Resolver problemas do agente de atualização do Windows
Importante
O agente Change Tracking and Inventory using Log Analytics foi desativado em 31 de agosto de 2024 e funcionará em suporte limitado até 01 de fevereiro de 2025. Recomendamos que você use o Agente de Monitoramento do Azure como o novo agente de suporte. Siga as orientações para Migração do Registo de Alterações e Inventário utilizando o Log Analytics para o Registo de Alterações e Inventário utilizando Agente de Monitorização do Azure versão.
Podem existir vários motivos pelos quais o computador não aparece como preparado (em bom estado de funcionamento) durante uma implementação da Gestão de Atualizações. Pode verificar o estado de funcionamento de um agente da Função de Trabalho de Runbook Híbrida do Windows para determinar o problema subjacente. Seguem-se os três estados de preparação de um computador:
- Preparado: a Função de Trabalho de Runbook Híbrida está implementada e foi vista pela última vez há menos de uma hora.
- Desligado: a Função de Trabalho de Runbook Híbrida está implementada e foi vista pela última vez há mais de uma hora.
- Não configurado: a Função de Trabalho de Runbook Híbrida não foi encontrada ou ainda não terminou a implementação.
Nota
Pode haver um pequeno atraso entre o que o portal do Azure mostra e o estado atual de uma máquina.
Este artigo descreve como executar a resolução de problemas para máquinas do Azure a partir do portal do Azure e máquinas não Azure no cenário offline.
Nota
O script de solução de problemas agora inclui verificações para o Windows Server Update Services (WSUS) e para as chaves de download e instalação automáticas.
Iniciar a resolução de problemas
Para máquinas do Azure, você pode iniciar a página Solucionar problemas do Update Agent selecionando o link Solucionar problemas na coluna Update Agent Readiness no portal. Para máquinas virtuais que não são do Azure, a ligação leva-o a este artigo. Veja Resolver problemas offline para resolver problemas de máquinas virtuais que não sejam do Azure.
Nota
Para verificar a integridade do Hybrid Runbook Worker, a VM deve estar em execução. Se a VM não estiver em execução, um botão Iniciar a VM será exibido.
Na página Solucionar problemas do Update Agent, selecione Executar verificações para iniciar a solução de problemas. A solução de problemas usa Executar Comando para executar um script na máquina, para verificar dependências. Quando a resolução de problemas for concluída, devolve o resultado das verificações.
Os resultados são apresentados na página quando estiverem prontos. As secções de verificação mostram o que está incluído em cada verificação.
Verificações de pré-requisitos
Sistema operativo
A verificação do sistema operacional verifica se o Hybrid Runbook Worker está executando um dos sistemas operacionais suportados
.NET 4.6.2
A verificação do .NET Framework verifica se o sistema tem o .NET Framework 4.6.2 ou posterior instalado.
Para corrigir, instale o .NET Framework 4.6 ou posterior.
Baixe o .NET Framework.
WMF 5.1
A verificação WMF verifica se o sistema tem a versão necessária do Windows Management Framework (WMF).
Para corrigir, você precisa baixar e instalar o Windows Management Framework 5.1 , pois ele requer o Windows PowerShell 5.1 para que o Azure Update Management funcione.
TLS 1.2
Essa verificação determina se você está usando o TLS 1.2 para criptografar suas comunicações. TLS 1.0 não é mais suportado pela plataforma. Use o TLS 1.2 para se comunicar com o Gerenciamento de Atualizações.
Para corrigir, siga as etapas para habilitar o TLS 1.2
Verificações do estado de funcionamento do serviço do agente de monitorização
Função de Trabalho de Runbook Híbrida
Para corrigir o problema, force o novo registro do Hybrid Runbook Worker.
Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
Restart-service healthservice
Nota
Isso removerá o trabalhador híbrido do usuário da máquina. Certifique-se de verificar e registrá-lo novamente depois. Não há nenhuma ação necessária se a máquina tiver apenas o trabalhador do Runbook Híbrido do Sistema.
Para validar, verifique a ID do evento 15003 (evento de início HW) OU 15004 (evento hw interrompido) EXISTE nos logs de eventos Microsoft-SMA/Operation.
Levante um tíquete de suporte se o problema ainda não for corrigido.
Área de trabalho associada às VMs
Consulte Requisitos de rede.
Para validar: verifique o espaço de trabalho conectado a VMs ou a tabela Heartbeat da análise de log correspondente.
