次の方法で共有


Windows Update エージェントの問題をトラブルシューティングする

重要

Log Analytics エージェントを使用した変更履歴とインベントリは、2024 年 8 月 31 日に廃止され、2025 年 2 月 1 日まで限られた範囲でサポートされます。 新しいサポート エージェントとして Azure Monitoring Agent を使用することをお勧めします。 Log Analytics を使用する変更履歴とインベントリから Azure Monitoring Agent バージョンを使用した変更履歴とインベントリへの移行については、こちらのガイダンスに従ってください。

Update Management の展開時にマシンが準備完了 (正常) と表示されない理由は多数存在する可能性があります。 Windows Hybrid Runbook Worker エージェントの正常性を検査して、背後にある問題を特定できます。 マシンの 3 つの準備状態を次に示します。

  • 準備完了: Hybrid Runbook Worker が展開され、最後に表示されてからの経過時間が 1 時間未満である。
  • 切断: Hybrid Runbook Worker が展開され、最後に表示されてからの経過時間が 1 時間以上である。
  • 未構成: Hybrid Runbook Worker が見つからないか、展開が終了していない。

Note

Azure portal に表示される内容とマシンの現在の状態の間で、わずかに遅延が発生する可能性があります。

この記事では、Azure portal から Azure マシンを対象として、また、オフラインのシナリオで Azure 以外のマシンを対象としてトラブルシューティング ツールを実行する方法について説明します。

Note

トラブルシューティング スクリプトには、Windows Server Update Services (WSUS) のチェックと、キーの自動ダウンロードとインストールのチェックが新しく組み込まれました。

トラブルシューティングの開始

Azure マシンの場合は、ポータルの [Update Agent Readiness]\(Update エージェントの準備\) 列にある [トラブルシューティング] リンクを選択することで、[Troubleshoot Update Agent]\(Update エージェントのトラブルシューティング\) ページを起動できます。 Azure 以外のマシンの場合は、リンクをクリックすると、この記事が表示されます。 Azure 以外のマシンのトラブルシューティングを行うには、「オフライン トラブルシューティング」を参照してください。

Update Management の仮想マシンの一覧のスクリーンショット。

Note

Hybrid Runbook Worker の正常性を確認するには、VM が実行されている必要があります。 VM が実行されていない場合は、[Start the VM]\(VM を起動\) ボタンが表示されます。

[Troubleshoot Update Agent]\(Update エージェントのトラブルシューティング\) ページで [チェックを実行] を選択すると、トラブルシューティング ツールが開始します。 トラブルシューティング ツールでは [実行コマンド] を使用してマシンに対してスクリプトを実行し、依存関係を検証します。 トラブルシューティング ツールが終了すると、チェック結果が返されます。

[Troubleshoot Update Agent]\(更新エージェントのトラブルシューティング\) ページのスクリーンショット。

準備ができると、結果がページに表示されます。 チェックのセクションには、各チェックに含まれる内容が表示されます。

Windows トラブルシューティング ツールのスクリーンショット。

前提条件の確認

オペレーティング システム

オペレーティング システム チェックでは、サポートされるいずれかのオペレーティング システムが Hybrid Runbook Worker によって実行されているかどうかが確認されます。

.NET 4.6.2

.NET Framework のチェックでは、システムに .NET Framework 4.6.2 以降がインストールされているかどうかが検証されます。

修正するには、.NET Framework 4.6 以降をインストールします。
.NET Framework をダウンロードします。

WMF 5.1

WMF チェックでは、必要なバージョンの Windows Management Framework (WMF) がシステムに存在するかどうかを検証します。

修正するには、Windows Management Framework 5.1 をダウンロードしてインストールする必要があります。Azure Update Management が機能するには、Windows PowerShell 5.1 を必要とします。

TLS 1.2

このチェックでは、TLS 1.2 を使って通信を暗号化しているかどうかを判別します。 TLS 1.0 は、プラットフォームでサポートされなくなりました。 Update Management と通信するために、TLS 1.2 を使用してください。

修正するには、手順に従って TLS 1.2 を有効にします

監視エージェント サービスの正常性チェック

Hybrid Runbook Worker

この問題を解決するには、Hybrid Runbook Worker の再登録を強制します。

Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force 
Restart-service healthservice

