Memecahkan masalah Manajemen Pembaruan

  • Artikel

Perhatian

Artikel ini mereferensikan CentOS, distribusi Linux yang mendekati status End Of Life (EOL). Harap pertimbangkan penggunaan dan perencanaan Anda yang sesuai. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.

Artikel ini membahas masalah yang mungkin dihadapi saat menggunakan fitur Manajemen Pembaruan di komputer Anda. Ada pemecah masalah agen untuk agen Hybrid Runbook Worker untuk membantu menentukan masalah yang mendasarinya. Untuk mempelajari selengkapnya tentang pemecah masalah, lihat Pemecahan masalah agen pembaruan Windows dan Pemecahan masalah agen pembaruan Linux. Untuk masalah penyebaran fitur lainnya, lihat Fitur memecahkan masalah penyebaran.

Catatan

Jika Anda mengalami masalah saat menggunakan Manajemen Pembaruan pada komputer Windows, buka Windows Pemantau Peristiwa, dan periksa log peristiwa Manajer Operasi di bawah Aplikasi dan Layanan pada mesin lokal. Cari peristiwa dengan ID peristiwa 4502 dan detail peristiwa yang berisi Microsoft.EnterpriseManagement.HealthService.AzureAutomation.HybridAgent.

Skenario: Pembaruan Windows Defender selalu menunjukkan hilang

Masalah

Pembaruan definisi untuk Windows Defender (KB2267602) selalu menunjukkan hilang dalam penilaian ketika diinstal dan menunjukkan sudah diperbarui ketika diverifikasi dari riwayat Windows Update.

Penyebab

Pembaruan definisi diterbitkan beberapa kali dalam satu hari. Akibatnya, Anda dapat melihat beberapa rilis KB2267602 yang diterbitkan dalam satu hari, tetapi dengan ID pembaruan dan versi yang berbeda.

Penilaian Manajemen Pembaruan berjalan sekali dalam 11 jam. Dalam contoh ini, pada pukul 10:00 penilaian berjalan dan versi 1.237.316.0 tersedia pada saat itu. Saat Anda mencari tabel Pembaruan di ruang kerja Analitik Log Anda, pembaruan Definisi 1.237.316.0 ditampilkan dengan UpdateStateDiperlukan. Jika penyebaran terjadwal berjalan beberapa jam kemudian, katakanlah 13.00 dan versi 1.237.316.0 masih tersedia atau versi yang lebih baru adalah, versi yang lebih baru diinstal dan ini tercermin dalam catatan yang ditulis ke tabel UpdateRunProgress. Namun, dalam tabel Pembaruan, masih akan menampilkan versi 1.237.316.0 sesuai Kebutuhan sampai penilaian berikutnya dijalankan. Ketika penilaian berjalan lagi, mungkin tidak ada pembaruan definisi yang lebih baru yang tersedia, sehingga tabel Pembaruan tidak akan menampilkan pembaruan definisi versi 1.237.316.0 sebagai hilang atau versi yang lebih baru tersedia sesuai kebutuhan. Karena frekuensi pembaruan definisi, mungkin ada beberapa versi yang dikembalikan dalam pencarian log.

Resolusi

Jalankan kueri log berikut untuk mengonfirmasi pembaruan definisi yang terinstal dilaporkan dengan benar. Kueri ini mengembalikan waktu yang dihasilkan, versi, dan ID pembaruan KB2267602 dalam tabel Pembaruan. Ganti nilai untuk Komputer dengan nama komputer yang sepenuhnya memenuhi syarat.

Update
| where TimeGenerated > ago(14h) and OSType != "Linux" and (Optional == false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((
    Heartbeat
    | where TimeGenerated > ago(12h) and OSType =~ "Windows" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, *) by Computer, SourceComputerId, UpdateID
| where UpdateState =~ "Needed" and Approved != false and Computer == "<computerName>"
| render table

Hasil kueri Anda harus mengembalikan sesuatu yang mirip dengan yang berikut ini:

Contoh memperlihatkan hasil kueri log dari tabel Pembaruan.

Jalankan kueri log berikut untuk mendapatkan waktu yang dihasilkan, versi, dan ID pembaruan KB2267602 dalam tabel UpdatesRunProgress. Kueri ini membantu kami memahami apakah kueri diinstal dari Manajemen Pembaruan atau apakah kueri diinstal secara otomatis pada komputer dari Microsoft Update. Anda perlu mengganti nilai untuk CorrelationId dengan GUID pekerjaan runbook (yaitu, nilai properti MasterJOBID dari pekerjaan runbook Patch-MicrosoftOMSComputer) untuk pembaruan, dan SourceComputerId dengan GUID komputer.

UpdateRunProgress
| where OSType!="Linux" and CorrelationId=="<master job id>" and SourceComputerId=="<source computer id>"
| summarize arg_max(TimeGenerated, Title, InstallationStatus) by UpdateId
| project TimeGenerated, id=UpdateId, displayName=Title, InstallationStatus

Hasil kueri Anda harus mengembalikan sesuatu yang mirip dengan yang berikut ini:

Contoh menunjukkan hasil kueri log dari tabel Pembaruan.

