Risolvere i problemi noti di Gestione aggiornamenti di Azure

Questo articolo descrive gli errori che possono verificarsi quando si distribuisce o si usa Gestione aggiornamenti di Azure, come risolverli e i problemi noti e le limitazioni dell'applicazione di patch pianificate.

Risoluzione dei problemi generali

Le informazioni seguenti sulla risoluzione dei problemi si applicano alle macchine virtuali (VM) di Azure correlate all'estensione patch nei computer Windows e Linux.

Macchine virtuali di Azure

Linux VM

Per verificare se l'agente di macchine virtuali di Azure è in esecuzione e ha attivato le azioni appropriate nel computer e verificare il numero di sequenza per la richiesta di applicazione automatica delle patch, controllare il log dell'agente in /var/log/waagent.log. A ogni richiesta di applicazione automatica di patch è associato un numero di sequenza univoco nel computer. Cercare un log simile a 2021-01-20T16:57:00.607529Z INFO ExtHandler.

La directory del pacchetto per l'estensione è /var/lib/waagent/Microsoft.CPlat.Core.LinuxPatchExtension-<version>. La sottocartella /status ha un file <sequence number>.status. Include una breve descrizione delle azioni eseguite durante una singola richiesta di applicazione automatica di patch e lo stato. Include anche un breve elenco di errori che si sono verificati durante gli aggiornamenti.

Per esaminare i log correlati a tutte le azioni eseguite dall'estensione, passare a /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Questa cartella include i file di log seguenti di interesse:

• <seq number>.core.log: questo file contiene informazioni correlate alle azioni patch. Le informazioni includono patch valutate e installate nel computer, insieme a eventuali problemi riscontrati nel processo.
• <Date and Time>_<Handler action>.ext.log: un wrapper sopra l'azione patch viene usato per gestire l'estensione e richiamare un'operazione di patch specifica. Questo log contiene informazioni sul wrapper. Per l'applicazione automatica delle patch, il <Date and Time>_Enable.ext.log file contiene informazioni su se è stata richiamata l'operazione di patch specifica.

Macchina virtuale Windows

Per verificare se l'agente della macchina virtuale è attivo e ha attivato le azioni appropriate sul computer, e per verificare il numero di sequenza per la richiesta di patching automatico, controllare il registro dell'agente in C:\WindowsAzure\Logs\AggregateStatus. La directory del pacchetto per l'estensione è C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Per esaminare i log correlati a tutte le azioni eseguite dall'estensione, passare a C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Questa cartella include i file di log seguenti di interesse:

• WindowsUpdateExtension.log: questo file contiene informazioni correlate alle azioni patch. Le informazioni includono patch valutate e installate nel computer, insieme a eventuali problemi riscontrati nel processo.
• CommandExecution.log: un wrapper sopra l'azione patch viene usato per gestire l'estensione e richiamare un'operazione di patch specifica. Questo log contiene informazioni sul wrapper. Per l'applicazione automatica delle patch, il log contiene informazioni su se è stata richiamata l'operazione di patch specifica.

Server abilitati per Azure Arc

Per i server con abilitazione di Azure Arc, vedere Risolvere i problemi relativi alle estensioni delle macchine virtuali per i passaggi generali per la risoluzione dei problemi.

Per esaminare i log correlati a tutte le azioni eseguite dall'estensione, in Windows passare a C:\ProgramData\GuestConfig\extension_logs\Microsoft.SoftwareUpdateManagement.WindowsOsUpdateExtension. Questa cartella include i file di log seguenti di interesse:

• WindowsUpdateExtension.log: questo file contiene informazioni correlate alle azioni patch. Le informazioni includono le patch valutate e installate nel computer, insieme a eventuali problemi riscontrati nel processo.
• cmd_execution_<numeric>_stdout.txt: un wrapper sopra l'azione patch viene usato per gestire l'estensione e richiamare un'operazione di patch specifica. Questo log contiene informazioni sul wrapper. Per l'applicazione automatica delle patch, il log contiene informazioni su se è stata richiamata l'operazione di patch specifica.
• cmd_execution_<numeric>_stderr.txt.

