Resolver problemas da Gestão de Atualizações

Este artigo discute questões que poderá encontrar ao utilizar a funcionalidade De Gestão de Atualização para avaliar e gerir atualizações nas suas máquinas. Há um agente que resolvia problemas para o agente híbrido runbook para ajudar a determinar o problema subjacente. Para saber mais sobre o resolução de problemas, consulte problemas de resolução de problemas Windows problemas de agente de atualização e problemas de agente de atualização do Linux. Para outros problemas de implementação de funcionalidades, consulte problemas de implementação da funcionalidade De resolução de problemas.

Nota

Se tiver problemas ao implementar a Gestão de Atualização numa máquina de Windows, abra o Windows Event Viewer e verifique o registo de eventos do Gestor de Operações sob registos de aplicações e serviços na máquina local. Procure eventos com iD 4502 de eventos e detalhes do evento que Microsoft.EnterpriseManagement.HealthService.AzureAutomation.HybridAgent contenham.

Cenário: Windows Defender atualização mostram sempre como desaparecidas

Problema

A atualização de definição para Windows Defender (KB2267602) mostra sempre como desaparecida numa avaliação quando está instalada e mostra como atualizada quando verificada a partir do histórico de atualização Windows.

Causa

As atualizações de definição são publicadas várias vezes num só dia. Como resultado, pode ver vários lançamentos de KB2267602 publicados num único dia, mas com um ID e versão de atualização diferentes.

A avaliação da Gestão de Atualização é uma vez em 11 horas. Neste exemplo, às 10:00 uma avaliação decorreu e a versão 1.237.316.0 estava disponível na altura. Quando procura a tabela 'Actualização' no seu espaço de trabalho Log Analytics, a atualização definição 1.237.316.0 é mostrada com uma Atualização do Estado de Trabalho Necessário. Se uma implementação programada for executado algumas horas depois, digamos 1:00 PM e a versão 1.237.316.0 ainda está disponível ou uma versão mais recente é, a versão mais recente é instalada e isso reflete-se no registo escrito na tabela UpdateRunProgress. No entanto, na tabela Update, ainda mostraria a versão 1.237.316.0 conforme necessário até que a próxima avaliação seja executada. Quando a avaliação for novamente, pode não haver uma nova atualização de definição disponível, pelo que a tabela Update não mostraria a versão de atualização de definição 1.237.316.0 como em falta ou uma versão mais recente disponível conforme necessário. Devido à frequência de atualizações de definição, pode haver várias versões devolvidas na pesquisa de registo.

Resolução

Executar a seguinte consulta de registo para confirmar que as atualizações de definição instaladas estão a ser devidamente reportadas. Esta consulta devolve o tempo gerado, versão e ID de atualização de KB2267602 na tabela Atualizações. Substitua o valor por Computador pelo nome totalmente qualificado da máquina.

Update
| where TimeGenerated > ago(14h) and OSType != "Linux" and (Optional == false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((
    Heartbeat
    | where TimeGenerated > ago(12h) and OSType =~ "Windows" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, *) by Computer, SourceComputerId, UpdateID
| where UpdateState =~ "Needed" and Approved != false and Computer == "<computerName>"
| render table

Os resultados da sua consulta devem devolver algo semelhante ao seguinte:

Exemplo mostrando resultados da consulta de registo da tabela Updates.

Execute a seguinte consulta de registo para obter o tempo gerado, versão e ID de atualização de KB2267602 na tabela UpdatesRunProgress. Esta consulta ajuda-nos a perceber se foi instalada a partir da Update Management ou se foi instalada automaticamente na máquina a partir do Microsoft Update. É necessário substituir o valor da CorrelationId pelo trabalho de runbook GUID (isto é, o valor da propriedade MasterJOBID do trabalho de runbook Patch-MicrosoftOMSComputer) para a atualização, e SourceComputerId com o GUID da máquina.

UpdateRunProgress
| where OSType!="Linux" and CorrelationId=="<master job id>" and SourceComputerId=="<source computer id>"
| summarize arg_max(TimeGenerated, Title, InstallationStatus) by UpdateId
| project TimeGenerated, id=UpdateId, displayName=Title, InstallationStatus

Os resultados da sua consulta devem devolver algo semelhante ao seguinte:

Exemplo mostrando resultados da consulta de registo da tabela UpdatesRunProgress.

Se o valor timeGenerated para a consulta de registos resulta da tabela Atualizações for mais cedo do que o relógio de tempo (isto é, valor da TimeGenerated) da instalação de atualização na máquina ou a partir dos resultados da consulta de registo saindo da tabela UpdateRunProgress, então aguarde a próxima avaliação. Em seguida, volte a executar a consulta de registo contra a tabela 'Actualizações'. Ou uma atualização para OB2267602 não aparece ou aparece com uma versão mais recente. No entanto, mesmo depois da avaliação mais recente se a mesma versão aparecer como necessária na tabela 'Actualizações', mas já está instalada, deverá abrir um incidente de suporte do Azure.

