Resolver problemas do Azure Update Manager

Este artigo descreve os erros que podem ocorrer quando você implanta ou usa o Azure Update Manager, como resolvê-los e os problemas conhecidos e as limitações da aplicação de patches agendados.

Resolução de problemas gerais

As etapas de solução de problemas a seguir se aplicam às máquinas virtuais (VMs) do Azure relacionadas à extensão de patch em máquinas Windows e Linux.

VM Linux do Azure

Para verificar se o agente de Máquina Virtual do Microsoft Azure (agente de VM) está em execução e acionou as ações apropriadas na máquina virtual e o número de sequência do pedido de aplicação de patches automatizada, veja o registo do agente para obter mais informações em /var/log/waagent.log. Cada pedido de aplicação de patches automatizada tem um número de sequência exclusivo associado na máquina virtual. Procure um registo semelhante a 2021-01-20T16:57:00.607529Z INFO ExtHandler.

O diretório do pacote da extensão é /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>. A subpasta /status tem um ficheiro <sequence number>.status. Inclui uma breve descrição das ações executadas durante um único pedido de aplicação de patches automatizada e o estado. Inclui também uma pequena lista de erros que ocorreram durante a aplicação de atualizações.

Para rever os registos relacionados com todas as ações executadas pela extensão, veja mais informações em /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Inclui os seguintes dois ficheiros de registo de interesse:

  • <seq number>.core.log: contém informações relacionadas com as ações de patch. Estas informações incluem os patches avaliados e instalados na máquina virtual e quaisquer problemas encontrados no processo.
  • <Date and Time>_<Handler action>.ext.log: existe um wrapper acima da ação de patch, que é utilizado para gerir a extensão e invocar a operação de patch específica. Este registo contém informações sobre o wrapper. Para a aplicação de patches automatizada, o registo <Date and Time>_Enable.ext.log tem informações sobre se foi invocada a operação de patch específica.
VM Windows do Azure

Para verificar se o agente de VM está em execução e acionou as ações apropriadas na máquina virtual e o número de sequência do pedido de aplicação de patches automatizada, veja o registo do agente para obter mais informações em C:\WindowsAzure\Logs\AggregateStatus. O diretório do pacote da extensão é C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Para rever os registos relacionados com todas as ações executadas pela extensão, veja mais informações em C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Inclui os seguintes dois ficheiros de registo de interesse:

  • WindowsUpdateExtension.log: contém informações relacionadas com as ações de patch. Estas informações incluem os patches avaliados e instalados na máquina virtual e quaisquer problemas encontrados no processo.
  • CommandExecution.log: existe um wrapper acima da ação de patch, que é utilizado para gerir a extensão e invocar a operação de patch específica. Este registo contém informações sobre o wrapper. Para a aplicação de patches automatizada, o registo tem informações sobre se foi invocada a operação de patch específica.

A avaliação periódica não está sendo definida corretamente quando a política de avaliação periódica é usada durante a criação para VMs especializadas, migradas e restauradas

Motivo

A avaliação periódica não está sendo definida corretamente durante a criação de VMs especializadas, migradas e restauradas devido à maneira como a política de modificação atual é projetada. Após a criação, a política mostrará esses recursos como não compatíveis no painel de conformidade.

Resolução

Execute uma tarefa de correção após a criação para corrigir recursos recém-criados. Para obter mais informações, consulte Remediar recursos não compatíveis com a Política do Azure.

O pré-requisito para aplicação de patches agendada não está definido corretamente e as agendas não são anexadas ao utilizar políticas específicas durante a criação de VMs especializadas, generalizadas, migradas e restauradas

Motivo

O pré-requisito para aplicar patches agendados e anexar agendas não está sendo definido corretamente ao utilizar o Pré-requisito Agendar atualizações recorrentes usando o Azure Update Manager e Definir pré-requisito para agendar atualizações recorrentes em políticas de máquinas virtuais do Azure durante a criação para VMs especializadas, generalizadas, migradas e restauradas devido à maneira como a política atual Implantar Se Não Existe é projetada. Após a criação, a política mostrará esses recursos como não compatíveis no painel de conformidade.

Resolução

Execute uma tarefa de correção após a criação para corrigir recursos recém-criados. Para obter mais informações, consulte Remediar recursos não compatíveis com a Política do Azure.

Problema

Há falhas de correção para VMs que têm uma referência à imagem da galeria no modo de máquina virtual. Isso ocorre porque ele requer a permissão de leitura para a imagem da galeria e atualmente não faz parte da função de Colaborador de Máquina Virtual.

Captura de tela que mostra o código de erro para a falha de correção de política.

