Řešení problémů s Update Managementem

Tento článek popisuje problémy, na které můžete narazit při použití funkce Update Management k posouzení a správě aktualizací na počítačích. Pro agenta Hybrid Runbook Worker existuje poradce při potížích s agentem Hybrid Runbook Worker, který vám pomůže určit základní problém. Další informace o poradci při potížích najdete v tématu Řešení potíží s Windows problémy s agentem aktualizací ařešení potíží s agentem aktualizací Pro Linux. Další problémy s nasazením funkcí najdete v tématu Řešení potíží s nasazením funkcí.

Poznámka

Pokud narazíte na problémy při nasazování řešení Update Management na Windows počítači, otevřete Windows Prohlížeč událostí a zkontrolujte protokol událostí Operations Manageru v části Protokoly aplikací a služeb na místním počítači. Vyhledejte události s ID události 4502 a podrobnostmi o události, které obsahují Microsoft.EnterpriseManagement.HealthService.AzureAutomation.HybridAgent.

Scénář: Windows Defender aktualizace se vždy zobrazuje jako chybějící

Problém

Aktualizace definice pro Windows Defender (KB2267602) se vždy zobrazuje jako chybějící v posouzení, když je nainstalovaná a zobrazuje se jako aktuální při ověření z historie služba Windows Update.

Příčina

Aktualizace definic se publikují několikrát za jeden den. V důsledku toho můžete vidět několik verzí KB2267602 publikovaných v jednom dni, ale s jiným ID aktualizace a verzí.

Posouzení řešení Update Management se spouští jednou za 11 hodin. V tomto příkladu se v 10:00 spustilo posouzení a v tuto chvíli byla k dispozici verze 1.237.316.0. Při vyhledávání v tabulce Aktualizace v pracovním prostoru Služby Log Analytics se zobrazí aktualizace definice 1.237.316.0 s funkcí UpdateState of Needed. Pokud se naplánované nasazení spustí o několik hodin později, řekněme, že 1:00 a verze 1.237.316.0 je stále dostupná nebo novější verze je, novější verze se nainstaluje a to se projeví v záznamu napsaném do tabulky UpdateRunProgress . V tabulce Update by se ale stále zobrazovala verze 1.237.316.0 podle potřeby , dokud se nespustí další posouzení. Když se posouzení spustí znovu, nemusí být k dispozici novější aktualizace definice, takže tabulka Aktualizace by nezobrazit aktualizaci definic verze 1.237.316.0 jako chybějící nebo novější verzi, která je dostupná podle potřeby. Vzhledem k četnosti aktualizací definic může být v prohledávání protokolu vráceno více verzí.

Řešení

Spuštěním následujícího dotazu protokolu potvrďte správné hlášení aktualizací definic. Tento dotaz vrátí čas vygenerovaný, verze a ID aktualizace KB2267602 v tabulce Updates . Hodnotu počítače nahraďte plně kvalifikovaným názvem počítače.

Update
| where TimeGenerated > ago(14h) and OSType != "Linux" and (Optional == false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((
    Heartbeat
    | where TimeGenerated > ago(12h) and OSType =~ "Windows" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, *) by Computer, SourceComputerId, UpdateID
| where UpdateState =~ "Needed" and Approved != false and Computer == "<computerName>"
| render table

Výsledky dotazu by měly vrátit něco podobného jako následující:

Example showing results of log query from Updates table.

Spuštěním následujícího dotazu protokolu získejte čas vygenerovaný, verzi a ID aktualizace KB2267602 v tabulce UpdatesRunProgress . Tento dotaz nám pomůže pochopit, jestli byl nainstalovaný ze služby Update Management nebo jestli byl automaticky nainstalován na počítači ze služby Microsoft Update. Hodnotu CorrelationId je nutné nahradit identifikátorem GUID úlohy runbooku (tj. hodnotou vlastnosti MasterJOBID z úlohy runbooku Patch-MicrosoftOMSComputer ) pro aktualizaci a SourceComputerId identifikátorem GUID počítače.

UpdateRunProgress
| where OSType!="Linux" and CorrelationId=="<master job id>" and SourceComputerId=="<source computer id>"
| summarize arg_max(TimeGenerated, Title, InstallationStatus) by UpdateId
| project TimeGenerated, id=UpdateId, displayName=Title, InstallationStatus

Výsledky dotazu by měly vrátit něco podobného jako následující:

Example showing results of log query from UpdatesRunProgress table.

Pokud je hodnota TimeGenerated pro výsledky dotazu protokolu z tabulky Updates starší než časové razítko (tj. hodnota TimeGenerated) instalace aktualizace na počítači nebo z výsledků dotazu protokolu z tabulky UpdateRunProgress , počkejte na další posouzení. Potom znovu spusťte dotaz protokolu na tabulku Updates . Aktualizace kb2267602 se nezobrazí nebo se zobrazí s novější verzí. I po nejnovějším posouzení, pokud se ale stejná verze zobrazí jako Potřeba v tabulce Aktualizace, ale už je nainstalovaná, měli byste otevřít podpora Azure incident.

