Résoudre les problèmes de l’agent de mise à jour Windows
De nombreuses raisons peuvent expliquer pourquoi votre machine n’apparaît pas comme étant prête (saine) pendant le déploiement d’Update Management. Vous pouvez vérifier l’intégrité d’un agent Runbook Worker hybride Windows pour déterminer le problème sous-jacent. Voici les trois états de préparation possibles d’une machine :
- Prêt : le runbook Worker hybride est déployé et a été affiché pour la dernière fois il y a moins d’une heure.
- Déconnecté : le runbook Worker hybride est déployé et a été vu pour la dernière fois il y a plus d’une heure.
- Non configuré : le Runbook Worker hybride est introuvable, ou son déploiement n’est pas terminé.
Remarque
L’état actuel d’une machine peut s’afficher avec un léger retard sur le Portail Azure.
Cet article explique comment exécuter l’utilitaire de résolution des problèmes pour les machines Azure à partir du portail Azure, et comment exécuter les machines non Azure dans un scénario hors connexion.
Remarque
Le script de l’utilitaire de résolution des problèmes comprend désormais des vérifications pour Windows Server Update Services (WSUS), ainsi que pour les clés de téléchargement et d’installation automatiques.
Démarrer l’utilitaire de résolution des problèmes
Pour les machines Azure, vous pouvez ouvrir la page « Résoudre les problèmes de l’agent de mise à jour » en sélectionnant le lien Résolution des problèmes sous la colonne Préparation de l’agent de mise à jour dans le portail. Pour les machines non-Azure, le lien vous dirige vers cet article. Consultez Résolution des problèmes hors connexion pour résoudre les problèmes survenant sur une machine non Azure.
Remarque
Pour vérifier l’intégrité du Runbook Worker hybride, la machine virtuelle doit être en cours d’exécution. Si la machine virtuelle n’est pas en cours d’exécution, un bouton Démarrer la machine virtuelle s’affiche.
Dans la page Résoudre les problèmes de l’agent de mise à jour, sélectionnez Exécuter les vérifications pour démarrer l’utilitaire de résolution des problèmes. L’utilitaire de résolution des problèmes utilise Run Command pour exécuter un script sur la machine et vérifier les dépendances. Quand l’utilitaire de résolution des problèmes a terminé, il retourne le résultat des vérifications.
Les résultats sont affichés dans la page quand ils sont prêts. Les sections des vérifications affichent ce qui est inclus dans chaque vérification.
Vérifications des prérequis
Système d’exploitation
Le contrôle du système d’exploitation permet de vérifier si le runbook Worker hybride exécute l’un des systèmes d’exploitation pris en charge.
.NET 4.6.2
La fonctionnalité de vérification de .NET Framework vérifie que .NET Framework 4.6.2 ou une version ultérieure est installé sur le système.
Pour résoudre ce problème, installez .NET Framework 4.6 ou version ultérieure.
Téléchargez .NET Framework.
WMF 5.1
La vérification de WMF vérifie si le système a la version nécessaire de Windows Management Framework (WMF).
Pour résoudre ce problème, vous devez télécharger et installer Windows Management Framework 5.1, car Windows PowerShell 5.1 est indispensable au fonctionnement d’Azure Update Management.
TLS 1.2
Cette vérification détermine si vous utilisez TLS 1.2 pour chiffrer vos communications. TLS 1.0 n’est plus pris en charge par la plateforme. Utilisez TLS 1.2 pour communiquer avec Update Management.
Pour résoudre ce problème, suivez les étapes permettant d’activer TLS 1.2.
Vérifications d’intégrité du service Monitoring Agent
Runbook Worker hybride
Pour résoudre le problème, effectuez une réinscription forcée du Runbook Worker hybride.
Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
Restart-service healthservice
Remarque
Cette opération supprime le Worker hybride de l’utilisateur de la machine. Veillez à le vérifier et à le réinscrire ensuite. Aucune action n’est nécessaire si la machine n’a que le Runbook Worker hybride système.
Pour valider, vérifiez que l’ID d’événement 15003 (événement de démarrage matériel) OU 15004 (événement de matériel arrêté) EXISTE dans les journaux des événements Microsoft-SMA/Operational.
Créez un ticket de support si le problème n’est toujours pas résolu.
Espace de travail lié aux machines virtuelles
Consultez Exigences réseau.
Pour valider : vérifiez l’espace de travail connecté aux machines virtuelles ou la table de pulsations de l’analytique des journaux correspondante.
Heartbeat | where Computer =~ ""
État du service Windows Update
Pour résoudre ce problème, démarrez le service wuaserv.
Start-Service -Name wuauserv -ErrorAction SilentlyContinue
Vérifications de la connectivité
L’utilitaire de résolution des problèmes ne route pas le trafic via un serveur proxy s’il y en a un de configuré.
