Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve os erros que podem ocorrer ao implantar ou usar o Gerenciador de Atualizações do Azure, como resolvê-los e os problemas conhecidos e as limitações da aplicação de patch agendada.
Solução de problemas gerais
As informações de solução de problemas a seguir se aplicam às VMs (máquinas virtuais) do Azure relacionadas à extensão de patch em computadores Windows e Linux.
Linux VM
Para verificar se o agente de VM do Azure está em execução e disparou as ações apropriadas no computador, e para verificar o número de sequência da solicitação de aplicação de patch automática, consulte o log do agente em /var/log/waagent.log. Cada solicitação de atualização automática de patch possui um número de sequência único associado a ela na máquina. Procure um log semelhante a 2021-01-20T16:57:00.607529Z INFO ExtHandler.
O diretório do pacote para a extensão é /var/lib/waagent/Microsoft.CPlat.Core.LinuxPatchExtension-<version>. A subpasta /status tem um arquivo <sequence number>.status. Ele inclui uma breve descrição das ações executadas durante uma única solicitação de aplicação de patch automática e o status. Ele também inclui uma pequena lista de erros que ocorreram durante as atualizações.
Para examinar os logs relacionados a todas as ações executadas pela extensão, vá para /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Esta pasta inclui os seguintes arquivos de log de interesse:
-
<seq number>.core.log: este arquivo contém informações relacionadas às ações de patch. As informações incluem patches avaliados e instalados no computador, juntamente com quaisquer problemas encontrados no processo. -
<Date and Time>_<Handler action>.ext.log: um wrapper acima da ação de patch é usado para gerenciar a extensão e invocar uma operação de patch específica. Esse log contém informações sobre o wrapper. Para a aplicação automática de patch, o<Date and Time>_Enable.ext.logarquivo tem informações sobre se a operação de patch específica foi invocada.
Windows VM
Para verificar se o agente de VM está em execução e disparou as ações apropriadas no computador, e para verificar o número de sequência da solicitação de aplicação de patch automática, consulte o log do agente em C:\WindowsAzure\Logs\AggregateStatus. O diretório do pacote para a extensão é C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.
Para examinar os logs relacionados a todas as ações executadas pela extensão, vá para C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Esta pasta inclui os seguintes arquivos de log de interesse:
-
WindowsUpdateExtension.log: este arquivo contém informações relacionadas às ações de patch. As informações incluem patches avaliados e instalados no computador, juntamente com quaisquer problemas encontrados no processo. -
CommandExecution.log: um wrapper acima da ação de patch é usado para gerenciar a extensão e invocar uma operação de patch específica. Esse log contém informações sobre o wrapper. Para a aplicação automática de patch, o log tem informações sobre se a operação de patch específica foi invocada.
A avaliação periódica não está definida corretamente
Problema
A avaliação periódica não está sendo definida corretamente durante a criação de recursos para VMs especializadas, migradas e restauradas.
Causa
O design da política de modificação atual está afetando a avaliação. Após a criação do recurso, a política mostra esses recursos como não compatíveis no painel de conformidade.
Resolução
Execute uma tarefa de remediação para recursos recém-criados. Para obter mais informações, consulte Remediar recursos não compatíveis com o Azure Policy.
O pré-requisito para a aplicação de patch agendada não está definido corretamente
Problema
Quando você estiver usando o Agendamento de atualizações recorrentes usando o Gerenciador de Atualizações do Azure e definir pré-requisitos para agendar atualizações recorrentes em políticas de máquinas virtuais do Azure durante a criação de recursos para VMs especializadas, generalizadas, migradas e restauradas:
- O pré-requisito para a aplicação de patch agendada não está definido corretamente.
- Os agendamentos não estão anexados.
Causa
O design da política Implantar se não existir está afetando a aplicação de patch agendada. Após a criação do recurso, a política mostra esses recursos como não compatíveis no painel de conformidade.
Resolução
Executar uma tarefa de remediação para recursos recém-criados. Para obter mais informações, consulte Remediar recursos não compatíveis com o Azure Policy.
As tarefas de correção de política estão falhando para imagens
Problema
As tarefas de correção de política estão falhando para imagens da galeria e para imagens com discos criptografados. Há falhas de correção para VMs que têm referência a uma imagem de galeria no modo VM. A identidade gerenciada requer permissão de leitura para a imagem da galeria e atualmente não faz parte da função Colaborador da Máquina Virtual.
