Řešení problémů s Update Managementem

Upozornění

Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.

Tento článek popisuje problémy, na které můžete narazit při používání funkce Update Management k vyhodnocení a správě aktualizací na počítačích. Existuje poradce při potížích s agentem hybrid Runbook Worker, který vám pomůže určit základní problém. Další informace o poradci při potížích najdete v tématu Řešení potíží s agentem aktualizací systému Windows a řešení potíží s agentem aktualizací Pro Linux. Další problémy s nasazením funkcí najdete v tématu Řešení potíží s nasazením funkcí.

Poznámka:

Pokud narazíte na problémy při nasazování řešení Update Management na počítači s Windows, otevřete windows Prohlížeč událostí a zkontrolujte protokol událostí Operations Manageru v části Protokoly aplikací a služeb na místním počítači. Vyhledejte události s ID události 4502 a podrobnostmi události, které obsahují Microsoft.EnterpriseManagement.HealthService.AzureAutomation.HybridAgent.

Scénář: Aktualizace Windows Defenderu se vždy zobrazuje jako chybějící

Problém

Aktualizace definic pro Program Windows Defender (KB2267602) se vždy zobrazuje jako chybějící v posouzení, když je nainstalovaná a zobrazuje se jako aktuální při ověření z historie služba Windows Update.

Příčina

Aktualizace definic se publikují několikrát za den. V důsledku toho můžete vidět více verzí KB2267602 publikovaných v jednom dni, ale s jiným ID aktualizace a verzí.

Posouzení řešení Update Management se spouští jednou za 11 hodin. V tomto příkladu se v 10:00 spustilo posouzení a v tuto chvíli byla dostupná verze 1.237.316.0. V tabulce Update (Aktualizace) v pracovním prostoru služby Log Analytics se zobrazí aktualizace definice 1.237.316.0, která má ve sloupci UpdateState (Stav aktualizace) hodnotu Needed (Potřebná). Pokud se naplánované nasazení spustí o několik hodin později, řekněme, že 1:00 a verze 1.237.316.0 je stále dostupná nebo je novější verze, nainstaluje se novější verze a to se projeví v záznamu zapsaném do tabulky UpdateRunProgress . Dokud se však nespustí další hodnocení, v tabulce Update (Aktualizace) se u verze 1.237.316.0 stále bude zobrazovat hodnota Needed (Potřebná). Když se posouzení spustí znovu, nemusí existovat novější dostupná aktualizace definic, takže v tabulce Aktualizací se nezobrazuje aktualizace definic verze 1.237.316.0 jako chybějící nebo novější dostupná verze podle potřeby. Vzhledem k četnosti aktualizací definic může být v prohledávání protokolu vráceno více verzí.

Rozlišení

Spusťte následující dotaz protokolu, abyste potvrdili, že jsou nainstalované aktualizace definic správně hlášené. Tento dotaz vrátí čas vygenerovaný, verze a ID aktualizace KB2267602 v tabulce Aktualizace. Nahraďte hodnotu počítače plně kvalifikovaným názvem počítače.

Update
| where TimeGenerated > ago(14h) and OSType != "Linux" and (Optional == false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((
    Heartbeat
    | where TimeGenerated > ago(12h) and OSType =~ "Windows" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, *) by Computer, SourceComputerId, UpdateID
| where UpdateState =~ "Needed" and Approved != false and Computer == "<computerName>"
| render table

Výsledky dotazu by měly vrátit něco podobného jako následující:

Spuštěním následujícího dotazu protokolu získejte čas vygenerovaný, verze a ID aktualizace KB2267602 v tabulce Aktualizace RunProgress. Tento dotaz nám pomůže zjistit, jestli byl nainstalován ze služby Update Management nebo jestli byl na počítači automaticky nainstalován ze služby Microsoft Update. Je nutné nahradit hodnotu CorrelationId identifikátorem GUID úlohy runbooku (tj. hodnota vlastnosti MasterJOBID z úlohy Runbook Patch-MicrosoftOMSComputer) pro aktualizaci a SourceComputerId identifikátorem GUID počítače.

UpdateRunProgress
| where OSType!="Linux" and CorrelationId=="<master job id>" and SourceComputerId=="<source computer id>"
| summarize arg_max(TimeGenerated, Title, InstallationStatus) by UpdateId
| project TimeGenerated, id=UpdateId, displayName=Title, InstallationStatus

Výsledky dotazu by měly vrátit něco podobného jako následující:

Pokud je hodnota TimeGenerated pro výsledky dotazu protokolu z tabulky Aktualizace dřívější než časové razítko (tj. hodnota TimeGenerated) instalace aktualizace na počítači nebo z výsledků dotazu protokolu z tabulky UpdateRunProgress, počkejte na další posouzení. Potom znovu spusťte dotaz protokolu na tabulku Aktualizace. Aktualizace pro KB2267602 se nezobrazí nebo se zobrazí s novější verzí. I po posledním posouzení se ale v tabulce Aktualizace zobrazí stejná verze jako Potřebná, ale už je nainstalovaná, měli byste otevřít incident podpora Azure.

