Устранение неполадок с Управлением обновлениями

Внимание

Эта статья ссылается на CentOS, дистрибутив Linux, который приближается к состоянию конца жизни (EOL). Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.

В этой статье обсуждаются проблемы, с которыми можно столкнуться при использовании решения "Управление обновлениями" для оценки и управления обновлениями на компьютерах. Агент устранения неполадок определяет первоначальную проблему для агента гибридной рабочей роли Runbook. Дополнительные сведения о средстве устранения неполадок см. в статьях Устранение неполадок с агентом обновления Windows и Устранение неполадок с агентом обновления Linux. Сведения о других проблемах при развертывании компонентов см. в статье Устранение неполадок с развертыванием компонентов.

Примечание.

Если при развертывании решения "Управление обновлениями" на компьютере Windows возникают проблемы, откройте средство просмотра событий Windows и проверьте журнал событий Operations Manager в разделе Журналы приложений и служб на локальном компьютере. Найдите события с идентификатором 4502 и сведения о событии, содержащие Microsoft.EnterpriseManagement.HealthService.AzureAutomation.HybridAgent.

Сценарий: обновление Защитника Windows всегда отображается как отсутствующее

Проблема

Обновление определений для Защитника Windows (KB2267602) всегда отображается как отсутствующее при оценке, если оно установлено и отображается как актуальное при проверке в журнале Центра обновления Windows.

Причина

Обновления определений публикуются несколько раз в день. В результате вы увидите несколько выпусков KB2267602, опубликованных в один день, но с разными идентификаторами обновления и версиями.

Оценка решения "Управление обновлениями" выполняется раз в 11 часов. В этом примере в 10:00 выполняется оценка, и версия 1.237.316.0 в этот момент доступна. При поиске в таблице Update в рабочей области Log Analytics обновление определения 1.237.316.0 отображается со статусом UpdateStateТребуется. Если запланированное развертывание выполняется на несколько часов позже, допустим, в 1:00 PM, и доступна версия 1.237.316.0 или более новая версия, то устанавливается более новая версия, и это отражается в записи в таблице UpdateRunProgress. Однако в таблице Update версия 1.237.316.0 будет по-прежнему отображаться со статусом Требуется, пока не будет выполнена следующая оценка. При повторном выполнении оценки более новое обновление определений может быть недоступно, поэтому в таблице Update версия обновления определений 1.237.316.0 не отображается как отсутствующая, а более новая доступная версия не отображается со статусом "Требуется". Учитывая регулярность обновления определений, поиск по журналам может возвращать несколько версий.

Разрешение

Выполните следующий запрос журнала, чтобы подтвердить корректность установки обновлений определений. Этот запрос возвращает время создания, версию и идентификатор обновления KB2267602 в таблице Updates. Замените значение Computer на полное имя компьютера.

Update
| where TimeGenerated > ago(14h) and OSType != "Linux" and (Optional == false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((
    Heartbeat
    | where TimeGenerated > ago(12h) and OSType =~ "Windows" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, *) by Computer, SourceComputerId, UpdateID
| where UpdateState =~ "Needed" and Approved != false and Computer == "<computerName>"
| render table

Результаты запроса должны возвращать примерно следующее:

Выполните следующий запрос журнала, чтобы получить время создания, версию и идентификатор обновления KB2267602 в таблице UpdatesRunProgress. Этот запрос помогает понять, было ли обновление установлено из решения "Управление обновлениями" или устанавливалось автоматически на компьютер из Центра обновления Майкрософт. Необходимо заменить значение параметра correlationId GUID задания Runbook (то есть значение свойства MasterJOBID из задания Runbook Patch-MicrosoftOMSComputer) для обновления, а значение SourceComputerId — на идентификатор GUID компьютера.

UpdateRunProgress
| where OSType!="Linux" and CorrelationId=="<master job id>" and SourceComputerId=="<source computer id>"
| summarize arg_max(TimeGenerated, Title, InstallationStatus) by UpdateId
| project TimeGenerated, id=UpdateId, displayName=Title, InstallationStatus

Результаты запроса должны возвращать примерно следующее:

Если значение TimeGenerated для результатов запроса журнала из таблицы Updates создано раньше, чем метка времени (то есть значение TimeGenerated) установки обновления на компьютер или из результатов запроса журнала из таблицы UpdateRunProgress, дождитесь следующей оценки. Затем снова выполните запрос журнала к таблице Updates. Обновление для KB2267602 либо не будет отображаться, либо отобразится с более новой версией. Однако если даже после последней оценки та же самая версия отображается со статусом Требуется в таблице Updates, но при этом она уже установлена, следует создать обращение в службу поддержки Azure.

Сценарий: обновления Linux, отображаемые со статусом "Ожидают обработки", отличаются от установленных.

