Patch Manager のトラブルシューティング - AWS Systems Manager

Patch Manager のトラブルシューティング

以下の情報を参考にして、Patch Manager に関する問題のトラブルシューティングを行います。

製品ファミリー/製品ペアの不一致のトラブルシューティング

問題: コンソールでパッチベースラインを作成するときは、製品ファミリーと製品を指定します。たとえば、以下のように選択します。

  • [Product family (製品ファミリー)]: Office

    [Product (製品)]: Office 2016

原因: 一致していない製品ファミリー/製品ペアでパッチベースラインを作成しようとすると、エラーメッセージが表示されます。以下の理由で、これが発生する場合があります。

  • 有効な製品ファミリー/製品ペアが選択されましたが、その後、製品ファミリーの選択が削除されました。

  • [Available and matching options (利用可能なマッチングオプション)] サブリストからではなく、[Obsolete or mismatched options (サポートされなくなった、または不一致のオプション)] サブリストから製品が選択されました。

    製品の [Obsolete or mismatched options (サポートされなくなった、または不一致のオプション)] サブリストの項目が、SDK または AWS Command Line Interface (AWS CLI) create-patch-baseline コマンドにより誤って入力された可能性があります。これは、タイプミスがあったか、製品が間違った製品ファミリーに割り当てられたことを意味します。以前のパッチベースラインに指定されても、現在 Microsoft から入手可能なパッチがない場合、その製品は、[Obsolete or mismatched options (サポートされなくなった、または不一致のオプション)] サブリストにも表示されます。

解決策: この問題を回避するには、[Currently available options (現在利用可能なオプション)] サブリストから常にオプションを選択します。

AWS CLI の describe-patch-properties コマンド、または DescribePatchProperties API コマンドを使用して、現在利用可能なパッチのある製品を表示することもできます。

AWS-RunPatchBaseline 出力が HRESULT を返す場合のトラブルシューティング

問題: 次のようなエラーが発生しました。

----------ERROR-------
Invoke-PatchBaselineOperation : Exception Details: An error occurred when 
attempting to search Windows Update.
Exception Level 1:
 Error Message: Exception from HRESULT: 0x80240437
 Stack Trace: at WUApiLib.IUpdateSearcher.Search(String criteria)..
(Windows updates)
11/22/2020 09:17:30 UTC | Info | Searching for Windows Updates.
11/22/2020 09:18:59 UTC | Error | Searching for updates resulted in error: Exception from HRESULT: 0x80240437
----------ERROR-------
failed to run commands: exit status 4294967295

原因: この出力は、ネイティブの Windows Update API がパッチ適用操作を実行できなかったことを示します。

解決策: エラーを解決するためのトラブルシューティング手順を特定するには、Microsoft のドキュメントHResult コードを確認します。

インスタンスに Windows Update カタログまたは WSUS へのアクセス権がない場合のトラブルシューティング

問題: 次のようなエラーが発生しました。

Downloading PatchBaselineOperations PowerShell module from https://s3.amazonaws.com/path_to_module.zip to C:\Windows\TEMP\Amazon.PatchBaselineOperations-1.29.zip.

Extracting PatchBaselineOperations zip file contents to temporary folder.

Verifying SHA 256 of the PatchBaselineOperations PowerShell module files.

Successfully downloaded and installed the PatchBaselineOperations PowerShell module.

Patch Summary for

PatchGroup :

BaselineId :

Baseline : null

SnapshotId :

RebootOption : RebootIfNeeded

OwnerInformation :

OperationType : Scan

OperationStartTime : 1970-01-01T00:00:00.0000000Z

OperationEndTime : 1970-01-01T00:00:00.0000000Z

InstalledCount : -1

InstalledRejectedCount : -1

InstalledPendingRebootCount : -1

InstalledOtherCount : -1

FailedCount : -1

MissingCount : -1

NotApplicableCount : -1

UnreportedNotApplicableCount : -1

EC2AMAZ-VL3099P - PatchBaselineOperations Assessment Results - 2020-12-30T20:59:46.169

----------ERROR-------

Invoke-PatchBaselineOperation : Exception Details: An error occurred when attempting to search Windows Update.

Exception Level 1:

Error Message: Exception from HRESULT: 0x80072EE2

Stack Trace: at WUApiLib.IUpdateSearcher.Search(String criteria)

at Amazon.Patch.Baseline.Operations.PatchNow.Implementations.WindowsUpdateAgent.SearchForUpdates(String

searchCriteria)

At C:\ProgramData\Amazon\SSM\InstanceData\i-02573cafcfEXAMPLE\document\orchestration\3d2d4864-04b7-4316-84fe-eafff1ea58

e3\PatchWindows\_script.ps1:230 char:13

+ $response = Invoke-PatchBaselineOperation -Operation Install -Snapsho ...

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : OperationStopped: (Amazon.Patch.Ba...UpdateOperation:InstallWindowsUpdateOperation) [Inv

oke-PatchBaselineOperation], Exception

+ FullyQualifiedErrorId : Exception Level 1:

Error Message: Exception Details: An error occurred when attempting to search Windows Update.

