Risolvere i problemi relativi ad Azure Update Manager

Questo articolo descrive gli errori che possono verificarsi quando si distribuisce o si usa Gestione aggiornamenti di Azure, come risolverli e i problemi noti e le limitazioni dell'applicazione di patch pianificate.

Risoluzione dei problemi generali

La procedura di risoluzione dei problemi seguente si applica alle macchine virtuali di Azure correlate all'estensione patch nei computer Windows e Linux.

Macchine virtuali di Azure

Macchina virtuale Linux di Azure

Per verificare se l'agente di macchine virtuali di Microsoft Azure è in esecuzione e ha attivato le azioni appropriate nel computer e il numero di sequenza per la richiesta di applicazione automatica delle patch, controllare il log dell'agente per altre informazioni in /var/log/waagent.log. A ogni richiesta di applicazione automatica delle patch è associato un numero di sequenza univoco nel computer. Cercare un log simile a 2021-01-20T16:57:00.607529Z INFO ExtHandler.

La directory del pacchetto per l'estensione è /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>. La sottocartella /status ha un file <sequence number>.status. Include una breve descrizione delle azioni eseguite durante una singola richiesta di applicazione automatica delle patch e lo stato. Include inoltre un breve elenco di errori che si sono verificati durante l'applicazione degli aggiornamenti.

Per esaminare i log correlati a tutte le azioni eseguite dall'estensione, verificare la presenza di altre informazioni in /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Include i seguenti due file di log di interesse:

• <seq number>.core.log: contiene informazioni correlate alle azioni patch. Queste informazioni includono patch valutate e installate nel computer e eventuali problemi riscontrati nel processo.
• <Date and Time>_<Handler action>.ext.log: è presente un wrapper sopra l'azione patch, che viene usato per gestire l'estensione e richiamare un'operazione di patch specifica. Questo log contiene informazioni sul wrapper. Per l'applicazione automatica delle patch, il log <Date and Time>_Enable.ext.log contiene informazioni sull'eventuale richiamo dell'operazione di patch specifica.

Macchina virtuale Windows di Azure

Per verificare se l'agente di macchine virtuali è in esecuzione e ha attivato le azioni appropriate nel computer e il numero di sequenza per la richiesta di applicazione automatica delle patch, controllare il log dell'agente per altre informazioni in C:\WindowsAzure\Logs\AggregateStatus. La directory del pacchetto per l'estensione è C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Per esaminare i log correlati a tutte le azioni eseguite dall'estensione, verificare la presenza di altre informazioni in C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Include i seguenti due file di log di interesse:

• WindowsUpdateExtension.log: contiene informazioni correlate alle azioni patch. Queste informazioni includono patch valutate e installate nel computer e eventuali problemi riscontrati nel processo.
• CommandExecution.log: è presente un wrapper sopra l'azione patch, che viene usato per gestire l'estensione e richiamare un'operazione di patch specifica. Questo log contiene informazioni sul wrapper. Per l'applicazione automatica delle patch, il log contiene informazioni sull'eventuale richiamo dell'operazione di patch specifica.

Server con abilitazione di Arc

Per i server con abilitazione di Azure Arc, vedere Risolvere i problemi relativi alle estensioni delle macchine virtuali per i passaggi generali per la risoluzione dei problemi.

Per esaminare i log correlati a tutte le azioni eseguite dall'estensione su Windows, verificare la presenza di altre informazioni in C:\ProgramData\GuestConfig\extension_Logs\Microsoft.SoftwareUpdateManagement\WindowsOsUpdateExtension. Include i seguenti due file di log di interesse:

• WindowsUpdateExtension.log: contiene informazioni correlate alle azioni patch. Queste informazioni includono le patch valutate e installate nel computer ed eventuali problemi riscontrati nel processo.
• cmd_execution_<numeric>_stdout.txt: è presente un wrapper sopra l'azione patch. Viene usato per gestire l'estensione e richiamare un'operazione di patch specifica. Questo log contiene informazioni sul wrapper. Per l'applicazione automatica delle patch, il log contiene informazioni sull'eventuale richiamo dell'operazione di patch specifica.
• cmd_excution_<numeric>_stderr.txt

La valutazione periodica non viene impostata correttamente quando i criteri di valutazione periodici vengono usati durante la creazione per macchine virtuali specializzate, migrate e ripristinate

Causa

La valutazione periodica non viene impostata correttamente durante la creazione per macchine virtuali specializzate, migrate e ripristinate a causa della progettazione dei criteri di modifica correnti. Dopo la creazione, i criteri mostreranno queste risorse come non conformi nel dashboard di conformità.