La valutazione periodica non è impostata correttamente

Problema

La valutazione periodica non viene impostata correttamente durante la creazione di risorse per macchine virtuali specializzate, migrate e ripristinate.

Causa

La progettazione dei criteri di modifica correnti influisce sulla valutazione. Dopo la creazione delle risorse, la politica mostra queste risorse come non conformi alle norme nel dashboard di conformità.

Risoluzione

Eseguire un'attività di correzione per le risorse appena create. Per altre informazioni, vedere Correggere le risorse non conformi con Criteri di Azure.

Il prerequisito per l'applicazione di patch pianificata non è impostato correttamente

Problema

Quando si utilizza Pianifica aggiornamenti ricorrenti usando Azure Update Manager e Impostare i prerequisiti per la Pianificazione degli aggiornamenti ricorrenti su macchine virtuali di Azure nei criteri durante la creazione delle risorse per macchine virtuali specializzate, generalizzate, migrate e ripristinate:

• Il prerequisito per l'applicazione di patch pianificate non è impostato correttamente.
• Le pianificazioni non sono allegate.

Causa

La progettazione del criterio Deploy If Not Exists influisce sull'applicazione delle patch pianificate. Dopo la creazione delle risorse, la politica mostra queste risorse come non conformi nel cruscotto di conformità.

Risoluzione

Eseguire un'attività di correzione per le risorse appena create. Per altre informazioni, vedere Correggere le risorse non conformi con Criteri di Azure.

Le attività di correzione dei criteri hanno esito negativo per le immagini

Problema

Le attività di risoluzione dei criteri falliscono per le immagini della galleria e per le immagini con dischi crittografati. Esistono errori di correzione per le macchine virtuali con un riferimento a un'immagine della raccolta in modalità VM. L'identità gestita richiede l'autorizzazione di lettura per l'immagine della raccolta e attualmente non fa parte del ruolo Collaboratore macchina virtuale.

Causa

Il ruolo di Collaboratore della Macchina Virtuale non dispone di autorizzazioni sufficienti.

Risoluzione

Per tutte le nuove assegnazioni, una modifica recente concede il ruolo Collaboratore all'identità gestita creata per le attività di correzione.

Se si verifica un errore di attività di correzione per le assegnazioni precedenti, è consigliabile concedere manualmente il ruolo di collaboratore all'identità gestita seguendo la procedura descritta in Concedere autorizzazioni all'identità gestita tramite ruoli definiti.

Negli scenari in cui il ruolo Collaboratore non funziona quando le risorse collegate (immagine o disco della raccolta) si trovano in un altro gruppo di risorse o in un'altra sottoscrizione, fornire manualmente all'identità gestita i ruoli corretti e le autorizzazioni per l'ambito per sbloccare le correzioni. Seguire la procedura descritta in Concedere le autorizzazioni all'identità gestita tramite ruoli definiti.

Non è possibile generare una valutazione periodica per i server abilitati per Azure Arc

Problema

Le sottoscrizioni in cui viene abilitato l'onboarding dei server abilitati per Azure Arc non producono dati di valutazione.

Causa

Le sottoscrizioni non vengono registrate nel provider di risorse corretto.

Risoluzione

Assicurarsi che le sottoscrizioni server abilitate per Azure Arc siano registrate nel provider di risorse Microsoft.Compute in modo che i dati di valutazione periodici vengano generati periodicamente come previsto. Ulteriori informazioni.

La configurazione di manutenzione non viene applicata quando si sposta una macchina virtuale

Problema

Quando si sposta una macchina virtuale in un'altra sottoscrizione o in un altro gruppo di risorse, la configurazione di manutenzione pianificata associata alla macchina virtuale non è in esecuzione.

Causa

Le configurazioni di manutenzione non supportano attualmente lo spostamento di risorse assegnate tra gruppi di risorse o sottoscrizioni.

Risoluzione

Come soluzione alternativa, usare i passaggi seguenti per la risorsa da spostare.

Se si usa un ambito static:

1. Rimuovere l'assegnazione di risorse.
2. Spostare la risorsa in un gruppo di risorse o una sottoscrizione diversa.
3. Ricreare l'assegnazione di risorse.