Cenário: As atualizações do Linux apresentadas como pendentes e as instaladas variam

Problema

Para a sua máquina Linux, a Update Management mostra atualizações específicas disponíveis em segurança de classificação e outras. Mas quando um calendário de atualização é executado na máquina, por exemplo para instalar apenas atualizações correspondentes à classificação de Segurança, as atualizações instaladas são diferentes ou um subconjunto das atualizações mostradas anteriormente correspondentes a essa classificação.

Causa

Quando uma avaliação das atualizações do SO pendentes para a sua máquina Linux é feita, os ficheiros Open Vulnerability and Assessment Language (OVAL) fornecidos pelo fornecedor de distro Linux são utilizados pela Update Management para classificação. A categorização é feita para atualizações do Linux como Segurança ou Outras, com base nos ficheiros OVAis que declaram atualizações que abordam problemas de segurança ou vulnerabilidades. Mas quando o calendário de atualização é executado, executa na máquina Linux usando o gestor de pacotes apropriado como YUM, APT ou ZYPPER para instalá-los. O gestor de pacotes para o distro Linux pode ter um mecanismo diferente para classificar as atualizações, onde os resultados podem diferir dos obtidos a partir dos ficheiros OVAL pela Update Management.

Resolução

Pode verificar manualmente a máquina Linux, as atualizações aplicáveis e a sua classificação pelo gestor de pacotes do distro. Para entender quais as atualizações que são classificadas como Segurança pelo seu gestor de pacotes, execute os seguintes comandos.

Para a YUM, o seguinte comando devolve uma lista não zero de atualizações categorizadas como Security by Red Hat. Note que no caso do CentOS, devolve sempre uma lista vazia e não ocorre nenhuma classificação de segurança.

sudo yum -q --security check-update

Para a ZYPPER, o seguinte comando devolve uma lista não-zero de atualizações categorizadas como Security by SUSE.

sudo LANG=en_US.UTF8 zypper --non-interactive patch --category security --dry-run

Para a APT, o seguinte comando retorna uma lista não zero de atualizações categorizadas como Security by Canonical for Ubuntu Linux distros.

sudo grep security /etc/apt/sources.list > /tmp/oms-update-security.list LANG=en_US.UTF8 sudo apt-get -s dist-upgrade -oDir::Etc::Sourcelist=/tmp/oms-update-security.list

A partir desta lista, você então executar o comando grep ^Inst para obter todas as atualizações de segurança pendentes.

Cenário: Recebe o erro "Falhou em ativar a solução 'Atualização'

Problema

Quando tenta ativar a Gestão de Atualização na sua conta de Automação, obtém o seguinte erro:

Error details: Failed to enable the Update solution

Causa

Este erro pode ocorrer pelas seguintes razões:

  • Os requisitos de firewall de rede para o agente Log Analytics podem não estar configurados corretamente. Esta situação pode fazer com que o agente falhe na resolução dos URLs DNS.

  • O alvo de Atualização de Gestão está mal configurado e a máquina não está a receber atualizações como esperado.

  • Pode também notar que a máquina apresenta um estado de Non-compliant conformidade. Ao mesmo tempo, Agent Desktop Analytics relata o agente como Disconnected .

Resolução

Cenário: Atualização supersedada indicada como desaparecida na Gestão de Atualização

Problema

As atualizações antigas estão a aparecer para uma conta de Automação como desaparecida, apesar de terem sido substituídos. Uma atualização supereduada é uma que não precisa de instalar porque uma atualização posterior que corrige a mesma vulnerabilidade está disponível. A Atualização A Gestão ignora a atualização superediou e torna-a aplicável a favor da atualização de substituição. Para obter informações sobre um problema relacionado, consulte Update is supersed .

Causa

As atualizações superseded não são recusadas em Windows Server Update Services (WSUS) para que possam ser consideradas não aplicáveis.

Resolução

Quando uma atualização supereduada se tornar 100% não aplicável, deverá alterar o estado de aprovação dessa atualização para Declined a WSUS. Para alterar o estado de aprovação de todas as suas atualizações:

  1. Na conta Automation, selecione Update Management para visualizar o estado da máquina. Consulte avaliações de atualização de ver.

