A Windows Update Agent hibáinak elhárítása
There can be many reasons why your machine isn't showing up as ready (healthy) during an Update Management deployment. You can check the health of a Windows Hybrid Runbook Worker agent to determine the underlying problem. The following are the three readiness states for a machine:
- Ready: The Hybrid Runbook Worker is deployed and was last seen less than one hour ago.
- Disconnected: The Hybrid Runbook Worker is deployed and was last seen over one hour ago.
- Not configured: The Hybrid Runbook Worker isn't found or hasn't finished the deployment.
Megjegyzés:
Az Azure Portal és a gép aktuális állapota között némi késés is előfordulhat.
Ez a cikk azt ismerteti, hogyan futtathatja az Azure-gépek hibaelhárítóját az Azure Portalról, illetve nem Azure-beli gépeket offline forgatókönyvben.
Megjegyzés:
A hibaelhárító szkript mostantól a Windows Server Update Services (WSUS) és az automatikus letöltési és telepítési kulcsok ellenőrzését is tartalmazza.
A hibaelhárító indítása
Azure-gépek esetén a Frissítési ügynök hibaelhárítása lapot úgy indíthatja el, hogy a portálOn az Update Agent Readiness (Frissítési ügynök készültsége) oszlop hibaelhárítási hivatkozását választja. For non-Azure machines, the link brings you to this article. See Troubleshoot offline to troubleshoot a non-Azure machine.
Megjegyzés:
A hibrid runbook-feldolgozó állapotának ellenőrzéséhez a virtuális gépnek futnia kell. Ha a virtuális gép nem fut, megjelenik a Virtuális gép indítása gomb.
A Frissítési ügynök hibaelhárítása lapon válassza az Ellenőrzések futtatása lehetőséget a hibaelhárító elindításához. A hibaelhárító a Futtatás paranccsal futtat egy szkriptet a gépen a függőségek ellenőrzéséhez. A hibaelhárító a futtatása befejezésekor visszaadja az ellenőrzések eredményét.
Az eredmények megjelennek az oldalon, amint készen állnak. Az ellenőrzések szakaszokban jelenik meg az egyes ellenőrzések tartalma.
Prerequisite checks
Operating system
Az operációs rendszer ellenőrzi, hogy a hibrid runbook-feldolgozó futtatja-e az egyik támogatott operációs rendszert
.NET 4.6.2
Az .NET-keretrendszer ellenőrzi, hogy a rendszer .NET-keretrendszer 4.6.2 vagy újabb verzióval rendelkezik-e.
A javításhoz telepítse a .NET-keretrendszer 4.6-os vagy újabb verzióját.
Töltse le a .NET-keretrendszer.
WMF 5.1
A WMF-ellenőrzés ellenőrzi, hogy a rendszer rendelkezik-e a Windows Management Framework (WMF) szükséges verziójával.
A javításhoz le kell töltenie és telepítenie kell a Windows Management Framework 5.1-et , mivel az Azure Update Managementhez készült Windows PowerShell 5.1 használatához szükséges.
TLS 1.2
Ez az ellenőrzés meghatározza, hogy a TLS 1.2-t használja-e a kommunikáció titkosításához. A TLS 1.0-t a platform már nem támogatja. A TLS 1.2 használatával kommunikálhat az Update Management szolgáltatással.
A javításhoz kövesse a TLS 1.2 engedélyezéséhez szükséges lépéseket
Monitoring agent service health checks
Hybrid Runbook Worker
A probléma megoldásához végezze el a hibrid runbook-feldolgozó kényszerítő újraregisztrálását.
Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
Restart-service healthservice
Megjegyzés:
Ezzel eltávolítja a felhasználó hibrid feldolgozóját a gépről. Győződjön meg arról, hogy utána ellenőrizze és regisztrálja újra. Nincs szükség műveletre, ha a gép csak a system hybrid runbook feldolgozóval rendelkezik.
Az ellenőrzéshez ellenőrizze az 15003-at (HW kezdő esemény) VAGY az 15004-et (hw leállított esemény) LÉTEZŐ a Microsoft-SMA/Operatív eseménynaplókban.
Támogatási jegy létrehozása, ha a probléma még nem lett javítva.
VMs linked workspace
Lásd a hálózati követelményeket.
Ellenőrzés: Ellenőrizze a virtuális gépekhez csatlakoztatott munkaterületet vagy a megfelelő naplóelemzés szívverési tábláját.
Heartbeat | where Computer =~ ""
Windows update service status
A probléma megoldásához indítsa el a wuaserv szolgáltatást.