Проблема

Для компьютера Linux решение "Управление обновлениями" отображает конкретные обновления, доступные в категории Безопасность и Другие. Однако если на компьютере настроено расписание обновления, например для установки только тех обновлений, которые соответствуют категории Безопасность, установленные обновления будут отличаться от этой категории, либо указанный ранее набор обновлений будет ей соответствовать.

Причина

При оценке обновлений операционной системы, ожидающих выполнения на компьютере с Linux, откройте файлы на открытом языке уязвимостей и оценки (OVAL), предоставляемые поставщиком дистрибутива для Linux, с помощью Управления обновлениями для классификации. Категоризация обновлений безопасности или других обновлений для Linux выполняется на основе файлов OVAL, которые включают в себя обновления, устраняющие проблемы безопасности или уязвимости. Но при запуске расписания обновление выполняется на компьютере Linux с помощью соответствующего диспетчера пакетов, например YUM, APT или ZYPPER для установки. Диспетчер пакетов для дистрибутивов Linux может иметь другой механизм классификации обновлений, где результаты могут отличаться от тех, которые были получены из файлов OVAL Управлением обновлениями.

Разрешение

Можно вручную проверить компьютер Linux, доступные обновления и их категорию для диспетчера пакетов дистрибутива. Чтобы узнать, какие обновления диспетчер пакетов относит к категории Безопасность, выполните следующие команды.

В YUM следующая команда возвращает отличный от нуля список обновлений, отнесенных к категории Безопасность в Red Hat. Обратите внимание, что в случае с CentOS всегда возвращается пустой список, и обновления не относятся к категории безопасности.

sudo yum -q --security check-update

В ZYPPER следующая команда возвращает отличный от нуля список обновлений, отнесенных к категории Безопасность в SUSE.

sudo LANG=en_US.UTF8 zypper --non-interactive patch --category security --dry-run

В APT следующая команда возвращает отличный от нуля список обновлений, отнесенных к категории Безопасность в дистрибутивах Canonical для Ubuntu Linux.

sudo grep security /etc/apt/sources.list > /tmp/oms-update-security.list LANG=en_US.UTF8 sudo apt-get -s dist-upgrade -oDir::Etc::Sourcelist=/tmp/oms-update-security.list

В этом списке выполняется команда grep ^Inst для получения всех обновлений безопасности, ожидающих обработки.

Сценарий: вы получите сообщение об ошибке "Не удалось включить решение обновления"

Проблема

При попытке включить решение "Управление обновлениями" в учетной записи службы автоматизации возникает следующая ошибка:

Error details: Failed to enable the Update solution

Причина

Эта ошибка может возникать по следующим причинам.

• Требования к сетевому брандмауэру для агента Log Analytics могут быть настроены неправильно. Такая ситуация может привести к сбою агента при разрешении URL-адресов DNS.

• Целевая настройка Управления обновлениями неправильно настроена, и компьютер не получает обновлений должным образом.

• Вы также можете заметить, что на компьютере в разделе Соответствие отображается состояние Non-compliant. В то же время Аналитика компьютеров сообщает, что агент имеет состояние Disconnected.

Разрешение

• Запустите средство устранения неполадок для Windows или Linux в зависимости от операционной системы.

• Дополнительные сведения о том, какие адреса и порты должны быть разрешены, чтобы Управление обновлениями работало, см. в разделе о конфигурации сети.

• Проверьте наличие проблем с конфигурацией области. Конфигурация области определяет, какие компьютеры настроены для Управления обновлениями. Если компьютер отображается в рабочей области, но не в Управлении обновлениями, необходимо настроить конфигурацию области для целевого компьютера. Дополнительные сведения о конфигурации области см. в разделе Включение компьютеров в рабочей области.

• Удалите конфигурацию рабочей роли, выполнив действия из разделов Удаление гибридной рабочей роли Runbook с локального компьютера Windows или Удаление гибридной рабочей роли Runbook с локального компьютера Linux.

Сценарий: замененное обновление указано как отсутствующие в службе "Управление обновлениями"

Проблема

Старые обновления отображаются для учетной записи службы автоматизации как отсутствующие, даже если они были заменены. Заменяемое обновление не надо устанавливать, так как доступно более позднее обновление, устраняющее ту же уязвимость. Управление обновлениями игнорирует заменяемое обновление и делает его неприменимым. Вместо него используется заменяющее обновление. Сведения о связанных проблемах см. в разделе о замененном обновлении.

Причина

Замененные обновления не отклоняются в Windows Server Update Services (WSUS), поэтому их можно считать неприменимыми.

Разрешение

Если заменяемое обновление становится на 100 % неприменимым, следует изменить состояние утверждения этого обновления на Declined в WSUS. Чтобы изменить состояние утверждения всех обновлений, выполните следующие действия:

1. Выберите Управление обновлениями в учетной записи службы автоматизации, чтобы просмотреть состояние компьютера. Ознакомьтесь с разделом Просмотр оценок обновления.

