Risolvere i problemi relativi a Gestione aggiornamenti

Attenzione

Questo articolo fa riferimento a CentOS, una distribuzione Linux vicina allo stato end of life (EOL). Prendere in considerazione l'uso e la pianificazione di conseguenza. Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.

Questo articolo illustra i problemi che possono verificarsi quando si usa la funzionalità Gestione aggiornamenti per valutare e gestire gli aggiornamenti nei computer. È disponibile uno strumento di risoluzione dei problemi dell'agente per runbook ibrido per determinare il problema sottostante. Per altre informazioni sullo strumento di risoluzione dei problemi, vedere Risolvere i problemi relativi all'agente di aggiornamento Windows e Risolvere i problemi relativi all'agente di aggiornamento Linux. Per altri problemi relativi alla distribuzione di funzionalità, vedere Risolvere i problemi relativi alla distribuzione di funzionalità.

Nota

Se si verificano problemi durante la distribuzione di Gestione aggiornamenti in un computer Windows, aprire il Visualizzatore eventi di Windows e controllare il registro eventi di Operations Manager in Registri applicazioni e servizi nel computer locale. Cercare gli eventi con ID 4502 e dettagli evento che contengono Microsoft.EnterpriseManagement.HealthService.AzureAutomation.HybridAgent.

Scenario: l'aggiornamento di Windows Defender viene sempre visualizzato come mancante

Problema

L'aggiornamento delle definizioni per Windows Defender (KB2267602) viene sempre visualizzato come mancante in una valutazione quando è installato e viene visualizzato come aggiornato quando viene verificato dalla cronologia di Windows Update.

Causa

Gli aggiornamenti delle definizioni vengono pubblicati più volte in un singolo giorno. Di conseguenza, è possibile visualizzare più versioni di KB2267602 pubblicate in un singolo giorno, ma con un ID di aggiornamento e una versione diversi.

La valutazione di Gestione aggiornamenti viene eseguita una volta in 11 ore. In questo esempio, alle 10:00 è stata eseguita una valutazione e la versione 1.237.316.0 era disponibile al momento. Quando si esegue una ricerca nella tabella Aggiornamento nell'area di lavoro Log Analytics, viene visualizzato l'aggiornamento delle definizioni 1.237.316.0 con UpdateState impostato su Necessario. Se una distribuzione pianificata viene eseguita alcune ore dopo, si supponga che le 1:00 e la versione 1.237.316.0 siano ancora disponibili o sia disponibile una versione più recente, la versione più recente viene installata e questo si riflette nel record scritto nella tabella UpdateRunProgress . Nella tabella Aggiornamento, tuttavia, viene comunque visualizzata la versione 1.237.316.0 come Necessaria fino all'esecuzione della valutazione successiva. Quando la valutazione viene eseguita di nuovo, potrebbe non essere disponibile un aggiornamento delle definizioni più recente, pertanto la tabella Update non visualizzerà l'aggiornamento della definizione versione 1.237.316.0 come mancante o una versione più recente disponibile in base alle esigenze. A causa della frequenza degli aggiornamenti delle definizioni, nella ricerca log potrebbero essere restituite più versioni.

Risoluzione

Eseguire la query di log seguente per verificare che gli aggiornamenti delle definizioni installati siano segnalati correttamente. Questa query restituisce l'ORA generata, la versione e l'ID di aggiornamento di KB2267602 nella tabella Aggiornamenti. Sostituire il valore per Computer con il nome completo del computer.

Update
| where TimeGenerated > ago(14h) and OSType != "Linux" and (Optional == false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((
    Heartbeat
    | where TimeGenerated > ago(12h) and OSType =~ "Windows" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, *) by Computer, SourceComputerId, UpdateID
| where UpdateState =~ "Needed" and Approved != false and Computer == "<computerName>"
| render table

I risultati della query devono restituire un risultato simile al seguente:

Eseguire la query di log seguente per ottenere l'ORA generata, la versione e l'ID aggiornamento di KB2267602 nella tabella Aggiornamenti RunProgress. Questa query consente di capire se è stata installata da Gestione aggiornamenti o se è stata installata automaticamente nel computer da Microsoft Update. È necessario sostituire il valore per CorrelationId con il GUID del processo del runbook( ovvero il valore della proprietà MasterJOBID del processo del runbook Patch-MicrosoftOMSComputer ) per l'aggiornamento e SourceComputerId con il GUID del computer.

UpdateRunProgress
| where OSType!="Linux" and CorrelationId=="<master job id>" and SourceComputerId=="<source computer id>"
| summarize arg_max(TimeGenerated, Title, InstallationStatus) by UpdateId
| project TimeGenerated, id=UpdateId, displayName=Title, InstallationStatus

I risultati della query devono restituire un risultato simile al seguente:

Se il valore TimeGenerated per la query di log risultante dalla tabella Aggiornamenti è precedente al timestamp (ovvero il valore TimeGenerated) dell'installazione dell'aggiornamento nel computer o dai risultati della query di log dalla tabella UpdateRunProgress, attendere la valutazione successiva. Successivamente, eseguire di nuovo la query di log sulla tabella Aggiornamenti. Un aggiornamento per KB2267602 non verrà visualizzato o visualizzato con una versione più recente. Tuttavia, anche dopo la valutazione più recente se la stessa versione viene visualizzata come Necessario nella tabella Aggiornamenti ma è già installata, è consigliabile aprire un evento imprevisto supporto tecnico di Azure.

