Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

Gestione delle patch di Windows: Risoluzione dei problemi

Argomento

Questo articolo descrive le procedure di risoluzione dei problemi più comuni relativi alla gestione delle patch di Windows.

Ambiente

  • Microsoft Windows
  • Gestione delle patch NinjaOne

Descrizione

I problemi relativi alla gestione delle patch di Windows possono variare da scansioni mancate a installazioni di patch non riuscite. Le sezioni seguenti trattano gli scenari più comuni e le relative soluzioni. Selezionare un argomento per continuare:

Impossibile eseguire la scansione delle patch sui dispositivi Windows Server Update Services

Problema

Per gli endpoint che puntano a Windows Server Update Services (WSUS) in un registro, NinjaOne non esegue la scansione per l'applicazione delle patch sui dispositivi.

Causa

Le possibili cause includono server non raggiungibili, errori di comunicazione, configurazione errata o altri errori.

Soluzione

Per verificare o disabilitare WSUS localmente sul dispositivo, controllare le seguenti chiavi di registro.

In:

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]

Cerca i seguenti valori:

  • WUServer
  • WUStatusServer

Verifica che entrambi i valori siano vuoti. Quindi vai su:

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]

Trova la chiave denominata UseWUServer, modifica il suo valore in 0 e riavvia il servizio Windows Update.

Nota: i criteri di gruppo da un server su cui è attivo WSUS possono reimpostare queste chiavi. Se le chiavi ricompaiono dopo averle cancellate, disabilitare l'oggetto Criteri di gruppo sul server. In caso contrario, i criteri continueranno a impedire a NinjaOne di applicare le patch ai dispositivi.

Patch non riuscite

Problema

Quando si tenta di applicare le patch di Windows, alcune di esse non vengono installate.

Causa

Le patch Microsoft falliscono per molte ragioni, incluse ma non limitate a quanto segue:

  • Interruzione della rete durante la scansione o l'applicazione
  • Patch difettosa o contenente bug
  • Presenza di malware

Soluzione

NinjaOne fornisce soluzioni comuni per le patch non riuscite nel menu delle azioni a destra della patch:

Figura 1: Menu delle azioni della patch nella console NinjaOne (clicca per ingrandire)

Inoltre, è possibile seguire questi passaggi per la risoluzione dei problemi:

  • Consultare la Knowledge Base per verificare se si tratta di un problema noto e seguire le linee guida fornite da Microsoft.
  • Esaminare i registri eventi del dispositivo interessato.
  • Utilizzare lo Strumento di risoluzione dei problemi di Windows Update(link esterno) per i dispositivi Windows 7, 8 e 10 interessati.

Le scansioni delle patch durano troppo a lungo

Problema

Le scansioni delle patch di Windows durano a lungo e non vengono mai completate.

Causa

Le impostazioni relative alla durata delle pianificazioni delle scansioni sono mancanti o troppo lunghe.

Soluzione

La durata della scansione delle patch varia a seconda del sistema, ma in genere si completa entro tre ore. In alcuni casi, una scansione può bloccarsi se Windows Update Agent (WUA) o i processi di gestione delle patch di NinjaOne non riescono a completarsi. Ciò potrebbe indicare un problema con il servizio wuauserv e richiede un'indagine locale per identificare la causa principale.

Le impostazioni dei criteri di pianificazione della scansione per la gestione delle patch di Windows consentono di impostare limiti di durata per aiutare a controllare i tempi di scansione delle patch. Per configurare questa opzione nella console NinjaOne, procedere come segue:

I passaggi riportati di seguito riguardano la durata della scansione delle patch in NinjaOne e non risolvono i problemi sottostanti di WUA che potrebbero causare un'esecuzione di Windows Update più lunga del previsto.
  1. Accedere all'editor delle politiche per cui si desidera impostare una durata della scansione, quindi selezionare la scheda Patch di Windows.
Figura 2: Scheda Patch di Windows nell'editor delle politiche di NinjaOne (clicca per ingrandire)
  1. In Pianificazione scansione, fare clic sulla pianificazione corrente per modificarla.
Figura 3: Impostazione "Pianificazione scansione" nell'editor delle politiche di NinjaOne (clicca per ingrandire)
  1. Inserisci un valore in ore o minuti per la durata.
Figura 4: Campo Durata nell'editor della pianificazione della scansione (clicca per ingrandire)
  1. Salva le modifiche.

Se necessario, è possibile applicare le stesse impostazioni di durata alla pianificazione degli aggiornamenti.

Impedire l'applicazione di determinate patch

Problema

Esistono patch che non si desidera installare su uno o più dispositivi gestiti.

