Pecahkan masalah pada Azure Update Manager
Artikel ini menjelaskan kesalahan yang mungkin terjadi saat Anda menyebarkan atau menggunakan Azure Update Manager, cara mengatasinya, serta masalah dan batasan patch terjadwal yang diketahui.
Pemecahan Masalah Umum
Langkah-langkah pemecahan masalah berikut berlaku untuk komputer virtual Azure (VM) yang terkait dengan ekstensi patch pada komputer Windows dan Linux.
Mesin Virtual Azure Linux
Untuk memverifikasi apakah agen Microsoft Azure Virtual Machine (agen VM) berjalan dan telah memicu tindakan yang sesuai pada komputer dan nomor urut untuk permintaan pengiriman otomatis, periksa log agen untuk informasi selengkapnya di /var/log/waagent.log
. Setiap permintaan pengiriman otomatis memiliki nomor urutan unik yang terkait dengannya pada komputer. Cari log yang mirip dengan 2021-01-20T16:57:00.607529Z INFO ExtHandler
.
Direktori paket untuk ekstensi /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>
. Subfolder /status
memiliki file <sequence number>.status
. Ini termasuk deskripsi singkat tentang tindakan yang dilakukan selama satu permintaan pengiriman otomatis dan statusnya. Ini juga mencakup daftar singkat kesalahan yang terjadi saat menerapkan pembaruan.
Untuk meninjau log yang terkait dengan semua tindakan yang dilakukan oleh ekstensi, periksa informasi selengkapnya di /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/
. Ini termasuk dua file log yang menarik berikut:
<seq number>.core.log
: Berisi informasi yang terkait dengan tindakan patch. Informasi ini mencakup patch yang dinilai dan diinstal pada komputer dan masalah apa pun yang dihadapi dalam proses.<Date and Time>_<Handler action>.ext.log
: Ada pembungkus di atas tindakan patch, yang digunakan untuk mengelola ekstensi dan memanggil operasi patch tertentu. Log ini berisi informasi tentang pembungkus. Untuk pengiriman otomatis, log<Date and Time>_Enable.ext.log
memiliki informasi tentang apakah operasi patch tertentu dipanggil.
Mesin Virtual Azure Windows
Untuk memverifikasi apakah agen VM berjalan dan telah memicu tindakan yang sesuai pada komputer dan nomor urut untuk permintaan pengiriman otomatis, periksa log agen untuk informasi lebih lanjut di C:\WindowsAzure\Logs\AggregateStatus
. Direktori paket untuk ekstensi C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>
.
Untuk meninjau log yang terkait dengan semua tindakan yang dilakukan oleh ekstensi, periksa informasi selengkapnya di C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>
. Ini termasuk dua file log yang menarik berikut:
WindowsUpdateExtension.log
: Berisi informasi yang terkait dengan tindakan patch. Informasi ini mencakup patch yang dinilai dan diinstal pada komputer dan masalah apa pun yang dihadapi dalam proses.CommandExecution.log
: Ada pembungkus di atas tindakan patch, yang digunakan untuk mengelola ekstensi dan memanggil operasi patch tertentu. Log ini berisi informasi tentang pembungkus. Untuk pengiriman otomatis, log memiliki informasi tentang apakah operasi patch tertentu dipanggil.
Penilaian berkala tidak diatur dengan benar ketika kebijakan penilaian berkala digunakan selama pembuatan untuk VM khusus, dimigrasikan, dan dipulihkan
Penyebab
Penilaian berkala tidak diatur dengan benar selama pembuatan untuk VM khusus, dimigrasikan, dan dipulihkan karena cara kebijakan modifikasi saat ini dirancang. Pasca-pembuatan, kebijakan akan menampilkan sumber daya ini sebagai tidak sesuai pada dasbor kepatuhan.
Resolusi
Jalankan pembuatan pos tugas remediasi untuk memulihkan sumber daya yang baru dibuat. Untuk informasi selengkapnya lihat, Memulihkan sumber daya yang tidak sesuai dengan Azure Policy.
