Устранение неполадок с агентом обновления Windows
Внимание
Отслеживание изменений и инвентаризация использование агента Log Analytics прекращено 31 августа 2024 г. и будет работать с ограниченной поддержкой до 01 февраля 2025 г. Мы рекомендуем использовать агент мониторинга Azure в качестве нового агента поддержки. Следуйте рекомендациям по миграции от отслеживания изменений и инвентаризации с помощью Log Analytics к отслеживанию изменений и инвентаризации с помощью версии агента мониторинга Azure.
Существует несколько причин, по которым компьютер во время развертывания Управления обновлениями не будет отображатся как готовый к работе (работоспособный). Вы можете проверить работоспособность агента гибридной рабочей роли Runbook Windows, чтобы определить первоначальную проблему. Далее приведены три состояния готовности компьютера:
- Готово: гибридная рабочая роль Runbook развернута и последний раз отображалась менее часа назад.
- Отключено: гибридная рабочая роль Runbook развернута и последний раз отображалась больше часа назад.
- Не настроено: гибридная рабочая роль Runbook не найдена или не завершила развертывание.
Примечание.
Между отображением на портале Azure и текущим состоянием компьютера может быть небольшая задержка.
В этой статье описывается, как запустить средство устранения неполадок для компьютеров Azure на портале Azure и сторонних компьютеров в автономных сценариях.
Примечание.
Скрипт средства устранения неполадок теперь включает проверки служб windows Server Update Services (WSUS) и автоматического скачивания и установки ключей.
Запуск средства устранения неполадок
Для компьютеров Azure можно запустить страницу "Устранение неполадок агента обновления", щелкнув ссылку Устранение неполадок в столбце Готовность к обновлению агента на портале. Для устранения неполадок со сторонними компьютерами перейдите к соответствующему разделу в этой статье. См. раздел Устранение неполадок в отключенном режиме, чтобы узнать об устранении неполадок на компьютере, не связанном с Azure.
Примечание.
Чтобы проверить работоспособность гибридной рабочей роли Runbook, необходимо, чтобы виртуальная машина была запущена. Если виртуальная машина не запущена, появится кнопка запуска виртуальной машины.
На странице "Устранения неполадок с агентом обновления" выберите Выполнить проверки, чтобы запустить средство устранения неполадок. Средство устранения неполадок использует функцию Выполнение команд для запуска на компьютере скрипта, проверяющего зависимости. После того как средство устранения неполадок завершило свою работу, оно возвращает результаты проверок.
Результаты отобразятся на странице, когда будут готовы. В разделах о проверках отображается то, что входит в состав каждой проверки.
Проверки готовности
Операционная система
Проверка операционной системы проверяет, работает ли гибридная рабочая роль Runbook в одной из поддерживаемых операционных систем.
.NET 4.6.2
Проверка .NET Framework определяет, установлена ли в системе версия .NET Framework 4.6.2, или более поздняя.
Чтобы устранить эту проблему, установите платформа .NET Framework версии 4.6 или более поздней версии.
Скачайте платформа .NET Framework.
WMF 5.1
Проверка WMF определяет, есть ли в системе требуемая версия платформы Windows Management Framework.
Для исправления необходимо скачать и установить Windows Management Framework 5.1 , так как для работы управления обновлениями Azure требуется Windows PowerShell 5.1.
TLS 1.2
Эта проверка определяет, используете ли вы протокол TLS 1.2 для шифрования связи. Протокол TLS 1.0 больше не поддерживается платформой. Используйте протокол TLS 1.2 для обмена данными со службой "Управление обновлениями".
Чтобы устранить эту проблему, выполните действия, чтобы включить TLS 1.2.
Проверки работоспособности службы агента мониторинга
Гибридная рабочая роль Runbook
Чтобы устранить проблему, выполните принудительное повторную регистрацию гибридной рабочей роли Runbook.
Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
Restart-service healthservice
Примечание.
Это приведет к удалению гибридной рабочей роли пользователя с компьютера. Убедитесь, что после этого проверьте и повторно зарегистрируйте его. Если компьютер имеет только рабочую роль Гибридного модуля Runbook системы, не требуется никаких действий.
Чтобы проверить, проверьте идентификатор события 15003 (событие запуска HW) OR 15004 (hw остановленное событие) EXISTS в журналах событий Microsoft-SMA/Operations.
Вызовите запрос в службу поддержки, если проблема еще не устранена.
Связанная рабочая область виртуальной машины
См . сведения о требованиях к сети.
