針對 Azure 更新管理員問題進行疑難排解
本文說明部署或使用 Azure Update Manager 時可能發生的錯誤、如何解決這些錯誤,以及排程修補的已知問題和限制。
一般疑難排解
下列疑難解答步驟適用於與 Windows 和 Linux 機器上的修補程式擴充功能相關的 Azure 虛擬機(VM)。
Azure Linux VM
若要確認 Microsoft Azure 虛擬機器代理程式 (VM 代理程式) 是否正在執行,且已觸發機器上的適當動作以及自動修補要求的序號,請前往 /var/log/waagent.log 查看代理程式記錄以取得詳細資訊。 每個自動修補要求在機器上都有與其相關聯的不重複序號。 尋找類似 2021-01-20T16:57:00.607529Z INFO ExtHandler 的記錄。
延伸項目的套件目錄為 /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>。 /status 子資料夾有 <sequence number>.status 檔案。 其中包含簡短描述,說明單一自動修補要求期間所執行的動作和狀態。 其中也包含簡短清單,列出套用更新時發生的錯誤。
若要檢閱與延伸項目所執行之所有動作相關的記錄,請前往 /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/ 查看是否有更多資訊。 其中包含下列兩個感興趣的記錄檔:
<seq number>.core.log:包含與修補程式動作相關的資訊。 此資訊包括已評估並安裝在機器上的修補程式,以及過程中遇到的任何問題。<Date and Time>_<Handler action>.ext.log:修補動作上方有一個包裝函式,可用來管理延伸項目並叫用特定的修補作業。 此記錄包含包裝函式的相關資訊。 若是自動修補,此記錄<Date and Time>_Enable.ext.log具有是否叫用特定修補作業的資訊。
Azure Windows VM
若要確認 VM 代理程式是否正在執行,且已觸發機器上的適當動作以及自動修補要求的序號,請前往 C:\WindowsAzure\Logs\AggregateStatus 查看代理程式記錄以取得更多資訊。 延伸項目的套件目錄為 C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>。
若要檢閱與延伸項目所執行之所有動作相關的記錄,請前往 C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version> 查看是否有更多資訊。 其中包含下列兩個感興趣的記錄檔:
WindowsUpdateExtension.log:包含與修補程式動作相關的資訊。 此資訊包括已評估並安裝在機器上的修補程式,以及過程中遇到的任何問題。CommandExecution.log:修補動作上方有一個包裝函式,可用來管理延伸項目並叫用特定的修補作業。 此記錄包含包裝函式的相關資訊。 若是自動修補,此記錄具有是否叫用特定修補作業的資訊。
在建立期間針對特製化、已移轉和還原的 VM 使用定期評估原則時,不會正確設定定期評量
原因
定期評估不會在建立期間正確設定特製化、已移轉和還原的 VM,因為目前修改原則的設計方式。 建立后,原則會在合規性儀錶板上將這些資源顯示為不符合規範。
解決方法
執行建立后的補救工作,以補救新建立的資源。 如需詳細資訊,請參閱使用 Azure 原則 補救不符合規範的資源。
資源庫映像和具有加密磁碟之映像的原則補救工作失敗
問題
虛擬機模式中有資源庫映像參考的 VM 發生補救失敗。 這是因為它需要資源庫映像的讀取許可權,而且目前不是虛擬機參與者角色的一部分。
原因
虛擬機參與者角色沒有足夠的許可權。
解決方法
- 針對所有新的指派,引進了最近的變更,為原則指派期間建立的受控識別提供 參與者 角色以進行補救。 接下來,這將會指派給任何新的指派。
- 如果您遇到補救工作失敗的任何先前指派,建議您遵循透過已定義角色將許可權授與受控識別下 所列的步驟,手動將參與者角色指派給受控識別
- 此外,在鏈接的資源(資源庫映射或磁碟)位於另一個資源群組或訂用帳戶時,參與者角色無法運作的案例中,請遵循透過已定義角色將許可權授與受控識別中的步驟 ,手動提供受控識別的正確角色和許可權,以解除封鎖補救的範圍。
