Problemen met Azure Update Manager oplossen

In dit artikel worden de fouten beschreven die kunnen optreden wanneer u Azure Update Manager implementeert of gebruikt, hoe u deze kunt oplossen en de bekende problemen en beperkingen van geplande patches.

Algemene probleemoplossing

De volgende stappen voor probleemoplossing zijn van toepassing op de virtuele Azure-machines (VM's) met betrekking tot de patchextensie op Windows- en Linux-machines.

Azure Virtual Machines

Azure Linux VM

Als u wilt controleren of de Microsoft Azure Virtual Machine-agent (VM-agent) wordt uitgevoerd en de juiste acties op de computer en het volgnummer voor de automatischepatching-aanvraag heeft geactiveerd, controleert u het agentlogboek voor meer informatie in /var/log/waagent.log. Aan elke aanvraag voor automatische patching is een uniek volgnummer gekoppeld op de computer. Zoek naar een logboek dat vergelijkbaar is met 2021-01-20T16:57:00.607529Z INFO ExtHandler.

De pakketmap voor de extensie is /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>. De submap /status bevat een <sequence number>.status bestand. Het bevat een korte beschrijving van de acties die worden uitgevoerd tijdens een enkele automatische patching-aanvraag en de status. Het bevat ook een korte lijst met fouten die zijn opgetreden tijdens het toepassen van updates.

Als u de logboeken wilt bekijken die betrekking hebben op alle acties die door de extensie worden uitgevoerd, controleert u voor meer informatie /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Het bevat de volgende twee logboekbestanden die van belang zijn:

• <seq number>.core.log: bevat informatie met betrekking tot de patchacties. Deze informatie omvat patches die op de computer zijn beoordeeld en geïnstalleerd en eventuele problemen die in het proces zijn opgetreden.
• <Date and Time>_<Handler action>.ext.log: er staat een wrapper boven de patchactie, die wordt gebruikt om de extensie te beheren en een specifieke patchbewerking aan te roepen. Dit logboek bevat informatie over de wrapper. Voor automatische patches bevat het logboek <Date and Time>_Enable.ext.log informatie over of de specifieke patchbewerking is aangeroepen.

Azure Windows VM

Als u wilt controleren of de VM-agent wordt uitgevoerd en de juiste acties op de computer en het volgnummer voor de automatischepatching-aanvraag heeft geactiveerd, controleert u het agentlogboek voor meer informatie in C:\WindowsAzure\Logs\AggregateStatus. De pakketmap voor de extensie is C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Als u de logboeken wilt bekijken die betrekking hebben op alle acties die door de extensie worden uitgevoerd, controleert u voor meer informatie C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Het bevat de volgende twee logboekbestanden die van belang zijn:

• WindowsUpdateExtension.log: bevat informatie met betrekking tot de patchacties. Deze informatie omvat patches die op de computer zijn beoordeeld en geïnstalleerd en eventuele problemen die in het proces zijn opgetreden.
• CommandExecution.log: er staat een wrapper boven de patchactie, die wordt gebruikt om de extensie te beheren en een specifieke patchbewerking aan te roepen. Dit logboek bevat informatie over de wrapper. Voor automatische patches bevat het logboek informatie over of de specifieke patchbewerking is aangeroepen.

Servers met Arc

Bekijk Problemen met VM-extensies oplossen voor algemene stappen voor probleemoplossing voor servers met Azure Arc.