2. Проверьте заменяемое обновление, чтобы убедиться в том, что оно на 100 % неприменимо.

3. На сервере WSUS, которому подчиняются компьютеры, необходимо отклонить обновление.

4. Выберите Компьютеры и в столбце Соответствие выполните повторное сканирование на соответствие. См. раздел Управление обновлениями для виртуальных машин.

5. Повторите предыдущие шаги для других заменяемых обновлений.

6. В Windows Server Update Services (WSUS) необходимо удалить все замененные обновления, чтобы обновить инфраструктуру с помощью Мастера очистки сервераWSUS.

7. Повторяйте эту процедуру регулярно, чтобы устранить проблему с отображением и максимально сократить объем дискового пространства, используемого для управления обновлениями.

Сценарий. Компьютеры не отображаются на портале в разделе "Управление обновлениями"

Проблема

У ваших компьютеров возникли указанные ниже симптомы:

• На компьютере отображается Not configured в представлении Управления обновлениями виртуальной машины.

• Ваши компьютеры отсутствуют в представлении Управления обновлениями учетной записи службы автоматизации Azure.

• У вас есть компьютеры, которые имеют состояние Not assessed в разделе Соответствие. Однако в журналах Azure Monitor отображаются данные пульса для гибридной рабочей роли Runbook, но не для Управления обновлениями.

Причина

Эта проблема может быть вызвана проблемами с локальной конфигурацией или неправильно настроенной конфигурацией области. Возможные причины:

• Возможно, потребуется повторно зарегистрировать и установить гибридную рабочую роль Runbook.

• Возможно, вы определили квоту в рабочей области, которая была достигнута, что препятствует последующему хранению данных.

Разрешение

1. Запустите средство устранения неполадок для Windows или Linux в зависимости от операционной системы.

2. Убедитесь, что компьютер отправляет отчеты в правильную рабочую область. Инструкции о том, как это проверить, см. в разделе Проверка подключения агента к Azure Monitor. Также убедитесь, что эта рабочая область связана с учетной записью службы автоматизации Azure. Для подтверждения перейдите на страницу учетной записи службы автоматизации и в разделе Связанные ресурсы выберите Связанная рабочая область.

3. Убедитесь, что компьютеры отображаются в рабочей области Log Analytics, связанной с вашей учетной записью службы автоматизации. Выполните следующий запрос в рабочей области Log Analytics.

   Heartbeat
   | summarize by Computer, Solutions
   

   Если компьютер не отображается в результатах запроса, он давно не синхронизировался. Вероятно, существует ошибка локальной конфигурации и необходимо переустановить агент.

   Если компьютер присутствует в результатах запроса, проверьте свойство Solutions, которое должно содержать подстроку updates. Она проверяет, зарегистрирован ли он в решении "Управление обновлениями". Если это не так, проверьте наличие проблем с конфигурацией области. Конфигурация области определяет, какие компьютеры настроены для Управления обновлениями. Сведения о настройке конфигурации области для целевого компьютера см. в разделе Включение компьютеров в рабочей области.

4. В рабочей области выполните этот запрос.

   Operation
   | where OperationCategory == 'Data Collection Status'
   | sort by TimeGenerated desc
   

   Если получен такой результат: Data collection stopped due to daily limit of free data reached. Ingestion status = OverQuota, значит достигнута квота, определенная в рабочей области, которая не позволяет сохранить данные. В рабочей области перейдите к параметру Управление объемом данных в разделе Использование и ожидаемые затраты и измените или удалите квоту.

5. Если проблема по прежнему не решена, следуйте инструкциям статьи Развертывание гибридной рабочей роли Runbook для Windows, чтобы переустановить гибридную рабочую роль для Windows. Для Linux следуйте инструкциям из статьи Развертывание гибридной рабочей роли Runbook для Linux.

Сценарий. Не удается зарегистрировать поставщик ресурсов службы автоматизации для подписок

Проблема

При работе с развертываниями компонентов в учетной записи службы автоматизации возникает следующая ошибка:

Error details: Unable to register Automation Resource Provider for subscriptions

Причина

Поставщик ресурсов службы автоматизации не зарегистрирован в подписке.

Разрешение

Чтобы зарегистрировать поставщик ресурсов службы автоматизации, выполните указанные ниже действия на портале Azure.

1. В нижней части портала в списке служб Azure выберите Все службы, а затем в общей группе служб выберите Подписки.

2. Выберите свою подписку.

3. В разделе Параметры выберите Поставщики ресурсов.

4. В списке поставщиков ресурсов убедитесь в том, что поставщик ресурсов Microsoft.Automation зарегистрирован.

5. Если он отсутствует в списке, зарегистрируйте поставщик Microsoft.Automation, выполнив действия из статьи Устранение ошибок регистрации поставщика ресурсов.