Scénář: Aktualizace Linuxu zobrazené jako čekající a nainstalované se liší

Problém

Pro váš počítač s Linuxem update Management zobrazuje konkrétní aktualizace dostupné v rámci klasifikace Zabezpečení a další. Když se ale na počítači spustí plán aktualizace, například pro instalaci pouze aktualizací odpovídajících klasifikaci zabezpečení , budou se nainstalované aktualizace lišit od nebo podmnožina aktualizací zobrazených dříve odpovídající této klasifikaci.

Příčina

Po dokončení posouzení aktualizací operačního systému pro váš počítač s Linuxem se ke klasifikaci používají soubory OVAL ( Open Vulnerability and Assessment Language ) poskytované dodavatelem distribuce Linuxu. Kategorizace se provádí u aktualizací Linuxu jako zabezpečení nebo jiných na základě souborů OVAL, které uvádí aktualizace řešící problémy zabezpečení nebo ohrožení zabezpečení. Když se ale plán aktualizace spustí, spustí se na počítači s Linuxem pomocí příslušného správce balíčků, jako je YUM, APT nebo ZYPPER, aby je nainstaloval. Správce balíčků pro distribuci Linuxu může mít jiný mechanismus klasifikace aktualizací, kde se výsledky můžou lišit od výsledků získaných ze souborů OVÁL službou Update Management.

Řešení

Můžete ručně zkontrolovat počítač s Linuxem, příslušné aktualizace a jejich klasifikaci podle správce balíčků distribuce. Pokud chcete zjistit, které aktualizace jsou klasifikovány jako zabezpečení správcem balíčků, spusťte následující příkazy.

Pro YUM následující příkaz vrátí nenulový seznam aktualizací zařazených do kategorie Security by Red Hat. Všimněte si, že v případě CentOS vždy vrátí prázdný seznam a nedojde k žádné klasifikaci zabezpečení.

sudo yum -q --security check-update

V případě ZYPPERu vrátí následující příkaz nenulový seznam aktualizací zařazených do kategorie Security by SUSE.

sudo LANG=en_US.UTF8 zypper --non-interactive patch --category security --dry-run

Pro APT vrátí následující příkaz nenulový seznam aktualizací zařazených do kategorie Zabezpečení od Canonical pro distribuce Ubuntu Linuxu.

sudo grep security /etc/apt/sources.list > /tmp/oms-update-security.list LANG=en_US.UTF8 sudo apt-get -s dist-upgrade -oDir::Etc::Sourcelist=/tmp/oms-update-security.list

V tomto seznamu pak spustíte příkaz grep ^Inst , abyste získali všechny čekající aktualizace zabezpečení.

Scénář: Zobrazí se chyba "Nepovedlo se povolit řešení aktualizace".

Problém

Při pokusu o povolení řešení Update Management ve vašem účtu Automation se zobrazí následující chyba:

Error details: Failed to enable the Update solution

Příčina

K této chybě může dojít z následujících důvodů:

  • Požadavky na síťovou bránu firewall pro agenta Log Analytics nemusí být správně nakonfigurované. Tato situace může způsobit selhání agenta při překladu adres URL DNS.

  • Cílení na Update Management je chybně nakonfigurované a počítač nepřijímá aktualizace podle očekávání.

  • Můžete si také všimnout, že počítač zobrazuje stav Non-compliant v části Dodržování předpisů. Současně Plocha agenta Analytics hlásí agenta jako Disconnected.

Řešení

Scénář: Nahrazená aktualizace označená jako chybějící ve službě Update Management

Problém

Staré aktualizace se pro účet Automation zobrazují jako chybějící, i když byly nahrazeny. Nahrazená aktualizace je ta, kterou nemusíte instalovat, protože novější aktualizace, která opravuje stejnou chybu zabezpečení, je dostupná. Update Management ignoruje nahrazenou aktualizaci a neužívá ji ve prospěch aktualizace supersedingu. Informace o souvisejícím problému naleznete v tématu Aktualizace je nahrazena.

Příčina

Nahrazené aktualizace nejsou v Windows Server Update Services (WSUS) odmítnuty, aby je bylo možné považovat za nepoužitelné.

Řešení

Pokud se nahrazená aktualizace změní na 100 procent, měli byste změnit stav schválení této aktualizace na Declined službu WSUS. Změna stavu schválení pro všechny aktualizace:

  1. V účtu Automation vyberte Update Management a zobrazte stav počítače. Viz Zobrazení posouzení aktualizací.

  2. Zkontrolujte nahrazenou aktualizaci a ujistěte se, že je 100 % nepoužitelné.

  3. Na serveru WSUS, na který počítače hlásí, odmítnou aktualizaci.

  4. Vyberte Počítače a ve sloupci Dodržování předpisů vynucujte opětovné prohledání dodržování předpisů. Viz Správa aktualizací pro virtuální počítače.

