Řešení známých problémů s Azure Update Managerem

Tento článek popisuje chyby, ke kterým může dojít při nasazování nebo používání Azure Update Manageru, jejich řešení a známých problémů a omezení plánovaných oprav.

Obecné řešení potíží

Následující informace o řešení potíží platí pro virtuální počítače Azure související s rozšířením oprav na počítačích s Windows a Linuxem.

Virtuální počítače Azure

Virtuální počítač s Linuxem

Pokud chcete ověřit, jestli je agent virtuálního počítače Azure spuštěný a aktivoval na počítači příslušné akce, a ověřte pořadové číslo žádosti o automatické opravy, zkontrolujte přihlášení /var/log/waagent.logagenta. Každý požadavek automatické opravy má na počítači přiřazené jedinečné pořadové číslo. Vyhledejte protokol podobný 2021-01-20T16:57:00.607529Z INFO ExtHandler.

Adresář balíčku pro rozšíření je /var/lib/waagent/Microsoft.CPlat.Core.LinuxPatchExtension-<version>. Podsložka /status obsahuje soubor <sequence number>.status. Obsahuje stručný popis akcí provedených během jedné žádosti o automatické opravy a stavu. Obsahuje také krátký seznam chyb, ke kterým došlo během aktualizací.

Pokud chcete zkontrolovat protokoly související se všemi akcemi, které rozšíření provedlo, přejděte na /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Tato složka obsahuje následující soubory protokolů, které jsou zajímavé:

• <seq number>.core.log: Tento soubor obsahuje informace týkající se akcí oprav. Tyto informace zahrnují opravy vyhodnocené a nainstalované na počítači spolu se všemi problémy, ke kterým došlo v procesu.
• <Date and Time>_<Handler action>.ext.log: Obálka nad akcí opravy slouží ke správě rozšíření a vyvolání konkrétní operace opravy. Tento protokol obsahuje informace o obálce. Pro automatické opravy obsahuje soubor informace o tom, <Date and Time>_Enable.ext.log jestli byla vyvolána konkrétní operace opravy.

Virtuální počítač s Windows

Pokud chcete ověřit, zda je agent VM spuštěný a zda byly aktivovány příslušné akce na stroji, a ověřit sekvenční číslo pro požadavek automatické opravy, zkontrolujte protokol agenta v C:\WindowsAzure\Logs\AggregateStatus. Adresář balíčku pro rozšíření je C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Pokud chcete zkontrolovat protokoly související se všemi akcemi, které rozšíření provedlo, přejděte na C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Tato složka obsahuje následující soubory protokolů, které jsou zajímavé:

• WindowsUpdateExtension.log: Tento soubor obsahuje informace týkající se akcí oprav. Tyto informace zahrnují opravy vyhodnocené a nainstalované na počítači spolu se všemi problémy, ke kterým došlo v procesu.
• CommandExecution.log: Obálka nad akcí opravy slouží ke správě rozšíření a vyvolání konkrétní operace opravy. Tento protokol obsahuje informace o obálce. Pro automatické opravy obsahuje protokol informace o tom, jestli byla vyvolána konkrétní operace opravy.

Servery s podporou Služby Azure Arc

Informace o serverech s podporou Azure Arc najdete v tématu Řešení potíží s rozšířeními virtuálních počítačů, které obsahuje obecné kroky pro řešení potíží.

Pokud chcete zkontrolovat protokoly související se všemi akcemi, které rozšíření provedlo, přejděte ve Windows na C:\ProgramData\GuestConfig\extension_logs\Microsoft.SoftwareUpdateManagement.WindowsOsUpdateExtension. Tato složka obsahuje následující soubory protokolů, které jsou zajímavé:

• WindowsUpdateExtension.log: Tento soubor obsahuje informace týkající se akcí oprav. Tyto informace zahrnují opravy vyhodnocené a nainstalované na počítači spolu se všemi problémy, ke kterým došlo v procesu.
• cmd_execution_<numeric>_stdout.txt: Obálka nad akcí opravy slouží ke správě rozšíření a vyvolání konkrétní operace opravy. Tento protokol obsahuje informace o obálce. Pro automatické opravy obsahuje protokol informace o tom, jestli byla vyvolána konkrétní operace opravy.
• cmd_execution_<numeric>_stderr.txt.