Als u de logboeken wilt bekijken die betrekking hebben op alle acties die door de extensie worden uitgevoerd, controleert u in Windows voor meer informatie C:\ProgramData\GuestConfig\extension_Logs\Microsoft.SoftwareUpdateManagement\WindowsOsUpdateExtension. Het bevat de volgende twee logboekbestanden die van belang zijn:

• WindowsUpdateExtension.log: bevat informatie met betrekking tot de patchacties. Deze informatie omvat de patches die op de computer zijn beoordeeld en geïnstalleerd en eventuele problemen die in het proces zijn opgetreden.
• cmd_execution_<numeric>_stdout.txt: er staat een wrapper boven de patchactie. Deze wordt gebruikt om de extensie te beheren en een specifieke patchbewerking aan te roepen. Dit logboek bevat informatie over de wrapper. Voor automatische patches bevat het logboek informatie over of de specifieke patchbewerking is aangeroepen.
• cmd_excution_<numeric>_stderr.txt

Periodieke evaluatie wordt niet correct ingesteld wanneer het periodieke evaluatiebeleid wordt gebruikt tijdens het maken voor gespecialiseerde, gemigreerde en herstelde VM's

Oorzaak

Periodieke evaluatie wordt niet correct ingesteld tijdens het maken voor gespecialiseerde, gemigreerde en herstelde VM's vanwege de manier waarop het huidige wijzigingsbeleid is ontworpen. Na het maken worden deze resources weergegeven als niet-compatibel op het nalevingsdashboard.

Oplossing

Voer een hersteltaak uit na het maken van een hersteltaak om zojuist gemaakte resources te herstellen. Zie Remediate non-compliant resources with Azure Policy (Niet-compatibele resources herstellen met Azure Policy) voor meer informatie.

De vereiste voor geplande patching is niet juist ingesteld en planningen worden niet gekoppeld wanneer u specifieke beleidsregels gebruikt tijdens het maken voor gespecialiseerde, gegeneraliseerde, gemigreerde en herstelde VM's

Oorzaak

De vereiste voor geplande patches en het koppelen van planningen wordt niet correct ingesteld wanneer u terugkerende updates plannen gebruikt met Behulp van Azure Update Manager en vereisten instellen voor het plannen van terugkerende updates op virtuele Azure-machines tijdens het maken voor gespecialiseerde, gegeneraliseerde, gemigreerde en herstelde VM's vanwege de manier waarop het huidige beleid Implementeren indien niet bestaat is ontworpen. Na het maken worden deze resources weergegeven als niet-compatibel op het nalevingsdashboard.

Oplossing

Voer een hersteltaak uit na het maken van een hersteltaak om zojuist gemaakte resources te herstellen. Zie Remediate non-compliant resources with Azure Policy (Niet-compatibele resources herstellen met Azure Policy) voor meer informatie.

Beleidshersteltaken mislukken voor galerie-installatiekopieën en voor installatiekopieën met versleutelde schijven

Probleem

Er zijn herstelfouten voor VM's met een verwijzing naar de galerie-installatiekopie in de modus Virtuele machine. Dit komt doordat hiervoor de leesmachtiging voor de galerieinstallatiekopieën is vereist en deze momenteel geen deel uitmaakt van de rol Inzender voor virtuele machines.

Oorzaak

De rol Inzender voor virtuele machines heeft niet voldoende machtigingen.

Oplossing

• Voor alle nieuwe toewijzingen wordt een recente wijziging geïntroduceerd om de rol Inzender te bieden aan de beheerde identiteit die is gemaakt tijdens beleidstoewijzing voor herstel. In de toekomst wordt dit toegewezen voor eventuele nieuwe opdrachten.
• Voor eventuele eerdere toewijzingen als u fouten ondervindt bij het oplossen van hersteltaken, raden we u aan de rol inzender handmatig toe te wijzen aan de beheerde identiteit door de stappen onder Machtigingen verlenen aan de beheerde identiteit te volgen via gedefinieerde rollen
• In scenario's waarin de rol Inzender niet werkt wanneer de gekoppelde resources (galerieafbeelding of schijf) zich in een andere resourcegroep of een ander abonnement bevinden, geeft u handmatig de beheerde identiteit met de juiste rollen en machtigingen voor het bereik op om de blokkering van herstelbewerkingen op te heffen door de stappen in Machtigingen verlenen aan de beheerde identiteit te volgen via gedefinieerde rollen.

