Memecahkan masalah dengan Manajer Pembaruan Azure
Artikel ini menjelaskan kesalahan yang mungkin terjadi saat Anda menyebarkan atau menggunakan Azure Update Manager, cara mengatasinya, serta masalah dan batasan patch terjadwal yang diketahui.
Pemecahan Masalah Umum
Langkah-langkah pemecahan masalah berikut berlaku untuk komputer virtual Azure (VM) yang terkait dengan ekstensi patch pada komputer Windows dan Linux.
Mesin Virtual Azure Linux
Untuk memverifikasi apakah agen Microsoft Azure Virtual Machine (agen VM) berjalan dan telah memicu tindakan yang sesuai pada komputer dan nomor urut untuk permintaan pengiriman otomatis, periksa log agen untuk informasi selengkapnya di /var/log/waagent.log. Setiap permintaan pengiriman otomatis memiliki nomor urutan unik yang terkait dengannya pada komputer. Cari log yang mirip dengan 2021-01-20T16:57:00.607529Z INFO ExtHandler.
Direktori paket untuk ekstensi /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>. Subfolder /status memiliki file <sequence number>.status. Ini termasuk deskripsi singkat tentang tindakan yang dilakukan selama satu permintaan pengiriman otomatis dan statusnya. Ini juga mencakup daftar singkat kesalahan yang terjadi saat menerapkan pembaruan.
Untuk meninjau log yang terkait dengan semua tindakan yang dilakukan oleh ekstensi, periksa informasi selengkapnya di /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Ini termasuk dua file log yang menarik berikut:
-
<seq number>.core.log: Berisi informasi yang terkait dengan tindakan patch. Informasi ini mencakup patch yang dinilai dan diinstal pada komputer dan masalah apa pun yang dihadapi dalam proses. -
<Date and Time>_<Handler action>.ext.log: Ada pembungkus di atas tindakan patch, yang digunakan untuk mengelola ekstensi dan memanggil operasi patch tertentu. Log ini berisi informasi tentang pembungkus. Untuk pengiriman otomatis, log<Date and Time>_Enable.ext.logmemiliki informasi tentang apakah operasi patch tertentu dipanggil.
Mesin Virtual Azure Windows
Untuk memverifikasi apakah agen VM berjalan dan telah memicu tindakan yang sesuai pada komputer dan nomor urut untuk permintaan pengiriman otomatis, periksa log agen untuk informasi lebih lanjut di C:\WindowsAzure\Logs\AggregateStatus. Direktori paket untuk ekstensi C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.
Untuk meninjau log yang terkait dengan semua tindakan yang dilakukan oleh ekstensi, periksa informasi selengkapnya di C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Ini termasuk dua file log yang menarik berikut:
-
WindowsUpdateExtension.log: Berisi informasi yang terkait dengan tindakan patch. Informasi ini mencakup patch yang dinilai dan diinstal pada komputer dan masalah apa pun yang dihadapi dalam proses. -
CommandExecution.log: Ada pembungkus di atas tindakan patch, yang digunakan untuk mengelola ekstensi dan memanggil operasi patch tertentu. Log ini berisi informasi tentang pembungkus. Untuk pengiriman otomatis, log memiliki informasi tentang apakah operasi patch tertentu dipanggil.
Penilaian berkala tidak diatur dengan benar ketika kebijakan penilaian berkala digunakan selama pembuatan untuk VM khusus, migrasi, dan pemulihan
Penyebab
Penilaian berkala tidak diatur dengan benar selama pembuatan untuk VM khusus, migrasi, dan pemulihan karena cara kebijakan modifikasi saat ini dirancang. Pascapembuatan, kebijakan akan menampilkan sumber daya ini sebagai tidak sesuai pada dasbor kepatuhan.
Resolusi
Jalankan tugas remediasi pascapembuatan untuk memperbaiki sumber daya yang baru dibuat. Untuk informasi selengkapnya, lihat Meremediasi sumber daya yang tidak sesuai dengan Azure Policy.
Prasyarat untuk patching terjadwal tidak diatur dengan benar dan jadwal tidak dilampirkan saat menggunakan kebijakan tertentu selama pembuatan untuk VM khusus, umum, migrasi, dan pemulihan
Penyebab
Prasyarat untuk penambalan terjadwal dan melampirkan jadwal tidak diatur dengan benar saat menggunakan Jadwal pembaruan berulang menggunakan Azure Update Manager dan Mengatur prasyarat untuk Menjadwalkan pembaruan berulang pada kebijakan komputer virtual Azure selama pembuatan untuk VM khusus, umum, dimigrasikan, dan dipulihkan karena cara kebijakan Sebarkan Jika Tidak Ada saat ini dirancang. Pascapembuatan, kebijakan akan menampilkan sumber daya ini sebagai tidak sesuai pada dasbor kepatuhan.