Start-Service -Name wuauserv -ErrorAction SilentlyContinue
Connectivity checks
A hibaelhárító jelenleg nem irányítja át a forgalmat proxykiszolgálón, ha van konfigurálva.
Registration endpoint
Ez az ellenőrzés meghatározza, hogy az ügynök képes-e megfelelően kommunikálni az ügynökszolgáltatással.
A proxy- és tűzfalkonfigurációknak lehetővé kell tenni, hogy a hibrid runbook-feldolgozó ügynök kommunikáljon a regisztrációs végponttal. A megnyitni kívánt címek és portok listáját lásd : Hálózattervezés.
Engedélyezze az előfeltételként megadott URL-címeket. A hálózat módosítása után futtassa újra a hibaelhárítót, vagy futtassa az alábbi parancsokat az ellenőrzéshez:
$workspaceId =- ""
$endpoint = $workspaceId + “.agentsvc.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Operations endpoint
Ez az ellenőrzés meghatározza, hogy az ügynök képes-e megfelelően kommunikálni a Feladat futtatókörnyezeti adatszolgáltatással.
A proxy- és tűzfalkonfigurációknak lehetővé kell tenni, hogy a hibrid runbook-feldolgozó ügynök kommunikáljon a feladat futtatókörnyezeti adatszolgáltatással. A megnyitni kívánt címek és portok listáját lásd : Hálózattervezés.
Engedélyezze az előfeltételként megadott URL-címeket. A hálózat módosítása után futtassa újra a hibaelhárítót, vagy futtassa az alábbi parancsokat az ellenőrzéshez:
$jrdsEndpointLocationMoniker = “”
# $jrdsEndpointLocationMoniker should be based on automation account location (jpe/ase/scus) etc.
$endpoint = $jrdsEndpointLocationMoniker + “-jobruntimedata-prod-su1.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Https connection
Leegyszerűsíti a hálózati biztonsági szabályok folyamatos kezelését. Engedélyezze az előfeltételként megadott URL-címeket.
A hálózat módosítása után futtassa újra a hibaelhárítót, vagy futtassa az alábbi parancsokat az ellenőrzéshez:
$uri = "https://eus2-jobruntimedata-prod-su1.azure-automation.net"
Invoke-WebRequest -URI $uri -UseBasicParsing
Proxy settings
Ha a proxy engedélyezve van, győződjön meg arról, hogy rendelkezik hozzáféréssel az előfeltételként megadott URL-címekhez
A proxy helyes beállításának ellenőrzéséhez használja az alábbi parancsokat:
netsh winhttp show proxy
vagy ellenőrizze, hogy a ProxyEnable beállításkulcs értéke 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
IMDS endpoint connectivity
A probléma megoldásához engedélyezze az IP 169.254.169.254
IP-címhez való hozzáférést. További információt az Azure-példány metaadat-szolgáltatásának eléréséhez talál.
A hálózat módosítása után futtassa újra a hibaelhárítót, vagy futtassa az alábbi parancsokat az ellenőrzéshez:
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.254/metadata/instance?api-version=2018-02-01
VM service health checks
Monitoring agent service status
Ez az ellenőrzés meghatározza, hogy a Windows (healthservice
) Log Analytics-ügynök fut-e a gépen. A szolgáltatás hibaelhárításával kapcsolatos további információkért lásd : A Windows Log Analytics-ügynöke nem fut.
A Windows Log Analytics-ügynök újratelepítésével kapcsolatban lásd : Az ügynök telepítése a Windowshoz.
Monitoring agent service events
Ez az ellenőrzés azt határozza meg, hogy 4502 esemény jelenik-e meg az Azure Operations Manager naplójában a gépen az elmúlt 24 órában.
Az eseményről az Operations Manager naplójában található 4502-s eseményből tudhat meg többet.
Access permissions checks
Machine key folder
Ez az ellenőrzés meghatározza, hogy a helyi rendszerfiók rendelkezik-e hozzáféréssel a következőhöz: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
A javításhoz adja meg a SYSTEM-fióknak a szükséges engedélyeket (olvasás, írás és módosítás vagy teljes hozzáférés) a C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys mappában
A mappa engedélyeinek ellenőrzéséhez használja az alábbi parancsokat:
$folder = “C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys”
(Get-Acl $folder).Access |? {($_.IdentityReference -match $User) -or ($_.IdentityReference -match "Everyone")} | Select IdentityReference, FileSystemRights
Machine Update settings
Automatically reboot after install
A javításhoz távolítsa el a beállításkulcsokat a következőről: HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
Konfigurálja az újraindítást az Update Management ütemezési konfigurációjának megfelelően.