  2. Verifique a atualização superedificada para se certificar de que não é 100% aplicável.

  3. No servidor WSUS as máquinas reportam a recusar a atualização.

  4. Selecione Computadores e, na coluna Compliance, force um rescan para o cumprimento. Ver Gerir atualizações para VMs.

  5. Repita os passos acima para outras atualizações superadas.

  6. Para Windows Server Update Services (WSUS), limpe todas as atualizações supersed para refrescar a infraestrutura utilizando o Assistente de limpeza do ServidorWSUS .

  7. Repita este procedimento regularmente para corrigir o problema do visor e minimizar a quantidade de espaço em disco utilizado para a gestão da atualização.

Cenário: Máquinas não aparecem no portal sob Gestão de Atualização

Problema

As suas máquinas têm os seguintes sintomas:

  • A sua máquina mostra Not configured a partir da vista de Gestão de Atualização de um VM.

  • Faltam as suas máquinas na visão de Gestão de Atualização da sua conta Azure Automation.

  • Tem máquinas que mostram como Not assessed conformidade. No entanto, você vê dados de batimentos cardíacos em registos do Azure Monitor para o Trabalhador de Runbook Híbrido, mas não para a Gestão de Atualização.

Causa

Este problema pode ser causado por problemas de configuração locais ou por configuração de âmbito configurada indevidamente. Possíveis causas específicas são:

  • Poderá ter de voltar a registar-se e reinstalar o Trabalhador De Runbook Híbrido.

  • Pode ter definido uma quota no seu espaço de trabalho que foi alcançada e isso está a impedir o armazenamento de mais dados.

Resolução

  1. Executar o resolução de problemas para Windows ou Linux,dependendo do SISTEMA.

  2. Certifique-se de que a sua máquina está a reportar para o espaço de trabalho correto. Para obter orientações sobre como verificar este aspeto, consulte verificar a conectividade do agente com o Azure Monitor. Certifique-se também de que este espaço de trabalho está ligado à sua conta Azure Automation. Para confirmar, vá à sua conta de Automação e selecione espaço de trabalho linked under Related Resources.

  3. Certifique-se de que as máquinas aparecem no espaço de trabalho Do Log Analytics ligado à sua conta Automation. Executar a seguinte consulta no espaço de trabalho Log Analytics.

    Heartbeat
    | summarize by Computer, Solutions
    

    Se não vir a sua máquina nos resultados da consulta, não fez o check-in recentemente. Há provavelmente um problema de configuração local e deve reinstalar o agente.

    Se a sua máquina estiver listada nos resultados da consulta, verifique na propriedade Solutions que as atualizações estão listadas. Isto verifica que está registado na Gestão de Atualização. Se não for, verifique se existem problemas de configuração de âmbito. A configuração de âmbito determina quais as máquinas configuradas para a Gestão de Atualização. Para configurar a configuração de âmbito para o alvo da máquina, consulte Ativar as máquinas no espaço de trabalho.

  4. No seu espaço de trabalho, faça esta consulta.

    Operation
    | where OperationCategory == 'Data Collection Status'
    | sort by TimeGenerated desc
    

    Se obtém um Data collection stopped due to daily limit of free data reached. Ingestion status = OverQuota resultado, a quota definida no seu espaço de trabalho foi alcançada, o que impediu que os dados fossem guardados. No seu espaço de trabalho, vá à gestão do volume de dados ao abrigo do Uso e custos estimados, e altere ou remova a quota.

  5. Se o seu problema ainda não estiver resolvido, siga os passos na Deploy a Windows Hybrid Runbook Worker para reinstalar o Trabalhador Híbrido para Windows. Para o Linux, siga os passos em Implementar um Trabalhador de Runbook Híbrido Linux.

Cenário: Não conseguir registar fornecedor de recursos automation para subscrições

Problema

Quando trabalha com implementações de funcionalidades na sua conta Demôm automação, ocorre o seguinte erro:

Error details: Unable to register Automation Resource Provider for subscriptions

Causa

O fornecedor de recursos Automation não está registado na subscrição.

Resolução

Para registar o fornecedor de recursos Automation, siga estes passos no portal Azure.

  1. Na lista de serviços Azure na parte inferior do portal, selecione Todos os serviços e, em seguida, selecione Subscrições no grupo de serviços Geral.

  2. Selecione a sua subscrição.

  3. Em Definições, selecione Fornecedores de Recursos.

  4. A partir da lista de fornecedores de recursos, verifique se o fornecedor de recursos Microsoft.Automation está registado.

  5. Se não estiver listado, registe o fornecedor Microsoft.Automation seguindo os passos na Resolve erros para o registo do fornecedor de recursos.

Cenário: Atualização programada não remendou algumas máquinas

Problema

As máquinas incluídas numa pré-visualização de atualização não aparecem todas na lista de máquinas corrigidas durante uma execução programada, ou VMs para âmbitos selecionados de um grupo dinâmico não estão a aparecer na lista de pré-visualização da atualização no portal.