Resolusi
Jalankan tugas remediasi pascapembuatan untuk memperbaiki sumber daya yang baru dibuat. Untuk informasi selengkapnya, lihat Meremediasi sumber daya yang tidak sesuai dengan Azure Policy.
Tugas remediasi kebijakan gagal untuk gambar galeri dan untuk gambar dengan disk terenkripsi
Masalah
Ada kegagalan remediasi untuk VM yang memiliki referensi ke gambar galeri dalam mode Komputer Virtual. Ini karena memerlukan izin baca ke gambar galeri dan saat ini bukan bagian dari peran Kontributor Komputer Virtual.
Penyebab
Peran Kontributor Komputer Virtual tidak memiliki izin yang cukup.
Resolusi
- Untuk semua tugas baru, perubahan terbaru diperkenalkan untuk memberikan peran Kontributor ke identitas terkelola yang dibuat selama penetapan kebijakan untuk remediasi. Ke depannya, ini akan ditetapkan untuk tugas baru apa pun.
- Untuk tugas sebelumnya jika Anda mengalami kegagalan tugas remediasi, kami sarankan Anda menetapkan peran kontributor secara manual ke identitas terkelola dengan mengikuti langkah-langkah yang tercantum di bawah Berikan izin ke identitas terkelola melalui peran yang ditentukan
- Selain itu, dalam skenario di mana peran Kontributor tidak berfungsi ketika sumber daya yang ditautkan (gambar galeri atau disk) berada di grup sumber daya atau langganan lain, secara manual memberikan identitas terkelola dengan peran dan izin yang tepat pada cakupan untuk membuka blokir remediasi dengan mengikuti langkah-langkah dalam Memberikan izin ke identitas terkelola melalui peran yang ditentukan.
Tidak dapat menghasilkan penilaian berkala untuk server yang mendukung Arc
Masalah
Langganan tempat server yang mendukung Arc di-onboarding tidak menghasilkan data penilaian.
Resolusi
Pastikan langganan server Arc didaftarkan ke penyedia sumber daya Microsoft.Compute sehingga data penilaian berkala dihasilkan secara berkala seperti yang diharapkan. Pelajari lebih lanjut
Konfigurasi pemeliharaan tidak diterapkan saat VM dipindahkan ke langganan atau grup sumber daya yang berbeda
Masalah
Saat VM dipindahkan ke langganan atau grup sumber daya lain, konfigurasi pemeliharaan terjadwal yang terkait dengan VM tidak berjalan.
Resolusi
Konfigurasi pemeliharaan saat ini tidak mendukung pemindahan sumber daya yang ditetapkan di seluruh grup sumber daya atau langganan. Sebagai solusinya, gunakan langkah-langkah berikut untuk sumber daya yang ingin Anda pindahkan. Sebagai prasyarat, pertama-tama hapus tugas sebelum mengikuti langkah-langkahnya.
Jika Anda menggunakan static cakupan:
- Pindahkan sumber daya ke grup sumber daya atau langganan yang berbeda.
- Buat ulang penetapan sumber daya.
Jika Anda menggunakan dynamic cakupan:
- Mulai atau tunggu eksekusi terjadwal berikutnya. Tindakan ini meminta sistem untuk menghapus penugasan sepenuhnya, sehingga Anda dapat melanjutkan dengan langkah-langkah berikutnya.
- Pindahkan sumber daya ke grup sumber daya atau langganan yang berbeda.
- Buat ulang penetapan sumber daya.
Jika salah satu langkah terlewatkan, silakan pindahkan sumber daya ke grup sumber daya atau ID langganan sebelumnya dan lampirkan kembali langkah-langkahnya.
Catatan
Jika grup sumber daya dihapus, buat ulang dengan nama yang sama. Jika ID langganan dihapus, hubungi tim dukungan untuk mitigasi.
Tidak dapat mengubah opsi orkestrasi patch ke pembaruan manual dari pembaruan otomatis
Masalah
Anda ingin memastikan bahwa klien Windows Update tidak akan menginstal patch pada Windows Server Sehingga Anda ingin mengatur pengaturan patch ke Manual. Komputer Azure memiliki opsi orkestrasi patch sebagai AutomaticByOS/Windows pembaruan otomatis dan Anda tidak dapat mengubah orkestrasi patch ke Pembaruan Manual dengan menggunakan pengaturan Ubah pembaruan.
