关于修补由微软在 Windows Server 发布的应用程序 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

关于修补由微软在 Windows Server 发布的应用程序

使用本主题中的信息可帮助您准备好在 Windows Server 使用 Patch Manager ( Amazon Systems Manager 的一个功能)来修补应用程序。

Microsoft 应用程序修补

对 Windows Server 托管式节点上应用程序的修补支持,仅限于 Microsoft 发布的应用程序。

注意

在某些情况下,Microsoft 会为可能未明确指定更新日期和时间的应用程序发布补丁。在这些情况下,系统会默认提供 01/01/1970 的更新日期和时间。

修补 Microsoft 发布的应用程序的补丁基准

适用于 Windows Server,提供三个预定义的补丁基准。补丁基准 AWS-DefaultPatchBaselineAWS-WindowsPredefinedPatchBaseline-OS 仅支持 Windows 操作系统本身的操作系统更新。除非您指定了其他补丁基准,AWS-DefaultPatchBaseline 用作 Windows Server 托管式节点的默认补丁基准。这两个补丁基准中的配置设置是相同的。两者中较新的,AWS-WindowsPredefinedPatchBaseline-OS 被创建来区分它和 Windows Server 的第三个预定义补丁基准。补丁基准 AWS-WindowsPredefinedPatchBaseline-OS-Applications,可用于将补丁应用到 Windows Server 操作系统和 Microsoft 发布的受支持的应用程序。

您也可以创建自定义补丁基准,用来在 Windows Server 计算机上更新 Microsoft 发布的应用程序。

支持在本地服务器、边缘设备、VM 和其他非 EC2 节点上修补由 Microsoft 发布的应用程序

要在虚拟机 (VM) 和非 EC2 托管式节点上修补 Microsoft 发布的应用程序,必须打开高级实例层。使用高级实例套餐需支付费用。但是,修补 Microsoft 在 Amazon Elastic Compute Cloud (Amazon EC2) 实例上发布的应用程序不需要支付额外费用。有关更多信息,请参阅

“其他微软产品”的 Windows 更新选项

为了让 Patch Manager 能够在 Windows Server 托管式节点上修补 Microsoft 发布的应用程序,必须在托管式节点上启用 Windows 更新选项 Give me updates for other Microsoft products when I update Windows(更新 Windows 时向我提供其他 Microsoft 产品的更新)。

有关在单个托管式节点上允许此选项的信息,请参阅 Microsoft 支持网站上的使用 Microsoft 更新更新 Office

对于运行 Windows Server 2016 及更高版本的托管式节点机群,您可以使用组策略对象 (GPO) 打开设置。在组策略管理编辑器中,转到计算机配置管理模板Windows 组件Windows 更新,然后选择安装其他 Microsoft 产品的更新。我们还建议使用其他参数配置 GPO,以防止在 Patch Manager 之外意外自动更新和重启。有关更多信息,请参阅 Microsoft 技术文档网站上的 Configuring Automatic Updates in a Non-Active Directory Environment(在非 Active Directory 环境中配置自动更新)。

对于运行 Windows Server 2012 或 2012 R2 的托管式节点机群,您可以使用脚本打开该选项,如 Microsoft 文档博客网站上的通过脚本在 Windows 7 中启用和禁用 Microsoft 更新中所述。例如,可以:

  1. 将脚本从博客文章保存在文件中。

  2. 将文件上传到 Amazon Simple Storage Service (Amazon S3) 存储桶或其他可访问的位置。

  3. 使用 Run Command(Amazon Systems Manager 的一项功能),通过 Systems Manager 文档(SSM 文档)AWS-RunPowerShellScript 在托管式节点上运行脚本,所使用的命令类似于以下内容。

    Invoke-WebRequest `
    -Uri "https://s3.aws-api-domain/DOC-EXAMPLE-BUCKET/script.vbs" `
    -Outfile "C:\script.vbs" cscript c:\script.vbs

最低参数要求

要在自定义补丁基准中包括 Microsoft 发布的应用程序,您必须至少指定要修补的产品。下面的 Amazon Command Line Interface (Amazon CLI) 命令演示了修补产品(如 Microsoft Office 2016)的最低要求:

Linux & macOS
aws ssm create-patch-baseline \
    --name "My-Windows-App-Baseline" \
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows
aws ssm create-patch-baseline ^
    --name "My-Windows-App-Baseline" ^
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"

如果您指定了 Microsoft 应用程序产品系列,您指定的每个产品都必须是所选产品系列的受支持的成员产品。例如,要修补产品“Active Directory Rights Management Services Client 2.0”,您必须将其产品系列指定为“Active Directory”,而不是“Office”或“SQL Server”(举例)。下面的 Amazon CLI 命令演示了一对匹配的产品系列和产品。

Linux & macOS
aws ssm create-patch-baseline \
    --name "My-Windows-App-Baseline" \
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows
aws ssm create-patch-baseline ^
    --name "My-Windows-App-Baseline" ^
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
注意

如果收到有关产品和系列配对不匹配的错误消息,请参阅 问题:产品系列/产品对不匹配 以获取帮助解决问题。