Scénář: Aktualizace Linuxu zobrazené jako čekající a nainstalované se liší

Problém

Pro váš počítač s Linuxem update Management zobrazuje konkrétní aktualizace dostupné v rámci klasifikace Zabezpečení a další. Když se ale na počítači spustí plán aktualizace, například pro instalaci pouze aktualizací odpovídajících klasifikaci zabezpečení, budou se nainstalované aktualizace lišit od nebo podmnožinou aktualizací, které se dříve shodují s danou klasifikací.

Příčina

Při vyhodnocení aktualizací operačního systému čekajících na váš počítač s Linuxem se k klasifikaci používají soubory OVAL (Open Vulnerability and Assessment Language ) poskytované dodavatelem distribuce Linuxu. Kategorizace se provádí pro aktualizace Linuxu jako zabezpečení nebo jiné na základě souborů OVAL, které uvádí aktualizace řešící problémy se zabezpečením nebo ohrožení zabezpečení. Pokud je ale plán aktualizace spuštěný, spustí se na počítači s Linuxem pomocí příslušného správce balíčků, jako je YUM, APT nebo ZYPPER, aby je nainstaloval. Správce balíčků pro distribuci Linuxu může mít jiný mechanismus klasifikace aktualizací, kde se výsledky mohou lišit od výsledků získaných ze souborů OVAL update Management.

Rozlišení

Můžete ručně zkontrolovat počítač s Linuxem, příslušné aktualizace a jejich klasifikaci podle správce balíčků distribuce. Pokud chcete zjistit, které aktualizace klasifikuje správce balíčků jako zabezpečení , spusťte následující příkazy.

Pro YUM vrátí následující příkaz nenulový seznam aktualizací zařazených do kategorie Security by Red Hat. Všimněte si, že v případě CentOS vždy vrátí prázdný seznam a nedojde k žádné klasifikaci zabezpečení.

sudo yum -q --security check-update

Pro ZYPPER vrátí následující příkaz nenulový seznam aktualizací zařazených do kategorie Security by SUSE.

sudo LANG=en_US.UTF8 zypper --non-interactive patch --category security --dry-run

Pro APT vrátí následující příkaz nenulový seznam aktualizací zařazených do kategorie Security podle canonical pro distribuce Ubuntu Linuxu.

sudo grep security /etc/apt/sources.list > /tmp/oms-update-security.list LANG=en_US.UTF8 sudo apt-get -s dist-upgrade -oDir::Etc::Sourcelist=/tmp/oms-update-security.list

V tomto seznamu pak spustíte příkaz grep ^Inst , abyste získali všechny čekající aktualizace zabezpečení.

Scénář: Zobrazí se chyba Nepovedlo se povolit řešení aktualizace.

Problém

Při pokusu o povolení řešení Update Management ve vašem účtu Automation se zobrazí následující chyba:

Error details: Failed to enable the Update solution

Příčina

K této chybě může dojít z následujících důvodů:

• Požadavky na bránu firewall sítě pro agenta Log Analytics nemusí být správně nakonfigurované. Tato situace může způsobit selhání agenta při překladu adres URL DNS.

• Cílení na Update Management je chybně nakonfigurované a počítač nepřijímá aktualizace podle očekávání.

• Můžete si také všimnout, že počítač zobrazuje stav Non-compliant dodržování předpisů. Současně Plocha agenta Analytics hlásí agenta jako Disconnected.

Rozlišení

• V závislosti na operačním systému spusťte poradce při potížích s Windows nebo Linuxem.

• Přejděte do konfigurace sítě a zjistěte, které adresy a porty musí být povolené, aby služba Update Management fungovala.

• Zkontrolujte problémy s konfigurací oboru. Konfigurace oboru určuje, které počítače jsou nakonfigurované pro Řešení Update Management. Pokud se váš počítač zobrazuje ve vašem pracovním prostoru, ale ne ve službě Update Management, musíte nastavit konfiguraci oboru tak, aby cílila na počítače. Další informace o konfiguraci oboru najdete v tématu Povolení počítačů v pracovním prostoru.

• Odeberte konfiguraci pracovního procesu podle kroků v části Odebrání funkce Hybrid Runbook Worker z místního počítače s Windows nebo odebrání funkce Hybrid Runbook Worker z místního počítače s Linuxem.

Scénář: Nahrazená aktualizace označená jako chybějící v řešení Update Management

Problém

Staré aktualizace se u účtu Automation zobrazují jako chybějící, i když byly nahrazeny. Nahrazená aktualizace je ta, kterou nemusíte instalovat, protože je k dispozici pozdější aktualizace, která opraví stejnou chybu zabezpečení. Update Management ignoruje nahrazenou aktualizaci a neužívá ji ve prospěch supersedování aktualizace. Informace o souvisejícím problému najdete v tématu Aktualizace je nahrazena.

Příčina

Nahrazené aktualizace nejsou odmítnuty ve službě Windows Server Update Services (WSUS), aby je bylo možné považovat za nepoužitelné.