Resolusi
Jika Anda tidak ingin penginstalan patch diorkestrasi oleh Azure atau tidak menggunakan solusi patching kustom, Anda dapat mengubah opsi orkestrasi patch ke Jadwal Terkelola Pelanggan (Pratinjau) atau AutomaticByPlatform dan dan ByPassPlatformSafetyChecksOnUserSchedule tidak mengaitkan konfigurasi jadwal/pemeliharaan ke komputer. Pengaturan ini memastikan bahwa tidak ada patching yang dilakukan pada komputer sampai Anda mengubahnya secara eksplisit. Untuk informasi selengkapnya, lihat Skenario 2 dalam Skenario pengguna.
Komputer menunjukkan "Tidak dinilai" dan menampilkan pengecualian HRESULT
Masalah
- Anda memiliki mesin yang ditampilkan sebagai di
Not assessedbawah Kepatuhan, dan Anda melihat pesan pengecualian di bawahnya. - Anda melihat
HRESULTkode kesalahan di portal.
Penyebab
Agen Pembaruan (Agen Windows Update pada Windows dan manajer paket untuk distribusi Linux) tidak dikonfigurasi dengan benar. Manajemen Pembaruan bergantung pada Agen Pembaruan komputer untuk memberikan pembaruan yang diperlukan, status patch, dan hasil patch yang disebarkan. Tanpa informasi ini, Manajer Pembaruan tidak dapat melaporkan patch yang diperlukan atau diinstal dengan benar.
Resolusi
Cobalah untuk melakukan pembaruan secara lokal pada mesin. Jika operasi ini gagal, biasanya berarti ada kesalahan konfigurasi Agen Pembaruan.
Masalah ini sering disebabkan oleh masalah konfigurasi jaringan dan firewall. Gunakan pemeriksaan berikut untuk memperbaiki masalah:
Untuk Linux, periksa dokumentasi yang sesuai untuk memastikan Anda dapat mencapai titik akhir jaringan repositori paket Anda.
Untuk Windows, periksa konfigurasi agen Anda seperti yang tercantum dalam Pembaruan tidak diunduh dari titik akhir intranet (WSUS/SCCM).
- Jika komputer dikonfigurasi untuk Windows Update, pastikan Anda dapat menjangkau titik akhir yang dijelaskan dalam Masalah yang terkait dengan HTTP/proksi.
- Jika komputer dikonfigurasi untuk Windows Server Update Services (WSUS), pastikan Anda dapat menjangkau server WSUS yang dikonfigurasi oleh kunci registri WUServer.
Jika Anda melihat HRESULT kode kesalahan, klik dua kali pengecualian yang ditampilkan dengan warna merah untuk melihat seluruh pesan pengecualian. Tinjau tabel berikut untuk resolusi potensial atau tindakan yang disarankan.
| Pengecualian | Resolusi atau tindakan |
|---|---|
Exception from HRESULT: 0x……C |
Cari kode kesalahan yang relevan di Daftar kode kesalahan Windows Update untuk menemukan informasi selengkapnya tentang penyebab pengecualian. |
0x8024402C0x8024401C0x8024402F |
Menunjukkan masalah konektivitas jaringan. Pastikan bahwa mesin Anda memiliki konektivitas jaringan yang tepat untuk Manajemen Pembaruan. Lihat bagian Perencanaan jaringan untuk daftar port dan alamat yang diperlukan. |
0x8024001E |
Operasi pembaruan tidak selesai karena layanan atau sistem dimatikan. |
0x8024002E |
Layanan Windows Update dinonaktifkan. |
0x8024402C |
Jika Anda menggunakan server WSUS, pastikan nilai registri untuk WUServer dan WUStatusServer di kunci registri HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, tentukan server WSUS yang benar. |
0x80072EE2 |
Terdapat masalah konektivitas jaringan atau masalah dalam berbicara dengan server WSUS yang dikonfigurasi. Periksa pengaturan WSUS dan pastikan dapat diakses dari klien. |
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) |
Pastikan layanan Windows Update (wuauserv) berjalan dan tidak dinonaktifkan. |
0x80070005 |
Kesalahan akses ditolak dapat disebabkan oleh salah satu masalah berikut: - Komputer yang terdampak. - Pengaturan Windows Update tidak dikonfigurasi dengan benar. - Kesalahan izin file dengan %WinDir%\SoftwareDistribution folder .- Ruang disk tidak cukup pada drive sistem (drive C). |
| Pengecualian generik lainnya | Jalankan pencarian di internet untuk kemungkinan resolusi, dan bekerja dengan dukungan IT setempat. |
Meninjau file %Windir%\Windowsupdate.log juga bisa membantu Anda menentukan kemungkinan penyebabnya. Untuk informasi selengkapnya tentang cara membaca log, lihat Membaca file Windowsupdate.log.