A lista de pré-visualização da atualização consiste em todas as máquinas recuperadas por uma consulta de Graph de recursos Azure para os âmbitos selecionados. Os âmbitos são filtrados para máquinas que tenham um sistema Híbrido Runbook Worker instalado e para o qual você tem permissões de acesso.

Causa

Esta questão pode ter uma das seguintes causas:

  • As subscrições definidas no âmbito de uma consulta dinâmica não estão configuradas para o fornecedor de recursos de Automação registado.

  • As máquinas não estavam disponíveis ou não tinham etiquetas apropriadas quando o horário foi executado.

  • Não tem o acesso correto nos âmbitos selecionados.

  • A consulta de Graph de recursos Azure não recupera as máquinas esperadas.

  • O sistema Hybrid Runbook Worker não está instalado nas máquinas.

Resolução

Assinaturas não configuradas para fornecedor de recursos de Automação registado

Se a sua subscrição não estiver configurada para o fornecedor de recursos Automation, não pode consultar ou obter informações sobre máquinas nessa subscrição. Utilize as seguintes etapas para verificar o registo da subscrição.

  1. No portal Azure,aceda à lista de serviços Azure.

  2. Selecione Todos os serviços e, em seguida, selecione Subscrições no grupo de serviço Geral.

  3. Encontre a subscrição definida no âmbito da sua implementação.

  4. Em Definições, escolha Fornecedores de Recursos.

  5. Verifique se o fornecedor de recursos Microsoft.Automation está registado.

  6. Se não estiver listado, registe o fornecedor Microsoft.Automation seguindo os passos na Resolve erros para o registo do fornecedor de recursos.

Máquinas não disponíveis ou não marcadas corretamente quando o horário executado

Utilize o seguinte procedimento se a sua subscrição estiver configurada para o fornecedor de recursos Automation, mas executar o crono de atualização com os grupos dinâmicos especificados perdeu algumas máquinas.

  1. No portal Azure, abra a conta Automation e selecione Gestão de Atualização.

  2. Verifique o histórico de Gestão de Atualização para determinar a hora exata em que a implementação da atualização foi executada.

  3. Para máquinas que suspeite ter sido perdidas pela Update Management, utilize o Azure Resource Graph (ARG) para localizar as alterações da máquina.

  4. Procure alterações durante um período considerável, como um dia, antes da implementação da atualização ser executada.

  5. Verifique os resultados da pesquisa de quaisquer alterações sistémicas, tais como a exclusão ou a atualização de alterações, às máquinas neste período. Estas alterações podem alterar o estado da máquina ou as etiquetas de modo a que as máquinas não sejam selecionadas na lista de máquinas quando as atualizações forem implementadas.

  6. Ajuste as configurações das máquinas e dos recursos conforme necessário para corrigir o estado da máquina ou problemas de identificação.

  7. Repercuta o calendário de atualização para garantir que a implementação com os grupos dinâmicos especificados inclui todas as máquinas.

Acesso incorreto em âmbitos selecionados

O portal Azure apenas exibe máquinas para as quais tenha acesso de escrita num determinado âmbito. Se não tiver o acesso correto para um âmbito, consulte Tutorial: Conceder a um utilizador acesso aos recursos do Azure utilizando o portal Azure.

Consulta de Graph de recursos não devolve máquinas esperadas

Siga os passos abaixo para saber se as suas consultas estão a funcionar corretamente.

  1. Executar uma consulta de Graph de recursos Azure formatada como mostrado abaixo na lâmina exploradora de recursos Graph no portal Azure. Se é novo no Azure Resource Graph, consulte este quickstart para aprender a trabalhar com o Explorador de recursos Graph. Esta consulta imita os filtros selecionados quando criou o grupo dinâmico em Gestão de Atualização. Consulte grupos dinâmicos de utilização com Gestão de Atualização.

    where (subscriptionId in~ ("<subscriptionId1>", "<subscriptionId2>") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "<Windows/Linux>" and resourceGroup in~ ("<resourceGroupName1>","<resourceGroupName2>") and location in~ ("<location1>","<location2>") )
    | project id, location, name, tags = todynamic(tolower(tostring(tags)))
    | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" and tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "All" option selected for tags
    | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" or tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "Any" option selected for tags
    | project id, location, name, tags
    

    Segue-se um exemplo:

    where (subscriptionId in~ ("20780d0a-b422-4213-979b-6c919c91ace1", "af52d412-a347-4bc6-8cb7-4780fbb00490") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "Windows" and resourceGroup in~ ("testRG","withinvnet-2020-01-06-10-global-resources-southindia") and location in~ ("australiacentral","australiacentral2","brazilsouth") )
    | project id, location, name, tags = todynamic(tolower(tostring(tags)))
    | where  (tags[tolower("ms-resource-usage")] =~ "azure-cloud-shell" and tags[tolower("temp")] =~ "temp")
    | project id, location, name, tags
    
  2. Verifique se as máquinas que procura estão listadas nos resultados da consulta.

  3. Se as máquinas não estiverem listadas, há provavelmente um problema com o filtro selecionado no grupo dinâmico. Ajuste a configuração do grupo conforme necessário.