Scenario: gli aggiornamenti di Linux visualizzati come in sospeso e quelli installati variano

Problema

Per il computer Linux, Gestione aggiornamenti mostra aggiornamenti specifici disponibili in Sicurezza di classificazione e Altri. Tuttavia, quando viene eseguita una pianificazione degli aggiornamenti nel computer, ad esempio per installare solo gli aggiornamenti corrispondenti alla classificazione sicurezza , gli aggiornamenti installati sono diversi da o un subset degli aggiornamenti mostrati in precedenza corrispondenti a tale classificazione.

Causa

Quando viene eseguita una valutazione degli aggiornamenti del sistema operativo in sospeso per il computer Linux, i file OVAL (Open Vulnerability and Assessment Language ) forniti dal fornitore della distribuzione Linux vengono usati da Gestione aggiornamenti per la classificazione. La categorizzazione viene eseguita per gli aggiornamenti di Linux come Sicurezza o Altri, in base ai file OVAL che dichiarano gli aggiornamenti per risolvere problemi di sicurezza o vulnerabilità. Tuttavia, quando viene eseguita la pianificazione degli aggiornamenti, viene eseguita nel computer Linux usando la gestione pacchetti appropriata, ad esempio YUM, APT o ZYPPER per installarli. La gestione pacchetti per la distribuzione linux può avere un meccanismo diverso per classificare gli aggiornamenti, in cui i risultati possono differire da quelli ottenuti dai file OVAL da Gestione aggiornamenti.

Risoluzione

È possibile controllare manualmente il computer Linux, gli aggiornamenti applicabili e la relativa classificazione in base alla gestione pacchetti della distribuzione. Per comprendere quali aggiornamenti sono classificati come Security by your package manager, eseguire i comandi seguenti.

Per YUM, il comando seguente restituisce un elenco diverso da zero degli aggiornamenti classificati come Security by Red Hat. Si noti che nel caso di CentOS, restituisce sempre un elenco vuoto e non viene eseguita alcuna classificazione di sicurezza.

sudo yum -q --security check-update

Per ZYPPER, il comando seguente restituisce un elenco diverso da zero di aggiornamenti classificati come Security by SU edizione Standard.

sudo LANG=en_US.UTF8 zypper --non-interactive patch --category security --dry-run

Per APT, il comando seguente restituisce un elenco diverso da zero di aggiornamenti classificati come distribuzioni di Security by Canonical per Ubuntu Linux.

sudo grep security /etc/apt/sources.list > /tmp/oms-update-security.list LANG=en_US.UTF8 sudo apt-get -s dist-upgrade -oDir::Etc::Sourcelist=/tmp/oms-update-security.list

Da questo elenco si esegue quindi il comando grep ^Inst per ottenere tutti gli aggiornamenti della sicurezza in sospeso.

Scenario: viene visualizzato l'errore "Non è stato possibile abilitare la soluzione di aggiornamento"

Problema

Quando si prova ad abilitare Gestione aggiornamenti nell'account Automazione compare l'errore seguente:

Error details: Failed to enable the Update solution

Causa

Le cause di questo errore sono le seguenti:

• I requisiti del firewall di rete per l'agente di Log Analytics potrebbero non essere configurati correttamente. Questa situazione può causare un errore dell'agente durante la risoluzione degli URL DNS.

• La destinazione di Gestione aggiornamenti non è configurata correttamente e il computer non riceve gli aggiornamenti come previsto.

• È anche possibile notare che il computer mostra lo stato Non-compliant in Conformità. Allo stesso tempo, Agente Desktop Analytics segnala l'agente come Disconnected.

Risoluzione

• Eseguire lo strumento di risoluzione dei problemi per Windows o Linux, a seconda del sistema operativo.

• Passare a Configurazione di rete per informazioni sugli indirizzi e sulle porte che devono essere consentiti per il funzionamento di Gestione aggiornamenti.

• Verificare la presenza di problemi di configurazione dell'ambito. Configurazione ambito determina quali computer sono configurati per Gestione aggiornamenti. Se il computer viene visualizzato nell'area di lavoro ma non in Gestione aggiornamenti, è necessario impostare la configurazione dell'ambito come destinazione dei computer. Per informazioni sulla configurazione dell'ambito, vedere Abilitare i computer nell'area di lavoro.

• Rimuovere la configurazione del ruolo di lavoro attenendosi ai passaggi descritti in Rimuovere il ruolo di lavoro ibrido per runbook da un computer Windows locale oppure Rimuovere il ruolo di lavoro ibrido per runbook da un computer Linux locale.

Scenario: aggiornamento sostituito indicato come mancante in Gestione aggiornamenti

Problema

Gli aggiornamenti precedenti vengono visualizzati come mancanti per un account di Automazione anche se sono stati sostituiti. Non è necessario installare un aggiornamento sostituito perché è disponibile un aggiornamento successivo che corregge la stessa vulnerabilità. Gestione aggiornamenti ignora l'aggiornamento sostituito e lo rende non disponibile a favore di quello sostitutivo. Per informazioni su un problema correlato, vedere L'aggiornamento viene sostituito.

Causa

Gli aggiornamenti sostituiti non vengono rifiutati in Windows Server Update Services (WSUS) in modo che possano essere considerati non applicabili.