Anda juga dapat mengunduh dan mengeksekusi pemecah masalah Windows Update untuk memeriksa masalah pada komputer Windows Update.
Catatan
Dokumentasi pemecah masalah Windows Update menunjukkan bahwa ini digunakan untuk klien Windows, tetapi juga berfungsi pada Windows Server.
Masalah yang diketahui dalam patching terjadwal
- Untuk jadwal bersamaan atau bertentangan, hanya satu jadwal yang dipicu. Jadwal lain dipicu setelah jadwal pertama selesai.
- Jika mesin baru dibuat, jadwal mungkin memiliki 15 menit penundaan pemicu jadwal dalam kasus Azure VM.
Patching terjadwal gagal dengan kesalahan 'ShutdownOrUnresponsive'
Masalah
Patching terjadwal belum menginstal patch pada VM dan memberikan kesalahan sebagai 'ShutdownOrUnresponsive'.
Resolusi
Jadwal yang dipicu pada mesin yang dihapus dan dibuat ulang dengan ID sumber daya yang sama dalam waktu 8 jam bisa saja gagal dengan kesalahan ShutdownOrUnresponsive karena batasan yang diketahui.
Tidak dapat menerapkan patch untuk mesin mati
Masalah
Patch tidak diterapkan untuk mesin yang berada dalam status mati. Anda mungkin juga melihat bahwa mesin kehilangan konfigurasi atau jadwal pemeliharaan terkaitnya.
Penyebab
Mesin dalam status mati.
Resolusi
Pastikan komputer Anda diaktifkan setidaknya 15 menit sebelum pembaruan terjadwal. Untuk informasi selengkapnya, lihat Mesin mati.
Eksekusi patch gagal dengan properti jendela Pemeliharaan terlampaui yang menunjukkan benar meskipun waktu masih tersisa
Masalah
Saat Anda melihat penyebaran pembaruan di Riwayat Pembaruan, properti Gagal dengan jendela Pemeliharaan terlampaui menunjukkan benar meskipun masih cukup waktu tersisa untuk dijalankan. Dalam kasus ini, kemungkinan terdapat salah satu masalah berikut:
- Tidak ada pembaruan yang ditampilkan.
- Satu atau beberapa pembaruan dalam status Tertunda.
- Status boot ulang Diperlukan, tetapi boot ulang tidak dicoba bahkan ketika pengaturan boot ulang yang diteruskan adalah
IfRequiredatauAlways.
Penyebab
Selama penyebaran pembaruan, pemanfaatan jendela Pemeliharaan diperiksa pada beberapa langkah. Sepuluh menit dari jendela Pemeliharaan dicadangkan untuk melakukan boot ulang kapan saja. Sebelum penyebaran mendapat daftar pembaruan yang tidak ada atau mengunduh atau menginstal pembaruan apa pun (kecuali pembaruan paket layanan Windows), penyebaran akan memeriksa untuk memverifikasi apakah ada waktu 15 menit + 10 menit untuk melakukan boot ulang (artinya, 25 menit tersisa dalam jendela Pemeliharaan).
Untuk pembaruan paket layanan Windows, penyebaran akan memeriksa selama 20 menit + 10 menit untuk boot ulang (artinya, 30 menit). Jika penyebaran tidak memiliki waktu yang mencukupi, penyebaran melewati pemindaian/pengunduhan/penginstalan pembaruan. Eksekusi penyebaran kemudian memeriksa apakah perlu boot ulang dan apakah masih ada waktu 10 menit tersisa dalam jendela Pemeliharaan. Jika ada, penyebaran akan memicu boot ulang. Jika tidak, boot ulang akan dilewati.
Dalam kasus seperti itu, status diperbarui ke Gagal, dan properti Jendela pemeliharaan terlampaui diperbarui ke benar. Untuk kasus dengan waktu tersisa kurang dari 25 menit, pembaruan tidak dipindai atau dicoba untuk diinstal.
Untuk menemukan informasi lainnya, tinjau log di jalur file yang disediakan dalam pesan kesalahan saat eksekusi penyebaran.
