Partilhar via


Resolver problemas da Gestão de Atualizações

Importante

O agente Change Tracking and Inventory using Log Analytics foi desativado em 31 de agosto de 2024 e funcionará em suporte limitado até 01 de fevereiro de 2025. Recomendamos que você use o Agente de Monitoramento do Azure como o novo agente de suporte. Siga as orientações para Migração do Registo de Alterações e Inventário utilizando o Log Analytics para o Registo de Alterações e Inventário utilizando Agente de Monitorização do Azure versão.

Este artigo discute problemas que você pode encontrar ao usar o recurso Gerenciamento de Atualizações para avaliar e gerenciar atualizações em suas máquinas. Há uma solução de problemas de agente para o agente Hybrid Runbook Worker para ajudar a determinar o problema subjacente. Para saber mais sobre a solução de problemas, consulte Solucionar problemas do agente de atualização do Windows e Solucionar problemas do agente de atualização do Linux. Para outros problemas de implantação de recursos, consulte Solucionar problemas de implantação de recursos.

Nota

Se você tiver problemas ao implantar o Gerenciamento de Atualizações em uma máquina Windows, abra o Visualizador de Eventos do Windows e verifique o log de eventos do Operations Manager em Logs de Aplicativos e Serviços na máquina local. Procure eventos com ID de evento 4502 e detalhes do evento que contenham Microsoft.EnterpriseManagement.HealthService.AzureAutomation.HybridAgent.

Cenário: a atualização do Windows Defender sempre é mostrada como ausente

Problema

A atualização de definição para o Windows Defender (KB2267602) sempre aparece como ausente em uma avaliação quando é instalada e mostra como atualizada quando verificada no histórico do Windows Update.

Motivo

As atualizações de definições são publicadas várias vezes por dia. Como resultado, você pode ver várias versões de KB2267602 publicadas em um único dia, mas com um ID e uma versão de atualização diferentes.

A avaliação do Gerenciamento de atualizações é executada uma vez a cada 11 horas. Neste exemplo, às 10h00, uma avaliação foi executada e a versão 1.237.316.0 estava disponível no momento. Quando pesquisa na tabela Atualizações na área de trabalho do Log Analytics, a Atualização de definição 1.237.316.0 é apresentada com um UpdateState Necessário. Se uma implantação agendada for executada algumas horas depois, digamos que 13:00 e a versão 1.237.316.0 ainda estiver disponível ou uma versão mais recente estiver, a versão mais recente será instalada e isso será refletido no registro gravado na tabela UpdateRunProgress . No entanto, a tabela Atualizações, continuará a apresentar o estado da versão 1.237.316.0 como Necessário até a próxima avaliação ser executada. Quando a avaliação for executada novamente, talvez não haja uma atualização de definição mais recente disponível, portanto, a tabela Update não mostrará a versão de atualização de definição 1.237.316.0 como ausente ou uma versão mais recente disponível conforme necessário. Devido à frequência das atualizações de definição, pode haver várias versões retornadas na pesquisa de log.

Resolução

Execute a seguinte consulta de log para confirmar que as atualizações de definição instaladas estão sendo relatadas corretamente. Esta consulta devolve a hora gerada, a versão e o ID de atualização do KB2267602 na tabela Atualizações . Substitua o valor de Computer pelo nome totalmente qualificado da máquina.

Update
| where TimeGenerated > ago(14h) and OSType != "Linux" and (Optional == false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((
    Heartbeat
    | where TimeGenerated > ago(12h) and OSType =~ "Windows" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, *) by Computer, SourceComputerId, UpdateID
| where UpdateState =~ "Needed" and Approved != false and Computer == "<computerName>"
| render table

Os resultados da consulta devem retornar algo semelhante ao seguinte:

Exemplo mostrando os resultados da consulta de log da tabela Atualizações.

Execute a seguinte consulta de log para obter o tempo gerado, a versão e a ID de atualização do KB2267602 na tabela UpdatesRunProgress . Esta consulta ajuda-nos a perceber se foi instalada a partir da Gestão de Atualizações ou se foi instalada automaticamente no computador a partir do Microsoft Update. Você precisa substituir o valor de CorrelationId pelo GUID do trabalho de runbook (ou seja, o valor da propriedade MasterJOBID do trabalho de runbook Patch-MicrosoftOMSComputer) para a atualização e SourceComputerId pelo GUID da máquina.

UpdateRunProgress
| where OSType!="Linux" and CorrelationId=="<master job id>" and SourceComputerId=="<source computer id>"
| summarize arg_max(TimeGenerated, Title, InstallationStatus) by UpdateId
| project TimeGenerated, id=UpdateId, displayName=Title, InstallationStatus

Os resultados da consulta devem retornar algo semelhante ao seguinte:

Exemplo mostrando os resultados da consulta de log da tabela UpdatesRunProgress.

