Устранение известных проблем с диспетчером обновлений Azure

В этой статье описываются ошибки, которые могут возникнуть при развертывании или использовании Диспетчера обновлений Azure, их устранении и известных проблемах и ограничениях запланированного исправления.

Общие действия по устранению неполадок

Следующая информация по устранению неполадок относится к виртуальным машинам Azure, использующим расширение для установки исправлений на системах Windows и Linux.

Azure виртуальные машины

Виртуальная машина Linux

Чтобы проверить, запущен ли агент виртуальной машины Azure и активировал соответствующие действия на компьютере, а также проверить порядковый номер для автоматического запроса на обновление, проверьте журнал агента в /var/log/waagent.log. Каждый запрос автоматического исправления имеет уникальный порядковый номер, связанный с ним на компьютере. Найдите лог, подобный 2021-01-20T16:57:00.607529Z INFO ExtHandler.

Каталог пакета для расширения /var/lib/waagent/Microsoft.CPlat.Core.LinuxPatchExtension-<version>. Подпапка /status содержит файл <sequence number>.status. Он содержит краткое описание действий, выполняемых во время одного запроса на автоматическое исправление и состояния. Он также содержит краткий список ошибок, которые произошли во время обновлений.

Чтобы просмотреть журналы, связанные со всеми действиями, выполненными расширением, перейдите к разделу /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Эта папка содержит следующие файлы журналов:

• <seq number>.core.log: этот файл содержит сведения, связанные с действиями исправления. Сведения включают исправления, оцененные и установленные на компьютере, а также все проблемы, возникающие в процессе.
• <Date and Time>_<Handler action>.ext.log: оболочка над действием исправления используется для управления расширением и вызова определенной операции исправления. Этот лог содержит сведения о программе-оболочке. Для автоматического исправления файл содержит информацию о том, вызвана ли конкретная операция исправления <Date and Time>_Enable.ext.log.

виртуальная машина Windows;

Чтобы проверить, запущен ли агент виртуальной машины и выполнил необходимые действия на компьютере, а также проверить порядковый номер для запроса на автоматическую установку исправлений, проверьте журнал C:\WindowsAzure\Logs\AggregateStatus агента. Каталог пакета для расширения C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Чтобы просмотреть журналы, связанные со всеми действиями, выполненными расширением, перейдите к разделу C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Эта папка содержит следующие файлы журналов:

• WindowsUpdateExtension.log: этот файл содержит сведения, связанные с действиями исправления. Сведения включают исправления, оцененные и установленные на компьютере, а также все проблемы, возникающие в процессе.
• CommandExecution.log: оболочка над действием исправления используется для управления расширением и вызова определенной операции исправления. Этот лог содержит сведения о программе-оболочке. Для автоматического исправления журнал содержит сведения о том, была ли вызвана конкретная операция исправления.

Серверы с поддержкой Azure Arc

Сведения об устранении неполадок с серверами с поддержкой Azure Arc см. в статье Устранение неполадок с расширениями виртуальных машин.

Чтобы просмотреть журналы, связанные со всеми действиями, выполненными расширением, в Windows перейдите в раздел C:\ProgramData\GuestConfig\extension_logs\Microsoft.SoftwareUpdateManagement.WindowsOsUpdateExtension. Эта папка содержит следующие файлы журналов:

• WindowsUpdateExtension.log: этот файл содержит сведения, связанные с действиями исправления. Сведения включают исправления, оцененные и установленные на компьютере, а также все проблемы, возникающие в процессе.
• cmd_execution_<numeric>_stdout.txt: оболочка над действием исправления используется для управления расширением и вызова определенной операции исправления. Этот лог содержит сведения о программе-оболочке. Для автоматического исправления журнал содержит сведения о том, была ли вызвана конкретная операция исправления.
• cmd_execution_<numeric>_stderr.txt.

Периодическая оценка не установлена корректно

Проблема

Периодическая оценка не устанавливается правильно во время создания ресурсов для специализированных, мигрированных и восстановленных виртуальных машин.

Причина

Проектирование текущей политики изменения влияет на оценку. После создания ресурса политика отображает эти ресурсы как не соответствующие требованиям на панели мониторинга соответствия требованиям.

Решение

Запустите задачу исправления для недавно созданных ресурсов. Дополнительные сведения см. в статье "Исправление несоответствующих ресурсов с помощью политики Azure".