Pravidelné hodnocení není správně nastavené

Problém

Během vytváření zdrojů pro specializované, migrované a obnovené virtuální počítače není pravidelné posouzení nastaveno správně.

Příčina

Návrh aktuální zásady úprav má vliv na posouzení. Po vytvoření prostředku se tyto prostředky zobrazí jako nevyhovující na řídicím panelu dodržování předpisů.

Resolution

Spusťte úlohu remediace pro nově vytvořené prostředky. Další informace najdete v tématu Náprava nekompatibilních prostředků pomocí služby Azure Policy.

Předpoklad pro plánované opravy není správně nastavený.

Problém

Pokud používáte Plánujte opakované aktualizace pomocí Azure Update Manager a Nastavte požadavky pro plánování opakovaných aktualizací na virtuálních počítačích Azure během vytváření prostředků pro specializované, generalizované, migrované a obnovené virtuální počítače:

• Předpoklad pro plánované opravy není správně nastavený.
• Plány nejsou připojené.

Příčina

Návrh zásady Nasadit, pokud neexistuje, má vliv na plánované opravy. Po vytvoření prostředku se tyto prostředky zobrazí jako nevyhovující na panelu dodržování předpisů.

Resolution

Spusťte remediační úlohu pro nově vytvořené prostředky. Další informace najdete v tématu Náprava nekompatibilních prostředků pomocí služby Azure Policy.

Úlohy opravy zásad selhávají u obrázků

Problém

Úlohy opatření k nápravě politik selhávají u obrazů galerie a obrazů se šifrovanými disky. U virtuálních počítačů, které mají odkaz na image galerie v režimu VM, se vyskytují chyby nápravy. Spravovaná identita vyžaduje oprávnění ke čtení image galerie a aktuálně není zahrnuta v roli Virtual Machine Contributor.

Příčina

Role Přispěvatel pro virtuální počítače nemá dostatečná oprávnění.

Resolution

U všech nových přiřazení je nedávnou změnou udělena role Přispěvatel nově vytvořené spravované identitě pro úlohy související s nápravou.

Pokud u jakéhokoliv předchozího přiřazení dochází k selhání úkolů pro nápravu, doporučujeme ručně udělit roli přispěvatele spravované identitě podle kroků v Udělení oprávnění spravované identitě prostřednictvím definovaných rolí.

V situacích, kdy role Přispěvatel nefunguje, protože propojené prostředky (obraz galerie nebo disk) se nacházejí v jiné skupině prostředků nebo předplatném, ručně zajistěte, aby Managed Identity měla správné role a oprávnění na daném prostoru pro odblokování nápravy. Postupujte podle kroků v části Udělení oprávnění spravované identitě prostřednictvím definovaných rolí.

Pro servery s podporou Azure Arc nemůžete vygenerovat pravidelné hodnocení.

Problém

Předplatná, do kterých jsou zapojené servery s Azure Arc, nevytvářejí hodnoticí data.

Příčina

Předplatná nejsou zaregistrovaná ve správném poskytovateli prostředků.

Resolution

Ujistěte se, že jsou předplatná serveru s podporou Služby Azure Arc zaregistrovaná u poskytovatele prostředků Microsoft.Compute, aby se pravidelně generovala data hodnocení podle očekávání. Další informace.

Konfigurace údržby se nepoužije při přesunu virtuálního počítače.

Problém

Když přesunete virtuální počítač do jiného předplatného nebo skupiny prostředků, konfigurace plánované údržby přidružená k virtuálnímu počítači není spuštěná.

Příčina

Konfigurace údržby v současné době nepodporují přesun přiřazených prostředků mezi skupinami prostředků nebo předplatnými.

Resolution

Jako alternativní řešení použijte pro prostředek, který chcete přesunout, následující kroky.

