Windows Update エージェントの問題をトラブルシューティングする
Update Management の展開時にマシンが準備完了 (正常) と表示されない理由は多数存在する可能性があります。 Windows Hybrid Runbook Worker エージェントの正常性を検査して、背後にある問題を特定できます。 マシンの 3 つの準備状態を次に示します。
- 準備完了: Hybrid Runbook Worker が展開され、最後に表示されてからの経過時間が 1 時間未満である。
- 切断: Hybrid Runbook Worker が展開され、最後に表示されてからの経過時間が 1 時間以上である。
- 未構成: Hybrid Runbook Worker が見つからないか、展開が終了していない。
Note
Azure portal に表示される内容とマシンの現在の状態の間で、わずかに遅延が発生する可能性があります。
この記事では、Azure portal から Azure マシンを対象として、また、オフラインのシナリオで Azure 以外のマシンを対象としてトラブルシューティング ツールを実行する方法について説明します。
Note
トラブルシューティング スクリプトには、Windows Server Update Services (WSUS) のチェックと、キーの自動ダウンロードとインストールのチェックが新しく組み込まれました。
トラブルシューティングの開始
Azure マシンの場合は、ポータルの [Update Agent Readiness]\(Update エージェントの準備\) 列にある [トラブルシューティング] リンクを選択することで、[Troubleshoot Update Agent]\(Update エージェントのトラブルシューティング\) ページを起動できます。 Azure 以外のマシンの場合は、リンクをクリックすると、この記事が表示されます。 Azure 以外のマシンのトラブルシューティングを行うには、「オフライン トラブルシューティング」を参照してください。
Note
Hybrid Runbook Worker の正常性を確認するには、VM が実行されている必要があります。 VM が実行されていない場合は、[Start the VM]\(VM を起動\) ボタンが表示されます。
[Troubleshoot Update Agent]\(Update エージェントのトラブルシューティング\) ページで [チェックを実行] を選択すると、トラブルシューティング ツールが開始します。 トラブルシューティング ツールでは [実行コマンド] を使用してマシンに対してスクリプトを実行し、依存関係を検証します。 トラブルシューティング ツールが終了すると、チェック結果が返されます。
準備ができると、結果がページに表示されます。 チェックのセクションには、各チェックに含まれる内容が表示されます。
前提条件の確認
オペレーティング システム
オペレーティング システム チェックでは、サポートされるいずれかのオペレーティング システムが Hybrid Runbook Worker によって実行されているかどうかが確認されます。
.NET 4.6.2
.NET Framework のチェックでは、システムに .NET Framework 4.6.2 以降がインストールされているかどうかが検証されます。
修正するには、.NET Framework 4.6 以降をインストールします。
.NET Framework をダウンロードします。
WMF 5.1
WMF チェックでは、必要なバージョンの Windows Management Framework (WMF) がシステムに存在するかどうかを検証します。
修正するには、Windows Management Framework 5.1 をダウンロードしてインストールする必要があります。Azure Update Management が機能するには、Windows PowerShell 5.1 を必要とします。
TLS 1.2
このチェックでは、TLS 1.2 を使って通信を暗号化しているかどうかを判別します。 TLS 1.0 は、プラットフォームでサポートされなくなりました。 Update Management と通信するために、TLS 1.2 を使用してください。
修正するには、手順に従って TLS 1.2 を有効にします。
監視エージェント サービスの正常性チェック
Hybrid Runbook Worker
この問題を解決するには、Hybrid Runbook Worker の再登録を強制します。
Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
Restart-service healthservice
Note
これにより、ユーザー ハイブリッド ワーカーがマシンから削除されます。 後で確認して再登録してください。 マシンに System Hybrid Runbook ワーカーのみが含まれている場合は、アクションは必要ありません。
検証するには、イベント ID 15003 (HW 開始イベント) または 15004 (hw 停止イベント) が Microsoft-SMA/Operational イベント ログに存在することを確認します。
問題がまだ修正されていない場合は、サポート チケットを発行します。
VM がリンクされたワークスペース
ネットワークの要件を参照してください。
検証するには、接続されている VM のワークスペースまたは対応するログ分析のハートビート テーブルを確認します。
Heartbeat | where Computer =~ ""
Windows Update サービスの状態
この問題を解決するには、wuaserv サービスを開始します。
Start-Service -Name wuauserv -ErrorAction SilentlyContinue
接続チェック
このトラブルシューティング ツールでは、現在、プロキシ サーバーが構成されている場合、プロキシ サーバー経由でトラフィックがルーティングされません。
登録エンドポイント
このチェックでは、エージェントがエージェント サービスと正しく通信できるかどうかを判別します。
Hybrid Runbook Worker エージェントが登録エンドポイントと通信できるように、プロキシとファイアウォールが構成されている必要があります。 アドレスと開くポートの一覧については、「ネットワークの計画」を参照してください。
前提条件の URL を許可します。 ネットワークが変更されたら、トラブルシューティング ツールを再実行するか、次のコマンドを実行して検証できます。
$workspaceId =- ""
$endpoint = $workspaceId + “.agentsvc.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
操作エンドポイント
このチェックでは、エージェントが Job Runtime Data Service と正しく通信できるかどうかを判別します。
Hybrid Runbook Worker エージェントが Job Runtime Data Service と通信できるように、プロキシとファイアウォールが構成されている必要があります。 アドレスと開くポートの一覧については、「ネットワークの計画」を参照してください。
