Pecahkan masalah pada Azure Update Manager

Artikel ini menjelaskan kesalahan yang mungkin terjadi saat Anda menyebarkan atau menggunakan Azure Update Manager, cara mengatasinya, serta masalah dan batasan patch terjadwal yang diketahui.

Pemecahan Masalah Umum

Langkah-langkah pemecahan masalah berikut berlaku untuk komputer virtual Azure (VM) yang terkait dengan ekstensi patch pada komputer Windows dan Linux.

Azure Virtual Machines

Mesin Virtual Azure Linux

Untuk memverifikasi apakah agen Microsoft Azure Virtual Machine (agen VM) berjalan dan telah memicu tindakan yang sesuai pada komputer dan nomor urut untuk permintaan pengiriman otomatis, periksa log agen untuk informasi selengkapnya di /var/log/waagent.log. Setiap permintaan pengiriman otomatis memiliki nomor urutan unik yang terkait dengannya pada komputer. Cari log yang mirip dengan 2021-01-20T16:57:00.607529Z INFO ExtHandler.

Direktori paket untuk ekstensi /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>. Subfolder /status memiliki file <sequence number>.status. Ini termasuk deskripsi singkat tentang tindakan yang dilakukan selama satu permintaan pengiriman otomatis dan statusnya. Ini juga mencakup daftar singkat kesalahan yang terjadi saat menerapkan pembaruan.

Untuk meninjau log yang terkait dengan semua tindakan yang dilakukan oleh ekstensi, periksa informasi selengkapnya di /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Ini termasuk dua file log yang menarik berikut:

• <seq number>.core.log: Berisi informasi yang terkait dengan tindakan patch. Informasi ini mencakup patch yang dinilai dan diinstal pada komputer dan masalah apa pun yang dihadapi dalam proses.
• <Date and Time>_<Handler action>.ext.log: Ada pembungkus di atas tindakan patch, yang digunakan untuk mengelola ekstensi dan memanggil operasi patch tertentu. Log ini berisi informasi tentang pembungkus. Untuk pengiriman otomatis, log <Date and Time>_Enable.ext.log memiliki informasi tentang apakah operasi patch tertentu dipanggil.

Mesin Virtual Azure Windows

Untuk memverifikasi apakah agen VM berjalan dan telah memicu tindakan yang sesuai pada komputer dan nomor urut untuk permintaan pengiriman otomatis, periksa log agen untuk informasi lebih lanjut di C:\WindowsAzure\Logs\AggregateStatus. Direktori paket untuk ekstensi C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Untuk meninjau log yang terkait dengan semua tindakan yang dilakukan oleh ekstensi, periksa informasi selengkapnya di C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Ini termasuk dua file log yang menarik berikut:

• WindowsUpdateExtension.log: Berisi informasi yang terkait dengan tindakan patch. Informasi ini mencakup patch yang dinilai dan diinstal pada komputer dan masalah apa pun yang dihadapi dalam proses.
• CommandExecution.log: Ada pembungkus di atas tindakan patch, yang digunakan untuk mengelola ekstensi dan memanggil operasi patch tertentu. Log ini berisi informasi tentang pembungkus. Untuk pengiriman otomatis, log memiliki informasi tentang apakah operasi patch tertentu dipanggil.

Server yang diaktifkan Arc

Untuk server dengan dukungan Azure Arc, lihat Memecahkan masalah ekstensi VM untuk langkah-langkah pemecahan masalah umum.

Untuk meninjau log yang terkait dengan semua tindakan yang dilakukan oleh ekstensi, pada Windows, periksa informasi selengkapnya di C:\ProgramData\GuestConfig\extension_Logs\Microsoft.SoftwareUpdateManagement\WindowsOsUpdateExtension. Ini termasuk dua file log yang menarik berikut:

• WindowsUpdateExtension.log: Berisi informasi yang terkait dengan tindakan patch. Informasi ini mencakup patch yang dinilai dan diinstal pada komputer dan masalah apa pun yang dihadapi dalam proses.
• cmd_execution_<numeric>_stdout.txt: Ada pembungkus di atas tindakan patch. Ini digunakan untuk mengelola ekstensi dan memanggil operasi patch tertentu. Log ini berisi informasi tentang pembungkus. Untuk pengiriman otomatis, log memiliki informasi tentang apakah operasi patch tertentu dipanggil.
• cmd_excution_<numeric>_stderr.txt

Penilaian berkala tidak diatur dengan benar ketika kebijakan penilaian berkala digunakan selama pembuatan untuk VM khusus, dimigrasikan, dan dipulihkan

Penyebab

Penilaian berkala tidak diatur dengan benar selama pembuatan untuk VM khusus, dimigrasikan, dan dipulihkan karena cara kebijakan modifikasi saat ini dirancang. Pasca-pembuatan, kebijakan akan menampilkan sumber daya ini sebagai tidak sesuai pada dasbor kepatuhan.

