Risolvere i problemi relativi all'agente di Windows Update
Importante
Rilevamento modifiche e inventario con l'agente di Log Analytics è stato ritirato il 31 agosto 2024 e funzionerà con supporto limitato fino al 01 febbraio 2025. È consigliabile usare l'agente di monitoraggio di Azure come nuovo agente di supporto. Seguire le linee guida per la migrazione da Rilevamento modifiche e inventario usando Analisi dei log per Rilevamento modifiche e inventario usando la versione dell'agente di monitoraggio di Azure.
I motivi per cui il computer non risulta pronto (integro) durante una distribuzione di Gestione aggiornamenti possono essere diversi. In Gestione aggiornamenti è possibile controllare l'integrità dell'agente di un ruolo di lavoro ibrido per runbook di Windows per determinare il problema sottostante. I seguenti sono i tre stati di idoneità per un computer:
- Preparazione - il ruolo di lavoro ibrido per runbook è stato distribuito ed è stato osservato meno di un'ora fa.
- Disconnesso: il ruolo di lavoro ibrido per runbook è stato distribuito ed è stato osservato più di un'ora fa.
- Non configurato: Il ruolo di lavoro ibrido per runbook non è stato trovato o non ha completato la distribuzione.
Nota
È possibile che si verifichi un lieve ritardo tra quanto visualizzato dal portale di Azure e lo stato corrente di un computer.
Questo articolo descrive come eseguire la risoluzione dei problemi per i computer Azure dal portale di Azure e per i computer non Azure nello scenario offline.
Nota
Lo script di risoluzione dei problemi include ora i controlli per Windows Server Update Services (WSUS) e per le chiavi di download e di installazione automatici.
Avviare la risoluzione dei problemi
Per i computer Azure, è possibile avviare la pagina Risoluzione dei problemi dell'agente di aggiornamento selezionando il collegamento Risoluzione dei problemi nella colonna Update Agent Readiness (Idoneità agente di aggiornamento) nel portale. Per i computer non Azure, il collegamento indirizza a questo articolo. Per risolvere i problemi in un computer non Azure, vedere Risolvere i problemi offline.
Nota
Per controllare l'integrità del ruolo di lavoro ibrido per runbook, la macchina virtuale deve essere in esecuzione. Se la macchina virtuale non è in esecuzione, viene visualizzato il pulsante Avvia macchina virtuale.
Nella pagina Risoluzione dei problemi dell'agente di aggiornamento selezionare Esegui controlli per avviare lo strumento di risoluzione dei problemi. Lo strumento di risoluzione dei problemi usa Esegui comando per eseguire uno script nel computer in modo da verificare le dipendenze. Una volta completata la risoluzione dei problemi, restituisce il risultato dei controlli.
I risultati vengono visualizzati nella pagina quando sono pronti. Le sezioni dei controlli mostrano il contenuto di ogni controllo.
Controlli dei prerequisiti
Sistema operativo
Il controllo del sistema operativo verifica se il ruolo di lavoro ibrido per runbook esegue uno dei sistemi operativi supportati
.NET 4.6.2
Il controllo di .NET Framework verifica se nel sistema è installato .NET Framework 4.6.2 o versione successiva.
Per risolvere il problema, installare .NET Framework 4.6 o versione successiva.
Scaricare .NET Framework.
WMF 5.1
Il controllo WMF verifica se nel sistema è disponibile la versione richiesta di Windows Management Framework (WMF).
Per risolvere il problema, è necessario scaricare e installare Windows Management Framework 5.1 in quanto per il funzionamento di Gestione degli aggiornamenti di Azure è richiesto Windows PowerShell 5.1.
TLS 1.2
Questo controllo determina se si usa TLS 1.2 per crittografare le comunicazioni. TLS 1.0 non è più supportato dalla piattaforma. Usare TLS 1.2 per comunicare con Gestione aggiornamenti.
Per risolvere il problema, seguire la procedura per Abilitare TLS 1.2
Controlli di integrità dei servizi dell'agente di monitoraggio
Ruolo di lavoro ibrido per runbook
Per risolvere il problema, eseguire una nuova registrazione forzata del ruolo di lavoro ibrido per runbook.
Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
Restart-service healthservice
Nota
In questo modo verrà rimosso il ruolo di lavoro ibrido dell'utente dal computer. Assicurarsi di controllare e registrarlo nuovamente in seguito. Non è necessaria alcuna azione se il computer dispone solo del ruolo di lavoro ibrido per runbook di sistema.
Per convalidare, controllare che l'ID evento 15003 (evento di avvio HW) O 15004 (evento di arresto HW) ESISTA nei registri eventi Microsoft-SMA/Operational.
