Risolvere i problemi relativi ad Azure Update Manager
Questo articolo descrive gli errori che possono verificarsi quando si distribuisce o si usa Gestione aggiornamenti di Azure, come risolverli e i problemi noti e le limitazioni dell'applicazione di patch pianificate.
Risoluzione dei problemi generali
La procedura di risoluzione dei problemi seguente si applica alle macchine virtuali di Azure correlate all'estensione patch nei computer Windows e Linux.
Macchina virtuale Linux di Azure
Per verificare se l'agente di macchine virtuali di Microsoft Azure è in esecuzione e ha attivato le azioni appropriate nel computer e il numero di sequenza per la richiesta di applicazione automatica delle patch, controllare il log dell'agente per altre informazioni in /var/log/waagent.log. A ogni richiesta di applicazione automatica delle patch è associato un numero di sequenza univoco nel computer. Cercare un log simile a 2021-01-20T16:57:00.607529Z INFO ExtHandler.
La directory del pacchetto per l'estensione è /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>. La sottocartella /status ha un file <sequence number>.status. Include una breve descrizione delle azioni eseguite durante una singola richiesta di applicazione automatica delle patch e lo stato. Include inoltre un breve elenco di errori che si sono verificati durante l'applicazione degli aggiornamenti.
Per esaminare i log correlati a tutte le azioni eseguite dall'estensione, verificare la presenza di altre informazioni in /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Include i seguenti due file di log di interesse:
<seq number>.core.log: contiene informazioni correlate alle azioni patch. Queste informazioni includono patch valutate e installate nel computer e eventuali problemi riscontrati nel processo.<Date and Time>_<Handler action>.ext.log: è presente un wrapper sopra l'azione patch, che viene usato per gestire l'estensione e richiamare un'operazione di patch specifica. Questo log contiene informazioni sul wrapper. Per l'applicazione automatica delle patch, il log<Date and Time>_Enable.ext.logcontiene informazioni sull'eventuale richiamo dell'operazione di patch specifica.
Macchina virtuale Windows di Azure
Per verificare se l'agente di macchine virtuali è in esecuzione e ha attivato le azioni appropriate nel computer e il numero di sequenza per la richiesta di applicazione automatica delle patch, controllare il log dell'agente per altre informazioni in C:\WindowsAzure\Logs\AggregateStatus. La directory del pacchetto per l'estensione è C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.
Per esaminare i log correlati a tutte le azioni eseguite dall'estensione, verificare la presenza di altre informazioni in C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Include i seguenti due file di log di interesse:
WindowsUpdateExtension.log: contiene informazioni correlate alle azioni patch. Queste informazioni includono patch valutate e installate nel computer e eventuali problemi riscontrati nel processo.CommandExecution.log: è presente un wrapper sopra l'azione patch, che viene usato per gestire l'estensione e richiamare un'operazione di patch specifica. Questo log contiene informazioni sul wrapper. Per l'applicazione automatica delle patch, il log contiene informazioni sull'eventuale richiamo dell'operazione di patch specifica.
La valutazione periodica non viene impostata correttamente quando i criteri di valutazione periodici vengono usati durante la creazione per macchine virtuali specializzate, migrate e ripristinate
Causa
La valutazione periodica non viene impostata correttamente durante la creazione per macchine virtuali specializzate, migrate e ripristinate a causa della progettazione dei criteri di modifica correnti. Dopo la creazione, i criteri mostreranno queste risorse come non conformi nel dashboard di conformità.
Risoluzione
Eseguire un'attività di correzione dopo la creazione per correggere le risorse appena create. Per altre informazioni, vedere Correggere le risorse non conformi con Criteri di Azure.
Il prerequisito per l'applicazione di patch pianificate non è impostato correttamente e le pianificazioni non sono associate quando si usano criteri specifici durante la creazione per macchine virtuali specializzate, generalizzate, migrate e ripristinate
Causa
I prerequisiti per l'applicazione di patch pianificate e le pianificazioni di collegamento non vengono impostati correttamente quando si usa Pianifica aggiornamenti ricorrenti usando Gestione aggiornamenti di Azure e Imposta prerequisiti per la pianificazione degli aggiornamenti ricorrenti nei criteri delle macchine virtuali di Azure durante la creazione di macchine virtuali specializzate, generalizzate, migrate e ripristinate a causa del modo in cui è progettato il criterio Deploy If Not Exists corrente. Dopo la creazione, i criteri mostreranno queste risorse come non conformi nel dashboard di conformità.