Resolusi

Jalankan pembuatan pos tugas remediasi untuk memulihkan sumber daya yang baru dibuat. Untuk informasi selengkapnya lihat, Memulihkan sumber daya yang tidak sesuai dengan Azure Policy.

Tugas remediasi kebijakan gagal untuk gambar galeri dan untuk gambar dengan disk terenkripsi

Masalah

Ada kegagalan remediasi untuk VM yang memiliki referensi ke gambar galeri dalam mode Komputer Virtual. Ini karena memerlukan izin baca ke gambar galeri dan saat ini bukan bagian dari peran Kontributor Komputer Virtual.

Penyebab

Peran Kontributor Komputer Virtual tidak memiliki izin yang cukup.

Resolusi

• Untuk semua tugas baru, perubahan terbaru diperkenalkan untuk memberikan peran Kontributor ke identitas terkelola yang dibuat selama penetapan kebijakan untuk remediasi. Ke depannya, ini akan ditetapkan untuk tugas baru apa pun.
• Untuk tugas sebelumnya jika Anda mengalami kegagalan tugas remediasi, kami sarankan Anda menetapkan peran kontributor secara manual ke identitas terkelola dengan mengikuti langkah-langkah yang tercantum di bawah Berikan izin ke identitas terkelola melalui peran yang ditentukan
• Selain itu, dalam skenario di mana peran Kontributor tidak berfungsi ketika sumber daya yang ditautkan (gambar galeri atau disk) berada di grup sumber daya atau langganan lain, secara manual memberikan identitas terkelola dengan peran dan izin yang tepat pada cakupan untuk membuka blokir remediasi dengan mengikuti langkah-langkah dalam Memberikan izin ke identitas terkelola melalui peran yang ditentukan.

Tidak dapat menghasilkan penilaian berkala untuk server berkemampuan Arc

Masalah

Langganan tempat server berkemampuan Arc di-onboarding tidak menghasilkan data penilaian.

Resolusi

Pastikan langganan server Arc didaftarkan ke penyedia sumber daya Microsoft.Compute sehingga data penilaian berkala dihasilkan secara berkala seperti yang diharapkan. Pelajari lebih lanjut

Konfigurasi pemeliharaan tidak diterapkan saat VM dipindahkan ke langganan lain

Masalah

Saat VM dipindahkan ke langganan lain, konfigurasi pemeliharaan terjadwal yang terkait dengan VM tidak berjalan.

Resolusi

Jika Anda memindahkan VM ke grup sumber daya atau langganan yang berbeda, patching terjadwal untuk VM berhenti berfungsi karena skenario ini saat ini tidak didukung oleh sistem. Anda dapat menghapus asosiasi lama VM yang dipindahkan dan membuat asosiasi baru untuk menyertakan VM yang dipindahkan dalam konfigurasi pemeliharaan.

Tidak dapat mengubah opsi orkestrasi patch ke pembaruan manual dari pembaruan otomatis

Masalah

Komputer Azure memiliki opsi orkestrasi patch sebagai AutomaticByOS/Windows pembaruan otomatis dan Anda tidak dapat mengubah orkestrasi patch ke Pembaruan Manual dengan menggunakan pengaturan Ubah pembaruan.

Resolusi

Jika Anda tidak ingin penginstalan patch diorkestrasi oleh Azure atau tidak menggunakan solusi patching kustom, Anda dapat mengubah opsi orkestrasi patch ke Jadwal Terkelola Pelanggan (Pratinjau) atau AutomaticByPlatform dan dan ByPassPlatformSafetyChecksOnUserSchedule tidak mengaitkan konfigurasi jadwal/pemeliharaan ke komputer. Pengaturan ini memastikan bahwa tidak ada patching yang dilakukan pada komputer sampai Anda mengubahnya secara eksplisit. Untuk informasi selengkapnya, lihat Skenario 2 dalam Skenario pengguna.