Se o valor TimeGenerated para os resultados da consulta de log da tabela Updates for anterior ao carimbo de data/hora (ou seja, valor de TimeGenerated) da instalação da atualização na máquina ou dos resultados da consulta de log da tabela UpdateRunProgress , aguarde a próxima avaliação. Depois, execute a consulta de log na tabela Atualizações novamente. Uma atualização para KB2267602 não aparecerá ou aparecerá com uma versão mais recente. No entanto, mesmo após a avaliação mais recente, se a mesma versão aparecer como Necessária na tabela Atualizações, mas já estiver instalada, você deverá abrir um incidente de suporte do Azure.

Cenário: As atualizações do Linux mostradas como pendentes e as instaladas variam

Problema

Para sua máquina Linux, o Gerenciamento de Atualizações mostra atualizações específicas disponíveis na classificação Segurança e Outros. Mas quando uma agenda de atualização é executada na máquina, por exemplo, para instalar apenas atualizações que correspondam à classificação de segurança , as atualizações instaladas são diferentes ou um subconjunto das atualizações mostradas anteriormente corresponde a essa classificação.

Motivo

Quando uma avaliação das atualizações do sistema operacional pendentes para sua máquina Linux é feita, os arquivos OVAL (Open Vulnerability and Assessment Language ) fornecidos pelo fornecedor da distribuição Linux são usados pelo Gerenciamento de Atualizações para classificação. A categorização é feita para atualizações do Linux como Segurança ou Outros, com base nos arquivos OVAL que declaram atualizações que abordam problemas de segurança ou vulnerabilidades. Mas quando o cronograma de atualização é executado, ele é executado na máquina Linux usando o gerenciador de pacotes apropriado como YUM, APT ou ZYPPER para instalá-los. O gerenciador de pacotes para a distro Linux pode ter um mecanismo diferente para classificar atualizações, onde os resultados podem diferir dos obtidos de arquivos OVAL pelo Gerenciamento de Atualizações.

Resolução

Você pode verificar manualmente a máquina Linux, as atualizações aplicáveis e sua classificação de acordo com o gerenciador de pacotes da distro. Para entender quais atualizações são classificadas como Segurança pelo seu gerenciador de pacotes, execute os seguintes comandos.

Para YUM, o comando a seguir retorna uma lista diferente de zero de atualizações categorizadas como Segurança pela Red Hat.

sudo yum -q --security check-update

Para ZYPPER, o comando a seguir retorna uma lista diferente de zero de atualizações categorizadas como Segurança pela SUSE.

sudo LANG=en_US.UTF8 zypper --non-interactive patch --category security --dry-run

Para APT, o comando a seguir retorna uma lista diferente de zero de atualizações categorizadas como Segurança pela Canonical para distros Ubuntu Linux.

sudo grep security /etc/apt/sources.list > /tmp/oms-update-security.list LANG=en_US.UTF8 sudo apt-get -s dist-upgrade -oDir::Etc::Sourcelist=/tmp/oms-update-security.list

Nessa lista, execute o comando grep ^Inst para obter todas as atualizações de segurança pendentes.

Cenário: Você recebe o erro "Falha ao ativar a solução de atualização"

Problema

Quando tenta ativar a Gestão de atualizações na sua conta de automatização, obtém o seguinte erro:

Error details: Failed to enable the Update solution

Motivo

Este erro poderá ocorrer por um dos seguintes motivos:

  • Os requisitos de firewall de rede para o agente do Log Analytics podem não estar configurados corretamente. Essa situação pode fazer com que o agente falhe ao resolver as URLs DNS.

  • A segmentação do Gerenciamento de Atualizações está configurada incorretamente e a máquina não está recebendo atualizações conforme o esperado.

  • Você também pode notar que a máquina mostra um status de Non-compliant em Conformidade. Ao mesmo tempo, o Agent Desktop Analytics relata o agente como Disconnected.

Resolução

  • Execute a solução de problemas para Windows ou Linux, dependendo do sistema operacional.

  • Vá para Configuração de rede para saber quais endereços e portas devem ser permitidos para que o Gerenciamento de Atualizações funcione.

  • Verifique se há problemas de configuração de escopo. A configuração do escopo determina quais máquinas são configuradas para o Gerenciamento de Atualizações. Se a máquina estiver aparecendo no espaço de trabalho, mas não no Gerenciamento de Atualizações, você deverá definir a configuração do escopo para direcionar as máquinas. Para saber mais sobre a configuração do escopo, consulte Habilitar máquinas no espaço de trabalho.

  • Remova a configuração de trabalho seguindo as etapas em Remover o Runbook Worker Híbrido de um computador Windows local ou Remover o Runbook Worker Híbrido de um computador Linux local.