Risoluzione
Eseguire un'attività di correzione dopo la creazione per correggere le risorse appena create. Per altre informazioni, vedere Correggere le risorse non conformi con Criteri di Azure.
Le attività di correzione dei criteri non riescono per le immagini della raccolta e per le immagini con dischi crittografati
Problema
Esistono errori di correzione per le macchine virtuali che hanno un riferimento all'immagine della raccolta in modalità Macchina virtuale. Questo perché richiede l'autorizzazione di lettura per l'immagine della raccolta e attualmente non fa parte del ruolo Collaboratore macchina virtuale.
Causa
Il ruolo Collaboratore macchina virtuale non dispone di autorizzazioni sufficienti.
Risoluzione
- Per tutte le nuove assegnazioni, viene introdotta una modifica recente per fornire il ruolo Collaboratore all'identità gestita creata durante l'assegnazione dei criteri per la correzione. In futuro, verrà assegnato per eventuali nuove assegnazioni.
- Per eventuali assegnazioni precedenti se si verifica un errore di attività di correzione, è consigliabile assegnare manualmente il ruolo di collaboratore all'identità gestita seguendo i passaggi elencati in Concedere autorizzazioni all'identità gestita tramite ruoli definiti
- Inoltre, negli scenari in cui il ruolo Collaboratore non funziona quando le risorse collegate (immagine o disco della raccolta) si trovano in un altro gruppo di risorse o in un'altra sottoscrizione, fornire manualmente all'identità gestita i ruoli corretti e le autorizzazioni per l'ambito per sbloccare le correzioni seguendo la procedura descritta in Concedere autorizzazioni all'identità gestita tramite ruoli definiti.
Impossibile generare una valutazione periodica per i server abilitati per Arc
Problema
Le sottoscrizioni in cui vengono abilitata l'onboarding dei server Arc non producono dati di valutazione.
Risoluzione
Assicurarsi che le sottoscrizioni dei server Arc siano registrate nel provider di risorse Microsoft.Compute in modo che i dati di valutazione periodici vengano generati periodicamente come previsto. Ulteriori informazioni
La configurazione di manutenzione non viene applicata quando la macchina virtuale viene spostata in una sottoscrizione o in un gruppo di risorse diverso
Problema
Quando una macchina virtuale viene spostata in un'altra sottoscrizione o in un altro gruppo di risorse, la configurazione di manutenzione pianificata associata alla macchina virtuale non è in esecuzione.
Risoluzione
Il sistema attualmente non supporta lo spostamento di risorse tra gruppi di risorse o sottoscrizioni. Come soluzione alternativa, usare i passaggi seguenti per la risorsa da spostare. Come prerequisito, rimuovere prima di tutto l'assegnazione prima di seguire i passaggi.
Se si usa un ambito static:
- Spostare la risorsa in un gruppo di risorse o una sottoscrizione diversa.
- Ricreare l'assegnazione di risorse.
Se si usa un ambito dynamic:
- Avviare o attendere l'esecuzione pianificata successiva. Questa azione richiede al sistema di rimuovere completamente l'assegnazione, in modo da poter procedere con i passaggi successivi.
- Spostare la risorsa in un gruppo di risorse o una sottoscrizione diversa.
- Ricreare l'assegnazione di risorse.
Se uno dei passaggi non è stato superato, spostare la risorsa nel gruppo di risorse o nell'ID sottoscrizione precedente e ripetere i passaggi.
Nota
Se il gruppo di risorse viene eliminato, ricrearlo con lo stesso nome. Se l'ID sottoscrizione viene eliminato, contattare il team di supporto per la mitigazione.
Impossibile modificare l'opzione di orchestrazione patch per gli aggiornamenti manuali dagli aggiornamenti automatici
Problema
Il computer di Azure ha l'opzione di orchestrazione patch come aggiornamenti automatici AutomaticByOS/Windows e non è possibile modificare l'orchestrazione delle patch in Aggiornamenti manuali usando Modifica impostazioni di aggiornamento.
