Az Update Management hibáinak elhárítása

Figyelemfelhívás

Ez a cikk a CentOS-ra, egy olyan Linux-disztribúcióra hivatkozik, amely közel áll az élettartam (EOL) állapotához. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.

Ez a cikk azokat a problémákat ismerteti, amelyek az Update Management szolgáltatással a gépek frissítéseinek kiértékelése és kezelése során merülhetnek fel. A hibrid runbook-feldolgozó ügynök ügynök hibaelhárítója segít meghatározni a mögöttes problémát. A hibaelhárítóval kapcsolatos további információkért tekintse meg a Windows update agent hibáinak elhárítása és a Linux-frissítési ügynökkel kapcsolatos problémák elhárítása című témakört. A szolgáltatás üzembe helyezésével kapcsolatos egyéb problémákat a szolgáltatás üzembe helyezésével kapcsolatos problémák elhárítása című témakörben találja.

Feljegyzés

Ha problémákba ütközik az Update Management windowsos gépen való telepítésekor, nyissa meg a Windows Eseménynapló, és ellenőrizze az Operations Manager eseménynaplóját az Alkalmazás- és szolgáltatások naplói területen a helyi gépen. Keresse meg a 4502-s eseményazonosítójú eseményeket és a benne található Microsoft.EnterpriseManagement.HealthService.AzureAutomation.HybridAgenteseményadatokat.

Forgatókönyv: A Windows Defender frissítése mindig hiányzóként jelenik meg

Probléma

A Windows Defender definíciófrissítése (KB2267602) mindig hiányzóként jelenik meg az értékelésben, amikor telepítve van, és naprakészen jelenik meg a Windows Update előzményeiből való ellenőrzéskor.

Ok

A definíciófrissítések egy nap alatt többször is közzé lesznek téve. Ennek eredményeképpen a KB2267602 több kiadása is megjelent egy nap alatt, de egy másik frissítési azonosítóval és verzióval.

Az Update Management értékelése 11 órán belül egyszer fut. Ebben a példában 10:00-kor egy értékelés futott, és az 1.237.316.0-s verzió volt elérhető. Amikor a Log Analytics-munkaterület Frissítés táblájában keres, az 1.237.316.0-s definíciófrissítés megjelenik a Szükséges frissítési állapottal. Ha egy ütemezett üzembe helyezés néhány órával később fut, tegyük fel, hogy 13:00-kor, és az 1.237.316.0-s verzió továbbra is elérhető, vagy egy újabb verzió van telepítve, az újabb verzió telepítve van, és ez tükröződik az UpdateRunProgress táblába írt rekordban. A Frissítés táblában azonban az 1.237.316.0-s verzió szükségesként jelenik meg, amíg a következő értékelés le nem fut. Ha az értékelés ismét lefut, előfordulhat, hogy nem érhető el újabb definíciófrissítés, ezért a Frissítés tábla nem jeleníti meg az 1.237.316.0-s definíciófrissítést hiányzóként, vagy szükség szerint egy újabb verziót. A definíciófrissítések gyakorisága miatt több verzió is visszaadható a naplókeresésben.

Resolution (Osztás)

Futtassa a következő napló lekérdezést annak ellenőrzéséhez, hogy a telepített definíciófrissítések megfelelően vannak-e jelentve. Ez a lekérdezés a Frissítések tábla KB2267602 létrehozott idejét, verzióját és frissítési azonosítóját adja vissza. Cserélje le a számítógép értékét a gép teljes nevére.

Update
| where TimeGenerated > ago(14h) and OSType != "Linux" and (Optional == false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((
    Heartbeat
    | where TimeGenerated > ago(12h) and OSType =~ "Windows" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, *) by Computer, SourceComputerId, UpdateID
| where UpdateState =~ "Needed" and Approved != false and Computer == "<computerName>"
| render table

A lekérdezés eredményeinek a következőhöz hasonló eredményt kell visszaadnia:

Az alábbi naplólekérdezés futtatásával lekérheti a KB2267602 idő-, verzió- és frissítésazonosítóját a Frissítések RunProgress táblában. Ez a lekérdezés segít megérteni, hogy az Update Management szolgáltatásból lett-e telepítve, vagy a Microsoft Update-ből lett-e automatikusan telepítve a gépen. A CorrelationId értékét a runbook-feladat GUID azonosítójára (azaz a Patch-MicrosoftOMSComputer runbook feladat MasterJOBID tulajdonságértékére) kell cserélnie a frissítéshez, a SourceComputerId tulajdonságot pedig a gép GUID azonosítójára.

UpdateRunProgress
| where OSType!="Linux" and CorrelationId=="<master job id>" and SourceComputerId=="<source computer id>"
| summarize arg_max(TimeGenerated, Title, InstallationStatus) by UpdateId
| project TimeGenerated, id=UpdateId, displayName=Title, InstallationStatus

A lekérdezés eredményeinek a következőhöz hasonló eredményt kell visszaadnia:

Ha a Frissítések táblából származónaplólekérdezési eredmények TimeGenerated értéke korábbi, mint a frissítés telepítésének időbélyege (vagyis a TimeGenerated értéke), vagy az UpdateRunProgress tábla naplólekérdezési eredményeiből, várjon a következő értékelésre. Ezután futtassa újra a napló lekérdezést a Frissítések táblán. Vagy a KB2267602 frissítése nem jelenik meg, vagy egy újabb verzióval jelenik meg. Azonban még a legutóbbi értékelés után is meg kell nyitnia egy Azure-támogatás incidenst, ha ugyanaz a verzió jelenik meg, mint a Frissítések táblában, de már telepítve van.

