Řešení potíží s řešením Azure Update Manager

Tento článek popisuje chyby, ke kterým může dojít při nasazování nebo používání Azure Update Manageru, jejich řešení a známých problémů a omezení plánovaných oprav.

Obecné řešení potíží

Následující kroky pro řešení potíží platí pro virtuální počítače Azure související s rozšířením oprav na počítačích s Windows a Linuxem.

Azure Virtual Machines

Virtuální počítač Azure s Linuxem

Pokud chcete ověřit, jestli je agent virtuálního počítače Microsoft Azure spuštěný a aktivoval na počítači příslušné akce a pořadové číslo žádosti o automatickou synchronizaci, vyhledejte další informace v protokolu agenta v části /var/log/waagent.log. Každý požadavek automatické opravy má na počítači přiřazené jedinečné pořadové číslo. Vyhledejte protokol podobný 2021-01-20T16:57:00.607529Z INFO ExtHandler.

Adresář balíčku pro rozšíření je /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>. Podsložka /status obsahuje soubor <sequence number>.status. Obsahuje stručný popis akcí provedených během jednoho požadavku automatické opravy a stavu. Obsahuje také krátký seznam chyb, ke kterým došlo při instalaci aktualizací.

Pokud chcete zkontrolovat protokoly související se všemi akcemi provedenými rozšířením, vyhledejte další informace v tématu /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Obsahuje následující dva soubory protokolů, které jsou zajímavé:

• <seq number>.core.log: Obsahuje informace související s akcemi oprav. Tyto informace zahrnují opravy vyhodnocené a nainstalované na počítači a všechny problémy, ke kterým během procesu došlo.
• <Date and Time>_<Handler action>.ext.log: Nad akcí opravy je obálka, která slouží ke správě rozšíření a vyvolání konkrétní operace opravy. Tento protokol obsahuje informace o obálce. Protokol <Date and Time>_Enable.ext.log obsahuje informace o tom, jestli byla vyvolána konkrétní operace automatické opravy.

Virtuální počítač Azure s Windows

Pokud chcete ověřit, jestli je agent virtuálního počítače spuštěný a aktivoval na počítači příslušné akce a pořadové číslo žádosti o automatickou synchronizaci, vyhledejte další informace v protokolu agenta v části C:\WindowsAzure\Logs\AggregateStatus. Adresář balíčku pro rozšíření je C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Pokud chcete zkontrolovat protokoly související se všemi akcemi provedenými rozšířením, vyhledejte další informace v tématu C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Obsahuje následující dva soubory protokolů, které jsou zajímavé:

• WindowsUpdateExtension.log: Obsahuje informace související s akcemi oprav. Tyto informace zahrnují opravy vyhodnocené a nainstalované na počítači a všechny problémy, ke kterým během procesu došlo.
• CommandExecution.log: Nad akcí opravy je obálka, která slouží ke správě rozšíření a vyvolání konkrétní operace opravy. Tento protokol obsahuje informace o obálce. Protokol obsahuje informace o tom, jestli byla vyvolána konkrétní operace autopatchingu.

Servery s podporou arc

Informace o serverech s podporou Azure Arc najdete v tématu Řešení potíží s rozšířeními virtuálních počítačů, které obsahuje obecné kroky pro řešení potíží.

Pokud chcete zkontrolovat protokoly související se všemi akcemi provedenými rozšířením ve Windows, vyhledejte další informace v tématu C:\ProgramData\GuestConfig\extension_logs\Microsoft.SoftwareUpdateManagement.WindowsOsUpdateExtension. Obsahuje následující soubory protokolu, které jsou zajímavé:

• WindowsUpdateExtension.log: Obsahuje informace související s akcemi oprav. Tyto informace zahrnují opravy vyhodnocené a nainstalované na počítači a všechny problémy, ke kterým během procesu došlo.
• cmd_execution_<numeric>_stdout.txt: Nad akcí opravy je obálka. Slouží ke správě rozšíření a vyvolání konkrétní operace opravy. Tento protokol obsahuje informace o obálce. Protokol obsahuje informace o tom, jestli byla vyvolána konkrétní operace automatické opravy.
• cmd_execution_<numeric>_stderr.txt

Periodické posouzení se nenastavuje správně, když se zásady periodického posouzení použijí při vytváření specializovaných, migrovaných a obnovených virtuálních počítačů.

Příčina

Pravidelné posouzení se při vytváření specializovaných, migrovaných a obnovených virtuálních počítačů správně nenastavuje kvůli způsobu, jakým je navržena současná modifikační politika. Po vytvoření se v zásadách tyto prostředky zobrazí jako nevyhovující na řídicím panelu dodržování předpisů.