Se si usa un ambito dynamic:

1. Avviare o attendere l'esecuzione pianificata successiva. Questa azione richiede al sistema di rimuovere completamente l'assegnazione in modo che sia possibile procedere con i passaggi successivi.
2. Spostare la risorsa in un gruppo di risorse o una sottoscrizione diversa.
3. Ricreare l'assegnazione di risorse.

Se si perde uno dei passaggi, spostare la risorsa nel gruppo di risorse o nell'ID sottoscrizione precedente e quindi ripetere i passaggi.

Note

Se il gruppo di risorse viene eliminato, ricrearlo con lo stesso nome. Se l'ID sottoscrizione viene eliminato, contattare il team di supporto per la mitigazione.

Non è possibile modificare l'orchestrazione delle patch da automatica a manuale

Problema

Si vuole assicurarsi che il client Windows Update non installi patch nell'istanza di Windows Server, quindi si vuole impostare l'impostazione della patch su manuale. Tuttavia, non è possibile modificare l'orchestrazione delle patch in aggiornamenti manuali usando Modifica impostazioni di aggiornamento.

Causa

Il computer Azure ha l'opzione di orchestrazione delle patch per AutomaticByOS/Windows aggiornamenti automatici.

Risoluzione

Se non si vuole che Azure orchestra l'installazione di patch o non si usino soluzioni di applicazione di patch personalizzate, è possibile modificare l'opzione di orchestrazione delle patch in Pianificazioni gestite dal cliente (anteprima) (o AutomaticByPlatformByPassPlatformSafetyChecksOnUserSchedule) e non associare una configurazione di pianificazione o manutenzione al computer. Questa impostazione garantisce che non venga eseguita alcuna applicazione di patch nel computer fino a quando non viene modificata in modo esplicito.

Il computer non viene valutato e mostra un'eccezione HRESULT

Problema

Sono presenti computer visualizzati come Non valutati in Conformità e viene visualizzato un messaggio di eccezione sotto di essi. In alternativa, viene visualizzato un HRESULT codice di errore nel portale.

Causa

L'agente di aggiornamento (Windows Update Agent in Windows e gestione pacchetti per una distribuzione Linux) non è configurato correttamente. Update Manager si basa sull'agente di aggiornamento del computer per fornire gli aggiornamenti necessari, lo stato della patch e i risultati delle patch distribuite. Senza queste informazioni Gestione aggiornamenti non può segnalare correttamente le patch necessarie o installate.

Risoluzione

Provare a eseguire gli aggiornamenti localmente nel computer. Se l'operazione non riesce, significa in genere che si è verificato un errore di configurazione per l'agente di aggiornamento. Per risolvere il problema:

• Per Linux, controllare la documentazione appropriata per assicurarsi di poter raggiungere l'endpoint di rete del repository del pacchetto.

• Per Windows, controllare la configurazione dell'agente come descritto in Aggiornamenti non vengono scaricati dall'endpoint Intranet (WSUS o Configuration Manager):

  • Se i computer sono configurati per Windows Update, assicurarsi che sia possibile raggiungere gli endpoint descritti in Problemi relativi a HTTP/proxy.
  • Se i computer sono configurati per Windows Server Update Services (WSUS), verificare che sia possibile raggiungere il server WSUS configurato dalla chiave del Registro di sistema WUServer.

Se si visualizza un codice errore HRESULT, fare doppio clic sull'eccezione in rosso per visualizzare il messaggio completo. Individuare possibili risoluzioni o azioni consigliate nella tabella seguente.