Trabalhador de runbook híbrido não instalado em máquinas

As máquinas aparecem no Azure Resource Graph resultados de consulta, mas ainda não aparecem na pré-visualização dinâmica do grupo. Neste caso, as máquinas podem não ser designadas como trabalhadores do sistema Hybrid Runbook e, portanto, não podem executar trabalhos de Automação e Gestão de Atualização da Azure. Para garantir que as máquinas que espera ver são configuras como trabalhadores híbridos do runbook do sistema:

  1. No portal Azure, aceda à conta de Automação por uma máquina que não está a aparecer corretamente.

  2. Selecione grupos de trabalhadores híbridos em Automação de Processos.

  3. Selecione o separador grupos de trabalhadores híbridos system.

  4. Valide que o trabalhador híbrido está presente para esta máquina.

  5. Se a máquina não for configurada como um trabalhador de runbook híbrido do sistema, reveja os métodos para permitir a utilização de um dos seguintes métodos:

    • Da sua conta de Automação para uma ou mais máquinas Azure e não-Azure, incluindo servidores ativados pelo Arc.

    • Utilizando o manual enable-AutomationSolution para automatizar os VMs Azure de bordo.

    • Para um Azure VM selecionado a partir da página de máquinas Virtuais no portal Azure. Este cenário está disponível para Os VMs do Linux e Windows.

    • Para vários VMs Azure selecionando-os a partir da página de máquinas Virtuais no portal Azure.

    O método para ativar baseia-se no ambiente em que a máquina está a funcionar.

  6. Repita os passos acima para todas as máquinas que não tenham sido exibidas na pré-visualização.

Cenário: Componentes de Gestão de Atualização ativados, enquanto o VM continua a mostrar como sendo configurado

Problema

Continua a ver a seguinte mensagem num VM 15 minutos após o início da implantação:

The components for the 'Update Management' solution have been enabled, and now this virtual machine is being configured. Please be patient, as this can sometimes take up to 15 minutes.

Causa

Este erro pode ocorrer pelas seguintes razões:

  • A comunicação com a conta Automation está a ser bloqueada.

  • Há um nome de computador duplicado com diferentes identificações de computador de origem. Este cenário ocorre quando um VM com um nome de computador específico é criado em diferentes grupos de recursos e está reportando para o mesmo espaço de trabalho do Agente Logístico na subscrição.

  • A imagem VM que está a ser implantada pode vir de uma máquina clonada que não foi preparada com a Preparação do Sistema (sysprep) com o agente Log Analytics para Windows instalada.

Resolução

Para ajudar a determinar o problema exato com o VM, execute a seguinte consulta no espaço de trabalho Log Analytics que está ligado à sua conta Automation.

Update
| where Computer contains "fillInMachineName"
| project TimeGenerated, Computer, SourceComputerId, Title, UpdateState 

Comunicação com a conta Automation bloqueada

Vá à Rede planejando saber quais endereços e portas devem ser autorizados para a Gestão de Atualização funcionar.

Nome de computador duplicado

Mude o nome dos seus VMs para garantir nomes únicos no seu ambiente.

Imagem implantada a partir de máquina clonada

Se estiver a usar uma imagem clonada, diferentes nomes de computador têm a mesma identificação de computador de origem. Neste caso:

  1. No seu espaço de trabalho Log Analytics, remova o VM da procura guardada para a MicrosoftDefaultScopeConfig-Updates configuração do âmbito se for mostrado. As pesquisas guardadas podem ser encontradas no âmbito do General no seu espaço de trabalho.

  2. Executar o seguinte cmdlet.

    Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
    
  3. Corra Restart-Service HealthService para reiniciar o serviço de saúde. Esta operação recria a chave e gera um novo UUID.

  4. Se esta abordagem não funcionar, faça sysprep na imagem primeiro e, em seguida, instale o agente Log Analytics para Windows.

