Patch Manager를 통해 EC2 Windows 인스턴스에서 패치 작업을 성공적으로 수행한 후 누락된 KB 패치 문제를 해결하려면 어떻게 해야 하나요?

간략한 설명

다음 시나리오는 패치가 누락될 수 있는 가장 일반적인 원인입니다.

• 패치는 인스턴스 OS 유형에는 적용되지 않습니다.
• Microsoft 기술 자료(KB) 패키지 세부 정보가 기본 구성과 일치하지 않습니다.
• 최신 패치가 이미 릴리스되었습니다.
• Windows Server Update Services(WSUS) 릴리스 채널에서 패치를 사용할 수 없습니다.
• 패치가 인스턴스에 이미 설치되어 있습니다.

해결 방법

패치가 인스턴스 OS 유형에 적용되지 않음

패치가 인스턴스에 적용되는지 확인하려면 다음 단계를 완료하세요.

1. Microsoft 업데이트 카탈로그를 엽니다.
2. 패치 ID를 사용하여 Microsoft KB 문서 ID를 검색할 수 있습니다. 예시 패치 ID: KB3216916.
3. 제품에서 값이 관리 노드의 값과 일치하는지 확인합니다.
4. 관리형 노드의 제품 이름은 (Microsoft 웹사이트의) 시스템 설정에서 볼 수 있습니다.

KB 패키지 세부 정보가 기본 구성과 일치하지 않음

KB 분류, 심각도 및 릴리스 날짜가 기준 구성과 일치하는지 확인하려면 다음 단계를 완료하세요.

1. AWS Systems Manager 콘솔을 엽니다.
2. 탐색 창의 노드 관리에서 명령 실행을 선택합니다.
3. 명령 기록 탭을 선택합니다.
4. 패치를 적용할 명령 ID를 선택한 다음 관리 노드를 선택합니다.
5. 출력을 선택하고 기준선 매개변수의 구성을 검토합니다.

분류, 심각도 및 승인 지연 날짜는 Microsoft Update 카탈로그의 패키지 세부 정보와 일치해야 합니다. 기본 패치 기준선을 사용하고 있고 패치 분류가 기준선과 다른 경우 사용자 지정 패치 기준선을 만들어야 합니다.

다음 방법 중 하나를 사용하여 특정 KB가 패치 기준에서 승인되었는지 확인하세요.

참고: 다음 명령을 실행하려면 로컬 머신 또는 EC2 인스턴스에 최신 AWS Command Line Interface(AWS CLI) 및 AWS Tools for PowerShell을 설치하세요.

describe-effective-patches-for-patch-baseline AWS CLI 명령

특정 KB가 패치 기준선에서 승인되었는지 확인하려면 describe-effective-patches-for-patch-baseline 명령을 실행합니다.

다음 예시 명령은 패치 기준선 pb-abdce123456789fgh에서 KB2124261 승인 여부를 확인합니다.

aws ssm describe-effective-patches-for-patch-baseline --baseline-id pb-abdce123456789fgh --query "EffectivePatches[][Patch][?KbNumber=='KB2124261'][]"

GetDeployablePatchSnapshotForInstance API

GetDeployablePatchSnapshotForInstance API를 사용하여 스냅샷을 생성할 수도 있습니다. 다음 예시 PowerShell 명령은 스냅샷 파일을 사용자 데스크톱에 다운로드합니다.

참고: 연결된 IAM 인스턴스 프로파일에서 가정된 자격 증명을 사용하여 대상 EC2 인스턴스에서 다음 PowerShell 명령을 실행합니다. 연결된 IAM 인스턴스 프로파일과 함께 대상 EC2 인스턴스에서 명령을 실행하지 않으면 잘못된 토큰 요청 오류가 발생할 수 있습니다.

$instanceId = Invoke-WebRequest -Uri http://169.254.169.254/latest/meta-data/instance-id
$snap = Get-SSMDeployablePatchSnapshotForInstance -SnapshotId '521c3536-930c-4aa9-950e-01234567abcd' -InstanceId $instanceId -Verbose
(New-Object Net.WebClient).DownloadFile($snap.SnapshotDownloadUrl, "$env:UserProfile\Desktop\01-snapshot.json")

참고: 스냅샷 ID는 GUID로 바꿀 수 있습니다. New-GUID 명령을 사용하여 파워셸에서 대체 스냅샷 ID를 생성하세요.

