Solucionar problemas do Windows Update Agent
Importante
O agente de Rastreamento de alterações e inventário usando Log Analytics foi aposentado em 31 de agosto de 2024 e funcionará com suporte limitado até 1º de fevereiro de 2025. Recomendamos que você use o Agente de Monitoramento do Azure como o novo agente de suporte. Siga as diretrizes para a migração do Controle de Alterações e Inventário usando o Log Analytics para o Controle de Alterações e Inventário usando a versão do Agente de Monitoramento do Azure.
Podem haver muitas razões pelas quais o computador não está aparecendo como pronto (íntegro) na implantação do Gerenciamento de Atualizações. Você pode verificar a integridade de um agente do Hybrid Runbook Worker do Windows para determinar o problema subjacente. A seguir estão os três estados de preparação para um computador:
- Pronto: O Hybrid Runbook Worker está implantado e foi visualizado pela última vez há menos de uma hora.
- Desconectado: o Hybrid Runbook Worker está implantado e foi visualizado pela última vez há mais de uma hora.
- Não configurado: O Hybrid Runbook Worker não foi encontrado ou não concluiu a implantação.
Observação
Pode haver um pequeno atraso entre o que o portal do Azure mostra e o estado atual de um computador.
Este artigo descreve como executar a solução de problemas em computadores do Azure no portal do Azure e em computadores não Azure no cenário offline.
Observação
O script de solução de problemas agora inclui verificações para o WSUS (Windows Server Update Services), para o download automático e para as chaves de instalação.
Iniciar a solução de problemas
Para computadores do Azure, abra a página Solução de Problemas do Agente de Atualizações selecionando o link Solução de Problemas na coluna Preparação do Agente de Atualizações do portal. Para computadores não Azure, o link levará você para este artigo. Confira Solução de problemas offline para solucionar problemas de um computador não Azure.
Observação
Para verificar a integridade do Hybrid Runbook Worker, a VM deve estar em execução. Se a VM não estiver em execução, será exibido o botão Iniciar a VM.
Na página Solução de Problemas do Agente de Atualizações, selecione Executar verificações para iniciar a solução de problemas. A solução de problemas usa Executar Comando para executar um script no computador e verificar as dependências. Quando a solução de problemas é concluída, ela retorna o resultado das verificações.
Os resultados são mostrados na página quando estão prontos. As seções de verificações mostram o que está incluído em cada verificação.
Verificações de pré-requisitos
Sistema operacional
A verificação do sistema operacional verifica se o Hybrid Runbook Worker está executando um dos sistemas operacionais com suporte
.NET 4.6.2
A verificação do .NET Framework verifica se o sistema tem o .NET Framework 4.6.2 ou posterior instalado.
Para corrigir, instale o .NET Framework 4.6 ou posterior.
Baixe o .NET Framework.
Windows Management Framework 5.1
A verificação do WMF verifica se o sistema tem a versão necessária do Windows Management Framework (WMF).
Para corrigir, você precisa baixar e instalar o Windows Management Framework 5.1, pois requer o Windows PowerShell 5.1 para que o Gerenciamento de Atualizações do Azure funcione.
TLS 1.2
Essa verificação determina se você está usando o TLS 1.2 para criptografar suas comunicações. O TLS 1.0 não é mais suportado pela plataforma. Use o TLS 1.2 para se comunicar com o Gerenciamento de Atualizações.
Para corrigir, siga as etapas para Habilitar o TLS 1.2
Monitoramento das verificações de integridade de serviço do agente
Hybrid Runbook Worker
Para corrigir o problema, faça um novo registro forçado do Hybrid Runbook Worker.
Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
Restart-service healthservice
Observação
Isso removerá o trabalho híbrido do usuário do computador. Verifique e registre-o novamente depois. Não será necessária nenhuma ação se o computador tiver apenas o trabalho do System Hybrid Runbook.
Para validar, verifique se a ID do evento 15003 (evento de início do HW) OR 15004 (evento hw parado) existe nos logs de eventos Microsoft-SMA/Operacional.
Crie um tíquete de suporte se o problema ainda não estiver corrigido.
Workspace vinculado às VMs
Veja Requisitos de rede.
Para validar: verifique o workspace conectado às VMs ou a tabela Pulsação da análise de log correspondente.
