Partager via


Résoudre les problèmes liés à Azure Update Manager

Cet article décrit les erreurs qui peuvent se produire lorsque vous déployez ou utilisez le Gestionnaire de mise à jour Azure, comment les résoudre, ainsi que les problèmes connus et les limitations de la mise à jour corrective planifiée.

Résolution générale des problèmes

Les étapes de résolution des problèmes suivantes s’appliquent aux machines virtuelles Azure liées à l’extension de correctif sur les machines Windows et Linux.

Machine virtuelle Linux Azure

Pour vérifier si l’agent de l’ordinateur virtuel Microsoft Azure (agent VM) est en cours d’exécution et a déclenché des actions appropriées sur l’ordinateur et le numéro de séquence de la demande de mise à jour corrective automatique, consultez le journal de l’agent pour plus d’informations dans /var/log/waagent.log. Chaque demande de mise à jour corrective automatique a un numéro de séquence unique associé sur l’ordinateur. Recherchez un journal similaire à 2021-01-20T16:57:00.607529Z INFO ExtHandler.

Le répertoire de package de l’extension est /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>. Le sous-dossier /status comprend un fichier <sequence number>.status. Il inclut une brève description des actions effectuées lors d’une demande de mise à jour corrective automatique unique et de l’état. Il inclut également une courte liste d’erreurs qui se sont produites lors de l’application des mises à jour.

Pour passer en revue les journaux liés à toutes les actions effectuées par l’extension, consultez plus d’informations dans /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Il inclut les deux fichiers journaux suivants d’intérêt :

  • <seq number>.core.log : contient des informations relatives aux actions de correctif. Ces informations incluent les correctifs évalués et installés sur l’ordinateur et les problèmes rencontrés lors du processus.
  • <Date and Time>_<Handler action>.ext.log : il existe un wrapper au-dessus de l’action de correctif, qui est utilisé pour gérer l’extension et appeler une opération de correctif spécifique. Ce journal contient des informations sur le wrapper. Pour la mise à jour corrective automatique, le journal <Date and Time>_Enable.ext.log contient des informations sur l’appel de l’opération de correctif spécifique.
Machine virtuelle Windows Azure

Pour vérifier si l’agent VM est en cours d’exécution, a déclenché des actions appropriées sur l’ordinateur et le numéro de séquence de la demande de mise en service corrective automatique, vérifiez le journal de l’agent pour plus d’informations dans C:\WindowsAzure\Logs\AggregateStatus. Le répertoire de package de l’extension est C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Pour passer en revue les journaux liés à toutes les actions effectuées par l’extension, consultez plus d’informations dans C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Il inclut les deux fichiers journaux suivants d’intérêt :

  • WindowsUpdateExtension.log : contient des informations relatives aux actions de correctif. Ces informations incluent les correctifs évalués et installés sur l’ordinateur et les problèmes rencontrés lors du processus.
  • CommandExecution.log : il existe un wrapper au-dessus de l’action de correctif, qui est utilisé pour gérer l’extension et appeler une opération de correctif spécifique. Ce journal contient des informations sur le wrapper. Pour la mise à jour corrective automatique, le journal contient des informations sur l’appel de l’opération de correctif spécifique.

L’évaluation périodique n’est pas correctement définie lorsque la stratégie d’évaluation périodique est utilisée lors de la création pour les machines virtuelles spécialisées, migrées et restaurées

Cause

L’évaluation périodique n’est pas correctement définie pendant la création pour les machines virtuelles spécialisées, migrées et restaurées en raison de la façon dont la stratégie de modification actuelle est conçue. Après la création, la stratégie affiche ces ressources comme non conformes sur le tableau de bord de conformité.

Résolution

Exécutez une tâche de correction après la création pour corriger les ressources nouvellement créées. Pour plus d’informations, consultez Corriger les ressources non conformes avec Azure Policy.

Le prérequis pour la mise à jour corrective planifiée n’est pas défini correctement et les planifications ne sont pas attachées quand des stratégies spécifiques sont utilisées lors de la création pour des machines virtuelles spécialisées, généralisées, migrées et restaurées.

Cause

Le prérequis pour la mise à jour corrective planifiée et l’attachement de planifications n’est pas défini correctement quand les stratégies Planifier des mises à jour périodiques en utilisant Azure Update Manager et Définir un prérequis pour la planification des mises à jour périodiques sur des machines virtuelles Azure sont utilisées lors de la création de machines virtuelles spécialisées, généralisées, migrées et restaurées, en raison de la façon dont la Stratégie de déploiement si inexistant est conçue. Après la création, la stratégie affiche ces ressources comme non conformes sur le tableau de bord de conformité.