Causa

Le patch appena rilasciate possono talvolta avere effetti imprevisti o indesiderati sui computer degli agenti, come schermate blu o conflitti tra applicazioni.

Soluzione

In queste situazioni, è possibile rifiutare una patch su più macchine che potrebbero essere interessate. Per ulteriori informazioni sulle opzioni disponibili, fare riferimento a Gestione delle patch di Windows: approvazione, rifiuto e disinstallazione delle patch.

Gli aggiornamenti di Windows in locale sul computer indicano che il dispositivo non è stato sottoposto a scansione di recente

Problema

Il campo Ultima scansione nello strumento Aggiornamenti di Windows in locale su un computer indica che il dispositivo non è stato sottoposto a scansione di recente.

Causa

Windows Updates aggiorna il campo Ultima scansione solo in base alle scansioni eseguite tramite la propria applicazione localmente sul dispositivo. Microsoft utilizza un file .XML per impostare questo campo. Quando NinjaOne esegue una scansione delle patch di Windows, Windows Updates non rileva né riflette il fatto che la scansione sia stata eseguita.

Soluzione

Per verificare che il dispositivo abbia eseguito scansioni tramite NinjaOne, consultare innanzitutto il Feed delle attività. Se non si vede una scansione recente basata sulle configurazioni della politica delle patch di Windows, contattare l'assistenza per determinare il motivo per cui la scansione non è stata eseguita.

Nota: se un dispositivo è offline quando è prevista l'esecuzione di una scansione, NinjaOne non eseguirà una scansione di recupero a meno che la funzione di scansione di recupero non sia attiva, come mostrato nella Figura 5.
Figura 5: Impostazione della funzione di scansione di recupero nell'editor delle politiche di NinjaOne (clicca per ingrandire)

L'esecuzione di una scansione in Windows Updates individua le patch disponibili, anche se la gestione delle patch è configurata in NinjaOne

Problema

Quando si esegue una scansione delle patch localmente su un computer tramite Windows Updates, vengono individuate le patch disponibili anche se la gestione delle patch di NinjaOne è configurata per gestire gli aggiornamenti.

Causa

Di seguito sono riportati i motivi più comuni per cui Windows Update a livello locale su un computer può rilevare patch disponibili:

  1. L'ultimo ciclo di aggiornamento eseguito tramite NinjaOne non è stato completato.
  2. Dall'ultimo ciclo di aggiornamento eseguito tramite NinjaOne, sono state rese disponibili nuove patch e NinjaOne non ha ancora eseguito il ciclo di aggiornamento successivo.
  3. Ci si trova tra un ciclo di scansione e un ciclo di aggiornamento e tali patch non sono state ancora applicate.
  4. La gestione delle patch di Windows non può eseguire l'aggiornamento finché il dispositivo non viene riavviato.
  5. Le patch sono state rifiutate dallo strumento di gestione delle patch di NinjaOne, manualmente o in base alle impostazioni di approvazione configurate per la politica.
  6. Si sono verificati errori nella gestione delle patch di Windows sul computer.

Soluzione

Le seguenti soluzioni corrispondono alle cause sopra elencate:

  1. Controlla il feed delle attività del dispositivo per verificare se l'ultima scansione pianificata non è stata eseguita. La scansione potrebbe non essere stata eseguita se il dispositivo era offline al momento dell'esecuzione pianificata. Per ulteriori informazioni sul motivo per cui la scansione non è stata eseguita, apri un ticket con l'assistenza.
  2. Questo è normale se si eseguono aggiornamenti mensili su un dispositivo, poiché Microsoft rilascia patch ogni martedì.
  3. Controlla il dispositivo per vedere se ci sono aggiornamenti elencati sotto In sospeso o Approvati
  4. Se sul dispositivo è in sospeso un riavvio a causa della gestione delle patch di Windows, NinjaOne non può aggiornare il dispositivo fino a quando non si verifica il riavvio. Per ulteriori informazioni, consultare la sezione sui riavvii in sospeso.
  5. Controlla il dispositivo per vedere se ci sono aggiornamenti elencati nella scheda " Rifiutati". Le patch elencate lì non verranno installate dallo strumento di gestione delle patch di Windows di NinjaOne, ma appariranno comunque come patch disponibili localmente sul computer durante una scansione di Windows Update.
  6. Fare riferimento alla sezione Patch non riuscite sopra.

Una patch non è elencata come installata in NinjaOne, ma è elencata come installata tramite chiamate Windows Management Instrumentation sul dispositivo

Problema

Una patch specifica non appare come installata in Dispositivo → Patch del sistema operativo → Installate, nonostante sia verificabile la sua presenza sul dispositivo come installata tramite le chiamate WMI (Windows Management Instrumentation).

