Resolver problemas do Azure Update Manager

Este artigo descreve os erros que podem ocorrer quando você implanta ou usa o Azure Update Manager, como resolvê-los e os problemas conhecidos e as limitações da aplicação de patches agendados.

Resolução de problemas gerais

As etapas de solução de problemas a seguir se aplicam às máquinas virtuais (VMs) do Azure relacionadas à extensão de patch em máquinas Windows e Linux.

Máquinas Virtuais do Azure

VM Linux do Azure

Para verificar se o agente de Máquina Virtual do Microsoft Azure (agente de VM) está em execução e acionou as ações apropriadas na máquina virtual e o número de sequência do pedido de aplicação de patches automatizada, veja o registo do agente para obter mais informações em /var/log/waagent.log. Cada pedido de aplicação de patches automatizada tem um número de sequência exclusivo associado na máquina virtual. Procure um registo semelhante a 2021-01-20T16:57:00.607529Z INFO ExtHandler.

O diretório do pacote da extensão é /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>. A subpasta /status tem um ficheiro <sequence number>.status. Inclui uma breve descrição das ações executadas durante um único pedido de aplicação de patches automatizada e o estado. Inclui também uma pequena lista de erros que ocorreram durante a aplicação de atualizações.

Para rever os registos relacionados com todas as ações executadas pela extensão, veja mais informações em /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Inclui os seguintes dois ficheiros de registo de interesse:

• <seq number>.core.log: contém informações relacionadas com as ações de patch. Estas informações incluem os patches avaliados e instalados na máquina virtual e quaisquer problemas encontrados no processo.
• <Date and Time>_<Handler action>.ext.log: existe um wrapper acima da ação de patch, que é utilizado para gerir a extensão e invocar a operação de patch específica. Este registo contém informações sobre o wrapper. Para a aplicação de patches automatizada, o registo <Date and Time>_Enable.ext.log tem informações sobre se foi invocada a operação de patch específica.

VM Windows do Azure

Para verificar se o agente de VM está em execução e acionou as ações apropriadas na máquina virtual e o número de sequência do pedido de aplicação de patches automatizada, veja o registo do agente para obter mais informações em C:\WindowsAzure\Logs\AggregateStatus. O diretório do pacote da extensão é C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Para rever os registos relacionados com todas as ações executadas pela extensão, veja mais informações em C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Inclui os seguintes dois ficheiros de registo de interesse:

• WindowsUpdateExtension.log: contém informações relacionadas com as ações de patch. Estas informações incluem os patches avaliados e instalados na máquina virtual e quaisquer problemas encontrados no processo.
• CommandExecution.log: existe um wrapper acima da ação de patch, que é utilizado para gerir a extensão e invocar a operação de patch específica. Este registo contém informações sobre o wrapper. Para a aplicação de patches automatizada, o registo tem informações sobre se foi invocada a operação de patch específica.

Servidores habilitados para Arc

Para servidores compatíveis com o Azure Arc, veja Resolver problemas de extensões de VM para obter os passos gerais de resolução de problemas.

Para rever os registos relacionados com todas as ações executadas pela extensão no Windows, veja mais informações em C:\ProgramData\GuestConfig\extension_Logs\Microsoft.SoftwareUpdateManagement\WindowsOsUpdateExtension. Inclui os seguintes dois ficheiros de registo de interesse:

• WindowsUpdateExtension.log: contém informações relacionadas com as ações de patch. Estas informações incluem os patches avaliados e instalados na máquina virtual e quaisquer problemas encontrados no processo.
• cmd_execution_<numeric>_stdout.txt: existe um wrapper acima da ação de patch. É utilizado para gerir a extensão e invocar uma operação de patch específica. Este registo contém informações sobre o wrapper. Para a aplicação de patches automatizada, o registo tem informações sobre se foi invocada a operação de patch específica.
• cmd_excution_<numeric>_stderr.txt

A avaliação periódica não está sendo definida corretamente quando a política de avaliação periódica é usada durante a criação para VMs especializadas, migradas e restauradas

Motivo

A avaliação periódica não está sendo definida corretamente durante a criação de VMs especializadas, migradas e restauradas devido à maneira como a política de modificação atual é projetada. Após a criação, a política mostrará esses recursos como não compatíveis no painel de conformidade.