Résolution

Exécutez une tâche de correction après la création pour corriger les ressources nouvellement créées. Pour plus d’informations, consultez Corriger les ressources non conformes avec Azure Policy.

Problème

Il existe des échecs de correction pour les machines virtuelles ayant une référence à l’image de galerie en mode Machine virtuelle. Ceci est dû au fait qu’elle nécessite l’autorisation de lecture sur l’image de la galerie et qu’elle ne fait actuellement pas partie du rôle Contributeur de machine virtuelle.

Capture d’écran montrant le code d’erreur pour l’échec de correction de stratégie.

Cause

Le rôle Contributeur de machine virtuelle ne dispose pas suffisamment d’autorisations.

Résolution

  • Pour toutes les nouvelles affectations, une modification récente est introduite pour fournir un rôle Contributeur à l’identité managée créée lors de l’attribution de stratégie pour la correction. Plus tard, cela va être attribué à toutes les nouvelles affectations.
  • Pour les attributions précédentes, si vous rencontrez un échec dans les tâches de correction, nous vous recommandons d’attribuer manuellement le rôle Contributeur à l’identité managée en suivant les étapes listées sous Octroyer des autorisations à l’identité managée via des rôles définis.
  • En outre, dans des scénarios où le rôle Contributeur ne fonctionne pas lorsque les ressources liées (image de galerie ou disque) se trouvent dans un autre groupe de ressources ou un autre abonnement, vous devez fournir manuellement l’identité managée avec les autorisations et les rôles appropriés sur l’étendue pour débloquer les corrections, en suivant les étapes décrites dans Octroyer des autorisations à l’identité managée au moyen de rôles définis.

Impossible de générer une évaluation périodique pour les serveurs avec Arc

Problème

Les abonnements dans lesquels les serveurs avec Arc sont intégrés ne produisent pas de données d’évaluation.

Résolution

Vérifiez que les abonnements aux serveurs Arc sont inscrits auprès du fournisseur de ressources Microsoft.Compute afin que les données d’évaluation périodique soient générées régulièrement comme prévu. En savoir plus

La configuration de maintenance n’est pas appliquée lorsque la machine virtuelle est déplacée vers un autre abonnement ou groupe de ressources

Problème

Lorsqu’une machine virtuelle est déplacée vers un autre abonnement ou groupe de ressources, la configuration de maintenance planifiée associée à la machine virtuelle n’est pas exécutée.

Résolution

Les configurations de maintenance ne prennent actuellement pas en charge le déplacement des ressources attribuées entre les groupes de ressources ou les abonnements. Pour contourner ce problème, effectuez ces étapes pour la ressource que vous souhaitez déplacer. Vous devez d’abord supprimer l’attribution avant de suivre les étapes.

Si vous utilisez une étendue static :

  1. Déplacer la ressource dans un autre groupe de ressources ou abonnement.
  2. Recréez l’affectation de ressource.

Si vous utilisez une étendue dynamic :

  1. Lancez ou attendez la prochaine exécution planifiée. Cette action fait en sorte que le système supprime complètement l’affectation, ce qui vous permet de passer aux étapes suivantes.
  2. Déplacer la ressource dans un autre groupe de ressources ou abonnement.
  3. Recréez l’affectation de ressource.

Si l’une des étapes est manquée, veuillez déplacer la ressource vers le groupe de ressources ou l’ID d’abonnement précédent, puis retenter les étapes.

Remarque

Si le groupe de ressources est supprimé, recréez-le avec le même nom. Si l’ID d’abonnement est supprimé, contactez l’équipe de support technique pour l’atténuation des risques.

Impossible de modifier l’option d’orchestration des correctifs « Mises à jour automatiques » par « Mises à jour manuelles ».

Problème

Vous souhaitez veiller à ce que le client Windows Update n’installe pas de correctifs sur votre Windows Server. Vous souhaitez donc définir le paramètre de patch sur Manuel. La machine Azure dispose de l’option d’orchestration des correctifs AutomaticByOS/Windows (mises à jour automatiques), et vous ne pouvez pas remplacer l’orchestration des correctifs par Mises à jour manuelles à l’aide de Changer les paramètres de mise à jour.