Risoluzione

Quando un aggiornamento sostituito diventa 100% non applicabile, è necessario modificare lo stato di approvazione di tale aggiornamento in Declined IN WSUS. Per modificare lo stato di approvazione di tutti gli aggiornamenti:

1. Selezionare Gestione aggiornamenti nell'account di Automazione per visualizzare lo stato del computer. Vedere Visualizzare la valutazione degli aggiornamenti.

2. Controllare l'aggiornamento sostituito per assicurarsi che sia non disponibile al 100%.

3. Nel server WSUS i computer segnalano a, rifiutare l'aggiornamento.

4. Selezionare Computer e nella colonna Conformità forzare la ripetizione dell'analisi per la conformità. Vedere Gestire gli aggiornamenti per le macchine virtuali.

5. Ripetere i passaggi precedenti per gli altri aggiornamenti sostituiti.

6. Per Windows Server Update Services (WSUS), pulire tutti gli aggiornamenti sostituiti per aggiornare l'infrastruttura tramite la pulizia guidata server WSUS.

7. Ripetere questa procedura regolarmente per correggere il problema di visualizzazione e ridurre al minimo la quantità di spazio su disco usata per la gestione aggiornamenti.

Scenario: i computer non vengono visualizzati nel portale in Gestione aggiornamenti

Problema

I computer presentano i sintomi seguenti:

• Il computer mostra Not configured dalla visualizzazione Gestione aggiornamenti di una macchina virtuale.

• I computer non sono presenti nella visualizzazione Gestione aggiornamenti dell'account di Automazione di Azure.

• Sono presenti computer visualizzati come Not assessed in Conformità. Tuttavia, vengono visualizzati i dati heartbeat nei log di Monitoraggio di Azure per il ruolo di lavoro ibrido per runbook ma non per Gestione aggiornamenti.

Causa

Questo problema può essere causato da anomalie relative alla configurazione locale o da una configurazione non corretta dell'ambito. Possibili cause specifiche:

• Potrebbe essere necessario registrare nuovamente e reinstallare il ruolo di lavoro ibrido per runbook.

• È possibile che sia stata definita una quota nell'area di lavoro che è stata raggiunta e che impedisce l'archiviazione di altri dati.

Risoluzione

1. Eseguire lo strumento di risoluzione dei problemi per Windows o Linux, a seconda del sistema operativo.

2. Controllare che il computer invii report all'area di lavoro corretta. Per indicazioni su come verificare questo aspetto, vedere Verificare la connettività dell'agente a Monitoraggio di Azure. Assicurarsi anche che l'area di lavoro sia collegata all'account di Automazione di Azure. Per confermare, passare all'account di Automazione e selezionare Area di lavoro collegata in Risorse correlate.

3. Assicurarsi che i computer siano visualizzati nell'area di lavoro Log Analytics collegata all'account di Automazione. Eseguire la query seguente nell'area di lavoro Log Analytics.

   Heartbeat
   | summarize by Computer, Solutions
   

   Se il computer non viene visualizzato nei risultati della query, non è stato sincronizzato di recente. Probabilmente si è verificato un problema di configurazione locale ed è necessario reinstallare l'agente.

   Se il computer è elencato nei risultati della query, verificare nella proprietà Soluzioni che gli aggiornamenti siano elencati. Ciò verifica che sia registrato con Gestione aggiornamenti. In caso contrario, verificare la presenza di problemi di configurazione dell'ambito. La configurazione ambito determina quali computer sono configurati per Gestione aggiornamenti. Per configurare la configurazione dell'ambito per il computer di destinazione, vedere Abilitare i computer nell'area di lavoro.

4. Eseguire la query nell'area di lavoro.

   Operation
   | where OperationCategory == 'Data Collection Status'
   | sort by TimeGenerated desc
   

   Se si ottiene il risultato Data collection stopped due to daily limit of free data reached. Ingestion status = OverQuota, vuol dire che è stata raggiunta la quota definita nell'area di lavoro, interrompendo il salvataggio dei dati. Nell'area di lavoro passare a gestione del volume dati in Utilizzo e costi stimati e modificare o rimuovere la quota.

5. Se il problema persiste, seguire i passaggi descritti in Distribuire un ruolo di lavoro ibrido per runbook di Windows per reinstallare il ruolo di lavoro ibrido per Windows. Per Linux, seguire i passaggi descritti in Distribuire un ruolo di lavoro ibrido per runbook di Linux.

Scenario: non è possibile registrare il provider di risorse di Automazione per le sottoscrizioni

Problema

Quando si lavora con le distribuzioni di funzionalità nell'account di Automazione, si verifica l'errore seguente:

Error details: Unable to register Automation Resource Provider for subscriptions

Causa

Il provider di risorse di Automazione non è registrato nella sottoscrizione.

Risoluzione

Per registrare il provider di risorse di Automazione, seguire questi passaggi nel portale di Azure.

1. Nell'elenco dei servizi di Azure in fondo al portale selezionare Tutti i servizi e quindi Sottoscrizioni nel gruppo di servizi Generale.

2. Selezionare la propria sottoscrizione.

3. In Impostazioni selezionare Provider di risorse.

4. Dall'elenco dei provider di risorse, verificare che il provider di risorse Microsoft.Automation sia registrato.

5. Se non è elencato, registrare il provider Microsoft.Automation seguendo i passaggi descritti in Risolvere gli errori per la registrazione del provider di risorse.