Pokud používáte obor static:

1. Odeberte přiřazení zdroje.
2. Přesuňte prostředek do jiného předplatného nebo jiné skupiny prostředků
3. Vytvořte znovu přiřazení zdrojů.

Pokud používáte obor dynamic:

1. Zahajte další naplánovaný běh, nebo na něj počkejte. Tato akce vyzve systém k úplnému odebrání přiřazení, abyste mohli pokračovat v dalších krocích.
2. Přesuňte prostředek do jiného předplatného nebo jiné skupiny prostředků
3. Vytvořte znovu přiřazení zdrojů.

Pokud některý z kroků vynecháte, přesuňte prostředek do předchozí skupiny prostředků nebo ID předplatného a opakujte kroky.

Poznámka:

Pokud se skupina prostředků odstraní, vytvořte ji znovu se stejným názvem. Pokud se ID předplatného odstraní, obraťte se na tým podpory a požádejte ho o zmírnění rizik.

Orchestraci oprav nemůžete změnit z automatické na ruční.

Problém

Chcete zajistit, aby klient služby Windows Update nenainstaloval opravy na instanci Windows Serveru, proto chcete nastavit instalaci oprav na ruční. Orchestraci oprav ale nemůžete změnit na ruční aktualizace pomocí možnosti Změnit nastavení aktualizace.

Příčina

Počítač Azure má jako možnost orchestrace oprav automatické aktualizace AutomaticByOS/Windows.

Resolution

Pokud nechcete, aby Platforma Azure orchestroval žádnou instalaci oprav nebo nepoužíváte vlastní řešení oprav, můžete změnit možnost orchestrace oprav na Plány spravované zákazníkem (Preview) ( nebo AutomaticByPlatform a ByPassPlatformSafetyChecksOnUserSchedule) a nepřidružit k počítači konfiguraci plánu nebo údržby. Toto nastavení zajistí, že se na počítači neprovádí žádné opravy, dokud ho explicitně nezměníte.

Stroj není posuzován a je zobrazena výjimka HRESULT.

Problém

Máte počítače, které se zobrazují jako neposouzené v rámci dodržování předpisů, a pod nimi se zobrazí zpráva o výjimce. Nebo se na portálu zobrazí HRESULT kód chyby.

Příčina

Agent aktualizace (agent služby Windows Update ve Windows a správce balíčků pro distribuci Linuxu) není správně nakonfigurovaný. Update Manager spoléhá na agenta aktualizace počítače, aby poskytoval potřebné aktualizace, stav opravy a výsledky nasazených oprav. Bez těchto informací nemůže Správce aktualizací správně informovat o potřebných nebo nainstalovaných opravách.

Resolution

Zkuste provést aktualizace místně na počítači. Pokud tato operace selže, obvykle to znamená, že u agenta aktualizace došlo k chybě konfigurace. Oprava problému:

• V případě Linuxu zkontrolujte příslušnou dokumentaci a ujistěte se, že se můžete připojit ke koncovému bodu sítě úložiště balíčků.

• Pro systém Windows zkontrolujte konfiguraci agenta, jak je popsáno v dokumentu Aktualizace se nestahují z intranetového koncového bodu (WSUS nebo Configuration Manager):

  • Pokud jsou počítače nakonfigurované pro službu Windows Update, ujistěte se, že se můžete připojit ke koncovým bodům, jak je popsáno v tématu věnovaném problémům souvisejícím s HTTP / proxy serverem.
  • Pokud jsou počítače nakonfigurované pro Windows Server Update Services (WSUS), ujistěte se, že se můžete připojit k serveru WSUS nakonfigurovanému klíčem registru WUServer.

Pokud se zobrazí HRESULT kód chyby, poklikejte na výjimku zobrazenou červeně, aby se zobrazila celá zpráva o výjimce. V následující tabulce najdete potenciální řešení nebo doporučené akce.