Heartbeat | where Computer =~ ""
Status do serviço de atualização do Windows
Para corrigir esse problema, inicie o serviço wuaserv.
Start-Service -Name wuauserv -ErrorAction SilentlyContinue
Verificações de conectividade
A solução de problemas atualmente não roteia o tráfego por um servidor proxy se houver um configurado.
Ponto de extremidade de registro
Essa verificação determina se o agente pode se comunicar corretamente com o serviço do agente.
As configurações de proxy e firewall devem permitir que o agente do Hybrid Runbook Worker se comunique com o ponto de extremidade de registro. Para obter uma lista de endereços e portas a serem abertas, consulte Planejamento de rede.
Habilitar as URLs de pré-requisito. Após as alterações de rede, você pode processar novamente a solução de problemas ou executar os comandos abaixo para validar:
$workspaceId =- ""
$endpoint = $workspaceId + “.agentsvc.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Ponto de extremidade de operações
Essa verificação determina se o agente pode se comunicar corretamente com o Serviço de dados do runtime da tarefa.
As configurações de proxy e firewall devem permitir que o agente do Hybrid Runbook Worker se comunique com o Serviço de Dados de Runtime do Trabalho. Para obter uma lista de endereços e portas a serem abertas, consulte Planejamento de rede.
Habilitar as URLs de pré-requisito. Após as alterações de rede, você pode processar novamente a solução de problemas ou executar os comandos abaixo para validar:
$jrdsEndpointLocationMoniker = “”
# $jrdsEndpointLocationMoniker should be based on automation account location (jpe/ase/scus) etc.
$endpoint = $jrdsEndpointLocationMoniker + “-jobruntimedata-prod-su1.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Conexão HTTPS
Isso simplifica o gerenciamento contínuo de suas regras de segurança de rede. Habilitar as URLs de pré-requisito.
Após as alterações de rede, você pode processar novamente a solução de problemas ou executar os comandos abaixo para validar:
$uri = "https://eus2-jobruntimedata-prod-su1.azure-automation.net"
Invoke-WebRequest -URI $uri -UseBasicParsing
Configurações de proxy
Se o proxy estiver habilitado, verifique se você tem acesso às URLs de pré-requisito
Para verificar se o proxy está definido corretamente, use os comandos abaixo:
netsh winhttp show proxy
ou verifique se a chave do Registro ProxyEnable está definida como 1 em
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
conectividade do ponto de extremidade do IMDS
Para corrigir o problema, permita o acesso ao IP 169.254.169.254
Para obter mais informações, acesse o serviço de metadados da instância do Azure
Após as alterações de rede, você pode processar novamente a solução de problemas ou executar os comandos abaixo para validar:
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.254/metadata/instance?api-version=2018-02-01
Verificações de integridade do serviço de VM
Monitoramento de status de serviço do agente
Essa verificação determina se o agente do Log Analytics para Windows (healthservice) está em execução no computador. Para saber mais sobre a solução de problemas do serviço, veja O agente do Log Analytics para Windows não está em execução.
Para reinstalar o agente do Log Analytics para Windows, veja Instalação do agente para Windows.
Monitoramento de eventos de serviço de agente
Essa verificação determina se um evento 4502 aparece no log do Azure Operations Manager do computador nas últimas 24 horas.
Para saber mais sobre esse evento, veja Evento 4502 no log do Operations Manager para esse evento.
Verificações de permissões de acesso
Pasta de chave do computador
Essa verificação determina se a conta do sistema local tem acesso a: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Para corrigir, conceda à conta SYSTEM as permissões necessárias (Leitura, Gravação e Modificação ou Controle Total) na pasta C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Use os comandos abaixo para verificar as permissões na pasta:
$folder = “C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys”
(Get-Acl $folder).Access |? {($_.IdentityReference -match $User) -or ($_.IdentityReference -match "Everyone")} | Select IdentityReference, FileSystemRights
Configurações de Atualização do Computador
Reinicializar automaticamente após a instalação
Para corrigir e remover as chaves de registro de: HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
Configure a reinicialização de acordo com a configuração de agendamento do Gerenciamento de Atualizações.