Point de terminaison d’inscription
Cette vérification détermine si l’agent peut correctement communiquer avec le service d’agent.
Les configurations du pare-feu et du proxy doivent permettre à l’agent Runbook Worker hybride de communiquer avec le point de terminaison d’inscription. Pour obtenir la liste des adresses et des ports à ouvrir, consultez Planification réseau.
Autorisez les URL prérequises. Une fois le réseau modifié, vous pouvez réexécuter l’utilitaire de résolution des problèmes ou exécuter les commandes ci-dessous pour valider :
$workspaceId =- ""
$endpoint = $workspaceId + “.agentsvc.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Point de terminaison des opérations
Cette vérification détermine si l’agent peut correctement communiquer avec Job Runtime Data Service.
Les configurations du pare-feu et du proxy doivent permettre à l’agent Runbook Worker hybride de communiquer avec Job Runtime Data Service. Pour obtenir la liste des adresses et des ports à ouvrir, consultez Planification réseau.
Autorisez les URL prérequises. Une fois le réseau modifié, vous pouvez réexécuter l’utilitaire de résolution des problèmes ou exécuter les commandes ci-dessous pour valider :
$jrdsEndpointLocationMoniker = “”
# $jrdsEndpointLocationMoniker should be based on automation account location (jpe/ase/scus) etc.
$endpoint = $jrdsEndpointLocationMoniker + “-jobruntimedata-prod-su1.azure-automation.net”
(Test-NetConnection -ComputerName $endpoint -Port 443 -WarningAction SilentlyContinue).TcpTestSucceeded
Connexion Https
Simplifie la gestion continue de vos règles de sécurité réseau. Autorisez les URL prérequises.
Une fois le réseau modifié, vous pouvez réexécuter l’utilitaire de résolution des problèmes ou exécuter les commandes ci-dessous pour valider :
$uri = "https://eus2-jobruntimedata-prod-su1.azure-automation.net"
Invoke-WebRequest -URI $uri -UseBasicParsing
Paramètres du proxy
Si le proxy est activé, vérifiez que vous avez accès aux URL prérequises
Pour vérifier si le proxy est correctement défini, utilisez les commandes ci-dessous :
netsh winhttp show proxy
ou vérifiez que la clé de Registre ProxyEnable est définie sur 1 dans
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Connectivité de point de terminaison IMDS
Pour résoudre le problème, autorisez l’accès à l’adresse IP 169.254.169.254.
Pour plus d’informations, consultez Accéder au service de métadonnées d’instance Azure.
Une fois le réseau modifié, vous pouvez réexécuter l’utilitaire de résolution des problèmes ou exécuter les commandes ci-dessous pour valider :
Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri http://169.254.169.254/metadata/instance?api-version=2018-02-01
Vérification de l’intégrité du service de machine virtuelle
État du service de Monitoring Agent
Cette vérification détermine si l’agent Log Analytics pour Windows (healthservice) est en cours d’exécution sur l’ordinateur. Pour en savoir plus sur la résolution des problèmes de ce service, consultez l’agent Log Analytics pour Windows ne s’exécute pas.
Si vous souhaitez réinstaller l’agent Log Analytics pour Windows, consultez Installer l’agent Log Analytics pour Windows.
Événements de service de Monitoring Agent
Cette vérification détermine si des événements 4502 apparaissent dans le journal Azure Operations Manager de la machine au cours des dernières 24 heures.
Pour plus d’informations sur cet événement, consultez l’événement 4502 dans le journal Operations Manager.
Vérification des autorisations d’accès
Dossier des clés de la machine
Cette vérification détermine si le compte système Local a accès à : C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Pour résoudre ce problème, accordez au compte SYSTEM les autorisations requises (lecture, écriture et modification ou contrôle total) sur le dossier C :\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Utilisez les commandes ci-dessous pour vérifier les autorisations sur le dossier :
$folder = “C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys”
(Get-Acl $folder).Access |? {($_.IdentityReference -match $User) -or ($_.IdentityReference -match "Everyone")} | Select IdentityReference, FileSystemRights
Paramètres de mise à jour de la machine
Redémarrer automatiquement après l’installation
Pour résoudre ce problème, supprimez les clés de Registre de : HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
Configurez le redémarrage en fonction de la configuration de la planification d’Update Management.
AlwaysAutoRebootAtScheduledTime
AlwaysAutoRebootAtScheduledTimeMinutes
Pour plus d’informations, consultez Configurer les paramètres de redémarrage
Configuration du serveur WSUS
Si l’environnement est défini pour obtenir les mises à jour auprès de WSUS, assurez-vous que cela est approuvé dans WSUS avant de déployer les mises à jour. Pour plus d’informations, consultez Paramètres de configuration de WSUS. Si votre environnement n’utilise pas WSUS, veillez à supprimer les paramètres du serveur WSUS et à réinitialiser le composant de mise à jour Windows.