Rozlišení

Spusťte úlohu oprav po vytvoření, abyste opravili nově vytvořené zdroje. Další informace najdete v tématu Náprava nevyhovujících prostředků pomocí Azure Policy.

Předpoklad pro plánované aktualizace není správně nastaven a harmonogramy nejsou připojeny při využívání konkrétních zásad při vytváření specializovaných, generalizovaných, migrovaných a obnovených virtuálních počítačů.

Příčina

Předpoklad pro plánování oprav a připojování plánů není nastavován správně, když jsou během vytváření pro specializované, generalizované, migrované a obnovené virtuální počítače používány zásady Plánování opakovaných aktualizací pomocí Azure Update Manager a Nastavení předpokladu pro plánování opakovaných aktualizací na virtuálních počítačích Azure, kvůli způsobu, jakým je navržena aktuální zásada Deploy If Not Exists. Po vytvoření se v zásadách tyto prostředky zobrazí jako nevyhovující na řídicím panelu dodržování předpisů.

Rozlišení

Spusťte remediační úlohu po vytvoření, abyste napravili nově vytvořené zdroje. Další informace najdete v tématu Náprava nevyhovujících prostředků pomocí Azure Policy.

Úlohy nápravy politik selhávají u obrazů galerie a obrazů se šifrovanými disky.

Problém

U virtuálních počítačů, které mají odkaz na image galerie v režimu virtuálního počítače, dochází k selháním nápravy. Důvodem je to, že vyžaduje oprávnění ke čtení galerie snímků a aktuálně není součástí role Přispěvatel virtuálních počítačů.

Příčina

Role Přispěvatele virtuálních počítačů nemá dostatečná oprávnění.

Rozlišení

• Pro všechna nová přiřazení se zavádí nedávná změna, která poskytuje roli Přispěvatel spravované identitě vytvořené během přiřazení zásad pro nápravu. V budoucnu to bude přiřazeno každému novému úkolu.
• U všech předchozích přiřazení, pokud dochází k selhání úloh nápravy, doporučujeme ručně přiřadit roli přispěvatele spravované identitě pomocí kroků uvedených v části Udělení oprávnění spravované identitě prostřednictvím definovaných rolí.
• V situacích, kdy role Přispěvatel nefunguje, protože propojené prostředky (obraz galerie nebo disk) jsou v jiné skupině prostředků nebo předplatném, ručně poskytněte spravované identitě správné role a oprávnění v rámci, aby bylo možné odblokovat nápravy podle kroků uvedených v části Udělení oprávnění spravované identitě prostřednictvím definovaných rolí.

Pro servery s podporou Arc nejde vygenerovat pravidelné hodnocení

Problém

Odběry, do kterých jsou zapojeny servery s podporou technologie Arc, neprodukují data pro hodnocení.

Rozlišení

Ujistěte se, že jsou předplatná serverů Arc zaregistrovaná u poskytovatele prostředků Microsoft.Compute, aby se pravidelně generovala data hodnocení podle očekávání. Další informace

Konfigurace údržby se nepoužije, když se virtuální počítač přesune do jiného předplatného nebo skupiny prostředků.

Problém

Když se virtuální počítač přesune do jiného předplatného nebo skupiny prostředků, konfigurace plánované údržby přidružená k virtuálnímu počítači není spuštěná.

Rozlišení

Konfigurace údržby v současné době nepodporují přesun přiřazených prostředků mezi skupinami prostředků nebo předplatnými. Jako alternativní řešení použijte pro prostředek, který chcete přesunout, následující kroky. Jako předpoklad nejprve odeberte přiřazení před provedením kroků.

Pokud používáte obor static:

1. Přesuňte prostředek do jiného předplatného nebo jiné skupiny prostředků
2. Vytvořte znovu přiřazení zdrojů.

Pokud používáte dynamic obor:

1. Zahajte nebo počkejte na další naplánovaný běh. Tato akce vyzve systém k úplnému odebrání přiřazení, abyste mohli pokračovat v dalších krocích.
2. Přesuňte prostředek do jiného předplatného nebo jiné skupiny prostředků
3. Vytvořte znovu přiřazení zdrojů.

Pokud některý z kroků vynecháte, přesuňte prostředek do předchozí skupiny prostředků nebo ID předplatného a znovu proveďte kroky.

Poznámka:

Pokud se skupina prostředků odstraní, vytvořte ji znovu se stejným názvem. Pokud je ID předplatného odstraněno, obraťte se na tým podpory kvůli řešení.

