Řešení potíží s řešením Azure Update Manager

Tento článek popisuje chyby, ke kterým může dojít při nasazování nebo používání Azure Update Manageru, jejich řešení a známých problémů a omezení plánovaných oprav.

Obecné řešení potíží

Následující kroky pro řešení potíží platí pro virtuální počítače Azure související s rozšířením oprav na počítačích s Windows a Linuxem.

Azure Virtual Machines

Virtuální počítač Azure s Linuxem

Pokud chcete ověřit, jestli je agent virtuálního počítače Microsoft Azure spuštěný a aktivoval na počítači příslušné akce a pořadové číslo žádosti o automatickou synchronizaci, vyhledejte další informace v protokolu agenta v části /var/log/waagent.log. Každý požadavek automatické opravy má na počítači přiřazené jedinečné pořadové číslo. Vyhledejte protokol podobný 2021-01-20T16:57:00.607529Z INFO ExtHandler.

Adresář balíčku pro rozšíření je /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>. Podsložka /status obsahuje soubor <sequence number>.status. Obsahuje stručný popis akcí provedených během jednoho požadavku automatické opravy a stavu. Obsahuje také krátký seznam chyb, ke kterým došlo při instalaci aktualizací.

Pokud chcete zkontrolovat protokoly související se všemi akcemi provedenými rozšířením, vyhledejte další informace v tématu /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Obsahuje následující dva soubory protokolů, které jsou zajímavé:

• <seq number>.core.log: Obsahuje informace související s akcemi oprav. Tyto informace zahrnují opravy vyhodnocené a nainstalované na počítači a všechny problémy, ke kterým během procesu došlo.
• <Date and Time>_<Handler action>.ext.log: Nad akcí opravy je obálka, která slouží ke správě rozšíření a vyvolání konkrétní operace opravy. Tento protokol obsahuje informace o obálce. Protokol <Date and Time>_Enable.ext.log obsahuje informace o tom, jestli byla vyvolána konkrétní operace automatické opravy.

Virtuální počítač Azure s Windows

Pokud chcete ověřit, jestli je agent virtuálního počítače spuštěný a aktivoval na počítači příslušné akce a pořadové číslo žádosti o automatickou synchronizaci, vyhledejte další informace v protokolu agenta v části C:\WindowsAzure\Logs\AggregateStatus. Adresář balíčku pro rozšíření je C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Pokud chcete zkontrolovat protokoly související se všemi akcemi provedenými rozšířením, vyhledejte další informace v tématu C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Obsahuje následující dva soubory protokolů, které jsou zajímavé:

• WindowsUpdateExtension.log: Obsahuje informace související s akcemi oprav. Tyto informace zahrnují opravy vyhodnocené a nainstalované na počítači a všechny problémy, ke kterým během procesu došlo.
• CommandExecution.log: Nad akcí opravy je obálka, která slouží ke správě rozšíření a vyvolání konkrétní operace opravy. Tento protokol obsahuje informace o obálce. Protokol obsahuje informace o tom, jestli byla vyvolána konkrétní operace automatické opravy.

Servery s podporou arc

Informace o serverech s podporou Azure Arc najdete v tématu Řešení potíží s rozšířeními virtuálních počítačů, které obsahuje obecné kroky pro řešení potíží.

Pokud chcete zkontrolovat protokoly související se všemi akcemi provedenými rozšířením ve Windows, vyhledejte další informace v tématu C:\ProgramData\GuestConfig\extension_Logs\Microsoft.SoftwareUpdateManagement\WindowsOsUpdateExtension. Obsahuje následující dva soubory protokolů, které jsou zajímavé:

• WindowsUpdateExtension.log: Obsahuje informace související s akcemi oprav. Tyto informace zahrnují opravy vyhodnocené a nainstalované na počítači a všechny problémy, ke kterým během procesu došlo.
• cmd_execution_<numeric>_stdout.txt: Nad akcí opravy je obálka. Slouží ke správě rozšíření a vyvolání konkrétní operace opravy. Tento protokol obsahuje informace o obálce. Protokol obsahuje informace o tom, jestli byla vyvolána konkrétní operace automatické opravy.
• cmd_execution_<numeric>_stderr.txt

Pravidelné posouzení se nenastavuje správně, když se zásady pravidelného posouzení použijí při vytváření specializovaných, migrovaných a obnovených virtuálních počítačů

Příčina

Pravidelné posouzení se během vytváření specializovaných, migrovaných a obnovených virtuálních počítačů správně nenastavuje kvůli způsobu, jakým je navržená aktuální zásada úprav. Po vytvoření se v zásadách tyto prostředky zobrazí jako nevyhovující na řídicím panelu dodržování předpisů.