Risoluzione

Eseguire un'attività di correzione dopo la creazione per correggere le risorse appena create. Per altre informazioni, vedere Correggere le risorse non conformi con Criteri di Azure.

Le attività di correzione dei criteri non riescono per le immagini della raccolta e per le immagini con dischi crittografati

Problema

Esistono errori di correzione per le macchine virtuali che hanno un riferimento all'immagine della raccolta in modalità Macchina virtuale. Questo perché richiede l'autorizzazione di lettura per l'immagine della raccolta e attualmente non fa parte del ruolo Collaboratore macchina virtuale.

Causa

Il ruolo Collaboratore macchina virtuale non dispone di autorizzazioni sufficienti.

Risoluzione

• Per tutte le nuove assegnazioni, viene introdotta una modifica recente per fornire il ruolo Collaboratore all'identità gestita creata durante l'assegnazione dei criteri per la correzione. In futuro, verrà assegnato per eventuali nuove assegnazioni.
• Per eventuali assegnazioni precedenti se si verifica un errore di attività di correzione, è consigliabile assegnare manualmente il ruolo di collaboratore all'identità gestita seguendo i passaggi elencati in Concedere autorizzazioni all'identità gestita tramite ruoli definiti
• Inoltre, negli scenari in cui il ruolo Collaboratore non funziona quando le risorse collegate (immagine o disco della raccolta) si trovano in un altro gruppo di risorse o in un'altra sottoscrizione, fornire manualmente all'identità gestita i ruoli corretti e le autorizzazioni per l'ambito per sbloccare le correzioni seguendo la procedura descritta in Concedere autorizzazioni all'identità gestita tramite ruoli definiti.

Impossibile generare una valutazione periodica per i server abilitati per Arc

Problema

Le sottoscrizioni in cui vengono abilitata l'onboarding dei server arc non producono dati di valutazione.

Risoluzione

Assicurarsi che le sottoscrizioni dei server Arc siano registrate nel provider di risorse Microsoft.Compute in modo che i dati di valutazione periodici vengano generati periodicamente come previsto. Ulteriori informazioni

La configurazione di manutenzione non viene applicata quando la macchina virtuale viene spostata in una sottoscrizione o in un gruppo di risorse diverso

Problema

Quando una macchina virtuale viene spostata in un'altra sottoscrizione o in un altro gruppo di risorse, la configurazione di manutenzione pianificata associata alla macchina virtuale non è in esecuzione.

Risoluzione

Il sistema attualmente non supporta lo spostamento di risorse tra gruppi di risorse o sottoscrizioni. Come soluzione alternativa, usare i passaggi seguenti per la risorsa da spostare. Come prerequisito, rimuovere prima di tutto l'assegnazione prima di seguire i passaggi.

Se si usa un static ambito:

1. Spostare la risorsa in un gruppo di risorse o una sottoscrizione diversa.
2. Ricreare l'assegnazione di risorse.

Se si usa un dynamic ambito:

1. Avviare o attendere l'esecuzione pianificata successiva. Questa azione richiede al sistema di rimuovere completamente l'assegnazione, in modo da poter procedere con i passaggi successivi.
2. Spostare la risorsa in un gruppo di risorse o una sottoscrizione diversa.
3. Ricreare l'assegnazione di risorse.

Se uno dei passaggi non è stato superato, spostare la risorsa nel gruppo di risorse o nell'ID sottoscrizione precedente e ripetere i passaggi.

Nota

Se il gruppo di risorse viene eliminato, ricrearlo con lo stesso nome. Se l'ID sottoscrizione viene eliminato, contattare il team di supporto per la mitigazione.

Impossibile modificare l'opzione di orchestrazione patch per gli aggiornamenti manuali dagli aggiornamenti automatici

Problema

Il computer di Azure ha l'opzione di orchestrazione patch come AutomaticByOS/Windows aggiornamenti automatici e non è possibile modificare l'orchestrazione patch in Manuale Aggiornamenti usando Modifica impostazioni di aggiornamento.