Creare un ticket di supporto se il problema non è ancora risolto.
Area di lavoro collegata alle macchine virtuali
Vedere Requisiti di rete.
Per convalidare: controllare l'area di lavoro connessa alle macchine virtuali o la tabella Heartbeat di Log Analytics corrispondente.
Heartbeat | where Computer =~ ""
Stato del servizio Windows Update
Per risolvere questo problema, avviare il servizio wuaserv.
Start-Service -Name wuauserv -ErrorAction SilentlyContinue
Controlli della connettività
Lo strumento di risoluzione dei problemi attualmente non instrada il traffico tramite un server proxy se ne è configurato uno.
Endpoint di registrazione
Questo controllo determina se l'agente può comunicare correttamente con il servizio agente.
Le configurazioni di proxy e firewall devono consentire all'agente del ruolo di lavoro ibrido per runbook di comunicare con l'endpoint di registrazione. Per un elenco degli indirizzi e delle porte da aprire, vedere Pianificazione della rete.
Consentire gli URL dei prerequisiti. Dopo aver modificato la rete, è possibile eseguire di nuovo lo strumento di risoluzione dei problemi o i comandi seguenti per eseguire la convalida:
$workspaceId =- ""
$endpoint = $workspaceId + “.agentsvc.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Endpoint delle operazioni
Questo controllo determina se l'agente può comunicare correttamente con il servizio dati del processo di runtime.
Le configurazioni di proxy e firewall devono consentire all'agente del ruolo di lavoro ibrido per runbook di comunicare con il servizio dati del processo di runtime. Per un elenco degli indirizzi e delle porte da aprire, vedere Pianificazione della rete.
Consentire gli URL dei prerequisiti. Dopo aver modificato la rete, è possibile eseguire di nuovo lo strumento di risoluzione dei problemi o i comandi seguenti per eseguire la convalida:
$jrdsEndpointLocationMoniker = “”
# $jrdsEndpointLocationMoniker should be based on automation account location (jpe/ase/scus) etc.
$endpoint = $jrdsEndpointLocationMoniker + “-jobruntimedata-prod-su1.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Connessione HTTPS
Semplifica la gestione continuativa delle regole di sicurezza di rete. Consentire gli URL dei prerequisiti.
Dopo aver modificato la rete, è possibile eseguire di nuovo lo strumento di risoluzione dei problemi o i comandi seguenti per eseguire la convalida:
$uri = "https://eus2-jobruntimedata-prod-su1.azure-automation.net"
Invoke-WebRequest -URI $uri -UseBasicParsing
Impostazioni proxy
Se il proxy è abilitato, assicurarsi di avere accesso agli URL dei prerequisiti
Per verificare se il proxy è impostato correttamente, usare i comandi seguenti:
netsh winhttp show proxy
o controllare che la chiave del Registro di sistema ProxyEnable sia impostata su 1 in
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Connettività dell'endpoint IMDS
Per risolvere il problema, consentire l'accesso all'indirizzo IP 169.254.169.254
Per altre informazioni, vedere Accedere al servizio metadati dell'istanza di Azure
Dopo aver modificato la rete, è possibile eseguire di nuovo lo strumento di risoluzione dei problemi o i comandi seguenti per eseguire la convalida:
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.254/metadata/instance?api-version=2018-02-01
Criteri di integrità del servizio della macchina virtuale
Monitoraggio dello stato del servizio agente
Questo controllo determina se nel sistema è in esecuzione l'agente di Log Analytics per Windows (healthservice). Per altre informazioni sulla risoluzione dei problemi del servizio, vedere Mancata esecuzione dell'agente di Log Analytics per Windows.
Per reinstallare l'agente di Log Analytics per Windows, vedere Installare l'agente per Windows.
Monitoraggio degli eventi del servizio agente
Questo controllo determina se nel log di Azure Operations Manager nel computer sono indicati eventi 4502 relativi alle ultime 24 ore.
Per altre informazioni su questo evento, vedere Evento 4502 nel log di Operations Manager.
Controlli sulle autorizzazioni di accesso
Cartella della chiave del computer
Il controllo determina se l'account di sistema locale ha accesso a: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Per risolvere il problema, concedere all'account SYSTEM le autorizzazioni necessarie (Lettura, Scrittura e Modifica o Controllo completo) per la cartella C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Usare i comandi seguenti per controllare le autorizzazioni per la cartella:
$folder = “C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys”
(Get-Acl $folder).Access |? {($_.IdentityReference -match $User) -or ($_.IdentityReference -match "Everyone")} | Select IdentityReference, FileSystemRights
Impostazioni aggiornamento computer
Riavvia automaticamente dopo l'installazione
Per risolvere il problema, rimuovere le chiavi del Registro di sistema da: HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
Configurare il riavvio in base alla configurazione della pianificazione di Gestione degli aggiornamenti.
