Argomento
Questo articolo descrive le procedure di risoluzione dei problemi più comuni relativi alla gestione delle patch di Windows.
Ambiente
- Microsoft Windows
- Gestione delle patch NinjaOne
Descrizione
I problemi relativi alla gestione delle patch di Windows possono variare da scansioni mancate a installazioni di patch non riuscite. Le sezioni seguenti trattano gli scenari più comuni e le relative soluzioni. Selezionare un argomento per continuare:
- Impossibile eseguire la scansione delle patch sui dispositivi Windows Server Update Services
- Patch non riuscite
- Le scansioni delle patch durano troppo a lungo
- Impedire l'applicazione di determinate patch
- Windows Update in locale sul computer indica che il mio dispositivo non è stato scansionato di recente
- L'esecuzione di una scansione in Windows Update rileva patch disponibili, anche se la gestione delle patch è configurata in NinjaOne
- Una patch non è elencata come installata in NinjaOne, ma è elencata come installata tramite chiamate Windows Management Instrumentation sul dispositivo
- L'aggiornamento a Windows 11 viene installato in modo imprevisto sui computer con Windows 10
Impossibile eseguire la scansione delle patch sui dispositivi Windows Server Update Services
Problema
Per gli endpoint che puntano a Windows Server Update Services (WSUS) in un registro, NinjaOne non esegue la scansione per l'applicazione delle patch sui dispositivi.
Causa
Le possibili cause includono server non raggiungibili, errori di comunicazione, configurazione errata o altri errori.
Soluzione
Per verificare o disabilitare WSUS localmente sul dispositivo, controllare le seguenti chiavi di registro.
In:
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]
Cerca i seguenti valori:
- WUServer
- WUStatusServer
Verifica che entrambi i valori siano vuoti. Quindi vai su:
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]
Trova la chiave denominata UseWUServer, modifica il suo valore in 0 e riavvia il servizio Windows Update.
Patch non riuscite
Problema
Quando si tenta di applicare le patch di Windows, alcune di esse non vengono installate.
Causa
Le patch Microsoft falliscono per molte ragioni, incluse ma non limitate a quanto segue:
- Interruzione della rete durante la scansione o l'applicazione
- Patch difettosa o contenente bug
- Presenza di malware
Soluzione
NinjaOne fornisce soluzioni comuni per le patch non riuscite nel menu delle azioni a destra della patch:
Inoltre, è possibile seguire questi passaggi per la risoluzione dei problemi:
- Consultare la Knowledge Base per verificare se si tratta di un problema noto e seguire le linee guida fornite da Microsoft.
- Esaminare i registri eventi del dispositivo interessato.
- Utilizzare lo Strumento di risoluzione dei problemi di Windows Update(link esterno) per i dispositivi Windows 7, 8 e 10 interessati.
Le scansioni delle patch durano troppo a lungo
Problema
Le scansioni delle patch di Windows durano a lungo e non vengono mai completate.
Causa
Le impostazioni relative alla durata delle pianificazioni delle scansioni sono mancanti o troppo lunghe.
Soluzione
La durata della scansione delle patch varia a seconda del sistema, ma in genere si completa entro tre ore. In alcuni casi, una scansione può bloccarsi se Windows Update Agent (WUA) o i processi di gestione delle patch di NinjaOne non riescono a completarsi. Ciò potrebbe indicare un problema con il servizio wuauserv e richiede un'indagine locale per identificare la causa principale.
Le impostazioni dei criteri di pianificazione della scansione per la gestione delle patch di Windows consentono di impostare limiti di durata per aiutare a controllare i tempi di scansione delle patch. Per configurare questa opzione nella console NinjaOne, procedere come segue:
- Accedere all'editor delle politiche per cui si desidera impostare una durata della scansione, quindi selezionare la scheda Patch di Windows.
- In Pianificazione scansione, fare clic sulla pianificazione corrente per modificarla.
- Inserisci un valore in ore o minuti per la durata.
- Salva le modifiche.
Se necessario, è possibile applicare le stesse impostazioni di durata alla pianificazione degli aggiornamenti.
Impedire l'applicazione di determinate patch
Problema
Esistono patch che non si desidera installare su uno o più dispositivi gestiti.
