Rozwiązywanie problemów z agentem usługi Windows Update
Ważne
Śledzenie zmian i spis korzystanie z agenta usługi Log Analytics zostało wycofane 31 sierpnia 2024 r. i będzie działać w sprawie ograniczonej pomocy technicznej do 01 lutego 2025 r. Zalecamy użycie agenta monitorowania platformy Azure jako nowego agenta pomocniczego. Postępuj zgodnie z wytycznymi dotyczącymi migracji ze śledzenia zmian i spisu przy użyciu usługi analizy dzienników do śledzenia zmian i spisu przy użyciu wersji agenta monitorowania platformy Azure.
Może istnieć wiele powodów, dla których maszyna nie jest wyświetlana jako gotowa (w dobrej kondycji) podczas wdrażania usługi Update Management. Możesz sprawdzić kondycję agenta hybrydowego procesu roboczego elementu Runbook systemu Windows, aby określić podstawowy problem. Poniżej przedstawiono trzy stany gotowości maszyny:
- Gotowe: hybrydowy proces roboczy elementu Runbook został wdrożony i ostatni raz był widziany mniej niż godzinę temu.
- Rozłączone: hybrydowy proces roboczy elementu Runbook został wdrożony i ostatni raz był widziany ponad godzinę temu.
- Nieskonfigurowane: hybrydowy proces roboczy elementu Runbook nie został znaleziony lub nie zakończył wdrożenia.
Uwaga
Może wystąpić niewielkie opóźnienie między tym, co pokazuje witryna Azure Portal, a bieżącym stanem maszyny.
W tym artykule omówiono sposób uruchamiania narzędzia do rozwiązywania problemów dla maszyn platformy Azure z witryny Azure Portal i maszyn spoza platformy Azure w scenariuszu offline.
Uwaga
Skrypt narzędzia do rozwiązywania problemów zawiera teraz kontrole usług Windows Server Update Services (WSUS) i automatycznego pobierania i instalowania kluczy.
Uruchamianie narzędzia do rozwiązywania problemów
W przypadku maszyn platformy Azure możesz uruchomić stronę Rozwiązywanie problemów z agentem aktualizacji, wybierając link Rozwiązywanie problemów w kolumnie Gotowość agenta aktualizacji w portalu. W przypadku maszyn spoza platformy Azure link prowadzi do tego artykułu. Zobacz Rozwiązywanie problemów w trybie offline, aby rozwiązać problemy z maszyną spoza platformy Azure.
Uwaga
Aby sprawdzić kondycję hybrydowego procesu roboczego elementu Runbook, maszyna wirtualna musi być uruchomiona. Jeśli maszyna wirtualna nie jest uruchomiona, zostanie wyświetlony przycisk Uruchom maszynę wirtualną.
Na stronie Rozwiązywanie problemów z agentem aktualizacji wybierz pozycję Uruchom testy , aby uruchomić narzędzie do rozwiązywania problemów. Narzędzie do rozwiązywania problemów używa polecenia Uruchom, aby uruchomić skrypt na maszynie w celu zweryfikowania zależności. Po ich zakończeniu narzędzie rozwiązywania problemów zwraca wynik testów.
Wyniki są wyświetlane na stronie, gdy są gotowe. Sekcje testów pokazują, co wchodzi w skład każdego testu.
Sprawdzanie wymagań wstępnych
System operacyjny
Sprawdzanie systemu operacyjnego sprawdza, czy hybrydowy proces roboczy elementu Runbook działa w jednym z obsługiwanych systemów operacyjnych
.NET 4.6.2
Sprawdzanie programu .NET Framework sprawdza, czy system ma zainstalowany program .NET Framework 4.6.2 lub nowszy.
Aby rozwiązać ten problem, zainstaluj program .NET Framework 4.6 lub nowszy.
Pobierz program .NET Framework.
WMF 5.1
Sprawdzanie WMF sprawdza, czy system ma wymaganą wersję programu Windows Management Framework (WMF).
Aby rozwiązać ten problem, należy pobrać i zainstalować program Windows Management Framework 5.1 , ponieważ wymaga programu Windows PowerShell 5.1, aby usługa Azure Update Management działała.
