Delen via

Bekende problemen met Azure Update Manager oplossen

In dit artikel worden de fouten beschreven die kunnen optreden wanneer u Azure Update Manager implementeert of gebruikt, hoe u deze kunt oplossen en de bekende problemen en beperkingen van geplande patches.

Algemene probleemoplossing

De volgende informatie over probleemoplossing is van toepassing op de virtuele Azure-machines (VM's) met betrekking tot de patchextensie op Windows- en Linux-machines.

Linux-VM

Als u wilt controleren of de Azure VM-agent de juiste acties op de computer uitvoert en activeert en om het volgnummer voor de automatische patchaanvraag te controleren, controleert u het agentlogboek /var/log/waagent.log. Aan elke aanvraag voor automatische patching is een uniek volgnummer gekoppeld op de computer. Zoek naar een logboek dat vergelijkbaar is met 2021-01-20T16:57:00.607529Z INFO ExtHandler.

De pakketmap voor de extensie is /var/lib/waagent/Microsoft.CPlat.Core.LinuxPatchExtension-<version>. De submap /status bevat een <sequence number>.status bestand. Het bevat een korte beschrijving van de acties die worden uitgevoerd tijdens één aanvraag voor automatische patches en de status. Het bevat ook een korte lijst met fouten die zijn opgetreden tijdens updates.

Als u de logboeken wilt bekijken die betrekking hebben op alle acties die door de extensie zijn uitgevoerd, gaat u naar /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Deze map bevat de volgende logboekbestanden die van belang zijn:

  • <seq number>.core.log: Dit bestand bevat informatie met betrekking tot de patchacties. De informatie bevat patches die op de computer zijn beoordeeld en geïnstalleerd, samen met eventuele problemen die in het proces zijn opgetreden.
  • <Date and Time>_<Handler action>.ext.log: Een wrapper boven de patchactie wordt gebruikt om de extensie te beheren en een specifieke patchbewerking aan te roepen. Dit logboek bevat informatie over de wrapper. Voor automatische patching bevat het <Date and Time>_Enable.ext.log bestand informatie over of de specifieke patchbewerking is aangeroepen.

Windows-VM

Als u wilt controleren of de VM-agent draait en de juiste acties op de machine heeft uitgevoerd, en om het volgnummer van de automatische patchaanvraag te controleren, bekijkt u het agentlogboek in C:\WindowsAzure\Logs\AggregateStatus. De pakketmap voor de extensie is C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Als u de logboeken wilt bekijken die betrekking hebben op alle acties die door de extensie zijn uitgevoerd, gaat u naar C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Deze map bevat de volgende logboekbestanden die van belang zijn:

  • WindowsUpdateExtension.log: Dit bestand bevat informatie met betrekking tot de patchacties. De informatie bevat patches die op de computer zijn beoordeeld en geïnstalleerd, samen met eventuele problemen die in het proces zijn opgetreden.
  • CommandExecution.log: Een wrapper boven de patchactie wordt gebruikt om de extensie te beheren en een specifieke patchbewerking aan te roepen. Dit logboek bevat informatie over de wrapper. Voor automatische patching bevat het logboek informatie over of de specifieke patchbewerking is aangeroepen.

Periodieke evaluatie is niet juist ingesteld

Probleem

Periodieke evaluatie wordt niet correct ingesteld tijdens het maken van resources voor gespecialiseerde, gemigreerde en herstelde VM's.

Oorzaak

Het ontwerp van het huidige wijzigingsbeleid is van invloed op de evaluatie. Nadat de resource is aangemaakt, worden deze bronnen weergegeven als niet-conform op het nalevingsdashboard.

Oplossing

Voer een hersteltaak uit voor nieuw gemaakte resources. Zie Niet-compatibele resources herstellen met Azure Policy voor meer informatie.

