Compartir a través de


Solución de problemas con Azure Update Manager

En este artículo se describen los errores que pueden producirse al implementar o usar el Administrador de actualizaciones de Azure, cómo resolverlos y los problemas conocidos y las limitaciones de la aplicación de revisiones programadas.

Solución general de problemas

Los pasos de solución de problemas siguientes se aplican a las máquinas virtuales (VM) de Azure relacionadas con la extensión de aplicación de revisiones automatizada en máquinas Windows y Linux.

Azure Linux VM

Para comprobar si el agente de Microsoft Azure Virtual Machines (agente de VM) se está ejecutando y ha desencadenado las acciones adecuadas en la máquina y el número de secuencia de la solicitud de aplicación de revisiones automatizada, consulte los detalles del registro del agente en /var/log/waagent.log. Cada solicitud de aplicación de revisiones automatizada tiene un número de secuencia único asociado en la máquina. Busque un registro similar al siguiente: 2021-01-20T16:57:00.607529Z INFO ExtHandler.

El directorio del paquete de la extensión es /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>. La subcarpeta /status tiene un archivo <sequence number>.status. Incluye una breve descripción de las acciones realizadas durante una única solicitud de aplicación de revisiones automatizada y el estado. También incluye una lista breve de errores que se han producido al aplicar actualizaciones.

Para revisar los registros relacionados con todas las acciones que ha llevado a cabo la extensión, busque más información en /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Incluye estos dos archivos de registro siguientes de interés:

  • <seq number>.core.log: contiene información relacionada con las acciones de revisión. Esta información incluye revisiones evaluadas e instaladas en la máquina y los problemas detectados en el proceso.
  • <Date and Time>_<Handler action>.ext.log: encima de la acción de revisión, hay un encapsulador que se usa para administrar la extensión e invocar una operación de revisión específica. Este registro contiene información sobre el encapsulador. Para la aplicación de revisiones automatizada, en el registro <Date and Time>_Enable.ext.log hay información sobre si se ha invocado o no la operación de revisión específica.
Azure Windows VM

Para comprobar si el agente de VM se está ejecutando y ha desencadenado las acciones adecuadas en la máquina y el número de secuencia de la solicitud de aplicación de revisiones automatizada, consulte los detalles del registro del agente en C:\WindowsAzure\Logs\AggregateStatus. El directorio del paquete de la extensión es C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Para revisar los registros relacionados con todas las acciones que ha llevado a cabo la extensión, busque más información en C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Incluye estos dos archivos de registro siguientes de interés:

  • WindowsUpdateExtension.log: contiene información relacionada con las acciones de revisión. Esta información incluye revisiones evaluadas e instaladas en la máquina y los problemas detectados en el proceso.
  • CommandExecution.log: encima de la acción de revisión, hay un encapsulador que se usa para administrar la extensión e invocar una operación de revisión específica. Este registro contiene información sobre el encapsulador. Para la aplicación de revisiones automatizada, en el registro hay información sobre si se ha invocado o no la operación de revisión específica.

La evaluación periódica no se establece correctamente cuando se usa la directiva de evaluación periódica durante la creación de máquinas virtuales especializadas, migradas y restauradas

Causa

La evaluación periódica no se establece correctamente durante la creación de máquinas virtuales especializadas, migradas y restauradas debido a la forma en que está diseñada la directiva de modificación actual. Después de la creación, la directiva mostrará estos recursos como no compatibles en el panel de cumplimiento.

Solución

Ejecute una tarea de corrección después de la creación para corregir los recursos recién creados. Para obtener más información, consulte Corregir los recursos no compatibles con Azure Policy.

Los requisitos previos para la aplicación de revisiones programadas no se establecen correctamente y las programaciones no se adjuntan al usar directivas específicas durante la creación de máquinas virtuales especializadas, generalizadas, migradas y restauradas.

Causa

El requisito previo para la aplicación de revisiones programadas y las programaciones de asociación no se establece correctamente al usar las directivas de Programación de actualizaciones periódicas mediante el Administrador de actualizaciones de Azure y Establecer el requisito previo para programar actualizaciones periódicas en máquinas virtuales de Azure durante la creación de máquinas virtuales especializadas, generalizadas, migradas y restauradas debido a la forma en que se ha diseñado la directiva Deploy If Not Exists actual. Después de la creación, la directiva mostrará estos recursos como no compatibles en el panel de cumplimiento.

Solución

Ejecute una tarea de corrección después de la creación para corregir los recursos recién creados. Para obtener más información, consulte Corregir los recursos no compatibles con Azure Policy.

Problema

Hay errores de corrección para las máquinas virtuales que tienen una referencia a la imagen de la galería en el modo de máquina virtual. Esto se debe a que requiere el permiso de lectura para la imagen de la galería y actualmente no forma parte del rol Colaborador de máquina virtual.