Eccezione	Risoluzione o azione
Exception from HRESULT: 0x……C	Per altre informazioni sulla causa dell'eccezione, cercare il codice di errore pertinente nell'elenco codici di errore relativi a Windows Update.
0x8024402C 0x8024401C 0x8024402F	Questa eccezione indica problemi di connettività di rete. Assicurarsi che il computer disponga della connettività di rete con Update Manager. Per un elenco delle porte e degli indirizzi necessari, vedere Pianificazione della rete.
0x8024001E	L'operazione di aggiornamento non è stata completata perché il servizio o il sistema era in fase di arresto. Ripetere l'operazione.
0x8024002E	Il servizio Windows Update è disabilitato. Abilitare il servizio.
0x8024402C	Se si usa un server WSUS, assicurarsi che i valori del Registro di sistema per WUServer e WUStatusServer nella chiave del HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate Registro di sistema specifichino il server WSUS corretto.
0x80072EE2	Si è verificato un problema di connettività di rete o un problema durante la comunicazione con un server WSUS configurato. Controllare le impostazioni di WSUS e assicurarsi che il servizio sia accessibile dal client.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Assicurarsi che il servizio Windows Update (wuauserv) sia in esecuzione e non disabilitato.
0x80070005	Uno dei problemi seguenti può causare un errore di accesso negato: - Computer infetto. - Impostazioni di Windows Update non configurate correttamente. - Errore di autorizzazione file con la cartella %WinDir%\SoftwareDistribution. - Spazio su disco insufficiente nell'unità di sistema (drive C:).
Qualsiasi altra eccezione generica	Eseguire una ricerca su Internet per le possibili risoluzioni e collaborare con il supporto IT locale.

È possibile determinare le possibili cause anche esaminando il file %Windir%\Windowsupdate.log. Per altre informazioni su come leggere il log, vedere File di log di Windows Update.

È inoltre possibile scaricare ed eseguire lo strumento di risoluzione dei problemi di Windows Update per verificare la presenza di problemi con Windows Update nel computer. Lo strumento di risoluzione dei problemi funziona sia nei client Windows che in Windows Server.

Viene visualizzato un errore di esecuzione interna

Problema

Gestione aggiornamenti non riesce a applicare patch alla macchina virtuale e genera un errore di esecuzione interno. L'operazione non restituisce una risposta e potrebbe essere incompleta.

Causa

Questo problema può verificarsi a causa di un problema temporaneo o di un errore di comunicazione tra Gestione aggiornamenti e la macchina virtuale. Le cause comuni includono:

• Problema temporaneo del servizio di piattaforma o back-end.
• Un agente di macchine virtuali di Azure non risponde o obsoleto.
• Una macchina virtuale con carico elevato o riavvio durante l'operazione.
• Un problema di rete o connettività.

Risoluzione

• Ripetere l'aggiornamento dopo alcuni minuti.
• Assicurarsi che l'agente di macchine virtuali sia integro e aggiornato.
• Se lo stato dell'agente è Non pronto, provare a riavviare la macchina virtuale.
• Controllare l'utilizzo delle risorse della macchina virtuale (CPU, memoria, disco). Riavviare se necessario.
• Verificare la connettività di rete ai servizi di Azure.
• Per ulteriori dettagli, rivedere i log sulla macchina virtuale e su Gestione Aggiornamenti.

La pianificazione delle patch non funziona

Nel caso di una pianificazione simultanea o in conflitto, viene attivata una sola pianificazione. L'altra pianificazione viene attivata al termine della prima pianificazione.

Se un computer è stato appena creato, la pianificazione potrebbe avere un ritardo di 15 minuti nel trigger nel caso di macchine virtuali di Azure.

Viene visualizzato un errore ShutdownOrUnresponsive

Problema

L'applicazione di patch pianificata non installa le patch nelle macchine virtuali e restituisce un ShutdownOrUnresponsive errore.

Causa

Una limitazione nota può causare l'esito negativo delle pianificazioni attivate nei computer eliminati e ricreati con lo stesso ID risorsa entro 8 ore.

Risoluzione

Il problema non si verifica dopo le 8 ore.

Non è possibile applicare patch per le macchine spente

Problema

Le patch non vengono applicate per i computer in stato di arresto. È anche possibile notare che i computer stanno perdendo le configurazioni o le pianificazioni di manutenzione associate.

Causa

I computer sono in stato di arresto.

Risoluzione

Assicurarsi che i computer siano attivati almeno 15 minuti prima dell'aggiornamento pianificato. Per ulteriori informazioni, vedere Macchine spente.

