本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
故障診斷 Patch Manager
使用下列資訊協助您疑難排解 的問題 Patch Manager, 的功能 AWS Systems Manager。
主題
問題:「調用PatchBaselineOperation :拒絕存取」錯誤或「無法從 S3 下載檔案」錯誤 baseline_overrides.json
問題:執行修補程式政策指定的修補作業時,您收到類似以下範例的錯誤。
原因 :您在 中建立了修補程式政策 Quick Setup,且某些受管節點已連接執行個體設定檔 (適用於EC2執行個體) 或服務角色 (適用於非EC2機器)。
不過,如下圖所示,您並未選取將必要IAM政策新增至連接至執行個體的現有執行個體設定檔核取方塊。
建立修補程式政策時,也會建立 Amazon S3 儲存貯體來存放政策的組態 baseline_overrides.json 檔案。如果您在建立政策時未選取將必要IAM政策新增至連接至執行個體的現有執行個體設定檔核取方塊,則 S3 儲存貯體baseline_overrides.json中存取所需的IAM政策和資源標籤不會自動新增至現有的IAM執行個體設定檔和服務角色。
解決方案 1:刪除現有的修補程式政策組態,然後建立取代,確保選取將必要的IAM政策新增至連接至執行個體的現有執行個體設定檔核取方塊。此選擇會套用此 建立IAM的政策 Quick Setup 已連接執行個體設定檔或服務角色的節點的組態。(依預設,Quick Setup 會將必要的政策新增至尚未具有執行個體設定檔或服務角色的執行個體和節點。) 如需詳細資訊,請參閱使用 自動化全組織修補 Quick Setup 修補程式政策 。
解決方案 2:將所需的許可和標籤手動新增至您使用的每個IAM執行個體設定檔IAM和服務角色 Quick Setup如需說明,請參閱 適用於修補程式政策 S3 儲存貯體的許可。
問題:修補失敗且沒有明顯的原因或錯誤訊息
問題:修補作業失敗且未傳回錯誤訊息。
可能的原因:如果一次發生多個 AWS-RunPatchBaseline 調用,這些調用之間可能會發生衝突,從而導致修補任務失敗。這可能不會在修補日誌中得到反映。
若要檢查並行修補操作是否可能彼此中斷,請檢閱 中的命令歷史記錄 Run Command, 的功能 AWS Systems Manager。對於發生修補失敗的受管節點,請檢查嘗試修補機器的多個作業之間的時間間隔是否不到 2 分鐘。有時候,這種情況可能會導致失敗。
您也可以使用 AWS Command Line Interface (AWS CLI),使用以下命令來檢查是否有並行修補嘗試。取代 的值 node-id 使用受管節點的 ID。
aws ssm list-commands \ --filter "key=DocumentName,value=AWS-RunPatchBaseline" \ --query 'Commands[*].{CommandId:CommandId,RequestedDateTime:RequestedDateTime,Status:Status}' \ --instance-idnode-id\ --output table
解決方案:如果您判斷修補因為相同受管節點上的修補作業競爭而失敗,請調整修補組態以避免再次發生這種情況。例如,如果兩個維護時段指定了重疊的修補時間,請移除或修訂其中一個維護時段。如果某個維護時段指定了一項修補作業,但修補程式政策在同一時間指定了不同的修補作業,請考慮從維護時段移除相關作業。
如果您判斷發生衝突的修補作業不是造成此情境中的失敗的原因,建議您聯絡 AWS Support。
問題:非預期的修補程式合規結果
問題:檢閱 Scan 操作之後產生的修補程式合規詳細資訊時,結果包含未反映修補基準中設定的規則之資訊。例如,您在修補基準中新增至 Rejected patches (已拒絕的修補程式) 清單的例外狀況會列為 Missing。或者,即使修補基準僅指定 Critical 修補程式,分類為 Important 的修補程式仍會列為遺失。
原因:Patch Manager 目前支援執行Scan操作的多種方法:
-
在 中設定的修補程式政策 Quick Setup
-
在 中設定的主機管理選項 Quick Setup
-
用來執行修補程式
Scan或Install任務的維護時段 -
隨需 Patch now (立即修補) 操作
當 Scan 操作執行時,其會覆寫最近掃描的合規詳細資訊。如果您已設定多個方法來執行 Scan 操作,而且其使用具有不同規則的不同修補基準,則會產生不同的修補程式合規結果。
解決方案:為了避免意外的修補程式合規結果,我們建議一次只使用一種方法來執行 Patch
Manager Scan 操作。如需詳細資訊,請參閱避免意外覆寫修補程式合規資料。