AlwaysAutoRebootAtScheduledTime
AlwaysAutoRebootAtScheduledTimeMinutes
Per altre informazioni, vedere Configurare le impostazioni di riavvio
Configurazione di WSUS Server
Se l'ambiente è impostato per ottenere gli aggiornamenti da WSUS, assicurarsi che sia approvato in WSUS prima della distribuzione degli aggiornamenti. Per altre informazioni, vedere Impostazioni di configurazione di WSUS. Se l'ambiente non usa WSUS, assicurarsi di rimuovere le impostazioni del server WSUS e di reimpostare il componente Windows Update.
Scarica e installa automaticamente
Per risolvere il problema, disabilitare la funzionalità AutoUpdate. Impostarla su Disabilitato nei Criteri di gruppo locali Configura aggiornamenti automatici. Per altre informazioni, vedere Configurare gli aggiornamenti automatici.
Risolvere i problemi offline
È possibile usare la risoluzione dei problemi per un ruolo di lavoro ibrido per runbook offline eseguendo lo script in locale. Ottenere lo script seguente da GitHub UM_Windows_Troubleshooter_Offline.ps1. Per eseguire lo script, deve essere installato WMF 5.0 o versione successiva. Per scaricare la versione più recente di PowerShell vedere Installazione delle diverse versioni di PowerShell.
L'output di questo script è simile al seguente:
RuleId : OperatingSystemCheck
RuleGroupId : prerequisites
RuleName : Operating System
RuleGroupName : Prerequisite Checks
RuleDescription : The Windows Operating system must be version 6.1.7600 (Windows Server 2008 R2) or higher
CheckResult : Passed
CheckResultMessage : Operating System version is supported
CheckResultMessageId : OperatingSystemCheck.Passed
CheckResultMessageArguments : {}
RuleId : DotNetFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : .NET Framework 4.6.2+
RuleGroupName : Prerequisite Checks
RuleDescription : .NET Framework version 4.6.2 or higher is required
CheckResult : Passed
CheckResultMessage : .NET Framework version 4.6.2+ is found
CheckResultMessageId : DotNetFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {}
RuleId : WindowsManagementFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : WMF 5.1
RuleGroupName : Prerequisite Checks
RuleDescription : Windows Management Framework version 4.0 or higher is required (version 5.1 or higher is preferable)
CheckResult : Passed
CheckResultMessage : Detected Windows Management Framework version: 5.1.22621.169
CheckResultMessageId : WindowsManagementFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {5.1.22621.169}
RuleId : AutomationAgentServiceConnectivityCheck1
RuleGroupId : connectivity
RuleName : Registration endpoint
RuleGroupName : connectivity
RuleDescription :
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : AutomationAgentServiceConnectivityCheck1.Failed.NoRegistrationFound
CheckResultMessageArguments :
RuleId : AutomationJobRuntimeDataServiceConnectivityCheck
RuleGroupId : connectivity
RuleName : Operations endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow Automation Hybrid Worker agent to communicate with
eus2-jobruntimedata-prod-su1.azure-automation.net
CheckResult : Passed
CheckResultMessage : TCP Test for eus2-jobruntimedata-prod-su1.azure-automation.net (port 443) succeeded
CheckResultMessageId : AutomationJobRuntimeDataServiceConnectivityCheck.Passed
CheckResultMessageArguments : {eus2-jobruntimedata-prod-su1.azure-automation.net}
RuleId : MonitoringAgentServiceRunningCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service status
RuleGroupName : VM Service Health Checks
RuleDescription : HealthService must be running on the machine
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service (HealthService) is running
CheckResultMessageId : MonitoringAgentServiceRunningCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, HealthService}
RuleId : SystemHybridRunbookWorkerRunningCheck
RuleGroupId : servicehealth
RuleName : Hybrid runbook worker status
RuleGroupName : VM Service Health Checks
RuleDescription : Hybrid runbook worker must be in running state.
CheckResult : Passed
CheckResultMessage : Hybrid runbook worker is running.
CheckResultMessageId : SystemHybridRunbookWorkerRunningCheck.Passed
CheckResultMessageArguments : {}
RuleId : MonitoringAgentServiceEventsCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service events
RuleGroupName : VM Service Health Checks
RuleDescription : Event Log must not have event 4502 logged in the past 24 hours
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service Event Log (Operations Manager) does not have event 4502 logged in the last 24 hours.