Чтобы проверить: проверьте подключенную рабочую область виртуальных машин или таблицу Heartbeat соответствующего log analytics.
Heartbeat | where Computer =~ ""
Состояние службы Центра обновления Windows
Чтобы устранить эту проблему, запустите службу wuaserv .
Start-Service -Name wuauserv -ErrorAction SilentlyContinue
Проверка подключения
В настоящее время средство устранения неполадок не направляет трафик через прокси-сервер, если он настроен.
Конечная точка регистрации
Эта проверка определяет, может ли агент правильно взаимодействовать со службой агента.
В конфигурации прокси-сервера и брандмауэра необходимо разрешить агенту гибридной рабочей роли Runbook взаимодействовать с конечной точкой регистрации. Список адресов и портов, которые необходимо открыть, приведен в разделе Настройка сети.
Разрешить URL-адреса необходимых компонентов. После изменения сети можно повторно запустить средство устранения неполадок или выполнить следующие команды, чтобы проверить:
$workspaceId =- ""
$endpoint = $workspaceId + “.agentsvc.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Конечная точка операций
Эта проверка определяет, может ли агент правильно взаимодействовать со службой Job Runtime Data.
В конфигурации прокси-сервера и брандмауэра необходимо разрешить агенту гибридной рабочей роли Runbook взаимодействовать со службой Job Runtime Data. Список адресов и портов, которые необходимо открыть, приведен в разделе Настройка сети.
Разрешить URL-адреса необходимых компонентов. После изменения сети можно повторно запустить средство устранения неполадок или выполнить следующие команды, чтобы проверить:
$jrdsEndpointLocationMoniker = “”
# $jrdsEndpointLocationMoniker should be based on automation account location (jpe/ase/scus) etc.
$endpoint = $jrdsEndpointLocationMoniker + “-jobruntimedata-prod-su1.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Подключение HTTPS
Упрощает текущее управление правилами безопасности сети. Разрешить URL-адреса необходимых компонентов.
После изменения сети можно повторно запустить средство устранения неполадок или выполнить следующие команды, чтобы проверить:
$uri = "https://eus2-jobruntimedata-prod-su1.azure-automation.net"
Invoke-WebRequest -URI $uri -UseBasicParsing
Параметры прокси-сервера
Если прокси-сервер включен, убедитесь, что у вас есть доступ к URL-адресам необходимых компонентов.
Чтобы проверить правильность установки прокси-сервера, используйте следующие команды:
netsh winhttp show proxy
или проверьте, что для раздела реестра ProxyEnable установлено значение 1 в
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Подключение конечной точки IMDS
Чтобы устранить проблему, разрешите доступ к IP-адресу 169.254.169.254
. Дополнительные сведения см. в разделе "Доступ к службе метаданных экземпляра Azure"
После изменения сети можно повторно запустить средство устранения неполадок или выполнить следующие команды, чтобы проверить:
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.254/metadata/instance?api-version=2018-02-01
Проверки работоспособности службы виртуальных машин
Отслеживание состояния службы агента
Эта проверка определяет, запущен ли на компьютере агент Log Analytics для Windows (healthservice). Дополнительные сведения об устранении неполадок со службой см. в разделе Агент Log Analytics для Windows не работает.
Чтобы получить сведения о переустановке агент Log Analytics для Windows, ознакомьтесь с разделом Установка агента для Windows.
Мониторинг событий службы агента
Эта проверка определяет, записывались ли какие-либо события 4502 в журнал Azure Operations Manager на компьютере за последние 24 часа.
Дополнительные сведения об этом событии см. в разделе Сценарий: событие 4502 в журнале Operations Manager.
Проверка разрешений доступа
Папка ключа компьютера
Эта проверка определяет, имеет ли учетная запись локальной системы доступ к: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Чтобы устранить эту проблему, предоставьте учетной записи SYSTEM необходимые разрешения (чтение, запись и полный доступ) в папке C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Используйте приведенные ниже команды, чтобы проверить разрешения в папке:
$folder = “C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys”
(Get-Acl $folder).Access |? {($_.IdentityReference -match $User) -or ($_.IdentityReference -match "Everyone")} | Select IdentityReference, FileSystemRights
Параметры обновления компьютера
Автоматическая перезагрузка после установки
Чтобы устранить проблему, удалите разделы реестра из: HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
Настройте перезагрузку в соответствии с конфигурацией расписания управления обновлениями.