Scenario: l'aggiornamento pianificato non ha eseguito patch ad alcuni computer

Problema

I computer inclusi in un'anteprima di aggiornamento non vengono visualizzati tutti nell'elenco dei computer con patch durante un'esecuzione pianificata o le macchine virtuali per gli ambiti selezionati di un gruppo dinamico non vengono visualizzate nell'elenco di anteprima degli aggiornamenti nel portale.

L'elenco di anteprima degli aggiornamenti è costituito da tutti i computer recuperati da una query di Azure Resource Graph per gli ambiti selezionati. Gli ambiti vengono filtrati per i computer in cui è installato un ruolo di lavoro ibrido per runbook di sistema e per cui si dispone delle autorizzazioni di accesso.

Causa

Le cause di questo problema possono essere le seguenti:

• Le sottoscrizioni definite nell'ambito di una query dinamica non sono configurate per il provider di risorse di Automazione registrato.

• I computer non erano disponibili o non avevano i tag appropriati quando è stata eseguita la pianificazione.

• Non si dispone dell'accesso corretto agli ambiti selezionati.

• La query di Azure Resource Graph non recupera i computer previsti.

• Il ruolo di lavoro ibrido per runbook di sistema non è installato nei computer.

Risoluzione

Sottoscrizioni non configurate per il provider di risorse di Automazione registrato

Se la sottoscrizione non è configurata per il provider di risorse di Automazione, non è possibile eseguire query o recuperare informazioni sui computer nella sottoscrizione. Usare i passaggi seguenti per verificare la registrazione per la sottoscrizione.

1. Nel portale di Azure, accedere all'elenco dei servizi di Azure.

2. Selezionare Tutti i servizi e quindi Sottoscrizioni nel gruppo di servizi Generale.

3. Trovare la sottoscrizione definita nell'ambito della distribuzione.

4. In Impostazioni, scegliere Provider di risorse.

5. Verificare che il provider di risorse Microsoft.Automation sia registrato.

6. Se non è elencato, registrare il provider Microsoft.Automation seguendo i passaggi descritti in Risolvere gli errori per la registrazione del provider di risorse.

Computer non disponibili o non contrassegnati correttamente quando viene eseguita la pianificazione

Usare la procedura seguente se la sottoscrizione è configurata per il provider di risorse di Automazione, ma l'esecuzione della pianificazione degli aggiornamenti con i gruppi dinamici specificati ha escluso alcuni computer.

1. Nel portale di Azure aprire l'account di Automazione e selezionare Gestione aggiornamenti.

2. Controllare Cronologia Gestione aggiornamenti per determinare l'orario esatto in cui è stata eseguita la distribuzione degli aggiornamenti.

3. Per i computer che si sospetta siano stati esclusi da Gestione aggiornamenti, usare Azure Resource Graph (ARG) per individuare le modifiche del computer.

4. Cercare le modifiche apportate in un periodo di tempo considerevole, ad esempio un giorno, prima dell'esecuzione della distribuzione degli aggiornamenti.

5. Verificare nei risultati della ricerca la presenza di eventuali modifiche sistematiche, ad esempio quelle di eliminazione o aggiornamento, apportate ai computer in questo periodo. Queste modifiche possono modificare lo stato o i tag dei computer in modo che non siano selezionati nell'elenco dei computer quando vengono distribuiti gli aggiornamenti.

6. Modificare le impostazioni dei computer e delle risorse in modo da correggerne lo stato o i problemi relativi ai tag.

7. Eseguire di nuovo la pianificazione degli aggiornamenti per assicurarsi che la distribuzione con i gruppi dinamici specificati includa tutti i computer.

Accesso errato agli ambiti selezionati

Nel portale di Azure vengono visualizzati solo i computer per i quali si dispone dell'accesso in scrittura in un ambito specifico. Se non si ha l'accesso corretto per un ambito, vedere Esercitazione: Concedere a un utente l'accesso alle risorse di Azure usando il portale di Azure.

La query di Resource Graph non restituisce i computer previsti

Attenersi ai passaggi seguenti per determinare se le query funzionano correttamente.

1. Eseguire una query di Azure Resource Graph formattata come illustrato di seguito nel pannello Esplora risorse in portale di Azure. Se non si ha familiarità con Azure Resource Graph, vedere questa guida introduttiva per informazioni su come usare Resource Graph Explorer. Questa query simula i filtri selezionati al momento della creazione del gruppo dinamico in Gestione aggiornamenti. Vedere Usare i gruppi dinamici con Gestione aggiornamenti.

   where (subscriptionId in~ ("<subscriptionId1>", "<subscriptionId2>") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "<Windows/Linux>" and resourceGroup in~ ("<resourceGroupName1>","<resourceGroupName2>") and location in~ ("<location1>","<location2>") )
   | project id, location, name, tags = todynamic(tolower(tostring(tags)))
   | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" and tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "All" option selected for tags
   | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" or tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "Any" option selected for tags
   | project id, location, name, tags
   

   Ecco un esempio:

   where (subscriptionId in~ ("20780d0a-b422-4213-979b-6c919c91ace1", "af52d412-a347-4bc6-8cb7-4780fbb00490") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "Windows" and resourceGroup in~ ("testRG","withinvnet-2020-01-06-10-global-resources-southindia") and location in~ ("australiacentral","australiacentral2","brazilsouth") )
   | project id, location, name, tags = todynamic(tolower(tostring(tags)))
   | where  (tags[tolower("ms-resource-usage")] =~ "azure-cloud-shell" and tags[tolower("temp")] =~ "temp")
   | project id, location, name, tags
   

2. Controllare che i computer desiderati siano elencati nei risultati della query.

3. Se i computer non sono elencati, probabilmente si è verificato un problema con il filtro selezionato nel gruppo dinamico. Apportare le modifiche necessarie alla configurazione del gruppo.