Forgatókönyv: A Linux-frissítések függőben lévőként jelennek meg, és a telepített frissítések eltérőek

Probléma

Linux rendszerű gépe esetében az Update Management a Security and Others besorolás alatt elérhető egyes frissítéseket jeleníti meg. Ha azonban a számítógépen frissítési ütemezés fut, például csak a biztonsági besorolásnak megfelelő frissítéseket szeretne telepíteni, a telepített frissítések eltérnek az adott besorolással korábban bemutatott frissítésektől vagy azok egy részhalmazától.

Ok

Ha elkészült a Linux-gép operációsrendszer-frissítéseinek értékelése, a Linux disztribúciós gyártó által biztosított nyílt sebezhetőségi és értékelési nyelv (OVAL) fájlokat az Update Management használja a besoroláshoz. A kategorizálás a Linux-frissítések esetében biztonsági vagy egyébként történik, az OVAL-fájlok alapján, amelyek biztonsági problémákat vagy biztonsági réseket tartalmazó frissítéseket sorolnak fel. A frissítési ütemezés futtatásakor azonban a linuxos gépen végrehajtja a megfelelő csomagkezelőt, például a YUM-ot, az APT-t vagy a ZYPPER-t a telepítéshez. A Linux disztribúció csomagkezelője eltérő mechanizmussal rendelkezhet a frissítések besorolására, ahol az eredmények eltérhetnek az OVAL-fájlokból az Update Management által beszerzettektől.

Resolution (Osztás)

Manuálisan ellenőrizheti a Linux-gépet, a vonatkozó frissítéseket és azok besorolását a disztribúció csomagkezelője szerint. Annak megértéséhez, hogy a csomagkezelő mely frissítéseket sorolja biztonsági besorolásba, futtassa az alábbi parancsokat.

A YUM esetében a következő parancs a Red Hat által biztonságként kategorizált frissítések nem nulla listáját adja vissza. Vegye figyelembe, hogy a CentOS esetében mindig üres listát ad vissza, és nem történik biztonsági besorolás.

sudo yum -q --security check-update

A ZYPPER esetében a következő parancs az SU által biztonságként kategorizált frissítések nem nulla listáját adja vissza Standard kiadás.

sudo LANG=en_US.UTF8 zypper --non-interactive patch --category security --dry-run

Az APT esetében a következő parancs az Ubuntu Linux-disztribúciók Esetében a Canonical által a Biztonság kategóriába sorolt frissítések nem nulla listáját adja vissza.

sudo grep security /etc/apt/sources.list > /tmp/oms-update-security.list LANG=en_US.UTF8 sudo apt-get -s dist-upgrade -oDir::Etc::Sourcelist=/tmp/oms-update-security.list

Ebben a listában futtatja a parancsot grep ^Inst az összes függőben lévő biztonsági frissítés lekéréséhez.

Forgatókönyv: A következő hibaüzenet jelenik meg: "Nem sikerült engedélyezni a frissítési megoldást"

Probléma

Amikor megpróbálja engedélyezni az Update Managementet az Automation-fiókjában, a következő hibaüzenet jelenik meg:

Error details: Failed to enable the Update solution

Ok

Ezt a hibát a következők okozhatják:

• Előfordulhat, hogy a Log Analytics-ügynök hálózati tűzfalkövetelményei nincsenek megfelelően konfigurálva. Ez a helyzet azt okozhatja, hogy az ügynök meghibásodik a DNS-URL-címek feloldásakor.

• Az Update Management-célzás helytelenül van konfigurálva, és a gép nem a várt módon kapja meg a frissítéseket.

• Azt is észreveheti, hogy a gép megfelelőségi állapotot Non-compliant mutat. Ugyanakkor az Ügynök munkaasztala Analytics az ügynököt Disconnectedjelenti.

Resolution (Osztás)

• Futtassa a windowsos vagy linuxos hibaelhárítót az operációs rendszertől függően.

• A Hálózati konfigurációban megtudhatja, hogy mely címeknek és portoknak kell engedélyeznie az Update Management működését.

• Ellenőrizze, hogy vannak-e hatókörkonfigurációs problémák. A hatókörkonfiguráció határozza meg, hogy mely gépek legyenek konfigurálva az Update Managementhez. Ha a gép megjelenik a munkaterületen, de az Update Managementben nem, a hatókör konfigurációját be kell állítania a gépek megcélzásához. A hatókörkonfigurációval kapcsolatos további információkért lásd : Gépek engedélyezése a munkaterületen.

• Távolítsa el a feldolgozó konfigurációját a hibrid runbook-feldolgozó eltávolítása helyszíni Windows-számítógépről vagy a hibrid runbook-feldolgozó eltávolítása helyszíni Linux-számítógépről című témakörben leírt lépések végrehajtásával.

Forgatókönyv: Az Update Managementben hiányzóként megjelölt, felülírt frissítés

Probléma

Egy Automation-fiók régi frissítései hiányoznak, még akkor is, ha azok felülírva lettek. A felülírt frissítéseket nem kell telepítenie, mert elérhető egy későbbi frissítés, amely kijavítja ugyanazt a biztonsági rést. Az Update Management figyelmen kívül hagyja a felülírt frissítést, és nem alkalmazható a felülíró frissítés javára. A kapcsolódó problémával kapcsolatos információkért lásd a Frissítés felülírása című témakört.

Ok

A felülírt frissítések nem lesznek elutasítva a Windows Server Update Servicesben (WSUS), így azok nem tekinthetők alkalmazhatónak.

Resolution (Osztás)

Ha egy felülírt frissítés 100%-osra nem alkalmazható, a frissítés Declined jóváhagyási állapotát a WSUS-ban kell módosítania. Az összes frissítés jóváhagyási állapotának módosítása:

1. Az Automation-fiókban válassza az Update Management lehetőséget a gép állapotának megtekintéséhez. Lásd: Frissítési értékelések megtekintése.

