Solución de problemas del agente de actualización de Windows
Importante
El Seguimiento de cambios e inventario con el agente de Log Analytics se ha retirado el 31 de agosto de 2024 y funcionará con soporte técnico limitado hasta el 01 de febrero de 2025. Se recomienda usar el agente de supervisión de Azure como nuevo agente de asistencia. Siga las instrucciones sobre la migración de la versión de Seguimiento de cambios e inventario mediante Log Analytics a la versión de Seguimiento de cambios e inventario mediante Azure Monitoring Agent.
Puede haber muchas razones por las que el equipo no se muestra como Listo (correcto) durante una implementación de Update Management. Puede comprobar el estado de un agente de Hybrid Runbook Worker en Windows para determinar el problema subyacente. A continuación se enumeran los tres estados de disponibilidad para una máquina:
- Párese: Hybrid Runbook Worker está implementado y se vio por última vez hace menos de una hora.
- Desconectado: Hybrid Runbook Worker está implementado y se vio por última vez hace más de una hora.
- No configurado: Hybrid Runbook Worker no se encuentra o no ha finalizado la implementación.
Nota:
Puede haber un ligero retraso entre lo que Azure Portal muestra y el estado actual de una máquina.
En este artículo se explica cómo ejecutar el solucionador de problemas para máquinas de Azure desde Azure Portal y para máquinas que no son de Azure en el escenario sin conexión.
Nota:
El script del solucionador de problemas incluye ahora comprobaciones de Windows Server Update Services (WSUS) y de las claves de descarga automática e instalación.
Iniciar el solucionador de problemas
Para las máquinas de Azure, al hacer clic en el vínculo Solucionar problemas en la columna Preparación de actualizaciones del agente del portal, se abre la página de solución de problemas del Agente de actualización. Para las máquinas que no son de Azure, el vínculo le lleva a este artículo. Consulte Solución de problemas sin conexión para solucionar los problemas de una máquina que no es de Azure.
Nota:
Para comprobar el estado de Hybrid Runbook Worker, la máquina virtual debe estar en ejecución. Si la máquina virtual no se está ejecutando, aparecerá el botón Start the VM (Iniciar la máquina virtual).
En la página Solucionar problemas del Agente de actualización, haga clic en Ejecutar comprobaciones para iniciar el solucionador de problemas. El solucionador de problemas usa Ejecutar comando para ejecutar un script en la máquina y comprobar las dependencias. Una vez completado el proceso del solucionador de problemas, devuelve el resultado de las comprobaciones.
Los resultados se muestran en la página cuando haya terminado el proceso. Las secciones de las comprobaciones muestran lo que está incluido en cada una de ellas.
Comprobaciones de requisitos previos
Sistema operativo
La comprobación del sistema operativo comprueba si Hybrid Runbook Worker está ejecutando uno de los sistemas operativos admitidos.
.NET 4.6.2
La comprobación de .NET Framework constata si el sistema tiene instalado .NET Framework 4.6.2 o superior.
Para corregirlo, instale .NET Framework 4.6 o posterior.
Descargue .NET Framework.
WMF 5.1
La comprobación de WMF verifica si el sistema tiene la versión requerida de Windows Management Framework (WMF).
Para corregirlo, debe descargar e instalar Windows Management Framework 5.1, ya que requiere Windows PowerShell 5.1 para que Azure Update Management funcione.
TLS 1.2
Esta comprobación determina si usa TLS 1.2 para cifrar las comunicaciones. TLS 1.0 ya no es compatible con la plataforma. Se recomienda usar TLS 1.2 para comunicarse con Update Management.
Para corregirlo, siga los pasos para habilitar TLS 1.2.
Supervisión de comprobaciones del estado de servicio del agente
Hybrid Runbook Worker
Para corregir el problema, realice un nuevo registro forzado de Hybrid Runbook Worker.
Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
Restart-service healthservice
Nota:
Esto quitará el usuario Hybrid Worker de la máquina. Asegúrese de comprobarlo y volver a registrarlo después. No es necesario realizar ninguna acción si la máquina solo tiene Hybrid Runbook Worker del sistema.
Para validarlo, compruebe el id. de evento 15003 (evento de inicio de HW) O 15004 (evento de detención de HW) EXISTE en los registros de eventos operativos de SMA de Microsoft.
Genere una incidencia de soporte técnico si el problema aún no se ha corregido.
Área de trabajo vinculada a las máquinas virtuales
Consulte Requisitos de red.
