Resolver problemas do Azure Update Manager
Este artigo descreve os erros que podem ocorrer quando você implanta ou usa o Azure Update Manager, como resolvê-los e os problemas conhecidos e as limitações da aplicação de patches agendados.
Resolução de problemas gerais
As etapas de solução de problemas a seguir se aplicam às máquinas virtuais (VMs) do Azure relacionadas à extensão de patch em máquinas Windows e Linux.
VM Linux do Azure
Para verificar se o agente de Máquina Virtual do Microsoft Azure (agente de VM) está em execução e acionou as ações apropriadas na máquina virtual e o número de sequência do pedido de aplicação de patches automatizada, veja o registo do agente para obter mais informações em /var/log/waagent.log
. Cada pedido de aplicação de patches automatizada tem um número de sequência exclusivo associado na máquina virtual. Procure um registo semelhante a 2021-01-20T16:57:00.607529Z INFO ExtHandler
.
O diretório do pacote da extensão é /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>
. A subpasta /status
tem um ficheiro <sequence number>.status
. Inclui uma breve descrição das ações executadas durante um único pedido de aplicação de patches automatizada e o estado. Inclui também uma pequena lista de erros que ocorreram durante a aplicação de atualizações.
Para rever os registos relacionados com todas as ações executadas pela extensão, veja mais informações em /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/
. Inclui os seguintes dois ficheiros de registo de interesse:
<seq number>.core.log
: contém informações relacionadas com as ações de patch. Estas informações incluem os patches avaliados e instalados na máquina virtual e quaisquer problemas encontrados no processo.<Date and Time>_<Handler action>.ext.log
: existe um wrapper acima da ação de patch, que é utilizado para gerir a extensão e invocar a operação de patch específica. Este registo contém informações sobre o wrapper. Para a aplicação de patches automatizada, o registo<Date and Time>_Enable.ext.log
tem informações sobre se foi invocada a operação de patch específica.
VM Windows do Azure
Para verificar se o agente de VM está em execução e acionou as ações apropriadas na máquina virtual e o número de sequência do pedido de aplicação de patches automatizada, veja o registo do agente para obter mais informações em C:\WindowsAzure\Logs\AggregateStatus
. O diretório do pacote da extensão é C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>
.
Para rever os registos relacionados com todas as ações executadas pela extensão, veja mais informações em C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>
. Inclui os seguintes dois ficheiros de registo de interesse:
WindowsUpdateExtension.log
: contém informações relacionadas com as ações de patch. Estas informações incluem os patches avaliados e instalados na máquina virtual e quaisquer problemas encontrados no processo.CommandExecution.log
: existe um wrapper acima da ação de patch, que é utilizado para gerir a extensão e invocar a operação de patch específica. Este registo contém informações sobre o wrapper. Para a aplicação de patches automatizada, o registo tem informações sobre se foi invocada a operação de patch específica.
A avaliação periódica não está a ser definida corretamente quando a política de avaliação periódica é utilizada durante a criação de VMs especializadas, migradas e restauradas
Causa
A avaliação periódica não está a ser definida corretamente durante a criação de VMs especializadas, migradas e restauradas devido à forma como a política de modificação atual foi concebida. Após a criação, a política mostrará esses recursos como não conformes no painel de conformidade.
Resolução
Execute uma tarefa de remediação após a criação para corrigir os recursos recém-criados. Para obter mais informações, veja Remediar recursos não conformes.
O pré-requisito para a aplicação de patches agendada não está definido corretamente e os agendamentos não são anexados quando são utilizadas políticas específicas durante a criação de VMs especializadas, generalizadas, migradas e restauradas
Causa
O pré-requisito para aplicar patches agendados e anexar agendas não está sendo definido corretamente ao utilizar o Pré-requisito Agendar atualizações recorrentes usando o Azure Update Manager e Definir pré-requisito para agendar atualizações recorrentes em políticas de máquinas virtuais do Azure durante a criação para VMs especializadas, generalizadas, migradas e restauradas devido à maneira como a política atual Implantar Se Não Existe é projetada. Após a criação, a política mostrará esses recursos como não conformes no painel de conformidade.
