId and automation options.

  4. 選取執行。

  5. 自動化啟動。

  6. 文件會執行下列步驟:

    • getWindowsServerAndSSMAgentVersion:

      驗證目標執行個體是由管理的, AWS Systems Manager 並取得 SSM 代理程式版本和 Windows 版本的詳細資料。

    • assertifInstanceIsSsmManaged:

      確保 Amazon EC2 實例由 AWS Systems Manager (SSM) 管理,否則自動化結束。

    • CheckProxy:

      檢查 Windows 執行個體的所有代理伺服器類型。

    • CheckPrerequisites:

      取得 SSM 代理程式版本和 Windows 版本,並判斷它是否為使用中目錄網域控制站 (DC)。如果執行個體是 DC 或 SSM 代理程式或 Windows 版本不受支援,執行手冊就會停止。

    • CheckDiskSpace:

      取得並驗證 Windows 執行個體上的可用磁碟空間 (如果它足以執行 Windows 更新)。

    • CheckPendingReboot:

      檢查 Windows 執行個體上是否有擱置中的重新開機。

    • CheckS3Connectivity:

      檢查執行個體是否可以連接的 Amazon S3 端點Patchbaseline

    • branchOnRunVpcReachabilityAnalyzer:

      如果RunVpcReachabilityAnalyzer是 true,則它會分支自動化以執行更深入的分析,以偵錯 Amazon S3 連線。

    • GenerateEndpoints:

      產生端點以對 Amazon S3 端點進行延伸連線檢查。

    • analyzeAwsEndpointReachabilityFromEC2:

      呼叫自動化 runbook,以檢查所選執行處理至所需端點的連線能力AWSSupport-AnalyzeAWSEndpointReachabilityFromEC2

    • CheckWindowsUpdateServices:

      檢查 Windows 更新服務狀態和啟動類型。

    • CheckWindowsUpdateSettings:

      檢查透過 Windows 執行個體設定的 Windows 更新原則。

    • CheckWSUSSettings:

      檢查 Windows 更新是否設定 WSUS 或 Microsoft 更新目錄,並驗證連線能力。

    • CheckWUGlobalSettings:

      檢查透過 Windows 執行個體設定的 Windows 更新全域設定。

    • GenerateLogs:

      將 Windows 更新記錄檔和 CBS 記錄檔下載至執行個體桌面,並檢查 Windows 事件記錄檔是否有失敗。

    • FinalReport:

      產生所有步驟的完整報告。

  7. 完成後,請查看「輸出」部分以獲取執行的詳細結果:

    Final report results showing various system checks and statuses, all marked as PASSED.

參考

Systems Manager Automation

與 AWS 服務相關的文件