Предварительные требования для запланированного исправления не заданы правильно

Проблема

При использовании планирования повторяющихся обновлений с помощью Диспетчера обновлений Azure и установки необходимых условий для планирования повторяющихся обновлений на виртуальных машинах Azure во время создания ресурсов для специализированных, обобщенных, перенесенных и восстановленных виртуальных машин:

• Предварительные требования для запланированного исправления не заданы правильно.
• Расписания не присоединены.

Причина

Конструкция политики Развертывание, если не существует влияет на запланированный патчинг. После создания ресурса политика отображает эти ресурсы как не соответствующие требованиям на панели мониторинга соответствия требованиям.

Решение

Запустите задачу исправления для только что созданных ресурсов. Дополнительные сведения см. в статье "Исправление несоответствующих ресурсов с помощью политики Azure".

Задачи по исправлению политик завершаются сбоем для изображений

Проблема

Задачи по исправлению политик завершаются сбоем для образов коллекции и образов с зашифрованными дисками. Существуют сбои исправления для виртуальных машин, имеющих ссылку на образ галереи в режиме виртуальных машин. Управляемое удостоверение требует разрешения на чтение образа галереи, и в настоящее время оно не входит в роль участника виртуальной машины.

Причина

Роль «Virtual Machine Contributor» не имеет достаточных разрешений.

Решение

Для всех новых назначений последнее изменение предоставляет роль участника созданному управляемому удостоверению для задач исправления.

Если у вас возникает ошибка исправительных действий для предыдущих назначений, рекомендуется вручную предоставить роль участника управляемой сущности, выполнив действия, описанные в разделе "Предоставление разрешений управляемой сущности через определенные роли".

В сценариях, когда роль участника не работает, если связанные ресурсы (образ коллекции или диск) находятся в другой группе ресурсов или подписке, вручную предоставьте управляемому удостоверению нужные роли и разрешения на область для разблокировки исправлений. Выполните действия, описанные в разделе "Предоставление разрешений для управляемого удостоверения" с помощью определенных ролей.

Невозможно создать периодическую оценку для серверов с поддержкой Azure Arc

Проблема

Подписки, в которых подключены серверы с поддержкой Azure Arc, не создают данные оценки.

Причина

Подписки не зарегистрированы в правильном поставщике ресурсов.

Решение

Убедитесь, что подписки серверов с поддержкой Azure Arc зарегистрированы в поставщике ресурсов Microsoft.Compute, чтобы данные оценки генерировались периодически в соответствии с ожидаемым. Подробнее.

Конфигурация обслуживания не применяется при перемещении виртуальной машины

Проблема

При перемещении виртуальной машины в другую подписку или группу ресурсов конфигурация запланированного обслуживания, связанная с виртуальной машиной, не выполняется.

Причина

Конфигурации обслуживания в настоящее время не поддерживают перемещение назначенных ресурсов между группами ресурсов или подписками.

Решение

В качестве обходного решения выполните следующие действия для ресурса, который требуется переместить.

Если вы используете static область видимости:

1. Удалите назначение ресурсов.
2. Переместите ресурсы в другую группу ресурсов или подписку.
3. Повторно создайте назначение ресурсов.

Если вы используете dynamic область видимости:

1. Инициируйте или дождитесь следующего запланированного запуска. Это действие предложит системе полностью удалить назначение, чтобы продолжить следующие действия.
2. Переместите ресурсы в другую группу ресурсов или подписку.
3. Повторно создайте назначение ресурсов.

Если вы пропустите какие-либо шаги, переместите ресурс в предыдущую группу ресурсов или идентификатор подписки, а затем повторите шаги.

Примечание.

Если группа ресурсов удалена, повторно создайте ее с тем же именем. Если идентификатор подписки удален, обратитесь в службу поддержки для устранения рисков.

Невозможно изменить управление исправлениями с автоматического на ручное

Проблема

Необходимо убедиться, что клиент Центра обновления Windows не установит исправления в экземпляре Windows Server, поэтому необходимо установить параметр исправления вручную. Но вы не можете изменить оркестровку исправлений на ручное обновление, используя Изменить параметры обновления.

Причина

Компьютер Azure имеет параметр оркестрации исправлений в качестве AutomaticByOS/Windows автоматических обновлений.

Решение

Если вы не хотите, чтобы Azure управляла установкой исправлений или если вы не используете пользовательские решения для исправлений, можно изменить параметр оркестрации исправлений на "Управляемые клиентом расписания (предварительная версия)" (или AutomaticByPlatform, ByPassPlatformSafetyChecksOnUserSchedule) и не привязывать к компьютеру расписание или конфигурацию обслуживания. Этот параметр гарантирует, что на компьютере не выполняется исправление, пока не измените его явным образом.