Rozlišení

Pokud se nahrazená aktualizace změní na 100 procent, měli byste změnit stav schválení této aktualizace na Declined wsus. Změna stavu schválení pro všechny aktualizace:

1. V účtu Automation vyberte Update Management a zobrazte stav počítače. Viz Zobrazení posouzení aktualizací.

2. Zkontrolujte nahrazenou aktualizaci a ujistěte se, že je 100 procent nepoužitelné.

3. Na serveru WSUS, na který počítače hlásí, odmítnou aktualizaci.

4. Vyberte Počítače a ve sloupci Dodržování předpisů vynuťte opětovné prohledání dodržování předpisů. Viz Správa aktualizací pro virtuální počítače.

5. Opakujte výše uvedené kroky pro další nahrazené aktualizace.

6. V případě služby Windows Server Update Services (WSUS) vyčistěte všechny nahrazené aktualizace a aktualizujte infrastrukturu pomocí Průvodce vyčištěním serveru WSUS.

7. Tento postup opakujte pravidelně, chcete-li opravit problém se zobrazením a minimalizovat množství místa na disku používaného pro správu aktualizací.

Scénář: Počítače se nezobrazují na portálu v řešení Update Management

Problém

Vaše počítače mají následující příznaky:

• Váš počítač se zobrazí Not configured v zobrazení Update Management virtuálního počítače.

• V zobrazení Update Management vašeho účtu Azure Automation chybí vaše počítače.

• Máte počítače, které se zobrazují jako Not assessed v části Dodržování předpisů. V protokolech služby Azure Monitor se však zobrazují data prezenčních signálů pro funkci Hybrid Runbook Worker, ale ne pro Řešení Update Management.

Příčina

Příčinou tohoto problému můžou být problémy s místní konfigurací nebo nesprávně nakonfigurovaná konfigurace oboru. Možné konkrétní příčiny:

• Je možné, že budete muset funkci Hybrid Runbook Worker znovu zaregistrovat a znovu nainstalovat.

• Možná jste v pracovním prostoru definovali kvótu, která byla dosažena a která brání dalšímu úložišti dat.

Rozlišení

1. V závislosti na operačním systému spusťte poradce při potížích s Windows nebo Linuxem.

2. Kontrola, jestli se počítač hlásí ve správném pracovním prostoru Pokyny k ověření tohoto aspektu najdete v tématu Ověření připojení agenta ke službě Azure Monitor. Ujistěte se také, že je tento pracovní prostor propojený s vaším účtem Azure Automation. Potvrďte to tak, že přejdete na svůj účet Automation a v části Související prostředky vyberete Propojený pracovní prostor.

3. Ujistěte se, že se počítače zobrazují v pracovním prostoru služby Log Analytics propojeném s vaším účtem Automation. V pracovním prostoru služby Log Analytics spusťte následující dotaz.

   Heartbeat
   | summarize by Computer, Solutions
   

   Pokud se váš počítač ve výsledcích dotazu nezobrazuje, v poslední době se nevrátí se změnami. Pravděpodobně došlo k problému s místní konfigurací a agenta byste měli přeinstalovat.

   Pokud je váš počítač uvedený ve výsledcích dotazu, ověřte v části Řešení, která se aktualizuje. Tím ověříte, že je zaregistrovaný ve službě Update Management. Pokud ne, zkontrolujte problémy s konfigurací oboru. Konfigurace oboru určuje, které počítače jsou nakonfigurované pro Řešení Update Management. Pokud chcete nakonfigurovat konfiguraci oboru pro cílový počítač, přečtěte si téma Povolení počítačů v pracovním prostoru.

4. V pracovním prostoru spusťte tento dotaz.

   Operation
   | where OperationCategory == 'Data Collection Status'
   | sort by TimeGenerated desc
   

   Pokud se zobrazí Data collection stopped due to daily limit of free data reached. Ingestion status = OverQuota výsledek, dosáhla se kvóta definovaná ve vašem pracovním prostoru, která zastavila ukládání dat. V pracovním prostoru přejděte do správy objemu dat v části Využití a odhadované náklady a změňte nebo odeberte kvótu.

5. Pokud se váš problém stále nevyřešil, přeinstalujte Funkci Hybrid Worker pro Windows podle pokynů v části Nasazení funkce Hybrid Runbook Worker pro Windows. V případě Linuxu postupujte podle kroků v části Nasazení funkce Hybrid Runbook Worker pro Linux.

Scénář: Nejde zaregistrovat poskytovatele prostředků Automation pro předplatná

Problém

Při práci s nasazeními funkcí v účtu Automation dojde k následující chybě:

Error details: Unable to register Automation Resource Provider for subscriptions

Příčina

Poskytovatel prostředků Automation není zaregistrovaný v předplatném.

Rozlišení

Pokud chcete zaregistrovat poskytovatele prostředků Automation, postupujte podle těchto kroků na webu Azure Portal.

1. V seznamu služeb Azure v dolní části portálu vyberte Všechny služby a pak ve skupině obecné služby vyberte Předplatná .

2. Vyberte své předplatné.

3. V části Nastavení vyberte Poskytovatele prostředků.

4. V seznamu poskytovatelů prostředků ověřte, že je zaregistrovaný poskytovatel prostředků Microsoft.Automation.

5. Pokud není uvedený, zaregistrujte poskytovatele Microsoft.Automation podle pokynů v tématu Řešení chyb registrace poskytovatele prostředků.