Note

これにより、ユーザー ハイブリッド ワーカーがマシンから削除されます。 後で確認して再登録してください。 マシンに System Hybrid Runbook ワーカーのみが含まれている場合は、アクションは必要ありません。

検証するには、イベント ID 15003 (HW 開始イベント) または 15004 (hw 停止イベント) が Microsoft-SMA/Operational イベント ログに存在することを確認します。

問題がまだ修正されていない場合は、サポート チケットを発行します。

VM がリンクされたワークスペース

ネットワークの要件を参照してください。

検証するには、接続されている VM のワークスペースまたは対応するログ分析のハートビート テーブルを確認します。

Heartbeat | where Computer =~ ""

Windows Update サービスの状態

この問題を解決するには、wuaserv サービスを開始します。

Start-Service -Name wuauserv -ErrorAction SilentlyContinue

接続チェック

このトラブルシューティング ツールでは、現在、プロキシ サーバーが構成されている場合、プロキシ サーバー経由でトラフィックがルーティングされません。

登録エンドポイント

このチェックでは、エージェントがエージェント サービスと正しく通信できるかどうかを判別します。

Hybrid Runbook Worker エージェントが登録エンドポイントと通信できるように、プロキシとファイアウォールが構成されている必要があります。 アドレスと開くポートの一覧については、「ネットワークの計画」を参照してください。

前提条件の URL を許可します。 ネットワークが変更されたら、トラブルシューティング ツールを再実行するか、次のコマンドを実行して検証できます。

$workspaceId =- ""  
$endpoint = $workspaceId + “.agentsvc.azure-automation.net”  
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded 

操作エンドポイント

このチェックでは、エージェントが Job Runtime Data Service と正しく通信できるかどうかを判別します。

Hybrid Runbook Worker エージェントが Job Runtime Data Service と通信できるように、プロキシとファイアウォールが構成されている必要があります。 アドレスと開くポートの一覧については、「ネットワークの計画」を参照してください。

前提条件の URL を許可します。 ネットワークが変更されたら、トラブルシューティング ツールを再実行するか、次のコマンドを実行して検証できます。

$jrdsEndpointLocationMoniker = “” 

# $jrdsEndpointLocationMoniker should be based on automation account location (jpe/ase/scus) etc.  

$endpoint = $jrdsEndpointLocationMoniker + “-jobruntimedata-prod-su1.azure-automation.net” 

(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded  

HTTPS 接続

ネットワーク セキュリティ規則の継続的な管理が簡単になります。 前提条件の URL を許可します。

ネットワークが変更されたら、トラブルシューティング ツールを再実行するか、次のコマンドを実行して検証できます。

$uri = "https://eus2-jobruntimedata-prod-su1.azure-automation.net"
Invoke-WebRequest -URI $uri -UseBasicParsing

プロキシの設定

プロキシが有効になっている場合は、前提条件の URL にアクセスできることを確認します

プロキシが正しく設定されているかどうかを確認するには、次のコマンドを使用します。

netsh winhttp show proxy

または、レジストリ キー ProxyEnable が 1 に設定されていることを確認します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

IMDS エンドポイント接続

この問題を解決するには、IP 169.254.169.254
へのアクセスを許可します。詳細については、「Azure Instance Metadata Service にアクセスする」を参照してください

ネットワークが変更されたら、トラブルシューティング ツールを再実行するか、次のコマンドを実行して検証できます。

Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.254/metadata/instance?api-version=2018-02-01

VM Service Health チェック

エージェント サービスの状態の監視

このチェックでは、Windows 用 Log Analytics エージェント (healthservice) がマシン上で実行されているかどうかを確認します。 このサービスのトラブルシューティングの詳細については、「Windows 用 Log Analytics エージェントが実行されていない」を参照してください。

Windows 用の Log Analytics エージェントを再インストールする場合、「Windows 用エージェントをインストールする」を参照してください。

エージェント サービス イベントの監視

このチェックでは、過去 24 時間にマシンの Azure Operations Manager ログに 4502 イベントが記録されているかどうかを判別します。

このイベントの詳細については、「Operations Manager ログのイベント 4502」を参照してください。

アクセス許可のチェック

マシン キー フォルダー

このチェックでは、ローカル システム アカウントが C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys にアクセスできるかどうかが判別されます。