Kan geen periodieke evaluatie genereren voor servers met Arc

Probleem

De abonnementen waarin de servers met Arc worden toegevoegd, produceren geen evaluatiegegevens.

Oplossing

Zorg ervoor dat de Arc-serversabonnementen zijn geregistreerd bij microsoft.Compute-resourceprovider, zodat de periodieke evaluatiegegevens periodiek worden gegenereerd zoals verwacht. Meer informatie

De onderhoudsconfiguratie wordt niet toegepast wanneer de VM wordt verplaatst naar een ander abonnement of een andere resourcegroep

Probleem

Wanneer een VIRTUELE machine wordt verplaatst naar een ander abonnement of een andere resourcegroep, wordt de geplande onderhoudsconfiguratie die aan de VIRTUELE machine is gekoppeld, niet uitgevoerd.

Oplossing

Het systeem biedt momenteel geen ondersteuning voor het verplaatsen van resources tussen resourcegroepen of abonnementen. Gebruik als tijdelijke oplossing de volgende stappen voor de resource die u wilt verplaatsen. Als vereiste moet u eerst de toewijzing verwijderen voordat u de stappen volgt.

Als u een static bereik gebruikt:

1. Verplaats de resource naar een andere resourcegroep of abonnement.
2. Resourcetoewijzingen opnieuw maken.

Als u een dynamic bereik gebruikt:

1. Start of wacht op de volgende geplande uitvoering. Met deze actie wordt het systeem gevraagd de toewijzing volledig te verwijderen, zodat u verder kunt gaan met de volgende stappen.
2. Verplaats de resource naar een andere resourcegroep of abonnement.
3. Resourcetoewijzingen opnieuw maken.

Als een van de stappen wordt gemist, verplaatst u de resource naar de vorige resourcegroep of abonnements-id en probeert u de stappen opnieuw.

Notitie

Als de resourcegroep wordt verwijderd, maakt u deze opnieuw met dezelfde naam. Als de abonnements-id is verwijderd, neemt u contact op met het ondersteuningsteam voor risicobeperking.

Kan de patchindelingsoptie niet wijzigen in handmatige updates van automatische updates

Probleem

De Azure-machine heeft de optie patchindeling als AutomaticByOS/Windows automatische updates en u kunt de patchindeling niet wijzigen in Handmatige updates met behulp van update-instellingen wijzigen.

Oplossing

Als u niet wilt dat een patchinstallatie wordt ingedeeld door Azure of geen aangepaste patchoplossingen gebruikt, kunt u de optie voor patchindeling wijzigen in door de klant beheerde planningen (preview) of AutomaticByPlatform en ByPassPlatformSafetyChecksOnUserSchedule geen configuratie voor planning/onderhoud koppelen aan de machine. Deze instelling zorgt ervoor dat er geen patching op de computer wordt uitgevoerd totdat u deze expliciet wijzigt. Zie Scenario 2 in Gebruikersscenario's voor meer informatie.

Machine wordt weergegeven als 'Niet geëvalueerd' en toont een HRESULT-uitzondering

Probleem

• U hebt machines die worden weergegeven als Not assessed onder Naleving en u ziet een uitzonderingsbericht eronder.
• U ziet een HRESULT foutcode in de portal.

Oorzaak

De Update-agent (Windows Update Agent in Windows en het pakketbeheer voor een Linux-distributie) is niet juist geconfigureerd. Updatebeheer is afhankelijk van de updateagent van de computer om de benodigde updates, de status van de patch en de resultaten van geïmplementeerde patches op te geven. Zonder deze informatie kan Update Manager niet goed rapporteren over de patches die nodig of geïnstalleerd zijn.

Oplossing

Voer updates lokaal uit op de computer. Als deze bewerking mislukt, betekent dit meestal dat er een updateagentconfiguratiefout is.