Сценарий: запланированное обновление не выполнило исправление на некоторых компьютерах

Проблема

Компьютеры, включенные в предварительную версию обновления, не отображаются в списке компьютеров, для которых выполнялось исправление во время запланированного запуска; или виртуальные машины для выбранных областей динамической группы не отображаются в списке предварительных версий обновлений на портале.

Список предварительных версий обновлений включает все компьютеры, полученные запросом Azure Resource Graph для выбранных областей. Области фильтруются для компьютеров, на которых установлены системные гибридные рабочие роли Runbook, к которым у вас есть право доступа.

Причина

Эта проблема может возникать по любой из следующих причин:

• Подписки, определенные в области в динамическом запросе, не настроены для зарегистрированного поставщика ресурсов службы автоматизации.

• Компьютеры не были доступны или не имеют подходящих тегов при выполнении расписания.

• У вас нет нужного уровня доступа к выбранным областям.

• Запрос Azure Resource Graph не извлекает нужные компьютеры.

• Системная гибридная рабочая роль Runbook не установлена на компьютерах.

Разрешение

Подписки, не настроенные для зарегистрированного поставщика ресурсов службы автоматизации

Если ваша подписка не настроена для поставщика ресурсов службы автоматизации, вы не сможете запрашивать или получать сведения на компьютерах в этой подписке. Чтобы проверить регистрацию подписки, выполните следующие действия.

1. На портале Azure перейдите к списку служб Azure.

2. Щелкните Все службы, а затем в общей группе служб выберите Подписки.

3. Найдите подписку, определенную в области для развертывания.

4. В разделе Параметры выберите Поставщики ресурсов.

5. Убедитесь в том, что поставщик ресурсов Microsoft.Automation зарегистрирован.

6. Если он отсутствует в списке, зарегистрируйте поставщик Microsoft.Automation, выполнив действия из статьи Устранение ошибок регистрации поставщика ресурсов.

Компьютеры недоступны или неправильно помечены тегами при выполнении расписания

Выполните перечисленные ниже действия, если ваша подписка настроена для поставщика ресурсов службы автоматизации, но при выполнении расписания обновлений с указанными динамическими группами пропущены некоторые компьютеры.

1. На портале Azure откройте учетную запись службы автоматизации и выберите Управление обновлениями.

2. Проверьте журнал Управления обновлениями, чтобы определить точное время, когда было запущено развертывание обновления.

3. Чтобы найти изменения на компьютерах, которые (как вы подозреваете) были пропущены Управлением обновлениями, используйте Azure Resource Graph (ARG).

4. Ищите изменения за продолжительный период, например за один день до запуска развертывания обновления.

5. Проверьте результаты поиска на наличие системных изменений, таких как изменения удалений или обновлений, на компьютерах за этот период. Эти изменения могут изменить состояние или теги компьютера, чтобы он не был выбран в списке компьютеров при развертывании обновлений.

6. При необходимости измените параметры компьютеров и ресурсов, чтобы устранить проблемы с тегами или состоянием компьютера.

7. Повторно запустите расписание обновлений, чтобы убедиться, что развертывание с указанными динамическими группами включает все компьютеры.

Неверный доступ к выбранным областям

На портале Azure отображаются только те компьютеры, к которым у вас есть доступ на запись в заданной области. Если у вас нет нужного уровня доступа к выбранным областям, ознакомьтесь со статьей Руководство. Предоставление доступа пользователю с помощью портала Azure.

Запрос Resource Graph не извлекает ожидаемые компьютеры

Выполните следующие действия, чтобы выяснить, правильно ли работают запросы.

1. Выполните запрос Resource Graph, чтобы его формат соответствовал показанному ниже в колонке обозревателя Resource Graph на портале Azure. Если вы не знакомы с Azure Resource Graph, ознакомьтесь с этим кратким руководством, чтобы узнать, как работать с обозревателем Resource Graph. Этот запрос имитирует фильтры, выбранные при создании динамической группы в Управлении обновлениями. Ознакомьтесь со статьей Использование динамических групп с Управлением обновлениями.

   where (subscriptionId in~ ("<subscriptionId1>", "<subscriptionId2>") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "<Windows/Linux>" and resourceGroup in~ ("<resourceGroupName1>","<resourceGroupName2>") and location in~ ("<location1>","<location2>") )
   | project id, location, name, tags = todynamic(tolower(tostring(tags)))
   | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" and tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "All" option selected for tags
   | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" or tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "Any" option selected for tags
   | project id, location, name, tags
   

   Рассмотрим пример:

   where (subscriptionId in~ ("20780d0a-b422-4213-979b-6c919c91ace1", "af52d412-a347-4bc6-8cb7-4780fbb00490") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "Windows" and resourceGroup in~ ("testRG","withinvnet-2020-01-06-10-global-resources-southindia") and location in~ ("australiacentral","australiacentral2","brazilsouth") )
   | project id, location, name, tags = todynamic(tolower(tostring(tags)))
   | where  (tags[tolower("ms-resource-usage")] =~ "azure-cloud-shell" and tags[tolower("temp")] =~ "temp")
   | project id, location, name, tags
   

2. Проверьте, перечислены ли запрашиваемые компьютеры в результатах запроса.