Машина не проверена и показывает исключение HRESULT

Проблема

У вас есть компьютеры, которые отображаются как не оцененные в соответствии требованиям, и вы увидите сообщение об исключении под ними. Кроме того, на портале отображается HRESULT код ошибки.

Причина

Агент обновления (агент центра обновления Windows в Windows и диспетчер пакетов для дистрибутива Linux) не настроен правильно. Диспетчер обновлений зависит от агента обновлений компьютера для предоставления необходимых обновлений, статуса исправления и результатов установленных исправлений. Без этой информации Диспетчер обновлений не сможет должным образом предоставлять отчеты об исправлениях, которые требуется установить или которые уже установлены.

Решение

Попробуйте выполнить обновления на компьютере локально. Если эта операция завершается ошибкой, обычно это означает, что для агента обновления возникает ошибка конфигурации. Чтобы устранить проблему, выполните следующие действия.

• Для Linux проверьте соответствующую документацию, чтобы убедиться, что вы можете получить доступ к сетевой конечной точке репозитория пакетов.

• Для Windows проверьте конфигурацию агента, как описано в Обновления не загружаются из конечной точки интрасети (WSUS или Configuration Manager):

  • Если для компьютеров настроено использование Центра обновления Windows, убедитесь, что вы можете обратиться к конечным точкам, как описано в разделе Проблемы с HTTP-трафиком и прокси-сервером.
  • Если для компьютеров настроено использование Windows Server Update Services (WSUS), убедитесь, что вы можете подключиться к серверу WSUS, настроенному с помощью раздела реестра WUServer.

Если отображается код ошибки, дважды щелкните исключение, отображаемое красным цветом HRESULT , чтобы увидеть все сообщение об исключении. Ознакомьтесь со следующей таблицей потенциальных решений или рекомендуемых действий.

Исключение	Решение или действие
Exception from HRESULT: 0x……C	Найдите соответствующий код ошибки в списке кодов ошибок обновления Windows, чтобы найти подробную информацию о причине создания исключения.
0x8024402C 0x8024401C 0x8024402F	Это исключение указывает на проблемы с сетевым подключением. Убедитесь, что компьютер имеет сетевое подключение к Update Manager. Список необходимых портов и адресов см. в разделе "Планирование сети".
0x8024001E	Операция обновления не завершена, так как служба или система завершали работу. Повторите операцию.
0x8024002E	Служба центра обновления Windows отключена. Включите службу.
0x8024402C	Если вы используете сервер WSUS, убедитесь, что значения реестра для WUServer и WUStatusServer в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate разделе реестра указывают правильный сервер WSUS.
0x80072EE2	Возникла проблема с сетевым подключением или проблема при взаимодействии с настроенным сервером WSUS. Проверьте параметры WSUS и убедитесь, что служба доступна от клиента.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Убедитесь, что служба центра обновления Windows (wuauserv) запущена и не отключена.
0x80070005	Любая из следующих проблем может вызвать ошибку "отказано в доступе": — зараженный компьютер; — параметры Центра обновления Windows настроены неправильно; — Ошибка прав доступа к папке %WinDir%\SoftwareDistribution. Недостаточно места на системном диске (C).
Другое универсальное исключение	Выполните поиск в Интернете, чтобы решить возможные проблемы, и обратитесь к вашей локальной ИТ-поддержке.

Просмотр файла %Windir%\Windowsupdate.log также может помочь определить возможные причины. Дополнительные сведения о том, как считывать журнал, см. в разделе "Файлы журнала Центра обновления Windows".

Вы можете также скачать и запустить инструмент устранения неполадок Центра обновления Windows для проверки возможных проблем с Центром обновления Windows на компьютере. Средство устранения неполадок работает как на клиентах Windows, так и в Windows Server.

Вы получите внутреннюю ошибку выполнения

Проблема

Диспетчер обновлений не исправит виртуальную машину и выдает внутреннюю ошибку выполнения. Операция не возвращает ответ и может быть незавершённой.

Причина

Эта проблема может возникать из-за временной проблемы или сбоя связи между Диспетчером обновлений и виртуальной машиной. Наиболее вероятные причины:

• Проблема с временной платформой или серверной службой.
• Неответственный или устаревший агент виртуальной машины Azure.
• Виртуальная машина под тяжелой нагрузкой или перезагрузкой во время операции.
• Проблема с сетью или подключением.