Mesin menunjukkan sebagai "Tidak dinilai" dan menunjukkan pengecualian HRESULT

Masalah

• Anda memiliki mesin yang ditampilkan sebagai di Not assessed bawah Kepatuhan, dan Anda melihat pesan pengecualian di bawahnya.
• Anda melihat HRESULT kode kesalahan di portal.

Penyebab

Agen Pembaruan (Agen Pembaruan Windows di Windows dan manajer paket untuk distribusi Linux) tidak dikonfigurasi dengan benar. Manajer Pembaruan bergantung pada Agen Pembaruan komputer untuk memberikan pembaruan yang diperlukan, status patch, dan hasil patch yang disebarkan. Tanpa informasi ini, Manajer Pembaruan tidak dapat melaporkan patch yang diperlukan atau diinstal dengan benar.

Resolusi

Cobalah untuk melakukan pembaruan secara lokal pada mesin. Jika operasi ini gagal, biasanya berarti ada kesalahan konfigurasi Agen Pembaruan.

Masalah ini sering disebabkan oleh konfigurasi jaringan dan masalah firewall. Gunakan pemeriksaan berikut untuk memperbaiki masalah:

• Untuk Linux, periksa dokumentasi yang sesuai untuk memastikan Anda dapat mencapai titik akhir jaringan repositori paket Anda.

• Untuk Windows, periksa konfigurasi agen Anda seperti yang dijelaskan dalam Pembaruan tidak diunduh dari titik akhir intranet (WSUS/SCCM).

  • Jika komputer dikonfigurasi untuk Windows Update, pastikan Anda dapat menjangkau titik akhir yang dijelaskan dalam Masalah yang terkait dengan HTTP/proksi.
  • Jika komputer dikonfigurasi untuk Windows Server Update Services (WSUS), pastikan Anda dapat menjangkau server WSUS yang dikonfigurasi oleh kunci registri WUServer.

Jika Anda melihat HRESULT kode kesalahan, klik dua kali pengecualian yang ditampilkan dengan warna merah untuk melihat seluruh pesan pengecualian. Tinjau tabel berikut untuk resolusi potensial atau tindakan yang disarankan.

Pengecualian	Resolusi atau tindakan
Exception from HRESULT: 0x……C	Cari kode kesalahan yang relevan di daftar kode kesalahan Windows Update untuk menemukan informasi selengkapnya tentang penyebab pengecualian.
0x8024402C 0x8024401C 0x8024402F	Menunjukkan masalah konektivitas jaringan. Pastikan bahwa mesin Anda memiliki konektivitas jaringan yang tepat untuk Manajemen Pembaruan. Untuk daftar port dan alamat yang diperlukan, lihat bagian Perencanaan jaringan .
0x8024001E	Operasi pembaruan tidak selesai karena layanan atau sistem sedang dimatikan.
0x8024002E	Layanan Windows Update dinonaktifkan.
0x8024402C	Jika Anda menggunakan server WSUS, pastikan nilai registri untuk WUServer dan WUStatusServer di bawah HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate kunci registri tentukan server WSUS yang benar.
0x80072EE2	Ada masalah konektivitas jaringan atau masalah dalam berbicara dengan server WSUS yang dikonfigurasi. Periksa pengaturan WSUS dan pastikan dapat diakses dari klien.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Pastikan layanan Windows Update (wuauserv) berjalan dan tidak dinonaktifkan.
0x80070005	Kesalahan akses yang ditolak dapat disebabkan oleh salah satu masalah berikut: - Komputer yang terinfeksi. - Pengaturan Windows Update tidak dikonfigurasi dengan benar. - Kesalahan izin file dengan %WinDir%\SoftwareDistribution folder . - Ruang disk tidak cukup pada drive sistem (drive C).
Pengecualian generik lainnya	Jalankan pencarian di internet untuk kemungkinan resolusi dan bekerja dengan dukungan IT lokal Anda.

Meninjau file %Windir%\Windowsupdate.log juga bisa membantu Anda menentukan kemungkinan penyebabnya. Untuk informasi selengkapnya tentang cara membaca log, lihat Membaca file Windowsupdate.log.

Anda juga dapat mengunduh dan menjalankan pemecah masalah Windows Update untuk memeriksa masalah dengan Windows Update pada komputer.

Catatan

Dokumentasi pemecah masalah Windows Update menunjukkan bahwa ini digunakan untuk klien Windows, tetapi juga berfungsi pada Windows Server.