2. Ellenőrizze, hogy a felülírt frissítés nem alkalmazható-e 100 százalékban.

3. A WSUS-kiszolgálón a gépek jelentik, hogy elutasítják a frissítést.

4. Válassza a Számítógépek lehetőséget, és a Megfelelőség oszlopban kényszerítsen újra a megfelelőségre. Lásd: A virtuális gépek frissítéseinek kezelése.

5. Ismételje meg a fenti lépéseket más felülírt frissítések esetében.

6. A Windows Server Update Services (WSUS) esetében törölje az összes felülírt frissítést az infrastruktúra frissítéséhez a WSUS-kiszolgáló törlési varázslójának használatával.

7. Ismételje meg ezt az eljárást rendszeresen a megjelenítési probléma javítása és a frissítéskezeléshez használt lemezterület minimalizálása érdekében.

Forgatókönyv: A gépek nem jelennek meg a portálon az Update Management alatt

Probléma

A gépeken a következő tünetek jelentkeznek:

• A gép megjelenik Not configured egy virtuális gép Frissítéskezelés nézetéből.

• A gépek hiányoznak az Azure Automation-fiók Update Management nézetéből.

• A megfelelőség Not assessedalatt lévő gépek jelennek meg. Az Azure Monitor naplóiban azonban a hibrid runbook-feldolgozó szívverési adatai láthatók, az Update Management esetében azonban nem.

Ok

Ezt a problémát okozhatják a helyi konfigurációs problémák vagy a nem megfelelően konfigurált hatókörkonfigurációk. A lehetséges konkrét okok a következők:

• Előfordulhat, hogy újra kell regisztrálnia és újra kell telepítenie a hibrid runbook-feldolgozót.

• Előfordulhat, hogy a munkaterületen olyan kvótát definiált, amelyet elértek, és ez megakadályozza a további adattárolást.

Resolution (Osztás)

1. Futtassa a windowsos vagy linuxos hibaelhárítót az operációs rendszertől függően.

2. Annak ellenőrzése, hogy a számítógép a megfelelő munkaterületnek jelent-e. Ennek a szempontnak az ellenőrzésére vonatkozó útmutatásért lásd : Ügynökkapcsolat ellenőrzése az Azure Monitorral. Győződjön meg arról is, hogy ez a munkaterület az Azure Automation-fiókhoz van csatolva. A megerősítéshez nyissa meg az Automation-fiókját, és válassza a Csatolt munkaterület lehetőséget a Kapcsolódó erőforrások területen.

3. Győződjön meg arról, hogy a gépek megjelennek az Automation-fiókhoz társított Log Analytics-munkaterületen. Futtassa a következő lekérdezést a Log Analytics-munkaterületen.

   Heartbeat
   | summarize by Computer, Solutions
   

   Ha nem látja a gépét a lekérdezés eredményei között, nem jelentkezett be nemrég. Valószínűleg helyi konfigurációs probléma merült fel, ezért újra kell telepítenie az ügynököt.

   Ha a gép szerepel a lekérdezés eredményei között, ellenőrizze a Megoldások tulajdonság alatt, hogy a frissítések szerepelnek-e a listában. Ez ellenőrzi, hogy regisztrálva van-e az Update Managementben. Ha nem, ellenőrizze a hatókör konfigurációs problémáit. A hatókör konfigurációja határozza meg, hogy mely gépek legyenek konfigurálva az Update Managementhez. A gép céltartomány-konfigurációjának konfigurálásához lásd : Gépek engedélyezése a munkaterületen.

4. A munkaterületen futtassa ezt a lekérdezést.

   Operation
   | where OperationCategory == 'Data Collection Status'
   | sort by TimeGenerated desc
   

   Ha eredményt kap Data collection stopped due to daily limit of free data reached. Ingestion status = OverQuota , elérte a munkaterületen definiált kvótát, amely megakadályozta az adatok mentését. A munkaterületen lépjen az adatmennyiség-kezelésre a Használati és becsült költségek területen, és módosítsa vagy távolítsa el a kvótát.

5. Ha a probléma továbbra is megoldatlan, kövesse a Hibrid Windows-forgatókönyv-feldolgozó üzembe helyezésének lépéseit a Hibrid windowsos feldolgozó újratelepítéséhez. Linux esetén kövesse a Linux hibrid runbook-feldolgozó üzembe helyezésének lépéseit.

Forgatókönyv: Az Automation-erőforrás-szolgáltató nem regisztrálható előfizetésekhez

Probléma

Amikor az Automation-fiók szolgáltatástelepítéseivel dolgozik, a következő hiba történik:

Error details: Unable to register Automation Resource Provider for subscriptions

Ok

Az Automation-erőforrás-szolgáltató nincs regisztrálva az előfizetésben.

Resolution (Osztás)

Az Automation-erőforrás-szolgáltató regisztrálásához kövesse az alábbi lépéseket az Azure Portalon.

1. A portál alján található Azure-szolgáltatáslistában válassza a Minden szolgáltatás lehetőséget, majd válassza az Előfizetések lehetőséget az Általános szolgáltatáscsoportban.

2. Válassza ki előfizetését.

3. A Gépház területen válassza az Erőforrás-szolgáltatók lehetőséget.

4. Az erőforrás-szolgáltatók listájában ellenőrizze, hogy a Microsoft.Insights erőforrás-szolgáltató regisztrálva van-e.

5. Ha nem szerepel a listán, regisztrálja a Microsoft.Automation-szolgáltatót az erőforrás-szolgáltató regisztrációjával kapcsolatos hibák elhárításának lépéseit követve.