Nelze změnit možnost orchestrace oprav na ruční aktualizace z automatických aktualizací.

Problém

Chcete zajistit, aby klient služby Windows Update nenainstaloval opravy na Windows Server, takže chcete nastavit opravy na Ruční. Počítač Azure má možnost orchestrace oprav jako AutomaticByOS/Windows automatické aktualizace a nemůžete změnit orchestraci oprav na ruční aktualizace pomocí Změnit nastavení aktualizace.

Rozlišení

Pokud nechcete, aby byla žádná instalace oprav orchestrována v Azure nebo nepoužíváte vlastní řešení oprav, můžete změnit možnost orchestrace oprav na plány spravované zákazníkem (Preview) nebo AutomaticByPlatform nepřidružit ByPassPlatformSafetyChecksOnUserSchedule konfiguraci plánu a údržby k počítači. Toto nastavení zajistí, že se na počítači neprovádí žádné opravy, dokud ho explicitně nezměníte. Další informace naleznete v tématu Scénář 2 ve scénářích uživatele.

Stroj se zobrazuje jako „neposouzený“ a zobrazuje výjimku HRESULT.

Problém

• Máte počítače, které se zobrazují jako Not assessed v části Dodržování předpisů, a pod nimi se zobrazí zpráva o výjimce.
• V portálu vidíte chybový kód HRESULT.

Příčina

Agent aktualizace (služba Windows Update Agent ve Windows a správce balíčků pro distribuci Linuxu) není správně nakonfigurovaný. Správce aktualizací spoléhá na agenta aktualizace počítače k poskytování potřebných aktualizací, stavu opravy a výsledků nasazených oprav. Bez těchto informací nemůže Správce aktualizací správně informovat o potřebných nebo nainstalovaných opravách.

Rozlišení

Zkuste provést aktualizace místně na počítači. Pokud tato operace selhává, obvykle to znamená, že došlo k chybě konfigurace agenta pro aktualizace.

Příčinou tohoto problému jsou často potíže s konfigurací sítě a bránou firewall. K vyřešení problému použijte následující kontroly:

• V případě Linuxu si projděte příslušnou dokumentaci a ujistěte se, že se můžete připojit k síťovému koncovému bodu úložiště balíčků.

• V případě Windows zkontrolujte konfiguraci agenta, jak je popsáno v tématu věnovaném situaci, kdy se aktualizace nestahují z intranetového koncového bodu (WSUS/SCCM).

  • Pokud jsou počítače nakonfigurované pro službu Windows Update, ujistěte se, že se můžete připojit ke koncovým bodům, jak je popsáno v tématu věnovaném problémům souvisejícím s HTTP / proxy serverem.
  • Pokud jsou počítače nakonfigurované pro Windows Server Update Services (WSUS), ujistěte se, že se můžete připojit k serveru WSUS nakonfigurovanému klíčem registru WUServer.

Pokud se zobrazí HRESULT kód chyby, poklikejte na výjimku zobrazenou červeně, aby se zobrazila celá zpráva o výjimce. V následující tabulce najdete potenciální řešení nebo doporučené akce.

Výjimka	Řešení nebo akce
Exception from HRESULT: 0x……C	Vyhledejte příslušný kód chyby v seznamu kódů chyb Windows Update, kde najdete další podrobnosti o příčině této výjimky.
0x8024402C 0x8024401C 0x8024402F	Označuje problémy se síťovým připojením. Ujistěte se, že váš počítač má síťové připojení k Update Managementu. Seznam požadovaných portů a adres najdete v části Plánování sítě.
0x8024001E	Operace aktualizace nebyla dokončena kvůli vypínání služby nebo systému.
0x8024002E	Služba Windows Update je zakázaná.
0x8024402C	Pokud používáte server WSUS, ujistěte se, že hodnoty registru WUServer a WUStatusServer v klíči registru HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate obsahují správný server WSUS.
0x80072EE2	Dochází k problému se síťovým připojením nebo problému s komunikací s nakonfigurovaným serverem WSUS. Zkontrolujte nastavení WSUS a ujistěte se, že k klient má k této službě přístup.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Ujistěte se, že je služba služba Windows Update (wuauserv) spuštěná a není zakázaná.
0x80070005	Chyba odepření přístupu může být způsobena některou z následujících problémů: - Infikovaný počítač. - Nesprávná konfigurace nastavení služby Windows Update. – Chyba oprávnění k souboru se složkou %WinDir%\SoftwareDistribution . - Nedostatek místa na systémovém disku (disk C).
Jakákoli jiná obecná výjimka	Vyhledejte možná řešení na internetu a spolupracujte s místní podporou IT.