Решение

• Повторите обновление через несколько минут.
• Убедитесь, что агент виртуальной машины работоспособен и обновлен.
• Если состояние агента отображается не готово, попробуйте перезагрузить виртуальную машину.
• Проверьте использование ресурсов виртуальной машины (ЦП, память, диск). При необходимости перезагрузите.
• Проверьте сетевое подключение к службам Azure.
• Дополнительные сведения см. в журналах виртуальной машины и диспетчера обновлений.

Запланированное исправление не работает

В случае параллельных или конфликтующих расписаний активируется только одно расписание. Другое расписание активируется после завершения первого расписания.

Если машина новосозданная, расписание может содержать 15 минут задержки триггера в случае виртуальных машин Azure.

Вы получаете ошибку ShutdownOrUnresponsive (Выключение или Неполадка в Ответе)

Проблема

Запланированное исправление не устанавливает исправления на виртуальных машинах и выдает ошибку ShutdownOrUnresponsive .

Причина

Известное ограничение может привести к сбою расписаний, запущенных на компьютерах, удаленных и повторно созданных с тем же идентификатором ресурса в течение 8 часов.

Решение

Проблема не возникает после 8-часового периода.

Невозможно применить исправления для выключенных компьютеров.

Проблема

Исправления не применяются для компьютеров, которые находятся в состоянии завершения работы. Вы также можете столкнуться с тем, что компьютеры "теряют" связанные с ними конфигурации обслуживания или расписания.

Причина

Машины находятся в состоянии выключения.

Решение

Убедитесь, что компьютеры включены по крайней мере через 15 минут до запланированного обновления. Дополнительные сведения см. в разделе "Завершение работы компьютеров".

Журнал обновлений неточно показывает, что превышен период обслуживания

Проблема

При просмотре развертывания обновлений в Журнале обновлений свойство Неудача из-за превышенного времени обслуживания имеет значение true, даже если для выполнения оставалось достаточно времени. В этом случае возможна одна из следующих проблем:

• Обновления не отображаются.
• Одно или несколько обновлений находятся в состоянии Ожидание.
• Состояние перезагрузки является обязательным, но перезагрузка не была предпринята, даже если параметр перезагрузки был IfRequired или Always.

Причина

Во время развертывания обновления использование периода обслуживания проверяется на нескольких шагах. Десять минут периода обслуживания зарезервированы для перезагрузки в любой момент.

Прежде чем развертывание получает список отсутствующих обновлений или скачивает или устанавливает обновление, проверяет, остается ли достаточно времени в окне обслуживания:

• Все обновления, кроме пакета обновления Windows: 15 минут + 10 минут для перезагрузки, в течение 25 минут.
• Обновления пакета обновлений Windows: 20 минут + 10 минут на перезагрузку, всего 30 минут.

Если у развертывания недостаточно времени, он пропускает сканирование, скачивание и установку обновлений. Затем процесс развертывания проверяет, требуется ли перезагрузка, и остаётся ли 10 минут до завершения окна обслуживания. В этом случае развертывание активирует перезагрузку. В противном случае перезагрузка пропускается.

В таких случаях состояние обновляется до значения Сбой, а свойство Превышена длительность периода обслуживания — до true. В случаях, когда осталось менее 25 минут, система не проверяет наличие обновлений и не пытается выполнить установку.

Чтобы найти дополнительные сведения, просмотрите журналы в пути файла, указанного в сообщении об ошибке при выполнении развертывания.

Решение

Задайте более длинный диапазон времени для максимальной длительности при запуске развертывания обновления по запросу.

Расширение обновления ОС Windows/Linux не установлено

Проблема

Вы не можете выполнять исправление на компьютерах с поддержкой Azure Arc.

Причина

Расширение обновления ОС Windows/Linux должно быть успешно установлено на компьютерах с поддержкой Azure Arc для выполнения оценки по запросу, исправления и запланированного исправления.

Решение

Запустите проверку по запросу или обновление, чтобы установить расширение на компьютере. Вы также можете подключить машину к расписанию конфигурации обслуживания, которое установит расширение в рамках обновлений в соответствии с расписанием.

Если расширение уже присутствует на компьютере с поддержкой Azure Arc, но состояние расширения не выполнено, удалите расширение и активируйте операцию по запросу, чтобы переустановить ее.

Расширение для обновления исправлений на Windows и Linux не установлено

Проблема

Невозможно выполнить исправление на виртуальных машинах Azure.