Heartbeat | where Computer =~ ""
Estado do serviço Windows Update
Para corrigir esse problema, inicie o serviço wuaserv .
Start-Service -Name wuauserv -ErrorAction SilentlyContinue
Verificações de conectividade
Atualmente, a solução de problemas não roteia o tráfego por meio de um servidor proxy se estiver configurado.
Ponto final do registo
Essa verificação determina se o agente pode se comunicar corretamente com o serviço do agente.
As configurações de proxy e firewall devem permitir que o agente Hybrid Runbook Worker se comunique com o ponto de extremidade de registro. Para obter uma lista de endereços e portas a serem abertas, consulte Planejamento de rede.
Permita os URLs de pré-requisito. Após as alterações de rede, você pode executar novamente a Solução de problemas ou executar os comandos abaixo para validar:
$workspaceId =- ""
$endpoint = $workspaceId + “.agentsvc.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Ponto final de operações
Essa verificação determina se o agente pode se comunicar corretamente com o Job Runtime Data Service.
As configurações de proxy e firewall devem permitir que o agente Hybrid Runbook Worker se comunique com o Job Runtime Data Service. Para obter uma lista de endereços e portas a serem abertas, consulte Planejamento de rede.
Permita os URLs de pré-requisito. Após as alterações de rede, você pode executar novamente a Solução de problemas ou executar os comandos abaixo para validar:
$jrdsEndpointLocationMoniker = “”
# $jrdsEndpointLocationMoniker should be based on automation account location (jpe/ase/scus) etc.
$endpoint = $jrdsEndpointLocationMoniker + “-jobruntimedata-prod-su1.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Conexão HTTPS
Simplifica o gerenciamento contínuo de suas regras de segurança de rede. Permita os URLs de pré-requisito.
Após as alterações de rede, você pode executar novamente a Solução de problemas ou executar os comandos abaixo para validar:
$uri = "https://eus2-jobruntimedata-prod-su1.azure-automation.net"
Invoke-WebRequest -URI $uri -UseBasicParsing
Definições de proxy
Se o proxy estiver habilitado, verifique se você tem acesso às URLs de pré-requisito
Para verificar se o proxy está definido corretamente, use os comandos abaixo:
netsh winhttp show proxy
ou verifique se a chave do Registro ProxyEnable está definida como 1 em
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Conectividade do ponto final IMDS
Para corrigir o problema, permita o acesso ao IP 169.254.169.254
Para obter mais informações, consulte acessar o serviço de metadados de instância do Azure
Após as alterações de rede, você pode executar novamente a Solução de problemas ou executar os comandos abaixo para validar:
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.254/metadata/instance?api-version=2018-02-01
Verificações do estado de funcionamento do serviço da VM
Estado do serviço do agente de monitorização
Essa verificação determina se o agente do Log Analytics para Windows (healthservice) está em execução na máquina. Para saber mais sobre como solucionar problemas do serviço, consulte O agente do Log Analytics para Windows não está em execução.
Para reinstalar o agente do Log Analytics para Windows, consulte Instalar o agente para Windows.
Eventos do serviço do agente de monitorização
Essa verificação determina se algum evento 4502 aparece no log do Azure Operations Manager na máquina nas últimas 24 horas.
Para saber mais sobre esse evento, consulte o Evento 4502 no log do Operations Manager para este evento.
Verificações das permissões de acesso
Pasta de chaves de computador
Esta verificação determina se a conta do sistema local tem acesso a: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Para corrigir, conceda à conta SYSTEM as permissões necessárias (Read, Write & Modify ou Full Control) na pasta C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Use os comandos abaixo para verificar as permissões na pasta:
$folder = “C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys”
(Get-Acl $folder).Access |? {($_.IdentityReference -match $User) -or ($_.IdentityReference -match "Everyone")} | Select IdentityReference, FileSystemRights
Definições de Atualização do Computador
Instalar e reiniciar automaticamente após a instalação
Para corrigir, remova as chaves do Registro de: HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
Configure a reinicialização de acordo com a configuração do cronograma do Gerenciamento de Atualizações.