S určením možných příčin vám může pomoci také kontrola souboru %Windir%\Windowsupdate.log. Další informace o tom, jak číst protokol, najdete v části Jak číst soubor Windowsupdate.log.

Můžete si také stáhnout a spustit poradce při potížích se službou Windows Update a zkontrolovat v počítači případné problémy s touto službou.

Poznámka:

Dokumentace k Poradci při potížích služby Windows Update označuje, že se používá na klientech systému Windows, ale funguje také na systému Windows Server.

Známé problémy s plánovanými opravami

• V případě souběžných nebo konfliktních plánů se aktivuje jenom jeden plán. Druhý plán se aktivuje po dokončení prvního plánu.
• Pokud je stroj nově vytvořen, spuštění plánu v případě virtuálních počítačů Azure může mít 15 minut zpoždění.

Naplánované opravy se nezdaří s chybou ShutdownOrUnresponsive

Problém

Naplánované opravy nenainstalovali na virtuální počítače a zobrazí se chyba "ShutdownOrUnresponsive".

Rozlišení

Plány spuštěné na počítačích, které byly odstraněny a během 8 hodin znovu vytvořeny se stejným ID prostředku, mohou skončit chybou ShutdownOrUnresponsive kvůli známému omezení.

Nejde použít opravy pro vypnuté počítače

Problém

Na počítače, které jsou ve stavu vypnutí, se neaplikují opravy. Může se také stát, že počítače ztratí přidružené konfigurace nebo plány údržby.

Příčina

Počítače jsou ve stavu vypnutí.

Rozlišení

Ujistěte se, že jsou počítače zapnuté alespoň 15 minut před plánovanou aktualizací. Další informace najdete v tématu Vypnuté počítače.

Spuštění opravy selhalo s vlastností překročení časového intervalu údržby, která zobrazuje hodnotu True, i když ještě zbývá čas

Problém

Při zobrazení nasazení aktualizace v Historii aktualizací se vlastnost Selhalo z důvodu překročení časového okna údržby zobrazuje jako ano, přestože na provedení zbývalo dost času. V tomto případě je možné, že nastal některý z následujících problémů:

• Nezobrazují se žádné aktualizace.
• Jedna nebo více aktualizací je ve stavu Čeká na vyřízení.
• Stav restartování je povinný, ale nebyl učiněn pokus o restartování, i když bylo předáno nastavení restartování IfRequired nebo Always.

Příčina

Během nasazení aktualizace se využití údržbového okna kontroluje v několika krocích. 10 minut údržbového okna je vyhrazeno pro restartování kdykoli. Než nasazení získá seznam chybějících aktualizací nebo stáhne či nainstaluje jakoukoli aktualizaci (kromě aktualizací servisních balíčků systému Windows), zkontroluje, zda zbývá 15 minut + 10 minut na restart (tj. 25 minut v okně Údržba).

U aktualizací service pack systému Windows trvá kontrola nasazení 20 minut + 10 minut na restart (tj. 30 minut). Pokud na nasazení nezbývá dostatek času, skenování/stahování/instalace aktualizací se přeskočí. Spuštění nasazení pak zkontroluje, zda je nutný restart a zda do konce údržbového okna zbývá 10 minut. Pokud ano, nasazení vyvolá restartování. Jinak se restartování přeskočí.

V takových případech se stav aktualizuje na Neúspěšný a vlastnost Překročeno okno údržby se aktualizuje na hodnotu true. V případech, kdy zbývá méně než 25 minut, nejsou aktualizace prověřovány, ani se nepokoušejí o instalaci.

Chcete-li zjistit další informace, prohlédněte si protokoly v cestě k souboru uvedené v chybové zprávě běhu nasazení.

Rozlišení

Při spouštění nasazení aktualizace na vyžádání nastavte delší časový rozsah pro maximální dobu trvání, abyste se tomuto problému vyhnuli.

Rozšíření aktualizace operačního systému Windows/Linux není nainstalované

Problém

Rozšíření Windows/Linux OS Update musí být na počítačích Arc úspěšně nainstalované, aby bylo možné provádět hodnocení, opravy a plánované opravy na vyžádání.

Rozlišení

Aktivujte posouzení na vyžádání nebo opravy pro instalaci rozšíření na počítač. Počítač můžete také připojit k plánu konfigurace údržby, který nainstaluje rozšíření při provedení oprav podle plánu.

Pokud už rozšíření na počítači Arc existuje, ale stav rozšíření není úspěšný, ujistěte se, že rozšíření odeberete a aktivujete operaci na vyžádání, aby byla znovu nainstalována.