Jika nilai TimeGenerated untuk hasil kueri log dari tabel Pembaruan lebih lama daripada tanda waktu (yaitu, nilai TimeGenerated) dari instalasi pembaruan pada komputer atau dari hasil kueri log dari tabel UpdateRunProgress, maka tunggu penilaian berikutnya. Setelah itu, jalankan kueri log terhadap tabel Pembaruan lagi. Pembaruan untuk KB2267602 tidak akan muncul atau muncul dengan versi yang lebih baru. Namun, bahkan setelah penilaian terbaru jika versi yang sama muncul sesuai Kebutuhan dalam tabel Pembaruan tetapi sudah diinstal, Anda harus membuka insiden dukungan Azure.

Skenario: Pembaruan Linux ditampilkan sebagai tertunda dan yang diinstal bervariasi

Masalah

Untuk komputer Linux Anda, Manajemen Pembaruan menampilkan pembaruan tertentu yang tersedia di bawah klasifikasi Keamanan dan Lainnya. Tetapi ketika jadwal pembaruan dijalankan pada mesin, misalnya untuk menginstal hanya pembaruan yang cocok dengan klasifikasi Keamanan, pembaruan yang dipasang berbeda dari atau subset pembaruan yang ditampilkan sebelumnya cocok dengan klasifikasi itu.

Penyebab

Ketika penilaian pembaruan OS yang tertunda untuk mesin Linux Anda selesai, Buka Kerentanan dan Bahasa Penilaian file (OVAL) yang disediakan oleh vendor distro Linux digunakan oleh Manajemen Pembaruan untuk klasifikasi. Kategorisasi dilakukan untuk pembaruan Linux sebagai Keamanan atau Lainnya, berdasarkan file OVAL yang menyatakan pembaruan mengatasi masalah keamanan atau kerentanan. Tetapi ketika jadwal pembaruan dijalankan, ini berjalan pada komputer Linux menggunakan manajer paket yang sesuai seperti YUM, APT atau ZYPPER untuk menginstalnya. Manajer paket untuk distro Linux mungkin memiliki mekanisme yang berbeda untuk mengklasifikasikan pembaruan, di mana hasilnya mungkin berbeda dari yang diperoleh dari file OVAL oleh Manajemen Pembaruan.

Resolusi

Anda dapat secara manual memeriksa komputer Linux, pembaruan yang berlaku, dan klasifikasi mereka per manajer paket distro. Untuk memahami pembaruan mana yang diklasifikasikan sebagai Keamanan oleh manajer paket Anda, jalankan perintah berikut.

Untuk YUM, perintah berikut mengembalikan daftar pembaruan bukan nol yang dikategorikan sebagai Keamanan oleh Red Hat. Perhatikan bahwa dalam kasus CentOS, ini selalu mengembalikan daftar kosong dan tidak ada klasifikasi keamanan yang terjadi.

sudo yum -q --security check-update

Untuk ZYPPER, perintah berikut mengembalikan daftar pembaruan bukan nol yang dikategorikan sebagai Keamanan oleh SUSE.

sudo LANG=en_US.UTF8 zypper --non-interactive patch --category security --dry-run

Untuk YUM, perintah berikut mengembalikan daftar pembaruan bukan nol yang dikategorikan sebagai Keamanan oleh Canonical for distro Ubuntu Linux.

sudo grep security /etc/apt/sources.list > /tmp/oms-update-security.list LANG=en_US.UTF8 sudo apt-get -s dist-upgrade -oDir::Etc::Sourcelist=/tmp/oms-update-security.list

Dari daftar ini Anda kemudian menjalankan perintah grep ^Inst untuk mendapatkan semua pembaruan keamanan yang tertunda.

Skenario: Anda menerima kesalahan "Gagal mengaktifkan solusi Pembaruan"

Masalah

Saat Anda mencoba mengaktifkan Manajemen Pembaruan di akun Azure Automation, Anda mendapatkan kesalahan berikut:

Error details: Failed to enable the Update solution

Penyebab

Kesalahan ini dapat terjadi karena alasan berikut:

  • Persyaratan jaringan firewall untuk agen Analitik Log mungkin tidak dikonfigurasi dengan benar. Situasi ini dapat menyebabkan agen gagal saat menyelesaikan URL DNS.

  • Penargetan Manajemen Pembaruan salah dikonfigurasi dan komputer tidak menerima pembaruan seperti yang diharapkan.

  • Anda mungkin juga memperhatikan bahwa mesin menunjukkan status di Non-compliant bawah Kepatuhan. Pada saat yang sama, Agen Analitik Desktop melaporkan agen sebagai Disconnected.

Resolusi

Skenario: Penggantian pembaruan menunjukkan sebagai tidak ada dalam Manajemen Pembaruan

Masalah

Pembaruan lama muncul untuk akun Azure Automation sebagai tidak ada meskipun telah digantikan. Penggantian pembaruan adalah salah satu yang tidak harus Anda pasang karena pembaruan nanti yang mengoreksi kerentanan yang sama tersedia. Manajemen Pembaruan mengabaikan penggantian pembaruan dan membuatnya tidak berlaku untuk mendukung penggantian pembaruan. Untuk informasi tentang masalah terkait, lihat Pembaruan digantikan.

Penyebab

Penggantian pembaruan tidak ditolak pada Windows Server Update Services (WSUS) sehingga dapat dianggap tidak berlaku.