前提条件の URL を許可します。 ネットワークが変更されたら、トラブルシューティング ツールを再実行するか、次のコマンドを実行して検証できます。
$jrdsEndpointLocationMoniker = “”
# $jrdsEndpointLocationMoniker should be based on automation account location (jpe/ase/scus) etc.
$endpoint = $jrdsEndpointLocationMoniker + “-jobruntimedata-prod-su1.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
HTTPS 接続
ネットワーク セキュリティ規則の継続的な管理が簡単になります。 前提条件の URL を許可します。
ネットワークが変更されたら、トラブルシューティング ツールを再実行するか、次のコマンドを実行して検証できます。
$uri = "https://eus2-jobruntimedata-prod-su1.azure-automation.net"
Invoke-WebRequest -URI $uri -UseBasicParsing
プロキシの設定
プロキシが有効になっている場合は、前提条件の URL にアクセスできることを確認します
プロキシが正しく設定されているかどうかを確認するには、次のコマンドを使用します。
netsh winhttp show proxy
または、レジストリ キー ProxyEnable が 1 に設定されていることを確認します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
IMDS エンドポイント接続
この問題を解決するには、IP 169.254.169.254
へのアクセスを許可します。詳細については、「Azure Instance Metadata Service にアクセスする」を参照してください。
ネットワークが変更されたら、トラブルシューティング ツールを再実行するか、次のコマンドを実行して検証できます。
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.254/metadata/instance?api-version=2018-02-01
VM Service Health チェック
エージェント サービスの状態の監視
このチェックでは、Windows 用 Log Analytics エージェント (healthservice) がマシン上で実行されているかどうかを確認します。 このサービスのトラブルシューティングの詳細については、「Windows 用 Log Analytics エージェントが実行されていない」を参照してください。
Windows 用の Log Analytics エージェントを再インストールする場合、「Windows 用エージェントをインストールする」を参照してください。
エージェント サービス イベントの監視
このチェックでは、過去 24 時間にマシンの Azure Operations Manager ログに 4502 イベントが記録されているかどうかを判別します。
このイベントの詳細については、「Operations Manager ログのイベント 4502」を参照してください。
アクセス許可のチェック
マシン キー フォルダー
このチェックでは、ローカル システム アカウントが C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys にアクセスできるかどうかが判別されます。
修正するには、フォルダー C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys に 必要なアクセス許可 (読み取り、書き込み、変更、またはフル コントロール) を SYSTEM アカウントに付与します。
次のコマンドを使用して、フォルダーのアクセス許可を確認します。
$folder = “C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys”
(Get-Acl $folder).Access |? {($_.IdentityReference -match $User) -or ($_.IdentityReference -match "Everyone")} | Select IdentityReference, FileSystemRights
マシンの更新設定
インストール後に自動的に再起動する
修正するには、レジストリ キーを HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU から削除します。
Update Management スケジュールの構成に従って再起動を構成します。
AlwaysAutoRebootAtScheduledTime
AlwaysAutoRebootAtScheduledTimeMinutes
詳しくは、「再起動の設定を構成する」を参照してください。
WSUS サーバーの構成
環境が WSUS から更新プログラムを取得するように設定されている場合は、更新プログラムの展開前に WSUS で承認されていることを確認します。 詳細は、「WSUS 構成設定」を参照してください。 環境で WSUS を使用していない場合は、必ず WSUS サーバーの設定を削除し、Windows Update コンポーネントをリセットしてください。
自動的にダウンロードしてインストールする
この問題を解決するには、AutoUpdate 機能を無効にします。 自動更新を構成するローカル グループ ポリシーで、これを [無効] に設定します。 詳細については、「自動更新を構成する」を参照してください。
オフラインでのトラブルシューティング
スクリプトをローカルに実行することで、Hybrid Runbook Worker のトラブルシューティング ツールをオフラインで使用できます。 GitHub から次のスクリプトを入手します: UM_Windows_Troubleshooter_Offline.ps1。 このスクリプトを実行するには、WMF 5.0 以降をインストールしておく必要があります。 最新バージョンの PowerShell をダウンロードするには、「PowerShell のさまざまなバージョンのインストール」を参照してください。
このスクリプトの出力は次の例のようになります。
RuleId : OperatingSystemCheck
RuleGroupId : prerequisites
RuleName : Operating System
RuleGroupName : Prerequisite Checks
RuleDescription : The Windows Operating system must be version 6.1.7600 (Windows Server 2008 R2) or higher
CheckResult : Passed
CheckResultMessage : Operating System version is supported
CheckResultMessageId : OperatingSystemCheck.Passed
CheckResultMessageArguments : {}