Dit probleem wordt vaak veroorzaakt door netwerkconfiguratie- en firewallproblemen. Gebruik de volgende controles om het probleem te verhelpen:

• Voor Linux raadpleegt u de juiste documentatie om ervoor te zorgen dat u het netwerkeindpunt van uw pakketopslagplaats kunt bereiken.

• Controleer voor Windows de configuratie van uw agent, zoals beschreven in Updates, worden niet gedownload van het intraneteindpunt (WSUS/SCCM).

  • Als de computers zijn geconfigureerd voor Windows Update moet u ervoor zorgen dat u de eindpunten kunt bereiken die worden beschreven in Problemen met betrekking tot HTTP/proxy.
  • Als de computers zijn geconfigureerd voor Windows Server Update Services (WSUS) moet u ervoor zorgen dat u de WSUS-server kunt bereiken die is geconfigureerd door de WUServer-registersleutel.

Als u een HRESULT foutcode ziet, dubbelklikt u op de uitzondering die rood wordt weergegeven om het hele uitzonderingsbericht weer te geven. Bekijk de volgende tabel voor mogelijke oplossingen of aanbevolen acties.

Uitzondering	Oplossing of actie
Exception from HRESULT: 0x……C	Zoek in de relevante foutcode in de windows Update-foutcodelijst voor meer informatie over de oorzaak van de uitzondering.
0x8024402C 0x8024401C 0x8024402F	Geeft problemen met de netwerkverbinding aan. Controleer of de computer een netwerkverbinding heeft met Updatebeheer. Zie de sectie Netwerkplanning voor een lijst met vereiste poorten en adressen.
0x8024001E	De updatebewerking is niet voltooid omdat de service of het systeem werd afgesloten.
0x8024002E	Windows Update-service is uitgeschakeld.
0x8024402C	Als u een WSUS-server gebruikt, controleert u of de registerwaarden voor WUServer en WUStatusServer onder de HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate registersleutel de juiste WSUS-server opgeven.
0x80072EE2	Er is een probleem met de netwerkverbinding of een probleem bij het praten met een geconfigureerde WSUS-server. Controleer de WSUS-instellingen en controleer of de service toegankelijk is vanaf de client.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Zorg ervoor dat de Windows Update-service (wuauserv) wordt uitgevoerd en niet is uitgeschakeld.
0x80070005	Een fout met geweigerde toegang kan worden veroorzaakt door een van de volgende problemen: - Geïnfecteerde computer. - Windows Update-instellingen zijn niet juist geconfigureerd. - Fout bij bestandsmachtiging met de %WinDir%\SoftwareDistribution map. - Onvoldoende schijfruimte op het systeemstation (station C).
Andere algemene uitzonderingen	Voer een zoekopdracht uit op internet voor mogelijke oplossingen en werk samen met uw lokale IT-ondersteuning.

U kunt ook het bestand %Windir%\Windowsupdate.log raadplegen als hulp bij het vaststellen van mogelijke oorzaken. Zie Het Windowsupdate.log-bestand lezen voor meer informatie over het lezen van het logboek.

U kunt ook de probleemoplosser voor Windows Update downloaden en uitvoeren om te controleren op eventuele problemen met Windows Update op de computer.

Notitie

De probleemoplosserdocumentatie voor Windows Update geeft aan dat het voor gebruik op Windows-clients is, maar ook werkt op Windows Server.

Bekende problemen bij het plannen van patches

• Voor een gelijktijdige of tegenstrijdige planning wordt slechts één schema geactiveerd. Het andere schema wordt geactiveerd nadat een planning is voltooid.
• Als een computer nieuw is aangemaakt, kan de planning 15 minuten vertraging met de schematrigger hebben in het geval van Azure VM’s.
• Beleidsdefinitie Terugkerende updates plannen met behulp van Azure Update Manager met versie 1.0.0-preview herstelt bronnen met succes. Deze worden echter altijd weergegeven als niet-conform. De huidige waarde van de bestaansvoorwaarde is een tijdelijke aanduiding die altijd onwaar evalueert.