Resolução

Execute uma tarefa de correção após a criação para corrigir recursos recém-criados. Para obter mais informações, consulte Remediar recursos não compatíveis com a Política do Azure.

As tarefas de correção de política estão falhando para imagens de galeria e para imagens com discos criptografados

Problema

Há falhas de correção para VMs que têm uma referência à imagem da galeria no modo de máquina virtual. Isso ocorre porque ele requer a permissão de leitura para a imagem da galeria e atualmente não faz parte da função de Colaborador de Máquina Virtual.

Motivo

A função de Colaborador de Máquina Virtual não tem permissões suficientes.

Resolução

• Para todas as novas atribuições, uma alteração recente é introduzida para fornecer a função de Colaborador à identidade gerenciada criada durante a atribuição de política para correção. No futuro, isso será atribuído para quaisquer novas atribuições.
• Para quaisquer atribuições anteriores se você estiver enfrentando falha nas tarefas de correção, recomendamos que você atribua manualmente a função de colaborador à identidade gerenciada seguindo as etapas listadas em Conceder permissões à identidade gerenciada por meio de funções definidas
• Além disso, em cenários em que a função de Colaborador não funciona quando os recursos vinculados (imagem de galeria ou disco) estão em outro grupo de recursos ou assinatura, forneça manualmente à identidade gerenciada as funções e permissões corretas no escopo para desbloquear correções seguindo as etapas em Conceder permissões à identidade gerenciada por meio de funções definidas.

Não é possível gerar avaliação periódica para servidores habilitados para Arc

Problema

As assinaturas nas quais os servidores habilitados para Arc estão integrados não estão produzindo dados de avaliação.

Resolução

Certifique-se de que as assinaturas dos servidores Arc estejam registradas no provedor de recursos Microsoft.Compute para que os dados de avaliação periódica sejam gerados periodicamente conforme o esperado. Mais informações

A configuração de manutenção não é aplicada quando a VM é movida para uma assinatura ou grupo de recursos diferente

Problema

Quando uma VM é movida para outra assinatura ou grupo de recursos, a configuração de manutenção agendada associada à VM não está em execução.

Resolução

Atualmente, o sistema não suporta a movimentação de recursos entre grupos de recursos ou assinaturas. Como solução alternativa, use as etapas a seguir para o recurso que você deseja mover. Como pré-requisito, primeiro remova a atribuição antes de seguir as etapas.

Se você estiver usando um static escopo:

1. Mova o recurso para um grupo de recursos ou assinatura diferente.
2. Recrie a atribuição de recursos.

Se você estiver usando um dynamic escopo:

1. Inicie ou aguarde a próxima execução agendada. Essa ação solicita que o sistema remova completamente a atribuição, para que você possa prosseguir com as próximas etapas.
2. Mova o recurso para um grupo de recursos ou assinatura diferente.
3. Recrie a atribuição de recursos.

Se alguma das etapas for perdida, mova o recurso para o grupo de recursos anterior ou ID de assinatura e tente novamente as etapas.

Nota

Se o grupo de recursos for excluído, recrie-o com o mesmo nome. Se a ID da assinatura for excluída, entre em contato com a equipe de suporte para obter atenuação.

Não é possível alterar a opção de orquestração de patches para atualizações manuais a partir de atualizações automáticas

Problema

A máquina do Azure tem a opção de orquestração de patches como AutomaticByOS/Windows atualizações automáticas e você não pode alterar a orquestração de patches para Atualizações Manuais usando Alterar configurações de atualização.

