Problemen met Updatebeheer oplossen

Let op

In dit artikel wordt verwezen naar CentOS, een Linux-distributie die de status End Of Life (EOL) nadert. Overweeg uw gebruik en planning dienovereenkomstig. Zie de Richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.

In dit artikel worden problemen besproken die u kunt tegenkomen bij het gebruik van de functie Updatebeheer om updates op uw computers te evalueren en te beheren. Er is een probleemoplosser voor agents voor de Hybrid Runbook Worker-agent om het onderliggende probleem vast te stellen. Zie Problemen met de Windows Update-agent oplossen en Problemen met de Linux-updateagent oplossen voor meer informatie over de probleemoplosser. Zie Problemen met de implementatie van functies oplossen voor andere problemen met de functie-implementatie.

Notitie

Als u problemen ondervindt bij het implementeren van Updatebeheer op een Windows-computer, opent u de Windows-Logboeken en controleert u het Operations Manager-gebeurtenislogboek onder Toepassings- en serviceslogboeken op de lokale computer. Zoek naar gebeurtenissen met gebeurtenis-id 4502 en gebeurtenisdetails die bevatten Microsoft.EnterpriseManagement.HealthService.AzureAutomation.HybridAgent.

Scenario: Windows Defender-update wordt altijd weergegeven als ontbrekend

Probleem

Definitie-update voor Windows Defender (KB2267602) wordt altijd weergegeven als ontbrekend in een evaluatie wanneer deze is geïnstalleerd en wordt weergegeven als up-to-date wanneer deze is geverifieerd vanuit de Geschiedenis van Windows Update.

Oorzaak

Definitie-updates worden meerdere keren op één dag gepubliceerd. Als gevolg hiervan kunt u meerdere releases van KB2267602 op één dag gepubliceerd, maar met een andere update-id en -versie.

De evaluatie van Updatebeheer wordt eenmaal binnen 11 uur uitgevoerd. In dit voorbeeld is om 10:00 uur een evaluatie uitgevoerd en versie 1.237.316.0 op dat moment beschikbaar. Wanneer u in de tabel Bijwerken in uw Log Analytics-werkruimte zoekt, wordt definitie-update 1.237.316.0 weergegeven met UpdatestatusVereist. Als een geplande implementatie een paar uur later wordt uitgevoerd, bijvoorbeeld 1:00 pm en versie 1.237.316.0 nog steeds beschikbaar is of een nieuwere versie is, wordt de nieuwere versie geïnstalleerd en dit wordt weergegeven in de record die naar de tabel UpdateRunProgress is geschreven. In de tabel Update wordt echter nog steeds versie 1.237.316.0 weergegeven als Vereist totdat de volgende evaluatie wordt uitgevoerd. Wanneer de evaluatie opnieuw wordt uitgevoerd, is er mogelijk geen nieuwere definitie-update beschikbaar. In de tabel Update wordt de definitie-update versie 1.237.316.0 niet weergegeven als ontbrekend of als er een nieuwere versie beschikbaar is, indien nodig. Vanwege de frequentie van definitie-updates kunnen er meerdere versies worden geretourneerd in de zoekopdracht in logboeken.

Oplossing

Voer de volgende logboekquery uit om te bevestigen dat de geïnstalleerde definitie-updates correct worden gerapporteerd. Deze query retourneert de gegenereerde tijd, versie en update-id van KB2267602 in de tabel Updates . Vervang de waarde voor Computer door de volledig gekwalificeerde naam van de computer.

Update
| where TimeGenerated > ago(14h) and OSType != "Linux" and (Optional == false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((
    Heartbeat
    | where TimeGenerated > ago(12h) and OSType =~ "Windows" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, *) by Computer, SourceComputerId, UpdateID
| where UpdateState =~ "Needed" and Approved != false and Computer == "<computerName>"
| render table

Uw queryresultaten moeten er ongeveer als volgt uitzien:

Voer de volgende logboekquery uit om de gegenereerde tijd, versie en update-id van KB2267602 op te halen in de tabel UpdatesRunProgress . Deze query helpt ons te begrijpen of deze is geïnstalleerd vanuit Updatebeheer of dat deze automatisch is geïnstalleerd op de computer vanuit Microsoft Update. U moet de waarde voor CorrelationId vervangen door de GUID van de runbooktaak (dat wil gezegd de eigenschapswaarde MasterJOBID van de Patch-MicrosoftOMSComputer-runbooktaak ) voor de update en SourceComputerId door de GUID van de computer.

UpdateRunProgress
| where OSType!="Linux" and CorrelationId=="<master job id>" and SourceComputerId=="<source computer id>"
| summarize arg_max(TimeGenerated, Title, InstallationStatus) by UpdateId
| project TimeGenerated, id=UpdateId, displayName=Title, InstallationStatus

Uw queryresultaten moeten er ongeveer als volgt uitzien:

Als de waarde TimeGenerated voor de logboekquery de resultaten van de tabel Updates eerder is dan de tijdstempel (dat wil zeggen de waarde van TimeGenerated) van de update-installatie op de computer of uit de logboekqueryresultaten uit de tabel UpdateRunProgress, wacht u op de volgende evaluatie. Voer daarna de logboekquery opnieuw uit op de tabel Updates . Een update voor KB2267602 wordt niet weergegeven of wordt weergegeven met een nieuwere versie. Zelfs na de meest recente evaluatie als dezelfde versie wordt weergegeven als Vereist in de tabel Updates, maar deze al is geïnstalleerd, moet u een ondersteuning voor Azure incident openen.