無法為已啟用 Arc 的伺服器產生定期評量
問題
已啟用 Arc 的伺服器上線的訂用帳戶不會產生評量數據。
解決方法
請確定 Arc 伺服器訂用帳戶已向 Microsoft.Compute 資源提供者註冊,以便定期產生定期評估數據,如預期般產生。 深入了解
當 VM 移至不同的訂用帳戶或資源群組時,不會套用維護設定
問題
當 VM 移至另一個訂用帳戶或資源群組時,與 VM 相關聯的排程維護組態並未執行。
解決方法
系統目前不支援跨資源群組或訂用帳戶移動資源。 因應措施是針對您想要移動的資源使用下列步驟。 作為必要條件,請先移除指派,再遵循步驟。
如果您使用 static 範圍:
- 將資源移至不同的資源群組或訂用帳戶。
- 重新建立資源指派。
如果您使用 dynamic 範圍:
- 起始或等候下一個排程的執行。 此動作會提示系統完全移除指派,以便繼續進行後續步驟。
- 將資源移至不同的資源群組或訂用帳戶。
- 重新建立資源指派。
如果遺漏任何步驟,請將資源移至先前的資源群組或訂用帳戶標識碼,然後重新嘗試步驟。
注意
如果刪除資源群組,請以相同的名稱重新建立。 如果刪除訂用帳戶標識碼,請連絡支援小組以取得風險降低。
無法將修補程式協調流程選項從自動更新變更為手動更新
問題
Azure 計算機具有修補程式協調流程選項作為AutomaticByOS/Windows自動更新,而您無法使用變更更新設定將修補程式協調流程變更為手動 更新。
解決方法
如果您不想讓 Azure 協調任何修補程式安裝,或未使用自定義修補解決方案,您可以將修補程式協調流程選項變更為 客戶管理的排程(預覽) 或 AutomaticByPlatform ,且 ByPassPlatformSafetyChecksOnUserSchedule 不會將排程/維護設定與機器產生關聯。 此設定可確保在計算機上不會執行修補,直到您明確變更它為止。 如需詳細資訊,請參閱使用者案例中的案例 2。
機器顯示為「未評估」,並顯示 HRESULT 例外狀況
問題
- 您有在 [合規性] 底下顯示為
Not assessed的電腦,並在其下方看到例外狀況訊息。 HRESULT您會在入口網站中看到錯誤碼。
原因
更新代理程式 (Windows 上的 Windows Update 代理程式和 Linux 發行版的套件管理員) 未正確設定。 更新管理員依賴計算機的更新代理程式來提供所需的更新、修補程序的狀態,以及已部署修補程序的結果。 如果沒有這項資訊,更新管理員就無法正確報告需要或安裝的修補程式。
解決方法
嘗試在電腦本機上執行更新。 如果此作業失敗,通常表示發生更新代理程式設定錯誤。
此問題通常是因為網路設定和防火牆問題所造成。 使用下列檢查來修正問題:
針對 Linux,請檢查適當的文件,確定您可以連線到套件存放庫的網路端點。
針對 Windows,請檢查您的代理程式設定,如 更新 未從內部網路端點 (WSUS/SCCM) 下載。
- 如果機器已針對 Windows Update 設定,請確保您可以連線到 HTTP/Proxy 相關問題中所述的端點。
- 如果機器針對 Windows Server Update Services (WSUS) 設定,請確保您可以連線到 WUServer 登錄機碼所設定的 WSUS 伺服器。
如果您看到 HRESULT 錯誤碼,請按兩下紅色顯示的例外狀況,以查看整個例外狀況訊息。 檢閱下表以了解可能解決方案或建議動作。
| 例外狀況 | 解決方案或動作 |
|---|---|
Exception from HRESULT: 0x……C |
在 Windows Update 錯誤碼清單中搜尋相關的錯誤碼,以尋找例外狀況原因的詳細資訊。 |
0x8024402C0x8024401C0x8024402F |
指出網路連線問題。 請確定您的電腦有網路連線能力來連線到「更新管理」。 如需必要埠和地址的清單,請參閱 網路規劃 一節。 |
0x8024001E |
更新作業未完成,因為服務或系統正在關閉。 |
0x8024002E |
Windows Update 服務已停用。 |
0x8024402C |
如果您使用 WSUS 伺服器,請確定 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate 登錄機碼底下 WUServer 和 WUStatusServer 的登錄值指定正確的 WSUS 伺服器。 |