Resolusi

Ketika penggantian pembaruan menjadi 100 persen tidak berlaku, Anda harus mengubah status persetujuan pembaruan tersebut ke Declined dalam WSUS. Untuk mengubah status persetujuan untuk semua pembaruan Anda:

  1. Di akun Azure Automation, pilih Manajemen Pembaruan untuk melihat status komputer. Lihat Menampilkan penilaian pembaruan.

  2. Periksa penggantian pembaruan untuk memastikan bahwa 100 persen tidak berlaku.

  3. Di komputer server WSUS melaporkan ke, tolak pembaruan.

  4. Pilih Komputer dan, di kolom Kepatuhan, paksa pemindaian ulang untuk kepatuhan. Lihat Mengelola pembaruan untuk komputer virtual.

  5. Ulangi langkah-langkah di atas untuk penggantian pembaruan lainnya.

  6. Untuk Windows Server Update Services (WSUS), bersihkan semua penggantian pembaruan untuk menyegarkan infrastruktur menggunakan Server pembersihan WSUS Wizard.

  7. Ulangi prosedur ini secara teratur untuk memperbaiki masalah tampilan dan meminimalkan jumlah ruang disk yang digunakan untuk manajemen pembaruan.

Skenario: Mesin tidak muncul di portal di bawah Manajemen Pembaruan

Masalah

Mesin Anda memiliki gejala berikut:

  • Mesin Anda ditampilkan Not configured dari tampilan Manajemen Pembaruan VM.

  • Mesin Anda hilang dari tampilan Manajemen Pembaruan akun Azure Automation Anda.

  • Anda memiliki mesin yang menunjukkan sebagai di Not assessed bawah Kepatuhan. Namun, Anda melihat data heartbeat di log Azure Monitor untuk Hybrid Runbook Worker tetapi tidak untuk Manajemen Pembaruan.

Penyebab

Masalah ini dapat disebabkan oleh masalah konfigurasi lokal atau oleh konfigurasi cakupan yang dikonfigurasi secara tidak benar. Kemungkinan penyebab spesifik adalah:

  • Anda mungkin harus mendaftar ulang dan menginstal ulang Hybrid Runbook Worker.

  • Anda mungkin telah menentukan kuota di ruang kerja yang telah dicapai dan itu mencegah penyimpanan data lebih lanjut.

Resolusi

  1. Jalankan pemecah masalah untuk Windows atau Linux, bergantung pada OS.

  2. Pastikan bahwa komputer Anda melaporkan ke ruang kerja yang benar. Untuk panduan tentang cara memverifikasi aspek ini, lihat Memverifikasi konektivitas agen ke Azure Monitor. Pastikan juga ruang kerja ini ditautkan ke akun Azure Automation Anda. Untuk mengonfirmasi, buka akun Azure Automation, lalu pilih Ruang kerja tertaut di bagian Sumber Daya Terkait.

  3. Pastikan komputer muncul di ruang kerja Analitik Log yang ditautkan ke akun Azure Automation. Jalankan kueri berikut di ruang kerja Analitik Log.

    Heartbeat
| summarize by Computer, Solutions

    Jika Anda tidak melihat mesin Anda dalam hasil kueri, mesin belum dicek masuk baru-baru ini. Mungkin ada masalah konfigurasi lokal dan Anda harus menginstal ulang agen.

    Jika mesin Anda tercantum dalam hasil kueri, verifikasi di bawah properti Solusi bahwa pembaruan dicantumkan. Ini memverifikasi bahwa mesin terdaftar di Manajemen Pembaruan. Jika tidak, periksa masalah konfigurasi cakupan. Konfigurasi cakupan menentukan mesin mana yang dikonfigurasi untuk Manajemen Pembaruan. Untuk mengonfigurasi konfigurasi cakupan untuk target mesin, lihat Mengaktifkan mesin di ruang kerja.

  4. Di ruang kerja Anda, jalankan kueri ini.

    Operation
| where OperationCategory == 'Data Collection Status'
| sort by TimeGenerated desc

    Jika Anda mendapatkan Data collection stopped due to daily limit of free data reached. Ingestion status = OverQuota hasil, kuota yang ditentukan pada ruang kerja Anda telah tercapai, yang mana telah menghentikan data untuk disimpan. Di ruang kerja Anda, buka manajemen volume data di bawah Penggunaan dan perkiraan biaya, dan ubah atau hapus kuota.

  5. Jika masalah masih berlanjut, ikuti langkah-langkah dalam Menyebarkan Windows Hybrid Runbook Worker untuk menginstal ulang Hybrid Worker untuk Windows. Untuk Linux, ikuti langkahnya di Menyebarkan Linux Hybrid Runbook Worker.

Skenario: Tidak dapat mendaftarkan penyedia sumber Azure Automation untuk langganan

Masalah

Saat Anda bekerja dengan fitur penyebaran di akun Azure Automation Anda, kesalahan berikut terjadi:

Error details: Unable to register Automation Resource Provider for subscriptions

Penyebab

Penyedia sumber daya Azure Automation tidak terdaftar dalam langganan.

Resolusi

Untuk mendaftarkan Penyedia Sumber Daya Azure Automation, ikuti langkah-langkah berikut di portal Microsoft Azure.