Captura de pantalla que muestra el código del error de corrección de la directiva.

Causa

El rol Colaborador de máquina virtual no tiene permisos suficientes.

Solución

  • Para todas las nuevas asignaciones, se introduce un cambio reciente para proporcionar el rol Colaborador a la identidad administrada creada durante la asignación de directiva para la corrección. En el futuro, esto se asignará para las nuevas asignaciones.
  • Para las asignaciones anteriores, si experimenta un error en las tareas de corrección, se recomienda asignar manualmente el rol de colaborador a la identidad administrada siguiendo los pasos indicados en Concesión de permisos a la identidad administrada a través de roles definidos.
  • Además, en escenarios en los que el rol Colaborador no funciona cuando los recursos vinculados (imagen de galería o disco) están en otro grupo de recursos o suscripción, proporcione manualmente la identidad administrada con los roles y permisos adecuados en el ámbito para desbloquear las correcciones siguiendo los pasos descritos en Concesión de permisos a la identidad administrada a través de roles definidos.

No se puede generar una evaluación periódica para servidores habilitados para Arc

Problema

Las suscripciones en las que se incorporan los servidores habilitados para Arc no generan datos de evaluación.

Solución

Asegúrese de que las suscripciones de servidores de Arc están registradas en el proveedor de recursos Microsoft.Compute para que los datos de evaluación periódicos se generen periódicamente según lo previsto. Más información

La configuración de mantenimiento no se aplica cuando la máquina virtual se mueve a otra suscripción o grupo de recursos

Problema

Cuando una máquina virtual se mueve a otra suscripción o grupo de recursos, la configuración de mantenimiento programada asociada a la máquina virtual no se está ejecutando.

Solución

Actualmente, las configuraciones de mantenimiento no admiten el traslado de recursos asignados entre grupos de recursos o suscripciones. Como solución alternativa, siga estos pasos para el recurso que desea mover. Como requisito previo, quite primero la asignación antes de seguir los pasos.

Si usa un ámbito de static:

  1. Traslade el recurso a otro grupo de recursos o suscripción.
  2. Vuelva a crear la asignación de recursos.

Si usa un ámbito de dynamic:

  1. Inicie la siguiente ejecución programada o espere a que se produzca. Esta acción hace que al sistema quite completamente la asignación, por lo que puede continuar con los pasos siguientes.
  2. Traslade el recurso a otro grupo de recursos o suscripción.
  3. Vuelva a crear la asignación de recursos.

Si falta alguno de los pasos, traslade el recurso al grupo de recursos o al identificador de suscripción anterior y vuelva a adjuntar los pasos.

Nota:

Si se elimina el grupo de recursos, vuelva a crearlo con el mismo nombre. Si se elimina el identificador de suscripción, póngase en contacto con el equipo de soporte técnico para la mitigación.

No se puede cambiar la opción de orquestación de revisiones a actualizaciones manuales de actualizaciones automáticas

Problema

Quiere asegurarse de que el cliente de Windows Update no instalará los ritmos en Windows Server para que quiera establecer la configuración de revisión en Manual. La máquina de Azure tiene la opción de orquestación de revisiones como actualizaciones automáticas AutomaticByOS/Windows y no puede cambiar la orquestación de revisiones a Actualizaciones manuales mediante Cambiar la configuración de actualización.

Solución

Si no desea que Azure organice ninguna instalación de revisiones o no usa soluciones de aplicación de revisiones personalizadas, puede cambiar la opción de orquestación de revisiones a Programaciones administradas por el cliente (versión preliminar) o AutomaticByPlatform y ByPassPlatformSafetyChecksOnUserSchedule, y no asociar una configuración de programación o mantenimiento a la máquina. Esta configuración garantiza que no se realice ninguna aplicación de revisiones en la máquina hasta que se cambie explícitamente. Para obtener más información, vea Escenario 2 en Escenarios de usuario.

Captura de pantalla que muestra una notificación conforme la configuración de actualización tiene errores.

La máquina aparece como "No evaluado" y se muestra una excepción HRESULT

Problema

  • Tiene máquinas que aparecen como Not assessed en Cumplimiento y verá un mensaje de excepción debajo de él.
  • Verá un código de error HRESULT en el portal.

Causa

El agente de actualización (Agente de Windows Update en Windows, el administrador de paquetes para la distribución de Linux) no está configurado correctamente. Update Manager se basa en el agente de actualización de la máquina para proporcionar las actualizaciones necesarias, el estado de la revisión y los resultados de las revisiones implementadas. Sin esta información, Update Manager no puede informar correctamente de las revisiones que son necesarias o que están instaladas.

Solución

Intente realizar actualizaciones de forma local en la máquina. Si esta operación falla, suele significar que hay un error de configuración con el agente de actualización.