Cenário: Atualização substituída indicada como ausente no Gerenciamento de Atualizações

Problema

Atualizações antigas estão aparecendo para uma conta de automação como ausentes, mesmo que tenham sido substituídas. Uma atualização substituída é aquela que você não precisa instalar porque uma atualização posterior que corrige a mesma vulnerabilidade está disponível. O Gerenciamento de Atualizações ignora a atualização substituída e a torna não aplicável em favor da atualização substituta. Para obter informações sobre um problema relacionado, consulte Atualização substituída.

Motivo

As atualizações substituídas não são recusadas no WSUS (Windows Server Update Services) para que possam ser consideradas não aplicáveis.

Resolução

Quando uma atualização substituída se tornar 100% não aplicável, altere o estado de aprovação dessa atualização para Declined no WSUS. Para alterar o estado de aprovação de todas as suas atualizações:

  1. Na conta Automação, selecione Gerenciamento de atualizações para exibir o status da máquina. Consulte Ver avaliações de atualização.

  2. Verifique a atualização substituída para se certificar de que não é 100 por cento aplicável.

  3. No servidor WSUS para o qual as máquinas se reportam, recuse a atualização.

  4. Selecione Computadores e, na coluna Conformidade , force uma nova verificação de conformidade. Consulte Gerenciar atualizações para VMs.

  5. Repita as etapas acima para outras atualizações substituídas.

  6. Para o WSUS (Windows Server Update Services), limpe todas as atualizações substituídas para atualizar a infraestrutura usando o Assistente de limpeza do Servidor WSUS.

  7. Repita este procedimento regularmente para corrigir o problema de exibição e minimizar a quantidade de espaço em disco usado para o gerenciamento de atualizações.

Cenário: As máquinas não aparecem no portal em Gerenciamento de atualizações

Problema

As suas máquinas apresentam os seguintes sintomas:

  • Sua máquina é exibida Not configured a partir do modo de exibição Gerenciamento de Atualizações de uma VM.

  • Suas máquinas estão ausentes do modo de exibição Gerenciamento de Atualizações da sua conta de Automação do Azure.

  • Você tem máquinas que aparecem como Not assessed em Conformidade. No entanto, você vê dados de pulsação nos logs do Azure Monitor para o Runbook Worker Híbrido, mas não para o Gerenciamento de Atualizações.

Motivo

Esse problema pode ser causado por problemas de configuração local ou por configuração de escopo configurada incorretamente. As possíveis causas específicas são:

  • Talvez seja necessário registrar novamente e reinstalar o Hybrid Runbook Worker.

  • Você pode ter definido uma cota em seu espaço de trabalho que foi atingida e que está impedindo mais armazenamento de dados.

Resolução

  1. Execute a solução de problemas para Windows ou Linux, dependendo do sistema operacional.

  2. Verifique se a máquina virtual está a reportar à área de trabalho correta. Para obter orientação sobre como verificar esse aspeto, consulte Verificar a conectividade do agente com o Azure Monitor. Certifique-se também de que este espaço de trabalho está associado à sua conta de Automação do Azure. Para confirmar, vá para sua conta de automação e selecione Espaço de trabalho vinculado em Recursos relacionados.

  3. Verifique se as máquinas aparecem no espaço de trabalho do Log Analytics vinculado à sua conta de automação. Execute a seguinte consulta no espaço de trabalho do Log Analytics.

    Heartbeat
    | summarize by Computer, Solutions
    

    Se você não vir sua máquina nos resultados da consulta, ela não fez check-in recentemente. Provavelmente há um problema de configuração local e você deve reinstalar o agente.

    Se a sua máquina estiver listada nos resultados da consulta, verifique na propriedade Solutions se as atualizações estão listadas. Isso verifica se ele está registrado no Gerenciamento de Atualizações. Se não estiver, verifique se há problemas de configuração de escopo. A configuração do escopo determina quais máquinas são configuradas para o Gerenciamento de Atualizações. Para configurar a configuração de escopo para a máquina de destino, consulte Habilitar máquinas no espaço de trabalho.

  4. No espaço de trabalho, execute esta consulta.

    Operation
    | where OperationCategory == 'Data Collection Status'
    | sort by TimeGenerated desc
    

    Se você obtiver um Data collection stopped due to daily limit of free data reached. Ingestion status = OverQuota resultado, a cota definida em seu espaço de trabalho foi atingida, o que impediu que os dados fossem salvos. No espaço de trabalho, vá para Gerenciamento de volume de dados em Uso e custos estimados e altere ou remova a cota.

  5. Se o problema ainda não estiver resolvido, siga as etapas em Implantar um Runbook Worker Híbrido do Windows para reinstalar o Trabalhador Híbrido para Windows. Para Linux, siga as etapas em Deploy a Linux Hybrid Runbook Worker.

Cenário: Não é possível registrar o provedor de recursos de automação para assinaturas

Problema

Quando você trabalha com implantações de recursos em sua conta de automação, ocorre o seguinte erro:

Error details: Unable to register Automation Resource Provider for subscriptions

Motivo

O provedor de recursos de automação não está registrado na assinatura.