Risoluzione

Se non si vuole che alcuna installazione di patch venga orchestrata da Azure o non si usino soluzioni di applicazione di patch personalizzate, è possibile modificare l'opzione di orchestrazione delle patch in Pianificazioni gestite dal cliente (anteprima) o AutomaticByPlatform e ByPassPlatformSafetyChecksOnUserSchedule non associare una configurazione di pianificazione/manutenzione al computer. Questa impostazione garantisce che non venga eseguita alcuna applicazione di patch nel computer fino a quando non viene modificata in modo esplicito. Per altre informazioni, vedere Scenario 2 negli scenari utente.

il computer viene indicato come "Non valutato" e genera a un'eccezione HRESULT

Problema

• Sono presenti computer che risultano Not assessed in Conformità con un messaggio di eccezione sottostante.
• Nel portale viene visualizzato un HRESULT codice di errore.

Causa

L'agente di aggiornamento (Windows Update Agent in Windows e gestione pacchetti per una distribuzione Linux) non è configurato correttamente. Gestione aggiornamenti si basa sull'agente di aggiornamento del computer per fornire gli aggiornamenti necessari, lo stato della patch e i risultati delle patch distribuite. Senza queste informazioni, Gestione aggiornamenti non può segnalare correttamente le patch necessarie o installate.

Risoluzione

Provare a eseguire gli aggiornamenti localmente nel computer. Se l'operazione non riesce, significa in genere che si è verificato un errore di configurazione dell'agente di aggiornamento.

Questo problema è spesso causato da problemi di configurazione di rete e firewall. Usare i controlli seguenti per correggere il problema:

• Per Linux, consultare la documentazione appropriata e assicurarsi che sia possibile raggiungere l'endpoint di rete del repository del pacchetto.

• Per Windows, controllare la configurazione dell'agente come descritto in Aggiornamenti non vengono scaricati dall'endpoint Intranet (WSUS/SCCM).

  • Se i computer sono configurati per Windows Update, assicurarsi che sia possibile raggiungere gli endpoint descritti in Problemi relativi a HTTP/proxy.
  • Se i computer sono configurati per Windows Server Update Services (WSUS), verificare che sia possibile raggiungere il server WSUS configurato dalla chiave del Registro di sistema WUServer.

Se viene visualizzato un HRESULT codice di errore, fare doppio clic sull'eccezione visualizzata in rosso per visualizzare l'intero messaggio di eccezione. Individuare possibili risoluzioni o azioni consigliate nella tabella seguente.

Eccezione	Risoluzione o azione
Exception from HRESULT: 0x……C	Cercare il codice di errore pertinente nell'elenco dei codici di errore di Windows Update per trovare altre informazioni sulla causa dell'eccezione.
0x8024402C 0x8024401C 0x8024402F	Indica i problemi di connettività di rete. Assicurarsi che il computer disponga della connettività di rete per Gestione aggiornamenti. Per un elenco delle porte e degli indirizzi necessari, vedere la sezione Pianificazione della rete.
0x8024001E	L'operazione di aggiornamento non è stata completata perché il servizio o il sistema è stato arrestato.
0x8024002E	Il servizio Windows Update è disabilitato.
0x8024402C	Se si usa un server WSUS, assicurarsi che i valori del Registro di sistema per WUServer e WUStatusServer nella chiave del HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate Registro di sistema specifichino il server WSUS corretto.
0x80072EE2	Si è verificato un problema di connettività di rete o un problema durante la comunicazione con un server WSUS configurato. Controllare le impostazioni di WSUS e verificare che il servizio sia accessibile dal client.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Verificare che il servizio Windows Update (wuauserv) sia in esecuzione e non disabilitato.
0x80070005	Un errore di accesso negato può essere causato da uno dei problemi seguenti: - Computer infetto. - Le impostazioni di Windows Update non sono configurate correttamente. - Errore di autorizzazione file con la %WinDir%\SoftwareDistribution cartella . - Spazio su disco insufficiente nell'unità di sistema (unità C).
Qualsiasi altra eccezione generica	Eseguire una ricerca su Internet per le possibili risoluzioni e collaborare con il supporto IT locale.

È possibile determinare le possibili cause anche esaminando il file %Windir%\Windowsupdate.log. Per altre informazioni su come leggere il log, vedere Leggere il file Windowsupdate.log.

È anche possibile scaricare ed eseguire lo strumento di risoluzione dei problemi di Windows Update per verificare la presenza di eventuali problemi con Windows Update nel computer.

Nota

La documentazione relativa allo strumento di risoluzione dei problemi di Windows Update indica che è destinata all'uso nei client Windows, ma funziona anche su Windows Server.