Scenario: Linux-updates die worden weergegeven als in behandeling en de geïnstalleerde updates variëren

Probleem

Voor uw Linux-machine toont Updatebeheer specifieke updates die beschikbaar zijn onder classificatieBeveiliging en overige. Maar wanneer een updateschema wordt uitgevoerd op de computer, bijvoorbeeld om alleen updates te installeren die overeenkomen met de beveiligingsclassificatie , zijn de geïnstalleerde updates anders dan of een subset van de updates die eerder overeenkomen met die classificatie.

Oorzaak

Wanneer er een evaluatie wordt uitgevoerd van besturingssysteemupdates die in behandeling zijn voor uw Linux-computer, worden ovale bestanden (Open Vulnerability and Assessment Language ) van de leverancier van de Linux-distributie gebruikt door Updatebeheer voor classificatie. Categorisatie wordt uitgevoerd voor Linux-updates als beveiliging of anderen, op basis van de OVAL-bestanden waarin updates worden vermeld die betrekking hebben op beveiligingsproblemen of beveiligingsproblemen. Maar wanneer het updateschema wordt uitgevoerd, wordt het uitgevoerd op de Linux-machine met behulp van de juiste pakketbeheerder, zoals YUM, APT of ZYPPER om ze te installeren. Het pakketbeheer voor de Linux-distributie kan een ander mechanisme hebben om updates te classificeren, waarbij de resultaten kunnen verschillen van de resultaten die zijn verkregen uit OVAL-bestanden door Updatebeheer.

Oplossing

U kunt de Linux-machine, de toepasselijke updates en hun classificatie handmatig controleren volgens de pakketbeheerder van de distributie. Voer de volgende opdrachten uit om te begrijpen welke updates worden geclassificeerd als Beveiliging door uw pakketbeheerder.

Voor YUM retourneert de volgende opdracht een niet-nullijst met updates die zijn gecategoriseerd als Beveiliging door Red Hat. Houd er rekening mee dat in het geval van CentOS altijd een lege lijst wordt geretourneerd en dat er geen beveiligingsclassificatie plaatsvindt.

sudo yum -q --security check-update

Voor ZYPPER retourneert de volgende opdracht een niet-nullijst met updates die zijn gecategoriseerd als Beveiliging door SUSE.

sudo LANG=en_US.UTF8 zypper --non-interactive patch --category security --dry-run

Voor APT retourneert de volgende opdracht een niet-nullijst met updates die zijn gecategoriseerd als Security by Canonical voor Ubuntu Linux-distributies.

sudo grep security /etc/apt/sources.list > /tmp/oms-update-security.list LANG=en_US.UTF8 sudo apt-get -s dist-upgrade -oDir::Etc::Sourcelist=/tmp/oms-update-security.list

In deze lijst voert u vervolgens de opdracht grep ^Inst uit om alle beveiligingsupdates op te halen die in behandeling zijn.

Scenario: u ontvangt de fout 'Kan de updateoplossing niet inschakelen'

Probleem

Wanneer u Updatebeheer probeert in te schakelen in uw Automation-account, krijgt u de volgende fout:

Error details: Failed to enable the Update solution

Oorzaak

Deze fout kan om de volgende redenen optreden:

• De netwerkfirewallvereisten voor de Log Analytics-agent zijn mogelijk niet juist geconfigureerd. Deze situatie kan ertoe leiden dat de agent mislukt bij het omzetten van de DNS-URL's.

• Het doel voor updatebeheer is onjuist geconfigureerd en de computer ontvangt geen updates zoals verwacht.

• U ziet mogelijk ook dat op de computer de status Non-compliant Onder Naleving wordt weergegeven. Tegelijkertijd rapporteert Agent Desktop Analytics de agent als Disconnected.

Oplossing

• Voer de probleemoplosser voor Windows of Linux uit, afhankelijk van het besturingssysteem.

• Ga naar de netwerkconfiguratie voor meer informatie over welke adressen en poorten moeten worden toegestaan voor updatebeheer.

• Controleer op problemen met de bereikconfiguratie. De bereikconfiguratie bepaalt welke machines zijn geconfigureerd voor Updatebeheer. Als uw computer wordt weergegeven in uw werkruimte, maar niet in Updatebeheer, moet u de bereikconfiguratie instellen op de computers. Zie Machines in de werkruimte inschakelen voor meer informatie over de bereikconfiguratie.

• Verwijder de werkrolconfiguratie door de stappen in Hybrid Runbook Worker te verwijderen van een on-premises Windows-computer of de Hybrid Runbook Worker te verwijderen van een on-premises Linux-computer.

Scenario: Vervangen update aangegeven als ontbrekend in Updatebeheer

Probleem

Oude updates worden als ontbrekend weergegeven voor een Automation-account, ook al zijn ze vervangen. Een vervangen update is een update die u niet hoeft te installeren, omdat er een latere update beschikbaar is waarmee hetzelfde beveiligingsprobleem wordt gecorrigeerd. Updatebeheer negeert de vervangen update en maakt deze niet van toepassing ten gunste van de vervangen update. Zie Update is vervangen voor informatie over een gerelateerd probleem.