Resolução

Se você não quiser que nenhuma instalação de patch seja orquestrada pelo Azure ou não estiver usando soluções de patches personalizadas, poderá alterar a opção de orquestração de patches para Agendas Gerenciadas pelo Cliente (Visualização) ou AutomaticByPlatformByPassPlatformSafetyChecksOnUserSchedule e não associar uma configuração de agenda/manutenção à máquina. Essa configuração garante que nenhum patch seja executado na máquina até que você a altere explicitamente. Para obter mais informações, consulte Cenário 2 em Cenários de usuário.

A máquina mostra como "Não avaliado" e mostra uma exceção HRESULT

Problema

• Você tem máquinas que aparecem como Not assessed em Conformidade e vê uma mensagem de exceção abaixo delas.
• Você vê um HRESULT código de erro no portal.

Motivo

O Update Agent (Windows Update Agent no Windows e o gerenciador de pacotes para uma distribuição Linux) não está configurado corretamente. O Update Manager depende do Update Agent da máquina para fornecer as atualizações necessárias, o status do patch e os resultados dos patches implantados. Sem essas informações, o Update Manager não pode relatar corretamente os patches necessários ou instalados.

Resolução

Tente efetuar atualizações localmente no computador. Se essa operação falhar, isso normalmente significa que há um erro de configuração do Update Agent.

Este problema é frequentemente causado por problemas de configuração de rede e firewall. Use as seguintes verificações para corrigir o problema:

• Para o Linux, veja a documentação adequada para confirmar que consegue aceder ao ponto final de rede do repositório do pacote.

• Para Windows, verifique a configuração do agente conforme descrito em As atualizações não estão sendo baixadas do ponto de extremidade da intranet (WSUS/SCCM).

  • Se os computadores estiverem configurados para o Windows Update, confirme que consegue aceder aos pontos finais descritos em Problemas relacionados com HTTP/proxy.
  • Se os computadores estiverem configurados para o Windows Server Update Services (WSUS), confirme que consegue aceder ao servidor WSUS configurado pela chave do Registo de WUServer.

Se você vir um código de HRESULT erro, clique duas vezes na exceção exibida em vermelho para ver a mensagem de exceção inteira. Veja a tabela seguinte para obter possíveis resoluções ou ações recomendadas.

Exceção	Resolução ou ação
Exception from HRESULT: 0x……C	Pesquise o código de erro relevante na lista de códigos de erro do Windows Update para encontrar mais informações sobre a causa da exceção.
0x8024402C 0x8024401C 0x8024402F	Indica problemas de conectividade de rede. Garanta que o computador tem conectividade de rede para a Gestão de Atualizações. Para obter uma lista de portas e endereços necessários, consulte a seção Planejamento de rede.
0x8024001E	A operação de atualização não foi concluída porque o serviço ou o sistema estava sendo desligado.
0x8024002E	O serviço do Windows Update está desativado.
0x8024402C	Se estiver a utilizar um servidor WSUS, certifique-se de que os valores de registo para WUServer e WUStatusServer sob a chave de HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate registo especificam o servidor WSUS correto.
0x80072EE2	Há um problema de conectividade de rede ou um problema ao falar com um servidor WSUS configurado. Verifique as definições do WSUS e garanta que o serviço se encontra acessível a partir do cliente.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Certifique-se de que o serviço Windows Update (wuauserv) está em execução e não está desativado.
0x80070005	Um erro de acesso negado pode ser causado por qualquer um dos seguintes problemas: - Computador infetado. - As configurações do Windows Update não estão configuradas corretamente. - Erro de permissão de arquivo com a %WinDir%\SoftwareDistribution pasta. - Espaço em disco insuficiente na unidade do sistema (unidade C).
Qualquer outra exceção genérica	Faça uma pesquisa na Internet para possíveis resoluções e trabalhe com o suporte de TI local.

Veja o ficheiro %Windir%\Windowsupdate.log para obter ajuda para determinar possíveis causas. Para obter mais informações sobre como ler o log, consulte Ler o arquivo Windowsupdate.log.