AlwaysAutoRebootAtScheduledTime
AlwaysAutoRebootAtScheduledTimeMinutes
Para obter mais informações, consulte Definir configurações de reinicialização
Configuração do servidor WSUS
Se o ambiente estiver definido para obter atualizações do WSUS, certifique-se de que ele seja aprovado no WSUS antes da implantação da atualização. Para obter mais informações, consulte Definições de configuração do WSUS. Se o seu ambiente não estiver a utilizar o WSUS, certifique-se de que remove as definições do servidor WSUS e repõe o componente de atualização do Windows.
Transferir e instalar automaticamente
Para corrigir o problema, desative o recurso AutoUpdate . Defina-o como Desativado na política de grupo local Configurar Atualizações Automáticas. Para obter mais informações, consulte Configurar atualizações automáticas.
Resolver problemas offline
Você pode usar a solução de problemas em um Runbook Worker híbrido offline executando o script localmente. Obtenha o seguinte script do GitHub: UM_Windows_Troubleshooter_Offline.ps1. Para executar o script, você deve ter o WMF 5.0 ou posterior instalado. Para baixar a versão mais recente do PowerShell, consulte Instalando várias versões do PowerShell.
A saída desse script se parece com o exemplo a seguir:
RuleId : OperatingSystemCheck
RuleGroupId : prerequisites
RuleName : Operating System
RuleGroupName : Prerequisite Checks
RuleDescription : The Windows Operating system must be version 6.1.7600 (Windows Server 2008 R2) or higher
CheckResult : Passed
CheckResultMessage : Operating System version is supported
CheckResultMessageId : OperatingSystemCheck.Passed
CheckResultMessageArguments : {}
RuleId : DotNetFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : .NET Framework 4.6.2+
RuleGroupName : Prerequisite Checks
RuleDescription : .NET Framework version 4.6.2 or higher is required
CheckResult : Passed
CheckResultMessage : .NET Framework version 4.6.2+ is found
CheckResultMessageId : DotNetFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {}
RuleId : WindowsManagementFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : WMF 5.1
RuleGroupName : Prerequisite Checks
RuleDescription : Windows Management Framework version 4.0 or higher is required (version 5.1 or higher is preferable)
CheckResult : Passed
CheckResultMessage : Detected Windows Management Framework version: 5.1.22621.169
CheckResultMessageId : WindowsManagementFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {5.1.22621.169}
RuleId : AutomationAgentServiceConnectivityCheck1
RuleGroupId : connectivity
RuleName : Registration endpoint
RuleGroupName : connectivity
RuleDescription :
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : AutomationAgentServiceConnectivityCheck1.Failed.NoRegistrationFound
CheckResultMessageArguments :
RuleId : AutomationJobRuntimeDataServiceConnectivityCheck
RuleGroupId : connectivity
RuleName : Operations endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow Automation Hybrid Worker agent to communicate with
eus2-jobruntimedata-prod-su1.azure-automation.net
CheckResult : Passed
CheckResultMessage : TCP Test for eus2-jobruntimedata-prod-su1.azure-automation.net (port 443) succeeded
CheckResultMessageId : AutomationJobRuntimeDataServiceConnectivityCheck.Passed
CheckResultMessageArguments : {eus2-jobruntimedata-prod-su1.azure-automation.net}
RuleId : MonitoringAgentServiceRunningCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service status
RuleGroupName : VM Service Health Checks
RuleDescription : HealthService must be running on the machine
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service (HealthService) is running
CheckResultMessageId : MonitoringAgentServiceRunningCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, HealthService}
RuleId : SystemHybridRunbookWorkerRunningCheck
RuleGroupId : servicehealth
RuleName : Hybrid runbook worker status
RuleGroupName : VM Service Health Checks
RuleDescription : Hybrid runbook worker must be in running state.
CheckResult : Passed
CheckResultMessage : Hybrid runbook worker is running.
CheckResultMessageId : SystemHybridRunbookWorkerRunningCheck.Passed
CheckResultMessageArguments : {}
RuleId : MonitoringAgentServiceEventsCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service events
RuleGroupName : VM Service Health Checks
RuleDescription : Event Log must not have event 4502 logged in the past 24 hours
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service Event Log (Operations Manager) does not have event 4502 logged in the last 24 hours.
CheckResultMessageId : MonitoringAgentServiceEventsCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, Operations Manager, 4502}
RuleId : LinkedWorkspaceCheck
RuleGroupId : servicehealth
RuleName : VM's Linked Workspace
RuleGroupName : VM Service Health Checks
RuleDescription : Get linked workspace info of the VM
CheckResult : Failed
CheckResultMessage : VM is not reporting to any workspace.
