Řešení potíží s agentem Windows Update
Důležité
Sledování změn a inventář používání agenta Log Analytics se 31. srpna 2024 vyřadila z provozu a bude fungovat na omezené podpoře do 1. února 2025. Jako nového podpůrného agenta doporučujeme používat agenta Azure Monitoring Agent. Postupujte podle pokynů k migraci ze sledování změn a inventáře využívajícího analýzu protokolů na sledování změn a inventář využívající verzi agenta monitorování Azure.
Důvodů, proč se počítač během nasazení Update Managementu nezobrazuje jako připravený (v pořádku), může být mnoho. Pokud chcete zjistit základní problém, můžete zkontrolovat stav agenta Hybrid Runbook Worker pro Windows. Pro počítače jsou k dispozici následující tři stavy připravenosti:
- Připraveno: Funkce Hybrid Runbook Worker je nasazená a naposledy byla zjištěna před méně než hodinou.
- Odpojeno: Funkce Hybrid Runbook Worker je nasazená a naposledy byla zjištěna před více než hodinou.
- Nenakonfigurováno: Funkce Hybrid Runbook Worker se nenašla nebo se nedokončilo její nasazení.
Poznámka:
Mezi zobrazením webu Azure Portal a aktuálním stavem počítače může dojít k mírnému zpoždění.
Tento článek popisuje, jak spustit poradce při potížích pro počítače Azure z webu Azure Portal a počítačů mimo Azure v offline scénáři.
Poznámka:
Skript poradce při potížích teď obsahuje kontroly služby Windows Server Update Services (WSUS) a automatické stahování a instalace klíčů.
Spuštění poradce při potížích
V případě počítačů Azure můžete spustit stránku Poradce při potížích s agentem aktualizací tak , že na portálu vyberete odkaz Řešení potíží ve sloupci Update Agent Readiness . V případě počítačů mimo Azure vede odkaz na tento článek. Informace o řešení potíží s počítačem mimo Azure najdete v tématu Řešení potíží offline.
Poznámka:
Pokud chcete zkontrolovat stav funkce Hybrid Runbook Worker, musí být virtuální počítač spuštěný. Pokud virtuální počítač není spuštěný, zobrazí se tlačítko Spustit virtuální počítač.
Na stránce Poradce při potížích s aktualizací agenta vyberte Spustit kontroly a spusťte poradce při potížích. Poradce při potížích používá příkaz Spustit ke spuštění skriptu na počítači k ověření závislostí. Jakmile se poradce při potížích dokončí, vrátí výsledek kontrol.
Až budou výsledky připravené, zobrazí se na stránce. Oddíly kontrol ukazují, co je součástí každé kontroly.
Kontroly předpokladů
Operační systém
Kontrola operačního systému ověří, jestli hybrid Runbook Worker používá některý z podporovaných operačních systémů.
.NET 4.6.2
Rozhraní .NET Framework zkontroluje, že systém má nainstalované rozhraní .NET Framework 4.6.2 nebo novější.
Pokud chcete problém vyřešit, nainstalujte rozhraní .NET Framework 4.6 nebo novější.
Stáhněte si rozhraní .NET Framework.
WMF 5.1
WMF zkontroluje, jestli má systém požadovanou verzi rozhraní WMF (Windows Management Framework).
Pokud chcete tento problém vyřešit, musíte si stáhnout a nainstalovat Windows Management Framework 5.1 , protože vyžaduje, aby služba Azure Update Management fungovala s Windows PowerShellem 5.1.
TLS 1.2
Tato kontrola určuje, jestli k šifrování komunikace používáte protokol TLS 1.2. Platforma už protokol TLS 1.0 nepodporuje. Ke komunikaci se službou Update Management použijte protokol TLS 1.2.
Pokud chcete tento problém vyřešit, postupujte podle pokynů k povolení protokolu TLS 1.2.
Kontroly stavu služby agenta monitorování
Hybrid Runbook Worker
Pokud chcete tento problém vyřešit, proveďte vynucenou opětovnou registraci funkce Hybrid Runbook Worker.
Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
Restart-service healthservice
Poznámka:
Tím se z počítače odebere hybrid worker uživatele. Potom zkontrolujte a znovu ho zaregistrujte. Pokud má počítač jenom funkci System Hybrid Runbook Worker, není nutná žádná akce.
Ověření ověříte tak, že zkontrolujete ID události 15003 (událost zahájení HW) NEBO 15004 (událost zastavení hw) v protokolech událostí Microsoft-SMA/Operational.
Pokud problém ještě není opravený, vytvořte lístek podpory.