  1. Di daftar layanan Azure di bagian bawah portal, pilih Semua layanan, lalu pilih Langganan di grup layanan Umum.

  2. Pilih langganan Anda.

  3. Di bawah Pengaturan, pilih Penyedia Sumber.

  4. Dari daftar penyedia sumber, verifikasi bahwa penyedia sumber Microsoft.Automation sudah terdaftar.

  5. Jika tidak tercantum, daftarkan penyedia Microsoft.Automation dengan mengikuti langkah-langkah Mengatasi kesalahan untuk pendaftaran penyedia sumber daya.

Skenario: Pembaruan terjadwal tidak menambal beberapa mesin

Masalah

Mesin yang disertakan dalam pratinjau pembaruan tidak semua muncul dalam daftar patch mesin selama jangka waktu terjadwal, atau VM untuk cakupan terpilih dari grup dinamis tidak muncul dalam daftar pratinjau pembaruan di portal.

Daftar pratinjau pembaruan terdiri dari semua mesin yang diambil oleh kueri Azure Resource Graph untuk cakupan yang dipilih. Cakupan difilter untuk mesin yang memiliki sistem Hybrid Runbook Worker terinstal dan untuk Anda yang memiliki izin akses.

Penyebab

Masalah ini dapat memiliki salah satu penyebab berikut:

  • Langganan yang ditentukan dalam cakupan kueri dinamis tidak dikonfigurasi untuk penyedia sumber daya Azure Automation terdaftar.

  • Mesin tidak tersedia atau tidak memiliki tag yang sesuai ketika jadwal dijalankan.

  • Anda tidak memiliki akses yang benar pada cakupan yang dipilih.

  • Kueri Azure Resource Graph tidak mengambil mesin yang diharapkan.

  • Sistem Hybrid Runbook Worker tidak diinstal pada mesin.

Resolusi

Langganan tidak dikonfigurasi untuk penyedia sumber daya Azure Automation terdaftar

Jika langganan Anda tidak dikonfigurasi untuk penyedia sumber daya Azure Automation, Anda tidak bisa mengkueri atau mengambil informasi tentang mesin dalam langganan tersebut. Gunakan langkah-langkah berikut untuk memverifikasi pendaftaran langganan.

  1. Di portal Microsoft Azure, akses daftar layanan Azure.

  2. Pilih Semua layanan, lalu pilih Langganan di grup layanan Umum.

  3. Temukan langganan yang ditentukan dalam cakupan penyebaran Anda.

  4. Di bawah Pengaturan, pilih Penyedia Sumber.

  5. Verifikasi bahwa penyedia sumber daya Microsoft.Automation terdaftar.

  6. Jika tidak tercantum, daftarkan penyedia Microsoft.Automation dengan mengikuti langkah-langkah Mengatasi kesalahan untuk pendaftaran penyedia sumber daya.

Mesin tidak tersedia atau tidak ditag dengan benar ketika jadwal dijalankan

Gunakan prosedur berikut jika langganan Anda dikonfigurasikan untuk penyedia sumber daya Azure Automation, tetapi menjalankan jadwal pembaruan dengan grup dinamis tertentu melewatkan beberapa mesin.

  1. Di portal Microsoft Azure, buka akun Azure Automation dan pilih Manajemen Pembaruan.

  2. Periksa riwayat Manajemen Pembaruan untuk menentukan waktu yang tepat saat penyebaran pembaruan dijalankan.

  3. Untuk mesin yang Anda curigai telah terlewatkan oleh Manajemen Pembaruan, gunakan Azure Resource Graph (ARG) untuk menemukan perubahan mesin.

  4. Cari perubahan selama periode yang cukup lama, seperti satu hari, sebelum penyebaran pembaruan dijalankan.

  5. Periksa hasil pencarian untuk setiap perubahan sistemik, seperti hapus atau perbarui perubahan, ke mesin di periode ini. Perubahan ini dapat mengubah status atau tag mesin sehingga mesin tidak dipilih dalam daftar mesin saat pembaruan disebarkan.

  6. Sesuaikan mesin dan pengaturan sumber daya yang diperlukan untuk memperbaiki masalah status atau tag mesin.

  7. Jalankan ulang jadwal pembaruan untuk memastikan bahwa penyebaran dengan grup dinamis tertentu mencakup semua mesin.

Akses yang salah pada cakupan yang dipilih

Portal Microsoft Azure hanya menampilkan mesin yang mana Anda memiliki akses tulis dalam cakupan tertentu. Jika Anda tidak memiliki akses yang benar untuk cakupan, lihat Tutorial: Memberikan akses pengguna ke sumber daya Azure menggunakan portal Microsoft Azure.

Kueri Azure Resource Graph tidak mengembalikan mesin yang diharapkan

Ikuti langkah-langkah di bawah ini untuk mengetahui apakah kueri Anda berfungsi dengan benar.