Este problema suele deberse a problemas de firewall y de configuración de red. Use las siguientes comprobaciones para corregir el problema:

Si se muestra un código de error HRESULT, haga doble clic en la excepción que se muestra en rojo para ver el mensaje de excepción completo. Revise la siguiente tabla para ver posibles resoluciones o acciones recomendadas.

Excepción Acción o resolución
Exception from HRESULT: 0x……C Busque el código de error correspondiente en la lista de códigos de error de Windows Update para obtener más información sobre la causa de la excepción.
0x8024402C
0x8024401C
0x8024402F
Indica problemas de conectividad de red. Asegúrese de que la máquina tenga conectividad de red con Update Management. Consulte la sección sobre el planeamiento de red para obtener una lista de puertos y direcciones necesarios.
0x8024001E No se terminó la operación de actualización porque se estaba cerrando el servicio o el sistema.
0x8024002E El servicio de Windows Update está deshabilitado.
0x8024402C Si usa un servidor WSUS, asegúrese de que los valores del Registro para WUServer y WUStatusServer en la clave del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate especifican el servidor WSUS correcto.
0x80072EE2 Hay un problema de conectividad de red o un problema al comunicarse con un servidor WSUS configurado. Compruebe la configuración de WSUS y asegúrese de que se puede acceder al servicio desde el cliente.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) Asegúrese de que el servicio Windows Update (wuauserv) se está ejecutando y no está deshabilitado.
0x80070005 Un error de acceso denegado puede deberse a cualquiera de los siguientes problemas:
- Equipo infectado.
- Windows Update no está configurado correctamente.
- Error de permiso de archivo con la carpeta %WinDir%\SoftwareDistribution.
- Espacio en disco insuficiente en la unidad del sistema (unidad C).
Cualquier otra excepción genérica Ejecute una búsqueda en Internet para ver las resoluciones posibles y colabore con el equipo de soporte técnico de TI local.

Revisar el archivo %Windir%\Windowsupdate.log también puede ayudar a determinar los posibles motivos. Para más información sobre cómo leer el registro, consulte Leer el archivo Windowsupdate.log.

También puede descargar y ejecutar el solucionador de problemas de Windows Update para comprobar si hay algún problema con Windows Update en el equipo.

Nota:

La documentación del solucionador de problemas de Windows Update indica que es para su uso en clientes de Windows, pero también funciona en Windows Server.

Problemas conocidos de la aplicación de revisiones de programación

  • En el caso de la programación simultánea o en conflicto, solo se desencadenará una programación. La otra programación se desencadena una vez finalizada la primera programación.
  • Si se acaba de crear una máquina, la programación puede tener 15 minutos de retraso del desencadenador programado en el caso de las VM de Azure.

Error de aplicación de revisiones programadas con el error "ShutdownOrUnresponsive"

Problema

La programación de revisiones no ha instalado las revisiones en las máquinas virtuales y proporciona un error como "ShutdownOrUnresponsive".

Solución

Las programaciones desencadenadas en las máquinas eliminadas y recreadas con el mismo identificador de recurso en un plazo de 8 horas pueden producir un error ShutdownOrUnresponsive debido a una limitación conocida.

No se pueden aplicar revisiones para las máquinas apagadas

Problema

Las revisiones no se aplican a las máquinas que están apagadas. También puede ver que las máquinas pierden sus configuraciones de mantenimiento asociadas o programaciones.

Causa

Las máquinas están apagadas.

Solución

Asegúrese de que las máquinas estén activadas al menos 15 minutos antes de la actualización programada. Para obtener más información, consulte Apagar máquinas.

Error en la ejecución de revisión con la propiedad de ventana de mantenimiento superada en el que se muestra true incluso si el tiempo se ha mantenido

Problema

Al ver una implementación de actualizaciones en el Historial de actualizaciones, la propiedad Error con ventana de mantenimiento superada muestra true aunque se haya dejado suficiente tiempo para la ejecución. En este caso, es posible uno de los siguientes problemas:

  • No se muestra ninguna actualización.
  • Una o varias actualizaciones están en estado Pendiente.
  • El estado de reinicio es Obligatorio, pero no se ha intentado reiniciar incluso cuando la configuración de reinicio pasada era IfRequired o Always.

Causa

Durante una implementación de actualizaciones, comprueba el uso de la ventana de mantenimiento en varios pasos. 10 minutos de la ventana de mantenimiento se reservan para el reinicio en cualquier momento. Antes de que la implementación obtenga una lista de actualizaciones que faltan o descargar o instalar cualquier actualización (excepto las de Windows Service Pack), comprueba si hay 15 minutos + 10 minutos para el reinicio (es decir, 25 minutos restantes en la ventana de mantenimiento).