Motivo

A função de Colaborador de Máquina Virtual não tem permissões suficientes.

Resolução

  • Para todas as novas atribuições, uma alteração recente é introduzida para fornecer a função de Colaborador à identidade gerenciada criada durante a atribuição de política para correção. No futuro, isso será atribuído para quaisquer novas atribuições.
  • Para quaisquer atribuições anteriores se você estiver enfrentando falha nas tarefas de correção, recomendamos que você atribua manualmente a função de colaborador à identidade gerenciada seguindo as etapas listadas em Conceder permissões à identidade gerenciada por meio de funções definidas
  • Além disso, em cenários em que a função de Colaborador não funciona quando os recursos vinculados (imagem de galeria ou disco) estão em outro grupo de recursos ou assinatura, forneça manualmente à identidade gerenciada as funções e permissões corretas no escopo para desbloquear correções seguindo as etapas em Conceder permissões à identidade gerenciada por meio de funções definidas.

Não é possível gerar avaliação periódica para servidores habilitados para Arc

Problema

As assinaturas nas quais os servidores habilitados para Arc estão integrados não estão produzindo dados de avaliação.

Resolução

Certifique-se de que as assinaturas dos servidores Arc estejam registradas no provedor de recursos Microsoft.Compute para que os dados de avaliação periódica sejam gerados periodicamente conforme o esperado. Mais informações

A configuração de manutenção não é aplicada quando a VM é movida para uma assinatura ou grupo de recursos diferente

Problema

Quando uma VM é movida para outra assinatura ou grupo de recursos, a configuração de manutenção agendada associada à VM não está em execução.

Resolução

Atualmente, o sistema não suporta a movimentação de recursos entre grupos de recursos ou subscrições. Como solução alternativa, siga os passos seguintes para o recurso que deseja mover. Como pré-requisito, primeiro remova a atribuição antes de seguir as etapas.

Se você estiver usando um static escopo:

  1. Mova o recurso para uma subscrição ou grupo de recursos diferente.
  2. Crie novamente a atribuição de recursos.

Se você estiver usando um dynamic escopo:

  1. Inicie ou aguarde pela próxima execução agendada. Esta ação pede ao sistema para remover completamente a atribuição, para que possa prosseguir com os passos seguintes.
  2. Mova o recurso para uma subscrição ou grupo de recursos diferente.
  3. Crie novamente a atribuição de recursos.

Se qualquer um dos passos não for executado, mova o recurso para o ID de subscrição ou grupo de recursos anterior e repita os passos.

Nota

Se o grupo de recursos for excluído, recrie-o com o mesmo nome. Se a ID da assinatura for excluída, entre em contato com a equipe de suporte para obter atenuação.

Não é possível alterar a opção de orquestração de patches para atualizações manuais a partir de atualizações automáticas

Problema

A máquina do Azure tem a opção de orquestração de patches como AutomaticByOS/Windows atualizações automáticas e você não pode alterar a orquestração de patches para Atualizações Manuais usando Alterar configurações de atualização.

Resolução

Se você não quiser que nenhuma instalação de patch seja orquestrada pelo Azure ou não estiver usando soluções de patches personalizadas, poderá alterar a opção de orquestração de patches para Agendas Gerenciadas pelo Cliente (Visualização) ou AutomaticByPlatform ByPassPlatformSafetyChecksOnUserSchedule e não associar uma configuração de agenda/manutenção à máquina. Essa configuração garante que nenhum patch seja executado na máquina até que você a altere explicitamente. Para obter mais informações, consulte Cenário 2 em Cenários de usuário.

Captura de tela que mostra uma notificação de configurações de atualização com falha.

A máquina mostra como "Não avaliado" e mostra uma exceção HRESULT

Problema

  • Você tem máquinas que aparecem como Not assessed em Conformidade e vê uma mensagem de exceção abaixo delas.
  • Você vê um HRESULT código de erro no portal.

Motivo

O Update Agent (Windows Update Agent no Windows e o gerenciador de pacotes para uma distribuição Linux) não está configurado corretamente. O Update Manager depende do Update Agent da máquina para fornecer as atualizações necessárias, o status do patch e os resultados dos patches implantados. Sem essas informações, o Update Manager não pode relatar corretamente os patches necessários ou instalados.

Resolução

Tente efetuar atualizações localmente no computador. Se essa operação falhar, isso normalmente significa que há um erro de configuração do Update Agent.

Este problema é frequentemente causado por problemas de configuração de rede e firewall. Use as seguintes verificações para corrigir o problema:

Se você vir um código de HRESULT erro, clique duas vezes na exceção exibida em vermelho para ver a mensagem de exceção inteira. Veja a tabela seguinte para obter possíveis resoluções ou ações recomendadas.