Scénář: Naplánovaná aktualizace neopravy některých počítačů

Problém

Počítače zahrnuté v náhledu aktualizací se nezobrazují v seznamu počítačů opravených během naplánovaného spuštění nebo se virtuální počítače pro vybrané obory dynamické skupiny nezobrazují v seznamu náhledů aktualizací na portálu.

Seznam náhledu aktualizací se skládá ze všech počítačů načtených dotazem Azure Resource Graphu pro vybrané obory. Obory jsou filtrovány pro počítače, které mají nainstalovaný systém Hybrid Runbook Worker a pro které máte přístupová oprávnění.

Příčina

Tento problém může mít jednu z následujících příčin:

• Předplatná definovaná v oboru dynamického dotazu nejsou nakonfigurovaná pro registrovaného poskytovatele prostředků Automation.

• Počítače nebyly k dispozici nebo při spuštění plánu neměly odpovídající značky.

• Ve vybraných oborech nemáte správný přístup.

• Dotaz Azure Resource Graph nenačte očekávané počítače.

• Systém Hybrid Runbook Worker není na počítačích nainstalovaný.

Rozlišení

Předplatná nenakonfigurovaná pro registrovaného poskytovatele prostředků Automation

Pokud vaše předplatné není nakonfigurované pro poskytovatele prostředků Automation, nemůžete dotazovat ani načíst informace o počítačích v daném předplatném. Pomocí následujícího postupu ověřte registraci předplatného.

1. Na webu Azure Portal přejděte do seznamu služeb Azure.

2. Vyberte Všechny služby a pak ve skupině obecné služby vyberte Předplatná .

3. Vyhledejte předplatné definované v oboru vašeho nasazení.

4. V části Nastavení zvolte Poskytovatelé prostředků.

5. Ověřte, že je zaregistrovaný poskytovatel prostředků Microsoft.Automation.

6. Pokud není uvedený, zaregistrujte poskytovatele Microsoft.Automation podle pokynů v tématu Řešení chyb registrace poskytovatele prostředků.

Počítače nejsou při spuštění plánu k dispozici nebo nejsou správně označené

Následující postup použijte, pokud je vaše předplatné nakonfigurované pro poskytovatele prostředků Automation, ale spuštění plánu aktualizace se zadanými dynamickými skupinami zmeškaly některé počítače.

1. Na webu Azure Portal otevřete účet Automation a vyberte Update Management.

2. Zkontrolujte historii řešení Update Management a určete přesný čas spuštění nasazení aktualizace.

3. U počítačů, u kterých máte podezření, že služba Update Management zmeškala, vyhledejte změny počítačů pomocí služby Azure Resource Graph (ARG).

4. Vyhledejte změny za poměrně dlouhou dobu, například jeden den před spuštěním nasazení aktualizace.

5. Zkontrolujte ve výsledcích hledání všechny systémové změny, jako jsou odstranění nebo aktualizace změn, na počítačích v tomto období. Tyto změny můžou změnit stav počítače nebo značky tak, aby počítače při nasazení aktualizací nevybíraly v seznamu počítačů.

6. Podle potřeby upravte počítače a nastavení prostředků tak, aby byly správné pro problémy se stavem počítače nebo značkami.

7. Spusťte plán aktualizace znovu, abyste zajistili, že nasazení se zadanými dynamickými skupinami zahrnuje všechny počítače.

Nesprávný přístup u vybraných oborů

Azure Portal zobrazuje jenom počítače, pro které máte v daném oboru přístup k zápisu. Pokud nemáte správný přístup k oboru, přečtěte si kurz : Udělení přístupu uživatelů k prostředkům Azure pomocí webu Azure Portal.

Dotaz Resource Graphu nevrací očekávané počítače

Postupujte podle následujících kroků a zjistěte, jestli vaše dotazy fungují správně.

1. Spusťte dotaz Azure Resource Graphu naformátovaný, jak je znázorněno níže v okně Průzkumníka prostředků na webu Azure Portal. Pokud s Azure Resource Graphem začínáte, přečtěte si tento rychlý start , kde se dozvíte, jak pracovat s Průzkumníkem Resource Graphu. Tento dotaz napodobuje filtry, které jste vybrali při vytváření dynamické skupiny ve službě Update Management. Viz Použití dynamických skupin s Řešením Update Management.

   where (subscriptionId in~ ("<subscriptionId1>", "<subscriptionId2>") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "<Windows/Linux>" and resourceGroup in~ ("<resourceGroupName1>","<resourceGroupName2>") and location in~ ("<location1>","<location2>") )
   | project id, location, name, tags = todynamic(tolower(tostring(tags)))
   | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" and tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "All" option selected for tags
   | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" or tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "Any" option selected for tags
   | project id, location, name, tags
   

   Zde je příklad:

   where (subscriptionId in~ ("20780d0a-b422-4213-979b-6c919c91ace1", "af52d412-a347-4bc6-8cb7-4780fbb00490") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "Windows" and resourceGroup in~ ("testRG","withinvnet-2020-01-06-10-global-resources-southindia") and location in~ ("australiacentral","australiacentral2","brazilsouth") )
   | project id, location, name, tags = todynamic(tolower(tostring(tags)))
   | where  (tags[tolower("ms-resource-usage")] =~ "azure-cloud-shell" and tags[tolower("temp")] =~ "temp")
   | project id, location, name, tags
   

2. Zkontrolujte, jestli ve výsledcích dotazu nejsou uvedené počítače, které hledáte.

3. Pokud počítače nejsou uvedené, pravděpodobně došlo k problému s filtrem vybraným v dynamické skupině. Podle potřeby upravte konfiguraci skupiny.