Téléchargement et installation automatiques
Pour résoudre le problème, désactivez la fonctionnalité Mise à jour automatique. Définissez-la sur Désactivé dans la stratégie de groupe locale Configurer les mises à jour automatiques. Pour plus d’informations, consultez Configurer les mises à jour automatiques.
Résolution des problèmes hors connexion
Vous pouvez utiliser l’utilitaire de résolution des problèmes sur un Runbook Worker hybride hors connexion en exécutant le script localement. Obtenez le script suivant à partir de GitHub : UM_Windows_Troubleshooter_Offline.ps1. Pour exécuter le script, vous devez avoir installé WMF 5.0 ou ultérieur. Pour télécharger la dernière version de PowerShell, consultez Installer plusieurs versions de PowerShell.
La sortie de ce script ressemble à l’exemple suivant :
RuleId : OperatingSystemCheck
RuleGroupId : prerequisites
RuleName : Operating System
RuleGroupName : Prerequisite Checks
RuleDescription : The Windows Operating system must be version 6.1.7600 (Windows Server 2008 R2) or higher
CheckResult : Passed
CheckResultMessage : Operating System version is supported
CheckResultMessageId : OperatingSystemCheck.Passed
CheckResultMessageArguments : {}
RuleId : DotNetFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : .NET Framework 4.6.2+
RuleGroupName : Prerequisite Checks
RuleDescription : .NET Framework version 4.6.2 or higher is required
CheckResult : Passed
CheckResultMessage : .NET Framework version 4.6.2+ is found
CheckResultMessageId : DotNetFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {}
RuleId : WindowsManagementFrameworkInstalledCheck
RuleGroupId : prerequisites
RuleName : WMF 5.1
RuleGroupName : Prerequisite Checks
RuleDescription : Windows Management Framework version 4.0 or higher is required (version 5.1 or higher is preferable)
CheckResult : Passed
CheckResultMessage : Detected Windows Management Framework version: 5.1.22621.169
CheckResultMessageId : WindowsManagementFrameworkInstalledCheck.Passed
CheckResultMessageArguments : {5.1.22621.169}
RuleId : AutomationAgentServiceConnectivityCheck1
RuleGroupId : connectivity
RuleName : Registration endpoint
RuleGroupName : connectivity
RuleDescription :
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : AutomationAgentServiceConnectivityCheck1.Failed.NoRegistrationFound
CheckResultMessageArguments :
RuleId : AutomationJobRuntimeDataServiceConnectivityCheck
RuleGroupId : connectivity
RuleName : Operations endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow Automation Hybrid Worker agent to communicate with
eus2-jobruntimedata-prod-su1.azure-automation.net
CheckResult : Passed
CheckResultMessage : TCP Test for eus2-jobruntimedata-prod-su1.azure-automation.net (port 443) succeeded
CheckResultMessageId : AutomationJobRuntimeDataServiceConnectivityCheck.Passed
CheckResultMessageArguments : {eus2-jobruntimedata-prod-su1.azure-automation.net}
RuleId : MonitoringAgentServiceRunningCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service status
RuleGroupName : VM Service Health Checks
RuleDescription : HealthService must be running on the machine
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service (HealthService) is running
CheckResultMessageId : MonitoringAgentServiceRunningCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, HealthService}
RuleId : SystemHybridRunbookWorkerRunningCheck
RuleGroupId : servicehealth
RuleName : Hybrid runbook worker status
RuleGroupName : VM Service Health Checks
RuleDescription : Hybrid runbook worker must be in running state.
CheckResult : Passed
CheckResultMessage : Hybrid runbook worker is running.
CheckResultMessageId : SystemHybridRunbookWorkerRunningCheck.Passed
CheckResultMessageArguments : {}
RuleId : MonitoringAgentServiceEventsCheck
RuleGroupId : servicehealth
RuleName : Monitoring Agent service events
RuleGroupName : VM Service Health Checks
RuleDescription : Event Log must not have event 4502 logged in the past 24 hours
CheckResult : Passed
CheckResultMessage : Microsoft Monitoring Agent service Event Log (Operations Manager) does not have event 4502 logged in the last 24 hours.
CheckResultMessageId : MonitoringAgentServiceEventsCheck.Passed
CheckResultMessageArguments : {Microsoft Monitoring Agent, Operations Manager, 4502}
RuleId : LinkedWorkspaceCheck
RuleGroupId : servicehealth
RuleName : VM's Linked Workspace
RuleGroupName : VM Service Health Checks
RuleDescription : Get linked workspace info of the VM
CheckResult : Failed
CheckResultMessage : VM is not reporting to any workspace.