在 Linux 上執行 AWS-RunPatchBaseline 時發生錯誤
主題
- 問題:'No such file or directory' (沒有該檔案或目錄) 錯誤
- 問題:'another process has acquired yum lock' (另一個程序已取得 yum 鎖定) 錯誤
- 問題:'Permission denied / failed to run commands' (許可被拒/無法執行命令) 錯誤
- 問題:'Unable to download payload' (無法下載酬載) 錯誤
- 問題:'unsupported package manager and python version combination' (不支援的套件管理工具和 python 版本組合) 錯誤
- 問題:Patch Manager 未套用指定規則以排除特定套件
- 問題:修補失敗且 Patch Manager 報告伺服器名稱指示延伸模組TLS無法使用
- 問題:Patch Manager 報告 '不再需要嘗試的鏡像'
- 問題:修補失敗並顯示訊息 "Error code returned from curl is 23"
- 問題:修補失敗並顯示訊息 "Error unpacking rpm package…"
- 問題:修補失敗並顯示訊息 "Errors were encountered while downloading packages"
- 問題:修補失敗並顯示訊息 "The following signatures couldn't be verified because the public key is not available"
- 問題:修補失敗,並顯示「NoMoreMirrorsRepoError」訊息
- 問題:修補失敗並顯示訊息 "Unable to download payload"
- 問題:修補失敗並顯示訊息 "install errors: dpkg: error: dpkg frontend is locked by another process"
- 問題:修補 Ubuntu Server 失敗,且 'dpkg 已中斷' 錯誤
- 問題:套件管理工具公用程式無法解決套件相依性問題
問題:'No such file or directory' (沒有該檔案或目錄) 錯誤
問題:當您執行 AWS-RunPatchBaseline 時,修補會失敗,並顯示下列其中一個錯誤。
IOError: [Errno 2] No such file or directory: 'patch-baseline-operations-X.XX.tar.gz'
Unable to extract tar file: /var/log/amazon/ssm/patch-baseline-operations/patch-baseline-operations-1.75.tar.gz.failed to run commands: exit status 155
Unable to load and extract the content of payload, abort.failed to run commands: exit status 152
原因 1:要執行 AWS-RunPatchBaseline 的兩個命令在同一受管節點上同時執行。這將建立一個競爭條件,導致無法建立或正常存取臨時 file patch-baseline-operations*。
原因 2:/var 目錄下保留的儲存空間不足。
解決方案 1:確保沒有任何維護時段具有兩個或更多 Run Command AWS-RunPatchBaseline 以相同優先順序層級執行,並在相同目標 上執行的任務IDs。如果是這種情況,請重新排序優先順序。Run Command 是 的功能 AWS Systems Manager。
解決方案 2:確保一次只執行一個維護時段 Run Command 在AWS-RunPatchBaseline相同目標和相同排程上使用的任務。若發生此情形,請變更排程。
解決方案 3:確保只有一個 State Manager 關聯正在相同的排程AWS-RunPatchBaseline上執行,並以相同的受管節點為目標。State Manager 是 的功能 AWS Systems Manager。
解決方案 4:在 /var 目錄下為更新套件釋放足夠的儲存空間。
問題:'another process has acquired yum lock' (另一個程序已取得 yum 鎖定) 錯誤
問題:當您執行 AWS-RunPatchBaseline 時,修補會失敗,並顯示下列錯誤。
12/20/2019 21:41:48 root [INFO]: another process has acquired yum lock, waiting 2 s and retry.