Causa
A função Colaborador de Máquina Virtual não tem permissões suficientes.
Resolução
Para todas as novas atribuições, uma alteração recente concede a função Colaborador à identidade gerenciada criada para tarefas de correção.
Se você estiver enfrentando falhas nas tarefas de remediação para quaisquer atribuições anteriores, recomendamos que você conceda manualmente a função de colaborador à identidade gerenciada seguindo as etapas em Conceder permissões à identidade gerenciada por meio de funções definidas.
Em cenários em que a função Colaborador não funciona quando os recursos vinculados (imagem de galeria ou disco) estão em outro grupo de recursos ou assinatura, forneça manualmente à identidade gerenciada as funções e permissões corretas no escopo para desbloquear as correções. Siga as etapas em Conceder permissões à identidade gerenciada por meio de funções definidas.
Você não pode gerar avaliação periódica para servidores habilitados para Azure Arc
Problema
As assinaturas nas quais os servidores habilitados para Azure Arc estão integrados não estão produzindo dados de avaliação.
Causa
As assinaturas não estão registradas no provedor de recursos correto.
Resolução
Verifique se as assinaturas de servidor habilitadas para Azure Arc estão registradas no provedor de recursos Microsoft.Compute para que os dados periódicos de avaliação sejam gerados periodicamente conforme o esperado. Saiba mais.
A configuração de manutenção não é aplicada quando você move uma VM
Problema
Quando você move uma VM para outra assinatura ou grupo de recursos, a configuração de manutenção agendada associada à VM não está em execução.
Causa
Atualmente, as configurações de manutenção não dão suporte à movimentação de recursos atribuídos entre grupos de recursos ou assinaturas.
Resolução
Como solução alternativa, use as seguintes etapas para o recurso que você deseja mover.
Se você estiver usando um escopo static:
- Remova a atribuição de recurso.
- Mova o recurso para um grupo de recursos ou assinatura diferente.
- Crie novamente a atribuição de recursos.
Se você estiver usando um escopo dynamic:
- Iniciar ou aguardar a próxima execução agendada. Essa ação solicita que o sistema remova completamente a atribuição para que você possa prosseguir com as próximas etapas.
- Mova o recurso para um grupo de recursos ou assinatura diferente.
- Crie novamente a atribuição de recursos.
Se você perder qualquer uma das etapas, mova o recurso para o grupo de recursos anterior ou a ID da assinatura e tente novamente as etapas.
Observação
Se o grupo de recursos for excluído, recrie-o com o mesmo nome. Se a ID da assinatura for excluída, entre em contato com a equipe de suporte para mitigação.
Não é possível alterar a orquestração de patches de automático para manual
Problema
Você deseja garantir que o cliente do Windows Update não instale patches na instância do Windows Server, portanto, você deseja definir a configuração de patch como manual. Mas você não pode alterar a orquestração de patch para atualizações manuais usando Alterar as configurações de atualização.
Causa
O computador Azure tem a opção de orquestração de patch como AutomaticByOS/Windows atualizações automáticas.
Resolução
Se você não quiser que o Azure orquestrou qualquer instalação de patch ou não estiver usando soluções de aplicação de patch personalizadas, altere a opção de orquestração de patch para Agendas Gerenciadas pelo Cliente (Versão Prévia) (ou AutomaticByPlatform e ByPassPlatformSafetyChecksOnUserSchedule) e não associe uma configuração de agendamento ou manutenção ao computador. Essa configuração garante que nenhuma aplicação de patch seja executada no computador até que você a altere explicitamente.
O computador não é avaliado e mostra uma exceção HRESULT
Problema
Você tem computadores que aparecem como Não avaliados em Conformidade e você vê uma mensagem de exceção abaixo deles. Ou você verá um HRESULT código de erro no portal.
Causa
O agente de atualização (Windows Update Agent no Windows e o gerenciador de pacotes para uma distribuição do Linux) não está configurado corretamente. O Gerenciador de Atualizações conta com o agente de atualização do computador para fornecer as atualizações necessárias, o status do patch e os resultados dos patches implantados. Sem essas informações, o Gerenciador de Atualizações não pode relatar corretamente sobre os patches necessários ou instalados.