Oorzaak

Vervangen updates worden niet geweigerd in Windows Server Update Services (WSUS), zodat ze als niet van toepassing kunnen worden beschouwd.

Oplossing

Wanneer een vervangen update 100 procent niet van toepassing is, moet u de goedkeuringsstatus van die update Declined wijzigen in WSUS. De goedkeuringsstatus voor al uw updates wijzigen:

1. Selecteer Updatebeheer in het Automation-account om de machinestatus weer te geven. Zie Update-evaluaties weergeven.

2. Controleer de vervangen update om ervoor te zorgen dat deze 100 procent niet van toepassing is.

3. Wijs de update af op de WSUS-server waarop de computers rapporteren.

4. Selecteer Computers en dwing in de kolom Naleving een nieuwe scan af op naleving. Zie Updates voor VM's beheren.

5. Herhaal de bovenstaande stappen voor andere vervangen updates.

6. Voor Windows Server Update Services (WSUS) schoont u alle vervangen updates op om de infrastructuur te vernieuwen met behulp van de wizard WSUS-serveropruiming.

7. Herhaal deze procedure regelmatig om het weergaveprobleem te corrigeren en de hoeveelheid schijfruimte die wordt gebruikt voor updatebeheer te minimaliseren.

Scenario: Machines worden niet weergegeven in de portal onder Updatebeheer

Probleem

Uw machines hebben de volgende symptomen:

• Uw computer wordt weergegeven Not configured in de weergave Updatebeheer van een virtuele machine.

• Uw machines ontbreken in de weergave Updatebeheer van uw Azure Automation-account.

• U hebt machines die worden weergegeven als Not assessed onder Naleving. U ziet echter heartbeatgegevens in Azure Monitor-logboeken voor de Hybrid Runbook Worker, maar niet voor Updatebeheer.

Oorzaak

Dit probleem kan worden veroorzaakt door lokale configuratieproblemen of door onjuist geconfigureerde bereikconfiguratie. Mogelijke specifieke oorzaken zijn:

• Mogelijk moet u de Hybrid Runbook Worker opnieuw registreren en opnieuw installeren.

• Mogelijk hebt u een quotum gedefinieerd in uw werkruimte dat is bereikt en die verdere gegevensopslag verhindert.

Oplossing

1. Voer de probleemoplosser voor Windows of Linux uit, afhankelijk van het besturingssysteem.

2. Zorg ervoor dat uw computer rapporteert aan de juiste werkruimte. Zie Agentconnectiviteit met Azure Monitor controleren voor hulp bij het verifiëren van dit aspect. Zorg er ook voor dat deze werkruimte is gekoppeld aan uw Azure Automation-account. Als u dit wilt bevestigen, gaat u naar uw Automation-account en selecteert u de gekoppelde werkruimte onder Gerelateerde resources.

3. Zorg ervoor dat de machines worden weergegeven in de Log Analytics-werkruimte die is gekoppeld aan uw Automation-account. Voer de volgende query uit in de Log Analytics-werkruimte.

   Heartbeat
   | summarize by Computer, Solutions
   

   Als u uw computer niet in de queryresultaten ziet, is het niet onlangs ingecheckt. Er is waarschijnlijk een lokaal configuratieprobleem en u moet de agent opnieuw installeren.

   Als uw computer wordt vermeld in de queryresultaten, controleert u onder de eigenschap Oplossingen dat updates worden vermeld. Hiermee wordt gecontroleerd of het is geregistreerd bij Updatebeheer. Als dit niet het probleem is, controleert u op problemen met de bereikconfiguratie. De bereikconfiguratie bepaalt welke machines zijn geconfigureerd voor Updatebeheer. Zie Machines in de werkruimte inschakelen om de bereikconfiguratie voor het doel van de machine te configureren.

4. Voer deze query uit in uw werkruimte.

   Operation
   | where OperationCategory == 'Data Collection Status'
   | sort by TimeGenerated desc
   

   Als u een Data collection stopped due to daily limit of free data reached. Ingestion status = OverQuota resultaat krijgt, is het quotum dat is gedefinieerd voor uw werkruimte bereikt, waardoor de gegevens niet meer kunnen worden opgeslagen. Ga in uw werkruimte naar gegevensvolumebeheer onder Gebruik en geschatte kosten en wijzig of verwijder het quotum.

5. Als uw probleem nog steeds niet is opgelost, volgt u de stappen in Een Windows Hybrid Runbook Worker implementeren om hybrid worker voor Windows opnieuw te installeren. Voor Linux volgt u de stappen in Een Hybrid Runbook Worker voor Linux implementeren.

Scenario: Kan automation-resourceprovider niet registreren voor abonnementen

Probleem

Wanneer u werkt met functie-implementaties in uw Automation-account, treedt de volgende fout op:

Error details: Unable to register Automation Resource Provider for subscriptions

Oorzaak

De Automation-resourceprovider is niet geregistreerd in het abonnement.

Oplossing

Volg deze stappen in Azure Portal om de Automation-resourceprovider te registreren.

1. Selecteer Alle services in de lijst met Azure-services onder aan de portal en selecteer vervolgens Abonnementen in de servicegroep Algemeen.

2. Selecteer uw abonnement.

3. Selecteer onder Instellingen resourceproviders.

4. Controleer in de lijst met resourceproviders of de resourceprovider Microsoft.Automation is geregistreerd.

5. Als deze niet wordt vermeld, registreert u de Microsoft.Automation-provider door de stappen te volgen bij Fouten oplossen voor de registratie van de resourceprovider.

