Problemen met Azure Update Manager oplossen

In dit artikel worden de fouten beschreven die kunnen optreden wanneer u Azure Update Manager implementeert of gebruikt, hoe u deze kunt oplossen en de bekende problemen en beperkingen van geplande patches.

Algemene probleemoplossing

De volgende stappen voor probleemoplossing zijn van toepassing op de virtuele Azure-machines (VM's) met betrekking tot de patchextensie op Windows- en Linux-machines.

Azure Virtual Machines

Azure Linux VM

Als u wilt controleren of de Microsoft Azure Virtual Machine-agent (VM-agent) wordt uitgevoerd en de juiste acties op de computer en het volgnummer voor de automatischepatching-aanvraag heeft geactiveerd, controleert u het agentlogboek voor meer informatie in /var/log/waagent.log. Aan elke aanvraag voor automatische patching is een uniek volgnummer gekoppeld op de computer. Zoek naar een logboek dat vergelijkbaar is met 2021-01-20T16:57:00.607529Z INFO ExtHandler.

De pakketmap voor de extensie is /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>. De submap /status bevat een <sequence number>.status bestand. Het bevat een korte beschrijving van de acties die worden uitgevoerd tijdens een enkele automatische patching-aanvraag en de status. Het bevat ook een korte lijst met fouten die zijn opgetreden tijdens het toepassen van updates.

Als u de logboeken wilt bekijken die betrekking hebben op alle acties die door de extensie worden uitgevoerd, controleert u voor meer informatie /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Het bevat de volgende twee logboekbestanden die van belang zijn:

• <seq number>.core.log: bevat informatie met betrekking tot de patchacties. Deze informatie omvat patches die op de computer zijn beoordeeld en geïnstalleerd en eventuele problemen die in het proces zijn opgetreden.
• <Date and Time>_<Handler action>.ext.log: er staat een wrapper boven de patchactie, die wordt gebruikt om de extensie te beheren en een specifieke patchbewerking aan te roepen. Dit logboek bevat informatie over de wrapper. Voor automatische patches bevat het logboek <Date and Time>_Enable.ext.log informatie over of de specifieke patchbewerking is aangeroepen.

Azure Windows VM

Als u wilt controleren of de VM-agent wordt uitgevoerd en de juiste acties op de computer en het volgnummer voor de automatischepatching-aanvraag heeft geactiveerd, controleert u het agentlogboek voor meer informatie in C:\WindowsAzure\Logs\AggregateStatus. De pakketmap voor de extensie is C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Als u de logboeken wilt bekijken die betrekking hebben op alle acties die door de extensie worden uitgevoerd, controleert u voor meer informatie C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Het bevat de volgende twee logboekbestanden die van belang zijn:

• WindowsUpdateExtension.log: bevat informatie met betrekking tot de patchacties. Deze informatie omvat patches die op de computer zijn beoordeeld en geïnstalleerd en eventuele problemen die in het proces zijn opgetreden.
• CommandExecution.log: er staat een wrapper boven de patchactie, die wordt gebruikt om de extensie te beheren en een specifieke patchbewerking aan te roepen. Dit logboek bevat informatie over de wrapper. Voor automatische patches bevat het logboek informatie over of de specifieke patchbewerking is aangeroepen.

Servers met Arc

Bekijk Problemen met VM-extensies oplossen voor algemene stappen voor probleemoplossing voor servers met Azure Arc.

Als u de logboeken wilt bekijken die betrekking hebben op alle acties die door de extensie worden uitgevoerd, controleert u in Windows voor meer informatie C:\ProgramData\GuestConfig\extension_Logs\Microsoft.SoftwareUpdateManagement\WindowsOsUpdateExtension. Het bevat de volgende twee logboekbestanden die van belang zijn:

• WindowsUpdateExtension.log: bevat informatie met betrekking tot de patchacties. Deze informatie omvat de patches die op de computer zijn beoordeeld en geïnstalleerd en eventuele problemen die in het proces zijn opgetreden.
• cmd_execution_<numeric>_stdout.txt: er staat een wrapper boven de patchactie. Deze wordt gebruikt om de extensie te beheren en een specifieke patchbewerking aan te roepen. Dit logboek bevat informatie over de wrapper. Voor automatische patches bevat het logboek informatie over of de specifieke patchbewerking is aangeroepen.
• cmd_excution_<numeric>_stderr.txt

Periodieke evaluatie wordt niet correct ingesteld wanneer het periodieke evaluatiebeleid wordt gebruikt tijdens het maken voor gespecialiseerde, gemigreerde en herstelde VM's

Oorzaak

Periodieke evaluatie wordt niet correct ingesteld tijdens het maken voor gespecialiseerde, gemigreerde en herstelde VM's vanwege de manier waarop het huidige wijzigingsbeleid is ontworpen. Na het maken worden deze resources weergegeven als niet-compatibel op het nalevingsdashboard.