Forgatókönyv: Az ütemezett frissítés nem javított néhány gépet

Probléma

A frissítési előzetes verzióban szereplő gépek nem jelennek meg az ütemezett futtatás során javított gépek listájában, vagy a dinamikus csoportok kijelölt hatóköreihez tartozó virtuális gépek nem jelennek meg a frissítés előnézeti listájában a portálon.

A frissítés előnézeti listája a kiválasztott hatókörökhöz tartozó Azure Resource Graph-lekérdezés által lekért összes gépből áll. A hatókörök olyan gépekre lesznek szűrve, amelyeken hibrid runbook-feldolgozó van telepítve, és amelyekhez hozzáférési engedélyekkel rendelkezik.

Ok

Ennek a problémának az alábbi okai lehetnek:

• A dinamikus lekérdezés hatókörében definiált előfizetések nincsenek konfigurálva a regisztrált Automation-erőforrás-szolgáltatóhoz.

• A gépek nem voltak elérhetők, vagy nem voltak megfelelő címkék az ütemezés végrehajtásakor.

• Nem rendelkezik a megfelelő hozzáféréssel a kijelölt hatókörökhöz.

• Az Azure Resource Graph-lekérdezés nem kéri le a várt gépeket.

• A hibrid runbook-feldolgozó nincs telepítve a gépeken.

Resolution (Osztás)

A regisztrált Automation-erőforrás-szolgáltatóhoz nem konfigurált előfizetések

Ha az előfizetés nincs konfigurálva az Automation-erőforrás-szolgáltatóhoz, nem kérdezhet le és nem kérdezhet le adatokat az előfizetésben lévő gépeken. Az előfizetés regisztrációjának ellenőrzéséhez kövesse az alábbi lépéseket.

1. Az Azure Portalon érheti el az Azure szolgáltatáslistáját.

2. Válassza az Összes szolgáltatás lehetőséget, majd válassza az Előfizetések lehetőséget az Általános szolgáltatáscsoportban.

3. Keresse meg az üzembe helyezés hatókörében definiált előfizetést.

4. A Gépház csoportban válassza az Erőforrás-szolgáltatók lehetőséget.

5. Ellenőrizze, hogy a Microsoft.Automation erőforrás-szolgáltató regisztrálva van-e.

6. Ha nem szerepel a listán, regisztrálja a Microsoft.Automation-szolgáltatót az erőforrás-szolgáltató regisztrációjával kapcsolatos hibák elhárításának lépéseit követve.

A gépek nem érhetők el vagy nincsenek megfelelően megjelölve az ütemezés végrehajtásakor

Ha az előfizetés az Automation-erőforrás-szolgáltatóhoz van konfigurálva, a megadott dinamikus csoportokkal végzett frissítési ütemezés futtatása néhány gépet kihagyott.

1. Az Azure Portalon nyissa meg az Automation-fiókot, és válassza az Update Management lehetőséget.

2. Ellenőrizze az Update Management előzményeit , és állapítsa meg a frissítés központi telepítésének pontos időpontját.

3. AzOknak a gépeknek, amelyeket gyanít, hogy az Update Management kihagyott, az Azure Resource Graph (ARG) használatával keresse meg a gép módosításait.

4. A frissítés üzembe helyezése előtt jelentős időszakon ( például egy napon) keressen módosításokat.

5. Ellenőrizze a keresési eredményeket, hogy vannak-e rendszerszintű változások, például törlés vagy frissítés a gépeken ebben az időszakban. Ezek a módosítások megváltoztathatják a gép állapotát vagy címkéinek használatát, hogy a frissítések telepítésekor a gépek ne legyenek kiválasztva a géplistában.

6. Szükség szerint módosítsa a gépeket és az erőforrás-beállításokat a gép állapotával vagy címkével kapcsolatos problémák kijavításához.

7. Futtassa újra a frissítési ütemezést, hogy a megadott dinamikus csoportokkal való üzembe helyezés az összes gépet tartalmazza.

Helytelen hozzáférés a kijelölt hatókörökhöz

Az Azure Portal csak azokat a gépeket jeleníti meg, amelyekhez írási hozzáféréssel rendelkezik egy adott hatókörben. Ha nem rendelkezik a megfelelő hozzáféréssel egy hatókörhöz, tekintse meg az oktatóanyagot: Felhasználói hozzáférés biztosítása azure-erőforrásokhoz az Azure Portal használatával.

A Resource Graph-lekérdezés nem adja vissza a várt gépeket

Kövesse az alábbi lépéseket annak kiderítéséhez, hogy a lekérdezések megfelelően működnek-e.

1. Futtasson egy Azure Resource Graph-lekérdezést az alábbiak szerint az Azure Portal Resource Graph Explorer paneljén. Ha most ismerkedik az Azure Resource Graphtal, ebből a rövid útmutatóból megtudhatja, hogyan használhatja a Resource Graph Explorert. Ez a lekérdezés a dinamikus csoport Update Managementben való létrehozásakor kiválasztott szűrőket utánozza. Lásd: Dinamikus csoportok használata az Update Management használatával.

   where (subscriptionId in~ ("<subscriptionId1>", "<subscriptionId2>") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "<Windows/Linux>" and resourceGroup in~ ("<resourceGroupName1>","<resourceGroupName2>") and location in~ ("<location1>","<location2>") )
   | project id, location, name, tags = todynamic(tolower(tostring(tags)))
   | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" and tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "All" option selected for tags
   | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" or tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "Any" option selected for tags
   | project id, location, name, tags
   

   Egy példa:

   where (subscriptionId in~ ("20780d0a-b422-4213-979b-6c919c91ace1", "af52d412-a347-4bc6-8cb7-4780fbb00490") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "Windows" and resourceGroup in~ ("testRG","withinvnet-2020-01-06-10-global-resources-southindia") and location in~ ("australiacentral","australiacentral2","brazilsouth") )
   | project id, location, name, tags = todynamic(tolower(tostring(tags)))
   | where  (tags[tolower("ms-resource-usage")] =~ "azure-cloud-shell" and tags[tolower("temp")] =~ "temp")
   | project id, location, name, tags
   

2. Ellenőrizze, hogy a keresett gépek szerepelnek-e a lekérdezés eredményei között.

3. Ha a gépek nincsenek felsorolva, valószínűleg probléma van a dinamikus csoportban kiválasztott szűrővel. Szükség szerint módosítsa a csoportkonfigurációt.