Scenario: Bij geplande update zijn sommige computers niet gepatcht

Probleem

Machines die zijn opgenomen in een updatevoorbeeld, worden niet allemaal weergegeven in de lijst met machines die zijn gepatcht tijdens een geplande uitvoering, of VM's voor geselecteerde bereiken van een dynamische groep worden niet weergegeven in de lijst met updatevoorbeelden in de portal.

De lijst met updatevoorbeelden bestaat uit alle machines die zijn opgehaald door een Azure Resource Graph-query voor de geselecteerde bereiken. De bereiken worden gefilterd op machines waarop een Hybrid Runbook Worker-systeem is geïnstalleerd en waarvoor u toegangsmachtigingen hebt.

Oorzaak

Dit probleem kan een van de volgende oorzaken hebben:

• De abonnementen die in het bereik in een dynamische query zijn gedefinieerd, zijn niet geconfigureerd voor de geregistreerde Automation-resourceprovider.

• De machines waren niet beschikbaar of hadden geen geschikte tags wanneer het schema werd uitgevoerd.

• U hebt niet de juiste toegang voor de geselecteerde bereiken.

• De Azure Resource Graph-query haalt de verwachte machines niet op.

• Het systeem Hybrid Runbook Worker is niet geïnstalleerd op de computers.

Oplossing

Abonnementen die niet zijn geconfigureerd voor geregistreerde Automation-resourceprovider

Als uw abonnement niet is geconfigureerd voor de Automation-resourceprovider, kunt u geen query's uitvoeren of gegevens ophalen op computers in dat abonnement. Gebruik de volgende stappen om de registratie voor het abonnement te controleren.

1. Ga in Azure Portal naar de azure-servicelijst.

2. Selecteer Alle services en selecteer vervolgens Abonnementen in de servicegroep Algemeen.

3. Zoek het abonnement dat is gedefinieerd in het bereik voor uw implementatie.

4. Kies onder Instellingen resourceproviders.

5. Controleer of de Microsoft.Automation-resourceprovider is geregistreerd.

6. Als deze niet wordt vermeld, registreert u de Microsoft.Automation-provider door de stappen te volgen bij Fouten oplossen voor de registratie van de resourceprovider.

Machines zijn niet beschikbaar of niet correct gelabeld wanneer de planning wordt uitgevoerd

Gebruik de volgende procedure als uw abonnement is geconfigureerd voor de Automation-resourceprovider, maar als u het updateschema uitvoert met de opgegeven dynamische groepen , hebben sommige computers gemist.

1. Open in Azure Portal het Automation-account en selecteer Updatebeheer.

2. Controleer de geschiedenis van Updatebeheer om de exacte tijd te bepalen waarop de update-implementatie werd uitgevoerd.

3. Gebruik Azure Resource Graph (ARG) om machinewijzigingen te vinden voor machines die u vermoedt dat ze zijn gemist door Updatebeheer.

4. Zoek naar wijzigingen gedurende een aanzienlijke periode, zoals één dag, voordat de update-implementatie werd uitgevoerd.

5. Controleer de zoekresultaten op systemische wijzigingen, zoals het verwijderen of bijwerken van wijzigingen, op de machines in deze periode. Deze wijzigingen kunnen de status of tags van de machine wijzigen, zodat machines niet worden geselecteerd in de lijst met computers wanneer updates worden geïmplementeerd.

6. Pas de machines en resource-instellingen zo nodig aan om problemen met de status of tag van de machine te corrigeren.

7. Voer het updateschema opnieuw uit om ervoor te zorgen dat de implementatie met de opgegeven dynamische groepen alle computers bevat.

Onjuiste toegang voor geselecteerde bereiken

In Azure Portal worden alleen machines weergegeven waarvoor u schrijftoegang hebt in een bepaald bereik. Als u niet over de juiste toegang voor een bereik beschikt, raadpleegt u Zelfstudie: Een gebruiker toegang verlenen tot Azure-resources met behulp van Azure Portal.

Resource Graph-query retourneert geen verwachte machines

Volg de onderstaande stappen om erachter te komen of uw query's correct werken.

1. Voer een Azure Resource Graph-query uit die hieronder is opgemaakt op de blade Resource Graph Explorer in Azure Portal. Als u geen kennis hebt met Azure Resource Graph, raadpleegt u deze quickstart voor meer informatie over het werken met Resource Graph Explorer. Met deze query worden de filters nagebootst die u hebt geselecteerd bij het maken van de dynamische groep in Updatebeheer. Zie Dynamische groepen gebruiken met Updatebeheer.

   where (subscriptionId in~ ("<subscriptionId1>", "<subscriptionId2>") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "<Windows/Linux>" and resourceGroup in~ ("<resourceGroupName1>","<resourceGroupName2>") and location in~ ("<location1>","<location2>") )
   | project id, location, name, tags = todynamic(tolower(tostring(tags)))
   | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" and tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "All" option selected for tags
   | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" or tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "Any" option selected for tags
   | project id, location, name, tags
   

   Dit is een voorbeeld:

   where (subscriptionId in~ ("20780d0a-b422-4213-979b-6c919c91ace1", "af52d412-a347-4bc6-8cb7-4780fbb00490") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "Windows" and resourceGroup in~ ("testRG","withinvnet-2020-01-06-10-global-resources-southindia") and location in~ ("australiacentral","australiacentral2","brazilsouth") )
   | project id, location, name, tags = todynamic(tolower(tostring(tags)))
   | where  (tags[tolower("ms-resource-usage")] =~ "azure-cloud-shell" and tags[tolower("temp")] =~ "temp")
   | project id, location, name, tags
   

2. Controleer of de machines die u zoekt, worden weergegeven in de queryresultaten.

3. Als de machines niet worden vermeld, is er waarschijnlijk een probleem met het filter dat is geselecteerd in de dynamische groep. Pas de groepsconfiguratie zo nodig aan.