Resolução
Tente realizar atualizações localmente no computador. Se essa operação falhar, normalmente significa que há um erro de configuração para o agente de atualização. Para corrigir o problema:
Para Linux, verifique a documentação apropriada para garantir que você possa acessar o ponto de extremidade de rede do repositório de pacotes.
Para o Windows, verifique a configuração do seu agente conforme descrito em As atualizações não estão sendo baixadas do ponto de extremidade da intranet (WSUS ou Configuration Manager):
- Se os computadores estiverem configurados para Windows Update, verifique se você pode acessar os pontos de extremidade descritos em Problemas relacionados a HTTP/proxy.
- Se os computadores estiverem configurados para o Windows Server Update Services (WSUS), verifique se você pode acessar o servidor do WSUS configurado pela chave do registro WUServer.
Se você vir um código de erro HRESULT, clique duas vezes na exceção exibida em vermelho para ver toda a mensagem de exceção. Examine a tabela a seguir para saber as possíveis soluções ou ações recomendadas.
| Exceção | Resolução ou ação |
|---|---|
Exception from HRESULT: 0x……C |
Pesquise o código de erro relevante na lista de códigos de erro do Windows Update para encontrar mais informações sobre a causa da exceção. |
0x8024402C0x8024401C0x8024402F |
Essa exceção indica problemas de conectividade de rede. Verifique se o computador tem conectividade de rede com o Gerenciador de Atualizações. Para obter uma lista de portas e endereços necessários, consulte o planejamento de rede. |
0x8024001E |
A operação de atualização não foi concluída porque o serviço ou o sistema estava sendo desligado. Repita a operação. |
0x8024002E |
O serviço Windows Update está desabilitado. Habilite o serviço. |
0x8024402C |
Se você estiver usando um servidor WSUS, verifique se os valores do registro para WUServer e WUStatusServer sob a chave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate especificam o servidor WSUS correto. |
0x80072EE2 |
Há um problema de conectividade de rede ou um problema na comunicação com um servidor WSUS configurado. Verifique as configurações do WSUS e verifique se o serviço está acessível no cliente. |
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) |
Verifique se o serviço windows update (wuauserv) está em execução e não está desabilitado. |
0x80070005 |
Qualquer um dos seguintes problemas pode causar um erro de "acesso negado": – Computador infectado. – As configurações do Windows Update não estão configuradas corretamente. – Erro de permissão de arquivo com a pasta %WinDir%\SoftwareDistribution.– Espaço em disco insuficiente na unidade do sistema (unidade C). |
| Qualquer outra exceção genérica | Execute uma pesquisa na Internet para possíveis resoluções e trabalhe com o suporte de TI local. |
Revisar o arquivo %Windir%\Windowsupdate.log também pode ajudá-lo a determinar possíveis causas. Para obter mais informações sobre como ler o log, consulte os arquivos de log do Windows Update.
Você também pode baixar e executar a solução de problemas do Windows Update para verificar se há problemas com o Windows Update no computador. A solução de problemas funciona tanto em clientes Windows quanto no Windows Server.
Você recebe um erro de execução interna
Problema
O Gerenciador de Atualizações falha ao corrigir a VM e produz um erro de execução interna. A operação não retorna uma resposta e pode estar incompleta.
Causa
Esse problema pode ocorrer devido a um problema temporário ou falha de comunicação entre o Gerenciador de Atualizações e a VM. As causas mais comuns incluem:
- Um problema temporário de plataforma ou de serviço de back-end.
- Um agente de VM do Azure sem resposta ou desatualizado.
- Uma VM sob carga pesada ou reinicialização durante a operação.
- Um problema de rede ou conectividade.
Resolução
- Tente novamente a atualização após alguns minutos.
- Verifique se o agente de VM está íntegro e atualizado.
- Se o status do agente mostrar Não Pronto, tente reinicializar a VM.
- Verifique o uso de recursos da VM (CPU, memória, disco). Reinicialize se necessário.
- Verifique a conectividade de rede com os serviços do Azure.
- Examine os logs na VM e no Gerenciador de Atualizações para obter mais detalhes.
A correção agendada não está funcionando.