Причина

Расширение обновления исправлений Windows/Linux должно быть успешно установлено на компьютерах Azure, чтобы выполнять оценку по запросу, запланированное исправление и периодические оценки.

Решение

Запустите проверку по запросу или обновление, чтобы установить расширение на компьютере. Вы также можете подключить устройство к расписанию конфигурации обслуживания, согласно которому расширение будет устанавливаться при установке обновлений.

Если расширение уже присутствует на компьютере, но состояние расширения не имеет статус Успешно, удалите расширение и запустите запрашиваемую операцию, чтобы переустановить его.

Сбой проверки расширения

Проблема

Проверка правильности задания свойства AllowExtensionOperations не удалась.

Причина

Свойство AllowExtensionOperations задано false в машинном интерфейсе OSProfile.

Решение

Чтобы разрешить правильное работу расширений, задайте для свойства значение true.

Привилегии Sudo отсутствуют

Проблема

Может появиться следующее исключение:

EXCEPTION: Exception('Unable to invoke sudo successfully. Output: root is not in the sudoers file. This incident will be reported. False ',)

Причина

Привилегии "Sudo" не предоставляются расширениям для оценки или установки обновлений на компьютерах Linux.

Диспетчер обновлений требует высокого уровня разрешений из-за множества компонентов, которые могут быть обновлены с помощью Диспетчера обновлений (включая драйверы ядра и исправление безопасности ОС). Расширения Диспетчера обновлений используют root учетную запись для операций.

Решение

Предоставьте привилегии sudo, чтобы убедиться, что операции оценки или исправления выполнены успешно. В файл необходимо добавить корневую /etc/sudoers учетную запись:

1. sudoers Откройте файл для редактирования:

   sudo visudo
   

2. Добавьте следующую запись в конец файла sudoers:

   root ALL=(ALL) ALL
   

3. Сохраните и закройте редактор с помощью сочетания клавиш CTRL+X . Если вы используете редактор vi , можно ввести :wq и выбрать клавишу ВВОД .

Прокси-сервер настроен

Проблема

Прокси-сервер блокирует доступ к конечным точкам, необходимым для выполнения операций оценки или исправления.

Причина

Прокси-сервер настраивается на компьютерах Windows или Linux.

Решение

Сведения о Windows см. в разделе "Проблемы, связанные с HTTP/Proxy".

Для Linux убедитесь, что настройка прокси-сервера не блокирует доступ к репозиториям, необходимым для скачивания и установки обновлений.

Проверка TLS 1.2 завершается ошибкой

Проблема

Проверка, подтверждающая, что вы используете TLS 1.2, не пройдена.

Причина

Вы используете TLS 1.0 или TLS 1.1. Эти версии устарели.

Решение

Используйте TLS 1.2 или более поздней версии.

См. Протоколы в TLS/SSL (Schannel SSP) для Windows.

Для Linux выполните следующую команду, чтобы просмотреть поддерживаемые версии TLS для дистрибутива: nmap --script ssl-enum-ciphers -p 443 www.azure.com

Проверка подключения HTTPS завершается ошибкой

Проблема

Проверка доступности подключения HTTPS завершается ошибкой.

Причина

Подключение HTTPS недоступно. Это подключение необходимо для скачивания и установки обновлений из необходимых конечных точек для каждой операционной системы.

Решение

Разрешить подключение HTTPS с компьютера.

Служба MsftLinuxPatchAutoAssess не запущена или завершает работу по истечении времени ожидания.

Проблема

Периодические проверки не работают на компьютерах Linux.

Причина

Для успешной периодической оценки требуется служба MsftLinuxPatchAutoAssess .

Решение

Убедитесь, что состояние LinuxPatchExtension должно быть succeeded для машины. Перезагрузите компьютер, чтобы проверить, устранена ли проблема.

Репозитории Linux недоступны

Проблема

Обновления загружаются из настроенных общедоступных или частных репозиториев для каждого дистрибутива Linux. Компьютер не может подключиться к этим репозиториям, чтобы скачать или оценить обновления.

Причина

Правила безопасности сети могут блокировать важные подключения.

Решение

Убедитесь, что правила безопасности сети не препятствуют подключениям компьютера к необходимым репозиториям для операций обновления.

Связанный контент

• Дополнительные сведения о диспетчере обновлений см. в обзоре.
• Сведения о просмотре зарегистрированных результатов со всех компьютеров см. в статье "Доступ к данным операций Диспетчера обновлений Azure" с помощью Azure Resource Graph.