Exceção Resolução ou ação
Exception from HRESULT: 0x……C Pesquise o código de erro relevante na lista de códigos de erro do Windows Update para encontrar mais informações sobre a causa da exceção.
0x8024402C
0x8024401C
0x8024402F
Indica problemas de conectividade de rede. Garanta que o computador tem conectividade de rede para a Gestão de Atualizações. Para obter uma lista de portas e endereços necessários, consulte a seção Planejamento de rede.
0x8024001E A operação de atualização não foi concluída porque o serviço ou o sistema estava sendo desligado.
0x8024002E O serviço do Windows Update está desativado.
0x8024402C Se estiver a utilizar um servidor WSUS, certifique-se de que os valores de registo para WUServer e WUStatusServer sob a chave de HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate registo especificam o servidor WSUS correto.
0x80072EE2 Há um problema de conectividade de rede ou um problema ao falar com um servidor WSUS configurado. Verifique as definições do WSUS e garanta que o serviço se encontra acessível a partir do cliente.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) Certifique-se de que o serviço Windows Update (wuauserv) está em execução e não está desativado.
0x80070005 Um erro de acesso negado pode ser causado por qualquer um dos seguintes problemas:
- Computador infetado.
- As configurações do Windows Update não estão configuradas corretamente.
- Erro de permissão de arquivo com a %WinDir%\SoftwareDistribution pasta.
- Espaço em disco insuficiente na unidade do sistema (unidade C).
Qualquer outra exceção genérica Faça uma pesquisa na Internet para possíveis resoluções e trabalhe com o suporte de TI local.

Veja o ficheiro %Windir%\Windowsupdate.log para obter ajuda para determinar possíveis causas. Para obter mais informações sobre como ler o log, consulte Ler o arquivo Windowsupdate.log.

Também pode transferir e executar a resolução de problemas do Windows Update para verificar se existem problemas com o Windows Update no computador.

Nota

A documentação da resolução de problemas do Windows Update indica que se destina a ser utilizada em clientes Windows, mas também funciona no Windows Server.

Problemas conhecidos na aplicação de patches de agendamento

  • Para um agendamento simultâneo ou em conflito, apenas é acionado um agendamento. O outro um agendamento é acionado após a conclusão de um agendamento.
  • Se uma máquina virtual for recém-criada, o agendamento poderá ter 15 minutos de atraso no acionamento no caso de VMs do Azure.
  • A definição da política Agendar atualizações recorrentes com o Azure Update Manager com a versão 1.0.0-pré–visualização corrige os recursos com êxito. No entanto, mostra-os sempre como não estando em conformidade. O valor atual da condição de existência é um marcador de posição que é sempre avaliado como falso.

A aplicação de patches à agenda falha com um erro 'ShutdownOrUnresponsive'

Problema

A aplicação de patches agendada não instalou os patches nas VMs e dá um erro como “ShutdownOrUnresponsive”.

Resolução

As agendas acionadas em máquinas eliminadas e recriadas com o mesmo ID de recurso no espaço de 8 horas podem falhar com o erro ShutdownOrUnresponsive devido a uma limitação conhecida.

Não é possível aplicar patches para as máquinas encerradas

Problema

Os patches não estão a ser aplicados às máquinas que estão no estado de encerramento. Poderá também verificar que as máquinas estão a perder as configurações ou os calendários de manutenção associados.

Motivo

As máquinas estão em estado de paragem.

Resolução

Mantenha as suas máquinas ligadas pelo menos 15 minutos antes da atualização programada. Para mais informações, consulte Máquinas Virtuais.

A propriedade Falha com Janela de manutenção excedida de execução do patch é apresentada como true, mesmo com tempo suficiente

Problema

Quando se vê uma implementação de atualização no Histórico de atualizações, a propriedade Falha com a janela Manutenção excedida mostra-se verdadeira embora tenha sobrado tempo suficiente para a execução. Neste caso, é possível que exista um dos seguintes problemas:

  • Nenhuma atualização é mostrada.
  • Uma ou mais atualizações estão em estado Pending.
  • O estado da reinicialização é v, mas não foi tentada uma reinicialização mesmo quando a definição de reinicialização passada era IfRequired ou Always.

Motivo

Durante uma implementação de atualizações, a utilização da Janela de manutenção é verificada em vários passos. Dez minutos da Janela de manutenção são reservados para reiniciar a qualquer momento. Antes de obter uma lista de atualizações ou transferências em falta ou instalações de qualquer atualização (exceto atualizações do service pack do Windows), a implementação verifica se há 15 minutos + 10 minutos para reiniciar (ou seja, 25 minutos restantes na Janela de manutenção).