Tugas remediasi kebijakan gagal untuk gambar galeri dan untuk gambar dengan disk terenkripsi
Masalah
Ada kegagalan remediasi untuk VM yang memiliki referensi ke gambar galeri dalam mode Komputer Virtual. Ini karena memerlukan izin baca ke gambar galeri dan saat ini bukan bagian dari peran Kontributor Komputer Virtual.
Penyebab
Peran Kontributor Komputer Virtual tidak memiliki izin yang cukup.
Resolusi
- Untuk semua tugas baru, perubahan terbaru diperkenalkan untuk memberikan peran Kontributor ke identitas terkelola yang dibuat selama penetapan kebijakan untuk remediasi. Ke depannya, ini akan ditetapkan untuk tugas baru apa pun.
- Untuk tugas sebelumnya jika Anda mengalami kegagalan tugas remediasi, kami sarankan Anda menetapkan peran kontributor secara manual ke identitas terkelola dengan mengikuti langkah-langkah yang tercantum di bawah Berikan izin ke identitas terkelola melalui peran yang ditentukan
- Selain itu, dalam skenario di mana peran Kontributor tidak berfungsi ketika sumber daya yang ditautkan (gambar galeri atau disk) berada di grup sumber daya atau langganan lain, secara manual memberikan identitas terkelola dengan peran dan izin yang tepat pada cakupan untuk membuka blokir remediasi dengan mengikuti langkah-langkah dalam Memberikan izin ke identitas terkelola melalui peran yang ditentukan.
Tidak dapat menghasilkan penilaian berkala untuk server berkemampuan Arc
Masalah
Langganan tempat server berkemampuan Arc di-onboarding tidak menghasilkan data penilaian.
Resolusi
Pastikan langganan server Arc didaftarkan ke penyedia sumber daya Microsoft.Compute sehingga data penilaian berkala dihasilkan secara berkala seperti yang diharapkan. Pelajari lebih lanjut
Konfigurasi pemeliharaan tidak diterapkan saat VM dipindahkan ke langganan lain
Masalah
Saat VM dipindahkan ke langganan lain, konfigurasi pemeliharaan terjadwal yang terkait dengan VM tidak berjalan.
Resolusi
Jika Anda memindahkan VM ke grup sumber daya atau langganan yang berbeda, patching terjadwal untuk VM berhenti berfungsi karena skenario ini saat ini tidak didukung oleh sistem. Anda dapat menghapus asosiasi lama VM yang dipindahkan dan membuat asosiasi baru untuk menyertakan VM yang dipindahkan dalam konfigurasi pemeliharaan.
Tidak dapat mengubah opsi orkestrasi patch ke pembaruan manual dari pembaruan otomatis
Masalah
Komputer Azure memiliki opsi orkestrasi patch sebagai AutomaticByOS/Windows
pembaruan otomatis dan Anda tidak dapat mengubah orkestrasi patch ke Pembaruan Manual dengan menggunakan pengaturan Ubah pembaruan.
Resolusi
Jika Anda tidak ingin penginstalan patch diorkestrasi oleh Azure atau tidak menggunakan solusi patching kustom, Anda dapat mengubah opsi orkestrasi patch ke Jadwal Terkelola Pelanggan (Pratinjau) atau AutomaticByPlatform
dan dan ByPassPlatformSafetyChecksOnUserSchedule
tidak mengaitkan konfigurasi jadwal/pemeliharaan ke komputer. Pengaturan ini memastikan bahwa tidak ada patching yang dilakukan pada komputer sampai Anda mengubahnya secara eksplisit. Untuk informasi selengkapnya, lihat Skenario 2 dalam Skenario pengguna.
Mesin menunjukkan sebagai "Tidak dinilai" dan menunjukkan pengecualian HRESULT
Masalah
- Anda memiliki mesin yang ditampilkan sebagai di
Not assessed
bawah Kepatuhan, dan Anda melihat pesan pengecualian di bawahnya. - Anda melihat
HRESULT
kode kesalahan di portal.
Penyebab
Agen Pembaruan (Agen Pembaruan Windows di Windows dan manajer paket untuk distribusi Linux) tidak dikonfigurasi dengan benar. Manajer Pembaruan bergantung pada Agen Pembaruan komputer untuk memberikan pembaruan yang diperlukan, status patch, dan hasil patch yang disebarkan. Tanpa informasi ini, Manajer Pembaruan tidak dapat melaporkan patch yang diperlukan atau diinstal dengan benar.