原因:AWS-RunPatchBaseline 文件已經開始在另一個操作中執行的受管節點上執行,並且已經取得套件管理工具 yum 程序。
解決方案:確保沒有 State Manager 關聯、維護時段任務或AWS-RunPatchBaseline排程上執行的其他組態會同時鎖定相同的受管節點。
問題:'Permission denied / failed to run commands' (許可被拒/無法執行命令) 錯誤
問題:當您執行 AWS-RunPatchBaseline 時,修補會失敗,並顯示下列錯誤。
sh: /var/lib/amazon/ssm/instanceid/document/orchestration/commandid/PatchLinux/_script.sh: Permission denied failed to run commands: exit status 126
原因:/var/lib/amazon/ 可能掛載了 noexec 許可。這是一個問題,因為 SSM Agent 會將承載指令碼下載到 /var/lib/amazon/ssm並從該位置執行。
解決方案:請確定您已將專屬分割區設定為 /var/log/amazon 和 /var/lib/amazon,並且這些分割區掛載了 exec 許可。
問題:'Unable to download payload' (無法下載酬載) 錯誤
問題:當您執行 AWS-RunPatchBaseline 時,修補會失敗,並顯示下列錯誤。
Unable to download payload: https://s3.amzn-s3-demo-bucket.region.amazonaws.com/aws-ssm-region/patchbaselineoperations/linux/payloads/patch-baseline-operations-X.XX.tar.gz.failed to run commands: exit status 156
原因:受管節點沒有存取指定 Amazon Simple Storage Service (Amazon S3) 儲存貯體的必要許可。
解決方案:更新您的網路組態,讓 S3 端點可以連線。如需詳細資訊,請參閱 的 S3 儲存貯體必要存取權的相關資訊 Patch Manager 在 SSM Agent 與 AWS 受管 S3 儲存貯體的通訊 中。
問題:'unsupported package manager and python version combination' (不支援的套件管理工具和 python 版本組合) 錯誤
問題:當您執行 AWS-RunPatchBaseline 時,修補會失敗,並顯示下列錯誤。
An unsupported package manager and python version combination was found. Apt requires Python3 to be installed. failed to run commands: exit status 1
原因 : 上未安裝支援的 python3 版本 Debian Server, Raspberry Pi OS,或 Ubuntu Server 執行個體。
解決方案:在伺服器上安裝支援的 python3 版本 (3.0 - 3.10),這是 所需的 Debian Server, Raspberry Pi OS 和 Ubuntu Server 受管節點。
問題:Patch Manager 未套用指定規則以排除特定套件
問題 :您已嘗試透過在 /etc/yum.conf 檔案中以 格式指定特定套件來將其排除exclude=,但不會在 期間排除這些套件 Patch Manager package-nameInstall 操作。
原因:Patch Manager 未包含/etc/yum.conf檔案中指定的排除項目。
解決方案:若要排除特定套件,請建立自訂修補基準,並建立規則以排除您不想安裝的套件。
問題:修補失敗且 Patch Manager 報告伺服器名稱指示延伸模組TLS無法使用
問題:修補操作會發出下列訊息。
/var/log/amazon/ssm/patch-baseline-operations/urllib3/util/ssl_.py:369: SNIMissingWarning: An HTTPS request has been made, but the SNI (Server Name Indication) extension to TLS is not available on this platform. This might cause the server to present an incorrect TLS certificate, which can cause validation failures. You can upgrade to a newer version of Python to solve this. For more information, see https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
原因:此訊息並不表示錯誤。相反地,這是警告,表示隨作業系統分佈的舊版 Python 不支援TLS伺服器名稱指示。Systems Manager 修補程式承載指令碼會在連線至 AWS APIs支援 時發出此警告SNI。
解決方案:若要在報告此訊息時對任何修補故障進行故障診斷,請檢閱 stdout 和 stderr 檔案的內容。如果您尚未設定修補程式基準,將這些檔案存放在 S3 儲存貯體或 Amazon CloudWatch Logs 中,您可以在 Linux 受管節點的下列位置找到檔案。
/var/lib/amazon/ssm/instance-id/document/orchestration/Run-Command-execution-id/awsrunShellScript/PatchLinux
問題:Patch Manager 報告 '不再需要嘗試的鏡像'
問題:修補操作會發出下列訊息。
[Errno 256] No more mirrors to try.