Para atualizações do service pack do Windows, a implementação verifica se há 20 minutos + 10 minutos para reiniciar (ou seja, 30 minutos). Se a implementação não tiver tempo suficiente, ignorará a verificação/transferência/instalação de atualizações. Em seguida, a execução da implementação verifica se é necessário reiniciar e se restam 10 minutos na Janela de manutenção. Se houver, a implementação aciona um reinício. Caso contrário, o reinício será ignorado.

Nesses casos, o estado é atualizado para Falha e a propriedade Janela de manutenção excedida é atualizada para true. Para os casos em que o tempo restante é inferior a 25 minutos, as atualizações não são verificadas nem tentadas para instalação.

Para obter mais informações, veja os registos no caminho do ficheiro indicado na mensagem de erro da execução da implementação.

Resolução

Defina um intervalo de tempo mais longo para a duração máxima quando estiver a acionar uma implementação de atualização a pedido para ajudar a evitar o problema.

A extensão de atualização do sistema operacional Windows/Linux não está instalada

Problema

A extensão Windows/Linux OS Update deve ser instalada com êxito em máquinas Arc para executar avaliações sob demanda, patches e patches agendados.

Resolução

Acione uma avaliação sob demanda ou aplicação de patches para instalar a extensão na máquina. Você também pode anexar a máquina a um cronograma de configuração de manutenção que instalará a extensão quando a aplicação de patches for executada de acordo com a programação.

Se a extensão já estiver presente na máquina, mas o status da extensão não for Bem-sucedido, certifique-se de remover a extensão e acionar uma operação sob demanda para que ela seja instalada novamente.

A extensão de atualização de patch do Windows/Linux não está instalada

Problema

A extensão de atualização de patch do Windows/Linux deve ser instalada com êxito em máquinas do Azure para executar avaliações ou patches sob demanda, patches agendados e para avaliações periódicas.

Resolução

Acione uma avaliação sob demanda ou aplicação de patches para instalar a extensão na máquina. Você também pode anexar a máquina a um cronograma de configuração de manutenção que instalará a extensão quando a aplicação de patches for executada de acordo com a programação.

Se a extensão já estiver presente na máquina, mas o status da extensão não for Bem-sucedido, certifique-se de remover a extensão e acionar uma operação sob demanda que a instalará novamente.

Falha na verificação de Permitir Operações de Extensão

Problema

A propriedade AllowExtensionOperations é definida como false na máquina OSProfile.

Resolução

A propriedade deve ser definida como true para permitir que as extensões funcionem corretamente.

Privilégios Sudo não presentes

Problema

Os privilégios Sudo não são concedidos às extensões para operações de avaliação ou aplicação de patches em máquinas Linux.

Resolução

Conceda privilégios sudo para garantir que as operações de avaliação ou aplicação de patches sejam bem-sucedidas.

O proxy está configurado

Problema

O proxy é configurado em máquinas Windows ou Linux que podem bloquear o acesso aos pontos de extremidade necessários para que as operações de avaliação ou aplicação de patches sejam bem-sucedidas.

Resolução

Para Windows, consulte problemas relacionados ao proxy.

Para Linux, certifique-se de que a configuração de proxy não bloqueie o acesso a repositórios necessários para baixar e instalar atualizações.

Falha na verificação do TLS 1.2

Problema

TLS 1.0 e TLS 1.1 foram preteridos.

Resolução

Use TLS 1.2 ou superior.

Para Windows, consulte Protocolos em SSP Schannel TLS/SSL.

Para Linux, execute o seguinte comando para ver as versões suportadas do TLS para sua distro. nmap --script ssl-enum-ciphers -p 443 www.azure.com

Falha na verificação de conexão https

Problema

A conexão https não está disponível, o que é necessário para baixar e instalar atualizações de pontos de extremidade necessários para cada sistema operacional.

Resolução

Permita a conexão Https da sua máquina.

O serviço MsftLinuxPatchAutoAssess não está em execução ou o Time não está ativo

Problema

MsftLinuxPatchAutoAssess é necessário para avaliações periódicas bem-sucedidas em máquinas Linux.

Resolução

Certifique-se de que o status LinuxPatchExtension foi bem-sucedido para a máquina. Reinicialize a máquina para verificar se o problema foi resolvido.

Os repositórios Linux não estão acessíveis

Problema

As atualizações são baixadas de repositórios públicos ou privados configurados para cada distro Linux. A máquina não consegue se conectar a esses repositórios para baixar ou avaliar as atualizações.

Resolução

Certifique-se de que as regras de segurança de rede não impeçam a conexão com os repositórios necessários para operações de atualização.

Próximos passos