Causa
Le patch appena rilasciate possono talvolta avere effetti imprevisti o indesiderati sui computer degli agenti, come schermate blu o conflitti tra applicazioni.
Soluzione
In queste situazioni, è possibile rifiutare una patch su più macchine che potrebbero essere interessate. Per ulteriori informazioni sulle opzioni disponibili, fare riferimento a Gestione delle patch di Windows: approvazione, rifiuto e disinstallazione delle patch.
Gli aggiornamenti di Windows in locale sul computer indicano che il dispositivo non è stato sottoposto a scansione di recente
Problema
Il campo Ultima scansione nello strumento Aggiornamenti di Windows in locale su un computer indica che il dispositivo non è stato sottoposto a scansione di recente.
Causa
Windows Updates aggiorna il campo Ultima scansione solo in base alle scansioni eseguite tramite la propria applicazione localmente sul dispositivo. Microsoft utilizza un file .XML per impostare questo campo. Quando NinjaOne esegue una scansione delle patch di Windows, Windows Updates non rileva né riflette il fatto che la scansione sia stata eseguita.
Soluzione
Per verificare che il dispositivo abbia eseguito scansioni tramite NinjaOne, consultare innanzitutto il Feed delle attività. Se non si vede una scansione recente basata sulle configurazioni della politica delle patch di Windows, contattare l'assistenza per determinare il motivo per cui la scansione non è stata eseguita.
L'esecuzione di una scansione in Windows Updates individua le patch disponibili, anche se la gestione delle patch è configurata in NinjaOne
Problema
Quando si esegue una scansione delle patch localmente su un computer tramite Windows Updates, vengono individuate le patch disponibili anche se la gestione delle patch di NinjaOne è configurata per gestire gli aggiornamenti.
Causa
Di seguito sono riportati i motivi più comuni per cui Windows Update a livello locale su un computer può rilevare patch disponibili:
- L'ultimo ciclo di aggiornamento eseguito tramite NinjaOne non è stato completato.
- Dall'ultimo ciclo di aggiornamento eseguito tramite NinjaOne, sono state rese disponibili nuove patch e NinjaOne non ha ancora eseguito il ciclo di aggiornamento successivo.
- Ci si trova tra un ciclo di scansione e un ciclo di aggiornamento e tali patch non sono state ancora applicate.
- La gestione delle patch di Windows non può eseguire l'aggiornamento finché il dispositivo non viene riavviato.
- Le patch sono state rifiutate dallo strumento di gestione delle patch di NinjaOne, manualmente o in base alle impostazioni di approvazione configurate per la politica.
- Si sono verificati errori nella gestione delle patch di Windows sul computer.
Soluzione
Le seguenti soluzioni corrispondono alle cause sopra elencate:
- Controlla il feed delle attività del dispositivo per verificare se l'ultima scansione pianificata non è stata eseguita. La scansione potrebbe non essere stata eseguita se il dispositivo era offline al momento dell'esecuzione pianificata. Per ulteriori informazioni sul motivo per cui la scansione non è stata eseguita, apri un ticket con l'assistenza.
- Questo è normale se si eseguono aggiornamenti mensili su un dispositivo, poiché Microsoft rilascia patch ogni martedì.
- Controlla il dispositivo per vedere se ci sono aggiornamenti elencati sotto In sospeso o Approvati.
- Se sul dispositivo è in sospeso un riavvio a causa della gestione delle patch di Windows, NinjaOne non può aggiornare il dispositivo fino a quando non si verifica il riavvio. Per ulteriori informazioni, consultare la sezione sui riavvii in sospeso.
- Controlla il dispositivo per vedere se ci sono aggiornamenti elencati nella scheda " Rifiutati". Le patch elencate lì non verranno installate dallo strumento di gestione delle patch di Windows di NinjaOne, ma appariranno comunque come patch disponibili localmente sul computer durante una scansione di Windows Update.
- Fare riferimento alla sezione Patch non riuscite sopra.
Una patch non è elencata come installata in NinjaOne, ma è elencata come installata tramite chiamate Windows Management Instrumentation sul dispositivo
Problema
Una patch specifica non appare come installata in Dispositivo → Patch del sistema operativo → Installate, nonostante sia verificabile la sua presenza sul dispositivo come installata tramite le chiamate WMI (Windows Management Instrumentation).