3. Если компьютеры отсутствуют в списке, вероятно, возникли проблемы с фильтром, выбранным в динамической группе. Внесите необходимые изменения в конфигурацию группы.

Гибридная рабочая роль Runbook не установлена на компьютерах

Компьютеры отображаются в результатах запроса Resource Graph, но по-прежнему не отображаются в предварительном просмотре динамической группы. В этом случае компьютеры могут быть не назначенными в качестве системных гибридных рабочих ролей Runbook и, таким образом, не могут запускать задания службы автоматизации Azure и Управления обновлениями. Чтобы убедиться, что компьютеры, которые вы ожидаете увидеть, настроены как системные гибридные рабочие роли Runbook, выполните следующие действия.

1. На портале Azure перейдите к учетной записи службы автоматизации компьютера, который отображается неправильно.

2. В разделе Автоматизация процессов выберите Группы гибридных рабочих ролей.

3. Выберите вкладку Системные группы гибридных рабочих ролей.

4. Проверьте наличие гибридной рабочей роли для этого компьютера.

5. Если компьютер не настроен как системная гибридная рабочая роль Runbook, просмотрите список методов, чтобы включить использование одного из следующих методов.

   • Из учетной записи службы автоматизации для одного или нескольких компьютеров Azure и не Azure, включая серверы с поддержкой Azure Arc.

   • Использование модуля Runbook Enable-AutomationSolutionдля автоматизации подключения виртуальных машин Azure.

   • Для выбранной виртуальной машины Azure со страницы Виртуальная машина на портале Azure. Этот сценарий доступен для виртуальных машин Linux и Windows.

   • Для нескольких виртуальных машин Azure, выбрав их на странице Виртуальные машины на портале Azure.

   Метод, который необходимо включить, создан на основе среды, в которой выполняется компьютер.

6. Повторите описанные выше действия для всех компьютеров, которые не отображались в предварительном просмотре.

Сценарий: включенные компоненты управления обновлениями, а виртуальная машина продолжает отображаться как настроенная

Проблема

Приведенное ниже сообщение на виртуальной машине не исчезает в течение 15 минут после начала развертывания:

The components for the 'Update Management' solution have been enabled, and now this virtual machine is being configured. Please be patient, as this can sometimes take up to 15 minutes.

Причина

Эта ошибка может возникать по следующим причинам.

• Обмен данными в учетной записи службы автоматизации заблокирован.

• Существует повторяющееся имя компьютера с разными идентификаторами исходного компьютера. Такая ситуация возникает, если виртуальная машина с определенным именем компьютера создается в разных группах ресурсов и отправляет отчеты в одну и ту же рабочую область Logistics Agent в подписке.

• Развертываемый образ виртуальной машины может быть взят с клонированного компьютера, который не был подготовлен с помощью программы подготовки системы (sysprep) с установленным агентом Log Analytics для Windows.

Разрешение

Чтобы определить точную проблему с виртуальной машиной, выполните следующий запрос в рабочей области Log Analytics, связанной с вашей учетной записью службы автоматизации.

Update
| where Computer contains "fillInMachineName"
| project TimeGenerated, Computer, SourceComputerId, Title, UpdateState 

Обмен данными с учетной записью службы автоматизации заблокирован

Дополнительные сведения о том, какие адреса и порты должны быть разрешены, чтобы Управление обновлениями работало, см. в разделе Планирование сети.

Повторяющееся имя компьютера

Переименуйте виртуальные машины, чтобы обеспечить уникальность имен в среде.

Развернутый образ с клонированного компьютера

Если вы используете клонированный образ, разные имена компьютеров имеют одинаковый идентификатор исходного компьютера. В данном случае:

1. В рабочей области Log Analytics удалите виртуальную машину из сохраненных поисковых запросов в конфигурации области MicrosoftDefaultScopeConfig-Updates, если она отображается. Сохраненные поисковые запросы хранятся на вкладке Общие рабочей области.

2. Выполните следующий командлет.

   Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
   

3. Выполните Restart-Service HealthService для перезапуска службы работоспособности. Эта операция повторно создаст ключ, а также сгенерирует идентификатор UUID.

4. Если такой метод не работает, сначала в образе запустите sysprep, а затем установите агент Log Analytics для Windows.

Сценарий. При создании развертывания обновлений для компьютеров в другом клиенте Azure возникает ошибка связанной подписки.

Проблема

Вы получаете следующую ошибку при попытке создания развертывания обновлений для компьютеров в другом клиенте Azure:

The client has permission to perform action 'Microsoft.Compute/virtualMachines/write' on scope '/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroupName/providers/Microsoft.Automation/automationAccounts/automationAccountName/softwareUpdateConfigurations/updateDeploymentName', however the current tenant '00000000-0000-0000-0000-000000000000' is not authorized to access linked subscription '00000000-0000-0000-0000-000000000000'.