Para um agendamento simultâneo ou conflitante, apenas um agendamento é disparado. O outro agendamento é disparado após a conclusão do primeiro agendamento.
Se um computador for recém-criado, a programação poderá ter 15 minutos de atraso no gatilho no caso de VMs do Azure.
Você recebe um erro ShutdownOrUnresponsive
Problema
A aplicação de patch agendada não instala os patches nas VMs e gera um erro ShutdownOrUnresponsive.
Causa
Uma limitação conhecida pode fazer com que programações disparadas em computadores excluídos e recriados com o mesmo ID de recurso em 8 horas falhem com esse erro.
Resolução
O problema não ocorre após o período de 8 horas.
Você não pode aplicar patches para computadores desligados
Problema
Os patches não estão sendo aplicados para os computadores que estão em um estado de desligamento. Você também pode ver que os computadores estão perdendo suas configurações ou agendamentos de manutenção associados.
Causa
Os computadores estão em um estado de desligamento.
Resolução
Verifique se os computadores estão ativados pelo menos 15 minutos antes da atualização agendada. Para mais informações, confira Computadores desligados.
O histórico de atualizações mostra incorretamente que você excedeu a janela de manutenção
Problema
Ao exibir uma implantação de atualização no Histórico de Atualizações, a propriedade com Falha na janela de manutenção excedida mostra true, embora tenha sido deixado tempo suficiente para execução. Nesse caso, um dos seguintes problemas é possível:
- Nenhuma atualização é mostrada.
- Uma ou mais atualizações estão em um estado Pendente.
- O status da reinicialização é obrigatório, mas uma reinicialização não foi tentada mesmo quando a configuração de reinicialização foi
IfRequiredouAlways.
Causa
Durante uma implantação de atualização, a utilização da janela de manutenção é verificada em várias etapas. Dez minutos da janela de manutenção são reservados para reinicialização a qualquer momento.
Antes que a implantação obtenha uma lista de atualizações ausentes ou baixe ou instale uma atualização, ela verificará se há tempo suficiente restante na janela de manutenção:
- Todas as atualizações, exceto o service pack do Windows: 15 minutos + 10 minutos para reinicialização, por um total de 25 minutos.
- Atualizações do service pack do Windows: 20 minutos + 10 minutos para reinicialização, por um total de 30 minutos.
Se a implantação não tiver tempo suficiente, ela ignorará a verificação, o download e a instalação das atualizações. A execução da implantação verificará então se uma reinicialização é necessária e se restam 10 minutos na janela de manutenção. Nesse caso, a implantação dispara uma reinicialização. Caso contrário, a reinicialização será ignorada.
Nesses casos, o status é atualizado como Com falha e a propriedade janela manutenção de excedida é atualizada como true. Para casos em que o tempo restante é inferior a 25 minutos, as atualizações não são verificadas nem tentadas para instalação.
Para encontrar mais informações, examine os logs no caminho do arquivo fornecido na mensagem de erro da execução da implantação.
Resolução
Defina um intervalo de tempo mais longo para a duração máxima ao disparar uma implantação de atualização sob demanda.
A extensão de atualização do sistema operacional Windows/Linux não está instalada
Problema
Não é possível aplicar patches em máquinas habilitadas pelo Azure Arc.
Causa
A extensão de atualização do sistema operacional Windows/Linux deve ser instalada com êxito em máquinas habilitadas para Azure Arc para executar avaliações sob demanda e correção de segurança, incluindo correções programadas.
Resolução
Dispare uma avaliação sob demanda ou aplicação de patch para instalar a extensão no computador. Você também pode anexar o computador a um agendamento de configuração de manutenção, que instalará a extensão quando a aplicação de patch for executada de acordo com o agendamento.
Se a extensão já estiver presente em um computador habilitado para Azure Arc, mas o status da extensão não for Concluído, remova a extensão e, em seguida, dispare uma operação sob demanda para reinstalá-la.
A extensão de atualização do patch Windows/Linux não está instalada
Problema
Não é possível executar a aplicação de patch em VMs do Azure.
Causa
A extensão de atualização de patch do Windows/Linux deve ser instalada com êxito em computadores do Azure para executar avaliação ou aplicação de patch sob demanda, aplicação de patch agendada e avaliações periódicas.