A hibrid runbook-feldolgozó nincs telepítve a gépeken

A gépek megjelennek az Azure Resource Graph lekérdezési eredményei között, de továbbra sem jelennek meg a dinamikus csoport előnézetében. Ebben az esetben előfordulhat, hogy a gépek nem lesznek rendszer hibrid Runbook-feldolgozókként kijelölve, ezért nem futtathatók Azure Automation- és Update Management-feladatok. Annak biztosítása érdekében, hogy a várt gépek hibrid runbook-feldolgozókként legyenek beállítva:

1. Az Azure Portalon nyissa meg a nem megfelelően megjelenő gép Automation-fiókját.

2. Válassza a Hibrid feldolgozó csoportok lehetőséget a Folyamatautomatizálás területen.

3. Válassza a Rendszer hibrid feldolgozócsoportjai lapot.

4. Ellenőrizze, hogy a hibrid feldolgozó jelen van-e az adott gépen.

5. Ha a gép nincs beállítva hibrid runbook-feldolgozóként, tekintse át az alábbi módszerek egyikének használatát engedélyező módszereket:

   • Az Automation-fiókból egy vagy több Azure-beli és nem Azure-beli géphez, beleértve az Azure Arc-kompatibilis kiszolgálókat is.

   • Az Enable-AutomationSolutionrunbook használatával automatizálhatja az Azure-beli virtuális gépek előkészítését.

   • Kiválasztott Azure-beli virtuális géphez az Azure Portal Virtuális gépek lapján. Ez a forgatókönyv Linux és Windows rendszerű virtuális gépeken érhető el.

   • Több Azure-beli virtuális gép esetén válassza ki őket az Azure Portal Virtuális gépek lapján.

   Az engedélyezés módja a gép által futtatott környezeten alapul.

6. Ismételje meg a fenti lépéseket minden olyan gép esetében, amely nem jelenik meg az előzetes verzióban.

Forgatókönyv: Az Update Management összetevői engedélyezve, míg a virtuális gép továbbra is konfiguráltként jelenik meg

Probléma

A következő üzenet továbbra is megjelenik egy virtuális gépen az üzembe helyezés megkezdése után 15 perccel:

The components for the 'Update Management' solution have been enabled, and now this virtual machine is being configured. Please be patient, as this can sometimes take up to 15 minutes.

Ok

Ezt a hibát a következők okozhatják:

• Az Automation-fiókkal folytatott kommunikáció le van tiltva.

• Létezik egy ismétlődő számítógépnév, amely különböző forrásszámítógép-azonosítókkal rendelkezik. Ez a forgatókönyv akkor fordul elő, ha egy adott számítógépnévvel rendelkező virtuális gép különböző erőforráscsoportokban jön létre, és az előfizetés ugyanazon logisztikai ügynök munkaterületén jelentkezik.

• Az üzembe helyezett virtuálisgép-rendszerkép olyan klónozott gépről származhat, amely nem a Windows Log Analytics-ügynökével készült a System Preparation (sysprep) szolgáltatással.

Resolution (Osztás)

A virtuális géppel kapcsolatos pontos probléma meghatározásához futtassa az alábbi lekérdezést az Automation-fiókhoz társított Log Analytics-munkaterületen.

Update
| where Computer contains "fillInMachineName"
| project TimeGenerated, Computer, SourceComputerId, Title, UpdateState 

Az Automation-fiókkal folytatott kommunikáció le van tiltva

A Hálózattervezés gombra lépve megtudhatja, hogy mely címeknek és portoknak kell engedélyeznie az Update Management működését.

Ismétlődő számítógépnév

Nevezze át a virtuális gépeket, hogy egyedi neveket biztosítsanak a környezetükben.

Klónozott gépről üzembe helyezett rendszerkép

Ha klónozott rendszerképet használ, a különböző számítógépnevek ugyanazzal a forrásszámítógép-azonosítóval rendelkeznek. Ebben az esetben:

1. A Log Analytics-munkaterületen távolítsa el a virtuális gépet a MicrosoftDefaultScopeConfig-Updates hatókörkonfiguráció mentett kereséséből, ha az megjelenik. A mentett keresések az Általános területen találhatók a munkaterületen.

2. Futtassa a következő parancsmagot.

   Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
   

3. Futtassa Restart-Service HealthService az állapotszolgáltatás újraindítását. Ez a művelet újra létrehozza a kulcsot, és létrehoz egy új UUID-t.

4. Ha ez a módszer nem működik, először futtassa a sysprepet a lemezképen, majd telepítse a WindowsHoz készült Log Analytics-ügynököt.

Forgatókönyv: Csatolt előfizetési hiba jelenik meg, amikor egy frissítéstelepítést hoz létre egy másik Azure-bérlő gépeihez

Probléma

A következő hibaüzenet jelenik meg, amikor egy frissítéstelepítést próbál létrehozni egy másik Azure-bérlőben lévő gépekhez:

The client has permission to perform action 'Microsoft.Compute/virtualMachines/write' on scope '/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroupName/providers/Microsoft.Automation/automationAccounts/automationAccountName/softwareUpdateConfigurations/updateDeploymentName', however the current tenant '00000000-0000-0000-0000-000000000000' is not authorized to access linked subscription '00000000-0000-0000-0000-000000000000'.