Para validar: compruebe el área de trabajo conectada a las máquinas virtuales o la tabla Heartbeat del análisis de registros correspondiente.
Heartbeat | where Computer =~ ""
Estado del servicio Windows Update
Para corregir este problema, inicie el servicio wuaserv.
Start-Service -Name wuauserv -ErrorAction SilentlyContinue
Comprobaciones de conectividad
El solucionador de problemas no enruta actualmente el tráfico a través de un servidor proxy si se ha configurado uno.
Punto de conexión del registro
Esta comprobación determina si el agente puede comunicarse correctamente con el servicio del agente.
Las configuraciones de proxy y firewall deben permitir que el agente de Hybrid Runbook Worker se comunique con el punto de conexión de registro. Para ver una lista de direcciones y puertos que deben abrirse, consulte Planeamiento de red.
Permita las direcciones URL de requisito previo. Después de que cambie la red, puede volver a ejecutar el solucionador de problemas o ejecutar los siguientes comandos para validar:
$workspaceId =- ""
$endpoint = $workspaceId + “.agentsvc.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Punto de conexión de las operaciones
Esta comprobación determina si el agente puede comunicarse correctamente con el servicio de datos en tiempo de ejecución del trabajo.
Las configuraciones de proxy y firewall deben permitir que el agente de Hybrid Runbook Worker se comunique con el servicio de datos en tiempo de ejecución del trabajo. Para ver una lista de direcciones y puertos que deben abrirse, consulte Planeamiento de red.
Permita las direcciones URL de requisito previo. Después de que cambie la red, puede volver a ejecutar el solucionador de problemas o ejecutar los siguientes comandos para validar:
$jrdsEndpointLocationMoniker = “”
# $jrdsEndpointLocationMoniker should be based on automation account location (jpe/ase/scus) etc.
$endpoint = $jrdsEndpointLocationMoniker + “-jobruntimedata-prod-su1.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Conexión HTTPS
Simplifica la administración continua de las reglas de seguridad de la red. Permita las direcciones URL de requisito previo.
Después de que cambie la red, puede volver a ejecutar el solucionador de problemas o ejecutar los siguientes comandos para validar:
$uri = "https://eus2-jobruntimedata-prod-su1.azure-automation.net"
Invoke-WebRequest -URI $uri -UseBasicParsing
Configuración del proxy
Si el proxy está habilitado, asegúrese de que tiene acceso a las direcciones URL de requisito previo.
Para comprobar si el proxy está configurado correctamente, use los siguientes comandos:
netsh winhttp show proxy
o compruebe que la clave del Registro ProxyEnable está establecida en 1 en
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Conectividad de punto de conexión de IMDS
Para corregir el problema, permita el acceso a la IP 169.254.169.254
Para más información, consulte Acceso al servicio de metadatos de la instancia de Azure
Después de que cambie la red, puede volver a ejecutar el solucionador de problemas o ejecutar los siguientes comandos para validar:
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.254/metadata/instance?api-version=2018-02-01
Comprobaciones del estado de servicio de las máquinas virtuales
Supervisión del estado de servicio del agente
Esta comprobación determina si el agente de Log Analytics para Windows (healthservice) se ejecuta en la máquina. Para obtener más información sobre cómo solucionar problemas del servicio, consulte El agente de Log Analytics para Windows no está en ejecución.
Para reinstalar el agente de Log Analytics para Windows, consulte Instalación del agente de Log Analytics para Windows.
Supervisión de eventos de servicio del agente
Esta comprobación determina si se ha producido algún evento 4502 en el registro de Azure Operations Manager de la maquina durante las últimas 24 horas.
Para más información sobre este evento, consulte el evento 4502 del registro de Operations Manager para este evento.
Comprobaciones de permisos de acceso
Carpeta de clave de máquina
La comprobación determina si la cuenta del sistema local tiene acceso a: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys.
Para corregirlo, conceda a la cuenta SYSTEM los permisos necesarios (Lectura, Escritura y modificación o Control total) en la carpeta C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Use los siguientes comandos para comprobar los permisos de la carpeta:
$folder = “C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys”
(Get-Acl $folder).Access |? {($_.IdentityReference -match $User) -or ($_.IdentityReference -match "Everyone")} | Select IdentityReference, FileSystemRights
Configuración de actualización de máquina
Reinicio automático después de la instalación
Para corregirlo, quite las claves del Registro de: HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
Configure el reinicio según la configuración de programación de Update Management.
