スキップしてコンテンツを表示
AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

Private SubnetにあるEc2(Windows)をSSM(パッチマネージャ)でWindows updateしたいが可能ですか?

0

VPCエンドポイントを通じて、フリートマネージャに登録しオンラインにする事はできたが、パッチ適用ができない。 https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/setup-create-vpc.html そもそも、NATゲートウェイやWSUSなどを構築せずにWindows updateする事は不可能なのでしょうか? 単純に設定が足りないのか、技術的に不可能なのかが知りたいです。

作成したエンドポイント:

  • com.amazonaws.ap-northeast-1.ssm (Interface)
  • com.amazonaws.ap-northeast-1.ec2messages (Interface)
  • com.amazonaws.ap-northeast-1.ec2 (Interface)
  • com.amazonaws.ap-northeast-1.s3 (Gateway)
  • com.amazonaws.ap-northeast-1.ssmmessages (Interface)

EC2のAMI: Windows_Server-2022-English-Full-Base-2025.10.15

SSMのエラー: Exception from HRESULT: 0x80072EE2 Windows updateのサービスでscanをかけようとして失敗したと思われる。

今懸念している事: EC2にログインを行い、接続確認をしたところ、-k をつければ接続できるが、ないと証明書のエラーになることから、CRLの確認がタイムアウトした為にベースラインのS3への接続が失敗しているのではないか?つまり、インターネットにでれないとSSMでアップデートできないのではないか? curl.exe https://s3.ap-northeast-1.amazonaws.com/amazon-ssm-ap-northeast-1/latest/VERSION -svk

一時的に、CRLのチェックを外してテストする事を試みましたが、うまくいきませんでした。

トピック
管理とガバナンス
タグ
AWSシステムマネージャー
言語
日本語
質問済み 5ヶ月前167ビュー
1回答
1
承認された回答

結論からいうと:

  • 今の構成(SSM関連VPCエンドポイントのみ / インターネット完全遮断)では、Windows Update を使ったパッチ適用は“技術的にほぼ不可能”です。
  • Windows Server は、Microsoft の Windows Update サーバ か WSUS のどちらかに到達できる必要があると AWS 公式ドキュメントに明記されています。
  • なので「設定漏れ」というより、設計上の制約です。

現実的な解としては:

  • セキュアに割り切って NAT + ルール制限で Windows Update にだけ出す
  • もしくは WSUS サーバを VPC 内に立てて、アプリサーバは WSUS のみアクセス可にする
  • このどちらかを前提に設計していただくイメージになります。
エキスパート
回答済み 5ヶ月前
  • nsh
    5ヶ月前

    ありがとうございます。 WSUSが将来使えなくなるかもしれない、という事でSSMで代替ができないかと思ったのですが難しそうですね。

    NAT + ルール制限で Windows Update にだけ出す しかなさそうですが、環境毎にWindowsカタログの他に証明書の検証等、必要な許可リストの管理が大変そうです。。

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

関連するコンテンツ