Resolução
Execute uma tarefa de remediação após a criação para corrigir os recursos recém-criados. Para obter mais informações, veja Remediar recursos não conformes.
As tarefas de correção de política estão falhando para imagens de galeria e para imagens com discos criptografados
Problema
Há falhas de correção para VMs que têm uma referência à imagem da galeria no modo de máquina virtual. Isso ocorre porque ele requer a permissão de leitura para a imagem da galeria e atualmente não faz parte da função de Colaborador de Máquina Virtual.
Causa
A função de Colaborador de Máquina Virtual não tem permissões suficientes.
Resolução
- Para todas as novas atribuições, uma alteração recente é introduzida para fornecer a função de Colaborador à identidade gerenciada criada durante a atribuição de política para correção. No futuro, isso será atribuído para quaisquer novas atribuições.
- Para quaisquer atribuições anteriores se você estiver enfrentando falha nas tarefas de correção, recomendamos que você atribua manualmente a função de colaborador à identidade gerenciada seguindo as etapas listadas em Conceder permissões à identidade gerenciada por meio de funções definidas
- Além disso, em cenários em que a função de Colaborador não funciona quando os recursos vinculados (imagem de galeria ou disco) estão em outro grupo de recursos ou assinatura, forneça manualmente à identidade gerenciada as funções e permissões corretas no escopo para desbloquear correções seguindo as etapas em Conceder permissões à identidade gerenciada por meio de funções definidas.
Não é possível gerar a avaliação periódica para servidores compatíveis com o Arc
Problema
As subscrições nas quais os servidores compatíveis com o Arc são integrados não estão a produzir dados de avaliação.
Resolução
Certifique-se de que as assinaturas dos servidores Arc estejam registradas no provedor de recursos Microsoft.Compute para que os dados de avaliação periódica sejam gerados periodicamente conforme o esperado. Mais informações
A configuração de manutenção não é aplicada quando a VM é movida para uma assinatura ou grupo de recursos diferente
Problema
Quando uma VM é movida para outra assinatura ou grupo de recursos, a configuração de manutenção agendada associada à VM não está em execução.
Resolução
Atualmente, as configurações de manutenção não suportam a movimentação de recursos atribuídos entre grupos de recursos ou assinaturas. Como solução alternativa, siga os passos seguintes para o recurso que deseja mover. Como pré-requisito, primeiro remova a atribuição antes de seguir as etapas.
Se você estiver usando um static
escopo:
- Mova o recurso para uma subscrição ou grupo de recursos diferente.
- Crie novamente a atribuição de recursos.
Se você estiver usando um dynamic
escopo:
- Inicie ou aguarde pela próxima execução agendada. Esta ação pede ao sistema para remover completamente a atribuição, para que possa prosseguir com os passos seguintes.
- Mova o recurso para uma subscrição ou grupo de recursos diferente.
- Crie novamente a atribuição de recursos.
Se qualquer um dos passos não for executado, mova o recurso para o ID de subscrição ou grupo de recursos anterior e repita os passos.
Nota
Se o grupo de recursos for excluído, recrie-o com o mesmo nome. Se a ID da assinatura for excluída, entre em contato com a equipe de suporte para obter atenuação.
Não é possível alterar a opção de orquestração de patches para atualizações manuais a partir de atualizações automáticas
Problema
Você deseja garantir que o cliente do Windows Update não instalará patches no seu Windows Server, portanto, deseja definir a configuração do patch como Manual. A máquina do Azure tem a opção de orquestração de patches como AutomaticByOS/Windows
atualizações automáticas e você não pode alterar a orquestração de patches para Atualizações Manuais usando Alterar configurações de atualização.