  1. Jalankan kueri Azure Resource Graph yang diformat seperti yang diperlihatkan di bawah ini di bilah Azure Resource Graph Explorer di portal Microsoft Azure. Jika Anda baru menggunakan Azure Resource Graph, lihat mulai cepat ini untuk mempelajari cara bekerja dengan Azure Resource Graph Explorer. Kueri ini meniru filter yang Anda pilih saat Anda membuat grup dinamis di Manajemen Pembaruan. Lihat Menggunakan grup dinamis dengan Manajemen Pembaruan.

    where (subscriptionId in~ ("<subscriptionId1>", "<subscriptionId2>") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "<Windows/Linux>" and resourceGroup in~ ("<resourceGroupName1>","<resourceGroupName2>") and location in~ ("<location1>","<location2>") )
| project id, location, name, tags = todynamic(tolower(tostring(tags)))
| where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" and tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "All" option selected for tags
| where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" or tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "Any" option selected for tags
| project id, location, name, tags

    Berikut adalah contoh:

    where (subscriptionId in~ ("20780d0a-b422-4213-979b-6c919c91ace1", "af52d412-a347-4bc6-8cb7-4780fbb00490") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "Windows" and resourceGroup in~ ("testRG","withinvnet-2020-01-06-10-global-resources-southindia") and location in~ ("australiacentral","australiacentral2","brazilsouth") )
| project id, location, name, tags = todynamic(tolower(tostring(tags)))
| where  (tags[tolower("ms-resource-usage")] =~ "azure-cloud-shell" and tags[tolower("temp")] =~ "temp")
| project id, location, name, tags

  2. Periksa untuk melihat apakah mesin yang Anda cari tercantum dalam hasil kueri.

  3. Jika mesin tidak tercantum, mungkin ada masalah dengan filter yang dipilih dalam grup dinamis. Sesuaikan konfigurasi grup sesuai kebutuhan.

Sistem Hybrid Runbook Worker tidak diinstal pada mesin

Mesin memang muncul di hasil kueri Azure Resource Graph, tetapi masih tidak muncul di pratinjau grup dinamis. Dalam hal ini, mesin mungkin tidak didesain sebagai sistem Hybrid Runbook workers dan dengan demikian tidak dapat menjalankan pekerjaan Azure Automation dan Manajemen Pembaruan. Untuk memastikan bahwa mesin yang Anda harapkan untuk dilihat diatur sebagai sistem Hybrid Runbook Worker:

  1. Di portal Microsoft Azure, buka akun Azure Automation untuk mesin yang tidak muncul dengan benar.

  2. Pilih Grup Hybrid worker di bagian Proses Automation.

  3. Pilih tab Grup system hybrid worker.

  4. Validasi bahwa hybrid worker hadir untuk mesin itu.

  5. Jika komputer tidak diatur sebagai Hybrid Runbook Worker sistem, tinjau metode untuk mengaktifkan penggunaan salah satu metode berikut:

    Metode untuk mengaktifkan didasarkan pada lingkungan yang dijalankan mesin.

  6. Ulangi langkah-langkah di atas untuk semua mesin yang belum ditampilkan di pratinjau.

Skenario: Komponen Manajemen Pembaruan diaktifkan, sementara VM terus ditampilkan saat dikonfigurasi

Masalah

Anda terus melihat pesan berikut pada 15 menit VM setelah penyebaran dimulai:

The components for the 'Update Management' solution have been enabled, and now this virtual machine is being configured. Please be patient, as this can sometimes take up to 15 minutes.

Penyebab

Kesalahan ini dapat terjadi karena alasan berikut:

  • Komunikasi dengan akun Azure Automation diblokir.

  • Terdapat nama komputer duplikat dengan ID komputer sumber yang berbeda. Skenario ini terjadi ketika VM dengan nama komputer tertentu dibuat dalam grup sumber daya yang berbeda dan melaporkan ke ruang kerja Agen Logistik yang sama dalam langganan.

  • Gambar VM yang disebarkan mungkin berasal dari mesin kloning yang tidak disiapkan dengan Persiapan Sistem (sysprep) dengan agen Analitik Log untuk Windows terinstal.

Resolusi

Untuk membantu dalam menentukan masalah yang tepat dengan VM, jalankan kueri berikut di ruang kerja Analitik Log yang ditautkan ke akun Azure Automation Anda.

Update
| where Computer contains "fillInMachineName"
| project TimeGenerated, Computer, SourceComputerId, Title, UpdateState

Komunikasi dengan akun Azure Automation diblokir

Buka Perencanaan jaringan untuk mempelajari tentang alamat dan port mana yang harus diizinkan agar Manajemen Pembaruan dapat bekerja.

Menduplikasi nama komputer

Ganti nama VM Anda untuk memastikan nama unik di lingkungannya.

Gambar yang disebarkan dari mesin kloning

Jika Anda menggunakan gambar kloning, nama komputer yang berbeda memiliki ID komputer sumber yang sama. Dalam hal ini:

  1. Di ruang kerja Log Analitik Anda, hapus VM dari penelusuran yang disimpan MicrosoftDefaultScopeConfig-Updates untuk konfigurasi cakupan jika ditampilkan. Pencarian tersimpan dapat ditemukan di bawah Umum di ruang kerja Anda.

  2. Jalankan cmdlet berikut.

    Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force

  3. Jalankan Restart-Service HealthService untuk memulai ulang layanan kesehatan. Operasi ini menciptakan kembali kunci dan menghasilkan UUID baru.

  4. Jika pendekatan ini tidak berhasil, jalankan system preparation pada gambar terlebih dahulu lalu instal agen Analitik Log untuk Windows.

Skenario: Anda menerima kesalahan langganan tertaut saat membuat penyebaran pembaruan untuk mesin di penyewa Azure lain

Masalah

Anda mengalami kesalahan berikut saat mencoba membuat penyebaran pembaruan untuk mesin di penyewa Azure lain:

The client has permission to perform action 'Microsoft.Compute/virtualMachines/write' on scope '/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroupName/providers/Microsoft.Automation/automationAccounts/automationAccountName/softwareUpdateConfigurations/updateDeploymentName', however the current tenant '00000000-0000-0000-0000-000000000000' is not authorized to access linked subscription '00000000-0000-0000-0000-000000000000'.