Hybrid Runbook Worker niet geïnstalleerd op computers

Machines worden wel weergegeven in queryresultaten van Azure Resource Graph, maar worden nog steeds niet weergegeven in de voorbeeldweergave van dynamische groepen. In dit geval zijn de machines mogelijk niet aangewezen als hybrid runbook workers van het systeem en kunnen ze dus geen Azure Automation- en Updatebeheer-taken uitvoeren. Om ervoor te zorgen dat de machines die u verwacht te zien, zijn ingesteld als hybrid Runbook Workers van het systeem:

1. Ga in Azure Portal naar het Automation-account voor een computer die niet correct wordt weergegeven.

2. Selecteer Hybrid Worker-groepen onder Procesautomatisering.

3. Selecteer het tabblad Hybrid Worker-groepen van het systeem.

4. Controleer of de hybrid worker aanwezig is voor die machine.

5. Als de machine niet is ingesteld als een systeem Hybrid Runbook Worker, controleert u de methoden om een van de volgende methoden in te schakelen:

   • Vanuit uw Automation-account voor een of meer Azure- en niet-Azure-machines, waaronder servers met Azure Arc.

   • Het enable-AutomationSolution-runbook gebruiken om onboarding van Azure-VM's te automatiseren.

   • Voor een geselecteerde Azure-VM op de pagina Virtuele machines in Azure Portal. Dit scenario is beschikbaar voor Virtuele Linux- en Windows-machines.

   • Voor meerdere Virtuele Azure-machines selecteert u deze op de pagina Virtuele machines in Azure Portal.

   De in te schakelen methode is gebaseerd op de omgeving waarin de machine wordt uitgevoerd.

6. Herhaal de bovenstaande stappen voor alle machines die niet in de preview-versie worden weergegeven.

Scenario: Onderdelen voor updatebeheer ingeschakeld, terwijl de VM blijft worden weergegeven als geconfigureerd

Probleem

U blijft het volgende bericht zien op een VM 15 minuten nadat de implementatie is gestart:

The components for the 'Update Management' solution have been enabled, and now this virtual machine is being configured. Please be patient, as this can sometimes take up to 15 minutes.

Oorzaak

Deze fout kan om de volgende redenen optreden:

• Communicatie met het Automation-account wordt geblokkeerd.

• Er is een dubbele computernaam met verschillende broncomputer-id's. Dit scenario treedt op wanneer een virtuele machine met een bepaalde computernaam wordt gemaakt in verschillende resourcegroepen en rapporteert aan dezelfde werkruimte van de logistieke agent in het abonnement.

• De VM-installatiekopie die wordt geïmplementeerd, kan afkomstig zijn van een gekloonde computer die niet is voorbereid met systeemvoorbereiding (sysprep) waarop de Log Analytics-agent voor Windows is geïnstalleerd.

Oplossing

Voer de volgende query uit in de Log Analytics-werkruimte die is gekoppeld aan uw Automation-account om het exacte probleem met de VIRTUELE machine te bepalen.

Update
| where Computer contains "fillInMachineName"
| project TimeGenerated, Computer, SourceComputerId, Title, UpdateState 

Communicatie met Automation-account geblokkeerd

Ga naar Netwerkplanning voor meer informatie over welke adressen en poorten moeten worden toegestaan om Updatebeheer te laten werken.

Dubbele computernaam

Wijzig de naam van uw VM's om unieke namen in hun omgeving te garanderen.

Geïmplementeerde installatiekopie van gekloonde machine

Als u een gekloonde installatiekopie gebruikt, hebben verschillende machinenamen dezelfde bronmachine-id. In dit geval:

1. Verwijder in uw Log Analytics-werkruimte de VIRTUELE machine uit de opgeslagen zoekopdracht naar de MicrosoftDefaultScopeConfig-Updates bereikconfiguratie als deze wordt weergegeven. Opgeslagen zoekopdrachten vindt u onder Algemeen in uw werkruimte.

2. Voer de volgende cmdlet uit.

   Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
   

3. Voer Restart-Service HealthService uit om de health-service opnieuw op te starten. Met deze bewerking wordt de sleutel opnieuw gemaakt en wordt een nieuwe UUID gegenereerd.

4. Als deze methode niet werkt, voert u eerst sysprep uit op de installatiekopieën en installeert u vervolgens de Log Analytics-agent voor Windows.

Scenario: U ontvangt een fout met een gekoppeld abonnement wanneer u een update-implementatie voor machines in een andere Azure-tenant maakt

Probleem

U krijgt de volgende fout wanneer u een update-implementatie voor machines in een andere Azure-tenant probeert te maken:

The client has permission to perform action 'Microsoft.Compute/virtualMachines/write' on scope '/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroupName/providers/Microsoft.Automation/automationAccounts/automationAccountName/softwareUpdateConfigurations/updateDeploymentName', however the current tenant '00000000-0000-0000-0000-000000000000' is not authorized to access linked subscription '00000000-0000-0000-0000-000000000000'.