La cronologia degli aggiornamenti indica in modo non accurato che è stata superata la finestra di manutenzione

Problema

Quando si visualizza una distribuzione degli aggiornamenti in Cronologia aggiornamenti, la proprietà Non riuscito con finestra manutenzione superata mostra true anche se è stato lasciato un tempo sufficiente per l'esecuzione. In questo caso, è possibile risolvere uno dei problemi seguenti:

• Non vengono visualizzati aggiornamenti.
• Uno o più aggiornamenti sono in stato In sospeso.
• Lo stato del riavvio è Obbligatorio, ma non è stato tentato un riavvio anche quando l'impostazione di riavvio era IfRequired o Always.

Causa

Durante una distribuzione degli aggiornamenti, l'utilizzo della finestra di manutenzione viene controllato in più passaggi. Dieci minuti della finestra di manutenzione sono riservati per il riavvio in qualsiasi momento.

Prima che la distribuzione ottenga un elenco di aggiornamenti o download mancanti o installa un aggiornamento, verifica che il tempo rimanga sufficiente nella finestra di manutenzione:

• Tutti gli aggiornamenti tranne Windows Service Pack: 15 minuti + 10 minuti per il riavvio, per un totale di 25 minuti.
• Aggiornamenti di Windows Service Pack: 20 minuti + 10 minuti per il riavvio, per un totale di 30 minuti.

Se la distribuzione non ha tempo sufficiente, salta l'analisi, il download e l'installazione degli aggiornamenti. L'esecuzione della distribuzione verifica quindi se è necessario un riavvio e se rimangono 10 minuti nella finestra di manutenzione. In tal caso, la distribuzione attiva un riavvio. In caso contrario, il riavvio viene ignorato.

In questi casi, lo stato viene aggiornato a Non riuscito e la proprietà della finestra di manutenzione superata viene aggiornata a vero. Nei casi in cui il tempo rimasto è inferiore a 25 minuti, gli aggiornamenti non vengono analizzati o non viene tentata l'installazione.

Per ulteriori informazioni, esaminare i log nel percorso del file fornito nel messaggio di errore dell'esecuzione della distribuzione.

Risoluzione

Impostare un intervallo di tempo più lungo per la durata massima quando si attiva una distribuzione di aggiornamenti su richiesta.

L'estensione di aggiornamento del sistema operativo Windows/Linux non è installata

Problema

Non è possibile eseguire l'applicazione di patch nei computer abilitati per Azure Arc.

Causa

L'estensione di aggiornamento del sistema operativo Windows/Linux deve essere installata correttamente nei computer abilitati per Azure Arc per eseguire valutazioni su richiesta, applicazione di patch e applicazione di patch pianificate.

Risoluzione

Attivare una valutazione on demand o l'applicazione di patch per installare l'estensione nel computer. È anche possibile associare il computer a un programma di configurazione per la manutenzione, che installerà l'estensione quando viene eseguito il patching secondo il programma.

Se l'estensione è già presente in un computer abilitato per Azure Arc, ma lo stato dell'estensione non è Riuscito, rimuovere l'estensione e quindi attivare un'operazione su richiesta per reinstallarla.

L'estensione di aggiornamento delle patch Windows/Linux non è installata

Problema

Non è possibile eseguire l'applicazione di patch nelle macchine virtuali di Azure.

Causa

L'estensione di aggiornamento patch di Windows/Linux deve essere installata correttamente nei computer Azure per eseguire valutazioni o patch su richiesta, applicazione di patch pianificate e valutazioni periodiche.

Risoluzione

Attivare una valutazione on demand o l'applicazione di patch per installare l'estensione nel computer. È anche possibile collegare la macchina a un programma di configurazione di manutenzione, che installerà l'estensione quando viene eseguita l'applicazione delle patch in base alla pianificazione.

Se l'estensione è già presente nel computer ma lo stato dell'estensione non è Riuscito, rimuovere l'estensione e quindi attivare un'operazione su richiesta per reinstallarla.

La verifica dell'estensione fallisce

Problema

Controllo per verificare che la proprietà AllowExtensionOperations sia impostata correttamente ha esito negativo.