Penyebab

Kesalahan ini terjadi saat Anda membuat penyebaran pembaruan yang memiliki Azure VM di penyewa lain yang disertakan dalam penyebaran pembaruan.

Resolusi

Gunakan solusi berikut untuk menjadwalkan item ini. Anda dapat menggunakan cmdlet New-AzAutomationSchedule dengan parameter ForUpdateConfiguration untuk membuat jadwal. Kemudian, gunakan cmdlet New-AzAutomationSoftwareUpdateConfiguration dan berikan mesin di penyewa lain ke NonAzureComputer parameter. Contoh berikut menunjukkan cara melakukan ini:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$s = New-AzAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName $aa -Schedule $s -Windows -AzureVMResourceId $azureVMIdsW -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Skenario: Reboot yang tidak dapat dijelaskan

Masalah

Meskipun Anda telah mengatur opsi Kontrol Reboot ke Never Reboot, mesin masih memuat ulang setelah pembaruan diinstal.

Penyebab

Windows Update bisa dimodifikasi oleh beberapa kunci registri, salah satunya bisa mengubah perilaku memuat ulang.

Resolusi

Tinjau kunci registri yang tercantum di bawah Mengonfigurasi Pembaruan Otomatis dengan mengedit registri dan Kunci registri yang digunakan untuk mengelola hidupkan ulang untuk memastikan mesin Anda dikonfigurasi dengan benar.

Skenario: Mesin menunjukkan "Gagal memulai" dalam penyebaran pembaruan

Masalah

Komputer menampilkan status Failed to start atau Failed. Saat Anda melihat detail spesifik untuk mesin, Anda akan melihat kesalahan berikut:

For one or more machines in schedule, UM job run resulted in either Failed or Failed to start state. Guide available at https://aka.ms/UMSucrFailed.

Penyebab

Kesalahan ini dapat terjadi karena salah satu alasan berikut:

  • Mesin tidak ada lagi.
  • Mesin dimatikan dan tidak dapat dijangkau.
  • Mesin memiliki masalah konektivitas jaringan, dan oleh karena itu hybrid worker pada mesin tidak dapat dijangkau.
  • Terdapat pembaruan pada agen Analitik Log yang mengubah sumber ID komputer.
  • Pembaruan Anda jalankan dibatasi jika Anda mencapai batas 200 pekerjaan bersamaan di akun Azure Automation. Setiap penyebaran dianggap sebagai pekerjaan, dan setiap mesin dalam penyebaran pembaruan dihitung sebagai pekerjaan. Pekerjaan automasi atau penyebaran pembaruan lainnya yang saat ini berjalan di akun Azure Automation Anda diperhitungkan dalam batas tugas bersamaan.

Resolusi

Anda dapat mengambil detail lebih lanjut secara terprogram menggunakan REST API. Lihat Komputer Konfigurasi Pembaruan Perangkat Lunak Berjalan untuk informasi tentang mengambil daftar mesin konfigurasi pembaruan yang dijalankan, atau satu komputer konfigurasi pembaruan perangkat lunak yang dijalankan berdasarkan ID.

Saat dapat diterapkan, gunakan grup dinamis untuk penyebaran pembaruan Anda. Selain itu, Anda dapat mengambil langkah-langkah berikut.

  1. Verifikasi bahwa mesin atau server Anda memenuhi persyaratan.
  2. Verifikasi konektivitas ke Hybrid Runbook Worker menggunakan agen pemecah masalah Hybrid Runbook Worker. Untuk mempelajari selengkapnya tentang pemecah masalah, lihat Pemecahan masalah agen pembaruan.

Skenario: Pembaruan diinstal tanpa penyebaran

Masalah

Ketika Anda mendaftarkan mesin Windows di Manajemen Pembaruan, Anda melihat pembaruan terpasang tanpa penyebaran.

Penyebab

Pada Windows, pembaruan dipasang segera secara otomatis setelah tersedia. Perilaku ini dapat menyebabkan kebingungan jika Anda tidak menjadwalkan pembaruan untuk disebarkan ke mesin.

Resolusi

Kunci HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU registri default ke pengaturan 4: auto download and install.

Untuk klien Manajemen Pembaruan, sebaiknya atur kunci ini ke 3: auto download but do not auto install.

Untuk informasi selengkapnya, lihat Mengonfigurasi Pembaruan Otomatis.

Skenario: Mesin sudah terdaftar ke akun yang berbeda

Masalah

Anda mungkin menerima pesan kesalahan berikut:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.InvalidOperationException: {"Message":"Machine is already registered to a different account."}

Penyebab

Mesin telah disebarkan ke ruang kerja lain untuk Manajemen Pembaruan.

Resolusi

  1. Ikuti langkah-langkah di bawah Mesin tidak muncul di bawah portal Manajemen Pembaruan untuk memastikan mesin melaporkan ke ruang kerja yang benar.
  2. Bersihkan artefak pada mesin dengan menghapus grup hybrid runbook, lalu coba lagi.