Esistono vari modi per interrogare gli aggiornamenti installati su un computer Windows. I risultati dei diversi metodi possono variare a seconda di ciò che viene interrogato. L'articolo di TechNet " Windows: Come elencare tutti gli aggiornamenti di Windows e del software applicati a un computer(link esterno)" fornisce informazioni sui metodi utilizzati in questa documentazione.

Le figure 6 e 7 mettono a confronto gli aggiornamenti installati elencati nella console NinjaOne con quelli interrogati tramite WMI. Come mostrato, in entrambi i casi vi sono aggiornamenti che non vengono elencati dall'altro metodo. Nello specifico, KB4524569, KB4528759 e KB4528760 risultano installati nei risultati della query WMI ma non nella console NinjaOne. Al contrario, KB4533002, KB4530684, KB4528760, KB2267602, KB4052623 e KB890830 compaiono nella console NinjaOne ma non sono elencati nei risultati della query WMI.

Figura 6: Aggiornamenti installati elencati nella console NinjaOne (clicca per ingrandire)
Figura 7: Aggiornamenti installati restituiti da una query WMI (clicca per ingrandire)

Causa

Ciò si verifica perché ciascun metodo interroga posizioni diverse per gli aggiornamenti installati. NinjaOne interroga gli aggiornamenti installati tramite Windows Update, Microsoft Update, Aggiornamenti automatici, WSUS o Configuration Manager (ConfigMgr), che sono generalmente installati utilizzando un Microsoft Installer (MSI). Le installazioni di questi pacchetti vengono registrate nel datastore Software Distribution e nel registro. NinjaOne interroga queste posizioni per raccogliere informazioni sulle patch installate.

WMI utilizza la classe Win32_QuickFixEngineering, che restituisce solo gli aggiornamenti forniti da Component Based Servicing (CBS). Questi aggiornamenti sono in genere di piccole dimensioni e riguardano l'intero sistema; vengono comunemente denominati "quick-fix" o "hotfix". Per ulteriori informazioni, consultare la documentazione relativa alla classe Win32_QuickFixEngineering(link esterno).

Nota: Microsoft potrebbe mantenere elenchi di quali KB specifici sono installati e con quali metodi. Tuttavia, non possiamo fornire queste informazioni, poiché potrebbero essere soggette a modifiche a discrezione di Microsoft.

Soluzione

Poiché questi aggiornamenti non sono registrati nel registro, NinjaOne non può interrogarli per verificarne l'esistenza al momento. In alcuni casi, un aggiornamento può essere installato tramite un aggiornamento del sistema operativo (come la versione 1903 o 1909) e rimanere inattivo su un sistema, come descritto in questo articolo del supporto Microsoft(link esterno).

Nel caso specifico di KB4528759 e KB4528760, Microsoft ha integrato l'aggiornamento nei pacchetti di aggiornamento per Windows 10 alla build attuale della versione 1903 (18362.592) e della versione 1909 (18363.592). Di conseguenza, il numero di build del sistema operativo installato sul computer agente è fondamentale per identificare se è installato KB4528759 o KB4528760.

L'aggiornamento a Windows 11 viene installato in modo imprevisto sui computer con Windows 10

Problema

L'aggiornamento a Windows 11 viene approvato e installato automaticamente sui computer Windows 10 in modo imprevisto.

Causa

Microsoft assegna lo stesso numero KB a diversi tipi di aggiornamento a seconda della versione del sistema operativo. Un KB che rappresenta un aggiornamento cumulativo di routine su Windows 11 può rappresentare un aggiornamento delle funzionalità (l'aggiornamento a Windows 11) su Windows 10. Questo comportamento è determinato da Microsoft e non è controllato da NinjaOne. Se NinjaOne è configurato per approvare automaticamente le patch in base al numero KB, ciò può comportare un aggiornamento involontario del sistema operativo sui computer Windows 10.

Soluzione

Come best practice, evitare di approvare automaticamente le patch in base al numero KB, poiché i numeri KB non sono univoci tra le diverse versioni del sistema operativo.

Per impedire che l'aggiornamento a Windows 11 venga offerto sui computer Windows 10, eseguire lo script di registro allegato. Ciò produce lo stesso risultato che si ottiene facendo clic su "Rimani su Windows 10 " nel pannello Aggiornamenti di Windows sul dispositivo.

Importante: si consiglia di testare tutti gli script personalizzati su un numero limitato di dispositivi prima di eseguirli su larga scala.

Se il problema riscontrato non è elencato sopra o se è necessaria ulteriore assistenza dopo aver provato i passaggi di risoluzione dei problemi consigliati, contattare l'assistenza NinjaOne.

Domande frequenti

Passi successivi