Het plannen van patches mislukt met de fout 'ShutdownOrUnresponsive'

Probleem

De planning voor patchen heeft de patches niet geïnstalleerd op de VM's en geeft een foutmelding als 'ShutdownOrUnresponsive'.

Oplossing

Schema's die zijn geactiveerd op machines die zijn verwijderd en opnieuw zijn gemaakt met dezelfde bron-id binnen 8 uur, kunnen mislukken met de fout ShutdownOrUnresponsive vanwege een bekende beperking.

Kan geen patches toepassen voor de afgesloten machines

Probleem

Patches worden niet toegepast op de computers die de status afgesloten hebben. Mogelijk merkt u ook dat machines hun bijbehorende onderhoudsconfiguraties of -planningen kwijtraken.

Oorzaak

De machines hebben de status afgesloten.

Oplossing

Zorg dat uw machines ten minste 15 minuten vóór de geplande update zijn ingeschakeld. Zie Machines afsluiten voor meer informatie.

De toepassing van een patch is mislukt met de eigenschap onderhoudsvenster overschreden, waarbij de eigenschap waar wordt weergegeven, zelfs als er tijd over is

Probleem

Wanneer u een update-implementatie bekijkt in geschiedenis van updates, is de eigenschap Mislukt met overschrijding van het onderhoudsvenster waar, ook al was er nog genoeg tijd over voor de uitvoering. In dit geval is een van de volgende problemen mogelijk:

• Er worden geen updates weergegeven.
• Een of meer updates hebben de status In behandeling.
• De herstartstatus is Vereist, maar er is geen poging gedaan om opnieuw op te starten, zelfs niet wanneer de instelling voor opnieuw opstarten is geslaagd als IfRequired of Always.

Oorzaak

Tijdens een update-implementatie wordt het gebruik van onderhoudsvensters gecontroleerd bij meerdere stappen. Tien minuten van het onderhoudsvenster zijn gereserveerd om op elk moment opnieuw op te starten. Voordat de implementatie een lijst met ontbrekende updates krijgt of een update downloadt of installeert (met uitzondering van Windows-servicepack-updates), wordt gecontroleerd of er nog 15 minuten + 10 minuten zijn om opnieuw op te starten (dat wil zeggen 25 minuten over in het onderhoudsvenster).

Voor Windows servicepack-updates controleert de implementatie 20 minuten + 10 minuten om opnieuw op te starten (dus 30 minuten). Als de implementatie onvoldoende tijd over heeft, wordt de scan/download/installatie van updates overgeslagen. De implementatie wordt uitgevoerd en controleert of opnieuw opstarten nodig is en of er tien minuten overblijven in het onderhoudsvenster. Als dat zo is, wordt het opnieuw opstarten door de implementatie geactiveerd. Anders wordt het opnieuw opstarten overgeslagen.

In dergelijke gevallen wordt de status bijgewerkt naar Mislukt en wordt de eigenschap Onderhoudsvenster overschreden waar. Voor gevallen waarin de tijd minder dan 25 minuten is, worden updates niet gescand of geprobeerd om te worden geïnstalleerd.

Raadpleeg de logboeken in het bestandspad dat is opgegeven in het foutbericht van de implementatieuitvoering voor meer informatie.

Oplossing

Stel een langer tijdsbereik in voor maximale duur wanneer u een update-implementatie op aanvraag activeert om het probleem te voorkomen.

Update-extensie voor Windows/Linux-besturingssysteem is niet geïnstalleerd

Probleem

De Update-extensie voor het Windows-/Linux-besturingssysteem moet zijn geïnstalleerd op Arc-machines om evaluaties op aanvraag, patches en geplande patches uit te voeren.

Oplossing

Activeer een evaluatie op aanvraag of patching om de extensie op de computer te installeren. U kunt de machine ook koppelen aan een onderhoudsconfiguratieschema waarmee de extensie wordt geïnstalleerd wanneer patches worden uitgevoerd volgens de planning.