AlwaysAutoRebootAtScheduledTime
AlwaysAutoRebootAtScheduledTimeMinutes
Дополнительные сведения см. в разделе "Настройка параметров перезагрузки"
Конфигурация сервера WSUS
Если среда настроена для получения обновлений из WSUS, убедитесь, что она утверждена в WSUS до развертывания обновления. Дополнительные сведения см. в разделе "Параметры конфигурации WSUS". Если среда не использует WSUS, удалите параметры сервера WSUS и сбросите компонент обновления Windows.
Автоматические скачивание и установка
Чтобы устранить проблему, отключите функцию автоматического обновления . Установите для него значение "Отключено" в локальной групповой политике " Настройка автоматических обновлений". Дополнительные сведения см. в разделе "Настройка автоматических обновлений".
Автономное устранение неполадок
Средство устранения неполадок можно использовать в гибридной рабочей роли в автономном режиме, запустив скрипт локально. Получите следующий скрипт из репозитория GitHub: UM_Windows_Troubleshooter_Offline.ps1. Чтобы запустить скрипт, необходимо установить WMF 5.0 или более поздней версии. Сведения о загрузке последней версии PowerShell см. в статье Установка разных версий PowerShell.
Выходные данные этого скрипта выглядят так:
RuleId : OperatingSystemCheck
RuleGroupId : prerequisites
RuleName : Operating System
RuleGroupName : Prerequisite Checks
RuleDescription : The Windows Operating system must be version 6.1.7600 (Windows Server 2008 R2) or higher
CheckResult : Passed
CheckResultMessage : Operating System version is supported
CheckResultMessageId : OperatingSystemCheck.Passed
CheckResultMessageArguments : {}
RuleId : DotNetFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : .NET Framework 4.6.2+
RuleGroupName : Prerequisite Checks
RuleDescription : .NET Framework version 4.6.2 or higher is required
CheckResult : Passed
CheckResultMessage : .NET Framework version 4.6.2+ is found
CheckResultMessageId : DotNetFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {}
RuleId : WindowsManagementFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : WMF 5.1
RuleGroupName : Prerequisite Checks
RuleDescription : Windows Management Framework version 4.0 or higher is required (version 5.1 or higher is preferable)
CheckResult : Passed
CheckResultMessage : Detected Windows Management Framework version: 5.1.22621.169
CheckResultMessageId : WindowsManagementFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {5.1.22621.169}
RuleId : AutomationAgentServiceConnectivityCheck1
RuleGroupId : connectivity
RuleName : Registration endpoint
RuleGroupName : connectivity
RuleDescription :
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : AutomationAgentServiceConnectivityCheck1.Failed.NoRegistrationFound
CheckResultMessageArguments :
RuleId : AutomationJobRuntimeDataServiceConnectivityCheck
RuleGroupId : connectivity
RuleName : Operations endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow Automation Hybrid Worker agent to communicate with
eus2-jobruntimedata-prod-su1.azure-automation.net
CheckResult : Passed
CheckResultMessage : TCP Test for eus2-jobruntimedata-prod-su1.azure-automation.net (port 443) succeeded
CheckResultMessageId : AutomationJobRuntimeDataServiceConnectivityCheck.Passed
CheckResultMessageArguments : {eus2-jobruntimedata-prod-su1.azure-automation.net}
RuleId : MonitoringAgentServiceRunningCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service status
RuleGroupName : VM Service Health Checks
RuleDescription : HealthService must be running on the machine
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service (HealthService) is running
CheckResultMessageId : MonitoringAgentServiceRunningCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, HealthService}
RuleId : SystemHybridRunbookWorkerRunningCheck
RuleGroupId : servicehealth
RuleName : Hybrid runbook worker status
RuleGroupName : VM Service Health Checks
RuleDescription : Hybrid runbook worker must be in running state.
CheckResult : Passed
CheckResultMessage : Hybrid runbook worker is running.
CheckResultMessageId : SystemHybridRunbookWorkerRunningCheck.Passed
CheckResultMessageArguments : {}
RuleId : MonitoringAgentServiceEventsCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service events
RuleGroupName : VM Service Health Checks
RuleDescription : Event Log must not have event 4502 logged in the past 24 hours
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service Event Log (Operations Manager) does not have event 4502 logged in the last 24 hours.