Причина

Эта ошибка возникает при создании развертывания обновлений с виртуальными машинами Azure, расположенными в другом клиенте.

Разрешение

Используйте обходной путь, чтобы запланировать обновление этих элементов. Чтобы создать расписание, можно использовать командлет New-AzAutomationSchedule с параметром ForUpdateConfiguration. Затем примените командлет New-AzAutomationSoftwareUpdateConfiguration, передав ему параметр NonAzureComputer со списком компьютеров в другом клиенте. В следующем примере показано, как это сделать:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$s = New-AzAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName $aa -Schedule $s -Windows -AzureVMResourceId $azureVMIdsW -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Сценарий: необъяснимые перезагрузки

Проблема

Несмотря на то, что для параметра управления перезагрузкой установлено значение Никогда не перезагружать, компьютеры по-прежнему перезагружаются после установки обновлений.

Причина

В Центр обновления Windows могли внести изменения, используя некоторые разделы реестра, с помощью которых можно изменить поведение при перезагрузке.

Разрешение

Проверьте разделы реестра, перечисленные в разделе Настройка автоматического обновления путем редактирования реестра и Разделы реестра, используемые для управления перезапуском, чтобы убедиться, что компьютеры настроены правильно.

Сценарий: компьютер показывает "Не удалось запустить" в развертывании обновления

Проблема

На компьютере отображается статус Failed to start или Failed. При просмотре подробной информации о компьютере наблюдается следующая ошибка:

For one or more machines in schedule, UM job run resulted in either Failed or Failed to start state. Guide available at https://aka.ms/UMSucrFailed.

Причина

Ошибка может быть вызвана одной из следующих причин:

• Компьютер больше не существует.
• Компьютер отключен и недоступен.
• У компьютера неполадки с сетевым подключением, поэтому гибридная рабочая роль на компьютере недоступна.
• Произошло обновление агента Log Analytics, которое изменило идентификатор исходного компьютера.
• Выполнение обновления было отрегулировано, если достигнуто ограничение в 200 параллельных заданий в учетной записи службы автоматизации. Каждое развертывание считается заданием, а каждый компьютер в развертывании обновлений учитывается как задание. Любое другое задание службы автоматизации или развертывание обновлений, выполняющееся в данный момент в вашей учетной записи службы автоматизации, учитывает ограничение на число параллельных заданий.

Разрешение

Можно получить больше сведений программным способом, используя для этого REST API. Сведения о получении списка запусков конфигураций обновления или одного запуска конфигурации обновления по идентификатору см. в разделе Запуски конфигурации обновления программного обеспечения.

При возможности используйте динамические группы для развертываний обновлений. Кроме того, можно выполнить следующие действия.

1. Убедитесь, что компьютер или сервер соответствуют требованиям.
2. Проверьте подключение к гибридной рабочей роли Runbook с помощью средства устранения неполадок агента гибридной рабочей роли Runbook. Для дополнительных сведений о средстве устранения неполадок см. Общие сведения о результатах проверки агента в службе "Управление обновлениями".

Сценарий: Обновления устанавливаются без развертывания

Проблема

При регистрации компьютера Windows в Управлении обновлениями отобразятся обновления, установленные без развертывания.

Причина

Обновления устанавливаются в Windows автоматически, как только они становятся доступными. Такое поведение может вызвать путаницу, если вы не планировали развертывание обновления на компьютере.

Разрешение

По HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU умолчанию раздел реестра имеет значение 4: auto download and install

Для клиентов Управления обновлениями рекомендуется задать для этого раздела значение 3: auto download but do not auto install.

Ознакомьтесь с дополнительными сведениями о настройке автоматических обновлений.

Сценарий: компьютер уже зарегистрирован на другой учетной записи

Проблема

Отображается следующее сообщение об ошибке:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.InvalidOperationException: {"Message":"Machine is already registered to a different account."}

Причина

Компьютер уже развернут в другой рабочей области для Управления обновлениями.

Разрешение

1. Выполните действия из раздела Компьютеры не отображаются на портале в разделе Управления обновлениями, чтобы компьютер отчитывался соответствующей рабочей области.
2. Выполните очистку артефактов на компьютере путем удаления группы гибридных модулей Runbook, а затем повторите попытку.

Сценарий. Компьютер не может взаимодействовать со службой

Проблема

Отображается одно из следующих сообщений об ошибке.

Unable to Register Machine for Patch Management, Registration Failed with Exception System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a receive. ---> System.ComponentModel.Win32Exception: The client and server can't communicate, because they do not possess a common algorithm

Unable to Register Machine for Patch Management, Registration Failed with Exception Newtonsoft.Json.JsonReaderException: Error parsing positive infinity value.