TLS 1.2
Ta kontrola określa, czy używasz protokołu TLS 1.2 do szyfrowania komunikacji. Protokół TLS 1.0 nie jest już obsługiwany przez platformę. Użyj protokołu TLS 1.2, aby komunikować się z rozwiązaniem Update Management.
Aby rozwiązać ten problem, wykonaj kroki włączania protokołu TLS 1.2
Monitorowanie kontroli kondycji usługi agenta
Hybrydowy proces roboczy elementu Runbook
Aby rozwiązać ten problem, należy wymusić ponowną rejestrację hybrydowego procesu roboczego elementu Runbook.
Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
Restart-service healthservice
Uwaga
Spowoduje to usunięcie hybrydowego procesu roboczego użytkownika z maszyny. Upewnij się, że następnie sprawdź i zarejestruj go ponownie. Jeśli maszyna ma tylko hybrydowy proces roboczy elementu Runbook systemu, nie jest wymagana żadna akcja.
Aby sprawdzić poprawność, sprawdź identyfikator zdarzenia 15003 (zdarzenie początkowe HW) LUB 15004 (zdarzenie zatrzymane hw) ISTNIEJE w dziennikach zdarzeń microsoft-SMA/operational.
Zgłoś bilet pomocy technicznej, jeśli problem nie został jeszcze rozwiązany.
Połączony obszar roboczy maszyn wirtualnych
Zobacz Wymagania dotyczące sieci.
Aby zweryfikować: Sprawdź połączone maszyny wirtualne w obszarze roboczym lub tabelę pulsu odpowiedniej analizy dzienników.
Heartbeat | where Computer =~ ""
Stan usługi Windows Update
Aby rozwiązać ten problem, uruchom usługę wuaserv .
Start-Service -Name wuauserv -ErrorAction SilentlyContinue
Sprawdzanie łączności
Narzędzie do rozwiązywania problemów obecnie nie kieruje ruchu przez serwer proxy, jeśli jest skonfigurowany.
Punkt końcowy rejestracji
Ta kontrola określa, czy agent może prawidłowo komunikować się z usługą agenta.
Konfiguracje serwera proxy i zapory muszą zezwalać agentowi hybrydowego procesu roboczego elementu Runbook na komunikację z punktem końcowym rejestracji. Aby uzyskać listę adresów i portów do otwarcia, zobacz Planowanie sieci.
Zezwalaj na adresy URL wymagań wstępnych. Po zmianie sieci możesz ponownie uruchomić narzędzie do rozwiązywania problemów lub uruchomić poniższe polecenia, aby sprawdzić poprawność:
$workspaceId =- ""
$endpoint = $workspaceId + “.agentsvc.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Punkt końcowy operacji
Ta kontrola określa, czy agent może prawidłowo komunikować się z usługą danych środowiska uruchomieniowego zadania.
Konfiguracje serwera proxy i zapory muszą zezwalać agentowi hybrydowego procesu roboczego elementu Runbook na komunikowanie się z usługą danych środowiska uruchomieniowego zadania. Aby uzyskać listę adresów i portów do otwarcia, zobacz Planowanie sieci.
Zezwalaj na adresy URL wymagań wstępnych. Po zmianie sieci możesz ponownie uruchomić narzędzie do rozwiązywania problemów lub uruchomić poniższe polecenia, aby sprawdzić poprawność:
$jrdsEndpointLocationMoniker = “”
# $jrdsEndpointLocationMoniker should be based on automation account location (jpe/ase/scus) etc.
$endpoint = $jrdsEndpointLocationMoniker + “-jobruntimedata-prod-su1.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Połączenie HTTPS
Upraszcza bieżące zarządzanie regułami zabezpieczeń sieci. Zezwalaj na adresy URL wymagań wstępnych.