  5. Opakujte výše uvedené kroky pro další nahrazené aktualizace.

  6. Pro Windows Server Update Services (WSUS) vyčistěte všechny nahrazené aktualizace a aktualizujte infrastrukturu pomocí Průvodce vyčištěním serveru WSUS.

  7. Tento postup opakujte pravidelně a opravte problém se zobrazením a minimalizujte množství místa na disku používaném pro správu aktualizací.

Scénář: Počítače se nezobrazují na portálu v části Update Management

Problém

Vaše počítače mají následující příznaky:

  • Váš počítač se zobrazuje Not configured v zobrazení Update Management virtuálního počítače.

  • V zobrazení Update Management vašeho účtu Azure Automation chybí vaše počítače.

  • Máte počítače, které se zobrazují jako Not assessed v části Dodržování předpisů. V protokolech Služby Azure Monitor se však zobrazují data prezenčních signálů pro funkci Hybrid Runbook Worker, ale ne pro Update Management.

Příčina

Příčinou tohoto problému můžou být problémy s místní konfigurací nebo nesprávně nakonfigurovaná konfigurace oboru. Možné konkrétní příčiny jsou:

  • Možná budete muset funkci Hybrid Runbook Worker znovu zaregistrovat a znovu nainstalovat.

  • Možná jste ve svém pracovním prostoru definovali kvótu, která je dosažená a která brání dalšímu úložišti dat.

Řešení

  1. V závislosti na operačním systému spusťte poradce při potížích pro Windows nebo Linux.

  2. Kontrola, jestli se počítač hlásí ve správném pracovním prostoru Pokyny k ověření tohoto aspektu najdete v tématu Ověření připojení agenta ke službě Azure Monitor. Ujistěte se také, že je tento pracovní prostor propojený s vaším účtem Azure Automation. Potvrďte to tak, že přejdete na svůj účet Automation a v části Související prostředky vyberete Propojený pracovní prostor.

  3. Ujistěte se, že se počítače zobrazují v pracovním prostoru služby Log Analytics propojeném s vaším účtem Automation. V pracovním prostoru služby Log Analytics spusťte následující dotaz.

    Heartbeat
    | summarize by Computer, Solutions
    

    Pokud se váš počítač ve výsledcích dotazu nezobrazuje, není v poslední době vrácený se změnami. Pravděpodobně došlo k problému s místní konfigurací a měli byste agenta přeinstalovat.

    Pokud je váš počítač uvedený ve výsledcích dotazu, ověřte v seznamu vlastností Řešení , která se aktualizuje . Tím ověříte, že je zaregistrovaný ve službě Update Management. Pokud tomu tak není, zkontrolujte problémy s konfigurací oboru. Konfigurace oboru určuje, které počítače jsou nakonfigurované pro Řešení Update Management. Pokud chcete nakonfigurovat konfiguraci oboru pro cílový počítač, přečtěte si téma Povolení počítačů v pracovním prostoru.

  4. V pracovním prostoru spusťte tento dotaz.

    Operation
    | where OperationCategory == 'Data Collection Status'
    | sort by TimeGenerated desc
    

    Pokud se zobrazí Data collection stopped due to daily limit of free data reached. Ingestion status = OverQuota výsledek, dosáhla se kvóta definovaná ve vašem pracovním prostoru, která zastavila ukládání dat. V pracovním prostoru přejděte do správy objemu dat v části Využití a odhadované náklady a změňte nebo odeberte kvótu.

  5. Pokud je váš problém stále nevyřešený, proveďte kroky v tématu Nasazení Windows Hybrid Runbook Worker a přeinstalujte hybrid Worker pro Windows. V případě Linuxu postupujte podle kroků v části Nasazení funkce Hybrid Runbook Worker pro Linux.

Scénář: Nejde zaregistrovat poskytovatele prostředků Automation pro předplatná

Problém

Při práci s nasazeními funkcí ve vašem účtu Automation dojde k následující chybě:

Error details: Unable to register Automation Resource Provider for subscriptions

Příčina

Poskytovatel prostředků Automation není zaregistrovaný v předplatném.

Řešení

Pokud chcete zaregistrovat poskytovatele prostředků Automation, postupujte podle těchto kroků v Azure Portal.

  1. V seznamu služeb Azure v dolní části portálu vyberte Všechny služby a pak ve skupině obecné služby vyberte Předplatná .

  2. Vyberte své předplatné.

  3. V části Nastavení vyberte Poskytovatele prostředků.

  4. V seznamu poskytovatelů prostředků ověřte, že je zaregistrovaný poskytovatel prostředků Microsoft.Automation.

  5. Pokud není uvedený, zaregistrujte poskytovatele Microsoft.Automation podle pokynů v tématu Řešení chyb registrace poskytovatele prostředků.