Resolução

Para registrar o provedor de recursos de automação, siga estas etapas no portal do Azure.

  1. Na lista de serviços do Azure na parte inferior do portal, selecione Todos os serviços e, em seguida, selecione Subscrições no grupo de serviços Geral.

  2. Selecione a sua subscrição.

  3. Em Definições, selecione Fornecedores de Recursos.

  4. Na lista de fornecedores de recursos, verifique se o fornecedor de recursos Microsoft.Automation está registado.

  5. Se não estiver listado, registre o provedor Microsoft.Automation seguindo as etapas em Resolver erros para registro do provedor de recursos.

Cenário: A atualização agendada não corrigiu algumas máquinas

Problema

As máquinas incluídas em uma visualização de atualização não aparecem todas na lista de máquinas corrigidas durante uma execução agendada, ou as VMs para escopos selecionados de um grupo dinâmico não estão aparecendo na lista de visualização de atualização no portal.

A lista de visualização de atualização consiste em todas as máquinas recuperadas por uma consulta do Azure Resource Graph para os escopos selecionados. Os escopos são filtrados para máquinas que têm um sistema Hybrid Runbook Worker instalado e para as quais você tem permissões de acesso.

Motivo

Esse problema pode ter uma das seguintes causas:

  • As assinaturas definidas no escopo em uma consulta dinâmica não são configuradas para o provedor de recursos de automação registrado.

  • As máquinas não estavam disponíveis ou não tinham tags apropriadas quando o cronograma foi executado.

  • Você não tem o acesso correto nos escopos selecionados.

  • A consulta do Gráfico de Recursos do Azure não recupera as máquinas esperadas.

  • O sistema Hybrid Runbook Worker não está instalado nas máquinas.

Resolução

Subscrições não configuradas para o fornecedor de recursos de automação registado

Se sua assinatura não estiver configurada para o provedor de recursos de automação, você não poderá consultar ou buscar informações em máquinas nessa assinatura. Use as etapas a seguir para verificar o registro para a assinatura.

  1. No portal do Azure, acesse a lista de serviços do Azure.

  2. Selecione Todos os serviços e, em seguida, selecione Subscrições no grupo Serviços gerais.

  3. Encontre a assinatura definida no escopo para sua implantação.

  4. Em Configurações, escolha Provedores de Recursos.

  5. Verifique se o provedor de recursos Microsoft.Automation está registrado.

  6. Se não estiver listado, registre o provedor Microsoft.Automation seguindo as etapas em Resolver erros para registro do provedor de recursos.

Máquinas não disponíveis ou não marcadas corretamente quando o agendamento é executado

Use o procedimento a seguir se sua assinatura estiver configurada para o provedor de recursos de automação, mas a execução da agenda de atualização com os grupos dinâmicos especificados perdeu algumas máquinas.

  1. No portal do Azure, abra a conta de Automação e selecione Gerenciamento de Atualizações.

  2. Verifique o histórico do Gerenciamento de atualizações para determinar a hora exata em que a implantação da atualização foi executada.

  3. Para máquinas que você suspeita terem sido perdidas pelo Gerenciamento de Atualizações, use o Azure Resource Graph (ARG) para localizar alterações na máquina.

  4. Pesquise alterações durante um período considerável, como um dia, antes de a implantação da atualização ser executada.

  5. Verifique nos resultados da pesquisa se há alterações sistêmicas, como excluir ou atualizar alterações, nas máquinas nesse período. Essas alterações podem alterar o status ou as tags da máquina para que as máquinas não sejam selecionadas na lista de máquinas quando as atualizações forem implantadas.

  6. Ajuste as configurações de máquinas e recursos conforme necessário para corrigir problemas de status ou tag da máquina.

  7. Execute novamente o agendamento de atualização para garantir que a implantação com os grupos dinâmicos especificados inclua todas as máquinas.

Acesso incorreto em escopos selecionados

O portal do Azure exibe apenas máquinas para as quais você tem acesso de gravação em um determinado escopo. Se você não tiver o acesso correto para um escopo, consulte Tutorial: Conceder a um usuário acesso aos recursos do Azure usando o portal do Azure.

A consulta Gráfico de Recursos não retorna máquinas esperadas

Siga as etapas abaixo para descobrir se suas consultas estão funcionando corretamente.