AlwaysAutoRebootAtScheduledTime
AlwaysAutoRebootAtScheduledTimeMinutes
Para más información, vea Configuración de los valores de reinicio.
Configuración del servidor WSUS
Si el entorno se establece para obtener actualizaciones de WSUS, asegúrese de que se aprueba en WSUS antes de la implementación de actualizaciones. Para más información, consulte Opciones de configuración de WSUS. Si el entorno no usa WSUS, asegúrese de quitar la configuración del servidor WSUS y restablecer el componente Windows Update.
Descarga e instalación automática
Para corregir el problema, deshabilite la característica AutoUpdate. Establézcala en Deshabilitado en la directiva de grupo local Configurar Actualizaciones automáticas. Para más información, consulte Configuración de actualizaciones automáticas.
Solución de problemas sin conexión
Puede usar el solucionador de problemas en una instancia sin conexión de Hybrid Runbook Worker si ejecuta el script de forma local. Obtenga el siguiente script de GitHub: UM_Windows_Troubleshooter_Offline.ps1. Para ejecutar el script, debe tener WMF 5.0 o superior instalado. Para descargar la versión más reciente de PowerShell, consulte Instalación de varias versiones de PowerShell.
El resultado de este script tendrá un aspecto similar al del siguiente ejemplo:
RuleId : OperatingSystemCheck
RuleGroupId : prerequisites
RuleName : Operating System
RuleGroupName : Prerequisite Checks
RuleDescription : The Windows Operating system must be version 6.1.7600 (Windows Server 2008 R2) or higher
CheckResult : Passed
CheckResultMessage : Operating System version is supported
CheckResultMessageId : OperatingSystemCheck.Passed
CheckResultMessageArguments : {}
RuleId : DotNetFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : .NET Framework 4.6.2+
RuleGroupName : Prerequisite Checks
RuleDescription : .NET Framework version 4.6.2 or higher is required
CheckResult : Passed
CheckResultMessage : .NET Framework version 4.6.2+ is found
CheckResultMessageId : DotNetFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {}
RuleId : WindowsManagementFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : WMF 5.1
RuleGroupName : Prerequisite Checks
RuleDescription : Windows Management Framework version 4.0 or higher is required (version 5.1 or higher is preferable)
CheckResult : Passed
CheckResultMessage : Detected Windows Management Framework version: 5.1.22621.169
CheckResultMessageId : WindowsManagementFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {5.1.22621.169}
RuleId : AutomationAgentServiceConnectivityCheck1
RuleGroupId : connectivity
RuleName : Registration endpoint
RuleGroupName : connectivity
RuleDescription :
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : AutomationAgentServiceConnectivityCheck1.Failed.NoRegistrationFound
CheckResultMessageArguments :
RuleId : AutomationJobRuntimeDataServiceConnectivityCheck
RuleGroupId : connectivity
RuleName : Operations endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow Automation Hybrid Worker agent to communicate with
eus2-jobruntimedata-prod-su1.azure-automation.net
CheckResult : Passed
CheckResultMessage : TCP Test for eus2-jobruntimedata-prod-su1.azure-automation.net (port 443) succeeded
CheckResultMessageId : AutomationJobRuntimeDataServiceConnectivityCheck.Passed
CheckResultMessageArguments : {eus2-jobruntimedata-prod-su1.azure-automation.net}
RuleId : MonitoringAgentServiceRunningCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service status
RuleGroupName : VM Service Health Checks
RuleDescription : HealthService must be running on the machine
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service (HealthService) is running
CheckResultMessageId : MonitoringAgentServiceRunningCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, HealthService}
RuleId : SystemHybridRunbookWorkerRunningCheck
RuleGroupId : servicehealth
RuleName : Hybrid runbook worker status
RuleGroupName : VM Service Health Checks
RuleDescription : Hybrid runbook worker must be in running state.
CheckResult : Passed
CheckResultMessage : Hybrid runbook worker is running.
CheckResultMessageId : SystemHybridRunbookWorkerRunningCheck.Passed
CheckResultMessageArguments : {}
RuleId : MonitoringAgentServiceEventsCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service events
RuleGroupName : VM Service Health Checks
RuleDescription : Event Log must not have event 4502 logged in the past 24 hours
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service Event Log (Operations Manager) does not have event 4502 logged in the last 24 hours.