Ruolo di lavoro ibrido per runbook non installato nei computer

I computer vengono visualizzati nei risultati delle query di Azure Resource Graph, ma non vengono comunque visualizzati nell'anteprima del gruppo dinamico. In questo caso, i computer potrebbero non essere designati come ruoli di lavoro ibridi per runbook di sistema e pertanto non possono eseguire Automazione di Azure e processi di Gestione aggiornamenti. Per assicurarsi che i computer che si prevede vengano configurati come ruoli di lavoro ibridi per runbook di sistema:

1. Nel portale di Azure, passare all'account di Automazione per un computer che non viene visualizzato correttamente.

2. Selezionare Gruppi di ruolo di lavoro ibridi in Automazione processi.

3. Selezionare la scheda Gruppi di ruolo lavoro ibrido di sistema.

4. Verificare che il ruolo di lavoro ibrido sia presente per tale computer.

5. Se il computer non è configurato come ruolo di lavoro ibrido per runbook di sistema, esaminare i metodi per abilitare l'uso di uno dei metodi seguenti:

   • Dall'account di Automazione per uno o più computer Azure e non Azure, inclusi i server abilitati per Azure Arc.

   • Uso del runbook Enable-AutomationSolutionper automatizzare l'onboarding delle macchine virtuali di Azure.

   • Per una macchina virtuale di Azure selezionata nella pagina Macchine virtuali nella portale di Azure. Questo scenario è disponibile per macchine virtuali Linux e Windows.

   • Per più macchine virtuali di Azure selezionandole nella pagina Macchine virtuali del portale di Azure.

   Il metodo da abilitare si basa sull'ambiente in cui è in esecuzione il computer.

6. Ripetere i passaggi precedenti per tutti i computer che non sono stati visualizzati nell'anteprima.

Scenario: componenti di Gestione aggiornamenti abilitati, mentre la macchina virtuale continua a essere configurata

Problema

Nella macchina virtuale continua a essere visualizzato il messaggio seguente 15 minuti dopo l'inizio della distribuzione:

The components for the 'Update Management' solution have been enabled, and now this virtual machine is being configured. Please be patient, as this can sometimes take up to 15 minutes.

Causa

Le cause di questo errore sono le seguenti:

• Le comunicazioni verso l'account di Automazione sono bloccate.

• È presente un nome computer duplicato con ID del computer di origine diversi. Questo scenario si verifica quando viene creata una macchina virtuale con un nome computer specifico in gruppi di risorse diversi e viene segnalata alla stessa area di lavoro dell'Agente logistico nella sottoscrizione.

• L'immagine della macchina virtuale da distribuire potrebbe provenire da un computer clonato senza preparazione sistema (sysprep) con l'agente di Log Analytics per Windows installato.

Risoluzione

Per individuare il problema esatto della macchina virtuale, eseguire la query seguente nell'area di lavoro Log Analytics collegata all'account di Automazione.

Update
| where Computer contains "fillInMachineName"
| project TimeGenerated, Computer, SourceComputerId, Title, UpdateState 

Le comunicazioni con l'account di Automazione sono bloccate

Passare a Pianificazione della rete per informazioni sugli indirizzi e sulle porte da abilitare per il funzionamento di Gestione aggiornamenti.

Nome computer duplicato

Rinominare le macchine virtuali in modo che i nomi nell'ambiente siano univoci.

Immagine distribuita dal computer clonato

Se si usa un'immagine clonata, nomi computer diversi hanno lo stesso ID computer di origine. In questo caso:

1. Nell'area di lavoro Log Analytics rimuovere la macchina virtuale dalla ricerca salvata per la configurazione dell'ambito MicrosoftDefaultScopeConfig-Updates se visualizzata. Le ricerche salvate sono disponibili in Generale nell'area di lavoro.

2. Eseguire il cmdlet seguente.

   Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
   

3. Eseguire Restart-Service HealthService per riavviare il servizio integrità. Questa operazione ricrea la chiave e genera un nuovo UUID.

4. Se questo approccio non funziona, eseguire prima sysprep nell'immagine e quindi installare l'agente di Log Analytics per Windows.

Scenario: viene visualizzato un errore di sottoscrizione collegata quando si crea una distribuzione di aggiornamento per i computer in un altro tenant di Azure

Problema

Viene visualizzato l'errore seguente durante la creazione di una distribuzione degli aggiornamenti per i computer in un altro tenant di Azure:

The client has permission to perform action 'Microsoft.Compute/virtualMachines/write' on scope '/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroupName/providers/Microsoft.Automation/automationAccounts/automationAccountName/softwareUpdateConfigurations/updateDeploymentName', however the current tenant '00000000-0000-0000-0000-000000000000' is not authorized to access linked subscription '00000000-0000-0000-0000-000000000000'.