修正するには、フォルダー C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys に対して必要なアクセス許可 (読み取り、書き込み、変更、またはフル コントロール) を SYSTEM アカウントに付与します

次のコマンドを使用して、フォルダーのアクセス許可を確認します。


$folder = “C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys” 

(Get-Acl $folder).Access |? {($_.IdentityReference -match $User) -or ($_.IdentityReference -match "Everyone")} | Select IdentityReference, FileSystemRights

マシンの更新設定

インストール後に自動的に再起動する

修正するには、レジストリ キーを HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU から削除します。

Update Management スケジュールの構成に従って再起動を構成します。

AlwaysAutoRebootAtScheduledTime 
AlwaysAutoRebootAtScheduledTimeMinutes

詳しくは、「再起動の設定を構成する」を参照してください。

WSUS サーバーの構成

環境が WSUS から更新プログラムを取得するように設定されている場合は、更新プログラムの展開前に WSUS で承認されていることを確認します。 詳細は、「WSUS 構成設定」を参照してください。 環境で WSUS を使用していない場合は、必ず WSUS サーバーの設定を削除し、Windows Update コンポーネントをリセットしてください

自動的にダウンロードしてインストールする

この問題を解決するには、AutoUpdate 機能を無効にします。 自動更新を構成するローカル グループ ポリシーで、これを [無効] に設定します。 詳細については、「自動更新を構成する」を参照してください。

オフラインでのトラブルシューティング

スクリプトをローカルに実行することで、Hybrid Runbook Worker のトラブルシューティング ツールをオフラインで使用できます。 GitHub から次のスクリプトを入手します: UM_Windows_Troubleshooter_Offline.ps1。 このスクリプトを実行するには、WMF 5.0 以降をインストールしておく必要があります。 最新バージョンの PowerShell をダウンロードするには、「PowerShell のさまざまなバージョンのインストール」を参照してください。

このスクリプトの出力は次の例のようになります。

RuleId                      : OperatingSystemCheck 
RuleGroupId                 : prerequisites 
RuleName                    : Operating System 
RuleGroupName               : Prerequisite Checks 
RuleDescription             : The Windows Operating system must be version 6.1.7600 (Windows Server 2008 R2) or higher 
CheckResult                 : Passed 
CheckResultMessage          : Operating System version is supported 
CheckResultMessageId        : OperatingSystemCheck.Passed 
CheckResultMessageArguments : {} 

 

RuleId                      : DotNetFrameworkInstalledCheck 
RuleGroupId                 : prerequisites 
RuleName                    : .NET Framework 4.6.2+
RuleGroupName               : Prerequisite Checks 
RuleDescription             : .NET Framework version 4.6.2 or higher is required 
CheckResult                 : Passed 
CheckResultMessage          : .NET Framework version 4.6.2+ is found 
CheckResultMessageId        : DotNetFrameworkInstalledCheck.Passed 
CheckResultMessageArguments : {} 

 

RuleId                      : WindowsManagementFrameworkInstalledCheck 
RuleGroupId                 : prerequisites 
RuleName                    : WMF 5.1 
RuleGroupName               : Prerequisite Checks 
RuleDescription             : Windows Management Framework version 4.0 or higher is required (version 5.1 or higher is preferable) 
CheckResult                 : Passed 
CheckResultMessage          : Detected Windows Management Framework version: 5.1.22621.169 
CheckResultMessageId        : WindowsManagementFrameworkInstalledCheck.Passed 
CheckResultMessageArguments : {5.1.22621.169} 

 

RuleId                      : AutomationAgentServiceConnectivityCheck1 
RuleGroupId                 : connectivity 
RuleName                    : Registration endpoint 
RuleGroupName               : connectivity 
RuleDescription             :  
CheckResult                 : Failed 
CheckResultMessage          : Unable to find Workspace registration information 
CheckResultMessageId        : AutomationAgentServiceConnectivityCheck1.Failed.NoRegistrationFound 
CheckResultMessageArguments :  

 