Oplossing

Voer een hersteltaak uit na het maken van een hersteltaak om zojuist gemaakte resources te herstellen. Zie Remediate non-compliant resources with Azure Policy (Niet-compatibele resources herstellen met Azure Policy) voor meer informatie.

Beleidshersteltaken mislukken voor galerie-installatiekopieën en voor installatiekopieën met versleutelde schijven

Probleem

Er zijn herstelfouten voor VM's met een verwijzing naar de galerie-installatiekopie in de modus Virtuele machine. Dit komt doordat hiervoor de leesmachtiging voor de galerieinstallatiekopieën is vereist en deze momenteel geen deel uitmaakt van de rol Inzender voor virtuele machines.

Oorzaak

De rol Inzender voor virtuele machines heeft niet voldoende machtigingen.

Oplossing

• Voor alle nieuwe toewijzingen wordt een recente wijziging geïntroduceerd om de rol Inzender te bieden aan de beheerde identiteit die is gemaakt tijdens beleidstoewijzing voor herstel. In de toekomst wordt dit toegewezen voor eventuele nieuwe opdrachten.
• Voor eventuele eerdere toewijzingen als u fouten ondervindt bij het oplossen van hersteltaken, raden we u aan de rol inzender handmatig toe te wijzen aan de beheerde identiteit door de stappen te volgen die worden vermeld onder Machtigingen verlenen aan de beheerde identiteit via gedefinieerde rollen
• In scenario's waarin de rol Inzender niet werkt wanneer de gekoppelde resources (galerieafbeelding of schijf) zich in een andere resourcegroep of een ander abonnement bevinden, geeft u handmatig de beheerde identiteit met de juiste rollen en machtigingen voor het bereik op om de blokkering van herstelbewerkingen op te heffen door de stappen in Machtigingen verlenen aan de beheerde identiteit te volgen via gedefinieerde rollen.

Kan geen periodieke evaluatie genereren voor servers met Arc

Probleem

De abonnementen waarin de servers met Arc worden toegevoegd, produceren geen evaluatiegegevens.

Oplossing

Zorg ervoor dat de Arc-serversabonnementen zijn geregistreerd bij microsoft.Compute-resourceprovider, zodat de periodieke evaluatiegegevens periodiek worden gegenereerd zoals verwacht. Meer informatie

De onderhoudsconfiguratie wordt niet toegepast wanneer de VM wordt verplaatst naar een ander abonnement of een andere resourcegroep

Probleem

Wanneer een VIRTUELE machine wordt verplaatst naar een ander abonnement of een andere resourcegroep, wordt de geplande onderhoudsconfiguratie die aan de VIRTUELE machine is gekoppeld, niet uitgevoerd.

Oplossing

Het systeem biedt momenteel geen ondersteuning voor het verplaatsen van resources tussen resourcegroepen of abonnementen. Gebruik als tijdelijke oplossing de volgende stappen voor de resource die u wilt verplaatsen. Als vereiste moet u eerst de toewijzing verwijderen voordat u de stappen volgt.

Als u een static bereik gebruikt:

1. Verplaats de resource naar een andere resourcegroep of een ander abonnement.
2. Maak de resourcetoewijzing opnieuw.

Als u een dynamic bereik gebruikt:

1. Start of wacht op de volgende geplande uitvoering. Met deze actie wordt het systeem gevraagd de toewijzing volledig te verwijderen, zodat u verder kunt gaan met de volgende stappen.
2. Verplaats de resource naar een andere resourcegroep of een ander abonnement.
3. Maak de resourcetoewijzing opnieuw.

Als een van de stappen wordt gemist, verplaatst u de resource naar de vorige resourcegroep of abonnements-id en probeert u de stappen opnieuw.

Notitie

Als de resourcegroep wordt verwijderd, maakt u deze opnieuw met dezelfde naam. Als de abonnements-id is verwijderd, neemt u contact op met het ondersteuningsteam voor risicobeperking.

Kan de patchindelingsoptie niet wijzigen in handmatige updates van automatische updates

Probleem

De Azure-machine heeft de optie patchindeling als AutomaticByOS/Windows automatische updates en u kunt de patchindeling niet wijzigen in Handmatige updates met behulp van update-instellingen wijzigen.