Causa

Questo errore si verifica quando si crea una distribuzione degli aggiornamenti con macchine virtuali di Azure in un altro tenant incluso in una distribuzione degli aggiornamenti.

Risoluzione

Usare la soluzione alternativa seguente per la pianificazione degli elementi. È possibile usare il cmdlet New-AzAutomationSchedule con il parametro ForUpdateConfiguration per creare una pianificazione. Usare quindi il cmdlet New-AzAutomationSoftwareUpdateConfiguration e passare i computer nell'altro tenant al parametro NonAzureComputer. Nell'esempio seguente viene illustrato come eseguire questa operazione:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$s = New-AzAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName $aa -Schedule $s -Windows -AzureVMResourceId $azureVMIdsW -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Scenario: riavvii non spiegati

Problema

Anche se è impostata l'opzione Controllo riavvio per Non riavviare mai, i computer continuano a riavviarsi dopo l'installazione degli aggiornamenti.

Causa

È possibile modificare Windows Update con diverse chiavi del Registro di sistema, che possono cambiare il comportamento del riavvio.

Risoluzione

Esaminare le chiavi del registro di sistema elencate in Configurazione degli Aggiornamenti automatici modificando il Registro di sistema e Chiavi del registro di sistema usate per gestire il riavvio per assicurarsi che i computer siano configurati correttamente.

Scenario: il computer mostra "Non è stato possibile avviare" in una distribuzione degli aggiornamenti

Problema

Un computer mostra uno Failed to start stato o Failed . Quando si visualizzano i dettagli specifici per il computer, compare l'errore seguente:

For one or more machines in schedule, UM job run resulted in either Failed or Failed to start state. Guide available at https://aka.ms/UMSucrFailed.

Causa

Questo errore può verificarsi per uno dei seguenti motivi:

• Il computer non esiste più.
• Il computer è disattivato e non è raggiungibile.
• Il computer ha un problema di connettività di rete e quindi il ruolo di lavoro ibrido nel computer non è raggiungibile.
• È stato eseguito un aggiornamento dell'agente di Log Analytics che ha modificato l'ID computer di origine.
• L'esecuzione dell'aggiornamento è stata limitata se si raggiunge il limite di 200 processi simultanei in un account di Automazione. Ogni distribuzione viene considerata un processo e ogni computer in una distribuzione di aggiornamenti conta come processo. Qualsiasi altro processo di automazione o distribuzione di aggiornamenti attualmente in esecuzione nell'account di Automazione viene conteggiato verso il limite di processi simultanei.

Risoluzione

È possibile recuperare altri dettagli a livello di codice usando l'API REST. Per informazioni sul recupero di un elenco di esecuzioni del computer di configurazione degli aggiornamenti o su un singolo computer di configurazione degli aggiornamenti software eseguito in base all'ID, vedere Software Update Configuration Machine Runs for information on retrieving a list of update configuration machine runs, or a single software update configuration machine run by ID.

Se applicabili, usare i gruppi dinamici per le distribuzioni degli aggiornamenti. Inoltre, è possibile eseguire i passaggi seguenti.

1. Verificare che il computer o il server soddisfi i requisiti.
2. Verificare la connettività al ruolo di lavoro ibrido per runbook usando lo strumento di risoluzione dei problemi dell'agente del ruolo lavoro ibrido per runbook. Per altre informazioni sullo strumento di risoluzione dei problemi, vedere Risolvere i problemi dell'agente di aggiornamento.

Scenario: Aggiornamenti vengono installati senza una distribuzione

Problema

Quando si registra un computer Windows in Gestione aggiornamenti, vengono visualizzati gli aggiornamenti installati senza una distribuzione.

Causa

In Windows gli aggiornamenti vengono installati automaticamente non appena sono disponibili. Questo comportamento può causare confusione se non è stato pianificato un aggiornamento da distribuire nel computer.

Risoluzione

Per impostazione predefinita, la HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU chiave del Registro di sistema è 4: auto download and install.

Per i client Gestione aggiornamenti, è consigliabile impostare questa chiave su 3: auto download but do not auto install.

Per altre informazioni, vedere Configurazione degli Aggiornamenti automatici.

Scenario: il computer è già registrato per un altro account

Problema

Viene visualizzato il messaggio di errore seguente:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.InvalidOperationException: {"Message":"Machine is already registered to a different account."}

Causa

Il computer è già stato distribuito in un'altra area di lavoro per Gestione aggiornamenti.

Risoluzione

1. Seguire i passaggi descritti in I computer non vengono visualizzati nel portale in Gestione aggiornamenti per assicurarsi che il computer stia inviando report all'area di lavoro corretta.
2. Eseguire la pulizia degli artefatti nel computer eliminando il gruppo di runbook ibrido e riprovare.

Scenario: il computer non può comunicare con il servizio

Problema

Viene visualizzato uno dei seguenti messaggi di errore:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a receive. ---> System.ComponentModel.Win32Exception: The client and server can't communicate, because they do not possess a common algorithm

Unable to Register Machine for Patch Management, Registration Failed with Exception Newtonsoft.Json.JsonReaderException: Error parsing positive infinity value.

The certificate presented by the service <wsid>.oms.opinsights.azure.com was not issued by a certificate authority used for Microsoft services. Contact your network administrator to see if they are running a proxy that intercepts TLS/SSL communication.