RuleId                      : AutomationJobRuntimeDataServiceConnectivityCheck 
RuleGroupId                 : connectivity 
RuleName                    : Operations endpoint 
RuleGroupName               : connectivity 
RuleDescription             : Proxy and firewall configuration must allow Automation Hybrid Worker agent to communicate with  
                              eus2-jobruntimedata-prod-su1.azure-automation.net 
CheckResult                 : Passed 
CheckResultMessage          : TCP Test for eus2-jobruntimedata-prod-su1.azure-automation.net (port 443) succeeded 
CheckResultMessageId        : AutomationJobRuntimeDataServiceConnectivityCheck.Passed 
CheckResultMessageArguments : {eus2-jobruntimedata-prod-su1.azure-automation.net} 

 

RuleId                      : MonitoringAgentServiceRunningCheck 
RuleGroupId                 : servicehealth 
RuleName                    : Monitoring Agent service status 
RuleGroupName               : VM Service Health Checks 
RuleDescription             : HealthService must be running on the machine 
CheckResult                 : Passed 
CheckResultMessage          : Microsoft Monitoring Agent service (HealthService) is running 
CheckResultMessageId        : MonitoringAgentServiceRunningCheck.Passed 
CheckResultMessageArguments : {Microsoft Monitoring Agent, HealthService} 

 

RuleId                      : SystemHybridRunbookWorkerRunningCheck 
RuleGroupId                 : servicehealth 
RuleName                    : Hybrid runbook worker status 
RuleGroupName               : VM Service Health Checks 
RuleDescription             : Hybrid runbook worker must be in running state. 
CheckResult                 : Passed 
CheckResultMessage          : Hybrid runbook worker is running. 
CheckResultMessageId        : SystemHybridRunbookWorkerRunningCheck.Passed 
CheckResultMessageArguments : {} 

 

RuleId                      : MonitoringAgentServiceEventsCheck 
RuleGroupId                 : servicehealth 
RuleName                    : Monitoring Agent service events 
RuleGroupName               : VM Service Health Checks 
RuleDescription             : Event Log must not have event 4502 logged in the past 24 hours 
CheckResult                 : Passed 
CheckResultMessage          : Microsoft Monitoring Agent service Event Log (Operations Manager) does not have event 4502 logged in the last 24 hours. 
CheckResultMessageId        : MonitoringAgentServiceEventsCheck.Passed 
CheckResultMessageArguments : {Microsoft Monitoring Agent, Operations Manager, 4502} 

 

RuleId                      : LinkedWorkspaceCheck 
RuleGroupId                 : servicehealth 
RuleName                    : VM's Linked Workspace 
RuleGroupName               : VM Service Health Checks 
RuleDescription             : Get linked workspace info of the VM 
CheckResult                 : Failed 
CheckResultMessage          : VM is not reporting to any workspace. 
CheckResultMessageId        : LinkedWorkspaceCheck.Failed.NoWorkspace 
CheckResultMessageArguments : {} 

 
RuleId                      : CryptoRsaMachineKeysFolderAccessCheck 
RuleGroupId                 : permissions 
RuleName                    : Crypto RSA MachineKeys Folder Access 
RuleGroupName               : Access Permission Checks 
RuleDescription             : SYSTEM account must have WRITE and MODIFY access to 'C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys' 
CheckResult                 : Passed 
CheckResultMessage          : Have permissions to access C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys 
CheckResultMessageId        : CryptoRsaMachineKeysFolderAccessCheck.Passed 
CheckResultMessageArguments : {C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys} 


RuleId                      : TlsVersionCheck 
RuleGroupId                 : prerequisites 
RuleName                    : TLS 1.2 
RuleGroupName               : Prerequisite Checks 
RuleDescription             : Client and Server connections must support TLS 1.2 
CheckResult                 : Passed 
CheckResultMessage          : TLS 1.2 is enabled by default on the Operating System. 
CheckResultMessageId        : TlsVersionCheck.Passed.EnabledByDefault 
CheckResultMessageArguments : {} 