AlwaysAutoRebootAtScheduledTime
AlwaysAutoRebootAtScheduledTimeMinutes
Para obter mais informações, veja Definir as configurações de reinicialização
Configuração do Servidor WSUS
Se o ambiente estiver definido para obter atualizações do WSUS, verifique se ele foi aprovado no WSUS antes da implantação da atualização. Para obter mais informações, veja Definições de configuração. Se o ambiente não estiver usando o WSUS, remova as configurações do servidor do WSUS e redefina o componente de atualização do Windows.
Baixar e instalar automaticamente
Para corrigir o problema, desabilite o recurso AutoUpdate. Defina-o como Desabilitado na política de grupo local Configurar Atualizações Automáticas. Para obter mais informações, veja Configurando atualizações automáticas.
Solucionar problemas offline
Você pode usar o solucionador de problemas em um Hybrid Runbook Worker offline, executando o script localmente. Obtenha o seguinte script do GitHub: UM_Windows_Troubleshooter_Offline.ps1. Para executar o script, você deve ter o WMF 5.0 ou posterior instalado. Para baixar a versão mais recente do PowerShell, veja Instalação de várias versões do PowerShell.
A saída deste script se parece com o seguinte exemplo:
RuleId : OperatingSystemCheck
RuleGroupId : prerequisites
RuleName : Operating System
RuleGroupName : Prerequisite Checks
RuleDescription : The Windows Operating system must be version 6.1.7600 (Windows Server 2008 R2) or higher
CheckResult : Passed
CheckResultMessage : Operating System version is supported
CheckResultMessageId : OperatingSystemCheck.Passed
CheckResultMessageArguments : {}
RuleId : DotNetFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : .NET Framework 4.6.2+
RuleGroupName : Prerequisite Checks
RuleDescription : .NET Framework version 4.6.2 or higher is required
CheckResult : Passed
CheckResultMessage : .NET Framework version 4.6.2+ is found
CheckResultMessageId : DotNetFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {}
RuleId : WindowsManagementFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : WMF 5.1
RuleGroupName : Prerequisite Checks
RuleDescription : Windows Management Framework version 4.0 or higher is required (version 5.1 or higher is preferable)
CheckResult : Passed
CheckResultMessage : Detected Windows Management Framework version: 5.1.22621.169
CheckResultMessageId : WindowsManagementFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {5.1.22621.169}
RuleId : AutomationAgentServiceConnectivityCheck1
RuleGroupId : connectivity
RuleName : Registration endpoint
RuleGroupName : connectivity
RuleDescription :
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : AutomationAgentServiceConnectivityCheck1.Failed.NoRegistrationFound
CheckResultMessageArguments :
RuleId : AutomationJobRuntimeDataServiceConnectivityCheck
RuleGroupId : connectivity
RuleName : Operations endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow Automation Hybrid Worker agent to communicate with
eus2-jobruntimedata-prod-su1.azure-automation.net
CheckResult : Passed
CheckResultMessage : TCP Test for eus2-jobruntimedata-prod-su1.azure-automation.net (port 443) succeeded
CheckResultMessageId : AutomationJobRuntimeDataServiceConnectivityCheck.Passed
CheckResultMessageArguments : {eus2-jobruntimedata-prod-su1.azure-automation.net}
RuleId : MonitoringAgentServiceRunningCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service status
RuleGroupName : VM Service Health Checks
RuleDescription : HealthService must be running on the machine
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service (HealthService) is running
CheckResultMessageId : MonitoringAgentServiceRunningCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, HealthService}
RuleId : SystemHybridRunbookWorkerRunningCheck
RuleGroupId : servicehealth
RuleName : Hybrid runbook worker status
RuleGroupName : VM Service Health Checks
RuleDescription : Hybrid runbook worker must be in running state.
CheckResult : Passed
CheckResultMessage : Hybrid runbook worker is running.
CheckResultMessageId : SystemHybridRunbookWorkerRunningCheck.Passed
CheckResultMessageArguments : {}
RuleId : MonitoringAgentServiceEventsCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service events
RuleGroupName : VM Service Health Checks
RuleDescription : Event Log must not have event 4502 logged in the past 24 hours
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service Event Log (Operations Manager) does not have event 4502 logged in the last 24 hours.
CheckResultMessageId : MonitoringAgentServiceEventsCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, Operations Manager, 4502}
RuleId : LinkedWorkspaceCheck
RuleGroupId : servicehealth
RuleName : VM's Linked Workspace
RuleGroupName : VM Service Health Checks
RuleDescription : Get linked workspace info of the VM
CheckResult : Failed
CheckResultMessage : VM is not reporting to any workspace.