Scénář: Plánovaná aktualizace neopravy některých počítačů

Problém

Počítače zahrnuté v náhledu aktualizací se nezobrazují v seznamu počítačů opravených během naplánovaného spuštění nebo virtuální počítače pro vybrané obory dynamické skupiny se nezobrazují v seznamu náhledů aktualizací na portálu.

Seznam verze Preview aktualizace se skládá ze všech počítačů načtených dotazem Azure Resource Graph pro vybrané obory. Obory jsou filtrovány pro počítače s nainstalovaným systémem Hybrid Runbook Worker a pro které máte přístupová oprávnění.

Příčina

Tento problém může mít jednu z následujících příčin:

  • Předplatná definovaná v oboru dynamického dotazu nejsou nakonfigurovaná pro registrovaného poskytovatele prostředků Automation.

  • Počítače nebyly k dispozici nebo při spuštění plánu neměly odpovídající značky.

  • U vybraných oborů nemáte správný přístup.

  • Dotaz Azure Resource Graph nenačte očekávané počítače.

  • Systém Hybrid Runbook Worker není na počítačích nainstalovaný.

Řešení

Předplatná nenakonfigurovaná pro registrovaného poskytovatele prostředků Automation

Pokud vaše předplatné není nakonfigurované pro poskytovatele prostředků Automation, nemůžete dotazovat nebo načíst informace o počítačích v daném předplatném. Pomocí následujícího postupu ověřte registraci předplatného.

  1. V Azure Portal přejděte k seznamu služeb Azure.

  2. Vyberte Všechny služby a pak ve skupině obecné služby vyberte Předplatná .

  3. Vyhledejte předplatné definované v oboru vašeho nasazení.

  4. V části Nastavení zvolte Poskytovatelé prostředků.

  5. Ověřte, že je zaregistrovaný poskytovatel prostředků Microsoft.Automation.

  6. Pokud není uvedený, zaregistrujte poskytovatele Microsoft.Automation podle pokynů v tématu Řešení chyb registrace poskytovatele prostředků.

Počítače nejsou při spuštění plánu k dispozici nebo nejsou správně označené

Pokud je vaše předplatné nakonfigurované pro poskytovatele prostředků Automation, ale spuštění plánu aktualizace se zadanými dynamickými skupinami některé počítače zmeškaly, použijte následující postup.

  1. V Azure Portal otevřete účet Automation a vyberte Update Management.

  2. Zkontrolujte historii řešení Update Management a zjistěte přesný čas spuštění nasazení aktualizace.

  3. U počítačů, u kterých máte podezření, že služba Update Management zmeškala, vyhledejte změny počítačů pomocí Azure Resource Graph (ARG).

  4. Hledání změn během značného období, například jednoho dne, před spuštěním nasazení aktualizace

  5. Zkontrolujte výsledky hledání všech systémových změn, jako jsou odstranění nebo aktualizace změn, na počítačích v tomto období. Tyto změny můžou změnit stav počítače nebo značky tak, aby se počítače při nasazení aktualizací nezvolily v seznamu počítačů.

  6. Podle potřeby upravte počítače a nastavení prostředků tak, aby se opravily problémy se stavem počítače nebo značkami.

  7. Znovu spusťte plán aktualizace, abyste zajistili, že nasazení se zadanými dynamickými skupinami zahrnuje všechny počítače.

Nesprávný přístup u vybraných oborů

Azure Portal zobrazí jenom počítače, pro které máte přístup k zápisu v daném oboru. Pokud nemáte správný přístup pro obor, přečtěte si kurz: Udělení přístupu uživatelů k prostředkům Azure pomocí Azure Portal.

Resource Graph dotaz nevrací očekávané počítače

Pokud chcete zjistit, jestli vaše dotazy fungují správně, postupujte podle následujících kroků.

  1. Spusťte dotaz Azure Resource Graph formátovaný, jak je znázorněno níže v okně průzkumníka Resource Graph v Azure Portal. Pokud s Azure Resource Graph začínáte, přečtěte si tento rychlý start, kde se dozvíte, jak pracovat s průzkumníkem Resource Graph. Tento dotaz napodobuje filtry, které jste vybrali při vytváření dynamické skupiny ve službě Update Management. Viz Použití dynamických skupin s Řešením Update Management.

    where (subscriptionId in~ ("<subscriptionId1>", "<subscriptionId2>") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "<Windows/Linux>" and resourceGroup in~ ("<resourceGroupName1>","<resourceGroupName2>") and location in~ ("<location1>","<location2>") )
    | project id, location, name, tags = todynamic(tolower(tostring(tags)))
    | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" and tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "All" option selected for tags
    | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" or tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "Any" option selected for tags
    | project id, location, name, tags
    