CheckResultMessageId : MonitoringAgentServiceEventsCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, Operations Manager, 4502}
RuleId : LinkedWorkspaceCheck
RuleGroupId : servicehealth
RuleName : VM's Linked Workspace
RuleGroupName : VM Service Health Checks
RuleDescription : Get linked workspace info of the VM
CheckResult : Failed
CheckResultMessage : VM is not reporting to any workspace.
CheckResultMessageId : LinkedWorkspaceCheck.Failed.NoWorkspace
CheckResultMessageArguments : {}
RuleId : CryptoRsaMachineKeysFolderAccessCheck
RuleGroupId : permissions
RuleName : Crypto RSA MachineKeys Folder Access
RuleGroupName : Access Permission Checks
RuleDescription : SYSTEM account must have WRITE and MODIFY access to 'C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys'
CheckResult : Passed
CheckResultMessage : Have permissions to access C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys
CheckResultMessageId : CryptoRsaMachineKeysFolderAccessCheck.Passed
CheckResultMessageArguments : {C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys}
RuleId : TlsVersionCheck
RuleGroupId : prerequisites
RuleName : TLS 1.2
RuleGroupName : Prerequisite Checks
RuleDescription : Client and Server connections must support TLS 1.2
CheckResult : Passed
CheckResultMessage : TLS 1.2 is enabled by default on the Operating System.
CheckResultMessageId : TlsVersionCheck.Passed.EnabledByDefault
CheckResultMessageArguments : {}
RuleId : AlwaysAutoRebootCheck
RuleGroupId : machineSettings
RuleName : AutoReboot
RuleGroupName : Machine Override Checks
RuleDescription : Automatic reboot should not be enable as it forces a reboot irrespective of update configuration
CheckResult : Passed
CheckResultMessage : Windows Update reboot registry keys are not set to automatically reboot
CheckResultMessageId : AlwaysAutoRebootCheck.Passed
CheckResultMessageArguments :
RuleId : WSUSServerConfigured
RuleGroupId : machineSettings
RuleName : isWSUSServerConfigured
RuleGroupName : Machine Override Checks
RuleDescription : Increase awareness on WSUS configured on the server
CheckResult : Passed
CheckResultMessage : Windows Updates are downloading from the default Windows Update location. Ensure the server has access to the Windows Update service
CheckResultMessageId : WSUSServerConfigured.Passed
CheckResultMessageArguments :
RuleId : AutomaticUpdateCheck
RuleGroupId : machineSettings
RuleName : AutoUpdate
RuleGroupName : Machine Override Checks
RuleDescription : AutoUpdate should not be enabled on the machine
CheckResult : Passed
CheckResultMessage : Windows Update is not set to automatically install updates as they become available
CheckResultMessageId : AutomaticUpdateCheck.Passed
CheckResultMessageArguments :
RuleId : HttpsConnection
RuleGroupId : connectivity
RuleName : Https connection
RuleGroupName : connectivity
RuleDescription : Check if VM is able to make https requests.
CheckResult : Passed
CheckResultMessage : VM is able to make https requests.
CheckResultMessageId : HttpsConnection.Passed
CheckResultMessageArguments : {}
RuleId : ProxySettings
RuleGroupId : connectivity
RuleName : Proxy settings
RuleGroupName : connectivity
RuleDescription : Check if Proxy is enabled on the VM.
CheckResult : Passed
CheckResultMessage : Proxy is not set.
CheckResultMessageId : ProxySettings.Passed
CheckResultMessageArguments : {}
RuleId : IMDSConnectivity
RuleGroupId : connectivity
RuleName : IMDS endpoint connectivity
RuleGroupName : connectivity
RuleDescription : Check if VM is able to reach IMDS server to get VM information.
CheckResult : PassedWithWarning
CheckResultMessage : VM is not able to reach IMDS server. Consider this as a Failure if this is an Azure VM.
CheckResultMessageId : IMDSConnectivity.PassedWithWarning
CheckResultMessageArguments : {}
RuleId : WUServiceRunningCheck
RuleGroupId : servicehealth
RuleName : WU service status
RuleGroupName : WU Service Health Check
RuleDescription : WU must not be in the disabled state.
CheckResult : Passed
CheckResultMessage : Windows Update service (wuauserv) is running.
CheckResultMessageId : WUServiceRunningCheck.Passed
CheckResultMessageArguments : {Windows Update, wuauserv}
RuleId : LAOdsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA ODS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA ODS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOdsEndpointConnectivity.Failed
CheckResultMessageArguments :
RuleId : LAOmsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA OMS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA OMS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOmsEndpointConnectivity.Failed
CheckResultMessageArguments :
Passaggi successivi
Risolvere i problemi relativi al ruolo di lavoro ibrido per runbook.