Access is denied. (Exception form HRESULT: 0x80070005(E_ACCESSDENIED))

Causa

La comunicazione di rete potrebbe essere bloccata da un proxy, un gateway o un firewall.

Risoluzione

Esaminare le funzionalità di rete e assicurarsi che le porte e gli indirizzi appropriati siano consentiti. Vedere i requisiti di rete per un elenco di porte e indirizzi richiesti da Gestione aggiornamenti e i ruoli di lavoro ibridi per runbook.

Scenario: Impossibile creare un certificato autofirmato

Problema

Viene visualizzato uno dei seguenti messaggi di errore:

Unable to Register Machine for Patch Management, Registration Failed with Exception AgentService.HybridRegistration. PowerShell.Certificates.CertificateCreationException: Failed to create a self-signed certificate. ---> System.UnauthorizedAccessException: Access is denied.

Causa

Il ruolo di lavoro ibrido per runbook non è riuscito a generare un certificato autofirmato.

Soluzione

Verificare che l'account di sistema abbia accesso in lettura alla cartella C:\ProgramData\Microsoft\Crypto\RSA e riprovare.

Scenario: l'aggiornamento pianificato non è riuscito e viene visualizzato l'errore MaintenanceWindowExceeded

Problema

La finestra di manutenzione predefinita per gli aggiornamenti è di 120 minuti. È possibile aumentare la finestra di manutenzione fino a un massimo di 6 ore o 360 minuti. È possibile che venga visualizzato il messaggio di errore For one or more machines in schedule, UM job run resulted in Maintenance Window Exceeded state. Guide available at https://aka.ms/UMSucrMwExceeded.

Risoluzione

Per comprendere perché questo si è verificato durante un'esecuzione di aggiornamento dopo l'avvio, controllare l'output del processo dal computer interessato nell'esecuzione. È possibile trovare messaggi di errore specifici generati dai computer che possono essere esaminati per intervenire di conseguenza.

È possibile recuperare altri dettagli a livello di codice usando l'API REST. Per informazioni sul recupero di un elenco di esecuzioni del computer di configurazione degli aggiornamenti o su un singolo computer di configurazione degli aggiornamenti software eseguito in base all'ID, vedere Software Update Configuration Machine Runs for information on retrieving a list of update configuration machine runs, or a single software update configuration machine run by ID.

Modificare le distribuzioni degli aggiornamenti pianificati con errori e aumentare la finestra di manutenzione.

Per altre informazioni sulle finestre di manutenzione, vedere Installa aggiornamenti.

Scenario: il computer viene visualizzato come "Non valutato" e mostra un'eccezione HRESULT

Problema

• Sono presenti computer che risultano Not assessed in Conformità con un messaggio di eccezione sottostante.
• Nel portale viene visualizzato un codice di errore HRESULT.

Causa

L'Agente di aggiornamento (Agente di Windows Update in Windows; la gestione pacchetti per una distribuzione Linux) non è configurato correttamente. Gestione aggiornamenti si basa sul'Agente di aggiornamento del computer per offrire gli aggiornamenti necessari, lo stato della patch e i risultati delle patch distribuite. Senza queste informazioni Gestione aggiornamenti non può segnalare correttamente le patch necessarie o installate.

Risoluzione

Provare a eseguire gli aggiornamenti localmente nel computer. Se l'operazione ha esito negativo, in genere significa che si è verificato un errore nella configurazione dell'agente di aggiornamento.

Questo problema è spesso causato da anomalie relative a configurazione di rete e firewall. Usare i controlli seguenti per correggere il problema.

• Per Linux, consultare la documentazione appropriata e assicurarsi che sia possibile raggiungere l'endpoint di rete del repository del pacchetto.

• Per Windows, controllare la configurazione dell'agente come elencato in Gli aggiornamenti non vengono scaricati dall'endpoint Intranet (WSUS/SCCM).

  • Se i computer sono configurati per Windows Update, assicurarsi che sia possibile raggiungere gli endpoint descritti in Problemi relativi a HTTP/proxy.
  • Se i computer sono configurati per Windows Server Update Services (WSUS), verificare che sia possibile raggiungere il server WSUS configurato dalla chiave del Registro di sistema WUServer.

Se si visualizza HRESULT, fare doppio clic sull'eccezione in rosso per visualizzare il messaggio completo. Individuare possibili risoluzioni o azioni consigliate nella tabella seguente.

Eccezione	Risoluzione o azione
Exception from HRESULT: 0x……C	Per maggiori dettagli sulla causa dell'eccezione, cercare il codice di errore pertinente nell'elenco codici di errore relativi a Windows Update.
0x8024402C 0x8024401C 0x8024402F	Indicano problemi di connettività di rete. Assicurarsi che il computer disponga della connettività di rete per Gestione aggiornamenti. Per un elenco di porte e indirizzi necessari, vedere la sezione pianificazione della rete.
0x8024001E	L'operazione di aggiornamento non è stata completata perché il servizio o il sistema era in fase di arresto.
0x8024002E	Il servizio Windows Update è disabilitato.
0x8024402C	Se si usa un server WSUS, assicurarsi che i valori del Registro di sistema per WUServer e WUStatusServer nella chiave del HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate Registro di sistema specifichino il server WSUS corretto.
0x80072EE2	Si sono verificati problemi di connettività di rete o problemi di comunicazione con un server WSUS configurato. Controllare le impostazioni di WSUS e verificare che il servizio sia accessibile dal client.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Assicurarsi che il servizio Windows Update (wuauserv) sia in esecuzione e non disattivato.
0x80070005	Un errore di accesso negato può dipendere da una delle cause seguenti: Computer infetto Impostazioni di Windows Update non configurate correttamente Errore di autorizzazione file con la cartella%WinDir%\SoftwareDistribution Spazio su disco insufficiente nell'unità di sistema (C:).
Qualsiasi altra eccezione generica	Ricercare possibili risoluzioni in Internet e collaborare con il supporto tecnico IT locale.