RuleId : DotNetFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : .NET Framework 4.6.2+
RuleGroupName : Prerequisite Checks
RuleDescription : .NET Framework version 4.6.2 or higher is required
CheckResult : Passed
CheckResultMessage : .NET Framework version 4.6.2+ is found
CheckResultMessageId : DotNetFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {}
RuleId : WindowsManagementFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : WMF 5.1
RuleGroupName : Prerequisite Checks
RuleDescription : Windows Management Framework version 4.0 or higher is required (version 5.1 or higher is preferable)
CheckResult : Passed
CheckResultMessage : Detected Windows Management Framework version: 5.1.22621.169
CheckResultMessageId : WindowsManagementFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {5.1.22621.169}
RuleId : AutomationAgentServiceConnectivityCheck1
RuleGroupId : connectivity
RuleName : Registration endpoint
RuleGroupName : connectivity
RuleDescription :
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : AutomationAgentServiceConnectivityCheck1.Failed.NoRegistrationFound
CheckResultMessageArguments :
RuleId : AutomationJobRuntimeDataServiceConnectivityCheck
RuleGroupId : connectivity
RuleName : Operations endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow Automation Hybrid Worker agent to communicate with
eus2-jobruntimedata-prod-su1.azure-automation.net
CheckResult : Passed
CheckResultMessage : TCP Test for eus2-jobruntimedata-prod-su1.azure-automation.net (port 443) succeeded
CheckResultMessageId : AutomationJobRuntimeDataServiceConnectivityCheck.Passed
CheckResultMessageArguments : {eus2-jobruntimedata-prod-su1.azure-automation.net}
RuleId : MonitoringAgentServiceRunningCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service status
RuleGroupName : VM Service Health Checks
RuleDescription : HealthService must be running on the machine
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service (HealthService) is running
CheckResultMessageId : MonitoringAgentServiceRunningCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, HealthService}
RuleId : SystemHybridRunbookWorkerRunningCheck
RuleGroupId : servicehealth
RuleName : Hybrid runbook worker status
RuleGroupName : VM Service Health Checks
RuleDescription : Hybrid runbook worker must be in running state.
CheckResult : Passed
CheckResultMessage : Hybrid runbook worker is running.
CheckResultMessageId : SystemHybridRunbookWorkerRunningCheck.Passed
CheckResultMessageArguments : {}
RuleId : MonitoringAgentServiceEventsCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service events
RuleGroupName : VM Service Health Checks
RuleDescription : Event Log must not have event 4502 logged in the past 24 hours
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service Event Log (Operations Manager) does not have event 4502 logged in the last 24 hours.
CheckResultMessageId : MonitoringAgentServiceEventsCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, Operations Manager, 4502}
RuleId : LinkedWorkspaceCheck
RuleGroupId : servicehealth
RuleName : VM's Linked Workspace
RuleGroupName : VM Service Health Checks
RuleDescription : Get linked workspace info of the VM
CheckResult : Failed
CheckResultMessage : VM is not reporting to any workspace.