Problemi noti nella pianificazione dell'applicazione di patch

• Nel caso di una pianificazione simultanea o in conflitto, viene attivata una sola pianificazione. L'altra pianificazione viene attivata una volta terminata quella precedente.
• Se un computer è stato appena creato, la pianificazione potrebbe avere un ritardo di 15 minuti nel trigger di pianificazione nel caso di macchine virtuali di Azure.
• La definizione dei criteri Pianificare gli aggiornamenti ricorrenti usando il Gestore aggiornamenti di Azure con la versione 1.0.0-preview corregge con successo le risorse. Tuttavia, le mostra sempre come non conformi. Il valore corrente della condizione di esistenza è un segnaposto che restituisce sempre false.

La pianificazione dell'applicazione di patch ha esito negativo e viene visualizzato l'errore 'ShutdownOrUnresponsive'

Problema

La pianificazione dell'applicazione di patch non ha installato le patch nelle macchine virtuali e restituisce un errore come "ShutdownOrUnresponsive".

Risoluzione

Le pianificazioni attivate nei computer eliminati e ricreati con lo stesso ID risorsa entro 8 ore potrebbero non riuscire con l'errore ShutdownOrUnresponsive a causa di una limitazione nota.

Impossibile applicare patch per i computer di arresto

Problema

Le patch non vengono applicate per i computer in stato di arresto. È anche possibile notare che i computer stanno perdendo le configurazioni o le pianificazioni di manutenzione associate.

Causa

I computer sono in stato di arresto.

Risoluzione

Mantenere i computer accesi almeno 15 minuti prima dell'aggiornamento pianificato. Per altre informazioni, vedere Arrestare i computer.

L'esecuzione della patch non è riuscita con la proprietà Maintenance window exceeded (Finestra di manutenzione) che mostra true anche se il tempo è rimasto

Problema

Quando si visualizza una distribuzione degli aggiornamenti in Cronologia aggiornamenti, la proprietà Failed with Maintenance window exceeded (Non riuscito con finestra manutenzione superata ) mostra true anche se è stato lasciato un tempo sufficiente per l'esecuzione. In questo caso, è possibile risolvere uno dei problemi seguenti:

• Non vengono visualizzati aggiornamenti.
• Uno o più aggiornamenti sono in stato In sospeso .
• Lo stato del riavvio è Obbligatorio, ma non è stato tentato un riavvio anche quando l'impostazione di riavvio è stata passata o AlwaysIfRequired .

Causa

Durante una distribuzione degli aggiornamenti, l'utilizzo della finestra di manutenzione viene controllato in più passaggi. Dieci minuti della finestra Manutenzione sono riservati per il riavvio in qualsiasi momento. Prima che la distribuzione ottenga un elenco di aggiornamenti o download mancanti o installa qualsiasi aggiornamento (ad eccezione degli aggiornamenti del Service Pack di Windows), verifica se sono presenti 15 minuti + 10 minuti per il riavvio (ovvero 25 minuti lasciati nella finestra Manutenzione).

Per gli aggiornamenti di Windows Service Pack, la distribuzione verifica la presenza di 20 minuti + 10 minuti per il riavvio( ovvero 30 minuti). Se la distribuzione non dispone del tempo sufficiente, ignora l'analisi, il download o l'installazione degli aggiornamenti. L'esecuzione della distribuzione verifica quindi se è necessario un riavvio e se sono rimasti 10 minuti nella finestra Manutenzione. In caso affermativo, la distribuzione attiva un riavvio. In caso contrario, il riavvio viene ignorato.

In questi casi, lo stato viene aggiornato a Failed e la proprietà Maintenance window exceeded viene aggiornata a true. Nei casi in cui il tempo lasciato è inferiore a 25 minuti, gli aggiornamenti non vengono analizzati o tentati per l'installazione.

Per altre informazioni, esaminare i log nel percorso del file fornito nel messaggio di errore dell'esecuzione della distribuzione.

Risoluzione

Impostare un intervallo di tempo più lungo per la durata massima quando si attiva una distribuzione di aggiornamenti su richiesta per evitare il problema.

Passaggi successivi

• Per altre informazioni su Gestione aggiornamenti, vedere Panoramica.
• Per visualizzare i risultati registrati da tutti i computer, vedere Esecuzione di query su log e risultati da Gestione aggiornamenti.