Cenário: Recebe um erro de subscrição ligado quando cria uma implementação de atualização para máquinas em outro inquilino do Azure

Problema

Encontra o seguinte erro quando tenta criar uma atualização para máquinas em outro inquilino Azure:

The client has permission to perform action 'Microsoft.Compute/virtualMachines/write' on scope '/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroupName/providers/Microsoft.Automation/automationAccounts/automationAccountName/softwareUpdateConfigurations/updateDeploymentName', however the current tenant '00000000-0000-0000-0000-000000000000' is not authorized to access linked subscription '00000000-0000-0000-0000-000000000000'.

Causa

Este erro ocorre quando cria uma implementação de atualização que tem VMs Azure em outro inquilino que está incluído numa implementação de atualização.

Resolução

Utilize a seguinte solução para agendar estes itens. Pode utilizar o cmdlet New-AzAutomationSchedule com o ForUpdateConfiguration parâmetro para criar um horário. Em seguida, use o Cmdlet New-AzAutomationSoftwareConfiguration e passe as máquinas do outro inquilino para o NonAzureComputer parâmetro. O exemplo a seguir mostra como fazê-lo:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$s = New-AzAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName $aa -Schedule $s -Windows -AzureVMResourceId $azureVMIdsW -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Cenário: Reboots inexplicáveis

Problema

Apesar de ter definido a opção 'Controlo de Reinicialização' para Never Reboot, as máquinas ainda estão a ser reiniciadas após a instalação de atualizações.

Causa

Windows A atualização pode ser modificada por várias teclas de registo, qualquer uma das quais pode modificar o comportamento do reboot.

Resolução

Reveja as chaves de registo listadas em Atualizações Automáticas configuradas, editando as chaves de registo e registo utilizadas para gerir o reinício para se certificar de que as suas máquinas estão configuradas corretamente.

Cenário: Máquina mostra "Falhado no arranque" numa implementação de atualização

Problema

Uma máquina mostra um Failed to start ou Failed estado. Ao ver os detalhes específicos da máquina, vê o seguinte erro:

For one or more machines in schedule, UM job run resulted in either Failed or Failed to start state. Guide available at https://aka.ms/UMSucrFailed.

Causa

Este erro pode ocorrer por um dos seguintes motivos:

  • A máquina já não existe.
  • A máquina está desligada e inacessível.
  • A máquina tem um problema de conectividade de rede e, portanto, o trabalhador híbrido na máquina é inacessível.
  • Houve uma atualização para o agente Log Analytics que alterou a identificação do computador de origem.
  • A sua atualização foi acelerada se atingir o limite de 200 postos de trabalho simultâneos numa conta de Automação. Cada implantação é considerada um trabalho, e cada máquina numa atualização conta como um trabalho. Qualquer outra tarefa de automatização ou atualização de implementação atualmente em execução na sua conta de Automação conta para o limite de trabalho simultâneo.

Resolução

Pode obter mais detalhes programáticamente utilizando a API REST. Consulte a máquina de configuração de atualização de software funciona para obter informações sobre a recuperação de uma lista de máquinas de configuração de atualização de atualização ou uma única máquina de configuração de atualização de software executada por ID.

Quando aplicável, utilize grupos dinâmicos para as suas implementações de atualização. Além disso, pode dar os seguintes passos.

  1. Verifique se a sua máquina ou servidor satisfaz os requisitos.
  2. Verifique a conectividade com o Trabalhador de Runbook Híbrido utilizando o agente híbrido Runbook Worker. Para saber mais sobre o resolução de problemas, consulte os problemas do agente de atualização troubleshoot.

Cenário: As atualizações são instaladas sem implantação

Problema

Quando se inscreve uma máquina Windows na Gestão de Atualização, vê atualizações instaladas sem implantação.

Causa

No Windows, as atualizações são instaladas automaticamente assim que estão disponíveis. Este comportamento pode causar confusão se não tiver agendado uma atualização para a máquina.

Resolução

A HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU chave de registo não tem padrão para uma definição de 4: auto download and install .

Para os clientes de Gestão de Atualização, recomendamos definir esta chave para 3: auto download but do not auto install .

Para obter mais informações, consulte configurar atualizações automáticas.

Cenário: A máquina já está registada numa conta diferente

Problema

Recebe a seguinte mensagem de erro:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.InvalidOperationException: {"Message":"Machine is already registered to a different account."}

Causa

A máquina já foi implantada noutro espaço de trabalho para a Gestão de Atualização.

Resolução

  1. Siga os passos em máquinas não apareça no portal sob Gestão de Atualização para se certificar de que a máquina está a reportar para o espaço de trabalho correto.
  2. Limpe os artefactos na máquina eliminando o grupo híbrido runbooke tente novamente.

