Informationen zum Patchen von Anwendungen, die von Microsoft unter Windows Server veröffentlicht wurden

Verwenden Sie die Informationen in diesem Thema, um die Vorbereitung auf Patchanwendungen auf Windows Server mit Patch Manager, einer Funktion von AWS Systems Manager, zu erleichtern.

Patching von Microsoft-Anwendungen

Patching-Support für Anwendungen auf von Windows Server verwalteten Knoten ist auf Anwendungen beschränkt, die von Microsoft veröffentlicht werden.

Anmerkung

In einigen Fällen veröffentlicht Microsoft Patches für Anwendungen, die kein aktualisiertes Datum und keine aktualisierte Uhrzeit angeben. In diesen Fällen wird ein aktualisiertes Datum und eine Uhrzeit von 01/01/1970 standardmäßig angegeben.

Patch-Baselines, um von Microsoft veröffentlichte Anwendungen zu patchen

Für Windows Server werden drei vordefinierte Patch-Baselines bereitgestellt. Die Patch-Baselines AWS-DefaultPatchBaseline und AWS-WindowsPredefinedPatchBaseline-OS unterstützen nur Betriebssystemupdates auf dem Windows-Betriebssystem selbst. AWS-DefaultPatchBaseline wird als Standard-Patch-Baseline für von Windows Server verwalteten Knoten verwendet, es sei denn, Sie geben eine andere Patch-Baseline an. Die Konfigurationseinstellungen in diesen beiden Patch-Baselines sind identisch. Die neuere der beiden, AWS-WindowsPredefinedPatchBaseline-OS, wurde erstellt, um sie von der dritten vordefinierten Patch-Baseline für Windows Server zu unterscheiden. Diese Patch-Baseline, AWS-WindowsPredefinedPatchBaseline-OS-Applications, kann verwendet werden, um Patches sowohl auf das Windows Server-Betriebssystem als auch auf unterstützte Anwendungen, die von Microsoft veröffentlicht wurden, anzuwenden.

Sie können zum Aktualisieren von Anwendungen, die von Microsoft veröffentlicht wurden, auf Windows Server-Computern auch benutzerdefinierte Patch-Baselines erstellen.

Support für Patch-Anwendungen, die von Microsoft auf On-Premises-Servern, Edge-Geräten, VMs und anderen Nicht-EC2-Knoten veröffentlicht wurden

Aktivieren Sie das Advanced-Instances-Kontingent, um Anwendungen, die von Microsoft auf virtuellen Maschinen (VMs) und anderen nicht EC2-verwalteten Knoten veröffentlicht wurden, zu patchen. Die Nutzung des Advanced-Instances-Kontingents ist kostenpflichtig. Für Patch-Anwendungen, die von Microsoft auf Amazon Elastic Compute Cloud (Amazon EC2)-Instances veröffentlicht wurden, fallen jedoch keine zusätzlichen Gebühren an. Weitere Informationen finden Sie unter Konfigurieren von Instance-Kontingenten.

Windows-Update-Option für „andere Microsoft-Produkte“

Damit Patch Manager von Microsoft auf Ihren von Windows Server verwalteten Knoten veröffentlichte Anwendungen patchen kann, muss die Windows-Update-Option Ich möchte Updates für andere Microsoft-Produkte erhalten, wenn ich Windows aktualisiere auf dem verwalteten Knoten aktiviert sein.

Informationen zum Zulassen dieser Option für einen einzelnen verwalteten Knoten finden Sie unter Aktualisieren von Office mit Microsoft Update auf der Microsoft-Support-Website.

Bei einer Flotte von verwalteten Knoten auf Windows Server 2016 und höher können Sie die Einstellung mithilfe eines Group Policy Object (GPO, Gruppenrichtlinienobjekt) aktivieren. Navigieren Sie im Gruppenrichtlinien-Verwaltungseditor zu Computer-Konfiguration, Administrative Vorlagen, Windows-Komponenten, Windows-Updates und wählen Sie Installieren von Updates für andere Microsoft-Produkte aus. Wir empfehlen außerdem, das GPO mit zusätzlichen Parametern zu konfigurieren, die ungeplante automatische Updates und Neustarts außerhalb von Patch Manager verhindern. Weitere Informationen finden Sie unter Konfigurieren automatischer Updates in einer Umgebung ohne Active Directory auf der Website für technische Dokumentation von Microsoft.

Bei einer Flotte von verwalteten Knoten, die auf Windows Server 2012 oder 2012 R2 ausgeführt werden, können Sie die Option mithilfe eines Skripts aktivieren, wie unter Aktivieren und Deaktivieren von Microsoft Update in Windows 7 über Skript auf der Microsoft-Docs-Blog-Website beschrieben. Sie können z. B. Folgendes tun:

Speichern Sie das Skript aus dem Blogbeitrag in einer Datei.
Laden Sie die Datei in einen Amazon Simple Storage Service (Amazon S3)-Bucket oder an einem anderen zugänglichen Speicherort hoch.
Verwenden Sie Run Command, eine Funktion von AWS Systems Manager, um das Skript auf Ihren verwalteten Knoten mithilfe des Systems-Manager-Dokuments (SSM-Dokument) AWS-RunPowerShellScript mit einem dem folgenden ähnlichen Befehl auszuführen.
```
Invoke-WebRequest `
    -Uri "https://s3.aws-api-domain/DOC-EXAMPLE-BUCKET/script.vbs" `
    -Outfile "C:\script.vbs" cscript c:\script.vbs
```

Mindestparameteranforderungen

Um von Microsoft veröffentlichte Anwendungen in Ihre benutzerdefinierte Patch-Baseline aufzunehmen, müssen Sie mindestens das Produkt angeben, das Sie patchen möchten. Der folgende AWS Command Line Interface (AWS CLI)-Befehl zeigt die Mindestanforderungen für das Patchen eines Produkts wie Microsoft Office 2016.

Wenn Sie die Produktfamilie der Microsoft-Anwendung angeben, müssen alle Produkte der ausgewählten Produktfamilie unterstützt werden. Um beispielsweise das Produkt „Active Directory Rights Management Services Client 2.0“ zu patchen, müssen Sie dessen Produktfamilie als „Active Directory“ und nicht beispielsweise als „Office“ oder „SQL Server“ angeben. Der folgende AWS CLI Befehl zeigt eine Übereinstimmung von Produktfamilie und Produkt.

Anmerkung

Wenn Sie eine Fehlermeldung über eine nicht übereinstimmende Produkt- und Familienkopplung erhalten, finden Sie unter Problem: Nicht übereinstimmende Produktfamilien/Produktpaare Tipps zur Lösung des Problems.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Patch-Gruppen

Verwenden von Kernel Live Patching auf von Amazon Linux 2 verwalteten Knoten