Výjimka	Řešení nebo akce
Exception from HRESULT: 0x……C	Vyhledejte příslušný kód chyby v seznamu kódů chyb Windows Update, kde najdete další podrobnosti o příčině této výjimky.
0x8024402C 0x8024401C 0x8024402F	Tato výjimka značí problémy s připojením k síti. Ujistěte se, že váš počítač má síťové připojení k Update Manageru. Seznam požadovaných portů a adres najdete v tématu Plánování sítě.
0x8024001E	Operace aktualizace nebyla dokončena kvůli vypínání služby nebo systému. Zkuste operaci zopakovat.
0x8024002E	Služba Windows Update je zakázaná. Povolte službu.
0x8024402C	Pokud používáte server WSUS, ujistěte se, že hodnoty registru pro WUServer a WUStatusServer pod HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate klíčem registru určují správný server WSUS.
0x80072EE2	Došlo k problému s připojením k síti nebo k problému při komunikaci s nakonfigurovaným serverem WSUS. Zkontrolujte nastavení služby WSUS a ujistěte se, že je služba přístupná z klienta.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Ujistěte se, že je spuštěná služba Windows Update (wuauserv) a není zakázaná.
0x80070005	Některé z následujících problémů můžou způsobit chybu odepření přístupu: - Infikovaný počítač. - Nesprávná konfigurace nastavení služby Windows Update. – Chyba oprávnění k souboru se složkou %WinDir%\SoftwareDistribution . - Nedostatek místa na systémovém disku (disk C).
Jakákoli jiná obecná výjimka	Spusťte vyhledávání na internetu a vyhledejte možná řešení a pracujte s místní podporou IT.

S určením možných příčin vám může pomoci také kontrola souboru %Windir%\Windowsupdate.log. Další informace o tom, jak číst protokol, naleznete v tématu Soubory protokolu služby Windows Update.

Můžete si také stáhnout a spustit poradce při potížích se službou Windows Update a zkontrolovat v počítači případné problémy s touto službou. Poradce při potížích funguje na klientech Windows i na Windows Serveru.

Zobrazí se vnitřní chyba spuštění.

Problém

Update Manager nemůže opravit virtuální počítač a vytvoří vnitřní chybu spuštění. Operace nevrací odpověď a nemusí být dokončena.

Příčina

K tomuto problému může dojít kvůli dočasnému problému nebo selhání komunikace mezi Update Managerem a virtuálním počítačem. Mezi obvyklé příčiny patří:

• Problém s dočasnou platformou nebo back-endovou službou
• Nereagující nebo zastaralý agent virtuálního počítače Azure
• Virtuální počítač s velkým zatížením nebo restartováním během operace.
• Problém se sítí nebo připojením

Resolution

• Zkuste aktualizaci zopakovat po několika minutách.
• Ujistěte se, že je agent virtuálního počítače v pořádku a aktuální.
• Pokud se u agenta zobrazuje stav Nepřipraveno, zkuste virtuální počítač restartovat.
• Zkontrolujte využití prostředků virtuálního počítače (procesor, paměť, disk). V případě potřeby restartujte počítač.
• Ověřte síťové připojení ke službám Azure.
• Další podrobnosti najdete v protokolech na virtuálním počítači a správci aktualizací.

Naplánované opravy nefungují

V případě souběžných nebo konfliktních plánů se aktivuje jenom jeden plán. Druhý plán se aktivuje po dokončení prvního plánu.

Pokud je počítač nově vytvořený, plán může mít v případě virtuálních počítačů Azure 15 minut zpoždění spuštění.

Zobrazí se chyba ShutdownOrUnresponsive

Problém

Plánované opravování nenainstaluje opravy na virtuální počítače a zároveň zobrazí chybu ShutdownOrUnresponsive.

Příčina

Známé omezení může způsobit selhání plánování spuštěného na strojích, které byly odstraněny a znovu vytvořeny se stejným ID prostředku během 8 hodin.

Resolution

K problému nedochází po 8hodinovém období.

U vypnutých počítačů nemůžete použít záplaty.

Problém

Opravy se neaplikují na počítače, které jsou ve stavu vypnutí. Může se také stát, že počítače ztratí přidružené konfigurace nebo plány údržby.

Příčina

Počítače jsou ve stavu vypnutí.