최신 패치가 이미 릴리스됨

새 패치가 릴리스되었는지 확인하려면 다음 단계를 완료하세요.

1. Microsoft 업데이트 카탈로그를 엽니다.
2. 패치 ID를 사용하여 Microsoft KB 문서 ID를 검색할 수 있습니다. 예시 패치 ID: KB5015808.
3. 제품에서 값이 관리 노드의 값과 일치하는지 확인합니다. 그런 다음 해당하는 제목을 선택하여 새 업데이트 세부 정보 창을 엽니다.
4. 패키지 세부 정보 탭을 선택합니다. 그런 다음 **이 업데이트가 다음 업데이트로 대체되었습니다.**에서 새 패치가 있는지 확인합니다.

WSUS 릴리스 채널에서 패치를 사용할 수 없음

Microsoft Windows OS에서 Patch Manager는 Microsoft가 Microsoft 업데이트에 게시하고 WSUS에서 자동으로 사용할 수 있는 사용 가능한 업데이트 목록을 검색합니다. WSUS 릴리스 채널에서 해당 패치를 사용할 수 없는 경우 Patch Manager는 해당 특정 패치를 선택하지 않습니다.

패치의 가용성을 확인하려면 다음 단계를 완료하세요.

1. Microsoft 업데이트 카탈로그를 엽니다.
2. 패치 ID를 사용하여 Microsoft KB 문서 ID를 검색할 수 있습니다. 예시 패치 ID: KB5015808.
3. 추가 정보에서 지원 문서를 선택합니다. 예를 들어, 2022년 7월 12일—KB5015808(OS 빌드 14393.5246)을 참조하세요.
4. Microsoft 지원 문서에서 릴리스 채널 섹션을 찾습니다. 그런 다음Windows Server Update Services(WSUS) 릴리스 채널에서 패치를 사용할 수 있는지 확인합니다.

패치가 인스턴스에 이미 설치되어 있음

패치가 이미 인스턴스에 설치되어 있을 수 있습니다(예: 수동 패치 적용). 패치가 인스턴스에 이미 설치되어 있는지 확인하려면 다음 방법 중 하나를 사용하세요.

Windows 업데이트 OS 로그

Get-Hotfix PowerShell 명령을 사용하거나 PSWindowsUpdate 모듈을 사용하여 설치된 업데이트 목록을 가져올 수 있습니다. 다음 예시 명령은 PSWindowsUpdate 모듈을 사용합니다. 이 명령은 WindowsUpdates.txt 파일을 데스크톱에 다운로드합니다.

Install-Module PSWindowsUpdate
Get-WUHistory | ForEach-Object { new-object psobject -Property @{Date = $_.Date; KB = $_.KB; Title = ($_ | Select-Object -ExpandProperty Title) } } | Out-File $env:UserProfile\Desktop\WindowsUpdates.txt

Fleet Manager 콘솔

AWS Systems Manager의 기능인 Fleet Manager를 사용하여 패치가 인스턴스에 이미 설치되어 있는지 확인할 수 있습니다. Fleet Manager 콘솔을 사용하려면 다음 단계를 완료하세요.

1. AWS Systems Manager 콘솔을 엽니다.
2. 탐색 창에서 Fleet Manager를 선택합니다.
3. 관리형 노드를 선택한 다음 노드 개요를 선택합니다.
4. 패치에서 누락된 KB를 검색합니다.

describe-instance-patches AWS CLI 명령

패치가 프로그래밍 방식으로 설치되었는지 확인하려면 describe-instance-patches 명령을 실행합니다.

다음 예시 AWS CLI 명령은 KB4521862 검색을 수행합니다.

aws ssm describe-instance-patches --instance-id "i-0b806abcdef12345" --filters "Key=KBId,Values=KB4521862"