AlwaysAutoRebootAtScheduledTime
AlwaysAutoRebootAtScheduledTimeMinutes
További információ: Újraindítási beállítások konfigurálása
WSUS server configuration
Ha a környezet úgy van beállítva, hogy frissítéseket kapjon a WSUS-tól, győződjön meg arról, hogy a WSUS jóváhagyja a frissítés üzembe helyezése előtt. További információ: WSUS konfigurációs beállítások. Ha a környezet nem használja a WSUS-t, távolítsa el a WSUS-kiszolgáló beállításait, és állítsa alaphelyzetbe a Windows frissítési összetevőt.
Automatically download and install
A probléma megoldásához tiltsa le az Automatikus frissítés funkciót. Állítsa le letiltva a helyi csoportházirend Automatikus Frissítések konfigurálása beállításában. További információ: Automatikus frissítések konfigurálása.
Hibaelhárítás offline állapotban
A hibrid runbook-feldolgozó hibaelhárítóját offline állapotban is használhatja a szkript helyi futtatásával. Szerezze be a következő szkriptet a GitHubról: UM_Windows_Troubleshooter_Offline.ps1. A szkript futtatásához telepítve kell lennie a WMF 5.0-s vagy újabb verziójának. A PowerShell legújabb verziójának letöltéséről a PowerShell különböző verzióinak telepítése című témakörben olvashat.
A szkript kimenete a következő példához hasonlóan néz ki:
RuleId : OperatingSystemCheck
RuleGroupId : prerequisites
RuleName : Operating System
RuleGroupName : Prerequisite Checks
RuleDescription : The Windows Operating system must be version 6.1.7600 (Windows Server 2008 R2) or higher
CheckResult : Passed
CheckResultMessage : Operating System version is supported
CheckResultMessageId : OperatingSystemCheck.Passed
CheckResultMessageArguments : {}
RuleId : DotNetFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : .NET Framework 4.6.2+
RuleGroupName : Prerequisite Checks
RuleDescription : .NET Framework version 4.6.2 or higher is required
CheckResult : Passed
CheckResultMessage : .NET Framework version 4.6.2+ is found
CheckResultMessageId : DotNetFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {}
RuleId : WindowsManagementFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : WMF 5.1
RuleGroupName : Prerequisite Checks
RuleDescription : Windows Management Framework version 4.0 or higher is required (version 5.1 or higher is preferable)
CheckResult : Passed
CheckResultMessage : Detected Windows Management Framework version: 5.1.22621.169
CheckResultMessageId : WindowsManagementFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {5.1.22621.169}
RuleId : AutomationAgentServiceConnectivityCheck1
RuleGroupId : connectivity
RuleName : Registration endpoint
RuleGroupName : connectivity
RuleDescription :
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : AutomationAgentServiceConnectivityCheck1.Failed.NoRegistrationFound
CheckResultMessageArguments :
RuleId : AutomationJobRuntimeDataServiceConnectivityCheck
RuleGroupId : connectivity
RuleName : Operations endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow Automation Hybrid Worker agent to communicate with
eus2-jobruntimedata-prod-su1.azure-automation.net
CheckResult : Passed
CheckResultMessage : TCP Test for eus2-jobruntimedata-prod-su1.azure-automation.net (port 443) succeeded
CheckResultMessageId : AutomationJobRuntimeDataServiceConnectivityCheck.Passed
CheckResultMessageArguments : {eus2-jobruntimedata-prod-su1.azure-automation.net}
RuleId : MonitoringAgentServiceRunningCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service status
RuleGroupName : VM Service Health Checks
RuleDescription : HealthService must be running on the machine
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service (HealthService) is running
CheckResultMessageId : MonitoringAgentServiceRunningCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, HealthService}
RuleId : SystemHybridRunbookWorkerRunningCheck
RuleGroupId : servicehealth
RuleName : Hybrid runbook worker status
RuleGroupName : VM Service Health Checks
RuleDescription : Hybrid runbook worker must be in running state.
CheckResult : Passed
CheckResultMessage : Hybrid runbook worker is running.
CheckResultMessageId : SystemHybridRunbookWorkerRunningCheck.Passed
CheckResultMessageArguments : {}
RuleId : MonitoringAgentServiceEventsCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service events
RuleGroupName : VM Service Health Checks
RuleDescription : Event Log must not have event 4502 logged in the past 24 hours
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service Event Log (Operations Manager) does not have event 4502 logged in the last 24 hours.