Resolution

Ujistěte se, že jsou počítače zapnuté alespoň 15 minut před naplánovanou aktualizací. Další informace naleznete v tématu Vypnutí počítačů.

Historie aktualizací nepřesně ukazuje, že jste překročili časové období údržby.

Problém

Při zobrazení nasazení aktualizace v Historii aktualizací se vlastnost Selhalo z důvodu překročení časového okna údržby zobrazuje jako ano, přestože na provedení zbývalo dost času. V tomto případě je možné, že nastal některý z následujících problémů:

• Nezobrazují se žádné aktualizace.
• Jedna nebo více aktualizací je ve stavu Čeká na vyřízení.
• Stav restartování je povinný, ale o restartování nebylo pokuseno, i když bylo nastavení restartování IfRequired nebo Always.

Příčina

Během nasazení aktualizace se využití časového období údržby kontroluje v několika krocích. Deset minut časového období údržby je rezervováno pro restartování v libovolném okamžiku.

Než nasazení získá seznam chybějících aktualizací nebo stáhne nebo nainstaluje aktualizaci, zkontroluje, jestli v časovém období údržby zůstane dostatek času:

• Všechny aktualizace kromě aktualizace Windows Service Pack: 15 minut + 10 minut pro restartování, celkem 25 minut.
• Aktualizace Service Pack systému Windows: 20 minut + 10 minut pro restartování, celkem 30 minut.

Pokud nasazení nemá dostatek času, přeskočí kontrolu, stažení a instalaci aktualizací. Běh nasazení pak zkontroluje, jestli je potřeba restartovat počítač a zda zbývá v období údržby 10 minut. Pokud ano, nasazení aktivuje restartování. Jinak se restartování přeskočí.

V takových případech se stav aktualizuje na Neúspěšný a vlastnost Překročeno okno údržby se aktualizuje na hodnotu true. V případech, kdy zbývá méně než 25 minut, nejsou aktualizace prověřovány, ani se nepokoušejí o instalaci.

Chcete-li zjistit další informace, prohlédněte si protokoly v cestě k souboru uvedené v chybové zprávě běhu nasazení.

Resolution

Nastavte delší časový rozsah pro maximální dobu trvání při aktivaci nasazení aktualizace na vyžádání.

Rozšíření aktualizace operačního systému Windows/Linux není nainstalované

Problém

Na počítačích s podporou Azure Arc nemůžete provádět opravy.

Příčina

Aby bylo možné provádět hodnocení, opravy a plánované opravy, musí být rozšíření aktualizací operačního systému Windows/Linux úspěšně nainstalované na počítačích s podporou Služby Azure Arc.

Resolution

Aktivujte posouzení na vyžádání nebo opravy pro instalaci rozšíření na počítač. Počítač můžete také připojit k plánu konfigurace údržby, který rozšíření nainstaluje při opravách podle plánu.

Pokud už rozšíření existuje na počítači s podporou Azure Arc, ale stav rozšíření není úspěšný, odeberte rozšíření a pak aktivujte operaci na vyžádání, aby se znovu nainstalovala.

Rozšíření aktualizace oprav pro Windows/Linux není nainstalované

Problém

Na virtuálních počítačích Azure nemůžete provádět opravy.

Příčina

Aby bylo možné provádět hodnocení nebo opravy na vyžádání, plánované opravy a pravidelná hodnocení, musí být na počítačích Azure úspěšně nainstalované rozšíření aktualizace oprav pro Windows/Linux.

Resolution

Aktivujte posouzení na vyžádání nebo opravy pro instalaci rozšíření na počítač. Počítač můžete také připojit k plánu konfigurace údržby, který rozšíření nainstaluje při opravách podle plánu.

Pokud už rozšíření na počítači existuje, ale stav rozšíření není úspěšný, odeberte rozšíření a pak aktivujte operaci na vyžádání, aby se přeinstalovala.

Kontrola rozšíření selže

Problém

Kontrola, která ověřuje, zda je vlastnost AllowExtensionOperations správně nastavena, selže.