Oplossing

Als u niet wilt dat een patchinstallatie wordt ingedeeld door Azure of geen aangepaste patchoplossingen gebruikt, kunt u de optie voor patchindeling wijzigen in door de klant beheerde planningen (preview) of AutomaticByPlatform en ByPassPlatformSafetyChecksOnUserSchedule geen configuratie voor planning/onderhoud koppelen aan de machine. Deze instelling zorgt ervoor dat er geen patching op de computer wordt uitgevoerd totdat u deze expliciet wijzigt. Zie Scenario 2 in Gebruikersscenario's voor meer informatie.

Machine wordt weergegeven als 'Niet geëvalueerd' en toont een HRESULT-uitzondering

Probleem

• U hebt machines die worden weergegeven als Not assessed onder Naleving en u ziet een uitzonderingsbericht eronder.
• U ziet een HRESULT foutcode in de portal.

Oorzaak

De Update-agent (Windows Update Agent in Windows en het pakketbeheer voor een Linux-distributie) is niet juist geconfigureerd. Updatebeheer is afhankelijk van de updateagent van de computer om de benodigde updates, de status van de patch en de resultaten van geïmplementeerde patches op te geven. Zonder deze informatie kan Update Manager niet goed rapporteren over de patches die nodig of geïnstalleerd zijn.

Oplossing

Voer updates lokaal uit op de computer. Als deze bewerking mislukt, betekent dit meestal dat er een updateagentconfiguratiefout is.

Dit probleem wordt vaak veroorzaakt door netwerkconfiguratie- en firewallproblemen. Gebruik de volgende controles om het probleem te verhelpen:

• Voor Linux raadpleegt u de juiste documentatie om ervoor te zorgen dat u het netwerkeindpunt van uw pakketopslagplaats kunt bereiken.

• Controleer voor Windows de configuratie van uw agent, zoals beschreven in Updates, worden niet gedownload van het intraneteindpunt (WSUS/SCCM).

  • Als de computers zijn geconfigureerd voor Windows Update moet u ervoor zorgen dat u de eindpunten kunt bereiken die worden beschreven in Problemen met betrekking tot HTTP/proxy.
  • Als de computers zijn geconfigureerd voor Windows Server Update Services (WSUS) moet u ervoor zorgen dat u de WSUS-server kunt bereiken die is geconfigureerd door de WUServer-registersleutel.

Als u een HRESULT foutcode ziet, dubbelklikt u op de uitzondering die rood wordt weergegeven om het hele uitzonderingsbericht weer te geven. Bekijk de volgende tabel voor mogelijke oplossingen of aanbevolen acties.

Uitzondering	Oplossing of actie
Exception from HRESULT: 0x……C	Zoek in de relevante foutcode in de windows Update-foutcodelijst voor meer informatie over de oorzaak van de uitzondering.
0x8024402C 0x8024401C 0x8024402F	Geeft problemen met de netwerkverbinding aan. Controleer of de computer een netwerkverbinding heeft met Updatebeheer. Zie de sectie Netwerkplanning voor een lijst met vereiste poorten en adressen.
0x8024001E	De updatebewerking is niet voltooid omdat de service of het systeem werd afgesloten.
0x8024002E	Windows Update-service is uitgeschakeld.
0x8024402C	Als u een WSUS-server gebruikt, controleert u of de registerwaarden voor WUServer en WUStatusServer onder de HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate registersleutel de juiste WSUS-server opgeven.
0x80072EE2	Er is een probleem met de netwerkverbinding of een probleem bij het praten met een geconfigureerde WSUS-server. Controleer de WSUS-instellingen en controleer of de service toegankelijk is vanaf de client.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Zorg ervoor dat de Windows Update-service (wuauserv) wordt uitgevoerd en niet is uitgeschakeld.
0x80070005	Een fout met geweigerde toegang kan worden veroorzaakt door een van de volgende problemen: - Geïnfecteerde computer. - Windows Update-instellingen zijn niet juist geconfigureerd. - Fout bij bestandsmachtiging met de %WinDir%\SoftwareDistribution map. - Onvoldoende schijfruimte op het systeemstation (station C).
Andere algemene uitzonderingen	Voer een zoekopdracht uit op internet voor mogelijke oplossingen en werk samen met uw lokale IT-ondersteuning.

U kunt ook het bestand %Windir%\Windowsupdate.log raadplegen als hulp bij het vaststellen van mogelijke oorzaken. Zie Het Windowsupdate.log-bestand lezen voor meer informatie over het lezen van het logboek.