0x80072EE2 |
與設定的 WSUS 伺服器通訊時發生網路連線問題或問題。 檢查 WSUS 設定,並確定可從用戶端存取服務。 |
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) |
請確定 Windows Update 服務正在wuauserv執行且未停用。 |
0x80070005 |
拒絕存取錯誤可能是下列任一問題所造成: - 受感染的電腦。 - 未正確設定 Windows Update 設定。 - 資料夾的 %WinDir%\SoftwareDistribution 檔案權限錯誤。- 系統磁碟驅動器上的磁碟空間不足(磁碟驅動器 C)。 |
| 任何其他一般例外狀況 | 在因特網上執行搜尋以取得可能的解決方案,並與您的本機IT支援合作。 |
檢閱 %Windir%\Windowsupdate.log 檔案也可以協助您判斷可能原因。 如需如何讀取記錄檔的詳細資訊,請參閱 讀取Windowsupdate.log檔案。
您也可以下載並執行 Windows Update 疑難解答員 ,以檢查電腦上是否有 Windows Update 的任何問題。
注意
Windows Update 疑難排解員文件指出其用於 Windows 用戶端,但是也適用於 Windows Server。
排程修補中的已知問題
- 若是並行或是有衝突的排程,只會觸發一個排程。 其他排程會在排程完成之後觸發。
- 對於 Azure VM,如果剛建立機器,則排程可能會有 15 分鐘的排程觸發程序延遲。
- 原則定義使用版本為 1.0.0-預覽版的 Azure 更新管理員安排週期性更新會成功修補資源。 不過,該定義一律會將這些資源顯示為不符合規範。 存在條件的目前值是一律評估為 false 的預留位置。
排程修補失敗,錯誤為 'ShutdownOrUnresponsive'
問題
排程修補尚未在 VM 上安裝修補程式,並提供錯誤為 『ShutdownOrUnresponsive』。
解決方法
在 8 小時內以相同資源標識碼刪除並重新建立的電腦上觸發的排程,可能會因為已知限制而發生 ShutdownOrUnresponsive 錯誤而失敗。
無法套用關機電腦的修補程式
問題
修補程式不會套用到處於關機狀態的機器。 您可能也會看到電腦遺失其相關聯的維護設定或排程。
原因
機器處於關機狀態。
解決方法
在排程更新前至少 15 分鐘,讓您的機器保持開啟狀態。 如需詳細資訊,請參閱 關閉機器。
修補程式執行失敗,維護時間範圍超過屬性,即使時間維持不變,仍會顯示 true
問題
當您在 [更新歷程記錄] 中檢視更新部署時,即使保留足夠的執行時間,[維護失敗] 視窗的屬性仍會顯示 true。 在此情況下,可能會發生下列其中一個問題:
- 不會顯示任何更新。
- 一或多個更新處於 擱置 狀態。
- 重新啟動狀態為 [必要],但即使通過重新啟動設定為
IfRequired或Always,也不會嘗試重新啟動。
原因
在更新部署期間,會在多個步驟中檢查維護時段使用率。 維護時段的十分鐘會保留隨時重新啟動。 在部署取得遺失的更新或下載或安裝任何更新清單之前(Windows Service Pack 更新除外),它會檢查重新啟動是否有 15 分鐘 + 10 分鐘(也就是維護期間還剩 25 分鐘)。
針對 Windows Service Pack 更新,部署會檢查 20 分鐘 + 10 分鐘的重新啟動時間(也就是 30 分鐘)。 如果部署還沒有足夠的時間,則會略過更新的掃描/下載/安裝。 然後,部署執行會檢查是否需要重新啟動,並在 [維護] 視窗中保留 10 分鐘。 如果有,部署會觸發重新啟動。 否則會略過重新啟動。
在這種情況下,狀態會更新為 [失敗],且 [ 維護] 窗口超過 屬性會更新為 true。 如果剩餘時間少於 25 分鐘,則不會掃描或嘗試安裝更新。
若要尋找詳細資訊,請檢閱部署執行錯誤訊息中提供的檔案路徑記錄。
解決方法
當您觸發 隨選更新部署 以協助避免問題時,請為持續時間上限設定較長的時間範圍。
下一步
- 若要深入瞭解更新管理員,請參閱概 觀。
- 若要檢視來自所有機器的記錄結果,請參閱 查詢記錄和更新管理員的結果。