Resolução
Se você não quiser que nenhuma instalação de patch seja orquestrada pelo Azure ou não estiver usando soluções de patches personalizadas, poderá alterar a opção de orquestração de patches para Agendas Gerenciadas pelo Cliente (Visualização) ou AutomaticByPlatform
ByPassPlatformSafetyChecksOnUserSchedule
e não associar uma configuração de agenda/manutenção à máquina. Essa configuração garante que nenhum patch seja executado na máquina até que você a altere explicitamente. Para obter mais informações, consulte Cenário 2 em Cenários de usuário.
A máquina virtual aparece como “Não avaliada” e é apresentada uma exceção HRESULT
Problema
- Você tem máquinas que aparecem como
Not assessed
em Conformidade e vê uma mensagem de exceção abaixo delas. - Você vê um
HRESULT
código de erro no portal.
Causa
O Agente de Atualizações (Agente do Windows Update no Windows e Gestor de Pacotes para distribuições Linux) não está configurado corretamente. O Gestor de Atualizações depende do Agente de Atualizações da máquina para disponibilizar as atualizações necessárias, o estado dos patches e os resultados dos patches implementados. Sem essas informações, o Gestor de Atualizações não consegue comunicar corretamente os patches que são necessários ou que estão instalados.
Resolução
Tente efetuar atualizações localmente no computador. Se esta operação falhar, normalmente significa que existe um erro de configuração do Agente de Atualização.
Esta situação é, muitas vezes, causada por problemas de configuração de rede e de firewall. Utilize as seguintes verificações para corrigir o problema:
Para o Linux, veja a documentação adequada para confirmar que consegue aceder ao ponto final de rede do repositório do pacote.
Para o Windows, veja a configuração do agente conforme descrito em As atualizações não estão a ser transferidas a partir do ponto final da intranet (WSUS/SCCM).
- Se os computadores estiverem configurados para o Windows Update, confirme que consegue aceder aos pontos finais descritos em Problemas relacionados com HTTP/proxy.
- Se os computadores estiverem configurados para o Windows Server Update Services (WSUS), confirme que consegue aceder ao servidor WSUS configurado pela chave do Registo de WUServer.
Se você vir um código de HRESULT
erro, clique duas vezes na exceção exibida em vermelho para ver a mensagem de exceção inteira. Veja a tabela seguinte para obter possíveis resoluções ou ações recomendadas.
Exceção | Resolução ou ação |
---|---|
Exception from HRESULT: 0x……C |
Procure o código de erro relevante na lista de códigos de erro do Windows Update para encontrar mais informações sobre a causa da exceção. |
0x8024402C 0x8024401C 0x8024402F |
Indica problemas de conectividade de rede. Garanta que o computador tem conectividade de rede para a Gestão de Atualizações. Para obter uma lista das portas e dos endereços necessários, veja a secção Planeamento de rede. |
0x8024001E |
Falha ao concluir a operação de atualização porque o serviço ou o sistema estava a ser encerrado. |
0x8024002E |
O serviço do Windows Update está desativado. |
0x8024402C |
Se estiver a utilizar um servidor WSUS, garanta que os valores de registo de WUServer e de WUStatusServer na chave de registo HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate especificam o servidor WSUS correto. |
0x80072EE2 |
Há um problema de conectividade de rede ou ao comunicar com um servidor WSUS configurado. Verifique as definições do WSUS e garanta que o serviço se encontra acessível a partir do cliente. |
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) |
Certifique-se de que o serviço Windows Update (wuauserv ) está em execução e não está desativado. |
0x80070005 |
Um erro de acesso negado pode ser causado por qualquer um dos seguintes problemas: - Computador infetado. - As definições do Windows Update não estão configuradas corretamente. - Erro de permissão de arquivo com a %WinDir%\SoftwareDistribution pasta.- Espaço em disco insuficiente na unidade do sistema (C:). |
Qualquer outra exceção genérica | Execute uma pesquisa na Internet para obter possíveis resoluções e trabalhe com o suporte de TI local. |
Veja o ficheiro %Windir%\Windowsupdate.log
para obter ajuda para determinar possíveis causas. Para obter mais informações sobre como ler o registo, veja Ler o ficheiro Windowsupdate.log.