Vereiste voor geplande patching is niet juist ingesteld

Probleem

Wanneer u terugkerende updates plant met behulp van Azure Update Manager en vereisten instelt voor het plannen van terugkerende updates op virtuele Azure-machines tijdens het maken van resources voor gespecialiseerde, gegeneraliseerde, gemigreerde en herstelde VM's:

  • De vereiste voor geplande patching is niet juist ingesteld.
  • Er zijn geen schema's bijgevoegd.

Oorzaak

Het ontwerp van het beleid Implementeren indien niet bestaat heeft invloed op de geplande patching. Nadat de resource is gemaakt, worden deze resources als niet-conform weergegeven op het nalevingsdashboard.

Oplossing

Voer een hersteltaak uit voor nieuw gemaakte resources. Zie Niet-compatibele resources herstellen met Azure Policy voor meer informatie.

Beleidshersteltaken mislukken voor systeemafbeeldingen

Probleem

Beleidresolutietaken mislukken voor galerijafbeeldingen en afbeeldingen met versleutelde schijven. Er zijn oplossingsfouten voor VM's in de VM-modus die verwijzen naar een galerie-afbeelding. De beheerde identiteit vereist leesmachtiging voor de galerie-afbeelding en maakt momenteel geen deel uit van de rol Bijdrager voor virtuele machines.

Schermopname van de foutcode voor de beleidsherstelfout.

Oorzaak

De rol Inzender voor virtuele machines heeft niet voldoende machtigingen.

Oplossing

Voor alle nieuwe toewijzingen verleent een recente wijziging de rol Medewerker aan de aangemaakte beheerde identiteit voor hersteltaken.

Als er een fout optreedt bij het oplossen van hersteltaken voor eerdere toewijzingen, raden we u aan de rol van inzender handmatig toe te wijzen aan de beheerde identiteit door de stappen in Machtigingen verlenen aan de beheerde identiteit te volgen via gedefinieerde rollen.

In situaties waarin de rol Bijdrager niet werkt wanneer de gekoppelde resources (galerie-afbeeldingen of schijven) zich in een andere resourcegroep of een ander abonnement bevinden, geeft u de beheerde identiteit handmatig de juiste rollen en machtigingen voor het bereik om de blokkering van herstelbewerkingen op te heffen. Volg de stappen in Machtigingen verlenen aan de beheerde identiteit via gedefinieerde rollen.

U kunt geen periodieke evaluatie genereren voor servers met Azure Arc

Probleem

De abonnementen waarin de servers met Azure Arc worden toegevoegd, produceren geen evaluatiegegevens.

Oorzaak

De abonnementen zijn niet geregistreerd bij de juiste resourceprovider.

Oplossing

Zorg ervoor dat de serverabonnementen met Azure Arc zijn geregistreerd bij de Microsoft.Compute-resourceprovider, zodat de periodieke evaluatiegegevens periodiek worden gegenereerd zoals verwacht. Meer informatie.

De onderhoudsconfiguratie wordt niet toegepast wanneer u een VIRTUELE machine verplaatst

Probleem

Wanneer u een VIRTUELE machine verplaatst naar een ander abonnement of een andere resourcegroep, wordt de geplande onderhoudsconfiguratie die is gekoppeld aan de VIRTUELE machine niet uitgevoerd.

Oorzaak

Onderhoudsconfiguraties bieden momenteel geen ondersteuning voor het verplaatsen van toegewezen resources in resourcegroepen of abonnementen.

Oplossing

Gebruik als tijdelijke oplossing de volgende stappen voor de resource die u wilt verplaatsen.

Als u een static bereik gebruikt:

  1. Verwijder de resourcetoewijzing.
  2. Verplaats de resource naar een andere resourcegroep of abonnement.
  3. Resourcetoewijzingen opnieuw maken.

Als u een dynamic bereik gebruikt:

  1. Start of wacht op de volgende geplande uitvoering. Met deze actie wordt het systeem gevraagd de toewijzing volledig te verwijderen, zodat u verder kunt gaan met de volgende stappen.
  2. Verplaats de resource naar een andere resourcegroep of abonnement.
  3. Resourcetoewijzingen opnieuw maken.