Cenário: A máquina não consegue comunicar com o serviço

Problema

Recebe uma das seguintes mensagens de erro:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a receive. ---> System.ComponentModel.Win32Exception: The client and server can't communicate, because they do not possess a common algorithm
Unable to Register Machine for Patch Management, Registration Failed with Exception Newtonsoft.Json.JsonReaderException: Error parsing positive infinity value.
The certificate presented by the service <wsid>.oms.opinsights.azure.com was not issued by a certificate authority used for Microsoft services. Contact your network administrator to see if they are running a proxy that intercepts TLS/SSL communication.
Access is denied. (Exception form HRESULT: 0x80070005(E_ACCESSDENIED))

Causa

Um representante, um portal ou uma firewall podem estar a bloquear a comunicação da rede.

Resolução

Reveja a sua rede e certifique-se de que são permitidas portas e endereços apropriados. Consulte os requisitos de rede para uma lista de portas e endereços que são exigidos pela Update Management e pelos Trabalhadores de Runbook Híbridos.

Cenário: Incapaz de criar certificado auto-assinado

Problema

Recebe uma das seguintes mensagens de erro:

Unable to Register Machine for Patch Management, Registration Failed with Exception AgentService.HybridRegistration. PowerShell.Certificates.CertificateCreationException: Failed to create a self-signed certificate. ---> System.UnauthorizedAccessException: Access is denied.

Causa

O Trabalhador de Runbook Híbrido não conseguiu gerar um certificado auto-assinado.

Resolução

Verifique se a conta do sistema leu o acesso à pasta C:\ProgramData\Microsoft\Crypto\RSA e tente novamente.

Cenário: A atualização programada falhou com um erro de ManutençãoWindowExceeded

Problema

A janela de manutenção predefinida para atualizações é de 120 minutos. Pode aumentar a janela de manutenção para um máximo de 6 horas, ou 360 minutos. Pode receber a mensagem de erro For one or more machines in schedule, UM job run resulted in Maintenance Window Exceeded state. Guide available at https://aka.ms/UMSucrMwExceeded.

Resolução

Para entender por que isto ocorreu durante uma atualização executada após o início com sucesso, verifique a saída de trabalho da máquina afetada durante a execução. Pode encontrar mensagens de erro específicas das suas máquinas que possa pesquisar e tomar medidas.

Pode obter mais detalhes programáticamente utilizando a API REST. Consulte a máquina de configuração de atualização de software funciona para obter informações sobre a recuperação de uma lista de máquinas de configuração de atualização de atualização ou uma única máquina de configuração de atualização de software executada por ID.

Edite quaisquer implementações de atualização programadas e aumente a janela de manutenção.

Para obter mais informações sobre janelas de manutenção, consulte as atualizações da Instalação.

Cenário: Máquina mostra como "Não avaliada" e mostra uma exceção hresult

Problema

  • Você tem máquinas que mostram como Not assessed under Compliance, e você vê uma mensagem de exceção abaixo deles.
  • Vê um código de erro HRESULT no portal.

Causa

O Agente de Atualização (Windows Agente de Atualização em Windows; o gestor de pacotes para uma distribuição Linux) não está configurado corretamente. A Atualização Conta com o Agente de Atualização da máquina para fornecer as atualizações necessárias, o estado do patch e os resultados dos patches implantados. Sem esta informação, a Update Management não pode reportar adequadamente os patches que são necessários ou instalados.

Resolução

Tente realizar atualizações localmente na máquina. Se esta operação falhar, normalmente significa que há um erro de configuração do agente de atualização.

Este problema é frequentemente causado por problemas de configuração de rede e firewall. Utilize as seguintes verificações para corrigir o problema.

Se vir um HRESULT, clique duas vezes na exceção exibida a vermelho para ver toda a mensagem de exceção. Reveja a tabela seguinte para potenciais resoluções ou ações recomendadas.

Exceção Resolução ou ação
Exception from HRESULT: 0x……C Procure o código de erro relevante na lista de códigos de erro de atualização Windows para encontrar detalhes adicionais sobre a causa da exceção.
0x8024402C
0x8024401C
0x8024402F
Estes indicam problemas de conectividade de rede. Certifique-se de que a sua máquina tem conectividade de rede para a Gestão de Atualização. Consulte a secção de planeamento da rede para obter uma lista de portas e endereços necessários.
0x8024001E A operação de atualização não foi concluída porque o serviço ou o sistema estavam a desligar-se.
0x8024002E Windows O serviço de atualização está desativado.
0x8024402C Se estiver a utilizar um servidor WSUS, certifique-se de que os valores de registo para WUServer e WUStatusServer sob a HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate tecla de registo especificam o servidor WSUS correto.
0x80072EE2 Há um problema de conectividade de rede ou um problema em falar com um servidor WSUS configurado. Verifique as definições da WSUS e certifique-se de que o serviço está acessível ao cliente.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) Certifique-se de que o serviço Windows Update (wuauserv) está em funcionamento e não está desativado.
0x80070005 Um erro negado de acesso pode ser causado por qualquer um dos seguintes:
Computador infetado
Windows Definições de atualização não configuradas corretamente
Erro de permissão de ficheiro com %WinDir%\Pasta de distribuição de software
Espaço insuficiente do disco na unidade do sistema (C:).
Qualquer outra exceção genérica Faça uma pesquisa na internet para possíveis resoluções e trabalhe com o seu suporte de TI local.