Risoluzione
Se non si vuole che alcuna installazione di patch venga orchestrata da Azure o non si usino soluzioni di applicazione di patch personalizzate, è possibile modificare l'opzione di orchestrazione delle patch in Pianificazioni gestite dal cliente (anteprima) o AutomaticByPlatform e ByPassPlatformSafetyChecksOnUserSchedule, e non associare una configurazione di pianificazione/manutenzione al computer. Questa impostazione garantisce che non venga eseguita alcuna applicazione di patch nel computer fino a quando non viene modificata in modo esplicito. Per altre informazioni, vedere Scenario 2 in scenari utente.
il computer viene indicato come "Non valutato" e genera a un'eccezione HRESULT
Problema
- Sono presenti computer che risultano
Not assessedin Conformità con un messaggio di eccezione sottostante. - Nel portale viene visualizzato un codice di errore
HRESULT.
Causa
L'Agente di aggiornamento (Agente di Windows Update in Windows e la gestione pacchetti per una distribuzione Linux) non è configurato correttamente. Gestione aggiornamenti si basa sul'Agente di aggiornamento del computer per offrire gli aggiornamenti necessari, lo stato della patch e i risultati delle patch distribuite. Senza queste informazioni Gestione aggiornamenti non può segnalare correttamente le patch necessarie o installate.
Risoluzione
Provare a eseguire gli aggiornamenti localmente nel computer. Se l'operazione ha esito negativo, in genere significa che si è verificato un errore nella configurazione dell'agente di aggiornamento.
Questo problema è spesso causato da anomalie relative a configurazione di rete e firewall. Usare i controlli seguenti per correggere il problema:
Per Linux, consultare la documentazione appropriata e assicurarsi che sia possibile raggiungere l'endpoint di rete del repository del pacchetto.
Per Windows, controllare la configurazione dell'agente come descritto in Gli aggiornamenti non vengono scaricati dall'endpoint Intranet (WSUS/SCCM).
- Se i computer sono configurati per Windows Update, assicurarsi che sia possibile raggiungere gli endpoint descritti in Problemi relativi a HTTP/proxy.
- Se i computer sono configurati per Windows Server Update Services (WSUS), verificare che sia possibile raggiungere il server WSUS configurato dalla chiave del Registro di sistema WUServer.
Se si visualizza un codice errore HRESULT, fare doppio clic sull'eccezione in rosso per visualizzare il messaggio completo. Individuare possibili risoluzioni o azioni consigliate nella tabella seguente.
| Eccezione | Risoluzione o azione |
|---|---|
Exception from HRESULT: 0x……C |
Per altre informazioni sulla causa dell'eccezione, cercare il codice di errore pertinente nell'elenco codici di errore relativi a Windows Update. |
0x8024402C0x8024401C0x8024402F |
Indica i problemi di connettività di rete. Assicurarsi che il computer disponga della connettività di rete per Gestione aggiornamenti. Per un elenco di porte e indirizzi necessari, vedere la sezione pianificazione della rete. |
0x8024001E |
L'operazione di aggiornamento non è stata completata perché il servizio o il sistema era in fase di arresto. |
0x8024002E |
Il servizio Windows Update è disabilitato. |
0x8024402C |
Se si usa un server WSUS, assicurarsi che i valori del Registro di sistema per WUServer e WUStatusServer nella chiave del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate indichino il server WSUS corretto. |
0x80072EE2 |
Si è verificato un problema di connettività di rete o un problema durante la comunicazione con un server WSUS configurato. Controllare le impostazioni di WSUS e verificare che il servizio sia accessibile dal client. |
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) |
Assicurarsi che il servizio Windows Update (wuauserv) sia in esecuzione e non disattivato. |
0x80070005 |
Un errore di accesso negato può dipendere da uno dei problemi seguenti: - Computer infetto. - Impostazioni di Windows Update non configurate correttamente. - Errore di autorizzazione file con la cartella %WinDir%\SoftwareDistribution.- Spazio su disco insufficiente nell'unità di sistema (drive C:). |
| Qualsiasi altra eccezione generica | Ricercare possibili risoluzioni in Internet e collaborare con il supporto tecnico IT locale. |
È possibile determinare le possibili cause anche esaminando il file %Windir%\Windowsupdate.log. Per altre informazioni su come leggere il log, vedere Leggere il file Windowsupdate.log.