    Zde naleznete příklad:

    where (subscriptionId in~ ("20780d0a-b422-4213-979b-6c919c91ace1", "af52d412-a347-4bc6-8cb7-4780fbb00490") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "Windows" and resourceGroup in~ ("testRG","withinvnet-2020-01-06-10-global-resources-southindia") and location in~ ("australiacentral","australiacentral2","brazilsouth") )
    | project id, location, name, tags = todynamic(tolower(tostring(tags)))
    | where  (tags[tolower("ms-resource-usage")] =~ "azure-cloud-shell" and tags[tolower("temp")] =~ "temp")
    | project id, location, name, tags
    
  2. Zkontrolujte, jestli jsou počítače, které hledáte, uvedené ve výsledcích dotazu.

  3. Pokud počítače nejsou uvedené, pravděpodobně dochází k problému s filtrem vybraným v dynamické skupině. Podle potřeby upravte konfiguraci skupiny.

Hybrid Runbook Worker není nainstalovaný na počítačích

Počítače se zobrazují ve výsledcích dotazů Azure Resource Graph, ale stále se nezobrazují ve verzi Preview dynamické skupiny. V takovém případě nemusí být počítače označené jako systémové procesy Hybrid Runbooku, a proto nemůžou spouštět Azure Automation a úlohy Update Management. Aby se zajistilo, že počítače, které očekáváte, jsou nastavené jako systémové funkce Hybrid Runbook Worker:

  1. V Azure Portal přejděte na účet Automation pro počítač, který se nezobrazuje správně.

  2. V části Automatizace procesů vyberte skupiny Hybrid Worker.

  3. Vyberte kartu Skupiny hybridních pracovních procesů systému .

  4. Ověřte, že je pro tento počítač k dispozici hybrid Worker.

  5. Pokud počítač není nastavený jako systém Hybrid Runbook Worker, projděte si metody povolení pomocí jedné z následujících metod:

    Metoda povolení je založená na prostředí, ve kterém je počítač spuštěný.

  6. Opakujte výše uvedené kroky pro všechny počítače, které se nezobrazují ve verzi Preview.

Scénář: Povolené komponenty Update Management, zatímco virtuální počítač se bude dál zobrazovat jako nakonfigurovaný

Problém

Po zahájení nasazení se na virtuálním počítači zobrazí následující zpráva:

The components for the 'Update Management' solution have been enabled, and now this virtual machine is being configured. Please be patient, as this can sometimes take up to 15 minutes.

Příčina

K této chybě může dojít z následujících důvodů:

  • Komunikace s účtem Automation je zablokovaná.

  • Existuje duplicitní název počítače s různými ID zdrojového počítače. K tomuto scénáři dochází, když je virtuální počítač s konkrétním názvem počítače vytvořen v různých skupinách prostředků a hlásí se do stejného pracovního prostoru logistického agenta v předplatném.

  • Nasazená image virtuálního počítače může pocházet z klonovaného počítače, který nebyl připraven pomocí nástroje Příprava systému (sysprep) s agentem Log Analytics pro Windows nainstalovaný.

Řešení

Pokud chcete pomoct s určením přesného problému s virtuálním počítačem, spusťte následující dotaz v pracovním prostoru Služby Log Analytics, který je propojený s vaším účtem Automation.

Update
| where Computer contains "fillInMachineName"
| project TimeGenerated, Computer, SourceComputerId, Title, UpdateState 

Komunikace s blokovaným účtem Automation

Přejděte do plánování sítě a zjistěte, které adresy a porty musí být povolené, aby služba Update Management fungovala.

Duplicitní název počítače

Přejmenujte virtuální počítače tak, aby se zajistily jedinečné názvy v jejich prostředí.

Nasazená image z klonovaného počítače

Pokud používáte naklonovanou image, mají různé názvy počítačů stejné ID zdrojového počítače. V tomto případě:

  1. V pracovním prostoru Služby Log Analytics odeberte virtuální počítač z uloženého MicrosoftDefaultScopeConfig-Updates vyhledávání konfigurace oboru, pokud se zobrazí. Uložené hledání najdete v části Obecné ve vašem pracovním prostoru.

  2. Spusťte následující rutinu.

    Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
    
  3. Spusťte Restart-Service HealthService restartování služby Health Service. Tato operace znovu vytvoří klíč a vygeneruje nové UUID.

  4. Pokud tento přístup nefunguje, spusťte nejprve na imagi nástroj Sysprep a nainstalujte agenta Log Analytics pro Windows.

Scénář: Při vytváření nasazení aktualizací pro počítače v jiném tenantovi Azure se zobrazí chyba propojeného předplatného.

Problém

Při pokusu o vytvoření nasazení aktualizace pro počítače v jiném tenantovi Azure dojde k následující chybě:

The client has permission to perform action 'Microsoft.Compute/virtualMachines/write' on scope '/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroupName/providers/Microsoft.Automation/automationAccounts/automationAccountName/softwareUpdateConfigurations/updateDeploymentName', however the current tenant '00000000-0000-0000-0000-000000000000' is not authorized to access linked subscription '00000000-0000-0000-0000-000000000000'.