Ok

Ez a hiba akkor fordul elő, ha olyan frissítési üzembe helyezést hoz létre, amely azure-beli virtuális gépeket tartalmaz egy másik bérlőben, amely egy frissítéstelepítés részét képezi.

Resolution (Osztás)

Az alábbi kerülő megoldás segítségével ütemezheti ezeket az elemeket. A New-AzAutomationSchedule parancsmagot a paraméterrel ForUpdateConfiguration használhatja ütemezés létrehozásához. Ezután használja a New-AzAutomationSoftwareUpdateConfiguration parancsmagot, és adja át a másik bérlő gépét a NonAzureComputer paraméternek. Az alábbi példa bemutatja, hogyan teheti ezt meg:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$s = New-AzAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName $aa -Schedule $s -Windows -AzureVMResourceId $azureVMIdsW -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Forgatókönyv: Megmagyarázhatatlan újraindítások

Probléma

Annak ellenére, hogy az Újraindításvezérlés beállítást Soha nem indítja újra, a frissítések telepítése után a gépek továbbra is újraindulnak.

Ok

A Windows Update-et több beállításkulcs is módosíthatja, amelyek bármelyike módosíthatja az újraindítási viselkedést.

Resolution (Osztás)

Tekintse át az Automatikus Frissítések konfigurálása területen felsorolt beállításkulcsokat az újraindítás kezeléséhez használt beállításjegyzék- és beállításkulcsok szerkesztésével, hogy a gépek megfelelően legyenek konfigurálva.

Forgatókönyv: A gép a "Nem indult el" szöveget jeleníti meg egy frissítéstelepítésben

Probléma

Egy gép egy vagy Failed több állapotot Failed to start jelenít meg. A gép konkrét részleteinek megtekintésekor a következő hibaüzenet jelenik meg:

For one or more machines in schedule, UM job run resulted in either Failed or Failed to start state. Guide available at https://aka.ms/UMSucrFailed.

Ok

Ez a hiba a következő okok valamelyike miatt jelentkezhet:

• A gép már nem létezik.
• A gép ki van kapcsolva és nem érhető el.
• A gépen hálózati kapcsolati probléma lépett fel, ezért a gép hibrid feldolgozója nem érhető el.
• A Log Analytics-ügynök frissítése módosította a forrásszámítógép azonosítóját.
• A frissítés futtatása szabályozva lett, ha elérte a 200 egyidejű feladatra vonatkozó korlátot egy Automation-fiókban. Minden üzembe helyezés feladatnak minősül, és a frissítéstelepítés minden egyes gépe feladatnak számít. Az Automation-fiókban jelenleg futó egyéb automatizálási feladatok vagy frissítéstelepítések az egyidejű feladatkorlát felé számítanak.

Resolution (Osztás)

A REST API használatával programozott módon is lekérheti a részleteket. A frissítéskonfigurációs gép futtatási listájának lekéréséről a Szoftverfrissítés konfigurációs gép futtatása című témakörben olvashat, vagy egy azonosító alapján futtatott szoftverfrissítési konfigurációs gépről.

Ha alkalmazható, használjon dinamikus csoportokat a frissítéstelepítésekhez. Emellett a következő lépéseket is elvégezheti.

1. Ellenőrizze, hogy a gép vagy a kiszolgáló megfelel-e a követelményeknek.
2. Ellenőrizze a hibrid runbook-feldolgozóval való kapcsolatot a hibrid runbook-feldolgozó ügynök hibaelhárítójának használatával. A hibaelhárítóval kapcsolatos további információkért tekintse meg a frissítési ügynökkel kapcsolatos problémák elhárítását ismertető témakört.

Forgatókönyv: Frissítések telepítése központi telepítés nélkül történik

Probléma

Amikor regisztrál egy Windows rendszerű gépet az Update Managementben, üzembe helyezés nélkül települnek a frissítések.

Ok

Windows rendszeren a frissítések automatikusan települnek, amint elérhetők. Ez a viselkedés zavart okozhat, ha nem ütemezte a frissítés üzembe helyezését a gépen.

Resolution (Osztás)

A HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU beállításkulcs alapértelmezés szerint a következő 4-et állítja be: auto download and install.

Az Update Management-ügyfelek esetében javasoljuk, hogy állítsa a kulcsot 3-ra: auto download but do not auto install.

További információ: Az automatikus Frissítések konfigurálása.

Forgatókönyv: A számítógép már regisztrálva van egy másik fiókhoz

Probléma

A következő hibaüzenet jelenik meg:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.InvalidOperationException: {"Message":"Machine is already registered to a different account."}

Ok

A gépet már üzembe helyezték egy másik munkaterületen az Update Managementhez.

Resolution (Osztás)

1. A Gépek nem jelennek meg a portálOn az Update Management alatt található lépéseket követve győződjön meg arról, hogy a gép a megfelelő munkaterületre jelentkezik.
2. Törölje az összetevőket a gépen a hibrid runbookcsoport törlésével, majd próbálkozzon újra.

Forgatókönyv: A gép nem tud kommunikálni a szolgáltatással

Probléma

A következő hibaüzenetek egyikét kapja:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a receive. ---> System.ComponentModel.Win32Exception: The client and server can't communicate, because they do not possess a common algorithm

Unable to Register Machine for Patch Management, Registration Failed with Exception Newtonsoft.Json.JsonReaderException: Error parsing positive infinity value.

The certificate presented by the service <wsid>.oms.opinsights.azure.com was not issued by a certificate authority used for Microsoft services. Contact your network administrator to see if they are running a proxy that intercepts TLS/SSL communication.