CheckResultMessageId : MonitoringAgentServiceEventsCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, Operations Manager, 4502}
RuleId : LinkedWorkspaceCheck
RuleGroupId : servicehealth
RuleName : VM's Linked Workspace
RuleGroupName : VM Service Health Checks
RuleDescription : Get linked workspace info of the VM
CheckResult : Failed
CheckResultMessage : VM is not reporting to any workspace.
CheckResultMessageId : LinkedWorkspaceCheck.Failed.NoWorkspace
CheckResultMessageArguments : {}
RuleId : CryptoRsaMachineKeysFolderAccessCheck
RuleGroupId : permissions
RuleName : Crypto RSA MachineKeys Folder Access
RuleGroupName : Access Permission Checks
RuleDescription : SYSTEM account must have WRITE and MODIFY access to 'C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys'
CheckResult : Passed
CheckResultMessage : Have permissions to access C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys
CheckResultMessageId : CryptoRsaMachineKeysFolderAccessCheck.Passed
CheckResultMessageArguments : {C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys}
RuleId : TlsVersionCheck
RuleGroupId : prerequisites
RuleName : TLS 1.2
RuleGroupName : Prerequisite Checks
RuleDescription : Client and Server connections must support TLS 1.2
CheckResult : Passed
CheckResultMessage : TLS 1.2 is enabled by default on the Operating System.
CheckResultMessageId : TlsVersionCheck.Passed.EnabledByDefault
CheckResultMessageArguments : {}
RuleId : AlwaysAutoRebootCheck
RuleGroupId : machineSettings
RuleName : AutoReboot
RuleGroupName : Machine Override Checks
RuleDescription : Automatic reboot should not be enable as it forces a reboot irrespective of update configuration
CheckResult : Passed
CheckResultMessage : Windows Update reboot registry keys are not set to automatically reboot
CheckResultMessageId : AlwaysAutoRebootCheck.Passed
CheckResultMessageArguments :
RuleId : WSUSServerConfigured
RuleGroupId : machineSettings
RuleName : isWSUSServerConfigured
RuleGroupName : Machine Override Checks
RuleDescription : Increase awareness on WSUS configured on the server
CheckResult : Passed
CheckResultMessage : Windows Updates are downloading from the default Windows Update location. Ensure the server has access to the Windows Update service
CheckResultMessageId : WSUSServerConfigured.Passed
CheckResultMessageArguments :
RuleId : AutomaticUpdateCheck
RuleGroupId : machineSettings
RuleName : AutoUpdate
RuleGroupName : Machine Override Checks
RuleDescription : AutoUpdate should not be enabled on the machine
CheckResult : Passed
CheckResultMessage : Windows Update is not set to automatically install updates as they become available
CheckResultMessageId : AutomaticUpdateCheck.Passed
CheckResultMessageArguments :
RuleId : HttpsConnection
RuleGroupId : connectivity
RuleName : Https connection
RuleGroupName : connectivity
RuleDescription : Check if VM is able to make https requests.
CheckResult : Passed
CheckResultMessage : VM is able to make https requests.
CheckResultMessageId : HttpsConnection.Passed
CheckResultMessageArguments : {}
RuleId : ProxySettings
RuleGroupId : connectivity
RuleName : Proxy settings
RuleGroupName : connectivity
RuleDescription : Check if Proxy is enabled on the VM.
CheckResult : Passed
CheckResultMessage : Proxy is not set.
CheckResultMessageId : ProxySettings.Passed
CheckResultMessageArguments : {}
RuleId : IMDSConnectivity
RuleGroupId : connectivity
RuleName : IMDS endpoint connectivity
RuleGroupName : connectivity
RuleDescription : Check if VM is able to reach IMDS server to get VM information.
CheckResult : PassedWithWarning
CheckResultMessage : VM is not able to reach IMDS server. Consider this as a Failure if this is an Azure VM.
CheckResultMessageId : IMDSConnectivity.PassedWithWarning
CheckResultMessageArguments : {}
RuleId : WUServiceRunningCheck
RuleGroupId : servicehealth
RuleName : WU service status
RuleGroupName : WU Service Health Check
RuleDescription : WU must not be in the disabled state.
CheckResult : Passed
CheckResultMessage : Windows Update service (wuauserv) is running.
CheckResultMessageId : WUServiceRunningCheck.Passed
CheckResultMessageArguments : {Windows Update, wuauserv}
RuleId : LAOdsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA ODS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA ODS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOdsEndpointConnectivity.Failed
CheckResultMessageArguments :
RuleId : LAOmsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA OMS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA OMS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOmsEndpointConnectivity.Failed
CheckResultMessageArguments :