Příčina

K této chybě dochází při vytváření nasazení aktualizací, které obsahuje virtuální počítače Azure v jiném tenantovi, který je součástí nasazení aktualizace.

Řešení

K naplánování těchto položek použijte následující alternativní řešení. K vytvoření plánu můžete použít rutinu New-AzAutomationSchedule s parametrem ForUpdateConfiguration . Pak použijte rutinu New-AzAutomationSoftwareUpdateConfiguration a předejte počítače v druhém tenantovi parametru NonAzureComputer . Následující příklad ukazuje, jak to udělat:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$s = New-AzAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName $aa -Schedule $s -Windows -AzureVMResourceId $azureVMIdsW -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Scénář: Nevysvětlené restartování

Problém

I když jste nastavili možnost Ovládacího prvku restartování na možnost Nikdy restartovat, počítače se po instalaci aktualizací pořád restartují.

Příčina

služba Windows Update lze upravit několika klíči registru, z nichž každá může změnit chování při restartování.

Řešení

Zkontrolujte klíče registru uvedené v části Konfigurace automatických aktualizací úpravou klíčů registru a klíčů registru používaných ke správě restartování , abyste měli jistotu, že jsou počítače správně nakonfigurované.

Scénář: V nasazení aktualizace se nezdařilo spuštění počítače

Problém

Počítač zobrazuje Failed to start nebo Failed zobrazuje stav. Při zobrazení konkrétních podrobností počítače se zobrazí následující chyba:

For one or more machines in schedule, UM job run resulted in either Failed or Failed to start state. Guide available at https://aka.ms/UMSucrFailed.

Příčina

K této chybě může dojít z některého z následujících důvodů:

  • Počítač už neexistuje.
  • Počítač je vypnutý a nedostupný.
  • Počítač má problém s připojením k síti, a proto je hybridní pracovní proces na počítači nedostupný.
  • Došlo k aktualizaci agenta Log Analytics, který změnil ID zdrojového počítače.
  • Spuštění aktualizace se omezilo, pokud jste dosáhli limitu 200 souběžných úloh v účtu Automation. Každé nasazení se považuje za úlohu a každý počítač v nasazení aktualizací se počítá jako úloha. Jakékoli jiné nasazení automatizace nebo aktualizace aktuálně spuštěné ve vašem účtu Automation se počítá do limitu souběžné úlohy.

Řešení

Další podrobnosti můžete načíst programově pomocí rozhraní REST API. Informace o načtení seznamu spuštění konfiguračního počítače aktualizací nebo jednoho konfiguračního počítače aktualizace, který běží podle ID, najdete v tématu Spuštění konfiguračního počítače aktualizace softwaru.

Pokud je to možné, použijte dynamické skupiny pro nasazení aktualizací. Kromě toho můžete provést následující kroky.

  1. Ověřte, že váš počítač nebo server splňuje požadavky.
  2. Pomocí poradce při potížích s agentem Hybrid Runbook Worker ověřte připojení ke službě Hybrid Runbook Worker. Další informace o poradce při potížích najdete v tématu Řešení potíží s agentem aktualizací.

Scénář: Aktualizace se instalují bez nasazení

Problém

Když zaregistrujete Windows počítač ve službě Update Management, zobrazí se aktualizace nainstalované bez nasazení.

Příčina

Na Windows se aktualizace nainstalují automaticky, jakmile budou k dispozici. Toto chování může způsobit nejasnost, pokud jste neplánovali nasazení aktualizace do počítače.

Řešení

Klíč HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU registru má výchozí hodnotu 4: auto download and install.

Pro klienty Update Management doporučujeme nastavit tento klíč na 3: auto download but do not auto install.

Další informace najdete v tématu Konfigurace automatických aktualizací.

Scénář: Počítač je už zaregistrovaný k jinému účtu

Problém

Zobrazí se následující chybová zpráva:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.InvalidOperationException: {"Message":"Machine is already registered to a different account."}

Příčina

Počítač je již nasazený do jiného pracovního prostoru pro Update Management.

Řešení

  1. Postupujte podle kroků v části Počítače, které se nezobrazují na portálu v části Update Management , a ujistěte se, že počítač hlásí správný pracovní prostor.
  2. Vyčistíte artefakty na počítači odstraněním skupiny hybridních runbooků a pak to zkuste znovu.

Scénář: Počítač nemůže komunikovat se službou

Problém

Zobrazí se jedna z následujících chybových zpráv:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a receive. ---> System.ComponentModel.Win32Exception: The client and server can't communicate, because they do not possess a common algorithm
Unable to Register Machine for Patch Management, Registration Failed with Exception Newtonsoft.Json.JsonReaderException: Error parsing positive infinity value.
The certificate presented by the service <wsid>.oms.opinsights.azure.com was not issued by a certificate authority used for Microsoft services. Contact your network administrator to see if they are running a proxy that intercepts TLS/SSL communication.
Access is denied. (Exception form HRESULT: 0x80070005(E_ACCESSDENIED))

Příčina

Proxy server, brána nebo brána firewall můžou blokovat síťovou komunikaci.