CheckResultMessageId : MonitoringAgentServiceEventsCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, Operations Manager, 4502}
RuleId : LinkedWorkspaceCheck
RuleGroupId : servicehealth
RuleName : VM's Linked Workspace
RuleGroupName : VM Service Health Checks
RuleDescription : Get linked workspace info of the VM
CheckResult : Failed
CheckResultMessage : VM is not reporting to any workspace.
CheckResultMessageId : LinkedWorkspaceCheck.Failed.NoWorkspace
CheckResultMessageArguments : {}
RuleId : CryptoRsaMachineKeysFolderAccessCheck
RuleGroupId : permissions
RuleName : Crypto RSA MachineKeys Folder Access
RuleGroupName : Access Permission Checks
RuleDescription : SYSTEM account must have WRITE and MODIFY access to 'C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys'
CheckResult : Passed
CheckResultMessage : Have permissions to access C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys
CheckResultMessageId : CryptoRsaMachineKeysFolderAccessCheck.Passed
CheckResultMessageArguments : {C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys}
RuleId : TlsVersionCheck
RuleGroupId : prerequisites
RuleName : TLS 1.2
RuleGroupName : Prerequisite Checks
RuleDescription : Client and Server connections must support TLS 1.2
CheckResult : Passed
CheckResultMessage : TLS 1.2 is enabled by default on the Operating System.
CheckResultMessageId : TlsVersionCheck.Passed.EnabledByDefault
CheckResultMessageArguments : {}
RuleId : AlwaysAutoRebootCheck
RuleGroupId : machineSettings
RuleName : AutoReboot
RuleGroupName : Machine Override Checks
RuleDescription : Automatic reboot should not be enable as it forces a reboot irrespective of update configuration
CheckResult : Passed
CheckResultMessage : Windows Update reboot registry keys are not set to automatically reboot
CheckResultMessageId : AlwaysAutoRebootCheck.Passed
CheckResultMessageArguments :
RuleId : WSUSServerConfigured
RuleGroupId : machineSettings
RuleName : isWSUSServerConfigured
RuleGroupName : Machine Override Checks
RuleDescription : Increase awareness on WSUS configured on the server
CheckResult : Passed
CheckResultMessage : Windows Updates are downloading from the default Windows Update location. Ensure the server has access to the Windows Update service
CheckResultMessageId : WSUSServerConfigured.Passed
CheckResultMessageArguments :
RuleId : AutomaticUpdateCheck
RuleGroupId : machineSettings
RuleName : AutoUpdate
RuleGroupName : Machine Override Checks
RuleDescription : AutoUpdate should not be enabled on the machine
CheckResult : Passed
CheckResultMessage : Windows Update is not set to automatically install updates as they become available
CheckResultMessageId : AutomaticUpdateCheck.Passed
CheckResultMessageArguments :
RuleId : HttpsConnection
RuleGroupId : connectivity
RuleName : Https connection
RuleGroupName : connectivity
RuleDescription : Check if VM is able to make https requests.
CheckResult : Passed
CheckResultMessage : VM is able to make https requests.
CheckResultMessageId : HttpsConnection.Passed
CheckResultMessageArguments : {}
RuleId : ProxySettings
RuleGroupId : connectivity
RuleName : Proxy settings
RuleGroupName : connectivity
RuleDescription : Check if Proxy is enabled on the VM.
CheckResult : Passed
CheckResultMessage : Proxy is not set.
CheckResultMessageId : ProxySettings.Passed
CheckResultMessageArguments : {}
RuleId : IMDSConnectivity
RuleGroupId : connectivity
RuleName : IMDS endpoint connectivity
RuleGroupName : connectivity
RuleDescription : Check if VM is able to reach IMDS server to get VM information.
CheckResult : PassedWithWarning
CheckResultMessage : VM is not able to reach IMDS server. Consider this as a Failure if this is an Azure VM.
CheckResultMessageId : IMDSConnectivity.PassedWithWarning
CheckResultMessageArguments : {}
RuleId : WUServiceRunningCheck
RuleGroupId : servicehealth
RuleName : WU service status
RuleGroupName : WU Service Health Check
RuleDescription : WU must not be in the disabled state.
CheckResult : Passed
CheckResultMessage : Windows Update service (wuauserv) is running.
CheckResultMessageId : WUServiceRunningCheck.Passed
CheckResultMessageArguments : {Windows Update, wuauserv}
RuleId : LAOdsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA ODS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA ODS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOdsEndpointConnectivity.Failed
CheckResultMessageArguments :
RuleId : LAOmsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA OMS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA OMS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOmsEndpointConnectivity.Failed
CheckResultMessageArguments :