Rozlišení

Spusťte úlohu nápravy po vytvoření, abyste napravili nově vytvořené prostředky. Další informace najdete v tématu Náprava nevyhovujících prostředků pomocí Azure Policy.

Předpoklad pro plánované opravy není správně nastavený a plány nejsou připojené při využívání konkrétních zásad během vytváření specializovaných, generalizovaných, migrovaných a obnovených virtuálních počítačů.

Příčina

Předpoklad pro plánované opravy a připojování plánů se nenastavuje správně při používání opakovaných aktualizací plánu pomocí Azure Update Manageru a nastavení předpokladu pro plánování opakovaných aktualizací na virtuálních počítačích Azure během vytváření pro specializované, generalizované, migrované a obnovené virtuální počítače kvůli způsobu, jakým je navržena aktuální zásada Nasazení, pokud neexistuje. Po vytvoření se v zásadách tyto prostředky zobrazí jako nevyhovující na řídicím panelu dodržování předpisů.

Rozlišení

Spusťte úlohu nápravy po vytvoření, abyste napravili nově vytvořené prostředky. Další informace najdete v tématu Náprava nevyhovujících prostředků pomocí Azure Policy.

Úlohy nápravy zásad selhávají u imagí galerie a imagí se šifrovanými disky

Problém

U virtuálních počítačů, které mají odkaz na image galerie v režimu virtuálního počítače, dochází k chybám. Důvodem je to, že vyžaduje oprávnění ke čtení image galerie a aktuálně není součástí role Přispěvatel virtuálních počítačů.

Příčina

Role Přispěvatel virtuálních počítačů nemá dostatečná oprávnění.

Rozlišení

• Pro všechna nová přiřazení se zavádí nedávná změna, která poskytuje roli Přispěvatel spravované identitě vytvořené během přiřazení zásad pro nápravu. V budoucnu se tato možnost přiřadí všem novým přiřazením.
• U všech předchozích přiřazení, pokud dochází k selhání úloh nápravy, doporučujeme ručně přiřadit roli přispěvatele spravované identitě pomocí kroků uvedených v části Udělení oprávnění spravované identitě prostřednictvím definovaných rolí.
• V situacích, kdy role Přispěvatel nefunguje, když jsou propojené prostředky (image galerie nebo disk) v jiné skupině prostředků nebo předplatném, ručně poskytněte spravovanou identitu správným rolím a oprávněním v oboru, aby bylo možné odblokovat nápravy pomocí kroků v části Udělení oprávnění spravované identitě prostřednictvím definovaných rolí.

Pro servery s podporou Arc nejde vygenerovat pravidelné hodnocení

Problém

Odběry, ve kterých jsou servery s podporou technologie Arc zapojeny, nevytvářejí data hodnocení.

Rozlišení

Ujistěte se, že jsou předplatná serverů Arc zaregistrovaná u poskytovatele prostředků Microsoft.Compute, aby se pravidelně generovala data hodnocení podle očekávání. Další informace

Konfigurace údržby se nepoužije, když se virtuální počítač přesune do jiného předplatného nebo skupiny prostředků.

Problém

Když se virtuální počítač přesune do jiného předplatného nebo skupiny prostředků, konfigurace plánované údržby přidružená k virtuálnímu počítači není spuštěná.

Rozlišení

Konfigurace údržby v současné době nepodporují přesun přiřazených prostředků mezi skupinami prostředků nebo předplatnými. Jako alternativní řešení použijte pro prostředek, který chcete přesunout, následující kroky. Jako předpoklad nejprve odeberte přiřazení před provedením kroků.

Pokud používáte static obor:

1. Přesuňte prostředek do jiného předplatného nebo jiné skupiny prostředků
2. Vytvořte znovu přiřazení zdrojů.

Pokud používáte dynamic obor:

1. Zahajte nebo počkejte na další naplánované spuštění. Tato akce vyzve systém k úplnému odebrání přiřazení, abyste mohli pokračovat v dalších krocích.
2. Přesuňte prostředek do jiného předplatného nebo jiné skupiny prostředků
3. Vytvořte znovu přiřazení zdrojů.