Resolusi
Cobalah untuk melakukan pembaruan secara lokal pada mesin. Jika operasi ini gagal, biasanya berarti ada kesalahan konfigurasi Agen Pembaruan.
Masalah ini sering disebabkan oleh konfigurasi jaringan dan masalah firewall. Gunakan pemeriksaan berikut untuk memperbaiki masalah:
Untuk Linux, periksa dokumentasi yang sesuai untuk memastikan Anda dapat mencapai titik akhir jaringan repositori paket Anda.
Untuk Windows, periksa konfigurasi agen Anda seperti yang dijelaskan dalam Pembaruan tidak diunduh dari titik akhir intranet (WSUS/SCCM).
- Jika komputer dikonfigurasi untuk Windows Update, pastikan Anda dapat menjangkau titik akhir yang dijelaskan dalam Masalah yang terkait dengan HTTP/proksi.
- Jika komputer dikonfigurasi untuk Windows Server Update Services (WSUS), pastikan Anda dapat menjangkau server WSUS yang dikonfigurasi oleh kunci registri WUServer.
Jika Anda melihat HRESULT
kode kesalahan, klik dua kali pengecualian yang ditampilkan dengan warna merah untuk melihat seluruh pesan pengecualian. Tinjau tabel berikut untuk resolusi potensial atau tindakan yang disarankan.
Pengecualian | Resolusi atau tindakan |
---|---|
Exception from HRESULT: 0x……C |
Cari kode kesalahan yang relevan di daftar kode kesalahan Windows Update untuk menemukan informasi selengkapnya tentang penyebab pengecualian. |
0x8024402C 0x8024401C 0x8024402F |
Menunjukkan masalah konektivitas jaringan. Pastikan bahwa mesin Anda memiliki konektivitas jaringan yang tepat untuk Manajemen Pembaruan. Untuk daftar port dan alamat yang diperlukan, lihat bagian Perencanaan jaringan . |
0x8024001E |
Operasi pembaruan tidak selesai karena layanan atau sistem sedang dimatikan. |
0x8024002E |
Layanan Windows Update dinonaktifkan. |
0x8024402C |
Jika Anda menggunakan server WSUS, pastikan nilai registri untuk WUServer dan WUStatusServer di bawah HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate kunci registri tentukan server WSUS yang benar. |
0x80072EE2 |
Ada masalah konektivitas jaringan atau masalah dalam berbicara dengan server WSUS yang dikonfigurasi. Periksa pengaturan WSUS dan pastikan dapat diakses dari klien. |
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) |
Pastikan layanan Windows Update (wuauserv ) berjalan dan tidak dinonaktifkan. |
0x80070005 |
Kesalahan akses yang ditolak dapat disebabkan oleh salah satu masalah berikut: - Komputer yang terinfeksi. - Pengaturan Windows Update tidak dikonfigurasi dengan benar. - Kesalahan izin file dengan %WinDir%\SoftwareDistribution folder .- Ruang disk tidak cukup pada drive sistem (drive C). |
Pengecualian generik lainnya | Jalankan pencarian di internet untuk kemungkinan resolusi dan bekerja dengan dukungan IT lokal Anda. |
Meninjau file %Windir%\Windowsupdate.log
juga bisa membantu Anda menentukan kemungkinan penyebabnya. Untuk informasi selengkapnya tentang cara membaca log, lihat Membaca file Windowsupdate.log.
Anda juga dapat mengunduh dan menjalankan pemecah masalah Windows Update untuk memeriksa masalah dengan Windows Update pada komputer.
Catatan
Dokumentasi pemecah masalah Windows Update menunjukkan bahwa ini digunakan untuk klien Windows, tetapi juga berfungsi pada Windows Server.
Masalah umum dalam jadwal patching
- Untuk jadwal bersamaan atau bertentangan, hanya satu jadwal yang dipicu. Jadwal lain dipicu setelah jadwal selesai.