Oorzaak

Deze fout treedt op wanneer u een update-implementatie maakt met Azure-VM's in een andere tenant die is opgenomen in een update-implementatie.

Oplossing

Gebruik de volgende tijdelijke oplossing om deze items gepland te krijgen. U kunt de cmdlet New-AzAutomationSchedule gebruiken met de ForUpdateConfiguration parameter om een planning te maken. Gebruik vervolgens de cmdlet New-AzAutomationSoftwareUpdateUpdateConfiguration en geef de machines in de andere tenant door aan de NonAzureComputer parameter. In het volgende voorbeeld ziet u hoe u dit kunt doen:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$s = New-AzAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName $aa -Schedule $s -Windows -AzureVMResourceId $azureVMIdsW -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Scenario: Onverklaarbaar opnieuw opstarten

Probleem

Hoewel u de optie Opnieuw opstarten hebt ingesteld op Nooit opnieuw opstarten, worden de computers nog steeds opnieuw opgestart nadat updates zijn geïnstalleerd.

Oorzaak

Windows Update kan worden gewijzigd door verschillende registersleutels, die het gedrag van opnieuw opstarten kunnen wijzigen.

Oplossing

Controleer de registersleutels die worden vermeld onder Automatische updates configureren door het register en de registersleutels te bewerken die worden gebruikt om opnieuw opstarten te beheren om ervoor te zorgen dat uw computers correct zijn geconfigureerd.

Scenario: Machine toont 'Kan niet starten' in een update-implementatie

Probleem

Op een computer wordt een Failed to start of Failed status weergegeven. Wanneer u de specifieke details voor de machine bekijkt, ziet u de volgende fout:

For one or more machines in schedule, UM job run resulted in either Failed or Failed to start state. Guide available at https://aka.ms/UMSucrFailed.

Oorzaak

Deze fout kan een van de volgende oorzaken hebben:

• De machine bestaat niet meer.
• De machine is uitgeschakeld en onbereikbaar.
• De computer heeft een netwerkverbindingsprobleem en daarom is de hybrid worker op de machine onbereikbaar.
• Er is een update uitgevoerd voor de Log Analytics-agent waarmee de broncomputer-id is gewijzigd.
• De updateuitvoering is beperkt als u de limiet van 200 gelijktijdige taken in een Automation-account bereikt. Elke implementatie wordt beschouwd als een taak en elke machine in een update-implementatie telt als een taak. Elke andere automatiseringstaak of update-implementatie die momenteel wordt uitgevoerd in uw Automation-account, telt mee voor de limiet voor gelijktijdige taken.

Oplossing

U kunt meer details programmatisch ophalen door de REST API te gebruiken. Zie Uitvoeringen van software-updateconfiguratiecomputers voor informatie over het ophalen van een lijst met updateconfiguratiecomputeruitvoeringen of een enkele software-updateconfiguratiemachine die wordt uitgevoerd op id.

Gebruik indien van toepassing dynamische groepen voor uw update-implementaties. Daarnaast kunt u de volgende stappen uitvoeren.

1. Controleer of uw computer of server voldoet aan de vereisten.
2. Controleer de connectiviteit met Hybrid Runbook Worker met behulp van de probleemoplosser voor hybrid Runbook Worker-agents. Zie Problemen met updateagent oplossen voor meer informatie over de probleemoplosser.

Scenario: Updates worden geïnstalleerd zonder implementatie

Probleem

Wanneer u een Windows-computer registreert bij Updatebeheer, ziet u dat updates zijn geïnstalleerd zonder een implementatie.

Oorzaak

In Windows worden updates automatisch geïnstalleerd zodra ze beschikbaar zijn. Dit gedrag kan verwarring veroorzaken als u niet hebt gepland dat een update op de computer wordt geïmplementeerd.

Oplossing

De HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU registersleutel wordt standaard ingesteld op een instelling van 4: auto download and install.

Voor Updatebeheer-clients raden we u aan deze sleutel in te stellen op 3: auto download but do not auto install.

Zie Automatische updates configureren voor meer informatie.

Scenario: Machine is al geregistreerd bij een ander account

Probleem

Mogelijk wordt het volgende foutbericht weergegeven:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.InvalidOperationException: {"Message":"Machine is already registered to a different account."}

Oorzaak

De machine is al geïmplementeerd in een andere werkruimte voor Updatebeheer.

Oplossing

1. Volg de stappen onder Machines worden niet weergegeven in de portal onder Updatebeheer om ervoor te zorgen dat de machine rapporteert aan de juiste werkruimte.
2. Schoon artefacten op de machine op door de Hybrid Runbook-groep te verwijderen en probeer het vervolgens opnieuw.

Scenario: Machine kan niet communiceren met de service

Probleem

Een van de volgende foutberichten wordt weergegeven:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a receive. ---> System.ComponentModel.Win32Exception: The client and server can't communicate, because they do not possess a common algorithm

Unable to Register Machine for Patch Management, Registration Failed with Exception Newtonsoft.Json.JsonReaderException: Error parsing positive infinity value.

