Memecahkan masalah agen pembaruan Windows
Ada banyak alasan mengapa komputer Anda tidak muncul sebagai siap (sehat) selama penyebaran Manajemen Pembaruan. Anda dapat memeriksa kesehatan agen Windows Hybrid Runbook Worker untuk menentukan masalah yang mendasari. Berikut ini adalah tiga status kesiapan untuk komputer:
- Siap: Hybrid Runbook Worker disebarkan dan terakhir terlihat kurang dari satu jam yang lalu.
- Terputus: Hybrid Runbook Worker disebarkan dan terakhir terlihat lebih dari satu jam yang lalu.
- Tidak dikonfigurasi: Hybrid Runbook Worker tidak ditemukan atau belum menyelesaikan penyebaran.
Catatan
Mungkin ada sedikit keterlambatan antara apa yang ditunjukkan portal Microsoft Azure dan status komputer saat ini.
Artikel ini membahas cara menjalankan pemecah masalah untuk komputer Azure dari portal Microsoft Azure dan komputer non-Azure dalam skenario offline.
Catatan
Skrip pemecah masalah sekarang menyertakan pemeriksaan untuk Windows Server Update Services (WSUS) dan untuk kunci pengunduhan dan penginstalan otomatis.
Memulai pemecah masalah
Untuk komputer Azure, Anda dapat meluncurkan halaman Agen Pembaruan Pemecahan Masalah dengan memilih tautan Pemecahan Masalah di bawah kolom Kesiapan Agen Pembaruan di portal. Untuk komputer selain Azure, tautan ini akan mengarah ke artikel ini. Lihat Memecahkan masalah secara offline untuk memecahkan masalah mesin non-Azure.
Catatan
Untuk memeriksa kesehatan Hybrid Runbook Worker, komputer virtual harus dijalankan. Jika komputer virtual tidak dijalankan, tombol Mulai Komputer Virtual akan muncul.
Pada halaman Agen Pembaruan Pemecahan Masalah, pilih Jalankan Pemeriksaan untuk memulai pemecah masalah. Pemecah masalah menggunakan Jalankan Perintah untuk menjalankan skrip di komputer untuk memverifikasi dependensi. Setelah pemecah masalah selesai, pemecah masalah akan mengembalikan hasil pemeriksaan.
Hasil akan ditampilkan di halaman jika sudah siap. Bagian pemeriksaan menunjukkan apa yang termasuk dalam setiap pemeriksaan.
Pemeriksaan prasyarat
Sistem operasi
Pemeriksaan sistem operasi memverifikasi apakah Hybrid Runbook Worker menjalankan salah satu sistem operasi yang didukung
.NET 4.6.2
Pemeriksaan .NET Framework memverifikasi bahwa sistem telah menginstal .NET Framework 4.6.2 atau versi yang lebih baru.
Untuk memperbaikinya, instal .NET Framework 4.6 atau yang lebih baru.
Unduh .NET Framework.
Format Metafile Windows 5.1
Pemeriksaan WMF memverifikasi bahwa sistem memiliki versi Windows Management Framework (WMF) yang diperlukan.
Untuk memperbaikinya, Anda perlu mengunduh dan menginstal Windows Management Framework 5.1 karena memerlukan Windows PowerShell 5.1 agar Manajemen Pembaruan Azure berfungsi.
TLS 1.2
Pemeriksaan ini menentukan apakah Anda menggunakan TLS 1.2 untuk mengenkripsi komunikasi Anda. TLS 1.0 tidak lagi didukung oleh platform. Gunakan TLS 1.2 untuk berkomunikasi dengan Manajemen Pembaruan.
Untuk memperbaikinya, ikuti langkah-langkah untuk Mengaktifkan TLS 1.2
Memantau pemeriksaan kesehatan layanan agen
Hybrid Runbook Worker
Untuk memperbaiki masalah ini, lakukan pendaftaran ulang paksa Hybrid Runbook Worker.
Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
Restart-service healthservice
Catatan
Ini akan menghapus pengguna Hybrid worker dari komputer. Pastikan untuk memeriksa dan mendaftarkannya kembali setelahnya. Tidak ada tindakan yang diperlukan jika komputer hanya memiliki pekerja System Hybrid Runbook.
Untuk memvalidasi, periksa id peristiwa 15003 (peristiwa mulai HW) ATAU 15004 (peristiwa berhenti hw) ADA di log peristiwa Microsoft-SMA/Operasional.
Ajukan tiket dukungan jika masalah belum diperbaiki.
Ruang kerja tertaut mesin virtual
Lihat Persyaratan jaringan.