原因:受管節點上設定的儲存庫無法正常運作。可能的原因包括:
-
yum快取已毀損。 -
由於網路相關問題,URL無法聯絡儲存庫。
解決方案:Patch Manager 使用受管節點的預設套件管理員來執行修補操作。再次檢查儲存庫是否已設定並正常運作。
問題:修補失敗並顯示訊息 "Error code returned from curl is 23"
問題:使用 AWS-RunPatchBaseline 的修補作業失敗,並出現類似以下內容的錯誤:
05/01/2023 17:04:30 root [ERROR]: Error code returned from curl is 23
原因:您的系統上使用的 curl 工具缺少寫入文件系統所需的許可。如果套件管理工具的預設 curl 工具被其他版本取代,例如使用 snap 安裝的版本,就會發生這種情況。
解決方案:如果在安裝不同版本時解除安裝了套件管理工具提供的 curl 版本,請重新安裝。
如果您需要保留安裝的多個 curl 版本,請確保與套件管理工具相關聯的版本位於 PATH 變數中列出的第一個目錄中。您可以透過執行 echo $PATH 命令來檢查,以查看檢查系統上的目錄是否有可執行檔的目錄順序。
問題:修補失敗並顯示訊息 "Error unpacking rpm package…"
問題:修補作業失敗,並出現類似下列內容的錯誤:
Error : Error unpacking rpm package python-urllib3-1.25.9-1.amzn2.0.2.noarch python-urllib3-1.25.9-1.amzn2.0.1.noarch was supposed to be removed but is not! failed to run commands: exit status 1
原因 1:當特定套件存在於多個套件安裝程式 (例如 pip 和 yum 或 dnf) 時,使用預設套件管理工具時可能會發生衝突。
urllib3 套件 (可在 pip、yum 和 dnf 中找到) 就是一個常見的範例。
原因 2:python-urllib3 套件已損毀。如果 rpm 套件在先前由 yum 或 dnf 安裝,並且之後由 pip 安裝或更新了套件檔案,就可能會發生這種情況。
解決方案:透過執行 sudo pip uninstall urllib3 命令從 pip 中移除 python-urllib3 套件,僅將套件保留在預設套件管理工具 (yum 或 dnf) 中。
問題:修補失敗並顯示訊息 "Errors were encountered while downloading packages"
問題:在修補期間,收到類似以下內容的錯誤:
YumDownloadError: [u'Errors were encountered while downloading packages.', u'libxml2-2.9.1-6.el7_9.6.x86_64: [Errno 5] [Errno 12] Cannot allocate memory', u'libxslt-1.1.28-6.el7.x86_64: [Errno 5] [Errno 12] Cannot allocate memory', u'libcroco-0.6.12-6.el7_9.x86_64: [Errno 5] [Errno 12] Cannot allocate memory', u'openldap-2.4.44-25.el7_9.x86_64: [Errno 5] [Errno 12] Cannot allocate memory',
原因:在受管節點上的記憶體不足時,可能會發生此錯誤。
解決方案:設定 swap 記憶體,或將執行個體升級為其他類型以增加記憶體。然後啟動新的修補作業。
問題:修補失敗並顯示訊息 "The following signatures couldn't be verified because the public key is not available"
問題 :修補失敗 Ubuntu Server 出現類似下列的錯誤:
02/17/2022 21:08:43 root [ERROR]: W:GPG error: http://repo.mysql.com/apt/ubuntu bionic InRelease: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 467B942D3A79BD29, E:The repository ' http://repo.mysql.com/apt/ubuntu bionic
原因 :GNUPrivacy Guard (GPG) 金鑰已過期或遺失。
解決方案:重新整理GPG金鑰,或再次新增金鑰。
例如,根據前面顯示的錯誤,我們看到 467B942D3A79BD29 金鑰遺失且必須新增。若要這麼做,請執行任一下列命令:
sudo apt-key adv --keyserver hkps://keyserver.ubuntu.com --recv-keys 467B942D3A79BD29
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys 467B942D3A79BD29
或者,若要重新整理所有金鑰,請執行以下命令:
sudo apt-key adv --keyserver hkps://keyserver.ubuntu.com --refresh-keys
如果在此之後發生錯誤,建議您將問題報告給維護儲存庫的組織。在修補可用之前,您可以編輯 /etc/apt/sources.list 檔案,以便在修補期間省略此儲存庫。
若要這麼做,請開啟要編輯的 sources.list 檔案,找到儲存庫所在的行,然後在該行的開頭插入一個 # 字元以將其註解掉。然後儲存並關閉檔案。
問題:修補失敗,並顯示「NoMoreMirrorsRepoError」訊息
問題:收到類似以下內容的錯誤:
NoMoreMirrorsRepoError: failure: repodata/repomd.xml from pgdg94: [Errno 256] No more mirrors to try.