È inoltre possibile scaricare ed eseguire lo strumento di risoluzione dei problemi di Windows Update per verificare la presenza di problemi con Windows Update nel computer.
Nota
La documentazione relativa allo strumento di risoluzione dei problemi di Windows Update indica che è destinata all'uso nei client Windows, ma funziona anche su Windows Server.
Problemi noti nella pianificazione dell'applicazione di patch
- Nel caso di una pianificazione simultanea o in conflitto, viene attivata una sola pianificazione. L'altra pianificazione viene attivata una volta terminata quella precedente.
- Se un computer è stato appena creato, la pianificazione potrebbe avere un ritardo di 15 minuti nel trigger di pianificazione nel caso di macchine virtuali di Azure.
- La definizione dei criteri Pianificare gli aggiornamenti ricorrenti usando il Gestore aggiornamenti di Azure con la versione 1.0.0-preview corregge con successo le risorse. Tuttavia, le mostra sempre come non conformi. Il valore corrente della condizione di esistenza è un segnaposto che restituisce sempre false.
La pianificazione dell'applicazione di patch ha esito negativo e viene visualizzato l'errore 'ShutdownOrUnresponsive'
Problema
La pianificazione dell'applicazione di patch non ha installato le patch nelle macchine virtuali e restituisce un errore come "ShutdownOrUnresponsive".
Risoluzione
Le pianificazioni attivate nei computer eliminati e ricreati con lo stesso ID risorsa entro 8 ore potrebbero non riuscire con l'errore ShutdownOrUnresponsive a causa di una limitazione nota.
Impossibile applicare patch per i computer in arresto
Problema
Le patch non vengono applicate per i computer in stato di arresto. È anche possibile notare che i computer stanno perdendo le configurazioni o le pianificazioni di manutenzione associate.
Causa
I computer sono in stato di arresto.
Risoluzione
Mantenere i computer accesi almeno 15 minuti prima dell'aggiornamento pianificato. Per altre informazioni, vedere Arrestare i computer.
L'esecuzione della patch non è riuscita con la proprietà Maintenance window exceeded (Finestra di manutenzione) che mostra true anche se il tempo è rimasto
Problema
Quando si visualizza una distribuzione degli aggiornamenti in Cronologia aggiornamenti, la proprietà Non riuscito con finestra manutenzione superata mostra true anche se è stato lasciato un tempo sufficiente per l'esecuzione. In questo caso, è possibile risolvere uno dei problemi seguenti:
- Non vengono visualizzati aggiornamenti.
- Uno o più aggiornamenti sono in stato In sospeso.
- Lo stato del riavvio è Obbligatorio, ma non è stato tentato un riavvio anche quando l'impostazione di riavvio passata era
IfRequiredoAlways.
Causa
Durante una distribuzione degli aggiornamenti, l'utilizzo della finestra di manutenzione viene controllato in più passaggi. Dieci minuti della finestra Manutenzione sono riservati per il riavvio in qualsiasi momento. Prima che la distribuzione ottenga un elenco di aggiornamenti o download mancanti o installa qualsiasi aggiornamento (ad eccezione degli aggiornamenti del Service Pack di Windows), verifica se sono presenti 15 minuti + 10 minuti per il riavvio (ovvero 25 minuti lasciati nella finestra Manutenzione).
Per gli aggiornamenti di Windows Service Pack, la distribuzione verifica la presenza di 20 minuti + 10 minuti per il riavvio (ovvero 30 minuti). Se la distribuzione non dispone del tempo sufficiente, ignora l'analisi, il download o l'installazione degli aggiornamenti. L'esecuzione della distribuzione verifica quindi se è necessario un riavvio e se sono rimasti 10 minuti nella finestra Manutenzione. In caso affermativo, la distribuzione attiva un riavvio. In caso contrario, il riavvio viene ignorato.
In questi casi, lo stato viene aggiornato a Non riuscito e la proprietà della finestra di manutenzione superata viene aggiornata a vero. Nei casi in cui il tempo rimasto è inferiore a 25 minuti, gli aggiornamenti non vengono analizzati o non viene tentata l'installazione.
Per ulteriori informazioni, esaminare i log nel percorso del file fornito nel messaggio di errore dell'esecuzione della distribuzione.