Esistono vari modi per interrogare gli aggiornamenti installati su un computer Windows. I risultati dei diversi metodi possono variare a seconda di ciò che viene interrogato. L'articolo di TechNet " Windows: Come elencare tutti gli aggiornamenti di Windows e del software applicati a un computer(link esterno)" fornisce informazioni sui metodi utilizzati in questa documentazione.
Le figure 6 e 7 mettono a confronto gli aggiornamenti installati elencati nella console NinjaOne con quelli interrogati tramite WMI. Come mostrato, in entrambi i casi vi sono aggiornamenti che non vengono elencati dall'altro metodo. Nello specifico, KB4524569, KB4528759 e KB4528760 risultano installati nei risultati della query WMI ma non nella console NinjaOne. Al contrario, KB4533002, KB4530684, KB4528760, KB2267602, KB4052623 e KB890830 compaiono nella console NinjaOne ma non sono elencati nei risultati della query WMI.
Causa
Ciò si verifica perché ciascun metodo interroga posizioni diverse per gli aggiornamenti installati. NinjaOne interroga gli aggiornamenti installati tramite Windows Update, Microsoft Update, Aggiornamenti automatici, WSUS o Configuration Manager (ConfigMgr), che sono generalmente installati utilizzando un Microsoft Installer (MSI). Le installazioni di questi pacchetti vengono registrate nel datastore Software Distribution e nel registro. NinjaOne interroga queste posizioni per raccogliere informazioni sulle patch installate.
WMI utilizza la classe Win32_QuickFixEngineering, che restituisce solo gli aggiornamenti forniti da Component Based Servicing (CBS). Questi aggiornamenti sono in genere di piccole dimensioni e riguardano l'intero sistema; vengono comunemente denominati "quick-fix" o "hotfix". Per ulteriori informazioni, consultare la documentazione relativa alla classe Win32_QuickFixEngineering(link esterno).
Soluzione
Poiché questi aggiornamenti non sono registrati nel registro, NinjaOne non può interrogarli per verificarne l'esistenza al momento. In alcuni casi, un aggiornamento può essere installato tramite un aggiornamento del sistema operativo (come la versione 1903 o 1909) e rimanere inattivo su un sistema, come descritto in questo articolo del supporto Microsoft(link esterno).
Nel caso specifico di KB4528759 e KB4528760, Microsoft ha integrato l'aggiornamento nei pacchetti di aggiornamento per Windows 10 alla build attuale della versione 1903 (18362.592) e della versione 1909 (18363.592). Di conseguenza, il numero di build del sistema operativo installato sul computer agente è fondamentale per identificare se è installato KB4528759 o KB4528760.
L'aggiornamento a Windows 11 viene installato in modo imprevisto sui computer con Windows 10
Problema
L'aggiornamento a Windows 11 viene approvato e installato automaticamente sui computer Windows 10 in modo imprevisto.
Causa
Microsoft assegna lo stesso numero KB a diversi tipi di aggiornamento a seconda della versione del sistema operativo. Un KB che rappresenta un aggiornamento cumulativo di routine su Windows 11 può rappresentare un aggiornamento delle funzionalità (l'aggiornamento a Windows 11) su Windows 10. Questo comportamento è determinato da Microsoft e non è controllato da NinjaOne. Se NinjaOne è configurato per approvare automaticamente le patch in base al numero KB, ciò può comportare un aggiornamento involontario del sistema operativo sui computer Windows 10.
Soluzione
Come best practice, evitare di approvare automaticamente le patch in base al numero KB, poiché i numeri KB non sono univoci tra le diverse versioni del sistema operativo.
Per impedire che l'aggiornamento a Windows 11 venga offerto sui computer Windows 10, eseguire lo script di registro allegato. Ciò produce lo stesso risultato che si ottiene facendo clic su "Rimani su Windows 10 " nel pannello Aggiornamenti di Windows sul dispositivo.
Se il problema riscontrato non è elencato sopra o se è necessaria ulteriore assistenza dopo aver provato i passaggi di risoluzione dei problemi consigliati, contattare l'assistenza NinjaOne.