Untuk memvalidasi: Periksa ruang kerja yang terhubung dengan VM atau tabel Heartbeat dari analitik log terkait.
Heartbeat | where Computer =~ ""
Status layanan pembaruan Windows
Untuk memperbaiki masalah ini, mulai layanan wuaserv .
Start-Service -Name wuauserv -ErrorAction SilentlyContinue
Pemeriksaan konektivitas
Pemecah masalah saat ini tidak merutekan lalu lintas melalui proksi server jika sudah dikonfigurasi.
Titik akhir pendaftaran
Pemeriksaan ini menentukan apakah agen dapat berkomunikasi dengan baik dengan layanan agen.
Konfigurasi proksi dan firewall harus mengizinkan agen Hybrid Runbook Worker untuk berkomunikasi dengan titik akhir pendaftaran. Untuk daftar alamat dan port yang akan dibuka, lihat Perencanaan jaringan.
Izinkan URL prasyarat. Setelah jaringan berubah, Anda dapat menjalankan ulang Pemecah Masalah atau menjalankan perintah di bawah ini untuk memvalidasi:
$workspaceId =- ""
$endpoint = $workspaceId + “.agentsvc.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Titik akhir operasi
Pemeriksaan ini menentukan apakah agen Analitik Log dapat berkomunikasi dengan baik dengan Job Runtime Data Service.
Konfigurasi proksi dan firewall harus mengizinkan agen Hybrid Runbook Worker untuk berkomunikasi dengan Job Runtime Data Service. Untuk daftar alamat dan port yang akan dibuka, lihat Perencanaan jaringan.
Izinkan URL prasyarat. Setelah jaringan berubah, Anda dapat menjalankan ulang Pemecah Masalah atau menjalankan perintah di bawah ini untuk memvalidasi:
$jrdsEndpointLocationMoniker = “”
# $jrdsEndpointLocationMoniker should be based on automation account location (jpe/ase/scus) etc.
$endpoint = $jrdsEndpointLocationMoniker + “-jobruntimedata-prod-su1.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Sambungan https
Menyederhanakan manajemen aturan keamanan jaringan Anda yang sedang berlangsung. Izinkan URL prasyarat.
Setelah jaringan berubah, Anda dapat menjalankan ulang Pemecah Masalah atau menjalankan perintah di bawah ini untuk memvalidasi:
$uri = "https://eus2-jobruntimedata-prod-su1.azure-automation.net"
Invoke-WebRequest -URI $uri -UseBasicParsing
Pengaturan proksi
Jika proksi diaktifkan, pastikan Anda memiliki akses ke URL prasyarat
Untuk memeriksa apakah proksi diatur dengan benar, gunakan perintah di bawah ini:
netsh winhttp show proxy
atau periksa kunci registri ProxyEnable diatur ke 1 in
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Konektivitas titik akhir IMDS
Untuk memperbaiki masalah ini, izinkan akses ke IP 169.254.169.254
Untuk informasi selengkapnya lihat, mengakses layanan metadata instans Azure
Setelah jaringan berubah, Anda dapat menjalankan ulang Pemecah Masalah atau menjalankan perintah di bawah ini untuk memvalidasi:
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.254/metadata/instance?api-version=2018-02-01
Pemeriksaan kesehatan layanan komputer virtual
Memantau status layanan agen
Pemeriksaan ini menentukan apakah agen Analitik Log untuk Windows (healthservice) berjalan di komputer. Untuk mempelajari selengkapnya tentang pemecahan masalah layanan, lihat Agen Analitik Log untuk Windows tidak berjalan.
Untuk menginstal ulang agen Analitik Log untuk Windows, lihat Menginstal agen untuk Windows.
Memantau kejadian layanan agen
Pemeriksaan ini menentukan apakah kejadian 4502 muncul di log Azure Operations Manager di komputer dalam 24 jam terakhir.
Untuk mempelajari selengkapnya tentang kejadian ini, lihat Kejadian 4502 di log Operations Manager untuk kejadian ini.
Pemeriksaan izin akses
Folder kunci mesin
Pemeriksaan ini menentukan apakah akun sistem lokal memiliki akses ke: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Untuk memperbaikinya, berikan akun SISTEM izin yang diperlukan (Baca, Tulis & Ubah atau Kontrol Penuh) pada folder C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Gunakan perintah di bawah ini untuk memeriksa izin pada folder:
$folder = “C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys”
(Get-Acl $folder).Access |? {($_.IdentityReference -match $User) -or ($_.IdentityReference -match "Everyone")} | Select IdentityReference, FileSystemRights
Pengaturan Pembaruan Mesin
Otomatis reboot setelah pemasangan
Untuk memperbaikinya, hapus kunci registri dari: HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
Konfigurasikan boot ulang sesuai dengan konfigurasi jadwal Manajemen Pembaruan.