Hybrid Runbook Worker není nainstalovaný na počítačích

Počítače se zobrazují ve výsledcích dotazu Azure Resource Graphu, ale stále se nezobrazují ve verzi Preview dynamické skupiny. V tomto případě nemusí být počítače určené jako systémové hybridní pracovní procesy Runbooku, a proto nemůžou spouštět úlohy Azure Automation a Update Management. Aby se zajistilo, že počítače, které očekáváte, jsou nastavené jako systémové funkce Hybrid Runbook Worker:

1. Na webu Azure Portal přejděte na účet Automation pro počítač, který se nezobrazuje správně.

2. V části Automatizace procesů vyberte Skupiny Hybrid Worker.

3. Vyberte kartu Skupiny systému Hybrid Worker.

4. Ověřte, že pro tento počítač existuje hybrid worker.

5. Pokud počítač není nastavený jako systémový hybrid Runbook Worker, zkontrolujte metody povolení pomocí jedné z následujících metod:

   • Z účtu Automation pro jeden nebo více počítačů Azure a počítačů mimo Azure, včetně serverů s podporou Azure Arc.

   • Použití runbooku Enable-AutomationSolutionk automatizaci onboardingu virtuálních počítačů Azure

   • Pro vybraný virtuální počítač Azure ze stránky Virtuální počítače na webu Azure Portal. Tento scénář je k dispozici pro virtuální počítače s Linuxem a Windows.

   • Pro více virtuálních počítačů Azure jejich výběrem na stránce Virtuální počítače na webu Azure Portal.

   Metoda povolení je založená na prostředí, ve kterém počítač běží.

6. Opakujte výše uvedené kroky pro všechny počítače, které se nezobrazují v náhledu.

Scénář: Povolené komponenty Update Management, zatímco virtuální počítač se bude dál zobrazovat jako nakonfigurovaný

Problém

Po zahájení nasazení se na virtuálním počítači zobrazí následující zpráva:

The components for the 'Update Management' solution have been enabled, and now this virtual machine is being configured. Please be patient, as this can sometimes take up to 15 minutes.

Příčina

K této chybě může dojít z následujících důvodů:

• Komunikace s účtem Automation je zablokovaná.

• Existuje duplicitní název počítače s různými ID zdrojových počítačů. K tomuto scénáři dochází v případě, že je virtuální počítač s konkrétním názvem počítače vytvořen v různých skupinách prostředků a hlásí se do stejného pracovního prostoru Logistics Agent v předplatném.

• Nasazená image virtuálního počítače může pocházet z klonovaného počítače, který nebyl připravený pomocí přípravy systému (sysprep) s nainstalovaným agentem Log Analytics pro Windows.

Rozlišení

Pokud chcete pomoct s určením přesného problému s virtuálním počítačem, spusťte následující dotaz v pracovním prostoru služby Log Analytics, který je propojený s vaším účtem Automation.

Update
| where Computer contains "fillInMachineName"
| project TimeGenerated, Computer, SourceComputerId, Title, UpdateState 

Komunikace s blokovaným účtem Automation

Přejděte do plánování sítě a zjistěte, které adresy a porty musí být povolené, aby řešení Update Management fungovalo.

Duplicitní název počítače

Přejmenujte virtuální počítače, aby se zajistily jedinečné názvy v jejich prostředí.

Nasazená image z klonovaného počítače

Pokud používáte klonovanou image, mají různé názvy počítačů stejné ID zdrojového počítače. V tomto případě:

1. V pracovním prostoru služby Log Analytics odeberte virtuální počítač z uloženého MicrosoftDefaultScopeConfig-Updates vyhledávání konfigurace oboru, pokud se zobrazí. Uložená vyhledávání najdete v pracovním prostoru v části Obecné.

2. Spusťte následující rutinu.

   Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
   

3. Spuštěním restartujte Restart-Service HealthService službu Health Service. Tato operace znovu vytvoří klíč a vygeneruje nové UUID.

4. Pokud tento přístup nefunguje, nejprve na imagi spusťte nástroj Sysprep a pak nainstalujte agenta Log Analytics pro Windows.

Scénář: Při vytváření nasazení aktualizací pro počítače v jiném tenantovi Azure se zobrazí chyba propojeného předplatného

Problém

Při pokusu o vytvoření nasazení aktualizace pro počítače v jiném tenantovi Azure dojde k následující chybě:

The client has permission to perform action 'Microsoft.Compute/virtualMachines/write' on scope '/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroupName/providers/Microsoft.Automation/automationAccounts/automationAccountName/softwareUpdateConfigurations/updateDeploymentName', however the current tenant '00000000-0000-0000-0000-000000000000' is not authorized to access linked subscription '00000000-0000-0000-0000-000000000000'.