Po zmianie sieci możesz ponownie uruchomić narzędzie do rozwiązywania problemów lub uruchomić poniższe polecenia, aby sprawdzić poprawność:
$uri = "https://eus2-jobruntimedata-prod-su1.azure-automation.net"
Invoke-WebRequest -URI $uri -UseBasicParsing
Ustawienia serwera proxy
Jeśli serwer proxy jest włączony, upewnij się, że masz dostęp do wstępnie wymaganych adresów URL
Aby sprawdzić, czy serwer proxy jest poprawnie ustawiony, użyj poniższych poleceń:
netsh winhttp show proxy
lub sprawdź, czy klucz rejestru ProxyEnable ma ustawioną wartość 1 w
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Łączność z punktem końcowym IMDS
Aby rozwiązać ten problem, zezwól na dostęp do adresu IP 169.254.169.254
Aby uzyskać więcej informacji, zobacz Uzyskiwanie dostępu do usługi metadanych wystąpienia platformy Azure
Po zmianie sieci możesz ponownie uruchomić narzędzie do rozwiązywania problemów lub uruchomić poniższe polecenia, aby sprawdzić poprawność:
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.254/metadata/instance?api-version=2018-02-01
Kontrole kondycji usługi maszyny wirtualnej
Stan usługi agenta monitorowania
Ta kontrola określa, czy agent usługi Log Analytics dla systemu Windows (healthservice) jest uruchomiony na maszynie. Aby dowiedzieć się więcej na temat rozwiązywania problemów z usługą, zobacz Agent usługi Log Analytics dla systemu Windows nie jest uruchomiony.
Aby ponownie zainstalować agenta usługi Log Analytics dla systemu Windows, zobacz Instalowanie agenta dla systemu Windows.
Zdarzenia usługi agenta monitorowania
Ta kontrola określa, czy jakiekolwiek zdarzenia 4502 są wyświetlane w dzienniku programu Azure Operations Manager na maszynie w ciągu ostatnich 24 godzin.
Aby dowiedzieć się więcej o tym zdarzeniu, zobacz zdarzenie 4502 w dzienniku programu Operations Manager dla tego zdarzenia.
Sprawdzanie uprawnień dostępu
Folder klucza komputera
To sprawdzenie określa, czy lokalne konto systemowe ma dostęp do: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Aby rozwiązać ten problem, przyznaj konto SYSTEM wymagane uprawnienia (odczyt, zapis i modyfikowanie lub pełna kontrola) w folderze C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Użyj poniższych poleceń, aby sprawdzić uprawnienia w folderze:
$folder = “C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys”
(Get-Acl $folder).Access |? {($_.IdentityReference -match $User) -or ($_.IdentityReference -match "Everyone")} | Select IdentityReference, FileSystemRights
Ustawienia aktualizacji maszyny
Automatyczny ponowny rozruch po instalacji
Aby rozwiązać ten problem, usuń klucze rejestru z: HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
Skonfiguruj ponowny rozruch zgodnie z konfiguracją harmonogramu rozwiązania Update Management.
AlwaysAutoRebootAtScheduledTime
AlwaysAutoRebootAtScheduledTimeMinutes
Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień ponownego uruchamiania
Konfiguracja serwera WSUS
Jeśli środowisko jest ustawione na pobieranie aktualizacji z programu WSUS, upewnij się, że jest on zatwierdzony w programie WSUS przed wdrożeniem aktualizacji. Aby uzyskać więcej informacji, zobacz Ustawienia konfiguracji programu WSUS. Jeśli środowisko nie korzysta z programu WSUS, upewnij się, że usunięto ustawienia serwera WSUS i zresetowaliśmy składnik windows update.
Automatycznie pobieraj i instaluj
Aby rozwiązać ten problem, wyłącz funkcję AutoUpdate . Ustaw dla niego wartość Wyłączone w lokalnych zasadach grupy Skonfiguruj aktualizacje automatyczne. Aby uzyskać więcej informacji, zobacz Konfigurowanie aktualizacji automatycznych.
Rozwiązywanie problemów w trybie offline
Narzędzie do rozwiązywania problemów można użyć w hybrydowym procesie roboczym elementu Runbook w trybie offline, uruchamiając skrypt lokalnie. Pobierz następujący skrypt z witryny GitHub: UM_Windows_Troubleshooter_Offline.ps1. Aby uruchomić skrypt, musisz mieć zainstalowany program WMF 5.0 lub nowszy. Aby pobrać najnowszą wersję programu PowerShell, zobacz Instalowanie różnych wersji programu PowerShell.