Pokud některý z kroků vynecháte, přesuňte prostředek do předchozí skupiny prostředků nebo ID předplatného a znovu proveďte kroky.

Poznámka:

Pokud se skupina prostředků odstraní, vytvořte ji znovu se stejným názvem. Pokud je ID předplatného odstraněné, spojte se s týmem podpory, který se má zmírnit.

Nelze změnit možnost orchestrace oprav na ruční aktualizace z automatických aktualizací.

Problém

Chcete zajistit, aby klient služba Windows Update nenainstalovat opravy na Windows Server, takže chcete nastavit nastavení opravy na Ruční. Počítač Azure má možnost orchestrace oprav jako AutomaticByOS/Windows automatické aktualizace a nemůžete změnit orchestraci oprav na ruční aktualizace pomocí nastavení změnit aktualizaci.

Rozlišení

Pokud nechcete, aby byla žádná instalace oprav orchestrována v Azure nebo nepoužíváte vlastní řešení oprav, můžete změnit možnost orchestrace oprav na plány spravované zákazníkem (Preview) nebo AutomaticByPlatform nepřidružit ByPassPlatformSafetyChecksOnUserSchedule konfiguraci plánu a údržby k počítači. Toto nastavení zajistí, že se na počítači neprovádí žádné opravy, dokud ho explicitně nezměníte. Další informace naleznete v tématu Scénář 2 ve scénářích uživatele.

Počítač se zobrazuje jako „neposouzený“ s výjimkou na základě hodnoty HRESULT

Problém

• Máte počítače, které se zobrazují jako Not assessed v části Dodržování předpisů, a pod nimi se zobrazí zpráva o výjimce.
• Na HRESULT portálu se zobrazí kód chyby.

Příčina

Agent aktualizace (služba Windows Update Agent ve Windows a správce balíčků pro distribuci Linuxu) není správně nakonfigurovaný. Správce aktualizací spoléhá na agenta aktualizace počítače k poskytování potřebných aktualizací, stavu opravy a výsledků nasazených oprav. Bez těchto informací nemůže Správce aktualizací správně informovat o potřebných nebo nainstalovaných opravách.

Rozlišení

Zkuste provést aktualizace místně na počítači. Pokud tato operace selhává, obvykle to znamená, že došlo k chybě konfigurace agenta pro aktualizace.

Příčinou tohoto problému jsou často potíže s konfigurací sítě a bránou firewall. K vyřešení problému použijte následující kontroly:

• V případě Linuxu si projděte příslušnou dokumentaci a ujistěte se, že se můžete připojit k síťovému koncovému bodu úložiště balíčků.

• V případě Windows zkontrolujte konfiguraci agenta, jak je popsáno v tématu věnovaném situaci, kdy se aktualizace nestahují z intranetového koncového bodu (WSUS/SCCM).

  • Pokud jsou počítače nakonfigurované pro službu Windows Update, ujistěte se, že se můžete připojit ke koncovým bodům, jak je popsáno v tématu věnovaném problémům souvisejícím s HTTP / proxy serverem.
  • Pokud jsou počítače nakonfigurované pro Windows Server Update Services (WSUS), ujistěte se, že se můžete připojit k serveru WSUS nakonfigurovanému klíčem registru WUServer.

Pokud se zobrazí HRESULT kód chyby, poklikejte na výjimku zobrazenou červeně, aby se zobrazila celá zpráva o výjimce. V následující tabulce najdete potenciální řešení nebo doporučené akce.

Výjimka	Řešení nebo akce
Exception from HRESULT: 0x……C	Vyhledejte příslušný kód chyby v seznamu kódů chyb Windows Update, kde najdete další podrobnosti o příčině této výjimky.
0x8024402C 0x8024401C 0x8024402F	Označuje problémy se síťovým připojením. Ujistěte se, že váš počítač má síťové připojení k Update Managementu. Seznam požadovaných portů a adres najdete v části Plánování sítě.
0x8024001E	Operace aktualizace nebyla dokončena kvůli vypínání služby nebo systému.
0x8024002E	Služba Windows Update je zakázaná.
0x8024402C	Pokud používáte server WSUS, ujistěte se, že hodnoty registru WUServer a WUStatusServer v klíči registru HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate obsahují správný server WSUS.
0x80072EE2	Dochází k problému se síťovým připojením nebo problému s komunikací s nakonfigurovaným serverem WSUS. Zkontrolujte nastavení WSUS a ujistěte se, že k klient má k této službě přístup.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Ujistěte se, že je služba služba Windows Update (wuauserv) spuštěná a není zakázaná.
0x80070005	Chyba odepření přístupu může být způsobena některou z následujících problémů: - Infikovaný počítač. - Nesprávná konfigurace nastavení služby Windows Update. – Chyba oprávnění k souboru se složkou %WinDir%\SoftwareDistribution . - Nedostatek místa na disku na systémové jednotce (C:).
Jakákoli jiná obecná výjimka	Vyhledejte možná řešení na internetu a spolupracujte s místní podporou IT.