Resolução
Dispare uma avaliação sob demanda ou aplicação de patch para instalar a extensão no computador. Você também pode anexar o computador a um agendamento de configuração de manutenção, que instalará a extensão quando a aplicação de patch for executada de acordo com o agendamento.
Se a extensão já estiver presente no computador, mas o status da extensão não for Concluído, remova a extensão e, em seguida, dispare uma operação sob demanda para reinstalá-la.
Falha na verificação de extensão
Problema
A verificação para garantir que a propriedade AllowExtensionOperations está definida falha corretamente.
Causa
A propriedade AllowExtensionOperations é definida para false na interface da máquina OSProfile.
Resolução
Para permitir que as extensões funcionem corretamente, defina a propriedade como true.
Privilégios de Sudo não estão disponíveis
Problema
Você pode ver a seguinte exceção:
EXCEPTION: Exception('Unable to invoke sudo successfully. Output: root is not in the sudoers file. This incident will be reported. False ',)
Causa
Os privilégios do Sudo não são concedidos às extensões para operações de avaliação ou aplicação de patch em computadores Linux.
O Gerenciador de Atualizações requer um alto nível de permissões devido aos muitos componentes que podem ser atualizados com o Gerenciador de Atualizações (incluindo drivers de kernel e aplicação de patch de segurança do sistema operacional). As extensões do Gerenciador de Atualizações usam a root conta para operações.
Resolução
Conceda privilégios sudo para garantir que as operações de avaliação ou aplicação de patch sejam bem-sucedidas. Você precisa adicionar a conta raiz ao /etc/sudoers arquivo:
Abra o
sudoersarquivo para edição:sudo visudoAdicione a seguinte entrada ao final do
sudoersarquivo:root ALL=(ALL) ALLSalve e feche o editor usando o atalho de teclado Ctrl+X . Se você estiver usando o editor vi , poderá digitar
:wqe selecionar a tecla Enter .
O proxy está configurado
Problema
Um proxy bloqueia o acesso aos endpoints necessários para que operações de avaliação ou patching sejam bem-sucedidas.
Causa
Um proxy é configurado em seus computadores Windows ou Linux.
Resolução
Para Windows, consulte problemas relacionados a HTTP/Proxy.
Para o Linux, verifique se a configuração de proxy não bloqueia o acesso a repositórios necessários para baixar e instalar atualizações.
Falha na verificação do TLS 1.2
Problema
A verificação para garantir que você está usando o TLS 1.2 falha.
Causa
Você está usando o TLS 1.0 ou o TLS 1.1. Essas versões foram preteridas.
Resolução
Use o TLS 1.2 ou posterior.
Para Windows, consulte Protocolos sobre TLS/SSL (Schannel SSP).
Para Linux, execute o seguinte comando para ver as versões com suporte do TLS para sua distribuição: nmap --script ssl-enum-ciphers -p 443 www.azure.com.
Falha na verificação de conexão HTTPS
Problema
A verificação para garantir a disponibilidade de uma conexão HTTPS falha.
Causa
Uma conexão HTTPS não está disponível. Essa conexão é necessária para baixar e instalar atualizações dos endpoints necessários para cada sistema operacional.
Resolução
Permitir uma conexão HTTPS do computador.
O serviço MsftLinuxPatchAutoAssess não está em execução ou excedeu o tempo limite
Problema
As avaliações periódicas não estão funcionando em seus computadores Linux.
Causa
O serviço MsftLinuxPatchAutoAssess é necessário para avaliações periódicas bem-sucedidas.
Resolução
Verifique se o LinuxPatchExtension status é succeeded para o computador. Reinicialize o computador para verificar se o problema foi resolvido.
Os repositórios do Linux não estão acessíveis
Problema
As atualizações são baixadas de repositórios públicos ou privados configurados para cada distribuição do Linux. O computador não pode se conectar a esses repositórios para baixar ou avaliar as atualizações.
Causa
As regras de segurança de rede podem bloquear conexões importantes.
Resolução
Verifique se as regras de segurança de rede não impedem as conexões do computador com os repositórios necessários para operações de atualização.
Conteúdo relacionado
- Para saber mais sobre o Gerenciador de Atualizações, confira a visão geral.
- Para exibir os resultados registrados de todos os seus computadores, consulte os dados de operações do Access Azure Update Manager usando o Azure Resource Graph.