Resolusi
Atur rentang waktu yang lebih lama untuk durasi maksimum saat Anda memicu penyebaran pembaruan sesuai permintaan untuk membantu menghindari masalah.
Ekstensi pembaruan OS Windows/Linux tidak diinstal
Masalah
Ekstensi Windows/Linux OS Update harus berhasil diinstal pada komputer Arc untuk melakukan penilaian sesuai permintaan, patching, dan patching terjadwal.
Resolusi
Picu penilaian atau patching sesuai permintaan untuk menginstal ekstensi pada komputer. Anda juga dapat melampirkan komputer ke jadwal konfigurasi pemeliharaan yang akan menginstal ekstensi saat patching dilakukan sesuai jadwal.
Jika ekstensi sudah ada di komputer Arc tetapi status ekstensi tidak Berhasil, pastikan Anda menghapus ekstensi dan memicu operasi sesuai permintaan sehingga diinstal lagi.
Ekstensi pembaruan patch Windows/Linux tidak diinstal
Masalah
Ekstensi pembaruan patch Windows/Linux harus berhasil diinstal pada komputer Azure untuk melakukan penilaian atau patching sesuai permintaan, patching terjadwal, dan untuk penilaian berkala.
Resolusi
Picu penilaian atau patching sesuai permintaan untuk menginstal ekstensi pada komputer. Anda juga dapat melampirkan komputer ke jadwal konfigurasi pemeliharaan yang akan menginstal ekstensi saat patching dilakukan sesuai jadwal.
Jika ekstensi sudah ada di komputer tetapi status ekstensi tidak Berhasil, picu operasi sesuai permintaan yang akan menginstalnya lagi.
Pemeriksaan Izinkan Operasi Ekstensi gagal
Masalah
Properti AllowExtensionOperations diatur ke false di OSProfile mesin.
Resolusi
Properti harus diatur ke true untuk memungkinkan ekstensi berfungsi dengan baik.
Hak istimewa Sudo tidak ada
Masalah
Hak istimewa Sudo tidak diberikan kepada ekstensi untuk operasi penilaian atau patching pada komputer Linux.
Resolusi
Berikan hak istimewa sudo untuk memastikan operasi penilaian atau patching berhasil.
Proksi dikonfigurasi
Masalah
Proksi dikonfigurasi pada komputer Windows atau Linux yang dapat memblokir akses ke titik akhir yang diperlukan agar operasi penilaian atau patching berhasil.
Resolusi
Untuk Windows, lihat masalah yang terkait dengan proksi.
Untuk Linux, pastikan penyiapan proksi tidak memblokir akses ke repositori yang diperlukan untuk mengunduh dan menginstal pembaruan.
Pemeriksaan TLS 1.2 Gagal
Masalah
TLS 1.0 dan TLS 1.1 tidak digunakan lagi.
Resolusi
Gunakan TLS 1.2 atau yang lebih tinggi.
Untuk Windows, lihat Protokol di TLS/SSL Schannel SSP.
Untuk Linux, jalankan perintah berikut untuk melihat versi TLS yang didukung untuk distro Anda.
nmap --script ssl-enum-ciphers -p 443 www.azure.com
Pemeriksaan koneksi HTTPS gagal
Masalah
Koneksi HTTPS tidak tersedia yang diperlukan untuk mengunduh dan menginstal pembaruan dari titik akhir yang diperlukan untuk setiap sistem operasi.
Resolusi
Izinkan koneksi HTTPS dari komputer Anda.
Layanan MsftLinuxPatchAutoAssess tidak berjalan, atau Waktu tidak aktif
Masalah
MsftLinuxPatchAutoAssess diperlukan untuk penilaian berkala yang berhasil pada komputer Linux.
Resolusi
Pastikan bahwa status LinuxPatchExtension berhasil untuk komputer. Reboot komputer untuk memeriksa apakah masalah telah teratasi.
Repositori Linux tidak dapat diakses
Masalah
Pembaruan diunduh dari repositori publik atau privat yang dikonfigurasi untuk setiap distro Linux. Komputer tidak dapat terhubung ke repositori ini untuk mengunduh atau menilai pembaruan.
Resolusi
Pastikan bahwa aturan keamanan jaringan tidak menghambat koneksi ke repositori yang diperlukan untuk operasi pembaruan.
Langkah berikutnya
- Untuk mempelajari selengkapnya tentang Manajer Pembaruan, lihat Gambaran Umum.
- Untuk melihat hasil yang dicatat dari semua komputer Anda, lihat Mengkueri log dan hasil dari Update Manager.