È possibile determinare le possibili cause anche esaminando il file %Windir%\Windowsupdate.log. Per altre informazioni su come leggere il log, vedere Come leggere il file Windowsupdate.log.

È inoltre possibile scaricare ed eseguire lo strumento di risoluzione dei problemi di Windows Update per verificare la presenza di problemi con Windows Update nel computer.

Nota

La documentazione relativa allo strumento di risoluzione dei problemi di Windows Update indica che è destinata all'uso nei client Windows, ma funziona anche su Windows Server.

Scenario: l'esecuzione dell'aggiornamento restituisce lo stato Non riuscito (Linux)

Problema

Un'operazione di aggiornamento viene avviata ma rileva errori durante l'esecuzione.

Causa

Possibili cause:

• La gestione pacchetti non è integra.
• L'agente di aggiornamento (WUA per Windows, gestione pacchetti specifica per le distribuzioni per Linux) non è configurato correttamente.
• Pacchetti specifici stanno interferendo con l'applicazione di patch basata sul cloud.
• Il computer non è raggiungibile.
• Gli aggiornamenti hanno dipendenze non risolte.

Risoluzione

Se si verificano errori durante l'esecuzione di un aggiornamento dopo un normale avvio, controllare l'output del processo del computer interessato. È possibile trovare messaggi di errore specifici generati dai computer che possono essere esaminati per intervenire di conseguenza. Gestione aggiornamenti richiede che la gestione pacchetti sia integra affinché le distribuzioni degli aggiornamenti abbiano esito positivo.

Se vengono visualizzate patch, pacchetti o aggiornamenti specifici immediatamente prima che il processo abbia esito negativo, è possibile provare aescludere questi elementi dalla successiva distribuzione degli aggiornamenti. Per raccogliere informazioni sui log da Windows Update, vedere File di log di Windows Update.

Se non è possibile risolvere un problema di patch, effettuare una copia del file /var/opt/Microsoft/omsagent/Run/automationworker/omsupdatemgmt.log e conservarlo per la risoluzione dei problemi prima dell'inizio della successiva distribuzione degli aggiornamenti.

Le patch non sono installate

I computer non installano gli aggiornamenti

Provare a eseguire gli aggiornamenti direttamente nel computer. Se non è possibile eseguire gli aggiornamenti nel computer, vedere l'elenco degli errori potenziali nella guida alla risoluzione dei problemi.

Se gli aggiornamenti sono eseguiti in locale, provare a rimuovere e reinstallare l'agente nel computer seguendo il materiale sussidiario in Rimuovere una macchina virtuale da Gestione aggiornamenti.

Sono disponibili aggiornamenti che tuttavia non vengono visualizzati come disponibili nei computer

Questo accade spesso se i computer sono configurati per ottenere gli aggiornamenti da WSUS o Microsoft Configuration Manager, ma WSUS e Configuration Manager non hanno approvato gli aggiornamenti.

È possibile controllare se i computer sono configurati per WSUS e SCCM eseguendo un riferimento incrociato tra la UseWUServerchiave del Registro di sistema e le chiavi del Registro di sistema nella sezione Configurazione degli aggiornamenti automatici modificando il Registro di sistema del presente articolo.

Se gli aggiornamenti non sono approvati in WSUS, non sono installati. È possibile verificare la presenza di aggiornamenti non approvati in Log Analytics eseguendo la query seguente.

Update | where UpdateState == "Needed" and ApprovalSource == "WSUS" and Approved == "False" | summarize max(TimeGenerated) by Computer, KBID, Title

Gli aggiornamenti vengono visualizzati come installati, ma non è possibile trovarli sul computer

Spesso gli aggiornamenti vengono sostituiti da altri aggiornamenti. Per altre informazioni, vedere Aggiornamento sostituito nella Guida alla risoluzione dei problemi di Windows Update.

Installazione degli aggiornamenti in base alla classificazione in Linux

La distribuzione degli aggiornamenti in Linux in base alla classificazione ("Aggiornamenti critici e della sicurezza") presenta avvertimenti importanti, in particolare per CentOS. Queste limitazioni sono documentate nella pagina di panoramica di Gestione aggiornamenti.

KB2267602 manca in modo coerente

KB2267602 è l'aggiornamento delle definizioni di Windows Defender. Viene aggiornato quotidianamente.

Passaggi successivi

Se il problema riscontrato non è presente in questo elenco o se non si riesce a risolverlo, visitare uno dei canali seguenti per ottenere ulteriore assistenza.

• Ottenere risposte dagli esperti di Azure tramite i forum di Azure.
• Connessione con @AzureSupport, l'account ufficiale di Microsoft Azure per migliorare l'esperienza dei clienti.
• Archiviare un incidente del supporto tecnico di Azure. Accedere al sito del supporto di Azure e selezionare Ottenere supporto.