Dane wyjściowe tego skryptu wyglądają podobnie do następującego przykładu:
RuleId : OperatingSystemCheck
RuleGroupId : prerequisites
RuleName : Operating System
RuleGroupName : Prerequisite Checks
RuleDescription : The Windows Operating system must be version 6.1.7600 (Windows Server 2008 R2) or higher
CheckResult : Passed
CheckResultMessage : Operating System version is supported
CheckResultMessageId : OperatingSystemCheck.Passed
CheckResultMessageArguments : {}
RuleId : DotNetFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : .NET Framework 4.6.2+
RuleGroupName : Prerequisite Checks
RuleDescription : .NET Framework version 4.6.2 or higher is required
CheckResult : Passed
CheckResultMessage : .NET Framework version 4.6.2+ is found
CheckResultMessageId : DotNetFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {}
RuleId : WindowsManagementFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : WMF 5.1
RuleGroupName : Prerequisite Checks
RuleDescription : Windows Management Framework version 4.0 or higher is required (version 5.1 or higher is preferable)
CheckResult : Passed
CheckResultMessage : Detected Windows Management Framework version: 5.1.22621.169
CheckResultMessageId : WindowsManagementFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {5.1.22621.169}
RuleId : AutomationAgentServiceConnectivityCheck1
RuleGroupId : connectivity
RuleName : Registration endpoint
RuleGroupName : connectivity
RuleDescription :
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : AutomationAgentServiceConnectivityCheck1.Failed.NoRegistrationFound
CheckResultMessageArguments :
RuleId : AutomationJobRuntimeDataServiceConnectivityCheck
RuleGroupId : connectivity
RuleName : Operations endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow Automation Hybrid Worker agent to communicate with
eus2-jobruntimedata-prod-su1.azure-automation.net
CheckResult : Passed
CheckResultMessage : TCP Test for eus2-jobruntimedata-prod-su1.azure-automation.net (port 443) succeeded
CheckResultMessageId : AutomationJobRuntimeDataServiceConnectivityCheck.Passed
CheckResultMessageArguments : {eus2-jobruntimedata-prod-su1.azure-automation.net}
RuleId : MonitoringAgentServiceRunningCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service status
RuleGroupName : VM Service Health Checks
RuleDescription : HealthService must be running on the machine
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service (HealthService) is running
CheckResultMessageId : MonitoringAgentServiceRunningCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, HealthService}
RuleId : SystemHybridRunbookWorkerRunningCheck
RuleGroupId : servicehealth
RuleName : Hybrid runbook worker status
RuleGroupName : VM Service Health Checks
RuleDescription : Hybrid runbook worker must be in running state.
CheckResult : Passed
CheckResultMessage : Hybrid runbook worker is running.
CheckResultMessageId : SystemHybridRunbookWorkerRunningCheck.Passed
CheckResultMessageArguments : {}
RuleId : MonitoringAgentServiceEventsCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service events
RuleGroupName : VM Service Health Checks
RuleDescription : Event Log must not have event 4502 logged in the past 24 hours
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service Event Log (Operations Manager) does not have event 4502 logged in the last 24 hours.
CheckResultMessageId : MonitoringAgentServiceEventsCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, Operations Manager, 4502}
RuleId : LinkedWorkspaceCheck
RuleGroupId : servicehealth
RuleName : VM's Linked Workspace
RuleGroupName : VM Service Health Checks
RuleDescription : Get linked workspace info of the VM
CheckResult : Failed
CheckResultMessage : VM is not reporting to any workspace.