Skenario: Mesin tidak dapat berkomunikasi dengan layanan

Masalah

Anda menerima salah satu pesan kesalahan berikut:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a receive. ---> System.ComponentModel.Win32Exception: The client and server can't communicate, because they do not possess a common algorithm

Unable to Register Machine for Patch Management, Registration Failed with Exception Newtonsoft.Json.JsonReaderException: Error parsing positive infinity value.

The certificate presented by the service <wsid>.oms.opinsights.azure.com was not issued by a certificate authority used for Microsoft services. Contact your network administrator to see if they are running a proxy that intercepts TLS/SSL communication.

Access is denied. (Exception form HRESULT: 0x80070005(E_ACCESSDENIED))

Penyebab

Proksi, gateway, atau firewall mungkin memblokir komunikasi jaringan.

Resolusi

Tinjau jaringan Anda dan pastikan porta dan alamat yang sesuai diperbolehkan. Lihat persyaratan jaringan untuk daftar port dan alamat yang diperlukan oleh Manajemen Pembaruan dan Runbook Hibrid Workers.

Skenario: Tidak dapat membuat sertifikat yang ditandatangani sendiri

Masalah

Anda menerima salah satu pesan kesalahan berikut:

Unable to Register Machine for Patch Management, Registration Failed with Exception AgentService.HybridRegistration. PowerShell.Certificates.CertificateCreationException: Failed to create a self-signed certificate. ---> System.UnauthorizedAccessException: Access is denied.

Penyebab

Hybrid Runbook Worker tidak dapat membuat sertifikat yang ditandatangani sendiri.

Resolusi

Verifikasi bahwa akun sistem telah membaca akses ke folder C:\ProgramData\Microsoft\Crypto\RSA, dan coba lagi.

Skenario: Pembaruan terjadwal gagal dengan kesalahan MaintenanceWindowExceeded

Masalah

Jendela pemeliharaan default untuk pembaruan adalah 120 menit. Anda dapat meningkatkan jendela pemeliharaan hingga maksimum 6 jam, atau 360 menit. Anda mungkin menerima pesan kesalahan For one or more machines in schedule, UM job run resulted in Maintenance Window Exceeded state. Guide available at https://aka.ms/UMSucrMwExceeded.

Resolusi

Untuk memahami mengapa ini terjadi selama setelah pembaruan berjalan berhasil dimulai, periksa output pekerjaan dari mesin yang terpengaruh saat dijalankan. Anda mungkin menemukan pesan kesalahan tertentu dari mesin yang dapat Anda teliti dan mengambil tindakan.

Anda dapat mengambil detail lebih lanjut secara terprogram menggunakan REST API. Lihat Komputer Konfigurasi Pembaruan Perangkat Lunak Berjalan untuk informasi tentang mengambil daftar mesin konfigurasi pembaruan yang dijalankan, atau satu komputer konfigurasi pembaruan perangkat lunak yang dijalankan berdasarkan ID.

Edit penyebaran pembaruan terjadwal yang gagal, dan tingkatkan jendela pemeliharaan.

Untuk informasi selengkapnya tentang jendela pemeliharaan, lihat Memasang pembaruan.

Skenario: Mesin menunjukkan sebagai "Tidak dinilai" dan menampilkan pengecualian

Masalah

  • Anda memiliki mesin yang ditampilkan sebagai di Not assessed bawah Kepatuhan, dan Anda melihat pesan pengecualian di bawahnya.
  • Anda melihat kode kesalahan HRESULT di portal.

Penyebab

Agen Pembaruan (Agen Pemutakhiran Windows pada Windows; manajer paket untuk distribusi Linux) tidak dikonfigurasi dengan benar. Manajemen Pembaruan bergantung pada Agen Pembaruan mesin untuk memberikan pembaruan yang diperlukan, status patch, dan hasil patch yang disebarkan. Tanpa informasi ini, Manajemen Pembaruan tidak dapat melaporkan patch yang diperlukan atau dipasang dengan benar.

Resolusi

Cobalah untuk melakukan pembaruan secara lokal pada mesin. Jika operasi ini gagal, ini biasanya berarti ada kesalahan konfigurasi agen pembaruan.

Masalah ini sering disebabkan oleh masalah konfigurasi jaringan dan firewall. Gunakan pemeriksaan berikut untuk memperbaiki masalah.

Jika Anda melihat HRESULT, klik ganda pengecualian yang ditampilkan dalam warna merah untuk melihat seluruh pesan pengecualian. Tinjau tabel berikut untuk resolusi potensial atau tindakan yang disarankan.

Pengecualian Resolusi atau tindakan
Exception from HRESULT: 0x……C Cari kode galat yang relevan di Daftar kode galat Windosw Update untuk menemukan detail tambahan tentang penyebab pengecualian.
0x8024402C
0x8024401C
0x8024402F		 Ini menunjukkan masalah konektivitas jaringan. Pastikan bahwa mesin Anda memiliki konektivitas jaringan yang tepat untuk Manajemen Pembaruan. Lihat bagian perencanaan jaringan untuk daftar port dan alamat yang diperlukan.
0x8024001E Operasi pembaruan tidak selesai karena layanan atau sistem dimatikan.
0x8024002E Layanan Windows Update dinonaktifkan.
0x8024402C Jika Anda menggunakan server WSUS, pastikan nilai registri untuk WUServer dan WUStatusServer di bawah HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate kunci registri tentukan server WSUS yang benar.
0x80072EE2 Terdapat masalah konektivitas jaringan atau masalah dalam berbicara dengan server WSUS yang dikonfigurasi. Periksa pengaturan WSUS dan pastikan dapat diakses dari klien.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) Pastikan layanan Windows Update (wuauserv) dijalankan dan diaktifkan.
0x80070005 Kesalahan akses yang ditolak dapat disebabkan oleh salah satu hal berikut:
Komputer yang terinfeksi
Pengaturan Windows Update tidak dikonfigurasi dengan benar
File Kesalahan ijin dengan folder %WinDir%\SoftwareDistribution
Ruang disk tidak mencukupi pada drive sistem (C:).
Pengecualian generik lainnya Jalankan pencarian di internet untuk kemungkinan resolusi, dan bekerja dengan dukungan IT lokal Anda.