Pracovní prostor propojený s virtuálními počítači
Viz požadavky na síť.
Ověření: Zkontrolujte pracovní prostor připojený k virtuálním počítačům nebo tabulku prezenčních signálů odpovídajících analýz protokolů.
Heartbeat | where Computer =~ ""
Stav služby Windows Update
Pokud chcete tento problém vyřešit, spusťte službu wuaserv .
Start-Service -Name wuauserv -ErrorAction SilentlyContinue
Kontroly připojení
Poradce při potížích v současné době nesměruje provoz přes proxy server, pokud je nakonfigurovaný.
Registrační koncový bod
Tato kontrola určuje, jestli agent může správně komunikovat se službou agenta.
Konfigurace proxy serveru a brány firewall musí umožnit agentovi Hybrid Runbook Worker komunikovat s koncovým bodem registrace. Seznam adres a portů, které se mají otevřít, najdete v tématu Plánování sítě.
Povolte požadované adresy URL. Po změně sítě můžete poradce při potížích spustit znovu nebo spustit následující příkazy a ověřit je:
$workspaceId =- ""
$endpoint = $workspaceId + “.agentsvc.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Provozní koncový bod
Tato kontrola určuje, jestli agent může správně komunikovat s datovou službou runtime úloh.
Konfigurace proxy serveru a brány firewall musí umožnit agentovi Hybrid Runbook Worker komunikovat s datovou službou runtime úloh. Seznam adres a portů, které se mají otevřít, najdete v tématu Plánování sítě.
Povolte požadované adresy URL. Po změně sítě můžete poradce při potížích spustit znovu nebo spustit následující příkazy a ověřit je:
$jrdsEndpointLocationMoniker = “”
# $jrdsEndpointLocationMoniker should be based on automation account location (jpe/ase/scus) etc.
$endpoint = $jrdsEndpointLocationMoniker + “-jobruntimedata-prod-su1.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Připojení HTTPS
Zjednodušuje průběžnou správu pravidel zabezpečení sítě. Povolte požadované adresy URL.
Po změně sítě můžete poradce při potížích spustit znovu nebo spustit následující příkazy a ověřit je:
$uri = "https://eus2-jobruntimedata-prod-su1.azure-automation.net"
Invoke-WebRequest -URI $uri -UseBasicParsing
Nastavení proxy serveru
Pokud je proxy server povolený, ujistěte se, že máte přístup k požadovaným adresám URL.
Pokud chcete zkontrolovat, jestli je proxy server správně nastavený, použijte následující příkazy:
netsh winhttp show proxy
nebo zkontrolujte, jestli je klíč registru ProxyEnable nastavený na hodnotu 1 v
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Připojení ke koncovému bodu IMDS
Pokud chcete tento problém vyřešit, povolte přístup k IP adrese 169.254.169.254
Další informace najdete v tématu Přístup ke službě metadat instance Azure.
Po změně sítě můžete poradce při potížích spustit znovu nebo spustit následující příkazy a ověřit je:
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.254/metadata/instance?api-version=2018-02-01
Kontroly stavu služeb virtuálního počítače
Stav služby agenta monitorování
Tato kontrola určuje, jestli na počítači běží agent Log Analytics pro Windows (healthservice). Další informace o řešení potíží se službou najdete v tématu Agent Log Analytics pro Windows není spuštěný.
Pokud chcete přeinstalovat agenta Log Analytics pro Windows, přečtěte si téma Instalace agenta pro Windows.
Události služby agenta monitorování
Tato kontrola určuje, jestli se v protokolu Azure Operations Manageru v počítači za posledních 24 hodin zobrazí nějaké události 4502.
Další informace o této události najdete v protokolu Operations Manageru o události 4502.
Kontroly přístupových oprávnění
Složka klíčů počítače
Tato kontrola určuje, jestli má místní systémový účet přístup k: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys.
Pokud chcete tento problém vyřešit, udělte účtu SYSTEM požadovaná oprávnění (čtení, zápis a úpravy nebo úplné řízení) ve složce C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Pomocí následujících příkazů zkontrolujte oprávnění ke složce:
$folder = “C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys”
(Get-Acl $folder).Access |? {($_.IdentityReference -match $User) -or ($_.IdentityReference -match "Everyone")} | Select IdentityReference, FileSystemRights
Nastavení aktualizací počítače
Automatické restartování po instalaci
Pokud chcete tento problém vyřešit, odeberte klíče registru z: HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU.
Nakonfigurujte restartování podle konfigurace plánu řešení Update Management.