CheckResultMessageId : LinkedWorkspaceCheck.Failed.NoWorkspace
CheckResultMessageArguments : {}
RuleId : CryptoRsaMachineKeysFolderAccessCheck
RuleGroupId : permissions
RuleName : Crypto RSA MachineKeys Folder Access
RuleGroupName : Access Permission Checks
RuleDescription : SYSTEM account must have WRITE and MODIFY access to 'C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys'
CheckResult : Passed
CheckResultMessage : Have permissions to access C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys
CheckResultMessageId : CryptoRsaMachineKeysFolderAccessCheck.Passed
CheckResultMessageArguments : {C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys}
RuleId : TlsVersionCheck
RuleGroupId : prerequisites
RuleName : TLS 1.2
RuleGroupName : Prerequisite Checks
RuleDescription : Client and Server connections must support TLS 1.2
CheckResult : Passed
CheckResultMessage : TLS 1.2 is enabled by default on the Operating System.
CheckResultMessageId : TlsVersionCheck.Passed.EnabledByDefault
CheckResultMessageArguments : {}
RuleId : AlwaysAutoRebootCheck
RuleGroupId : machineSettings
RuleName : AutoReboot
RuleGroupName : Machine Override Checks
RuleDescription : Automatic reboot should not be enable as it forces a reboot irrespective of update configuration
CheckResult : Passed
CheckResultMessage : Windows Update reboot registry keys are not set to automatically reboot
CheckResultMessageId : AlwaysAutoRebootCheck.Passed
CheckResultMessageArguments :
RuleId : WSUSServerConfigured
RuleGroupId : machineSettings
RuleName : isWSUSServerConfigured
RuleGroupName : Machine Override Checks
RuleDescription : Increase awareness on WSUS configured on the server
CheckResult : Passed
CheckResultMessage : Windows Updates are downloading from the default Windows Update location. Ensure the server has access to the Windows Update service
CheckResultMessageId : WSUSServerConfigured.Passed
CheckResultMessageArguments :
RuleId : AutomaticUpdateCheck
RuleGroupId : machineSettings
RuleName : AutoUpdate
RuleGroupName : Machine Override Checks
RuleDescription : AutoUpdate should not be enabled on the machine
CheckResult : Passed
CheckResultMessage : Windows Update is not set to automatically install updates as they become available
CheckResultMessageId : AutomaticUpdateCheck.Passed
CheckResultMessageArguments :
RuleId : HttpsConnection
RuleGroupId : connectivity
RuleName : HTTPS connection
RuleGroupName : connectivity
RuleDescription : Check if VM is able to make https requests.
CheckResult : Passed
CheckResultMessage : VM is able to make https requests.
CheckResultMessageId : HttpsConnection.Passed
CheckResultMessageArguments : {}
RuleId : ProxySettings
RuleGroupId : connectivity
RuleName : Proxy settings
RuleGroupName : connectivity
RuleDescription : Check if Proxy is enabled on the VM.
CheckResult : Passed
CheckResultMessage : Proxy is not set.
CheckResultMessageId : ProxySettings.Passed
CheckResultMessageArguments : {}
RuleId : IMDSConnectivity
RuleGroupId : connectivity
RuleName : IMDS endpoint connectivity
RuleGroupName : connectivity
RuleDescription : Check if VM is able to reach IMDS server to get VM information.
CheckResult : PassedWithWarning
CheckResultMessage : VM is not able to reach IMDS server. Consider this as a Failure if this is an Azure VM.
CheckResultMessageId : IMDSConnectivity.PassedWithWarning
CheckResultMessageArguments : {}
RuleId : WUServiceRunningCheck
RuleGroupId : servicehealth
RuleName : WU service status
RuleGroupName : WU Service Health Check
RuleDescription : WU must not be in the disabled state.
CheckResult : Passed
CheckResultMessage : Windows Update service (wuauserv) is running.
CheckResultMessageId : WUServiceRunningCheck.Passed
CheckResultMessageArguments : {Windows Update, wuauserv}
RuleId : LAOdsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA ODS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA ODS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOdsEndpointConnectivity.Failed
CheckResultMessageArguments :
RuleId : LAOmsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA OMS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA OMS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOmsEndpointConnectivity.Failed
CheckResultMessageArguments :
Próximos passos
Solucione problemas do Hybrid Runbook Worker.