CheckResultMessageId : LinkedWorkspaceCheck.Failed.NoWorkspace
CheckResultMessageArguments : {}
RuleId : CryptoRsaMachineKeysFolderAccessCheck
RuleGroupId : permissions
RuleName : Crypto RSA MachineKeys Folder Access
RuleGroupName : Access Permission Checks
RuleDescription : SYSTEM account must have WRITE and MODIFY access to 'C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys'
CheckResult : Passed
CheckResultMessage : Have permissions to access C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys
CheckResultMessageId : CryptoRsaMachineKeysFolderAccessCheck.Passed
CheckResultMessageArguments : {C:\\ProgramData\\Microsoft\\Crypto\\RSA\\MachineKeys}
RuleId : TlsVersionCheck
RuleGroupId : prerequisites
RuleName : TLS 1.2
RuleGroupName : Prerequisite Checks
RuleDescription : Client and Server connections must support TLS 1.2
CheckResult : Passed
CheckResultMessage : TLS 1.2 is enabled by default on the Operating System.
CheckResultMessageId : TlsVersionCheck.Passed.EnabledByDefault
CheckResultMessageArguments : {}
RuleId : AlwaysAutoRebootCheck
RuleGroupId : machineSettings
RuleName : AutoReboot
RuleGroupName : Machine Override Checks
RuleDescription : Automatic reboot should not be enable as it forces a reboot irrespective of update configuration
CheckResult : Passed
CheckResultMessage : Windows Update reboot registry keys are not set to automatically reboot
CheckResultMessageId : AlwaysAutoRebootCheck.Passed
CheckResultMessageArguments :
RuleId : WSUSServerConfigured
RuleGroupId : machineSettings
RuleName : isWSUSServerConfigured
RuleGroupName : Machine Override Checks
RuleDescription : Increase awareness on WSUS configured on the server
CheckResult : Passed
CheckResultMessage : Windows Updates are downloading from the default Windows Update location. Ensure the server has access to the Windows Update service
CheckResultMessageId : WSUSServerConfigured.Passed
CheckResultMessageArguments :
RuleId : AutomaticUpdateCheck
RuleGroupId : machineSettings
RuleName : AutoUpdate
RuleGroupName : Machine Override Checks
RuleDescription : AutoUpdate should not be enabled on the machine
CheckResult : Passed
CheckResultMessage : Windows Update is not set to automatically install updates as they become available
CheckResultMessageId : AutomaticUpdateCheck.Passed
CheckResultMessageArguments :
RuleId : HttpsConnection
RuleGroupId : connectivity
RuleName : Https connection
RuleGroupName : connectivity
RuleDescription : Check if VM is able to make https requests.
CheckResult : Passed
CheckResultMessage : VM is able to make https requests.
CheckResultMessageId : HttpsConnection.Passed
CheckResultMessageArguments : {}
RuleId : ProxySettings
RuleGroupId : connectivity
RuleName : Proxy settings
RuleGroupName : connectivity
RuleDescription : Check if Proxy is enabled on the VM.
CheckResult : Passed
CheckResultMessage : Proxy is not set.
CheckResultMessageId : ProxySettings.Passed
CheckResultMessageArguments : {}
RuleId : IMDSConnectivity
RuleGroupId : connectivity
RuleName : IMDS endpoint connectivity
RuleGroupName : connectivity
RuleDescription : Check if VM is able to reach IMDS server to get VM information.
CheckResult : PassedWithWarning
CheckResultMessage : VM is not able to reach IMDS server. Consider this as a Failure if this is an Azure VM.
CheckResultMessageId : IMDSConnectivity.PassedWithWarning
CheckResultMessageArguments : {}
RuleId : WUServiceRunningCheck
RuleGroupId : servicehealth
RuleName : WU service status
RuleGroupName : WU Service Health Check
RuleDescription : WU must not be in the disabled state.
CheckResult : Passed
CheckResultMessage : Windows Update service (wuauserv) is running.
CheckResultMessageId : WUServiceRunningCheck.Passed
CheckResultMessageArguments : {Windows Update, wuauserv}
RuleId : LAOdsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA ODS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA ODS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOdsEndpointConnectivity.Failed
CheckResultMessageArguments :
RuleId : LAOmsEndpointConnectivity
RuleGroupId : connectivity
RuleName : LA OMS endpoint
RuleGroupName : connectivity
RuleDescription : Proxy and firewall configuration must allow to communicate with LA OMS endpoint
CheckResult : Failed
CheckResultMessage : Unable to find Workspace registration information
CheckResultMessageId : LAOmsEndpointConnectivity.Failed
CheckResultMessageArguments :