- Jika komputer baru dibuat, jadwal mungkin memiliki 15 menit penundaan pemicu jadwal dalam kasus Azure VM.
- Definisi kebijakan Menjadwalkan pembaruan berulang menggunakan Azure Update Manager dengan pratinjau versi 1.0.0 berhasil memulihkan sumber daya. Namun, itu selalu menunjukkan mereka sebagai tidak patuh. Nilai kondisi keberadaan saat ini adalah tempat penampung yang selalu mengevaluasi ke false.
Patching jadwal gagal dengan kesalahan 'ShutdownOrUnresponsive'
Masalah
Patching jadwal belum menginstal patch pada VM dan memberikan kesalahan sebagai 'ShutdownOrUnresponsive'.
Resolusi
Jadwal yang dipicu pada komputer yang dihapus dan dibuat ulang dengan ID sumber daya yang sama dalam waktu 8 jam dapat gagal dengan kesalahan ShutdownOrUnresponsive karena batasan yang diketahui.
Tidak dapat menerapkan patch untuk komputer matikan
Masalah
Patch tidak diterapkan untuk komputer yang dalam keadaan mati. Anda mungkin juga melihat bahwa mesin kehilangan konfigurasi atau jadwal pemeliharaan terkait.
Penyebab
Mesin dalam keadaan mati.
Resolusi
Aktifkan setidaknya 15 menit sebelum pembaruan terjadwal. Untuk informasi selengkapnya, lihat Mematikan komputer.
Eksekusi patch gagal dengan properti Jendela pemeliharaan terlampaui yang menunjukkan true meskipun waktu tersisa
Masalah
Saat Anda melihat penyebaran pembaruan di Riwayat Pembaruan, properti Gagal dengan jendela Pemeliharaan terlampaui menunjukkan true meskipun cukup waktu yang tersisa untuk eksekusi. Dalam hal ini, salah satu masalah berikut dimungkinkan:
- Tidak ada pembaruan yang ditampilkan.
- Satu atau beberapa pembaruan dalam status Tertunda .
- Status boot ulang Diperlukan, tetapi boot ulang tidak dicoba bahkan ketika pengaturan boot ulang yang diteruskan adalah
IfRequired
atauAlways
.
Penyebab
Selama penyebaran pembaruan, pemanfaatan jendela Pemeliharaan diperiksa pada beberapa langkah. Sepuluh menit dari jendela Pemeliharaan dicadangkan untuk boot ulang kapan saja. Sebelum penyebaran mendapatkan daftar pembaruan yang hilang atau mengunduh atau menginstal pembaruan apa pun (kecuali pembaruan paket layanan Windows), ia memeriksa untuk memverifikasi apakah ada 15 menit + 10 menit untuk boot ulang (yaitu, 25 menit tersisa di jendela Pemeliharaan).
Untuk pembaruan paket layanan Windows, penyebaran memeriksa selama 20 menit + 10 menit untuk boot ulang (yaitu, 30 menit). Jika penyebaran tidak memiliki waktu yang cukup, penyebaran melewati pemindaian/pengunduhan/penginstalan pembaruan. Penyebaran berjalan kemudian memeriksa apakah reboot diperlukan dan jika 10 menit dibiarkan di jendela Pemeliharaan. Jika ada, penyebaran memicu boot ulang. Jika tidak, boot ulang dilewati.
Dalam kasus seperti itu, status diperbarui ke Gagal, dan jendela Pemeliharaan melebihi properti diperbarui ke true. Untuk kasus di mana waktu tersisa kurang dari 25 menit, pembaruan tidak dipindai atau dicoba untuk penginstalan.
Untuk menemukan informasi selengkapnya, tinjau log di jalur file yang disediakan dalam pesan kesalahan eksekusi penyebaran.
Resolusi
Atur rentang waktu yang lebih lama untuk durasi maksimum saat Anda memicu penyebaran pembaruan sesuai permintaan untuk membantu menghindari masalah.
Langkah berikutnya
- Untuk mempelajari selengkapnya tentang Manajer Pembaruan, lihat Gambaran Umum.
- Untuk melihat hasil yang dicatat dari semua komputer Anda, lihat Mengkueri log dan hasil dari Update Manager.