The certificate presented by the service <wsid>.oms.opinsights.azure.com was not issued by a certificate authority used for Microsoft services. Contact your network administrator to see if they are running a proxy that intercepts TLS/SSL communication.

Access is denied. (Exception form HRESULT: 0x80070005(E_ACCESSDENIED))

Oorzaak

Een proxy, gateway of firewall blokkeert mogelijk netwerkcommunicatie.

Oplossing

Controleer uw netwerken en zorg ervoor dat de juiste poorten en adressen zijn toegestaan. Zie de netwerkvereisten voor een lijst met poorten en adressen die vereist zijn voor Updatebeheer en Hybrid Runbook Workers.

Scenario: Kan zelfondertekend certificaat niet maken

Probleem

Een van de volgende foutberichten wordt weergegeven:

Unable to Register Machine for Patch Management, Registration Failed with Exception AgentService.HybridRegistration. PowerShell.Certificates.CertificateCreationException: Failed to create a self-signed certificate. ---> System.UnauthorizedAccessException: Access is denied.

Oorzaak

Hybrid Runbook Worker kan geen zelfondertekend certificaat genereren.

Oplossing

Controleer of het systeemaccount leestoegang heeft tot de map C:\ProgramData\Microsoft\Crypto\RSA en probeer het opnieuw.

Scenario: de geplande update is mislukt met een MaintenanceWindowExceeded-fout

Probleem

Het standaard onderhoudsvenster voor updates is 120 minuten. U kunt het onderhoudsvenster verhogen tot maximaal 6 uur of 360 minuten. Mogelijk wordt het foutbericht weergegeven For one or more machines in schedule, UM job run resulted in Maintenance Window Exceeded state. Guide available at https://aka.ms/UMSucrMwExceeded.

Oplossing

Als u wilt weten waarom dit is opgetreden tijdens een updateuitvoering nadat deze is gestart, controleert u de taakuitvoer van de betreffende machine in de uitvoering. Mogelijk vindt u specifieke foutberichten van uw machines die u kunt onderzoeken en waarop u actie kunt ondernemen.

U kunt meer details programmatisch ophalen door de REST API te gebruiken. Zie Uitvoeringen van software-updateconfiguratiecomputers voor informatie over het ophalen van een lijst met updateconfiguratiecomputeruitvoeringen of een enkele software-updateconfiguratiemachine die wordt uitgevoerd op id.

Bewerk eventuele mislukte geplande update-implementaties en verhoog het onderhoudsvenster.

Zie Updates installeren voor meer informatie over onderhoudsvensters.

Scenario: Machine wordt weergegeven als 'Niet geëvalueerd' en toont een HRESULT-uitzondering

Probleem

• U hebt machines die worden weergegeven als Not assessed onder Naleving en u ziet een uitzonderingsbericht eronder.
• U ziet een HRESULT-foutcode in de portal.

Oorzaak

De Update-agent (Windows Update Agent in Windows; het pakketbeheer voor een Linux-distributie) is niet juist geconfigureerd. Updatebeheer is afhankelijk van de updateagent van de machine om de benodigde updates, de status van de patch en de resultaten van geïmplementeerde patches te bieden. Zonder deze informatie kan Updatebeheer niet goed rapporteren over de patches die nodig of geïnstalleerd zijn.

Oplossing

Voer updates lokaal uit op de computer. Als deze bewerking mislukt, betekent dit meestal dat er een fout is met de configuratie van de update-agent.

Dit probleem wordt vaak veroorzaakt door problemen met de netwerkconfiguratie en firewall. Gebruik de volgende controles om het probleem op te lossen.

• Voor Linux raadpleegt u de juiste documentatie om ervoor te zorgen dat u het netwerkeindpunt van uw pakketopslagplaats kunt bereiken.

• Voor Windows controleert u de configuratie van uw agent zoals vermeld in Updates worden niet gedownload van het intraneteindpunt (WSUS/SCCM).

  • Als de computers zijn geconfigureerd voor Windows Update moet u ervoor zorgen dat u de eindpunten kunt bereiken die worden beschreven in Problemen met betrekking tot HTTP/proxy.
  • Als de computers zijn geconfigureerd voor Windows Server Update Services (WSUS) moet u ervoor zorgen dat u de WSUS-server kunt bereiken die is geconfigureerd door de WUServer-registersleutel.

Als u een HRESULT ziet, dubbelklikt u op de uitzondering die in het rood wordt weergegeven om het hele uitzonderingsbericht weer te geven. Bekijk de volgende tabel voor mogelijke oplossingen of aanbevolen acties.

Uitzondering	Oplossing of actie
Exception from HRESULT: 0x……C	Zoek de relevante foutcode in de lijst met foutcodes van Windows Update om aanvullende informatie te vinden over de oorzaak van de uitzondering.
0x8024402C 0x8024401C 0x8024402F	Deze duiden op problemen met de netwerkverbinding. Controleer of de computer een netwerkverbinding heeft met Updatebeheer. Zie de sectie netwerkplanning voor een lijst met vereiste poorten en adressen.
0x8024001E	De updatebewerking is niet voltooid omdat de service of het systeem werd afgesloten.
0x8024002E	Windows Update-service is uitgeschakeld.
0x8024402C	Als u een WSUS-server gebruikt, controleert u of de registerwaarden voor WUServer en WUStatusServer onder de HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate registersleutel de juiste WSUS-server opgeven.
0x80072EE2	Er is een netwerkverbindingsprobleem of een probleem met de communicatie met een geconfigureerde WSUS-server. Controleer de WSUS-instellingen en controleer of de service toegankelijk is vanaf de client.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Controleer of de Windows Update-service (wuauserv) wordt uitgevoerd en niet is uitgeschakeld.
0x80070005	Een fout met geweigerde toegang kan worden veroorzaakt door een van de volgende oorzaken: Geïnfecteerde computer Windows Update-instellingen zijn niet juist geconfigureerd Bestandsmachtigingsfout met de map %WinDir%\SoftwareDistribution Onvoldoende schijfruimte op het systeemstation (C:).
Andere algemene uitzonderingen	Voer een zoekopdracht uit op internet naar mogelijke oplossingen en werk met uw lokale IT-ondersteuning.