CheckResultMessageId : LinkedWorkspaceCheck.Failed.NoWorkspace
CheckResultMessageArguments : {}
RuleId : CryptoRsaMachineKeysFolderAccessCheck
RuleGroupId : permissions
RuleName : Crypto RSA MachineKeys Folder Access
RuleGroupName : Access Permission Checks
RuleDescription : SYSTEM account must have WRITE and MODIFY access to 'C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys'
CheckResult : Passed
CheckResultMessage : Have permissions to access C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys
CheckResultMessageId : CryptoRsaMachineKeysFolderAccessCheck.Passed
CheckResultMessageArguments : {C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys}
RuleId : TlsVersionCheck
RuleGroupId : prerequisites
RuleName : TLS 1.2
RuleGroupName : Prerequisite Checks
RuleDescription : Client and Server connections must support TLS 1.2
CheckResult : Passed
CheckResultMessage : TLS 1.2 is enabled by default on the Operating System.
CheckResultMessageId : TlsVersionCheck.Passed.EnabledByDefault
CheckResultMessageArguments : {}
RuleId : AlwaysAutoRebootCheck
RuleGroupId : machineSettings
RuleName : AutoReboot
RuleGroupName : Machine Override Checks
RuleDescription : Automatic reboot should not be enable as it forces a reboot irrespective of update configuration
CheckResult : Passed
CheckResultMessage : Windows Update reboot registry keys are not set to automatically reboot
CheckResultMessageId : AlwaysAutoRebootCheck.Passed
CheckResultMessageArguments :
RuleId : WSUSServerConfigured
RuleGroupId : machineSettings
RuleName : isWSUSServerConfigured
RuleGroupName : Machine Override Checks
RuleDescription : Increase awareness on WSUS configured on the server
CheckResult : Passed
CheckResultMessage : Windows Updates are downloading from the default Windows Update location. Ensure the server has access to the Windows Update service
CheckResultMessageId : WSUSServerConfigured.Passed
CheckResultMessageArguments :
RuleId : AutomaticUpdateCheck
RuleGroupId : machineSettings
RuleName : AutoUpdate
RuleGroupName : Machine Override Checks
RuleDescription : AutoUpdate should not be enabled on the machine
CheckResult : Passed
CheckResultMessage : Windows Update is not set to automatically install updates as they become available
CheckResultMessageId : AutomaticUpdateCheck.Passed
CheckResultMessageArguments :
RuleId : HttpsConnection
RuleGroupId : connectivity
RuleName : Https connection
RuleGroupName : connectivity
RuleDescription : Check if VM is able to make https requests.
CheckResult : Passed
CheckResultMessage : VM is able to make https requests.
CheckResultMessageId : HttpsConnection.Passed
CheckResultMessageArguments : {}
RuleId : ProxySettings
RuleGroupId : connectivity
RuleName : Proxy settings
RuleGroupName : connectivity
RuleDescription : Check if Proxy is enabled on the VM.
CheckResult : Passed
CheckResultMessage : Proxy is not set.
CheckResultMessageId : ProxySettings.Passed
CheckResultMessageArguments : {}
RuleId : IMDSConnectivity
RuleGroupId : connectivity
RuleName : IMDS endpoint connectivity
RuleGroupName : connectivity
RuleDescription : Check if VM is able to reach IMDS server to get VM information.
CheckResult : PassedWithWarning
CheckResultMessage : VM is not able to reach IMDS server. Consider this as a Failure if this is an Azure VM.
CheckResultMessageId : IMDSConnectivity.PassedWithWarning
CheckResultMessageArguments : {}
RuleId : WUServiceRunningCheck
RuleGroupId : servicehealth
RuleName : WU service status
RuleGroupName : WU Service Health Check
RuleDescription : WU must not be in the disabled state.
CheckResult : Passed
CheckResultMessage : Windows Update service (wuauserv) is running.
CheckResultMessageId : WUServiceRunningCheck.Passed
CheckResultMessageArguments : {Windows Update, wuauserv}
RuleId : LAOdsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA ODS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA ODS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOdsEndpointConnectivity.Failed
CheckResultMessageArguments :
RuleId : LAOmsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA OMS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA OMS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOmsEndpointConnectivity.Failed
CheckResultMessageArguments :