Příčina

K této chybě dochází při vytváření nasazení aktualizací, které obsahuje virtuální počítače Azure v jiném tenantovi, který je součástí nasazení aktualizace.

Rozlišení

K naplánování těchto položek použijte následující alternativní řešení. K vytvoření plánu můžete použít rutinu New-AzAutomationSchedule s ForUpdateConfiguration parametrem. Pak použijte rutinu New-AzAutomationSoftwareUpdateConfiguration a předejte počítače v druhém tenantovi parametru NonAzureComputer . Následující příklad ukazuje, jak to provést:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$s = New-AzAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName $aa -Schedule $s -Windows -AzureVMResourceId $azureVMIdsW -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Scénář: Nevysvětlené restartování

Problém

I když jste nastavili možnost Řízení restartování na hodnotu Nikdy restartovat, počítače se po instalaci aktualizací stále restartují.

Příčina

služba Windows Update lze upravit několika klíči registru, z nichž každá může změnit chování při restartování.

Rozlišení

Zkontrolujte klíče registru uvedené v části Konfigurace automatického Aktualizace úpravou registru a klíčů registru používaných ke správě restartování, abyste měli jistotu, že jsou počítače správně nakonfigurované.

Scénář: V nasazení aktualizace se na počítači zobrazuje neúspěšné spuštění

Problém

Počítač zobrazuje Failed to start nebo Failed zobrazuje stav. Když zobrazíte konkrétní podrobnosti o počítači, zobrazí se následující chyba:

For one or more machines in schedule, UM job run resulted in either Failed or Failed to start state. Guide available at https://aka.ms/UMSucrFailed.

Příčina

K této chybě může dojít z některého z následujících důvodů:

• Počítač už neexistuje.
• Počítač je vypnutý a nedostupný.
• Počítač má problém s připojením k síti, a proto je hybrid worker na počítači nedostupný.
• Došlo k aktualizaci agenta Log Analytics, který změnil ID zdrojového počítače.
• Spuštění aktualizace se omezilo, pokud jste dosáhli limitu 200 souběžných úloh v účtu Automation. Každé nasazení se považuje za úlohu a každý počítač v nasazení aktualizace se počítá jako úloha. Jakékoli jiné nasazení automatizace nebo aktualizace aktuálně spuštěné ve vašem účtu Automation se počítá do limitu souběžné úlohy.

Rozlišení

Další podrobnosti můžete získat prostřednictvím kódu programu s využitím rozhraní REST API. Informace o načtení seznamu spuštění konfiguračního počítače aktualizace nebo jednoho konfiguračního počítače aktualizace softwaru, který běží podle ID, najdete v tématu Spuštění konfiguračního počítače aktualizace softwaru.

Pokud je to možné, použijte dynamické skupiny pro nasazení aktualizací. Kromě toho můžete provést následující kroky.

1. Ověřte, že váš počítač nebo server splňují požadavky.
2. Pomocí poradce při potížích s agentem Hybrid Runbook Worker ověřte připojení k procesu Hybrid Runbook Worker. Další informace o poradci při potížích najdete v tématu Řešení potíží s agentem aktualizace.

Scénář: Aktualizace se nainstalují bez nasazení

Problém

Při registraci počítače s Windows ve službě Update Management se zobrazí aktualizace nainstalované bez nasazení.

Příčina

Ve Windows se aktualizace nainstalují automaticky, jakmile budou dostupné. Toto chování může způsobit nejasnosti, pokud jste nenaplánovali nasazení aktualizací na počítač.

Rozlišení

Výchozí HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU klíč registru je nastavení 4: auto download and install.

Pro klienty Update Management doporučujeme nastavit tento klíč na 3: auto download but do not auto install.

Další informace najdete v tématu Konfigurace automatického Aktualizace.

Scénář: Počítač je už zaregistrovaný k jinému účtu

Problém

Zobrazí se tato chybová zpráva:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.InvalidOperationException: {"Message":"Machine is already registered to a different account."}

Příčina

Počítač už je nasazený do jiného pracovního prostoru pro Update Management.

Řešení

1. Postupujte podle pokynů v části Počítače, které se nezobrazují na portálu v řešení Update Management , a ujistěte se, že se počítač hlásí správnému pracovnímu prostoru.
2. Vyčistěte z počítače artefakty odstraněním skupiny hybridních runbooků a zkuste to znovu.

Scénář: Počítač nemůže komunikovat se službou

Problém

Zobrazí se jedna z těchto chybových zpráv:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a receive. ---> System.ComponentModel.Win32Exception: The client and server can't communicate, because they do not possess a common algorithm

Unable to Register Machine for Patch Management, Registration Failed with Exception Newtonsoft.Json.JsonReaderException: Error parsing positive infinity value.

The certificate presented by the service <wsid>.oms.opinsights.azure.com was not issued by a certificate authority used for Microsoft services. Contact your network administrator to see if they are running a proxy that intercepts TLS/SSL communication.

Access is denied. (Exception form HRESULT: 0x80070005(E_ACCESSDENIED))

Příčina

Síťovou komunikaci může blokovat proxy server, brána nebo firewall.