CheckResultMessageId : LinkedWorkspaceCheck.Failed.NoWorkspace
CheckResultMessageArguments : {}
RuleId : CryptoRsaMachineKeysFolderAccessCheck
RuleGroupId : permissions
RuleName : Crypto RSA MachineKeys Folder Access
RuleGroupName : Access Permission Checks
RuleDescription : SYSTEM account must have WRITE and MODIFY access to 'C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys'
CheckResult : Passed
CheckResultMessage : Have permissions to access C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys
CheckResultMessageId : CryptoRsaMachineKeysFolderAccessCheck.Passed
CheckResultMessageArguments : {C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys}
RuleId : TlsVersionCheck
RuleGroupId : prerequisites
RuleName : TLS 1.2
RuleGroupName : Prerequisite Checks
RuleDescription : Client and Server connections must support TLS 1.2
CheckResult : Passed
CheckResultMessage : TLS 1.2 is enabled by default on the Operating System.
CheckResultMessageId : TlsVersionCheck.Passed.EnabledByDefault
CheckResultMessageArguments : {}
RuleId : AlwaysAutoRebootCheck
RuleGroupId : machineSettings
RuleName : AutoReboot
RuleGroupName : Machine Override Checks
RuleDescription : Automatic reboot should not be enable as it forces a reboot irrespective of update configuration
CheckResult : Passed
CheckResultMessage : Windows Update reboot registry keys are not set to automatically reboot
CheckResultMessageId : AlwaysAutoRebootCheck.Passed
CheckResultMessageArguments :
RuleId : WSUSServerConfigured
RuleGroupId : machineSettings
RuleName : isWSUSServerConfigured
RuleGroupName : Machine Override Checks
RuleDescription : Increase awareness on WSUS configured on the server
CheckResult : Passed
CheckResultMessage : Windows Updates are downloading from the default Windows Update location. Ensure the server has access to the Windows Update service
CheckResultMessageId : WSUSServerConfigured.Passed
CheckResultMessageArguments :
RuleId : AutomaticUpdateCheck
RuleGroupId : machineSettings
RuleName : AutoUpdate
RuleGroupName : Machine Override Checks
RuleDescription : AutoUpdate should not be enabled on the machine
CheckResult : Passed
CheckResultMessage : Windows Update is not set to automatically install updates as they become available
CheckResultMessageId : AutomaticUpdateCheck.Passed
CheckResultMessageArguments :
RuleId : HttpsConnection
RuleGroupId : connectivity
RuleName : HTTPS connection
RuleGroupName : connectivity
RuleDescription : Check if VM is able to make https requests.
CheckResult : Passed
CheckResultMessage : VM is able to make https requests.
CheckResultMessageId : HttpsConnection.Passed
CheckResultMessageArguments : {}
RuleId : ProxySettings
RuleGroupId : connectivity
RuleName : Proxy settings
RuleGroupName : connectivity
RuleDescription : Check if Proxy is enabled on the VM.
CheckResult : Passed
CheckResultMessage : Proxy is not set.
CheckResultMessageId : ProxySettings.Passed
CheckResultMessageArguments : {}
RuleId : IMDSConnectivity
RuleGroupId : connectivity
RuleName : IMDS endpoint connectivity
RuleGroupName : connectivity
RuleDescription : Check if VM is able to reach IMDS server to get VM information.
CheckResult : PassedWithWarning
CheckResultMessage : VM is not able to reach IMDS server. Consider this as a Failure if this is an Azure VM.
CheckResultMessageId : IMDSConnectivity.PassedWithWarning
CheckResultMessageArguments : {}
RuleId : WUServiceRunningCheck
RuleGroupId : servicehealth
RuleName : WU service status
RuleGroupName : WU Service Health Check
RuleDescription : WU must not be in the disabled state.
CheckResult : Passed
CheckResultMessage : Windows Update service (wuauserv) is running.
CheckResultMessageId : WUServiceRunningCheck.Passed
CheckResultMessageArguments : {Windows Update, wuauserv}
RuleId : LAOdsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA ODS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA ODS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOdsEndpointConnectivity.Failed
CheckResultMessageArguments :
RuleId : LAOmsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA OMS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA OMS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOmsEndpointConnectivity.Failed
CheckResultMessageArguments :
Następne kroki
Rozwiązywanie problemów z hybrydowym procesem roboczym elementu Runbook.