Também pode transferir e executar a resolução de problemas do Windows Update para verificar se existem problemas com o Windows Update na máquina.
Nota
A documentação da resolução de problemas do Windows Update indica que se destina a ser utilizada em clientes Windows, mas também funciona no Windows Server.
Problemas conhecidos na aplicação de patches agendada
- Para um agendamento simultâneo ou em conflito, apenas é acionado um agendamento. A outra agenda é acionada após a conclusão da primeira agenda.
- Se uma máquina virtual for recém-criada, o agendamento poderá ter 15 minutos de atraso no acionamento no caso de VMs do Azure.
A aplicação de patches agendada falha com o erro 'ShutdownOrUnresponsive'
Problema
A aplicação de patches agendada não instalou os patches nas VMs e apresenta um erro como 'ShutdownOrUnresponsive'.
Resolução
As agendas acionadas em máquinas eliminadas e recriadas com o mesmo ID de recurso no espaço de 8 horas podem falhar com o erro ShutdownOrUnresponsive devido a uma limitação conhecida.
Não é possível aplicar patches para as máquinas encerradas
Problema
Os patches não estão a ser aplicados às máquinas que estão no estado de encerramento. Poderá também verificar que as máquinas estão a perder as configurações ou os calendários de manutenção associados.
Causa
As máquinas estão em estado de paragem.
Resolução
Certifique-se de que as suas máquinas estão ligadas pelo menos 15 minutos antes da atualização agendada. Para mais informações, consulte Máquinas Virtuais.
A propriedade Falha com Janela de manutenção excedida de execução do patch é apresentada como true, mesmo com tempo suficiente
Problema
Quando se vê uma implementação de atualização no Histórico de atualizações, a propriedade Falha com a janela Manutenção excedida mostra-se verdadeira embora tenha sobrado tempo suficiente para a execução. Neste caso, é possível que exista um dos seguintes problemas:
- Nenhuma atualização é mostrada.
- Uma ou mais atualizações estão em estado Pending.
- O estado da reinicialização é v, mas não foi tentada uma reinicialização mesmo quando a definição de reinicialização passada era
IfRequired
ouAlways
.
Causa
Durante uma implementação de atualizações, a utilização da Janela de manutenção é verificada em vários passos. Dez minutos da Janela de manutenção são reservados para reiniciar a qualquer momento. Antes de obter uma lista de atualizações ou transferências em falta ou instalações de qualquer atualização (exceto atualizações do service pack do Windows), a implementação verifica se há 15 minutos + 10 minutos para reiniciar (ou seja, 25 minutos restantes na Janela de manutenção).
Para atualizações do service pack do Windows, a implementação verifica se há 20 minutos + 10 minutos para reiniciar (ou seja, 30 minutos). Se a implementação não tiver tempo suficiente, ignorará a verificação/transferência/instalação de atualizações. Em seguida, a execução da implementação verifica se é necessário reiniciar e se restam 10 minutos na Janela de manutenção. Se houver, a implementação aciona um reinício. Caso contrário, o reinício será ignorado.
Nesses casos, o estado é atualizado para Falha e a propriedade Janela de manutenção excedida é atualizada para true. Para os casos em que o tempo restante é inferior a 25 minutos, as atualizações não são verificadas nem tentadas para instalação.
Para obter mais informações, veja os registos no caminho do ficheiro indicado na mensagem de erro da execução da implementação.
Resolução
Defina um intervalo de tempo mais longo para a duração máxima quando estiver a acionar uma implementação de atualização a pedido para ajudar a evitar o problema.