U kunt ook de probleemoplosser voor Windows Update downloaden en uitvoeren om te controleren op eventuele problemen met Windows Update op de computer.

Notitie

De probleemoplosserdocumentatie voor Windows Update geeft aan dat het voor gebruik op Windows-clients is, maar ook werkt op Windows Server.

Bekende problemen bij het plannen van patches

• Voor een gelijktijdige of tegenstrijdige planning wordt slechts één schema geactiveerd. Het andere schema wordt geactiveerd nadat een planning is voltooid.
• Als een computer nieuw is aangemaakt, kan de planning 15 minuten vertraging met de schematrigger hebben in het geval van Azure VM’s.
• Beleidsdefinitie Terugkerende updates plannen met behulp van Azure Update Manager met versie 1.0.0-preview herstelt bronnen met succes. Deze worden echter altijd weergegeven als niet-conform. De huidige waarde van de bestaansvoorwaarde is een tijdelijke aanduiding die altijd onwaar evalueert.

Het plannen van patches mislukt met de fout ShutdownOrUnresponsive

Probleem

Plan patching heeft de patches niet geïnstalleerd op de VM's en geeft een foutmelding als ShutdownOrUnresponsive.

Oplossing

Schema's die zijn geactiveerd op machines die zijn verwijderd en opnieuw zijn gemaakt met dezelfde resource-id binnen 8 uur, kunnen mislukken met de fout ShutdownOrUnresponsive vanwege een bekende beperking.

Kan geen patches toepassen voor de afsluitmachines

Probleem

Patches worden niet toegepast op de computers die de afsluitstatus hebben. Mogelijk ziet u ook dat machines hun bijbehorende onderhoudsconfiguraties of -planningen kwijtraken.

Oorzaak

De machines hebben een afsluitstatus.

Oplossing

Houd uw machines ten minste 15 minuten vóór de geplande update ingeschakeld. Zie Computers afsluiten voor meer informatie.

De patchuitvoering is mislukt met de eigenschap Onderhoud overschreden, waarbij de eigenschap true wordt weergegeven, zelfs als de tijd bleef

Probleem

Wanneer u een update-implementatie in de updategeschiedenis bekijkt, wordtde eigenschap Mislukt met onderhoudsvenster overschreden, ook al is er voldoende tijd overgelaten voor uitvoering. In dit geval is een van de volgende problemen mogelijk:

• Er worden geen updates weergegeven.
• Een of meer updates hebben de status In behandeling .
• De herstartstatus is vereist, maar er is niet geprobeerd opnieuw op te starten, zelfs niet wanneer de instelling voor opnieuw opstarten is geslaagd IfRequired of Always.

Oorzaak

Tijdens een update-implementatie wordt het gebruik van onderhoudsvensters gecontroleerd op meerdere stappen. Tien minuten van het onderhoudsvenster zijn op elk gewenst moment gereserveerd voor opnieuw opstarten. Voordat de implementatie een lijst met ontbrekende updates ontvangt of een update downloadt of installeert (met uitzondering van Windows-servicepack-updates), wordt gecontroleerd of er 15 minuten + 10 minuten zijn voor opnieuw opstarten (dat wil gezegd 25 minuten over in het onderhoudsvenster).

Voor windows-servicepack-updates controleert de implementatie 20 minuten + 10 minuten voor opnieuw opstarten (dat wil gezegd, 30 minuten). Als de implementatie niet over voldoende tijd beschikt, wordt de scan/download/installatie van updates overgeslagen. De implementatie wordt uitgevoerd en controleert of opnieuw opstarten nodig is en of er tien minuten overblijven in het onderhoudsvenster. Als dat zo is, wordt het opnieuw opstarten door de implementatie geactiveerd. Anders wordt het opnieuw opstarten overgeslagen.

In dergelijke gevallen wordt de status bijgewerkt naar Mislukt en wordt de eigenschap Onderhoud overschreden tot waar. Voor gevallen waarin de tijd minder dan 25 minuten is, worden updates niet gescand of geprobeerd om te worden geïnstalleerd.

Raadpleeg de logboeken in het bestandspad dat is opgegeven in het foutbericht van de implementatieuitvoering voor meer informatie.

Oplossing

Stel een langer tijdsbereik in voor maximale duur wanneer u een update-implementatie op aanvraag activeert om het probleem te voorkomen.

Volgende stappen

• Zie het overzicht voor meer informatie over UpdateBeheer.
• Zie Logboeken en resultaten van Update Manager opvragen om vastgelegde resultaten van al uw computers weer te geven.