CheckResultMessageId : MonitoringAgentServiceEventsCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, Operations Manager, 4502}
RuleId : LinkedWorkspaceCheck
RuleGroupId : servicehealth
RuleName : VM's Linked Workspace
RuleGroupName : VM Service Health Checks
RuleDescription : Get linked workspace info of the VM
CheckResult : Failed
CheckResultMessage : VM is not reporting to any workspace.
CheckResultMessageId : LinkedWorkspaceCheck.Failed.NoWorkspace
CheckResultMessageArguments : {}
RuleId : CryptoRsaMachineKeysFolderAccessCheck
RuleGroupId : permissions
RuleName : Crypto RSA MachineKeys Folder Access
RuleGroupName : Access Permission Checks
RuleDescription : SYSTEM account must have WRITE and MODIFY access to 'C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys'
CheckResult : Passed
CheckResultMessage : Have permissions to access C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys
CheckResultMessageId : CryptoRsaMachineKeysFolderAccessCheck.Passed
CheckResultMessageArguments : {C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys}
RuleId : TlsVersionCheck
RuleGroupId : prerequisites
RuleName : TLS 1.2
RuleGroupName : Prerequisite Checks
RuleDescription : Client and Server connections must support TLS 1.2
CheckResult : Passed
CheckResultMessage : TLS 1.2 is enabled by default on the Operating System.
CheckResultMessageId : TlsVersionCheck.Passed.EnabledByDefault
CheckResultMessageArguments : {}
RuleId : AlwaysAutoRebootCheck
RuleGroupId : machineSettings
RuleName : AutoReboot
RuleGroupName : Machine Override Checks
RuleDescription : Automatic reboot should not be enable as it forces a reboot irrespective of update configuration
CheckResult : Passed
CheckResultMessage : Windows Update reboot registry keys are not set to automatically reboot
CheckResultMessageId : AlwaysAutoRebootCheck.Passed
CheckResultMessageArguments :
RuleId : WSUSServerConfigured
RuleGroupId : machineSettings
RuleName : isWSUSServerConfigured
RuleGroupName : Machine Override Checks
RuleDescription : Increase awareness on WSUS configured on the server
CheckResult : Passed
CheckResultMessage : Windows Updates are downloading from the default Windows Update location. Ensure the server has access to the Windows Update service
CheckResultMessageId : WSUSServerConfigured.Passed
CheckResultMessageArguments :
RuleId : AutomaticUpdateCheck
RuleGroupId : machineSettings
RuleName : AutoUpdate
RuleGroupName : Machine Override Checks
RuleDescription : AutoUpdate should not be enabled on the machine
CheckResult : Passed
CheckResultMessage : Windows Update is not set to automatically install updates as they become available
CheckResultMessageId : AutomaticUpdateCheck.Passed
CheckResultMessageArguments :
RuleId : HttpsConnection
RuleGroupId : connectivity
RuleName : Https connection
RuleGroupName : connectivity
RuleDescription : Check if VM is able to make https requests.
CheckResult : Passed
CheckResultMessage : VM is able to make https requests.
CheckResultMessageId : HttpsConnection.Passed
CheckResultMessageArguments : {}
RuleId : ProxySettings
RuleGroupId : connectivity
RuleName : Proxy settings
RuleGroupName : connectivity
RuleDescription : Check if Proxy is enabled on the VM.
CheckResult : Passed
CheckResultMessage : Proxy is not set.
CheckResultMessageId : ProxySettings.Passed
CheckResultMessageArguments : {}
RuleId : IMDSConnectivity
RuleGroupId : connectivity
RuleName : IMDS endpoint connectivity
RuleGroupName : connectivity
RuleDescription : Check if VM is able to reach IMDS server to get VM information.
CheckResult : PassedWithWarning
CheckResultMessage : VM is not able to reach IMDS server. Consider this as a Failure if this is an Azure VM.
CheckResultMessageId : IMDSConnectivity.PassedWithWarning
CheckResultMessageArguments : {}
RuleId : WUServiceRunningCheck
RuleGroupId : servicehealth
RuleName : WU service status
RuleGroupName : WU Service Health Check
RuleDescription : WU must not be in the disabled state.
CheckResult : Passed
CheckResultMessage : Windows Update service (wuauserv) is running.
CheckResultMessageId : WUServiceRunningCheck.Passed
CheckResultMessageArguments : {Windows Update, wuauserv}
RuleId : LAOdsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA ODS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA ODS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOdsEndpointConnectivity.Failed
CheckResultMessageArguments :
RuleId : LAOmsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA OMS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA OMS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOmsEndpointConnectivity.Failed
CheckResultMessageArguments :
További lépések
Hibrid runbook-feldolgozóval kapcsolatos problémák elhárítása.