Řešení

Zkontrolujte nastavení sítě a ujistěte se, že jsou povolené odpovídající porty a adresy. Seznam portů a adres vyžadovaných řešením Update Management a Hybrid Runbook Worker najdete v požadavcích na síť.

Scénář: Nejde vytvořit certifikát podepsaný svým držitelem

Problém

Zobrazí se jedna z těchto chybových zpráv:

Unable to Register Machine for Patch Management, Registration Failed with Exception AgentService.HybridRegistration. PowerShell.Certificates.CertificateCreationException: Failed to create a self-signed certificate. ---> System.UnauthorizedAccessException: Access is denied.

Příčina

Hybrid Runbook Worker nemohl vygenerovat certifikát podepsaný svým držitelem.

Řešení

Ověřte, že systémový účet má ke složce C:\ProgramData\Microsoft\Crypto\RSA přístup pro čtení, a zkuste to znovu.

Scénář: Naplánovaná aktualizace selhala s chybou MaintenanceWindowExceeded

Problém

Výchozí časové období údržby pro aktualizace je 120 minut. Časové období údržby můžete prodloužit na maximálně 6 hodin nebo 360 minut. Může se zobrazit chybová zpráva For one or more machines in schedule, UM job run resulted in Maintenance Window Exceeded state. Guide available at https://aka.ms/UMSucrMwExceeded.

Rozlišení

Pokud chcete zjistit, proč k tomu došlo během spuštění aktualizace po úspěšném spuštění, zkontrolujte výstup úlohy z ovlivněného počítače ve spuštění. Můžete ve svých počítačích vyhledat konkrétní chybové zprávy, ty prozkoumat a přijmout příslušná opatření.

Další podrobnosti můžete získat prostřednictvím kódu programu s využitím rozhraní REST API. Informace o načtení seznamu spuštění konfiguračního počítače aktualizace nebo jednoho konfiguračního počítače aktualizace softwaru, který běží podle ID, najdete v tématu Spuštění konfiguračního počítače aktualizace softwaru.

Upravte všechna neúspěšná nasazení plánovaných aktualizací a prodlužte časové období údržby.

Další informace o časových obdobích údržby najdete v tématu Instalace aktualizací.

Scénář: Počítač se zobrazuje jako neposouzený a zobrazuje výjimku HRESULT.

Problém

• Máte počítače, které se zobrazují jako Not assessed v části Dodržování předpisů, a pod nimi se zobrazí zpráva o výjimce.
• Na portálu se zobrazí kód chyby HRESULT.

Příčina

Agent aktualizace (služba Windows Update Agent ve Windows; správce balíčků pro distribuci Linuxu) není správně nakonfigurovaný. Update Management spoléhá na agenta aktualizace počítače k poskytování potřebných aktualizací, stavu opravy a výsledků nasazených oprav. Bez těchto informací nemůže Update Management správně hlásit potřebné nebo nainstalované opravy.

Rozlišení

Zkuste provést aktualizace místně na počítači. Pokud tato operace selže, obvykle to znamená, že došlo k chybě konfigurace agenta pro aktualizace.

Příčinou tohoto problému jsou často problémy s konfigurací sítě a bránou firewall. K vyřešení problému použijte následující kontroly.

• V případě Linuxu si projděte příslušnou dokumentaci a ujistěte se, že se můžete připojit k síťovému koncovému bodu úložiště balíčků.

• V případě Windows zkontrolujte konfiguraci agenta, jak je uvedeno v tématu věnovaném situaci, kdy se aktualizace nestahují z intranetového koncového bodu (WSUS/SCCM).

  • Pokud jsou počítače nakonfigurované pro službu Windows Update, ujistěte se, že se můžete připojit ke koncovým bodům, jak je popsáno v tématu věnovaném problémům souvisejícím s HTTP / proxy serverem.
  • Pokud jsou počítače nakonfigurované pro Windows Server Update Services (WSUS), ujistěte se, že se můžete připojit k serveru WSUS nakonfigurovanému klíčem registru WUServer.

Pokud se zobrazí hodnota HRESULT, dvakrát klikněte na výjimku zobrazenou červeně a zobrazte celou zprávu o výjimce. V následující tabulce najdete potenciální řešení nebo doporučené akce.

Výjimka	Řešení nebo akce
Exception from HRESULT: 0x……C	Vyhledejte další podrobnosti o příčině výjimky v příslušném kódu chyby v seznamu kódů aktualizací systému Windows.
0x8024402C 0x8024401C 0x8024402F	Tyto výjimky značí problémy s připojením k síti. Ujistěte se, že váš počítač má síťové připojení k Update Managementu. Seznam požadovaných portů a adres najdete v části plánování sítě.
0x8024001E	Operace aktualizace se nedokončila kvůli vypínání služby nebo systému.
0x8024002E	Služba Windows Update je zakázaná.
0x8024402C	Pokud používáte server WSUS, ujistěte se, že hodnoty registru pro WUServer a WUStatusServer pod HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate klíčem registru určují správný server WSUS.
0x80072EE2	Dochází k problému s připojením k síti nebo problému s komunikací s nakonfigurovaným serverem WSUS. Zkontrolujte nastavení WSUS a ujistěte se, že k klient má k této službě přístup.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Ujistěte se, že je služba Windows Update (wuauserv) spuštěná a že není zakázaná.
0x80070005	Chyba odepření přístupu může být způsobena některou z následujících příčin: Napadený počítač nastavení služba Windows Update není správně nakonfigurované Chyba oprávnění k souboru se složkou %WinDir%\SoftwareDistribution Nedostatek místa na systémové jednotce (C:).
Jakákoli jiná obecná výjimka	Vyhledejte možná řešení na internetu a spolupracujte s místní podporou IT.