Řešení

Zkontrolujte sítě a ujistěte se, že jsou povolené odpovídající porty a adresy. Seznam portů a adres požadovaných službou Update Management a Hybrid Runbook Worker najdete v požadavcích na síť .

Scénář: Nejde vytvořit certifikát podepsaný svým držitelem

Problém

Zobrazí se jedna z následujících chybových zpráv:

Unable to Register Machine for Patch Management, Registration Failed with Exception AgentService.HybridRegistration. PowerShell.Certificates.CertificateCreationException: Failed to create a self-signed certificate. ---> System.UnauthorizedAccessException: Access is denied.

Příčina

Hybrid Runbook Worker nemohl vygenerovat certifikát podepsaný svým držitelem.

Řešení

Ověřte, že má systémový účet přístup pro čtení ke složce C:\ProgramData\Microsoft\Crypto\RSA a zkuste to znovu.

Scénář: Plánovaná aktualizace selhala s chybou MaintenanceWindowExceeded

Problém

Výchozí časové období údržby pro aktualizace je 120 minut. Časové období údržby můžete zvýšit na maximálně 6 hodin nebo 360 minut. Může se zobrazit chybová zpráva For one or more machines in schedule, UM job run resulted in Maintenance Window Exceeded state. Guide available at https://aka.ms/UMSucrMwExceeded.

Řešení

Pokud chcete zjistit, proč k tomu došlo během aktualizačního spuštění po úspěšném spuštění, zkontrolujte výstup úlohy z ovlivněného počítače. Můžete najít konkrétní chybové zprávy ze svých počítačů, na které můžete zkoumat a provádět akce.

Další podrobnosti můžete načíst programově pomocí rozhraní REST API. Informace o načtení seznamu spuštění konfiguračního počítače aktualizace nebo jednoho konfiguračního počítače aktualizace softwaru, který běží podle ID, najdete v tématu Spuštění konfiguračního počítače aktualizace softwaru.

Upravte všechna neúspěšná naplánovaná nasazení aktualizací a zvyšte časové období údržby.

Další informace o časových obdobích údržby naleznete v tématu Instalace aktualizací.

Scénář: Počítač se zobrazuje jako neposouzený a zobrazuje výjimku HRESULT.

Problém

  • Máte počítače, které se zobrazují jako Not assessed v části Dodržování předpisů, a pod nimi se zobrazí zpráva o výjimce.
  • Na portálu se zobrazí kód chyby HRESULT.

Příčina

Agent aktualizace (služba Windows Update agent na Windows; správce balíčků pro distribuci linuxu) není správně nakonfigurovaný. Update Management spoléhá na agenta aktualizace počítače k poskytování potřebných aktualizací, stavu opravy a výsledků nasazených oprav. Bez těchto informací nemůže Update Management správně hlásit opravy, které jsou potřeba nebo nainstalovány.

Řešení

Pokuste se provést aktualizace místně na počítači. Pokud tato operace selže, obvykle to znamená, že dojde k chybě konfigurace agenta aktualizace.

Příčinou tohoto problému jsou často problémy s konfigurací sítě a bránou firewall. Při opravě problému použijte následující kontroly.

Pokud se zobrazí hrESULT, poklikejte na výjimku zobrazenou červeně, aby se zobrazila celá zpráva o výjimce. V následující tabulce najdete potenciální řešení nebo doporučené akce.

Výjimka Řešení nebo akce
Exception from HRESULT: 0x……C Vyhledejte další podrobnosti o příčině výjimky v příslušném kódu chyby v Windows aktualizovat seznam kódů chyb.
0x8024402C
0x8024401C
0x8024402F
To značí problémy s připojením k síti. Ujistěte se, že váš počítač má síťové připojení ke službě Update Management. Seznam požadovaných portů a adres najdete v části plánování sítě .
0x8024001E Operace aktualizace se nedokončila, protože služba nebo systém vypnuly.
0x8024002E služba služba Windows Update je zakázaná.
0x8024402C Pokud používáte server WSUS, ujistěte se, že hodnoty registru pro WUServer klíč registru a WUStatusServer pod HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate klíčem registru určují správný server WSUS.
0x80072EE2 Došlo k problému s připojením k síti nebo k problému při komunikaci s nakonfigurovaným serverem WSUS. Zkontrolujte nastavení služby WSUS a ujistěte se, že je služba přístupná z klienta.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) Ujistěte se, že je služba služba Windows Update (wuauserv) spuštěná a není zakázaná.
0x80070005 Chyba odepření přístupu může být způsobená některou z následujících příčin:
Napadený počítač
služba Windows Update nastavení není správně nakonfigurované
Chyba oprávnění k souboru se složkou %WinDir%\SoftwareDistribution
Nedostatek místa na disku na systémové jednotce (C:).
Jakákoli jiná obecná výjimka Spusťte vyhledávání na internetu, kde najdete možná řešení, a pracujte s místní podporou IT.