Causa

La proprietà AllowExtensionOperations è impostata su false nell'interfaccia della OSProfile macchina.

Risoluzione

Per consentire il corretto funzionamento delle estensioni, impostare la proprietà su true.

I privilegi sudo non sono presenti

Problema

È possibile che venga visualizzata l'eccezione seguente:

EXCEPTION: Exception('Unable to invoke sudo successfully. Output: root is not in the sudoers file. This incident will be reported. False ',)

Causa

I privilegi Sudo non vengono concessi alle estensioni per le operazioni di valutazione o applicazione di patch nei computer Linux.

Gestione aggiornamenti richiede un livello elevato di autorizzazioni a causa dei numerosi componenti che potrebbero essere aggiornati con Gestione aggiornamenti (inclusi i driver del kernel e l'applicazione di patch di sicurezza del sistema operativo). Le estensioni di Gestione degli aggiornamenti usano l'account root per le operazioni.

Risoluzione

Concedere privilegi sudo per garantire che le operazioni di valutazione o applicazione di patch abbiano esito positivo. È necessario aggiungere l'account radice al /etc/sudoers file:

1. Apri il file sudoers per la modifica.

   sudo visudo
   

2. Aggiungere la voce seguente alla fine del sudoers file:

   root ALL=(ALL) ALL
   

3. Salvare e chiudere l'editor usando i tasti di scelta rapida CTRL+X . Se si usa l'editor vi , è possibile digitare :wq e quindi selezionare il tasto INVIO .

Proxy configurato

Problema

Un proxy blocca l'accesso agli endpoint necessari per il corretto funzionamento delle operazioni di valutazione o applicazione di patch.

Causa

Un proxy viene configurato nei computer Windows o Linux.

Risoluzione

Per Windows, vedere Problemi relativi a HTTP/Proxy.

Per Linux, assicurarsi che l'installazione del proxy non blocchi l'accesso ai repository necessari per il download e l'installazione degli aggiornamenti.

Il controllo TLS 1.2 ha esito negativo

Problema

Il controllo per assicurarsi di usare TLS 1.2 ha esito negativo.

Causa

Stai usando TLS 1.0 o TLS 1.1. Queste versioni sono deprecate.

Risoluzione

Usare TLS 1.2 o versione successiva.

Per Windows, vedere Protocolli in TLS/SSL (SSP Schannel).

Per Linux, eseguire il comando seguente per visualizzare le versioni supportate di TLS per la distribuzione: nmap --script ssl-enum-ciphers -p 443 www.azure.com.

Controllo connessione HTTPS non riuscito

Problema

La verifica per garantire la disponibilità di una connessione HTTPS fallisce.

Causa

Una connessione HTTPS non è disponibile. Questa connessione è necessaria per scaricare e installare gli aggiornamenti dagli endpoint necessari per ogni sistema operativo.

Risoluzione

Consentire una connessione HTTPS dal computer.

Il servizio MsftLinuxPatchAutoAssess non è in esecuzione o si verifica il timeout

Problema

Le valutazioni periodiche non funzionano sui computer Linux.

Causa

Il servizio MsftLinuxPatchAutoAssess è necessario per le valutazioni periodiche riuscite.

Risoluzione

Verificare che lo stato LinuxPatchExtensionsia succeeded per il computer. Riavviare il computer per verificare se il problema è stato risolto.

I repository Linux non sono accessibili

Problema

Gli aggiornamenti vengono scaricati dai repository pubblici o privati configurati per ogni distribuzione Linux. Il computer non può connettersi a questi repository per scaricare o valutare gli aggiornamenti.

Causa

Le regole di sicurezza di rete possono bloccare connessioni importanti.

Risoluzione

Assicurarsi che le regole di sicurezza di rete non ostacolino le connessioni del computer ai repository necessari per le operazioni di aggiornamento.

Contenuti correlati

• Per altre informazioni su Gestione aggiornamenti, vedere la panoramica.
• Per visualizzare i risultati registrati da tutti i computer, vedere Accedere ai dati delle operazioni di Azure Update Manager usando Azure Resource Graph.