S určením možných příčin vám může pomoci také kontrola souboru %Windir%\Windowsupdate.log. Další informace o tom, jak číst protokol, najdete v části Jak číst soubor Windowsupdate.log.

Můžete si také stáhnout a spustit poradce při potížích se službou Windows Update a zkontrolovat v počítači případné problémy s touto službou.

Poznámka:

Dokumentace k služba Windows Update poradce při potížích indikuje, že se používá na klientech s Windows, ale funguje také na Windows Serveru.

Známé problémy s plánovanými opravami

• V případě souběžných nebo konfliktních plánů se aktivuje jenom jeden plán. Druhý plán se aktivuje po dokončení prvního plánu.
• Pokud je počítač nově vytvořený, aktivace plánu v případě virtuálních počítačů Azure může mít 15 minut zpoždění.

Naplánované opravy se nezdaří s chybou ShutdownOrUnresponsive

Problém

Naplánované opravy nenainstalovali na virtuální počítače a zobrazí se chyba "ShutdownOrUnresponsive".

Rozlišení

Plány aktivované na počítačích odstraněných a do 8 hodin znovu vytvořených se stejným ID prostředku můžou selhat s chybou ShutdownOrUnresponsive kvůli známému omezení.

Nejde použít opravy pro vypnuté počítače

Problém

Na počítače, které jsou ve stavu vypnutí, se neaplikují opravy. Může se také stát, že počítače ztratí přidružené konfigurace nebo plány údržby.

Příčina

Počítače jsou ve stavu vypnutí.

Rozlišení

Ujistěte se, že jsou počítače zapnuté alespoň 15 minut před plánovanou aktualizací. Další informace najdete v tématu Vypnuté počítače.

Spuštění opravy selhalo s vlastností překročení časového intervalu údržby, která zobrazuje hodnotu True, i když ještě zbývá čas

Problém

Při zobrazení nasazení aktualizace v Historii aktualizací se vlastnost Neúspěšné s překročením okna údržby zobrazuje jako pravda, přestože na provedení zbývalo dost času. V tomto případě je možné, že nastal některý z následujících problémů:

• Nezobrazují se žádné aktualizace.
• Jedna nebo více aktualizací je ve stavu Čeká na vyřízení.
• Stav restartování je povinný, ale nebyl učiněn pokus o restartování, i když bylo zadáno nastavení restartování IfRequired nebo Always.

Příčina

Během nasazení aktualizace se využití časového období Údržby kontroluje v několika krocích. 10 minut časového období Údržby je vyhrazeno pro restartování v libovolném bodě. Než nasazení získá seznam chybějících aktualizací nebo stáhne či nainstaluje jakoukoli aktualizaci (kromě aktualizací servisních balíčků systému Windows), zkontroluje, zda zbývá 15 minut + 10 minut na restart (tj. 25 minut v okně Údržba).

U aktualizací Service Pack systému Windows se nasazení kontroluje 20 minut + 10 minut na restart (tj. 30 minut). Pokud na nasazení nezbývá dostatek času, skenování/stahování/instalace aktualizací se přeskočí. Spuštění nasazení pak zkontroluje, zda je nutný restart a zda zbývá 10 minut do konce okna Údržba. Pokud ano, nasazení vyvolá restartování. Jinak se restartování přeskočí.

V takových případech se stav aktualizuje na Neúspěšný a vlastnost Překročeno okno údržby se aktualizuje na hodnotu true. V případech, kdy zbývá méně než 25 minut, nejsou aktualizace prověřovány, ani se nepokoušejí o instalaci.

Chcete-li zjistit další informace, prohlédněte si protokoly v cestě k souboru uvedené v chybové zprávě spuštění nasazení.

Rozlišení

Při spouštění nasazení aktualizace na vyžádání nastavte delší časový rozsah pro maximální dobu trvání, abyste se tomuto problému vyhnuli.