Als u het bestand %Windir%\Windowsupdate.log bekijkt, kunt u ook mogelijke oorzaken bepalen. Zie Hoe lees ik het bestand Windowsupdate.log voor meer informatie over het lezen van het logboek.

U kunt ook de probleemoplosser voor Windows Update downloaden en uitvoeren om te controleren op problemen met Windows Update op de computer.

Notitie

De probleemoplosserdocumentatie voor Windows Update geeft aan dat het voor gebruik op Windows-clients is, maar ook werkt op Windows Server.

Scenario: De updateuitvoering retourneert de status Mislukt (Linux)

Probleem

Er wordt een updateuitvoering gestart, maar er treden fouten op tijdens de uitvoering.

Oorzaak

Mogelijke oorzaken:

• Package Manager is beschadigd.
• Update-agent (WUA voor Windows, distributiespecifieke pakketbeheerder voor Linux) is onjuist geconfigureerd.
• Specifieke pakketten verstoren het gebruik van patches in de cloud.
• De machine is onbereikbaar.
• Updates hadden afhankelijkheden die niet waren opgelost.

Oplossing

Als er fouten optreden tijdens een updateuitvoering nadat deze is gestart, controleert u de taakuitvoer van de betreffende machine in de uitvoering. Mogelijk vindt u specifieke foutberichten van uw machines die u kunt onderzoeken en waarop u actie kunt ondernemen. Updatebeheer vereist dat pakketbeheer in orde is voor geslaagde update-implementaties.

Als specifieke patches, pakketten of updates direct worden weergegeven voordat de taak mislukt, kunt u proberen deze items uit te sluiten van de volgende update-implementatie. Zie Logboekbestanden van Windows Update om logboekgegevens van Windows Update te verzamelen.

Als u een patchprobleem niet kunt oplossen, maakt u een kopie van het bestand /var/opt/microsoft/omsagent/run/automationworker/omsupdatemgmt.log en bewaart u het voor probleemoplossingsdoeleinden voordat de volgende update-implementatie wordt gestart.

Patches zijn niet geïnstalleerd

Updates worden niet geïnstalleerd op machines

Voer de updates rechtstreeks op de machine uit. Als de computer de updates niet kan toepassen, raadpleegt u de lijst met mogelijke fouten in de gids voor probleemoplossing.

Als updates lokaal worden uitgevoerd, verwijdert en installeert u de agent opnieuw op de computer door de richtlijnen te volgen bij Het verwijderen van een VIRTUELE machine uit Updatebeheer.

Ik weet dat er updates beschikbaar zijn, maar ze worden niet weergegeven als beschikbaar op mijn computers

Dit gebeurt vaak als machines zijn geconfigureerd voor het ophalen van updates van WSUS of Microsoft Configuration Manager, maar WSUS en Configuration Manager de updates niet hebben goedgekeurd.

U kunt controleren of de computers zijn geconfigureerd voor WSUS en SCCM door kruislings te verwijzen naar de UseWUServer registersleutels in de sectie Automatische updates configureren door de sectie Register van dit artikel te bewerken.

Als updates niet zijn goedgekeurd in WSUS, worden ze niet geïnstalleerd. U kunt controleren op niet-goedgekeurde updates in Log Analytics door de volgende query uit te voeren.

Update | where UpdateState == "Needed" and ApprovalSource == "WSUS" and Approved == "False" | summarize max(TimeGenerated) by Computer, KBID, Title

Updates verschijnen na installatie maar ik kan ze niet vinden op mijn machine

Updates worden vaak verdrongen door andere updates. Zie Update wordt vervangen in de Gids voor probleemoplossing voor Windows Update voor meer informatie.

Updates per classificatie installeren op Linux

Het per classificatie implementeren van updates naar Linux ('Essentiële en beveiligingsupdates'), heeft belangrijke beperkingen, met name voor CentOS. Deze beperkingen worden beschreven op de overzichtspagina Updatebeheer.

KB2267602 ontbreekt consistent

KB2267602 is de definitie-update voor Windows Defender. Deze wordt dagelijks bijgewerkt.

Volgende stappen

Als u het probleem niet ziet of het probleem niet kunt oplossen, kunt u een van de volgende kanalen proberen voor aanvullende ondersteuning.

• Krijg antwoorden van Azure-experts via Azure-forums.
• Verbinding maken met @AzureSupport, het officiële Microsoft Azure-account voor het verbeteren van de klantervaring.
• Dien een ondersteuning voor Azure incident in. Ga naar de ondersteuning voor Azure site en selecteer Ondersteuning krijgen.