Rever o ficheiro %Windir%\Windowsupdate.log também pode ajudá-lo a determinar possíveis causas. Para obter mais informações sobre como ler o registo, consulte Como ler o ficheiro .log Windowsupdate.

Também pode descarregar e executar o Windows Update troubleshooter para verificar se há problemas com Windows Update na máquina.

Nota

A documentação do resolução de problemas Windows Update indica que é para uso em Windows clientes, mas também funciona no Windows Server.

Cenário: Atualização de retornas falha do estado (Linux)

Problema

Uma atualização começa mas encontra erros durante a execução.

Causa

Causas possíveis:

  • O gerente do pacote não é saudável.
  • O Agente de Atualização (WUA para Windows, gestor de pacotes específico para a linux) está mal configurado.
  • Pacotes específicos estão a interferir com o patching baseado na nuvem.
  • A máquina é inacessível.
  • As atualizações tinham dependências que não estavam resolvidas.

Resolução

Se ocorrerem falhas durante uma atualização após o início com sucesso, verifique a saída de trabalho da máquina afetada durante a execução. Pode encontrar mensagens de erro específicas das suas máquinas que possa pesquisar e tomar medidas. A Atualização De Gestão requer que o gestor de pacotes seja saudável para implementações de atualização bem sucedidas.

Se patches específicos, pacotes ou atualizações forem vistos imediatamente antes do trabalho falhar, pode tentar excluir estes itens da próxima implementação da atualização. Para recolher informações de registo a partir de Windows Update, consulte Windows ficheiros de registo de atualização.

Se não conseguir resolver um problema de correção, faça uma cópia do ficheiro /var/opt/microsoft/omsagent/run/automationworker/omsupdatemgmt.log e preservá-lo para efeitos de resolução de problemas antes do início da próxima atualização.

Patches não estão instalados

As máquinas não instalam atualizações

Experimente executar as atualizações diretamente na máquina. Se a máquina não conseguir aplicar as atualizações, consulte a lista de potenciais erros no guia de resolução de problemas.

Se as atualizações forem executadas localmente, tente remover e reinstalar o agente na máquina seguindo as orientações no Remove a VM da Update Management.

Sei que as atualizações estão disponíveis, mas não mostram como estão disponíveis nas minhas máquinas.

Isto acontece frequentemente se as máquinas estiverem configuradas para obter atualizações de WSUS ou Microsoft Endpoint Configuration Manager mas wSUS e Gestor de Configuração não aprovaram as atualizações.

Pode verificar se as máquinas estão configuradas para WSUS e SCCM, cruzando a chave de UseWUServer registo das teclas de registo nas Atualizações Automáticas Configurantes, editando a secção de registo deste artigo.

Se as atualizações não forem aprovadas na WSUS, não estão instaladas. Pode verificar se há atualizações não aprovadas no Log Analytics executando a seguinte consulta.

Update | where UpdateState == "Needed" and ApprovalSource == "WSUS" and Approved == "False" | summarize max(TimeGenerated) by Computer, KBID, Title

As atualizações aparecem como tendo sido instaladas, mas não as encontro na minha máquina

Muitas vezes, as atualizações são substituídas por outras. Para obter mais informações, consulte Update é substituído no guia de resolução de problemas de atualização de Windows.

Instalar atualizações por classificação no Linux

A implementação de atualizações no Linux por classificação ("atualizações críticas e de segurança") tem limitações importantes, sobretudo para o CentOS. Estas limitações estão documentadas na página de visão geral da Gestãode Atualização .

KB2267602 está constantemente desaparecido

KB2267602 é a atualização de definições do Windows Defender. É atualizado diariamente.

Passos seguintes

Se não vir o seu problema ou não conseguir resolver o seu problema, experimente um dos seguintes canais para obter apoio adicional.

  • Obtenha respostas de especialistas da Azure através dos Fóruns Azure.
  • Ligação @AzureSupport com, o Microsoft Azure oficial conta para melhorar a experiência do cliente.
  • Arquive um incidente de apoio ao Azure. Vá ao site de suporte do Azure e selecione Obter Apoio.