Rozšíření aktualizace operačního systému Windows/Linux není nainstalované

Problém

Rozšíření Windows/Linux OS Update musí být na počítačích Arc úspěšně nainstalované, aby bylo možné provádět hodnocení, opravy a plánované opravy na vyžádání.

Rozlišení

Aktivujte posouzení na vyžádání nebo opravy pro instalaci rozšíření na počítač. Počítač můžete také připojit k plánu konfigurace údržby, který nainstaluje rozšíření při provedení oprav podle plánu.

Pokud už rozšíření na počítači Arc existuje, ale stav rozšíření není úspěšný, ujistěte se, že rozšíření odeberete a aktivujete operaci na vyžádání, aby byla znovu nainstalována.

Rozšíření aktualizace oprav pro Windows/Linux není nainstalované

Problém

Aby bylo možné provádět hodnocení na vyžádání, plánované opravy a pravidelné hodnocení, musí být na počítačích Azure úspěšně nainstalované rozšíření aktualizace oprav windows/Linuxu.

Rozlišení

Aktivujte posouzení na vyžádání nebo opravy pro instalaci rozšíření na počítač. Počítač můžete také připojit k plánu konfigurace údržby, který nainstaluje rozšíření při provedení oprav podle plánu.

Pokud už rozšíření na počítači existuje, ale stav rozšíření není úspěšný, aktivujte operaci na vyžádání, která ji znovu nainstaluje.

Povolit kontrolu operací rozšíření se nezdařilo.

Problém

Vlastnost AllowExtensionOperations je nastavena na false v počítači OSProfile.

Rozlišení

Vlastnost by měla být nastavena na hodnotu True, aby rozšíření fungovala správně.

Oprávnění Sudo nejsou k dispozici

Problém

Oprávnění Sudo nejsou udělena rozšířením pro operace posouzení nebo oprav na počítačích s Linuxem.

Rozlišení

Udělte oprávnění sudo, abyste zajistili úspěšné operace posouzení nebo oprav.

Proxy server je nakonfigurovaný

Problém

Proxy server je nakonfigurovaný na počítačích s Windows nebo Linuxem, které můžou blokovat přístup ke koncovým bodům potřebným pro úspěšné operace posouzení nebo oprav.

Rozlišení

V případě Windows se podívejte na problémy související s proxy serverem.

V případě Linuxu zajistěte, aby nastavení proxy serveru neblokovala přístup k úložištím, která jsou potřebná ke stahování a instalaci aktualizací.

Kontrola selhání protokolu TLS 1.2

Problém

Protokoly TLS 1.0 a TLS 1.1 jsou zastaralé.

Rozlišení

Použijte protokol TLS 1.2 nebo vyšší.

V případě Windows se podívejte na protokoly v zprostředkovateli zabezpečení TLS/SSL Schannel.

V případě Linuxu spusťte následující příkaz, abyste viděli podporované verze protokolu TLS pro vaši distribuci. nmap --script ssl-enum-ciphers -p 443 www.azure.com

Kontrola připojení HTTPS se nezdařila.

Problém

Připojení HTTPS není k dispozici, což se vyžaduje ke stažení a instalaci aktualizací z požadovaných koncových bodů pro každý operační systém.

Rozlišení

Povolte připojení HTTPS z počítače.

Služba MsftLinuxPatchAutoAssess není spuštěná nebo čas není aktivní

Problém

Pro úspěšná pravidelná hodnocení na počítačích s Linuxem se vyžaduje msftLinuxPatchAutoAssess .

Rozlišení

Ujistěte se, že je pro počítač úspěšný stav LinuxPatchExtension. Restartujte počítač a zkontrolujte, jestli se problém nevyřeší.

Úložiště Linuxu nejsou přístupná

Problém

Aktualizace se stáhnou z nakonfigurovaných veřejných nebo privátních úložišť pro každou distribuci Linuxu. Počítač se nemůže připojit k těmto úložištím a stáhnout nebo posoudit aktualizace.

Rozlišení

Ujistěte se, že pravidla zabezpečení sítě nebrání připojení k požadovaným úložištím pro operace aktualizace.

Další kroky

• Další informace o Update Manageru najdete v přehledu.
• Pokud chcete zobrazit protokolované výsledky ze všech počítačů, přečtěte si téma Dotazování protokolů a výsledků z Update Manageru.