Als u een van de stappen mist, verplaatst u de resource naar de vorige resourcegroep of abonnements-id en voert u de stappen opnieuw uit.

Notitie

Als de resourcegroep wordt verwijderd, maakt u deze opnieuw met dezelfde naam. Als de abonnements-id is verwijderd, neemt u contact op met het ondersteuningsteam voor risicobeperking.

U kunt patchindeling niet wijzigen van automatisch naar handmatig

Probleem

U wilt ervoor zorgen dat de Windows Update-client geen patches installeert op uw Windows Server-exemplaar, dus u wilt de patchinstelling instellen op handmatig. U kunt de patchindeling echter niet wijzigen in handmatige updates met behulp van update-instellingen wijzigen.

Oorzaak

De Azure-machine heeft de optie patch orchestratie met AutomaticByOS/Windows automatische updates.

Oplossing

Als u niet wilt dat Azure een patchinstallatie indeelt of als u geen aangepaste patchoplossingen gebruikt, kunt u de optie voor patchindeling wijzigen in door de klant beheerde planningen (preview) ( of AutomaticByPlatform en ByPassPlatformSafetyChecksOnUserSchedule) en geen plannings- of onderhoudsconfiguratie aan de machine koppelen. Deze instelling zorgt ervoor dat er geen patching op de computer wordt uitgevoerd totdat u deze expliciet wijzigt.

Schermopname van een melding van mislukte update-instellingen.

Machine wordt niet beoordeeld en toont een HRESULT-uitzondering

Probleem

U hebt machines die worden weergegeven als Niet beoordeeld onder Naleving en u ziet een uitzonderingsbericht eronder. Of u ziet een HRESULT foutcode in de portal.

Oorzaak

De updateagent (Windows Update Agent in Windows en pakketbeheer voor een Linux-distributie) is niet juist geconfigureerd. Updatebeheer is afhankelijk van de updateagent van de machine om de benodigde updates, de status van de patch en de resultaten van geïmplementeerde patches te bieden. Zonder deze informatie kan Updatebeheer niet goed rapporteren over de patches die nodig of geïnstalleerd zijn.

Oplossing

Voer updates lokaal uit op de computer. Als deze bewerking mislukt, betekent dit meestal dat er een configuratiefout is voor de updateagent. Het probleem oplossen:

Als u een HRESULT foutcode ziet, dubbelklikt u op de uitzondering die rood wordt weergegeven om het hele uitzonderingsbericht weer te geven. Bekijk de volgende tabel voor mogelijke oplossingen of aanbevolen acties.

Uitzondering Oplossing of actie
Exception from HRESULT: 0x……C Zoek de relevante foutcode in de lijst met foutcodes voor Windows Update voor meer informatie over de oorzaak van de uitzondering.
0x8024402C
0x8024401C
0x8024402F		 Deze uitzondering duidt op problemen met de netwerkverbinding. Zorg ervoor dat uw computer netwerkconnectiviteit heeft met Updatebeheer. Zie Netwerkplanning voor een lijst met vereiste poorten en adressen.
0x8024001E De updatebewerking is niet voltooid omdat de service of het systeem werd afgesloten. Voer de bewerking opnieuw uit.
0x8024002E De Windows Update-service is uitgeschakeld. Schakel de service in.
0x8024402C Als u een WSUS-server gebruikt, moet u ervoor zorgen dat de registerwaarden voor WUServer en WUStatusServer onder de HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate registersleutel de juiste WSUS-server opgeven.
0x80072EE2 Er is een netwerkverbindingsprobleem of een probleem bij het communiceren met een geconfigureerde WSUS-server. Controleer de WSUS-instellingen en zorg ervoor dat de service toegankelijk is vanaf de client.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) Zorg ervoor dat de Windows Update-service (wuauserv) wordt uitgevoerd en niet is uitgeschakeld.
0x80070005 Een van de volgende problemen kan een fout 'toegang geweigerd' veroorzaken:
- Geïnfecteerde computer.
- Windows Update-instellingen zijn niet juist geconfigureerd.
- Fout bij bestandsmachtiging met de %WinDir%\SoftwareDistribution map.
- Onvoldoende schijfruimte op het systeemstation (C:)
Andere algemene uitzonderingen Voer een zoekopdracht uit op internet voor mogelijke oplossingen en werk samen met uw lokale IT-ondersteuning.