  1. Execute uma consulta do Gráfico de Recursos do Azure formatada conforme mostrado abaixo na folha do explorador do Gráfico de Recursos no portal do Azure. Se você é novo no Azure Resource Graph, consulte este guia de início rápido para aprender a trabalhar com o explorador do Resource Graph. Essa consulta imita os filtros selecionados quando você criou o grupo dinâmico no Gerenciamento de Atualizações. Consulte Usar grupos dinâmicos com o Gerenciamento de Atualizações.

    where (subscriptionId in~ ("<subscriptionId1>", "<subscriptionId2>") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "<Windows/Linux>" and resourceGroup in~ ("<resourceGroupName1>","<resourceGroupName2>") and location in~ ("<location1>","<location2>") )
    | project id, location, name, tags = todynamic(tolower(tostring(tags)))
    | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" and tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "All" option selected for tags
    | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" or tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "Any" option selected for tags
    | project id, location, name, tags
    

    Segue-se um exemplo:

    where (subscriptionId in~ ("aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e", "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "Windows" and resourceGroup in~ ("testRG","withinvnet-2020-01-06-10-global-resources-southindia") and location in~ ("australiacentral","australiacentral2","brazilsouth") )
    | project id, location, name, tags = todynamic(tolower(tostring(tags)))
    | where  (tags[tolower("ms-resource-usage")] =~ "azure-cloud-shell" and tags[tolower("temp")] =~ "temp")
    | project id, location, name, tags
    
  2. Verifique se as máquinas que você está procurando estão listadas nos resultados da consulta.

  3. Se as máquinas não estiverem listadas, provavelmente há um problema com o filtro selecionado no grupo dinâmico. Ajuste a configuração do grupo conforme necessário.

Hybrid Runbook Worker não instalado em máquinas

As máquinas aparecem nos resultados da consulta do Gráfico de Recursos do Azure, mas ainda não aparecem na visualização do grupo dinâmico. Nesse caso, as máquinas podem não ser designadas como trabalhadores de Runbook Híbrido do sistema e, portanto, não podem executar trabalhos de Automação e Gerenciamento de Atualização do Azure. Para garantir que as máquinas que você espera ver estejam configuradas como Runbook Workers híbridos do sistema:

  1. No portal do Azure, vá para a conta de automação de uma máquina que não está aparecendo corretamente.

  2. Selecione Grupos de funções de trabalho híbridas em Automatização de Processos.

  3. Selecione a guia Grupos de trabalhadores híbridos do sistema.

  4. Valide se o trabalhador híbrido está presente para essa máquina.

  5. Se a máquina não estiver configurada como um sistema Hybrid Runbook Worker, revise os métodos para habilitar usando um dos seguintes métodos:

    • A partir da sua conta de Automação para uma ou mais máquinas Azure e não Azure, incluindo servidores habilitados para Azure Arc.

    • Usando o runbook Enable-AutomationSolution para automatizar a integração de VMs do Azure.

    • Para uma VM do Azure selecionada na página Máquinas virtuais no portal do Azure. Este cenário está disponível para VMs Linux e Windows.

    • Para várias VMs do Azure, selecione-as na página Máquinas virtuais no portal do Azure.

    O método a ser habilitado é baseado no ambiente em que a máquina está sendo executada.

  6. Repita as etapas acima para todas as máquinas que não foram exibidas na visualização.

Cenário: Componentes de Gerenciamento de Atualização habilitados, enquanto a VM continua a ser exibida como configurada

Problema

Você continua a ver a seguinte mensagem em uma VM 15 minutos após o início da implantação:

The components for the 'Update Management' solution have been enabled, and now this virtual machine is being configured. Please be patient, as this can sometimes take up to 15 minutes.

Motivo

Este erro poderá ocorrer por um dos seguintes motivos:

  • A comunicação com a conta de automação está sendo bloqueada.

  • Há um nome de computador duplicado com IDs de computador de origem diferentes. Esse cenário ocorre quando uma VM com um nome de computador específico é criada em grupos de recursos diferentes e está relatando para o mesmo espaço de trabalho do Agente de Logística na assinatura.

  • A imagem da VM que está sendo implantada pode vir de uma máquina clonada que não foi preparada com a Preparação do Sistema (sysprep) com o agente do Log Analytics para Windows instalado.

Resolução

Para ajudar a determinar o problema exato com a VM, execute a seguinte consulta no espaço de trabalho do Log Analytics vinculado à sua conta de automação.

Update
| where Computer contains "fillInMachineName"
| project TimeGenerated, Computer, SourceComputerId, Title, UpdateState 

Comunicação com conta de automação bloqueada

Vá para Planejamento de rede para saber quais endereços e portas devem ser permitidos para que o Gerenciamento de Atualizações funcione.

Nome do computador duplicado

Renomeie suas VMs para garantir nomes exclusivos em seu ambiente.

Imagem implementada a partir de um computador clonado

Se estiver a utilizar uma imagem clonada, os diferentes nomes de computador têm o mesmo ID de computador de origem. Neste caso:

  1. No espaço de trabalho do Log Analytics, remova a VM da pesquisa salva para a MicrosoftDefaultScopeConfig-Updates configuração do escopo, se ela for mostrada. As pesquisas guardadas estão disponíveis em Geral na área de trabalho.

  2. Execute o cmdlet a seguir.

    Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
    
  3. Execute Restart-Service HealthService para reiniciar o serviço de integridade. Esta operação recria a chave e gera um novo UUID.