AlwaysAutoRebootAtScheduledTime
AlwaysAutoRebootAtScheduledTimeMinutes
Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan boot ulang
Konfigurasi server WSUS
Jika lingkungan diatur untuk mendapatkan pembaruan dari WSUS, pastikan lingkungan disetujui di WSUS sebelum penyebaran pembaruan. Untuk informasi selengkapnya, lihat Pengaturan konfigurasi WSUS. Jika lingkungan Anda tidak menggunakan WSUS, pastikan Anda menghapus pengaturan server WSUS dan mengatur ulang komponen pembaruan Windows.
Otomatis mengunduh and pemasangan
Untuk memperbaiki masalah ini, nonaktifkan fitur AutoUpdate . Atur ke Dinonaktifkan dalam kebijakan grup lokal Konfigurasikan Pembaruan Otomatis. Untuk informasi selengkapnya, lihat Mengonfigurasi pembaruan otomatis.
Memecahkan masalah secara offline
Anda dapat menggunakan pemecah masalah secara offline di Hybrid Runbook Worker dengan menjalankan skrip secara lokal. Dapatkan skrip berikut dari GitHub: UM_Windows_Troubleshooter_Offline.ps1. Untuk menjalankan skrip, Anda harus menginstal WMF 5.0 atau yang lebih baru. Untuk mengunduh versi terbaru PowerShell, lihat Menginstal berbagai versi PowerShell.
Output dari skrip ini akan terlihat seperti contoh berikut:
RuleId : OperatingSystemCheck
RuleGroupId : prerequisites
RuleName : Operating System
RuleGroupName : Prerequisite Checks
RuleDescription : The Windows Operating system must be version 6.1.7600 (Windows Server 2008 R2) or higher
CheckResult : Passed
CheckResultMessage : Operating System version is supported
CheckResultMessageId : OperatingSystemCheck.Passed
CheckResultMessageArguments : {}
RuleId : DotNetFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : .NET Framework 4.6.2+
RuleGroupName : Prerequisite Checks
RuleDescription : .NET Framework version 4.6.2 or higher is required
CheckResult : Passed
CheckResultMessage : .NET Framework version 4.6.2+ is found
CheckResultMessageId : DotNetFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {}
RuleId : WindowsManagementFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : WMF 5.1
RuleGroupName : Prerequisite Checks
RuleDescription : Windows Management Framework version 4.0 or higher is required (version 5.1 or higher is preferable)
CheckResult : Passed
CheckResultMessage : Detected Windows Management Framework version: 5.1.22621.169
CheckResultMessageId : WindowsManagementFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {5.1.22621.169}
RuleId : AutomationAgentServiceConnectivityCheck1
RuleGroupId : connectivity
RuleName : Registration endpoint
RuleGroupName : connectivity
RuleDescription :
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : AutomationAgentServiceConnectivityCheck1.Failed.NoRegistrationFound
CheckResultMessageArguments :
RuleId : AutomationJobRuntimeDataServiceConnectivityCheck
RuleGroupId : connectivity
RuleName : Operations endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow Automation Hybrid Worker agent to communicate with
eus2-jobruntimedata-prod-su1.azure-automation.net
CheckResult : Passed
CheckResultMessage : TCP Test for eus2-jobruntimedata-prod-su1.azure-automation.net (port 443) succeeded
CheckResultMessageId : AutomationJobRuntimeDataServiceConnectivityCheck.Passed
CheckResultMessageArguments : {eus2-jobruntimedata-prod-su1.azure-automation.net}
RuleId : MonitoringAgentServiceRunningCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service status
RuleGroupName : VM Service Health Checks
RuleDescription : HealthService must be running on the machine
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service (HealthService) is running
CheckResultMessageId : MonitoringAgentServiceRunningCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, HealthService}
RuleId : SystemHybridRunbookWorkerRunningCheck
RuleGroupId : servicehealth
RuleName : Hybrid runbook worker status
RuleGroupName : VM Service Health Checks
RuleDescription : Hybrid runbook worker must be in running state.
CheckResult : Passed
CheckResultMessage : Hybrid runbook worker is running.
CheckResultMessageId : SystemHybridRunbookWorkerRunningCheck.Passed
CheckResultMessageArguments : {}
RuleId : MonitoringAgentServiceEventsCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service events
RuleGroupName : VM Service Health Checks
RuleDescription : Event Log must not have event 4502 logged in the past 24 hours
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service Event Log (Operations Manager) does not have event 4502 logged in the last 24 hours.