The certificate presented by the service <wsid>.oms.opinsights.azure.com was not issued by a certificate authority used for Microsoft services. Contact your network administrator to see if they are running a proxy that intercepts TLS/SSL communication.

Access is denied. (Exception form HRESULT: 0x80070005(E_ACCESSDENIED))

Причина

Возможно, прокси-сервер, шлюз или брандмауэр блокируют сетевую связь.

Решение

Проверьте сеть и убедитесь, что необходимые порты и адреса разрешены. Раздел Требования сети содержит информацию о том, как создать список портов и адресов, необходимых для Управления обновлениями и гибридных рабочих ролей Runbook.

Сценарий: не удалось создать самозаверяющий сертификат

Проблема

Отображается одно из следующих сообщений об ошибке.

Unable to Register Machine for Patch Management, Registration Failed with Exception AgentService.HybridRegistration. PowerShell.Certificates.CertificateCreationException: Failed to create a self-signed certificate. ---> System.UnauthorizedAccessException: Access is denied.

Причина

Гибридной рабочей роли Runbook не удалось создать самозаверяющий сертификат.

Решение

Убедитесь, что системная учетная запись имеет доступ для чтения к папке C:\ProgramData\Microsoft\Crypto\RSA и повторите попытку.

Сценарий. Запланированное обновление завершилось ошибкой MaintenanceWindowExceeded

Проблема

Период обслуживания по умолчанию для обновлений — 120 минут. Период обслуживания можно увеличить до 6 часов или 360 минут. Может появиться сообщение об ошибке For one or more machines in schedule, UM job run resulted in Maintenance Window Exceeded state. Guide available at https://aka.ms/UMSucrMwExceeded.

Разрешение

Чтобы понять, почему это произошло во время запуска обновления после того, как оно успешно запущено, проверьте выполнение задания на затронутом компьютере в ходе выполнения. Просмотрите конкретные сообщения об ошибках ваших компьютеров и примите меры.

Можно получить больше сведений программным способом, используя для этого REST API. Сведения о получении списка запусков конфигураций обновления или одного запуска конфигурации обновления по идентификатору см. в разделе Запуски конфигурации обновления программного обеспечения.

Измените все неудачные запланированные развертывания обновлений и увеличьте период обслуживания.

Дополнительные сведения о периодах обслуживания см. в разделе об установке обновлений.

Сценарий: компьютер отображается как "Не оценено" и отображает исключение HRESULT

Проблема

• У вас есть компьютеры, которые отображаются как Not assessed в разделе Совместимость, а ниже появляется сообщение об ошибке.
• На портале отобразится код ошибки HRESULT.

Причина

Агент обновления (агент Центра обновления Windows для Windows; диспетчер пакетов для дистрибутива Linux) настроен неправильно. Управление обновлениями зависит от агента обновления на компьютере для предоставления необходимых обновлений, состояния исправления и результатов развернутых исправлений. Без этой информации Управление обновлениями не сможет должным образом предоставлять отчеты об исправлениях, которые требуется установить или которые уже установлены.

Разрешение

Попробуйте выполнить обновления на компьютере локально. Если эта операция завершается неудачно, это обычно означает ошибку конфигурации агента обновления.

Эта проблема часто возникает из-за неправильной конфигурации сети или брандмауэра. Выполните следующие проверки, чтобы устранить проблему.

• Для Linux проверьте соответствующую документацию, чтобы убедиться, что вы можете связаться с конечной точкой сети репозитория пакетов.

• В Windows проверьте конфигурацию агента, как указано в разделе Обновления не скачиваются с конечной точки интрасети (WSUS/SCCM).

  • Если для компьютеров настроено использование Центра обновления Windows, убедитесь, что вы можете обратиться к конечным точкам, как описано в разделе Проблемы с HTTP-трафиком и прокси-сервером.
  • Если для компьютеров настроено использование Windows Server Update Services (WSUS), убедитесь, что вы можете подключиться к серверу WSUS, настроенному с помощью раздела реестра WUServer.

Если отображается значение HRESULT, чтобы просмотреть целиком сообщение об исключении, дважды щелкните исключение, выделенное красным. Ознакомьтесь со следующей таблицей потенциальных решений или рекомендуемых действий.