Exception Level 1:

Error Message: Exception from HRESULT: 0x80072EE2

Stack Trace: at WUApiLib.IUpdateSearcher.Search(String criteria)

at Amazon.Patch.Baseline.Operations.PatchNow.Implementations.WindowsUpdateAgent.SearchForUpdates(String searc

---Error truncated----

原因: このエラーは、Windows Update コンポーネント、または Windows Update カタログもしくは Windows Server Update Services (WSUS) への接続の欠如にまつわる可能性があります。

解決策: インスタンスがインターネットゲートウェイ、NAT ゲートウェイ、または NAT インスタンスを介して Microsoft Update Catalog に接続されていることを確認します。WSUS を使用している場合は、インスタンスがお使いの環境内の WSUS サーバーに接続されていることを確認します。目的の送信先への接続が確立されている場合は、Microsoft のドキュメントで考えられる他の HResult 0x80072EE2 の原因を確認してください。これは、オペレーティングシステムレベルに問題があることを示している可能性があります。

PatchBaseline モジュールがダウンロードできない場合のトラブルシューティング

問題: 次のようなエラーが発生しました。

Preparing to download PatchBaselineOperations PowerShell module from S3.
Downloading PatchBaselineOperations PowerShell module from https://s3.amazonaws.com/path_to_module.zip to C:\Windows\TEMP\Amazon.PatchBaselineOperations-1.29.zip.
----------ERROR-------

C:\ProgramData\Amazon\SSM\InstanceData\i-02573cafcfEXAMPLE\document\orchestration\aaaaaaaa-bbbb-cccc-dddd-4f6ed6bd5514\

PatchWindows\_script.ps1 : An error occurred when executing PatchBaselineOperations: Unable to connect to the remote server

+ CategoryInfo : NotSpecified: (:) [Write-Error], WriteErrorException

+ FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,_script.ps1

failed to run commands: exit status 4294967295

解決策: インスタンスの接続性と Amazon Simple Storage Service (Amazon S3) へのアクセス許可を確認してください。インスタンスの AWS Identity and Access Management (IAM) ロールは、SSM エージェント の最小 S3 バケットアクセス許可について で引用されている最小限のアクセス許可を使用する必要があります。インスタンスは、Amazon S3 ゲートウェイエンドポイント、NAT ゲートウェイ、またはインターネットゲートウェイを介して Amazon S3 エンドポイントと通信する必要があります。AWS Systems Manager SSM エージェント (SSM エージェント) の VPC エンドポイント要件の詳細については、「ステップ 6: (オプション) Virtual Private Cloud エンドポイントの作成」を参照してください。

パッチが見つからない場合のトラブルシューティング

問題: AWS-RunPatchbaseline は正常に完了しましたが、一部のパッチが見つかりません。

一般的な原因とその解決策を以下示します。

原因 1: ベースラインが有効ではありません。

解決策 1: これが原因かどうかを確認するには、以下の手順を実行します。

  1. https://console.aws.amazon.com/systems-manager/ で AWS Systems Manager コンソールを開きます。

  2. ナビゲーションペインで [Run Command] を選択します。

    -または-

    AWS Systems Manager ホームページが最初に開く場合は、メニューアイコン ( ) を選択してナビゲーションペインを開き、[Run Command] を選択します。

  3. [Command history (コマンド履歴)] タブをクリックし、ベースラインをチェックするコマンドを選択します。

  4. パッチがないインスタンスを選択します。

  5. [Step 1 - Output (ステップ 1 - 出力)] を選択し、BaselineId 値を見つけます。

  6. 割り当てられたパッチベースライン設定、つまり、パッチベースラインのオペレーティングシステム、製品名、分類、および重大度を確認します。

  7. [Microsoft Update Catalog] に移動します。

  8. Microsoft Knowledge Base (KB) の記事 ID (KB3216916 など) を検索します。

  9. 下の値を確認します製品はインスタンスのものと一致し、対応するタイトル。新しい [Update Details (詳細を更新)] ウィンドウが開きます。

  10. [Overview (概要)] タブで、[classification (分類)]と [MSRC severity (MSRC の重大度)]は、前に見つけたパッチベースライン設定と一致する必要があります。

原因 2: パッチが置き換えられました。

解決策 2: これが本当かどうかを確認するには、以下の手順を実行します。

  1. [Microsoft Update Catalog] に移動します。

  2. Microsoft Knowledge Base (KB) の記事 ID (KB3216916 など) を検索します。

  3. 下の値を確認します製品はインスタンスのものと一致し、対応するタイトル。新しい [Update Details (詳細を更新)] ウィンドウが開きます。

  4. [Package Details (パッケージの詳細)] タブに移動します。[This update has been replaced by the following updates: (この更新は次の更新に置き換えられました:)] ヘッダーの下でエントリを探します。

原因 3: WSUS と Window のオンライン更新プログラムは、Microsoft によって独立したリリースチャネルとして処理されるため、同じ修正プログラムの KB 番号が異なる可能性があります。

解決策 3: パッチの適格性を確認します。パッケージが WSUS で利用できない場合は、OS Build 14393.3115 をインストールします。パッケージがすべてのオペレーティングシステムビルドで利用できる場合は、OS Build 18362.1256 および 18363.1256 をインストールします。

AWS サポート に連絡する

このセクションまたはSystems Manager デベロッパーフォーラムでトラブルシューティングの解決策が見つからない場合で、かつ強化されたテクニカルサポートを含む AWS サポートプランがある場合は、AWS サポート でテクニカルサポートケースを作成できます。

AWS サポート に連絡する前に、以下の情報を収集します。

  • SSM エージェントログ

  • %PROGRAMDATA%\Amazon\PatchBaselineOperations\Logs (パッチのインストール方法 の Windows タブで説明されているように)

  • Windows Update ログ:

    Windows 2012 R2 以前のバージョンでは、%windir%/WindowsUpdate.log を使用します

    Windows 2016 以降の場合は、%windir%/WindowsUpdate.log を使用する前にまず PowerShell コマンド Get-WindowsUpdateLog を実行します

  • Run Command コマンド ID、メンテナンスウィンドウ ID、またはオートメーション実行 ID