Při kontrole souboru %Windir%\Windowsupdate.log můžete také určit možné příčiny. Další informace o tom, jak číst protokol, naleznete v tématu Jak číst soubor Windowsupdate.log.

Můžete si také stáhnout a spustit poradce při potížích s služba Windows Update a zkontrolovat případné problémy s služba Windows Update na počítači.

Poznámka

Dokumentace poradce při potížích služba Windows Update značí, že se používá na Windows klientech, ale funguje také na Windows Serveru.

Scénář: Spuštění aktualizace vrací stav selhání (Linux)

Problém

Spustí se spuštění aktualizace, ale během spuštění dojde k chybám.

Příčina

Možné příčiny:

  • Správce balíčků není v pořádku.
  • Agent aktualizace (WUA pro Windows, správce balíčků specifických pro Linux) je chybně nakonfigurovaný.
  • Konkrétní balíčky zasahují do cloudových oprav.
  • Počítač je nedostupný.
  • Aktualizace měly závislosti, které nebyly vyřešeny.

Řešení

Pokud dojde k selhání během spuštění aktualizace po úspěšném spuštění, zkontrolujte výstup úlohy z ovlivněného počítače ve spuštění. Můžete najít konkrétní chybové zprávy ze svých počítačů, na které můžete zkoumat a provádět akce. Update Management vyžaduje, aby správce balíčků byl pro úspěšná nasazení aktualizací v pořádku.

Pokud se určité opravy, balíčky nebo aktualizace zobrazí bezprostředně před selháním úlohy, můžete zkusit tyto položky vyloučit z dalšího nasazení aktualizace. Pokud chcete shromažďovat informace protokolu z služba Windows Update, přečtěte si služba Windows Update soubory protokolu.

Pokud nemůžete problém s opravami vyřešit, vytvořte kopii souboru /var/opt/microsoft/omsagent/run/automationworker/omsupdatemgmt.log a před spuštěním další aktualizace ho zachovejte pro účely řešení potíží.

Opravy se nenainstaluje.

Na počítačích se neinstalují aktualizace

Zkuste aktualizace spustit přímo na počítači. Pokud počítač nemůže aktualizace použít, projděte si seznam potenciálních chyb v průvodci odstraňováním potíží.

Pokud se aktualizace spustí místně, zkuste agenta na počítači odebrat a přeinstalovat podle pokynů v tématu Odebrání virtuálního počítače z řešení Update Management.

Vím, že jsou dostupné aktualizace, ale nezobrazují se na mých počítačích jako dostupné

K tomu často dochází v případě, že jsou počítače nakonfigurované tak, aby dostávaly aktualizace ze služby WSUS nebo Microsoft Endpoint Configuration Manager, ale služba WSUS a Configuration Manager aktualizace neschválily.

Pokud chcete zkontrolovat, jestli jsou počítače nakonfigurované pro WSUS a SCCM, můžete křížově odkazovat UseWUServer na klíče registru v části Konfigurace automatických aktualizací úpravou oddílu Registru tohoto článku.

Pokud nejsou aktualizace ve službě WSUS schválené, nejsou nainstalované. V Log Analytics můžete zkontrolovat neschválené aktualizace spuštěním následujícího dotazu.

Update | where UpdateState == "Needed" and ApprovalSource == "WSUS" and Approved == "False" | summarize max(TimeGenerated) by Computer, KBID, Title

Aktualizace se zobrazují jako nainstalované, ale na počítači je nemůžu najít

Aktualizace se často nahrazují jinými aktualizacemi. Další informace naleznete v tématu Aktualizace je nahrazena v průvodci odstraňováním potíží služba Windows Update.

Instalace aktualizací podle klasifikace v Linuxu

Pro nasazování aktualizací v Linuxu podle klasifikace (důležité aktualizace a aktualizace zabezpečení) platí důležité výhody a rizika, a to zejména pro CentOS. Tato omezení jsou zdokumentovaná na stránce s přehledem řešení Update Management.

KB2267602 chybí konzistentně

KB2267602 je aktualizace definice programu Windows Defender. Aktualizuje se každý den.

Další kroky

Pokud váš problém nevidíte nebo problém nemůžete vyřešit, zkuste získat další podporu jedním z následujících kanálů.

  • Získejte odpovědi od odborníků na Azure prostřednictvím fóra Azure.
  • Připojení s @AzureSupport, oficiální Microsoft Azure účet pro zlepšení zkušeností zákazníků.
  • Vytvořte podpora Azure incident. Přejděte na web podpora Azure a vyberte Získat podporu.