U kunt ook het bestand %Windir%\Windowsupdate.log raadplegen als hulp bij het vaststellen van mogelijke oorzaken. Zie Logboekbestanden van Windows Update voor meer informatie over het lezen van het logboek.

U kunt ook de probleemoplosser voor Windows Update downloaden en uitvoeren om te controleren op problemen met Windows Update op de computer. De probleemoplosser werkt op zowel Windows-clients als Windows Server.

Er wordt een interne uitvoeringsfout weergegeven

Probleem

UpdateBeheer kan de VM niet patchen en er wordt een interne uitvoeringsfout gegenereerd. De bewerking retourneert geen antwoord en is mogelijk onvolledig.

Oorzaak

Dit probleem kan optreden vanwege een tijdelijk probleem of communicatiefout tussen Updatebeheer en de VM. Veelvoorkomende oorzaken zijn onder andere:

  • Een tijdelijk platform- of back-endserviceprobleem.
  • Een niet-reagerende of verouderde Azure VM-agent.
  • Een VM die zwaar wordt belast of opnieuw wordt opgestart tijdens de bewerking.
  • Een netwerk- of verbindingsprobleem.

Oplossing

  • Probeer de update na een paar minuten opnieuw uit te voeren.
  • Zorg ervoor dat de VM-agent gezond is en up-to-date.
  • Als de agentstatus Not Ready weergeeft, start u de VIRTUELE machine opnieuw op.
  • Controleer het gebruik van VM-resources (CPU, geheugen, schijf). Start indien nodig opnieuw op.
  • Controleer de netwerkverbinding met Azure-services.
  • Bekijk logboeken op de VM en Updatebeheer voor meer informatie.

Geplande patching werkt niet

Voor een gelijktijdige of tegenstrijdige planning wordt slechts één schema geactiveerd. Het andere schema wordt geactiveerd nadat de eerste planning is voltooid.

Als een machine zojuist is gemaakt, kan het schema in het geval van Azure VM's 15 minuten vertraging bij het starten van triggers hebben.

U krijgt een Shutdown of Ongevoeligheidsfout

Probleem

Geplande patching installeert de patches niet op de VM's en geeft een ShutdownOrUnresponsive fout.

Oorzaak

Een bekende beperking kan ertoe leiden dat schema's die worden geactiveerd op machines die binnen 8 uur zijn verwijderd en opnieuw zijn gemaakt met dezelfde resource-ID, mislukken met deze fout.

Oplossing

Het probleem treedt niet op na de periode van 8 uur.

U kunt geen patches toepassen op uitgeschakelde machines.

Probleem

Patches worden niet toegepast op de computers die de afsluitstatus hebben. Mogelijk merkt u ook dat machines hun bijbehorende onderhoudsconfiguraties of -planningen kwijtraken.

Oorzaak

De machines hebben de status afgesloten.

Oplossing

Zorg ervoor dat uw machines ten minste 15 minuten vóór de geplande update zijn ingeschakeld. Zie Computers afsluiten voor meer informatie.

Updategeschiedenis geeft onjuist aan dat u het onderhoudsvenster hebt overschreden

Probleem

Wanneer u een update-implementatie bekijkt in geschiedenis van updates, is de eigenschap Mislukt met overschrijding van het onderhoudsvensterwaar, ook al was er nog genoeg tijd over voor de uitvoering. In dit geval is een van de volgende problemen mogelijk:

  • Er worden geen updates weergegeven.
  • Een of meer updates hebben de status In behandeling.
  • De herstartstatus is vereist, maar er is niet geprobeerd opnieuw op te starten, zelfs niet wanneer de instelling voor opnieuw opstarten was IfRequired of Always.