原因:來源儲存庫中存在錯誤。
解決方案:建議您將問題報告給維護該儲存庫的組織。在錯誤得到修正之前,您可以在作業系統層級停用此儲存庫。若要這麼做,請執行下列命令,取代 的值 repo-name 您的儲存庫名稱:
yum-config-manager --disablerepo-name
以下是範例。
yum-config-manager --disable pgdg94
執行此命令之後,請另執行修補操作。
問題:修補失敗並顯示訊息 "Unable to download payload"
問題:收到類似以下內容的錯誤:
Unable to download payload: https://s3.dualstack.eu-west-1.amazonaws.com/aws-ssm-eu-west-1/patchbaselineoperations/linux/payloads/patch-baseline-operations-1.83.tar.gz. failed to run commands: exit status 156
原因:受管節點組態包含錯誤或不完整。
解決方案:請確保受管節點的設定如下:
-
安全群組中的傳出 TCP 443 規則。
-
在 TCP 中輸出 443 規則NACL。
-
在 中輸入 TCP 1024-65535 規則NACL。
-
NAT/IGW 在路由表中提供 S3 端點的連線。如果執行個體無法存取網際網路,請提供與 S3 端點的連線。若要這麼做,請在 中新增 S3 閘道端點,VPC並將其與受管節點的路由表整合。
問題:修補失敗並顯示訊息 "install errors: dpkg: error: dpkg frontend is locked by another process"
問題:修補失敗並出現類似以下內容的錯誤:
install errors: dpkg: error: dpkg frontend is locked by another process failed to run commands: exit status 2 Failed to install package; install status Failed
原因:套件管理工具已經在作業系統層級的受管節點上執行另一個程序。如果其他程序需要很長時間才能完成,Patch Manager 修補操作可能會逾時並失敗。
解決方案:在使用套件管理工具的另一個程序完成之後,執行新的修補作業。
問題:修補 Ubuntu Server 失敗,且 'dpkg 已中斷' 錯誤
問題 :開啟 Ubuntu Server,修補失敗,並出現類似下列的錯誤:
E: dpkg was interrupted, you must manually run 'dpkg --configure -a' to correct the problem.
原因:一個或多個套件設定錯誤。
解決方案:執行以下步驟:
-
一次執行一條下列命令,以查看哪些套件受到影響以及每個套件的問題:
sudo apt-get checksudo dpkg -Cdpkg-query -W -f='${db:Status-Abbrev} ${binary:Package}\n' | grep -E ^.[^nci] -
執行以下命令以修正有問題的套件:
sudo dpkg --configure -a -
如果上一個命令未能完全解決問題,請執行以下命令:
sudo apt --fix-broken install
問題:套件管理工具公用程式無法解決套件相依性問題
問題:受管節點上的原生套件管理工具無法解決套件相依性問題,且修補失敗。以下錯誤訊息範例指出在使用 yum 作為套件管理工具的作業系統上發生的這種失敗類型。
09/22/2020 08:56:09 root [ERROR]: yum update failed with result code: 1, message: [u'rpm-python-4.11.3-25.amzn2.0.3.x86_64 requires rpm = 4.11.3-25.amzn2.0.3', u'awscli-1.18.107-1.amzn2.0.1.noarch requires python2-botocore = 1.17.31']
原因 :在 Linux 作業系統上,Patch Manager 會使用機器上的原生套件管理員來執行修補操作。例如 yum、dnf、 apt和 zypper。應用程式會根據需要自動偵測、安裝、更新或移除相依套件。但是,某些情況可能會導致套件管理工具無法完成相依性作業,例如:
-
作業系統上設定了多個衝突的儲存庫。
-
由於網路相關問題,URL無法存取遠端儲存庫。
-
在儲存庫中找到適用於錯誤架構的套件。
解決方案:修補程式可能會因為各種原因造成的相依性問題而失敗。因此,我們建議您聯絡 AWS Support 以協助疑難排解。
在 AWS-RunPatchBaseline上執行時發生錯誤 Windows Server
主題
問題:產品系列/產品配對不相符
問題:當您在 Systems Manager 主控台中建立修補基準時,您會指定產品系列和產品。例如,您可能選擇:
-
產品系列:
Office產品:
Office 2016
原因:如果您嘗試以不符合的產品系列/產品配對來建立修補基準,則會出現錯誤訊息。以下為此狀況發生的原因:
-
您已選擇有效的產品系列和產品配對,但將該產品系列選擇移除了。
-
您選擇了 Obsolete or mismatched options (已淘汰或不符合的選項) 子清單中的產品,而非 Available and matching options (可用和符合的選項) 子清單中的產品。
產品過時或不相符選項子清單中的項目可能錯誤地透過 SDK或 AWS Command Line Interface (AWS CLI)
create-patch-baseline命令輸入。這可能代表著導入了拼寫錯誤或產品被指派給錯誤的產品系列。如果已為之前的修補基準指定,但沒有 Microsoft 提供的修補程式,則產品也會包含在 Obsolete or mismatched options (已淘汰或不符合的選項) 子清單中。
解決方案:為了避免在主控台中出現此問題,請一律從 Currently available options (目前可用的選項) 子清單中進行選擇。
您也可以在 或 命令中使用 AWS CLI describe-patch-properties命令來檢視具有可用修補程式的產品DescribePatchPropertiesAPI。
問題:AWS-RunPatchBaseline輸出傳回 HRESULT(Windows Server)
問題:您收到了以下錯誤:
----------ERROR------- Invoke-PatchBaselineOperation : Exception Details: An error occurred when attempting to search Windows Update. Exception Level 1: Error Message: Exception from HRESULT: 0x80240437 Stack Trace: at WUApiLib.IUpdateSearcher.Search(String criteria).. (Windows updates) 11/22/2020 09:17:30 UTC | Info | Searching for Windows Updates. 11/22/2020 09:18:59 UTC | Error | Searching for updates resulted in error: Exception from HRESULT: 0x80240437 ----------ERROR------- failed to run commands: exit status 4294967295
原因 :此輸出表示原生 Windows Update APIs無法執行修補操作。
解決方案:檢查以下 microsoft.com 主題中的 HResult 程式碼以識別解決錯誤的故障診斷步驟:
問題:受管節點無法存取 Windows Update Catalog 或 WSUS
問題:您收到了以下錯誤:
Downloading PatchBaselineOperations PowerShell module from https://s3.aws-api-domain/path_to_module.zip to C:\Windows\TEMP\Amazon.PatchBaselineOperations-1.29.zip. Extracting PatchBaselineOperations zip file contents to temporary folder. Verifying SHA 256 of the PatchBaselineOperations PowerShell module files. Successfully downloaded and installed the PatchBaselineOperations PowerShell module. Patch Summary for PatchGroup : BaselineId : Baseline : null SnapshotId : RebootOption : RebootIfNeeded OwnerInformation : OperationType : Scan OperationStartTime : 1970-01-01T00:00:00.0000000Z OperationEndTime : 1970-01-01T00:00:00.0000000Z InstalledCount : -1 InstalledRejectedCount : -1 InstalledPendingRebootCount : -1 InstalledOtherCount : -1 FailedCount : -1 MissingCount : -1 NotApplicableCount : -1 UnreportedNotApplicableCount : -1 EC2AMAZ-VL3099P - PatchBaselineOperations Assessment Results - 2020-12-30T20:59:46.169 ----------ERROR------- Invoke-PatchBaselineOperation : Exception Details: An error occurred when attempting to search Windows Update. Exception Level 1: Error Message: Exception from HRESULT: 0x80072EE2 Stack Trace: at WUApiLib.IUpdateSearcher.Search(String criteria) at Amazon.Patch.Baseline.Operations.PatchNow.Implementations.WindowsUpdateAgent.SearchForUpdates(String searchCriteria) At C:\ProgramData\Amazon\SSM\InstanceData\i-02573cafcfEXAMPLE\document\orchestration\3d2d4864-04b7-4316-84fe-eafff1ea58 e3\PatchWindows\_script.ps1:230 char:13 + $response = Invoke-PatchBaselineOperation -Operation Install -Snapsho ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : OperationStopped: (Amazon.Patch.Ba...UpdateOperation:InstallWindowsUpdateOperation) [Inv oke-PatchBaselineOperation], Exception + FullyQualifiedErrorId : Exception Level 1: Error Message: Exception Details: An error occurred when attempting to search Windows Update. Exception Level 1: Error Message: Exception from HRESULT: 0x80072EE2 Stack Trace: at WUApiLib.IUpdateSearcher.Search(String criteria) at Amazon.Patch.Baseline.Operations.PatchNow.Implementations.WindowsUpdateAgent.SearchForUpdates(String searc ---Error truncated----
原因 :此錯誤可能與 Windows Update 元件有關,或與 Windows Update Catalog 或 Windows Server Update Services () 的連線不足有關WSUS。
解決方案 :確認受管節點已透過網際網路閘道、NAT閘道或NAT執行個體連線至 Microsoft Update CatalogHResult 0x80072EE2 的其他潛在原因。這可能表示作業系統層級有問題。
問題: PatchBaselineOperations PowerShell 模組無法下載
問題:您收到了以下錯誤:
Preparing to download PatchBaselineOperations PowerShell module from S3.