Também pode transferir e executar a resolução de problemas do Windows Update para verificar se existem problemas com o Windows Update no computador.

Nota

A documentação da resolução de problemas do Windows Update indica que se destina a ser utilizada em clientes Windows, mas também funciona no Windows Server.

Problemas conhecidos na aplicação de patches de agendamento

• Para um agendamento simultâneo ou em conflito, apenas é acionado um agendamento. O outro um agendamento é acionado após a conclusão de um agendamento.
• Se uma máquina virtual for recém-criada, o agendamento poderá ter 15 minutos de atraso no acionamento no caso de VMs do Azure.
• A definição da política Agendar atualizações recorrentes com o Azure Update Manager com a versão 1.0.0-pré–visualização corrige os recursos com êxito. No entanto, mostra-os sempre como não estando em conformidade. O valor atual da condição de existência é um marcador de posição que é sempre avaliado como falso.

O patch de agendamento falha com o erro 'ShutdownOrUnresponsive'

Problema

O patch de agendamento não instalou os patches nas VMs e fornece um erro como 'ShutdownOrUnresponsive'.

Resolução

Agendamentos acionados em máquinas excluídas e recriadas com o mesmo ID de recurso dentro de 8 horas podem falhar com erro ShutdownOrUnresponsive devido a uma limitação conhecida.

Não é possível aplicar patches para as máquinas de desligamento

Problema

Os patches não estão sendo aplicados para as máquinas que estão em estado de desligamento. Você também pode ver que as máquinas estão perdendo suas configurações ou agendas de manutenção associadas.

Motivo

As máquinas estão em estado de desligamento.

Resolução

Mantenha as suas máquinas ligadas pelo menos 15 minutos antes da atualização agendada. Para obter mais informações, consulte Desligar máquinas.

A execução do patch falhou com a janela Manutenção excedeu a propriedade mostrando true mesmo se o tempo restante

Problema

Quando você exibe uma implantação de atualização no Histórico de Atualizações, a propriedade Falha com a janela Manutenção excedida mostra true mesmo que tenha sido restante tempo suficiente para a execução. Neste caso, um dos seguintes problemas é possível:

• Nenhuma atualização é mostrada.
• Uma ou mais atualizações estão em um estado Pendente .
• O status de reinicialização é Necessário, mas uma reinicialização não foi tentada mesmo quando a configuração de reinicialização passada foi IfRequired ou Always.

Motivo

Durante uma implantação de atualização, a utilização da janela Manutenção é verificada em várias etapas. Dez minutos da janela Manutenção são reservados para reinicialização a qualquer momento. Antes de obter uma lista de atualizações ou downloads ausentes ou instalar qualquer atualização (exceto atualizações do service pack do Windows), ela verifica se há 15 minutos + 10 minutos para a reinicialização (ou seja, 25 minutos restantes na janela Manutenção).

Para atualizações do service pack do Windows, a implantação verifica por 20 minutos + 10 minutos para reinicialização (ou seja, 30 minutos). Se a implantação não tiver tempo suficiente, ela ignorará a verificação/download/instalação de atualizações. A execução da implantação verifica se uma reinicialização é necessária e se restam 10 minutos na janela Manutenção. Se houver, a implantação dispara uma reinicialização. Caso contrário, a reinicialização será ignorada.

Nesses casos, o status é atualizado para Falha e a propriedade Manutenção excedida é atualizada para true. Para os casos em que o tempo restante é inferior a 25 minutos, as atualizações não são verificadas ou tentadas para instalação.

Para encontrar mais informações, revise os logs no caminho do arquivo fornecido na mensagem de erro da execução da implantação.

Resolução

Defina um intervalo de tempo maior para a duração máxima quando estiver acionando uma implantação de atualização sob demanda para ajudar a evitar o problema.

Próximos passos

• Para saber mais sobre o Update Manager, consulte a Visão geral.
• Para exibir os resultados registrados de todas as suas máquinas, consulte Consultando logs e resultados do Update Manager.