Oorzaak

Tijdens een update-implementatie wordt het gebruik van onderhoudsvensters gecontroleerd bij meerdere stappen. Tien minuten van het onderhoudsvenster zijn op elk gewenst moment gereserveerd voor opnieuw opstarten.

Voordat de implementatie een lijst met ontbrekende updates ontvangt of een update downloadt of installeert, wordt gecontroleerd of er voldoende tijd in het onderhoudsvenster blijft:

  • Alle updates behalve het Windows-servicepack: 15 minuten + 10 minuten voor opnieuw opstarten, in totaal 25 minuten.
  • Updates voor Windows-servicepacks: 20 minuten + 10 minuten voor opnieuw opstarten, in totaal 30 minuten.

Als de implementatie onvoldoende tijd over heeft, wordt de scan, het downloaden en installeren van updates overgeslagen. De implementatie wordt uitgevoerd en controleert vervolgens of opnieuw opstarten nodig is en of 10 minuten in het onderhoudsvenster blijven. Als dat het geval is, zorgt de implementatie voor een herstart. Anders wordt het opnieuw opstarten overgeslagen.

In dergelijke gevallen wordt de status bijgewerkt naar Mislukt en wordt de eigenschap Onderhoudsvenster overschredenwaar. Voor gevallen waarin de tijd minder dan 25 minuten is, worden updates niet gescand of geprobeerd om te worden geïnstalleerd.

Raadpleeg de logboeken in het bestandspad dat is opgegeven in het foutbericht van de implementatieuitvoering voor meer informatie.

Oplossing

Stel een langer tijdsbereik in voor maximale duur wanneer u een update-implementatie op aanvraag activeert.

Update-extensie voor Windows/Linux-besturingssysteem is niet geïnstalleerd

Probleem

U kunt geen patches uitvoeren op machines met Azure Arc.

Oorzaak

De update-extensie voor het Windows-/Linux-besturingssysteem moet zijn geïnstalleerd op machines met Azure Arc om evaluaties op aanvraag, patches en geplande patches uit te voeren.

Oplossing

Activeer een evaluatie op aanvraag of patching om de extensie op de computer te installeren. U kunt de machine ook koppelen aan een onderhoudsconfiguratieschema, waarmee de extensie wordt geïnstalleerd wanneer patches worden uitgevoerd volgens de planning.

Als de extensie al aanwezig is op een machine met Azure Arc, maar de extensiestatus niet is voltooid, verwijdert u de extensie en activeert u vervolgens een bewerking op aanvraag om deze opnieuw te installeren.

Update-extensie voor Windows-/Linux-patches is niet geïnstalleerd

Probleem

U kunt geen patches uitvoeren op Virtuele Azure-machines.

Oorzaak

De update-extensie voor Windows-/Linux-patches moet zijn geïnstalleerd op Azure-machines om evaluatie op aanvraag of patching, geplande patching en periodieke evaluaties uit te voeren.

Oplossing

Activeer een evaluatie op aanvraag of patching om de extensie op de computer te installeren. U kunt de machine ook koppelen aan een onderhoudsconfiguratieschema, waarmee de extensie wordt geïnstalleerd wanneer patches worden uitgevoerd volgens de planning.

Als de extensie al aanwezig is op de computer, maar de extensiestatus niet is voltooid, verwijdert u de extensie en activeert u vervolgens een bewerking op aanvraag om deze opnieuw te installeren.

Extensiecontrole mislukt

Probleem

De controle om ervoor te zorgen dat de eigenschap AllowExtensionOperations correct is ingesteld, mislukt.

Oorzaak

De AllowExtensionOperations eigenschap is ingesteld op false in de interface van de OSProfile machine.

Oplossing

Als u wilt toestaan dat extensies goed werken, stelt u de eigenschap in op true.