CheckResultMessageId : MonitoringAgentServiceEventsCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, Operations Manager, 4502}
RuleId : LinkedWorkspaceCheck
RuleGroupId : servicehealth
RuleName : VM's Linked Workspace
RuleGroupName : VM Service Health Checks
RuleDescription : Get linked workspace info of the VM
CheckResult : Failed
CheckResultMessage : VM is not reporting to any workspace.
CheckResultMessageId : LinkedWorkspaceCheck.Failed.NoWorkspace
CheckResultMessageArguments : {}
RuleId : CryptoRsaMachineKeysFolderAccessCheck
RuleGroupId : permissions
RuleName : Crypto RSA MachineKeys Folder Access
RuleGroupName : Access Permission Checks
RuleDescription : SYSTEM account must have WRITE and MODIFY access to 'C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys'
CheckResult : Passed
CheckResultMessage : Have permissions to access C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys
CheckResultMessageId : CryptoRsaMachineKeysFolderAccessCheck.Passed
CheckResultMessageArguments : {C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys}
RuleId : TlsVersionCheck
RuleGroupId : prerequisites
RuleName : TLS 1.2
RuleGroupName : Prerequisite Checks
RuleDescription : Client and Server connections must support TLS 1.2
CheckResult : Passed
CheckResultMessage : TLS 1.2 is enabled by default on the Operating System.
CheckResultMessageId : TlsVersionCheck.Passed.EnabledByDefault
CheckResultMessageArguments : {}
RuleId : AlwaysAutoRebootCheck
RuleGroupId : machineSettings
RuleName : AutoReboot
RuleGroupName : Machine Override Checks
RuleDescription : Automatic reboot should not be enable as it forces a reboot irrespective of update configuration
CheckResult : Passed
CheckResultMessage : Windows Update reboot registry keys are not set to automatically reboot
CheckResultMessageId : AlwaysAutoRebootCheck.Passed
CheckResultMessageArguments :
RuleId : WSUSServerConfigured
RuleGroupId : machineSettings
RuleName : isWSUSServerConfigured
RuleGroupName : Machine Override Checks
RuleDescription : Increase awareness on WSUS configured on the server
CheckResult : Passed
CheckResultMessage : Windows Updates are downloading from the default Windows Update location. Ensure the server has access to the Windows Update service
CheckResultMessageId : WSUSServerConfigured.Passed
CheckResultMessageArguments :
RuleId : AutomaticUpdateCheck
RuleGroupId : machineSettings
RuleName : AutoUpdate
RuleGroupName : Machine Override Checks
RuleDescription : AutoUpdate should not be enabled on the machine
CheckResult : Passed
CheckResultMessage : Windows Update is not set to automatically install updates as they become available
CheckResultMessageId : AutomaticUpdateCheck.Passed
CheckResultMessageArguments :
RuleId : HttpsConnection
RuleGroupId : connectivity
RuleName : Https connection
RuleGroupName : connectivity
RuleDescription : Check if VM is able to make https requests.
CheckResult : Passed
CheckResultMessage : VM is able to make https requests.
CheckResultMessageId : HttpsConnection.Passed
CheckResultMessageArguments : {}
RuleId : ProxySettings
RuleGroupId : connectivity
RuleName : Proxy settings
RuleGroupName : connectivity
RuleDescription : Check if Proxy is enabled on the VM.
CheckResult : Passed
CheckResultMessage : Proxy is not set.
CheckResultMessageId : ProxySettings.Passed
CheckResultMessageArguments : {}
RuleId : IMDSConnectivity
RuleGroupId : connectivity
RuleName : IMDS endpoint connectivity
RuleGroupName : connectivity
RuleDescription : Check if VM is able to reach IMDS server to get VM information.
CheckResult : PassedWithWarning
CheckResultMessage : VM is not able to reach IMDS server. Consider this as a Failure if this is an Azure VM.
CheckResultMessageId : IMDSConnectivity.PassedWithWarning
CheckResultMessageArguments : {}
RuleId : WUServiceRunningCheck
RuleGroupId : servicehealth
RuleName : WU service status
RuleGroupName : WU Service Health Check
RuleDescription : WU must not be in the disabled state.
CheckResult : Passed
CheckResultMessage : Windows Update service (wuauserv) is running.
CheckResultMessageId : WUServiceRunningCheck.Passed
CheckResultMessageArguments : {Windows Update, wuauserv}
RuleId : LAOdsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA ODS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA ODS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOdsEndpointConnectivity.Failed
CheckResultMessageArguments :
RuleId : LAOmsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA OMS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA OMS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOmsEndpointConnectivity.Failed
CheckResultMessageArguments :