Kontrola souboru %Windir%\Windowsupdate.log vám může pomoct také určit možné příčiny. Další informace o čtení protokolu najdete v části Jak číst soubor Windowsupdate.log.

Můžete si také stáhnout a spustit poradce při potížích se službou Windows Update a zkontrolovat v počítači případné problémy s touto službou.

Poznámka:

Dokumentace k služba Windows Update poradce při potížích indikuje, že se používá na klientech s Windows, ale funguje také na Windows Serveru.

Scénář: Spuštění aktualizace vrací stav selhání (Linux)

Problém

Spustí se spuštění aktualizace, ale během spuštění dojde k chybám.

Příčina

Možné příčiny:

• Správce balíčků není v pořádku.
• Chybně nakonfigurovaný agent aktualizace (WUA pro Windows, správce balíčků specifický pro distribuci pro Linux).
• Konkrétní balíčky zasahují do cloudových oprav.
• Počítač je nedostupný.
• Aktualizace měly závislosti, které nebyly vyřešeny.

Rozlišení

Pokud dojde k selhání během spuštění aktualizace po úspěšném spuštění, zkontrolujte výstup úlohy z ovlivněného počítače ve spuštění. Můžete ve svých počítačích vyhledat konkrétní chybové zprávy, ty prozkoumat a přijmout příslušná opatření. Update Management vyžaduje, aby správce balíčků byl pro úspěšná nasazení aktualizací v pořádku.

Pokud se konkrétní opravy, balíčky nebo aktualizace zobrazí bezprostředně před selháním úlohy, můžete zkusit tyto položky vyloučit z dalšího nasazení aktualizace. Informace o protokolu z služba Windows Update získáte v služba Windows Update souborech protokolu.

Pokud nemůžete problém s opravami vyřešit, vytvořte kopii souboru /var/opt/microsoft/omsagent/run/automationworker/omsupdatemgmt.log a před spuštěním další aktualizace ho zachovejte pro účely řešení potíží.

Opravy nejsou nainstalovány.

Na počítačích se neinstalují aktualizace

Zkuste aktualizace spustit přímo na počítači. Pokud počítač nemůže aktualizace použít, projděte si seznam potenciálních chyb v průvodci odstraňováním potíží.

Pokud se aktualizace spustí místně, zkuste agenta na počítači odebrat a přeinstalovat podle pokynů v tématu Odebrání virtuálního počítače z řešení Update Management.

Vím, že jsou dostupné aktualizace, ale na počítačích se nezobrazují jako dostupné

K tomu často dochází v případě, že jsou počítače nakonfigurované tak, aby dostávaly aktualizace ze služby WSUS nebo Nástroje Microsoft Configuration Manager, ale služba WSUS a Configuration Manager aktualizace neschválili.

Pokud chcete zjistit, jestli jsou počítače nakonfigurované pro službu WSUS a SCCM, můžete křížově odkazovat UseWUServer na klíče registru v části Konfigurace automatického Aktualizace úpravou oddílu Registru tohoto článku.

Pokud se aktualizace ve službě WSUS neschválí, nenainstalují se. V Log Analytics můžete zkontrolovat neschválené aktualizace spuštěním následujícího dotazu.

Update | where UpdateState == "Needed" and ApprovalSource == "WSUS" and Approved == "False" | summarize max(TimeGenerated) by Computer, KBID, Title

Aktualizace se zobrazují jako nainstalované, ale na počítači je nemůžu najít

Aktualizace se často nahrazují jinými aktualizacemi. Další informace naleznete v tématu Aktualizace nahrazena v průvodci odstraňováním potíží služba Windows Update.

Instalace aktualizací podle klasifikace v Linuxu

Pro nasazování aktualizací v Linuxu podle klasifikace (důležité aktualizace a aktualizace zabezpečení) platí důležité výhody a rizika, a to zejména pro CentOS. Tato omezení jsou popsaná na stránce s přehledem řešení Update Management.

KB2267602 stále chybí

KB2267602 je aktualizace definice programu Windows Defender. Aktualizuje se každý den.

Další kroky

Pokud se váš problém nezobrazuje nebo nemůžete problém vyřešit, zkuste získat další podporu jedním z následujících kanálů.

• Získejte odpovědi od odborníků na Azure prostřednictvím fór Azure.
• Připojení s @AzureSupport, oficiální účet Microsoft Azure pro zlepšení zkušeností zákazníků.
• Vytvořte podpora Azure incident. Přejděte na web podpora Azure a vyberte Získat podporu.