Sudo-bevoegdheden zijn niet aanwezig

Probleem

Mogelijk ziet u de volgende uitzondering:

EXCEPTION: Exception('Unable to invoke sudo successfully. Output: root is not in the sudoers file. This incident will be reported. False ',)

Oorzaak

Sudo-bevoegdheden worden niet verleend aan de extensies voor evaluatie- of patchbewerkingen op Linux-machines.

UpdateBeheer vereist een hoog niveau van machtigingen vanwege de vele onderdelen die kunnen worden bijgewerkt met Update Manager (inclusief kernelstuurprogramma's en besturingssysteembeveiligingspatching). De Update Manager-extensies gebruiken het root account voor bewerkingen.

Oplossing

Ververleent sudo-bevoegdheden om ervoor te zorgen dat de evaluatie- of patchbewerkingen slagen. U moet het hoofdaccount toevoegen aan het /etc/sudoers bestand:

  1. Open het sudoers bestand voor bewerken:

    sudo visudo

  2. Voeg de volgende vermelding toe aan het einde van sudoers het bestand:

    root ALL=(ALL) ALL

  3. Sla de editor op en sluit deze met de sneltoets Ctrl+X . Als u de vi-editor gebruikt, kunt u typen :wq en vervolgens de Enter-toets selecteren.

Proxy is geconfigureerd

Probleem

Een proxy blokkeert de toegang tot eindpunten die vereist zijn voor evaluatie- of patchbewerkingen om te slagen.

Oorzaak

Er is een proxy geconfigureerd op uw Windows- of Linux-machines.

Oplossing

Zie Problemen met betrekking tot HTTP/Proxy voor Windows.

Voor Linux moet u ervoor zorgen dat de proxy-installatie de toegang tot opslagplaatsen die vereist zijn voor het downloaden en installeren van updates niet blokkeert.

TLS 1.2-controle mislukt

Probleem

De controle om ervoor te zorgen dat u TLS 1.2 gebruikt, mislukt.

Oorzaak

U gebruikt TLS 1.0 of TLS 1.1. Deze versies zijn afgeschaft.

Oplossing

Gebruik TLS 1.2 of hoger.

Zie Protocollen in TLS/SSL (Schannel SSP) voor Windows.

Voer voor Linux de volgende opdracht uit om de ondersteunde versies van TLS voor uw distributie te bekijken: nmap --script ssl-enum-ciphers -p 443 www.azure.com

HTTPS-verbindingscontrole mislukt

Probleem

De controle om ervoor te zorgen dat de beschikbaarheid van een HTTPS-verbinding mislukt.

Oorzaak

Er is geen HTTPS-verbinding beschikbaar. Deze verbinding is vereist voor het downloaden en installeren van updates van de benodigde eindpunten voor elk besturingssysteem.

Oplossing

Sta een HTTPS-verbinding toe vanaf uw computer.

De MsftLinuxPatchAutoAssess-service wordt niet uitgevoerd of er treedt een time-out op

Probleem

Periodieke evaluaties werken niet op uw Linux-machines.

Oorzaak

De MsftLinuxPatchAutoAssess-service is vereist voor succesvolle periodieke evaluaties.

Oplossing

Zorg ervoor dat de LinuxPatchExtension status voor de machine is succeeded . Start de computer opnieuw op om te controleren of het probleem is opgelost.

Linux-opslagplaatsen zijn niet toegankelijk

Probleem

Updates worden gedownload uit geconfigureerde openbare of persoonlijke opslagplaatsen voor elke Linux-distributie. De computer kan geen verbinding maken met deze opslagplaatsen om de updates te downloaden of te evalueren.

Oorzaak

Netwerkbeveiligingsregels kunnen belangrijke verbindingen blokkeren.

Oplossing

Zorg ervoor dat netwerkbeveiligingsregels de verbindingen van uw computer met vereiste opslagplaatsen niet belemmeren voor updatebewerkingen.

Verwante inhoud

  • Last updated on