AlwaysAutoRebootAtScheduledTime
AlwaysAutoRebootAtScheduledTimeMinutes
Další informace najdete v tématu Konfigurace nastavení restartování.
Konfigurace serveru WSUS
Pokud je prostředí nastavené na získání aktualizací ze služby WSUS, ujistěte se, že je schválen ve službě WSUS před nasazením aktualizace. Další informace najdete v tématu Nastavení konfigurace služby WSUS. Pokud vaše prostředí nepoužívá službu WSUS, ujistěte se, že odeberete nastavení serveru WSUS a resetujete komponentu Windows Update.
Automatické stažení a instalace
Pokud chcete tento problém vyřešit, zakažte funkci AutoUpdate . Nastavte ho na Zakázáno v zásadách místní skupiny Konfigurovat automatické aktualizace. Další informace najdete v tématu Konfigurace automatických aktualizací.
Odstraňování potíží offline
Poradce při potížích s funkcí Hybrid Runbook Worker můžete použít offline spuštěním skriptu místně. Získejte z GitHubu následující skript: UM_Windows_Troubleshooter_Offline.ps1. Abyste mohli skript spustit, musíte mít nainstalovaný WMF 5.0 nebo novější. Pokud si chcete stáhnout nejnovější verzi PowerShellu, přečtěte si téma Instalace různých verzí PowerShellu.
Výstup tohoto skriptu vypadá jako v následujícím příkladu:
RuleId : OperatingSystemCheck
RuleGroupId : prerequisites
RuleName : Operating System
RuleGroupName : Prerequisite Checks
RuleDescription : The Windows Operating system must be version 6.1.7600 (Windows Server 2008 R2) or higher
CheckResult : Passed
CheckResultMessage : Operating System version is supported
CheckResultMessageId : OperatingSystemCheck.Passed
CheckResultMessageArguments : {}
RuleId : DotNetFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : .NET Framework 4.6.2+
RuleGroupName : Prerequisite Checks
RuleDescription : .NET Framework version 4.6.2 or higher is required
CheckResult : Passed
CheckResultMessage : .NET Framework version 4.6.2+ is found
CheckResultMessageId : DotNetFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {}
RuleId : WindowsManagementFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : WMF 5.1
RuleGroupName : Prerequisite Checks
RuleDescription : Windows Management Framework version 4.0 or higher is required (version 5.1 or higher is preferable)
CheckResult : Passed
CheckResultMessage : Detected Windows Management Framework version: 5.1.22621.169
CheckResultMessageId : WindowsManagementFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {5.1.22621.169}
RuleId : AutomationAgentServiceConnectivityCheck1
RuleGroupId : connectivity
RuleName : Registration endpoint
RuleGroupName : connectivity
RuleDescription :
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : AutomationAgentServiceConnectivityCheck1.Failed.NoRegistrationFound
CheckResultMessageArguments :
RuleId : AutomationJobRuntimeDataServiceConnectivityCheck
RuleGroupId : connectivity
RuleName : Operations endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow Automation Hybrid Worker agent to communicate with
eus2-jobruntimedata-prod-su1.azure-automation.net
CheckResult : Passed
CheckResultMessage : TCP Test for eus2-jobruntimedata-prod-su1.azure-automation.net (port 443) succeeded
CheckResultMessageId : AutomationJobRuntimeDataServiceConnectivityCheck.Passed
CheckResultMessageArguments : {eus2-jobruntimedata-prod-su1.azure-automation.net}
RuleId : MonitoringAgentServiceRunningCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service status
RuleGroupName : VM Service Health Checks
RuleDescription : HealthService must be running on the machine
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service (HealthService) is running
CheckResultMessageId : MonitoringAgentServiceRunningCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, HealthService}
RuleId : SystemHybridRunbookWorkerRunningCheck
RuleGroupId : servicehealth
RuleName : Hybrid runbook worker status
RuleGroupName : VM Service Health Checks
RuleDescription : Hybrid runbook worker must be in running state.
CheckResult : Passed
CheckResultMessage : Hybrid runbook worker is running.
CheckResultMessageId : SystemHybridRunbookWorkerRunningCheck.Passed
CheckResultMessageArguments : {}
RuleId : MonitoringAgentServiceEventsCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service events
RuleGroupName : VM Service Health Checks
RuleDescription : Event Log must not have event 4502 logged in the past 24 hours
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service Event Log (Operations Manager) does not have event 4502 logged in the last 24 hours.