En el caso de las actualizaciones de Windows Service Pack, la implementación comprueba que haya 20 minutos + 10 minutos para el reinicio (es decir, 30 minutos). Si la implementación no tiene suficiente tiempo restante, omite el examen, la descarga o la instalación de actualizaciones. Después, la ejecución de implementación comprueba si se necesita un reinicio y si quedan 10 minutos en la ventana de mantenimiento. Si lo hay, la implementación desencadena un reinicio. De lo contrario, se omite el reinicio.

En tales casos, el estado se actualiza a Con errores y la propiedad de ventana de mantenimiento superada se actualiza a true. En los casos en los que el tiempo restante es inferior a 25 minutos, las actualizaciones no se examinan ni se intenta instalarlas.

Para obtener más información, revise los registros de la ruta de acceso del archivo proporcionada en el mensaje de error de la ejecución de implementación.

Solución

Establecer un intervalo de tiempo más largo durante la duración máxima al desencadenar una implementación de actualizaciones a petición ayuda a evitar el problema.

La extensión de actualización del sistema operativo Windows/Linux no está instalada

Problema

La extensión de actualización del sistema operativo Windows/Linux debe instalarse correctamente en máquinas de Arc para realizar evaluaciones a petición, aplicación de revisiones y aplicación de revisiones programadas.

Solución

Desencadenar una evaluación o aplicación de revisiones a petición para instalar la extensión en el equipo. También puede adjuntar la máquina a una programación de configuración de mantenimiento que instalará la extensión cuando se realice la aplicación de revisiones según la programación.

Si la extensión ya está presente en un equipo de Arc, pero el estado de la extensión no es Correcto, asegúrese de que quite la extensión y desencadene una operación a petición para que se instale de nuevo.

La extensión de actualización de revisión de Windows/Linux no está instalada

Problema

La extensión de actualización de revisión de Windows/Linux debe instalarse correctamente en máquinas de Azure para realizar evaluaciones a petición o aplicación de revisión, aplicación de revisión programada y para evaluaciones periódicas.

Solución

Desencadenar una evaluación o aplicación de revisiones a petición para instalar la extensión en el equipo. También puede adjuntar la máquina a una programación de configuración de mantenimiento que instalará la extensión cuando se realice la aplicación de revisiones según la programación.

Si la extensión ya está presente en el equipo, pero el estado de la extensión no es Correcto, desencadene una operación a petición que la instalará de nuevo.

Error al permitir la comprobación de operaciones de extensión

Problema

La propiedad AllowExtensionOperations se establece en false en la máquina OSProfile.

Solución

La propiedad debe establecerse en true para permitir que las extensiones funcionen correctamente.

Privilegios sudo no presentes

Problema

Los privilegios sudo no se conceden a las extensiones para las operaciones de evaluación o aplicación de revisión en máquinas Linux.

Solución

Conceda privilegios sudo para asegurarse de que las operaciones de evaluación o aplicación de revisión se realicen correctamente.

El proxy está configurado

Problema

El proxy está configurado en máquinas Windows o Linux que pueden bloquear el acceso a los puntos de conexión necesarios para que las operaciones de evaluación o aplicación de revisión se realicen correctamente.

Solución

Para Windows, consulte problemas relacionados con el proxy.

Para Linux, asegúrese de que la configuración del proxy no bloquea el acceso a los repositorios necesarios para descargar e instalar actualizaciones.

Error de comprobación de TLS 1.2

Problema

TLS 1.0 y TLS 1.1 están en desuso.

Solución

Usar TLS 1.2 o superior.

Para Windows, consulte Protocolos de TLS/SSL (Schannel SSP).

Para Linux, ejecute el siguiente comando para ver las versiones admitidas de TLS para la distribución. nmap --script ssl-enum-ciphers -p 443 www.azure.com

Error en la comprobación de conexión HTTPS

Problema

No está disponible la conexión HTTPS necesaria para descargar e instalar actualizaciones desde los puntos de conexión necesarios para cada sistema operativo.

Solución

Permitir la conexión HTTPS desde la máquina.

El servicio MsftLinuxPatchAutoAssess no se está ejecutando o el tiempo no está activo

Problema

MsftLinuxPatchAutoAssess es necesario para realizar evaluaciones periódicas correctas en máquinas Linux.

Solución

Asegúrese de que el estado LinuxPatchExtension es correcto para la máquina. Reinicie la máquina para comprobar si se ha resuelto el problema.

Los repositorios de Linux no son accesibles

Problema

Las actualizaciones se descargan de repositorios públicos o privados configurados para cada distribución de Linux. La máquina no puede conectarse a estos repositorios para descargar o evaluar las actualizaciones.

Solución

Asegúrese de que las reglas de seguridad de red no impidan la conexión a repositorios necesarios para las operaciones de actualización.

Pasos siguientes