Risoluzione
Impostare un intervallo di tempo più lungo per la durata massima quando si attiva una distribuzione di aggiornamenti su richiesta per evitare il problema.
L'estensione di aggiornamento del sistema operativo Windows/Linux non è installata
Problema
L'estensione Windows/Linux OS Update deve essere installata correttamente nei computer Arc per eseguire valutazioni su richiesta, applicazione di patch e applicazione di patch pianificate.
Risoluzione
Attivare una valutazione on demand o l'applicazione di patch per installare l'estensione nel computer. È anche possibile collegare il computer a una pianificazione della configurazione di manutenzione che installerà l'estensione quando l'applicazione di patch viene eseguita in base alla pianificazione.
Se l'estensione è già presente nel computer, ma il suo stato non è Operazione completata, assicurarsi di rimuovere l'estensione e attivare un'operazione su richiesta in modo che venga nuovamente installata.
L'estensione di aggiornamento delle patch Windows/Linux non è installata
Problema
L'estensione di aggiornamento patch di Windows/Linux deve essere installata correttamente nei computer Azure per eseguire valutazioni o patch su richiesta, applicazione di patch pianificate e valutazioni periodiche.
Risoluzione
Attivare una valutazione on demand o l'applicazione di patch per installare l'estensione nel computer. È anche possibile collegare il computer a una pianificazione della configurazione di manutenzione che installerà l'estensione quando l'applicazione di patch viene eseguita in base alla pianificazione.
Se l'estensione è già presente nel computer, ma il suo stato non è Operazione completata, assicurarsi di rimuovere l'estensione e attivare un'operazione su richiesta che la installerà nuovamente.
Controllo Consenti operazioni di estensione non riuscito
Problema
La proprietà AllowExtensionOperations è impostata su false in OSProfile del computer.
Risoluzione
La proprietà deve essere impostata su true per consentire il corretto funzionamento delle estensioni.
Privilegi sudo non presenti
Problema
I privilegi sudo non vengono concessi alle estensioni per le operazioni di valutazione o applicazione di patch nei computer Linux.
Risoluzione
Concedere privilegi sudo per garantire che le operazioni di valutazione o applicazione di patch abbiano esito positivo.
Proxy configurato
Problema
Il proxy è configurato in computer Windows o Linux che possono bloccare l'accesso agli endpoint necessari per le operazioni di valutazione o applicazione di patch.
Risoluzione
Per Windows, vedere problemi relativi al proxy.
Per Linux, assicurarsi che l'installazione del proxy non blocchi l'accesso ai repository necessari per il download e l'installazione degli aggiornamenti.
Controllo TLS 1.2 non riuscito
Problema
TLS 1.0 e TLS 1.1 sono deprecati.
Risoluzione
Usare TLS 1.2 o una versione successiva.
Per Windows, vedere Protocolli in SSP Schannel TLS/SSL.
Per Linux, eseguire il comando seguente per visualizzare le versioni supportate di TLS per la distribuzione.
nmap --script ssl-enum-ciphers -p 443 www.azure.com
Controllo connessione HTTPS non riuscito
Problema
La connessione Https non è disponibile, ma è necessaria per scaricare e installare gli aggiornamenti dagli endpoint necessari per ogni sistema operativo.
Risoluzione
Consentire la connessione Https dal computer.
Il servizio MsftLinuxPatchAutoAssess non è in esecuzione o l'ora non è attiva
Problema
MsftLinuxPatchAutoAssess è necessario per le valutazioni periodiche riuscite nei computer Linux.
Risoluzione
Verificare che lo stato LinuxPatchExtension sia riuscito per il computer. Riavviare il computer per verificare se il problema è stato risolto.
I repository Linux non sono accessibili
Problema
Gli aggiornamenti vengono scaricati dai repository pubblici o privati configurati per ogni distribuzione linux. Il computer non è in grado di connettersi a questi repository per scaricare o valutare gli aggiornamenti.
Risoluzione
Assicurarsi che le regole di sicurezza di rete non ostacolino la connessione ai repository necessari per le operazioni di aggiornamento.
Passaggi successivi
- Per altre informazioni su Gestione aggiornamenti, vedere Panoramica.
- Per visualizzare i risultati registrati da tutti i computer, vedere Esecuzione di query su log e risultati da Gestione aggiornamenti.