CheckResultMessageId : MonitoringAgentServiceEventsCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, Operations Manager, 4502}
RuleId : LinkedWorkspaceCheck
RuleGroupId : servicehealth
RuleName : VM's Linked Workspace
RuleGroupName : VM Service Health Checks
RuleDescription : Get linked workspace info of the VM
CheckResult : Failed
CheckResultMessage : VM is not reporting to any workspace.
CheckResultMessageId : LinkedWorkspaceCheck.Failed.NoWorkspace
CheckResultMessageArguments : {}
RuleId : CryptoRsaMachineKeysFolderAccessCheck
RuleGroupId : permissions
RuleName : Crypto RSA MachineKeys Folder Access
RuleGroupName : Access Permission Checks
RuleDescription : SYSTEM account must have WRITE and MODIFY access to 'C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys'
CheckResult : Passed
CheckResultMessage : Have permissions to access C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys
CheckResultMessageId : CryptoRsaMachineKeysFolderAccessCheck.Passed
CheckResultMessageArguments : {C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys}
RuleId : TlsVersionCheck
RuleGroupId : prerequisites
RuleName : TLS 1.2
RuleGroupName : Prerequisite Checks
RuleDescription : Client and Server connections must support TLS 1.2
CheckResult : Passed
CheckResultMessage : TLS 1.2 is enabled by default on the Operating System.
CheckResultMessageId : TlsVersionCheck.Passed.EnabledByDefault
CheckResultMessageArguments : {}
RuleId : AlwaysAutoRebootCheck
RuleGroupId : machineSettings
RuleName : AutoReboot
RuleGroupName : Machine Override Checks
RuleDescription : Automatic reboot should not be enable as it forces a reboot irrespective of update configuration
CheckResult : Passed
CheckResultMessage : Windows Update reboot registry keys are not set to automatically reboot
CheckResultMessageId : AlwaysAutoRebootCheck.Passed
CheckResultMessageArguments :
RuleId : WSUSServerConfigured
RuleGroupId : machineSettings
RuleName : isWSUSServerConfigured
RuleGroupName : Machine Override Checks
RuleDescription : Increase awareness on WSUS configured on the server
CheckResult : Passed
CheckResultMessage : Windows Updates are downloading from the default Windows Update location. Ensure the server has access to the Windows Update service
CheckResultMessageId : WSUSServerConfigured.Passed
CheckResultMessageArguments :
RuleId : AutomaticUpdateCheck
RuleGroupId : machineSettings
RuleName : AutoUpdate
RuleGroupName : Machine Override Checks
RuleDescription : AutoUpdate should not be enabled on the machine
CheckResult : Passed
CheckResultMessage : Windows Update is not set to automatically install updates as they become available
CheckResultMessageId : AutomaticUpdateCheck.Passed
CheckResultMessageArguments :
RuleId : HttpsConnection
RuleGroupId : connectivity
RuleName : HTTPS connection
RuleGroupName : connectivity
RuleDescription : Check if VM is able to make https requests.
CheckResult : Passed
CheckResultMessage : VM is able to make https requests.
CheckResultMessageId : HttpsConnection.Passed
CheckResultMessageArguments : {}
RuleId : ProxySettings
RuleGroupId : connectivity
RuleName : Proxy settings
RuleGroupName : connectivity
RuleDescription : Check if Proxy is enabled on the VM.
CheckResult : Passed
CheckResultMessage : Proxy is not set.
CheckResultMessageId : ProxySettings.Passed
CheckResultMessageArguments : {}
RuleId : IMDSConnectivity
RuleGroupId : connectivity
RuleName : IMDS endpoint connectivity
RuleGroupName : connectivity
RuleDescription : Check if VM is able to reach IMDS server to get VM information.
CheckResult : PassedWithWarning
CheckResultMessage : VM is not able to reach IMDS server. Consider this as a Failure if this is an Azure VM.
CheckResultMessageId : IMDSConnectivity.PassedWithWarning
CheckResultMessageArguments : {}
RuleId : WUServiceRunningCheck
RuleGroupId : servicehealth
RuleName : WU service status
RuleGroupName : WU Service Health Check
RuleDescription : WU must not be in the disabled state.
CheckResult : Passed
CheckResultMessage : Windows Update service (wuauserv) is running.
CheckResultMessageId : WUServiceRunningCheck.Passed
CheckResultMessageArguments : {Windows Update, wuauserv}
RuleId : LAOdsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA ODS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA ODS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOdsEndpointConnectivity.Failed
CheckResultMessageArguments :
RuleId : LAOmsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA OMS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA OMS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOmsEndpointConnectivity.Failed
CheckResultMessageArguments :