Исключение	Решение или действие
Exception from HRESULT: 0x……C	Найдите соответствующий код ошибки в списке кодов ошибок обновления Windows, чтобы найти подробности о причине создания исключения.
0x8024402C 0x8024401C 0x8024402F	Проблемы с сетевым подключением. Убедитесь, что компьютер имеет сетевое подключение для Управления обновлениями. Список обязательных портов и адресов см. в разделе Планирование сети.
0x8024001E	Операция обновления не завершена, так как служба или система завершали работу.
0x8024002E	Служба Центра обновления Windows отключена.
0x8024402C	Если вы используете сервер WSUS, убедитесь, что значения реестра и WUServerWUStatusServer в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate разделе реестра указывают правильный сервер WSUS.
0x80072EE2	Проблема с сетевым подключением или с обращением к настроенному серверу WSUS. Проверьте параметры WSUS и убедитесь, что служба доступна из клиента.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Убедитесь, что служба Центра обновлений Windows (wuauserv) работает и не отключена.
0x80070005	Ошибка отказа в доступе может быть вызвана любой из следующих причин: зараженный компьютер; параметры Центра обновления Windows неправильно настроены; ошибка разрешения файла в папке %WinDir%\SoftwareDistribution; недостаточно дискового пространства на системном диске (C:).
Другое универсальное исключение	Выполните поиск возможных решений в Интернете и обратитесь к локальной службе ИТ-поддержки.

Просмотр файла %Windir%\Windowsupdate.log также может помочь определить возможные причины. Дополнительные сведения о просмотре журнала см. в статье о Чтение файла Windowsupdate.log.

ВЫ можете также скачать и запустить средство устранения неполадок Центра обновления Windows для проверки возможных проблем с этой службой на компьютере.

Примечание.

В документации по средству устранения неполадок Центра обновления Windows указано, что оно предназначено для ОС Windows, но также работает в Windows Server.

Сценарий: обновление возвращает состояние сбоя (Linux)

Проблема

Запуск обновления начинается, но возникают ошибки во время выполнения.

Причина

Возможные причины:

• диспетчер пакетов неработоспособен;
• агент обновления (WUA для Windows, диспетчера пакетов дистрибутива для Linux) неправильно настроен;
• определенные пакеты конфликтуют с установкой исправлений облака;
• компьютер недоступен;
• обновления имели зависимости, которые не были устранены.

Разрешение

Если сбои происходят во время запуска обновления после того, как он успешно запущен, проверьте выполнение задания на затронутом компьютере в ходе выполнения. Просмотрите конкретные сообщения об ошибках ваших компьютеров и примите меры. Для успешного обновления развертываний управлению обновлениями необходима работоспособность диспетчера пакетов.

Если конкретные исправления, пакеты или обновления отображаются непосредственно перед сбоем задания, можно попытаться исключить эти элементы из следующего развертывания обновлений. Сведения о сборе информации журнала из Центра обновления Windows см. в статье Файлы журнала Центра обновления Windows.

Если не удается исправить проблему, создайте копию файла /var/opt/microsoft/omsagent/run/automationworker/omsupdatemgmt.log и сохраните его для устранения неполадок перед началом следующего развертывания обновления.

Исправления не установлены

Обновления не устанавливаются на компьютеры

Попробуйте выполнить обновление непосредственно на компьютере. Если не удается обновить программное обеспечение на компьютере, см. список возможных ошибок в руководстве по устранению неполадок.

Если обновления выполняются локально, попробуйте удалить и переустановить агент на компьютере, следуя инструкциям из статьи Удаление виртуальной машины для Управления обновлениями.

Я знаю, что обновления доступны, но установить их на компьютерах не предлагается

Это часто происходит, если компьютеры настроены для получения обновлений из WSUS или Microsoft Configuration Manager, но WSUS и Configuration Manager не одобрили обновления.

Проверить, настроены ли компьютеры на получение обновлений из WSUS или SCCM можно с помощью перекрестной ссылки между разделом реестра UseWUServer и разделами реестра, упомянутыми в статье о настройке автоматического обновления путем редактирования реестра.

Если обновления не утверждены в WSUS, они не устанавливаются. Вы можете проверить неутвержденные обновления в Log Analytics, выполнив следующий запрос.

Update | where UpdateState == "Needed" and ApprovalSource == "WSUS" and Approved == "False" | summarize max(TimeGenerated) by Computer, KBID, Title

Обновления отображаются как установленные, но найти их на компьютере не удается

Обновления часто заменяются другими обновлениями. Дополнительные сведения см. в описании причины Обновление заменено в руководстве по устранению неполадок Центра обновлений Windows.

Установка обновлений с учетом классификации на платформе Linux

При развертывании обновлений на Linux с учетом классификации (критические обновления и обновления системы безопасности) следует учитывать некоторые важные ограничения, особенно для CentOS. Эти ограничения описаны на странице с общими сведениями об Управлении обновлениями.

Статья базы знаний № 2267602 постоянно отсутствует

Статья базы знаний № 2267602 касается обновления определений Защитника Windows. Обновляется ежедневно.

Следующие шаги

Если вы не нашли свою проблему или рекомендации не позволили ее решить, попробуйте использовать один из следующих каналов для получения дополнительной поддержки.

• Получите ответы специалистов Azure на форумах Azure.
• Подпишитесь на @AzureSupport, официальный канал Microsoft Azure для улучшения качества взаимодействия с клиентами.
• Отправьте запрос в службу поддержки Azure Перейдите на сайт поддержки Azure и щелкните Получить поддержку.