Příčina

Vlastnost AllowExtensionOperations je nastavena na false v rozhraní počítače OSProfile.

Resolution

Chcete-li povolit správné fungování rozšíření, nastavte vlastnost na true.

Oprávnění sudo nejsou k dispozici

Problém

Může se zobrazit následující výjimka:

EXCEPTION: Exception('Unable to invoke sudo successfully. Output: root is not in the sudoers file. This incident will be reported. False ',)

Příčina

Oprávnění Sudo nejsou udělena rozšířením pro operace posouzení nebo oprav na počítačích s Linuxem.

Update Manager vyžaduje vysokou úroveň oprávnění kvůli mnoha komponentám, které se můžou aktualizovat pomocí Update Manageru (včetně ovladačů jádra a oprav zabezpečení operačního systému). Rozšíření Update Manageru root používají účet pro operace.

Resolution

Udělte oprávnění sudo pro zajištění úspěchu operací hodnocení nebo oprav. Do souboru musíte přidat kořenový účet /etc/sudoers :

1. sudoers Otevřete soubor pro úpravy:

   sudo visudo
   

2. Na konec sudoers souboru přidejte následující položku:

   root ALL=(ALL) ALL
   

3. Editor uložte a zavřete pomocí klávesové zkratky Ctrl+X . Pokud používáte editor vi , můžete napsat :wq a pak vybrat klávesu Enter .

Proxy server je nakonfigurovaný

Problém

Proxy server blokuje přístup ke koncovým bodům, které jsou potřeba pro úspěšné operace posouzení nebo oprav.

Příčina

Proxy server je nakonfigurovaný na počítačích s Windows nebo Linuxem.

Resolution

V případě Windows se podívejte na problémy související s HTTP/Proxy serverem.

V případě Linuxu zajistěte, aby nastavení proxy serveru neblokovala přístup k úložištím, která jsou potřebná pro stahování a instalaci aktualizací.

Selhání kontroly protokolu TLS 1.2

Problém

Kontrola, jestli používáte protokol TLS 1.2, selže.

Příčina

Používáte tls 1.0 nebo TLS 1.1. Tyto verze jsou zastaralé.

Resolution

Použijte protokol TLS 1.2 nebo novější.

V případě Windows se podívejte na protokoly v protokolu TLS/SSL (Schannel SSP).

V případě Linuxu spusťte následující příkaz, abyste viděli podporované verze protokolu TLS pro vaši distribuci: nmap --script ssl-enum-ciphers -p 443 www.azure.com.

Kontrola připojení HTTPS selže

Problém

Kontrola, která zajišťuje dostupnost připojení HTTPS, selhala.

Příčina

Připojení HTTPS není k dispozici. Toto připojení se vyžaduje ke stažení a instalaci aktualizací z potřebných koncových bodů pro každý operační systém.

Resolution

Povolte připojení HTTPS z počítače.

Služba MsftLinuxPatchAutoAssess není spuštěná nebo vyprší časový limit

Problém

Na počítačích s Linuxem nefungují pravidelná hodnocení.

Příčina

Pro úspěšná periodická hodnocení se vyžaduje služba MsftLinuxPatchAutoAssess .

Resolution

Ujistěte se, že stav LinuxPatchExtension je succeeded pro stroj. Restartujte počítač a zkontrolujte, jestli se problém nevyřeší.

Úložiště Linuxu nejsou přístupná

Problém

Aktualizace se stahují z nakonfigurovaných veřejných nebo privátních úložišť pro každou distribuci Linuxu. Počítač se nemůže připojit k těmto úložištím a stáhnout nebo posoudit aktualizace.

Příčina

Pravidla zabezpečení sítě můžou blokovat důležitá připojení.

Resolution

Ujistěte se, že pravidla zabezpečení sítě neomežují připojení vašeho počítače k požadovaným úložištím pro operace aktualizace.

Související obsah

• Další informace o Update Manageru najdete v přehledu.
• Pokud chcete zobrazit protokolované výsledky ze všech počítačů, přečtěte si téma Přístup k provozním datům Azure Update Manageru pomocí Azure Resource Graphu.