  4. Se essa abordagem não funcionar, execute primeiro o sysprep na imagem e, em seguida, instale o agente do Log Analytics para Windows.

Cenário: você recebe um erro de assinatura vinculada quando cria uma implantação de atualização para máquinas em outro locatário do Azure

Problema

Você encontra o seguinte erro ao tentar criar uma implantação de atualização para máquinas em outro locatário do Azure:

The client has permission to perform action 'Microsoft.Compute/virtualMachines/write' on scope '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/resourceGroupName/providers/Microsoft.Automation/automationAccounts/automationAccountName/softwareUpdateConfigurations/updateDeploymentName', however the current tenant '00000000-0000-0000-0000-000000000000' is not authorized to access linked subscription '00000000-0000-0000-0000-000000000000'.

Motivo

Esse erro ocorre quando você cria uma implantação de atualização que tem VMs do Azure em outro locatário incluído em uma implantação de atualização.

Resolução

Use a seguinte solução alternativa para agendar esses itens. Você pode usar o cmdlet New-AzAutomationSchedule com o ForUpdateConfiguration parâmetro para criar uma agenda. Em seguida, use o cmdlet New-AzAutomationSoftwareUpdateConfiguration e passe as máquinas do outro locatário para o NonAzureComputer parâmetro. O exemplo seguinte mostra como fazê-lo:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$s = New-AzAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName $aa -Schedule $s -Windows -AzureVMResourceId $azureVMIdsW -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Cenário: reinicializações inexplicadas

Problema

Mesmo que você tenha definido a opção Controle de reinicialização como Nunca reinicializar, as máquinas ainda estão reinicializando depois que as atualizações são instaladas.

Motivo

O Windows Update pode ser modificado por várias chaves do Registro, qualquer uma das quais pode modificar o comportamento de reinicialização.

Resolução

Revise as chaves do Registro listadas em Configurando Atualizações Automáticas editando as chaves do Registro e do Registro usadas para gerenciar a reinicialização para garantir que suas máquinas estejam configuradas corretamente.

Cenário: A máquina mostra "Falha ao iniciar" em uma implantação de atualização

Problema

Uma máquina mostra um Failed to start ou Failed status. Quando visualiza os detalhes específicos da máquina, vê o seguinte erro:

For one or more machines in schedule, UM job run resulted in either Failed or Failed to start state. Guide available at https://aka.ms/UMSucrFailed.

Motivo

Este erro pode ocorrer por um dos seguintes motivos:

  • A máquina não existe mais.
  • A máquina está desligada e inacessível.
  • A máquina tem um problema de conectividade de rede e, portanto, o trabalhador híbrido na máquina está inacessível.
  • Houve uma atualização para o agente do Log Analytics que alterou o ID do computador de origem.
  • Sua execução de atualização foi limitada se você atingir o limite de 200 trabalhos simultâneos em uma conta de automação. Cada implantação é considerada um trabalho, e cada máquina em uma implantação de atualização conta como um trabalho. Qualquer outro trabalho de automação ou implantação de atualização atualmente em execução na sua conta de Automação conta para o limite de trabalho simultâneo.

Resolução

Pode obter mais detalhes programaticamente através da API REST. Consulte Máquina de configuração de atualização de software executada para obter informações sobre como recuperar uma lista de execuções de máquina de configuração de atualização ou uma única máquina de configuração de atualização de software executada por ID.

Quando aplicável, use grupos dinâmicos para suas implantações de atualização. Além disso, você pode seguir as seguintes etapas.

  1. Verifique se sua máquina ou servidor atende aos requisitos.
  2. Verifique a conectividade com o Hybrid Runbook Worker usando a solução de problemas do agente do Hybrid Runbook Worker. Para saber mais sobre a solução de problemas, consulte Solucionar problemas do agente de atualização.

Cenário: as atualizações são instaladas sem uma implantação

Problema

Quando você registra uma máquina Windows no Gerenciamento de Atualizações, vê atualizações instaladas sem uma implantação.

Motivo

No Windows, as atualizações são instaladas automaticamente assim que estão disponíveis. Este comportamento poderá causar confusão se não tiver agendado a implementação de uma atualização no computador.

Resolução

O padrão da HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU chave do Registro é uma configuração de 4: auto download and install.

Para clientes de Gerenciamento de Atualizações, recomendamos definir essa chave como 3: auto download but do not auto install.

Para obter mais informações, consulte Configurando atualizações automáticas.

Cenário: O computador já está registado numa conta diferente

Problema

Recebe a seguinte mensagem de erro:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.InvalidOperationException: {"Message":"Machine is already registered to a different account."}

Motivo

O computador já foi implementado noutra área de trabalho para a Gestão de Atualizações.

Resolução

  1. Siga as etapas em Máquinas não aparecem no portal em Gerenciamento de atualizações para garantir que a máquina esteja relatando para o espaço de trabalho correto.
  2. Limpe os artefactos no computador ao eliminar o grupo de runbooks híbrido e, em seguida, tente novamente.