Meninjau file %Windir%\Windowsupdate.log juga bisa membantu Anda menentukan kemungkinan penyebabnya. Untuk informasi selengkapnya tentang cara membaca log, lihat Cara membaca file Windowsupdate.log.

Anda juga dapat mengunduh dan menjalankan pemecah masalah Windows Update untuk memeriksa masalah pada mesin Windows Update.

Catatan

Dokumentasi pemecah masalah Windows Update menunjukkan bahwa ini digunakan untuk klien Windows, tetapi juga berfungsi pada Windows Server.

Skenario: Pembaruan yang dijalankan mengembalikan status Gagal (Linux)

Masalah

Pembaruan berjalan dimulai tetapi menemui galat kesalahan selama proses.

Penyebab

Kemungkinan penyebabnya:

  • Manajer paket tidak sehat.
  • Agen Pembaruan (WUA untuk Windows, manajer paket khusus distro untuk Linux) salah dikonfigurasi.
  • Paket tertentu mengganggu penambalan berbasis awan.
  • Mesinnya tidak bisa dihubungi.
  • Pembaruan memiliki dependensi yang tidak diselesaikan.

Resolusi

Untuk memahami mengapa ini terjadi selama pembaruan berjalan berhasil dimulai, periksa output pekerjaan dari mesin yang terpengaruh saat dijalankan. Anda mungkin menemukan pesan kesalahan tertentu dari mesin yang dapat Anda teliti dan mengambil tindakan. Manajemen Pembaruan mengharuskan manajer paket sehat untuk keberhasilan penyebaran pembaruan.

Jika patch, paket, atau pembaruan tertentu terlihat segera sebelum pekerjaan gagal, Anda dapat mencoba mengecualikan item ini dari penyebaran pembaruan berikutnya. Untuk mengumpulkan informasi log dari Windows Update, lihat File log Windows Update.

Jika Anda tidak dapat mengatasi masalah penambalan, buat salinan file /var/opt/microsoft/omsagent/run/automationworker/omsupdatemgmt.log dan pertahankan untuk tujuan pemecahan masalah sebelum penyebaran pembaruan berikutnya dimulai.

Patch tidak dipasang

Mesin tidak memasang pembaruan

Coba jalankan pembaruan langsung pada mesin. Jika mesin tidak dapat menerapkan pembaruan, hubungi daftar potensi kesalahan dalam panduan pemecahan masalah.

Jika pembaruan berjalan secara lokal, coba hapus dan pasang ulang agen pada mesin dengan mengikuti panduan di Hapus VM dari Manajemen Pembaruan.

Saya tahu pembaruan tersedia, tetapi tidak ditampilkan seperti yang tersedia di mesin saya

Ini sering terjadi jika komputer dikonfigurasi untuk mendapatkan pembaruan dari WSUS atau Microsoft Configuration Manager tetapi WSUS dan Configuration Manager belum menyetujui pembaruan.

Anda dapat memeriksa untuk melihat apakah mesin dikonfigurasi untuk WSUS dan SCCM dengan referensi silang UseWUServer kunci registri ke kunci registri di bagian Mengonfigurasi Pembaruan Otomatis dengan Mengedit bagian registri dari artikel ini.

Jika pembaruan tidak disetujui di WSUS, pembaruan tidak dipasang. Anda dapat memeriksa pembaruan yang tidak disetujui di Analitik Log dengan menjalankan kueri berikut.

Update | where UpdateState == "Needed" and ApprovalSource == "WSUS" and Approved == "False" | summarize max(TimeGenerated) by Computer, KBID, Title

Pembaruan ditampilkan saat dipasang, tetapi saya tidak dapat menemukannya di mesin saya

Pembaruan sering kali digantikan oleh pembaruan lain. Untuk informasi selengkapnya, lihat Pembaruan digantikan panduan Pemecahan Masalah Pembaruan Windows.

Memasang pembaruan berdasarkan klasifikasi di Linux

Menyebarkan pembaruan ke Linux berdasarkan klasifikasi ("Pembaruan penting dan pembaruan keamanan") memiliki peringatan penting, terutama untuk CentOS. Batasan ini didokumentasikan di halaman ringkasan Manajemen Pembaruan.

KB2267602 hilang secara konsisten

KB2267602 adalah pembaruan definisi Pertahanan Windows. Ini diperbarui setiap hari.

Langkah berikutnya

Jika Anda tidak melihat masalah atau tidak dapat menyelesaikan masalah Anda, coba salah satu saluran berikut untuk mendapatkan dukungan tambahan.