Access is denied. (Exception form HRESULT: 0x80070005(E_ACCESSDENIED))

Ok

Előfordulhat, hogy egy proxy, átjáró vagy tűzfal blokkolja a hálózati kommunikációt.

Resolution (Osztás)

Tekintse át a hálózatkezelést, és győződjön meg arról, hogy a megfelelő portok és címek engedélyezettek. Tekintse meg az Update Management és a hibrid runbook-feldolgozók által igényelt portok és címek listáját.

Forgatókönyv: Nem hozható létre önaláírt tanúsítvány

Probléma

A következő hibaüzenetek egyikét kapja:

Unable to Register Machine for Patch Management, Registration Failed with Exception AgentService.HybridRegistration. PowerShell.Certificates.CertificateCreationException: Failed to create a self-signed certificate. ---> System.UnauthorizedAccessException: Access is denied.

Ok

A hibrid runbook-feldolgozó nem tudott önaláírt tanúsítványt létrehozni.

Resolution (Osztás)

Ellenőrizze, hogy a rendszerfiók rendelkezik-e olvasási hozzáféréssel a C:\ProgramData\Microsoft\Crypto\RSA mappához, majd próbálkozzon újra.

Forgatókönyv: Az ütemezett frissítés a MaintenanceWindowExceeded hiba miatt meghiúsult

Probléma

A karbantartási időszak alapértelmezett hossza 120 perc. A karbantartási időt legfeljebb 6 órára vagy 360 percre növelheti. Előfordulhat, hogy a hibaüzenet jelenik meg For one or more machines in schedule, UM job run resulted in Maintenance Window Exceeded state. Guide available at https://aka.ms/UMSucrMwExceeded.

Resolution (Osztás)

Annak megértéséhez, hogy ez miért történt a frissítés sikeres indítása után, ellenőrizze az érintett gép feladatkimenetét a futtatás során. Előfordulhat, hogy konkrét hibaüzeneteket talál a gépekről, amelyeken kutatást végezhet és műveletet hajthat végre.

A REST API használatával programozott módon is lekérheti a részleteket. A frissítéskonfigurációs gép futtatási listájának lekéréséről a Szoftverfrissítés konfigurációs gép futtatása című témakörben olvashat, vagy egy azonosító alapján futtatott szoftverfrissítési konfigurációs gépről.

Szerkessze a sikertelen ütemezett frissítéstelepítéseket, és növelje a karbantartási időszakot.

A karbantartási időszakokkal kapcsolatos további információkért lásd a Frissítések telepítése című témakört.

Forgatókönyv: A gép "Nincs értékelve" állapotúként jelenik meg, és HRESULT-kivételt jelenít meg

Probléma

• Vannak olyan gépei, amelyek a megfelelőség alatt jelennek megNot assessed, és egy kivételüzenet jelenik meg alattuk.
• HRESULT hibakód jelenik meg a portálon.

Ok

A frissítési ügynök (Windows Rendszeren futó Windows Update Agent, Linux-disztribúció csomagkezelője) nincs megfelelően konfigurálva. Az Update Management a gép frissítési ügynökére támaszkodva biztosítja a szükséges frissítéseket, a javítás állapotát és az üzembe helyezett javítások eredményeit. Ezen információk nélkül az Update Management nem tud megfelelően jelentést adni a szükséges vagy telepített javításokról.

Resolution (Osztás)

Próbálja meg helyileg végrehajtani a frissítéseket a gépen. Ha ez a művelet sikertelen, az általában azt jelenti, hogy frissítési ügynök konfigurációs hibája van.

Ezt a problémát gyakran hálózati konfigurációs és tűzfalproblémák okozzák. A probléma megoldásához használja az alábbi ellenőrzéseket.

• Linux esetén ellenőrizze a megfelelő dokumentációt, hogy biztosan elérhesse a csomagtárház hálózati végpontját.

• Windows esetén ellenőrizze, hogy az ügynök konfigurációja Frissítések nem tölt le az intranetvégpontról (WSUS/SCCM).

  • Ha a gépek a Windows Update-hez vannak konfigurálva, győződjön meg arról, hogy eléri a HTTP-hez/proxyhoz kapcsolódó problémákban leírt végpontokat.
  • Ha a gépek a Windows Server Update Serviceshez (WSUS) vannak konfigurálva, győződjön meg arról, hogy eléri a WSUS-kiszolgálót, amelyet a WUServer beállításkulcsa konfigurál.

Ha HRESULT jelenik meg, kattintson duplán a pirossal megjelenő kivételre a teljes kivételüzenet megjelenítéséhez. Tekintse át az alábbi táblázatot a lehetséges megoldásokkal vagy az ajánlott műveletekkel.

Kivétel	Megoldás vagy művelet
Exception from HRESULT: 0x……C	A windowsos frissítés hibakódlistájában keresse meg a megfelelő hibakódot a kivétel okával kapcsolatos további részletekért.
0x8024402C 0x8024401C 0x8024402F	Ezek hálózati csatlakozási problémákat jeleznek. Győződjön meg arról, hogy a gép hálózati kapcsolattal rendelkezik az Update Management szolgáltatással. A szükséges portok és címek listáját a hálózattervezési szakaszban találja.
0x8024001E	A frissítési művelet nem fejeződött be, mert a szolgáltatás vagy a rendszer leállt.
0x8024002E	A Windows Update szolgáltatás le van tiltva.
0x8024402C	Ha WSUS-kiszolgálót használ, győződjön meg arról, hogy a beállításkulcs beállításjegyzék-értékei WUServerWUStatusServerHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate a megfelelő WSUS-kiszolgálót adják meg.
0x80072EE2	Hálózati kapcsolati probléma vagy probléma merült fel a konfigurált WSUS-kiszolgálóval való beszélgetés során. Ellenőrizze a WSUS beállításait, és győződjön meg arról, hogy a szolgáltatás elérhető az ügyfélről.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Győződjön meg arról, hogy a Windows Update szolgáltatás (wuauserv) fut, és nem le van tiltva.
0x80070005	A hozzáférés megtagadását az alábbiak bármelyike okozhatja: Fertőzött számítógép A Windows Update beállításai nincsenek megfelelően konfigurálva Fájlengedélyezési hiba a következővel: %WinDir%\SoftwareDistribution mappa Nincs elegendő lemezterület a rendszermeghajtón (C:).
Bármely egyéb általános kivétel	Keressen rá az interneten a lehetséges megoldásokat keresve, és működjön együtt a helyi informatikai támogatási szolgálattal.