Cenário: A máquina não pode se comunicar com o serviço

Problema

Recebe uma das seguintes mensagens de erro:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a receive. ---> System.ComponentModel.Win32Exception: The client and server can't communicate, because they do not possess a common algorithm
Unable to Register Machine for Patch Management, Registration Failed with Exception Newtonsoft.Json.JsonReaderException: Error parsing positive infinity value.
The certificate presented by the service <wsid>.oms.opinsights.azure.com was not issued by a certificate authority used for Microsoft services. Contact your network administrator to see if they are running a proxy that intercepts TLS/SSL communication.
Access is denied. (Exception form HRESULT: 0x80070005(E_ACCESSDENIED))

Motivo

Um proxy, um gateway ou uma firewall podem estar a bloquear a comunicação de rede.

Resolução

Analise a rede e confirme que as portas e os endereços adequados são permitidos. Consulte os requisitos de rede para obter uma lista de portas e endereços exigidos pelo Gerenciamento de Atualizações e Runbook Workers Híbridos.

Cenário: Não é possível criar certificado autoassinado

Problema

Recebe uma das seguintes mensagens de erro:

Unable to Register Machine for Patch Management, Registration Failed with Exception AgentService.HybridRegistration. PowerShell.Certificates.CertificateCreationException: Failed to create a self-signed certificate. ---> System.UnauthorizedAccessException: Access is denied.

Motivo

O Hybrid Runbook Worker não pôde gerar um certificado autoassinado.

Resolução

Verifique se a conta do sistema tem acesso de leitura à pasta C:\ProgramData\Microsoft\Crypto\RSA e tente novamente.

Cenário: Falha na atualização agendada com um erro MaintenanceWindowExceeded

Problema

A janela de manutenção predefinida para atualizações é de 120 minutos. Pode aumentar a janela de manutenção para um máximo de 6 horas ou 360 minutos. Poderá receber a mensagem de erro For one or more machines in schedule, UM job run resulted in Maintenance Window Exceeded state. Guide available at https://aka.ms/UMSucrMwExceeded.

Resolução

Para entender por que isso ocorreu durante uma execução de atualização depois que ela foi iniciada com êxito, verifique a saída do trabalho da máquina afetada na execução. Poderá encontrar mensagens de erro específicas nas suas máquinas virtuais que pode pesquisar e tomar medidas.

Pode obter mais detalhes programaticamente através da API REST. Consulte Máquina de configuração de atualização de software executada para obter informações sobre como recuperar uma lista de execuções de máquina de configuração de atualização ou uma única máquina de configuração de atualização de software executada por ID.

Edite todas as implementações de atualizações agendadas com falhas e aumente a janela de manutenção.

Para obter mais informações sobre janelas de manutenção, consulte Instalar atualizações.

Cenário: A máquina mostra como "Não avaliada" e mostra uma exceção HRESULT

Problema

  • Você tem máquinas que aparecem como Not assessed em Conformidade e vê uma mensagem de exceção abaixo delas.
  • Você vê um código de erro HRESULT no portal.

Motivo

O Update Agent (Windows Update Agent no Windows; o gerenciador de pacotes para uma distribuição Linux) não está configurado corretamente. O Gerenciamento de Atualizações depende do Update Agent da máquina para fornecer as atualizações necessárias, o status do patch e os resultados dos patches implantados. Sem essas informações, o Gerenciamento de Atualizações não pode relatar corretamente os patches necessários ou instalados.

Resolução

Tente efetuar atualizações localmente no computador. Se esta operação falhar, normalmente significa que existe um erro de configuração do agente de atualização.

Esta situação é frequentemente causada por problemas de configuração de rede e firewall. Utilize as seguintes verificações para corrigir o problema.

Se vir um HRESULT, faça duplo clique na exceção apresentada a vermelho para ver toda a mensagem de exceção. Veja a tabela seguinte para obter possíveis resoluções ou ações recomendadas.

Exceção Resolução ou ação
Exception from HRESULT: 0x……C Pesquise o código de erro relevante na lista de códigos de erro de atualização do Windows para encontrar detalhes adicionais sobre a causa da exceção.
0x8024402C
0x8024401C
0x8024402F
Estes indicam problemas de conectividade de rede. Garanta que o computador tem conectividade de rede para a Gestão de Atualizações. Consulte a seção de planejamento de rede para obter uma lista de portas e endereços necessários.
0x8024001E Falha ao concluir a operação de atualização porque o serviço ou o sistema estava a ser encerrado.
0x8024002E O serviço do Windows Update está desativado.
0x8024402C Se estiver a utilizar um servidor WSUS, garanta que os valores de registo de WUServer e de WUStatusServer na chave de registo HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate especificam o servidor WSUS correto.
0x80072EE2 Problema de conectividade de rede ou problema ao comunicar com um servidor WSUS configurado. Verifique as definições do WSUS e garanta que o serviço se encontra acessível a partir do cliente.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) Garanta que o serviço do Windows Update (wuauserv) está em execução e não está desativado.
0x80070005 Um erro de acesso negado pode ser causado por qualquer uma das seguintes situações:
Computador infetado
As definições do Windows Update não estão configuradas corretamente
Erro de permissão de ficheiro na pasta %WinDir%\SoftwareDistribution
Espaço em disco insuficiente na unidade do sistema (C:).
Qualquer outra exceção genérica Execute uma pesquisa na Internet para obter possíveis resoluções e trabalhe com o suporte de TI local.