CheckResultMessageId : LinkedWorkspaceCheck.Failed.NoWorkspace
CheckResultMessageArguments : {}
RuleId : CryptoRsaMachineKeysFolderAccessCheck
RuleGroupId : permissions
RuleName : Crypto RSA MachineKeys Folder Access
RuleGroupName : Access Permission Checks
RuleDescription : SYSTEM account must have WRITE and MODIFY access to 'C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys'
CheckResult : Passed
CheckResultMessage : Have permissions to access C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys
CheckResultMessageId : CryptoRsaMachineKeysFolderAccessCheck.Passed
CheckResultMessageArguments : {C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys}
RuleId : TlsVersionCheck
RuleGroupId : prerequisites
RuleName : TLS 1.2
RuleGroupName : Prerequisite Checks
RuleDescription : Client and Server connections must support TLS 1.2
CheckResult : Passed
CheckResultMessage : TLS 1.2 is enabled by default on the Operating System.
CheckResultMessageId : TlsVersionCheck.Passed.EnabledByDefault
CheckResultMessageArguments : {}
RuleId : AlwaysAutoRebootCheck
RuleGroupId : machineSettings
RuleName : AutoReboot
RuleGroupName : Machine Override Checks
RuleDescription : Automatic reboot should not be enable as it forces a reboot irrespective of update configuration
CheckResult : Passed
CheckResultMessage : Windows Update reboot registry keys are not set to automatically reboot
CheckResultMessageId : AlwaysAutoRebootCheck.Passed
CheckResultMessageArguments :
RuleId : WSUSServerConfigured
RuleGroupId : machineSettings
RuleName : isWSUSServerConfigured
RuleGroupName : Machine Override Checks
RuleDescription : Increase awareness on WSUS configured on the server
CheckResult : Passed
CheckResultMessage : Windows Updates are downloading from the default Windows Update location. Ensure the server has access to the Windows Update service
CheckResultMessageId : WSUSServerConfigured.Passed
CheckResultMessageArguments :
RuleId : AutomaticUpdateCheck
RuleGroupId : machineSettings
RuleName : AutoUpdate
RuleGroupName : Machine Override Checks
RuleDescription : AutoUpdate should not be enabled on the machine
CheckResult : Passed
CheckResultMessage : Windows Update is not set to automatically install updates as they become available
CheckResultMessageId : AutomaticUpdateCheck.Passed
CheckResultMessageArguments :
RuleId : HttpsConnection
RuleGroupId : connectivity
RuleName : Https connection
RuleGroupName : connectivity
RuleDescription : Check if VM is able to make https requests.
CheckResult : Passed
CheckResultMessage : VM is able to make https requests.
CheckResultMessageId : HttpsConnection.Passed
CheckResultMessageArguments : {}
RuleId : ProxySettings
RuleGroupId : connectivity
RuleName : Proxy settings
RuleGroupName : connectivity
RuleDescription : Check if Proxy is enabled on the VM.
CheckResult : Passed
CheckResultMessage : Proxy is not set.
CheckResultMessageId : ProxySettings.Passed
CheckResultMessageArguments : {}
RuleId : IMDSConnectivity
RuleGroupId : connectivity
RuleName : IMDS endpoint connectivity
RuleGroupName : connectivity
RuleDescription : Check if VM is able to reach IMDS server to get VM information.
CheckResult : PassedWithWarning
CheckResultMessage : VM is not able to reach IMDS server. Consider this as a Failure if this is an Azure VM.
CheckResultMessageId : IMDSConnectivity.PassedWithWarning
CheckResultMessageArguments : {}
RuleId : WUServiceRunningCheck
RuleGroupId : servicehealth
RuleName : WU service status
RuleGroupName : WU Service Health Check
RuleDescription : WU must not be in the disabled state.
CheckResult : Passed
CheckResultMessage : Windows Update service (wuauserv) is running.
CheckResultMessageId : WUServiceRunningCheck.Passed
CheckResultMessageArguments : {Windows Update, wuauserv}
RuleId : LAOdsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA ODS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA ODS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOdsEndpointConnectivity.Failed
CheckResultMessageArguments :
RuleId : LAOmsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA OMS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA OMS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOmsEndpointConnectivity.Failed
CheckResultMessageArguments :