Rozšíření aktualizace oprav pro Windows/Linux není nainstalované

Problém

Aby bylo možné provádět hodnocení na vyžádání, plánované opravy a pravidelné hodnocení, musí být na počítačích Azure úspěšně nainstalované rozšíření aktualizace oprav windows/Linuxu.

Rozlišení

Aktivujte posouzení na vyžádání nebo opravy pro instalaci rozšíření na počítač. Počítač můžete také připojit k plánu konfigurace údržby, který nainstaluje rozšíření při provedení oprav podle plánu.

Pokud už rozšíření na počítači existuje, ale stav rozšíření není úspěšný, aktivujte operaci na vyžádání, která ji znovu nainstaluje.

Povolit kontrolu operací rozšíření se nezdařilo.

Problém

Vlastnost AllowExtensionOperations je nastavena na false v počítači OSProfile.

Rozlišení

Vlastnost by měla být nastavena na hodnotu True, aby rozšíření fungovala správně.

Oprávnění Sudo nejsou k dispozici

Problém

Oprávnění Sudo nejsou udělena rozšířením pro operace posouzení nebo oprav na počítačích s Linuxem. Může se zobrazit následující výjimka:

EXCEPTION: Exception('Unable to invoke sudo successfully. Output: root is not in the sudoers file. This incident will be reported. False ',)

Azure Update Manager (AUM) vyžaduje vysokou úroveň oprávnění kvůli mnoha různým komponentám, které je možné aktualizovat pomocí AUM (ovladače jádra, opravy zabezpečení operačního systému atd.). Rozšíření AUM používají root účet pro provádění operací.

Rozlišení

Udělte oprávnění sudo, abyste zajistili úspěšné operace posouzení nebo oprav. Do souboru sudoers budete muset přidat kořenový účet.

1. Otevřete soubor sudoers pro úpravy:

   sudo visudo
   

2. Na konec /etc/sudoers souboru přidejte následující položku:

   root ALL=(ALL) ALL
   

3. Po dokončení uložte a ukončete editor pomocí příkazu Ctrl-X. Pokud používáte editor vi , můžete psát :wq a stisknout klávesu ⏎ ENTER.

Proxy server je nakonfigurovaný

Problém

Proxy server je nakonfigurovaný na počítačích s Windows nebo Linuxem, které můžou blokovat přístup ke koncovým bodům potřebným pro úspěšné operace posouzení nebo oprav.

Rozlišení

V případě Windows se podívejte na problémy související s proxy serverem.

V případě Linuxu zajistěte, aby nastavení proxy serveru neblokovala přístup k úložištím, která jsou potřebná ke stahování a instalaci aktualizací.

Kontrola TLS 1.2 selhala

Problém

Protokoly TLS 1.0 a TLS 1.1 jsou zastaralé.

Rozlišení

Použijte protokol TLS 1.2 nebo vyšší.

V případě Windows se podívejte na protokoly v TLS/SSL Schannel SSP.

V případě Linuxu spusťte následující příkaz, abyste viděli podporované verze protokolu TLS pro vaši distribuci. nmap --script ssl-enum-ciphers -p 443 www.azure.com

Kontrola připojení HTTPS se nezdařila.

Problém

Připojení HTTPS není k dispozici, což se vyžaduje ke stažení a instalaci aktualizací z požadovaných koncových bodů pro každý operační systém.

Rozlišení

Povolte připojení HTTPS z počítače.

Služba MsftLinuxPatchAutoAssess není spuštěná nebo časová služba není aktivní

Problém

Pro úspěšná pravidelná hodnocení na počítačích s Linuxem se vyžaduje msftLinuxPatchAutoAssess .

Rozlišení

Zajistěte, aby stav LinuxPatchExtension pro počítač byl úspěšný. Restartujte počítač a zkontrolujte, jestli se problém nevyřeší.

Úložiště Linuxu nejsou přístupná

Problém

Aktualizace se stáhnou z nakonfigurovaných veřejných nebo privátních úložišť pro každou distribuci Linuxu. Počítač se nemůže připojit k těmto úložištím a stáhnout nebo posoudit aktualizace.

Rozlišení

Ujistěte se, že pravidla zabezpečení sítě nebrání připojení k požadovaným úložištím pro operace aktualizace.

Další kroky

• Další informace o Update Manageru najdete v přehledu.
• Pokud chcete zobrazit protokolované výsledky ze všech počítačů, přečtěte si téma Dotazování protokolů a výsledků z Update Manageru.