A revisão do arquivo %Windir%\Windowsupdate.log também pode ajudá-lo a determinar possíveis causas. Para obter mais informações sobre como ler o registo, veja Como ler o ficheiro Windowsupdate.log.

Também pode transferir e executar a resolução de problemas do Windows Update para verificar se existem problemas com o Windows Update no computador.

Nota

A documentação da resolução de problemas do Windows Update indica que se destina a ser utilizada em clientes Windows, mas também funciona no Windows Server.

Cenário: A execução da atualização retorna o status de falha (Linux)

Problema

Uma execução de atualização é iniciada, mas encontra erros durante a execução.

Motivo

Causas possíveis:

  • O gerenciador de pacotes não está íntegro.
  • O Update Agent (WUA para Windows, gerenciador de pacotes específico da distro para Linux) está configurado incorretamente.
  • Pacotes específicos estão interferindo com patches baseados em nuvem.
  • A máquina está inacessível.
  • As atualizações tinham dependências que não foram resolvidas.

Resolução

Se ocorrerem falhas durante uma execução de atualização depois que ela for iniciada com êxito, verifique a saída do trabalho da máquina afetada na execução. Poderá encontrar mensagens de erro específicas nas suas máquinas virtuais que pode pesquisar e tomar medidas. O Gerenciamento de Atualizações exige que o gerenciador de pacotes esteja íntegro para implantações de atualização bem-sucedidas.

Se patches, pacotes ou atualizações específicos forem vistos imediatamente antes da falha do trabalho, você pode tentar excluir esses itens da próxima implantação de atualização. Para coletar informações de log do Windows Update, consulte Arquivos de log do Windows Update.

Se não for possível resolver um problema de aplicação de patches, faça uma cópia do arquivo /var/opt/microsoft/omsagent/run/automationworker/omsupdatemgmt.log e conserve-o para fins de solução de problemas antes do início da próxima implantação da atualização.

Os patches não estão instalados

As máquinas não instalam atualizações

Experimente executar as atualizações diretamente na máquina. Se a máquina não puder aplicar as atualizações, consulte a lista de possíveis erros no guia de solução de problemas.

Se as atualizações forem executadas localmente, tente remover e reinstalar o agente na máquina seguindo as orientações em Remover uma VM do Gerenciamento de Atualizações.

Sei que as atualizações estão disponíveis, mas não aparecem como disponíveis nas minhas máquinas

Isso geralmente acontece se as máquinas estiverem configuradas para obter atualizações do WSUS ou do Microsoft Configuration Manager, mas o WSUS e o Configuration Manager não tiverem aprovado as atualizações.

Você pode verificar se as máquinas estão configuradas para WSUS e SCCM fazendo referência cruzada da UseWUServer chave do Registro com as chaves do Registro na seção Configurando atualizações automáticas editando o registro deste artigo.

Se as atualizações não forem aprovadas no WSUS, elas não serão instaladas. Você pode verificar se há atualizações não aprovadas no Log Analytics executando a consulta a seguir.

Update | where UpdateState == "Needed" and ApprovalSource == "WSUS" and Approved == "False" | summarize max(TimeGenerated) by Computer, KBID, Title

As atualizações aparecem como tendo sido instaladas, mas não as encontro na minha máquina

Muitas vezes, as atualizações são substituídas por outras. Para obter mais informações, consulte Atualização substituída no Guia de Solução de Problemas do Windows Update.

Instalar atualizações por classificação no Linux

A implantação de atualizações no Linux por classificação ("Atualizações críticas e de segurança") tem ressalvas importantes. Estas limitações estão documentadas na página de descrição geral Gestão de Atualizações.

KB2267602 está constantemente em falta

KB2267602 é a atualização de definições do Windows Defender. É atualizado diariamente.

Próximos passos

Se não vir o problema ou não conseguir resolvê-lo, tente um dos seguintes canais para obter suporte adicional.

  • Obtenha respostas de especialistas do Azure através dos Fóruns do Azure.
  • Conecte-se com @AzureSupport, a conta oficial do Microsoft Azure para melhorar a experiência do cliente.
  • Registre um incidente de suporte do Azure. Vá para o site de suporte do Azure e selecione Obter suporte.