Downloading PatchBaselineOperations PowerShell module from https://s3.aws-api-domain/path_to_module.zip to C:\Windows\TEMP\Amazon.PatchBaselineOperations-1.29.zip.
----------ERROR-------
C:\ProgramData\Amazon\SSM\InstanceData\i-02573cafcfEXAMPLE\document\orchestration\aaaaaaaa-bbbb-cccc-dddd-4f6ed6bd5514\
PatchWindows\_script.ps1 : An error occurred when executing PatchBaselineOperations: Unable to connect to the remote server
+ CategoryInfo : NotSpecified: (:) [Write-Error], WriteErrorException
+ FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,_script.ps1
failed to run commands: exit status 4294967295
解決方案:檢查受管節點的連線和 Amazon Simple Storage Service (Amazon S3) 的許可。受管節點的 AWS Identity and Access Management (IAM) 角色必須使用 中引用的最小許可SSM Agent 與 AWS 受管 S3 儲存貯體的通訊。節點必須透過 Amazon S3 閘道端點、NAT閘道或網際網路閘道與 Amazon S3 端點通訊。如需 VPC端點需求的詳細資訊 AWS Systems Manager SSM Agent (SSM Agent),請參閱 使用 Systems Manager 的VPC端點來改善EC2執行個體的安全性。
問題:缺少修補程式
問題:AWS-RunPatchbaseline 成功完成,但有一些缺少的修補程式。
以下是一些常見原因及其解決方案。
原因 1:基準無效。
解決方案 1:如需檢查這是否為原因,請使用下列處理程序。
在 開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/
。 在導覽窗格中,選擇 Run Command.
-
選取 Command history (命令歷史記錄) 標籤,然後選取您要檢查其基準的命令。
-
選取缺少修補程式的受管節點。
-
選擇 Step 1 - Output (步驟 1 – 輸出) 並尋找
BaselineId值。 -
檢查指派的修補基準組態,即修補基準的作業系統、產品名稱、分類和嚴重性。
-
前往 Microsoft 更新目錄
。 -
搜尋 Microsoft 知識庫 (KB) 文章 IDs(例如 KB3216916)。
-
確認 Product (產品) 下的該值是否與受管節點的值相符,並選取相應的 Title (標題)。新的 Update Details (更新詳細資訊) 時段將會開啟。
-
在概觀索引標籤中,分類和MSRC嚴重性必須符合您先前找到的修補程式基準組態。
原因 2:修補程式已被取代。
解決方案 2:如需檢查這是否為真實情形,請使用下列處理程序。
-
前往 Microsoft 更新目錄
。 -
搜尋 Microsoft 知識庫 (KB) 文章 IDs(例如 KB3216916)。
-
確認 Product (產品) 下的該值是否與受管節點的值相符,並選取相應的 Title (標題)。新的 Update Details (更新詳細資訊) 時段將會開啟。
-
前往 Package Details (套件詳細資訊) 標籤。尋找 This update has been replaced by the following updates: (此更新已由以下更新取代) 標頭下的項目。
原因 3:相同的修補程式可能具有不同的 KB 編號,因為 Microsoft 會將 WSUS和 Window 線上更新視為獨立的發行管道處理。
解決方案 3:檢查修補程式的資格。如果套件在 下無法使用WSUS,請安裝 OS Build 14393.3115
聯絡 AWS Support
如果您在本節或 AWS re:Post
聯絡 之前 AWS Support,請收集下列項目:
-
Run Command 命令 ID、維護時段 ID 或自動化執行 ID
-
用於 Windows Server 受管節點也會收集下列項目:
-
如 如何安裝修補程式 的 Windows (Windows) 標籤中所述的
%PROGRAMDATA%\Amazon\PatchBaselineOperations\Logs -
Windows 更新日誌:適用於 Windows Server 2012 R2 及更舊版本,請使用
%windir%/WindowsUpdate.log。用於 Windows Server 2016 年及更新版本,請先執行 PowerShell 命令,Get-WindowsUpdateLog然後再使用 %windir%/WindowsUpdate.log
-
-
對於 Linux 受管節點,也會收集下列項目:
-
目錄
/var/lib/amazon/ssm/的內容instance-id/document/orchestration/Run-Command-execution-id/awsrunShellScript/PatchLinux
-