Masalah umum dalam jadwal patching

• Untuk jadwal bersamaan atau bertentangan, hanya satu jadwal yang dipicu. Jadwal lain dipicu setelah jadwal selesai.
• Jika komputer baru dibuat, jadwal mungkin memiliki 15 menit penundaan pemicu jadwal dalam kasus Azure VM.
• Definisi kebijakan Menjadwalkan pembaruan berulang menggunakan Azure Update Manager dengan pratinjau versi 1.0.0 berhasil memulihkan sumber daya. Namun, itu selalu menunjukkan mereka sebagai tidak patuh. Nilai kondisi keberadaan saat ini adalah tempat penampung yang selalu mengevaluasi ke false.

Patching jadwal gagal dengan kesalahan 'ShutdownOrUnresponsive'

Masalah

Patching jadwal belum menginstal patch pada VM dan memberikan kesalahan sebagai 'ShutdownOrUnresponsive'.

Resolusi

Jadwal yang dipicu pada komputer yang dihapus dan dibuat ulang dengan ID sumber daya yang sama dalam waktu 8 jam dapat gagal dengan kesalahan ShutdownOrUnresponsive karena batasan yang diketahui.

Tidak dapat menerapkan patch untuk komputer matikan

Masalah

Patch tidak diterapkan untuk komputer yang dalam keadaan mati. Anda mungkin juga melihat bahwa mesin kehilangan konfigurasi atau jadwal pemeliharaan terkait.

Penyebab

Mesin dalam keadaan mati.

Resolusi

Aktifkan setidaknya 15 menit sebelum pembaruan terjadwal. Untuk informasi selengkapnya, lihat Mematikan komputer.

Eksekusi patch gagal dengan properti Jendela pemeliharaan terlampaui yang menunjukkan true meskipun waktu tersisa

Masalah

Saat Anda melihat penyebaran pembaruan di Riwayat Pembaruan, properti Gagal dengan jendela Pemeliharaan terlampaui menunjukkan true meskipun cukup waktu yang tersisa untuk eksekusi. Dalam hal ini, salah satu masalah berikut dimungkinkan:

• Tidak ada pembaruan yang ditampilkan.
• Satu atau beberapa pembaruan dalam status Tertunda .
• Status boot ulang Diperlukan, tetapi boot ulang tidak dicoba bahkan ketika pengaturan boot ulang yang diteruskan adalah IfRequired atau Always.

Penyebab

Selama penyebaran pembaruan, pemanfaatan jendela Pemeliharaan diperiksa pada beberapa langkah. Sepuluh menit dari jendela Pemeliharaan dicadangkan untuk boot ulang kapan saja. Sebelum penyebaran mendapatkan daftar pembaruan yang hilang atau mengunduh atau menginstal pembaruan apa pun (kecuali pembaruan paket layanan Windows), ia memeriksa untuk memverifikasi apakah ada 15 menit + 10 menit untuk boot ulang (yaitu, 25 menit tersisa di jendela Pemeliharaan).

Untuk pembaruan paket layanan Windows, penyebaran memeriksa selama 20 menit + 10 menit untuk boot ulang (yaitu, 30 menit). Jika penyebaran tidak memiliki waktu yang cukup, penyebaran melewati pemindaian/pengunduhan/penginstalan pembaruan. Penyebaran berjalan kemudian memeriksa apakah reboot diperlukan dan jika 10 menit dibiarkan di jendela Pemeliharaan. Jika ada, penyebaran memicu boot ulang. Jika tidak, boot ulang dilewati.

Dalam kasus seperti itu, status diperbarui ke Gagal, dan jendela Pemeliharaan melebihi properti diperbarui ke true. Untuk kasus di mana waktu tersisa kurang dari 25 menit, pembaruan tidak dipindai atau dicoba untuk penginstalan.

Untuk menemukan informasi selengkapnya, tinjau log di jalur file yang disediakan dalam pesan kesalahan eksekusi penyebaran.

Resolusi

Atur rentang waktu yang lebih lama untuk durasi maksimum saat Anda memicu penyebaran pembaruan sesuai permintaan untuk membantu menghindari masalah.

Langkah berikutnya

• Untuk mempelajari selengkapnya tentang Manajer Pembaruan, lihat Gambaran Umum.
• Untuk melihat hasil yang dicatat dari semua komputer Anda, lihat Mengkueri log dan hasil dari Update Manager.