A extensão de atualização do sistema operacional Windows/Linux não está instalada
Problema
A extensão Windows/Linux OS Update deve ser instalada com êxito em máquinas Arc para executar avaliações sob demanda, patches e patches agendados.
Resolução
Acione uma avaliação sob demanda ou aplicação de patches para instalar a extensão na máquina. Você também pode anexar a máquina a um cronograma de configuração de manutenção que instalará a extensão quando a aplicação de patches for executada de acordo com a programação.
Se a extensão já estiver presente em uma máquina Arc, mas o status da extensão não for Bem-sucedido, certifique-se de remover a extensão e acionar uma operação sob demanda para que ela seja instalada novamente.
A extensão de atualização de patch do Windows/Linux não está instalada
Problema
A extensão de atualização de patch do Windows/Linux deve ser instalada com êxito em máquinas do Azure para executar avaliações ou patches sob demanda, patches agendados e para avaliações periódicas.
Resolução
Acione uma avaliação sob demanda ou aplicação de patches para instalar a extensão na máquina. Você também pode anexar a máquina a um cronograma de configuração de manutenção que instalará a extensão quando a aplicação de patches for executada de acordo com a programação.
Se a extensão já estiver presente na máquina, mas o status da extensão não for Bem-sucedido, acione uma operação sob demanda que a instalará novamente.
Falha na verificação de Permitir Operações de Extensão
Problema
A propriedade AllowExtensionOperations é definida como false na máquina OSProfile.
Resolução
A propriedade deve ser definida como true para permitir que as extensões funcionem corretamente.
Privilégios Sudo não presentes
Problema
Os privilégios Sudo não são concedidos às extensões para operações de avaliação ou aplicação de patches em máquinas Linux.
Resolução
Conceda privilégios sudo para garantir que as operações de avaliação ou aplicação de patches sejam bem-sucedidas.
O proxy está configurado
Problema
O proxy é configurado em máquinas Windows ou Linux que podem bloquear o acesso aos pontos de extremidade necessários para que as operações de avaliação ou aplicação de patches sejam bem-sucedidas.
Resolução
Para Windows, consulte problemas relacionados ao proxy.
Para Linux, certifique-se de que a configuração de proxy não bloqueie o acesso a repositórios necessários para baixar e instalar atualizações.
Falha na verificação do TLS 1.2
Problema
TLS 1.0 e TLS 1.1 foram preteridos.
Resolução
Use TLS 1.2 ou superior.
Para Windows, consulte Protocolos em SSP Schannel TLS/SSL.
Para Linux, execute o seguinte comando para ver as versões suportadas do TLS para sua distro.
nmap --script ssl-enum-ciphers -p 443 www.azure.com
Falha na verificação de conexão https
Problema
A conexão https não está disponível, o que é necessário para baixar e instalar atualizações de pontos de extremidade necessários para cada sistema operacional.
Resolução
Permita a conexão Https da sua máquina.
O serviço MsftLinuxPatchAutoAssess não está em execução ou o Time não está ativo
Problema
MsftLinuxPatchAutoAssess é necessário para avaliações periódicas bem-sucedidas em máquinas Linux.
Resolução
Certifique-se de que o status LinuxPatchExtension foi bem-sucedido para a máquina. Reinicialize a máquina para verificar se o problema foi resolvido.
Os repositórios Linux não estão acessíveis
Problema
As atualizações são baixadas de repositórios públicos ou privados configurados para cada distro Linux. A máquina não consegue se conectar a esses repositórios para baixar ou avaliar as atualizações.
Resolução
Certifique-se de que as regras de segurança de rede não impeçam a conexão com os repositórios necessários para operações de atualização.
Próximos passos
- Para saber mais sobre o Update Manager, consulte a Visão geral.
- Para exibir os resultados registrados de todas as suas máquinas, consulte Consultando logs e resultados do Update Manager.