 
RuleId                      : AlwaysAutoRebootCheck 
RuleGroupId                 : machineSettings 
RuleName                    : AutoReboot 
RuleGroupName               : Machine Override Checks 
RuleDescription             : Automatic reboot should not be enable as it forces a reboot irrespective of update configuration 
CheckResult                 : Passed 
CheckResultMessage          : Windows Update reboot registry keys are not set to automatically reboot 
CheckResultMessageId        : AlwaysAutoRebootCheck.Passed 
CheckResultMessageArguments :  

 

RuleId                      : WSUSServerConfigured 
RuleGroupId                 : machineSettings 
RuleName                    : isWSUSServerConfigured 
RuleGroupName               : Machine Override Checks 
RuleDescription             : Increase awareness on WSUS configured on the server 
CheckResult                 : Passed 
CheckResultMessage          : Windows Updates are downloading from the default Windows Update location. Ensure the server has access to the Windows Update service 
CheckResultMessageId        : WSUSServerConfigured.Passed 
CheckResultMessageArguments :  

 

RuleId                      : AutomaticUpdateCheck 
RuleGroupId                 : machineSettings 
RuleName                    : AutoUpdate 
RuleGroupName               : Machine Override Checks 
RuleDescription             : AutoUpdate should not be enabled on the machine 
CheckResult                 : Passed 
CheckResultMessage          : Windows Update is not set to automatically install updates as they become available 
CheckResultMessageId        : AutomaticUpdateCheck.Passed 
CheckResultMessageArguments :  

 

RuleId                      : HttpsConnection 
RuleGroupId                 : connectivity 
RuleName                    : HTTPS connection 
RuleGroupName               : connectivity 
RuleDescription             : Check if VM is able to make https requests. 
CheckResult                 : Passed 
CheckResultMessage          : VM is able to make https requests. 
CheckResultMessageId        : HttpsConnection.Passed 
CheckResultMessageArguments : {} 

 

RuleId                      : ProxySettings 
RuleGroupId                 : connectivity 
RuleName                    : Proxy settings 
RuleGroupName               : connectivity 
RuleDescription             : Check if Proxy is enabled on the VM. 
CheckResult                 : Passed 
CheckResultMessage          : Proxy is not set. 
CheckResultMessageId        : ProxySettings.Passed 
CheckResultMessageArguments : {} 

 
RuleId                      : IMDSConnectivity 
RuleGroupId                 : connectivity 
RuleName                    : IMDS endpoint connectivity 
RuleGroupName               : connectivity 
RuleDescription             : Check if VM is able to reach IMDS server to get VM information. 
CheckResult                 : PassedWithWarning 
CheckResultMessage          : VM is not able to reach IMDS server. Consider this as a Failure if this is an Azure VM. 
CheckResultMessageId        : IMDSConnectivity.PassedWithWarning 
CheckResultMessageArguments : {} 

 

RuleId                      : WUServiceRunningCheck 
RuleGroupId                 : servicehealth 
RuleName                    : WU service status 
RuleGroupName               : WU Service Health Check 
RuleDescription             : WU must not be in the disabled state. 
CheckResult                 : Passed 
CheckResultMessage          : Windows Update service (wuauserv) is running. 
CheckResultMessageId        : WUServiceRunningCheck.Passed 
CheckResultMessageArguments : {Windows Update, wuauserv} 

 
RuleId                      : LAOdsEndpointConnectivity 
RuleGroupId                 : connectivity 
RuleName                    : LA ODS endpoint 
RuleGroupName               : connectivity 
RuleDescription             : Proxy and firewall configuration must allow to communicate with LA ODS endpoint 
CheckResult                 : Failed 
CheckResultMessage          : Unable to find Workspace registration information 
CheckResultMessageId        : LAOdsEndpointConnectivity.Failed 
CheckResultMessageArguments :  

 
RuleId                      : LAOmsEndpointConnectivity 
RuleGroupId                 : connectivity 
RuleName                    : LA OMS endpoint 
RuleGroupName               : connectivity 
RuleDescription             : Proxy and firewall configuration must allow to communicate with LA OMS endpoint 
CheckResult                 : Failed 
CheckResultMessage          : Unable to find Workspace registration information 
CheckResultMessageId        : LAOmsEndpointConnectivity.Failed 
CheckResultMessageArguments :  

次のステップ

Hybrid Runbook Worker の問題のトラブルシューティング