Als de extensie al aanwezig is op de computer, maar de extensiestatus niet is geslaagd, moet u ervoor zorgen dat u de extensie verwijdert en een bewerking op aanvraag activeert, zodat deze opnieuw wordt geïnstalleerd.

Update-extensie voor Windows-/Linux-patches is niet geïnstalleerd

Probleem

De update-extensie voor windows-/Linux-patches moet zijn geïnstalleerd op Azure-machines om evaluatie op aanvraag of patching, geplande patching en voor periodieke evaluaties uit te voeren.

Oplossing

Activeer een evaluatie op aanvraag of patching om de extensie op de computer te installeren. U kunt de machine ook koppelen aan een onderhoudsconfiguratieschema waarmee de extensie wordt geïnstalleerd wanneer patches worden uitgevoerd volgens de planning.

Als de extensie al aanwezig is op de computer, maar de extensiestatus niet is geslaagd, moet u ervoor zorgen dat u de extensie verwijdert en een bewerking op aanvraag activeert waarmee deze opnieuw wordt geïnstalleerd.

Controle uitbreidingsbewerkingen toestaan is mislukt

Probleem

De eigenschap AllowExtensionOperations is ingesteld op false in de computer OSProfile.

Oplossing

De eigenschap moet worden ingesteld op True om uitbreidingen goed te laten werken.

Sudo-bevoegdheden zijn niet aanwezig

Probleem

Sudo-bevoegdheden worden niet verleend aan de extensies voor evaluatie- of patchbewerkingen op Linux-machines.

Oplossing

Ververleent sudo-bevoegdheden om ervoor te zorgen dat de evaluatie- of patchbewerkingen slagen.

Proxy is geconfigureerd

Probleem

Proxy is geconfigureerd op Windows- of Linux-computers die de toegang tot eindpunten blokkeren die nodig zijn voor evaluatie- of patchbewerkingen om te slagen.

Oplossing

Zie problemen met betrekking tot proxy voor Windows.

Voor Linux zorgt u ervoor dat proxy-installatie de toegang tot opslagplaatsen die vereist zijn voor het downloaden en installeren van updates niet blokkeert.

TLS 1.2-controle is mislukt

Probleem

TLS 1.0 en TLS 1.1 zijn afgeschaft.

Oplossing

Gebruik TLS 1.2 of hoger.

Zie Protocollen in TLS/SSL Schannel SSP voor Windows.

Voer voor Linux de volgende opdracht uit om de ondersteunde versies van TLS voor uw distributie te bekijken. nmap --script ssl-enum-ciphers -p 443 www.azure.com

Https-verbindingscontrole is mislukt

Probleem

Https-verbinding is niet beschikbaar. Dit is vereist voor het downloaden en installeren van updates van vereiste eindpunten voor elk besturingssysteem.

Oplossing

Https-verbinding vanaf uw computer toestaan.

De MsftLinuxPatchAutoAssess-service wordt niet uitgevoerd of de tijd is niet actief

Probleem

MsftLinuxPatchAutoAssess is vereist voor succesvolle periodieke evaluaties op Linux-machines.

Oplossing

Zorg ervoor dat de LinuxPatchExtension-status voor de machine is geslaagd. Start de computer opnieuw op om te controleren of het probleem is opgelost.

Linux-opslagplaatsen zijn niet toegankelijk

Probleem

De updates worden gedownload van geconfigureerde openbare of privéopslagplaatsen voor elke Linux-distributie. De computer kan geen verbinding maken met deze opslagplaatsen om de updates te downloaden of te evalueren.

Oplossing

Zorg ervoor dat netwerkbeveiligingsregels de verbinding met vereiste opslagplaatsen niet belemmeren voor updatebewerkingen.

Volgende stappen

• Zie het overzicht voor meer informatie over UpdateBeheer.
• Zie Logboeken en resultaten van Update Manager opvragen om vastgelegde resultaten van al uw computers weer te geven.