A %Windir%\Windowsupdate.log fájl áttekintése segíthet a lehetséges okok meghatározásában is. A napló olvasásáról további információt a Windowsupdate.log fájl olvasása című témakörben talál.

A Windows Update hibaelhárítóját is letöltheti és futtathatja, hogy ellenőrizze a windowsos frissítéssel kapcsolatos problémákat a gépen.

Feljegyzés

A Windows Update hibaelhárító dokumentációja azt jelzi, hogy Windows-ügyfeleken használható, de a Windows Serveren is működik.

Forgatókönyv: A frissítési futtatás sikertelen állapotot ad vissza (Linux)

Probléma

A frissítési futtatás elindul, de a futtatás során hibákba ütközik.

Ok

Lehetséges okok:

• A Csomagkezelő állapota nem megfelelő.
• A Frissítési ügynök (WINDOWS WUA, Linux disztribúcióspecifikus csomagkezelője) helytelenül van konfigurálva.
• Egyes csomagok zavarják a felhőalapú javításokat.
• A gép nem érhető el.
• Frissítések olyan függőségei voltak, amelyek nem oldódtak fel.

Resolution (Osztás)

Ha a frissítés sikeres indítása után hibák lépnek fel, futtassa az érintett gép feladatkimenetét . Előfordulhat, hogy konkrét hibaüzeneteket talál a gépekről, amelyeken kutatást végezhet és műveletet hajthat végre. Az Update Management megköveteli, hogy a csomagkezelő kifogástalan állapotban legyen a sikeres frissítéstelepítésekhez.

Ha bizonyos javítások, csomagok vagy frissítések közvetlenül a feladat meghiúsulása előtt jelennek meg, megpróbálhatja kizárni ezeket az elemeket a következő frissítéstelepítésből. Ha naplóadatokat szeretne gyűjteni a Windows Update-ből, tekintse meg a Windows Update naplófájljait.

Ha nem tudja megoldani a javítással kapcsolatos problémát, készítsen másolatot a /var/opt/microsoft/omsagent/run/automationworker/omsupdatemgmt.log fájlról, és őrizze meg hibaelhárítási célból a következő frissítés üzembe helyezése előtt.

A javítások nincsenek telepítve

A gépek nem telepítenek frissítéseket

Próbálja meg közvetlenül a gépen lefuttatni a frissítéseket. Ha a gép nem tudja alkalmazni a frissítéseket, tekintse meg a lehetséges hibák listáját a hibaelhárítási útmutatóban.

Ha a frissítések helyileg futnak, próbálja meg eltávolítani és újratelepíteni az ügynököt a gépen a virtuális gép eltávolítása az Update Managementből című útmutatót követve.

Tudom, hogy a frissítések elérhetők, de nem jelennek meg a gépeimen elérhetőként

Ez gyakran akkor fordul elő, ha a gépek úgy vannak konfigurálva, hogy frissítéseket kérjenek le a WSUS-tól vagy a Microsoft Configuration Managertől, de a WSUS és a Configuration Manager nem hagyta jóvá a frissítéseket.

Ellenőrizheti, hogy a gépek WSUS-hoz és SCCM-hez vannak-e konfigurálva, ha kereszthivatkozással hivatkozik a UseWUServer beállításkulcsra az Automatikus Frissítések konfigurálásával a jelen cikk Beállításjegyzék szakaszának szerkesztésével.

Ha a frissítések nincsenek jóváhagyva a WSUS-ban, nincsenek telepítve. A Log Analyticsben a következő lekérdezés futtatásával ellenőrizheti a nem jóváhagyott frissítéseket.

Update | where UpdateState == "Needed" and ApprovalSource == "WSUS" and Approved == "False" | summarize max(TimeGenerated) by Computer, KBID, Title

A frissítések telepítettként jelennek meg, de nem találom őket a számítógépen

A frissítéseket gyakran felülírják más frissítések. További információ: A Frissítés a Windows Update hibaelhárítási útmutatójában található .

Frissítések telepítése besorolás szerint Linuxon

Ha Linuxon dolgozik, a frissítések besorolás szerinti („kritikus és biztonsági frissítések”) üzembe helyezésekor fontos kikötéseket kell figyelembe venni, különösen CentOS használata esetén. Ezeket a korlátozásokat megtalálja az Update Management áttekintő oldalán.

A KB2267602 folyamatosan hiányzik

A KB2267602 a Windows Defender definíciófrissítése. Naponta frissül.

Következő lépések

Ha nem látja a problémát, vagy nem tudja megoldani a problémát, próbálkozzon az alábbi csatornák egyikével további támogatásért.

• Azure-szakértők válaszolnak az Azure Fórumain keresztül.
• Csatlakozás a @AzureSupport, a microsoftos Azure hivatalos fiókjával az ügyfélélmény javításához.
• Azure-támogatás incidens bejelentése. Lépjen a Azure-támogatás webhelyre, és válassza a Támogatás kérése lehetőséget.