Résolution

Si vous souhaitez qu’aucune installation de correctifs soit gérée par Azure, ou si vous n’utilisez pas de solution de mise à jour corrective personnalisée, vous pouvez définir l’option d’orchestration des correctifs sur Planifications gérées par le client (préversion) ou AutomaticByPlatform et ByPassPlatformSafetyChecksOnUserSchedule et ne pas associer de configuration de planification/maintenance à la machine. Ce paramètre garantit qu’aucun correctif n’est appliqué sur la machine tant que vous ne le changez pas explicitement. Pour plus d’informations, consultez Scénario 2 dans Scénarios utilisateur.

Capture d’écran montrant une notification des paramètres de mise à jour ayant échoué.

L’ordinateur s’affiche comme « Non évalué » et présente une exception HRESULT

Problème

  • Certaines de vos machines portent la mention Not assessed sous Conformité, et vous voyez un message d’exception sous celles-ci.
  • Un code d’erreur HRESULT s’affiche dans le portail.

Cause

L’agent de mise à jour (agent Windows Update sur Windows et le gestionnaire de package pour une distribution Linux) n’est pas configuré correctement. Le Gestionnaire de mise à jour s’appuie sur l’agent de mise à jour de la machine pour fournir les mises à jour nécessaires, l’état du correctif et les résultats des correctifs déployés. Sans ces informations, le Gestionnaire de mise à jour ne peut pas générer de rapport exact sur les correctifs nécessaires ou installés.

Résolution

Essayez d’exécuter des mises à jour localement sur l’ordinateur. Si cette opération échoue, cela signifie généralement qu’il existe une erreur de configuration de l’agent de mise à jour.

Ce problème est souvent dû à des problèmes de configuration de réseau et de pare-feu. Effectuez les vérifications suivantes pour corriger le problème :

Si vous voyez un code d’erreur HRESULT, double-cliquez sur l’exception affichée en rouge pour voir le message d’exception. Dans le tableau suivant, recherchez les résolutions possibles ou les actions recommandées.

Exception Résolution ou action
Exception from HRESULT: 0x……C Recherchez le code d’erreur pertinent dans la liste des codes d’erreur de Windows Update pour obtenir davantage d’informations sur la cause de l’exception.
0x8024402C
0x8024401C
0x8024402F
Indique des problèmes de connectivité réseau. Assurez-vous que votre ordinateur dispose de la connectivité réseau pour Update Management. Pour obtenir la liste des ports et des adresses requis, consultez la section Planification réseau.
0x8024001E L’opération de mise à jour a échoué, car le service ou le système était en cours d’arrêt.
0x8024002E Le service Windows Update est désactivé.
0x8024402C Si vous utilisez un serveur WSUS, assurez-vous que les valeurs de Registre de WUServer et WUStatusServer sous la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate spécifient le bon serveur WSUS.
0x80072EE2 Il y a un problème de connectivité réseau ou un problème de communication avec un serveur WSUS configuré. Vérifiez les paramètres WSUS et assurez-vous que le service est accessible à partir du client.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) Vérifiez que le service Windows Update (wuauserv) est en cours d’exécution et qu’il n’est pas désactivé.
0x80070005 Une erreur d’accès refusé peut être due à l’un des problèmes suivants :
- Ordinateur infecté.
- Paramètres Windows Update configurés de manière incorrecte.
- Erreur d’autorisation de fichier avec le dossier %WinDir%\SoftwareDistribution.
- Espace disque insuffisant sur le lecteur système (lecteur C:).
Toute autre exception générique Effectuez une recherche sur Internet pour découvrir des résolutions possibles et contactez votre support technique local.

L’examen du fichier %Windir%\Windowsupdate.log peut aussi vous aider à déterminer les causes possibles. Pour savoir comment lire le journal, consultez l’article Lire le fichier Windowsupdate.log.

Vous pouvez également télécharger et exécuter l’utilitaire de résolution des problèmes de Windows Update pour vérifier si la machine présente des problèmes liés à Windows Update.

Remarque

La documentation de l’outil de résolution des problèmes de Windows Update indique qu’il est destiné à être utilisé sur des clients Windows, mais il fonctionne également sur Windows Server.

Problèmes connus de la planification de la mise à jour corrective

  • Pour la planification simultanée ou conflictuelle, une seule planification est déclenchée. L’autre programme est déclenché une fois le premier programme terminé.
  • Si un ordinateur est nouvellement créé, la planification du déclencheur de planification peut présenter 15 minutes de retard en cas d’ordinateurs virtuels Azure.

L'application de correctifs planifiée échoue avec l'erreur 'ShutdownOrUnresponsive'

Problème

Le correctif planifié n'a pas installé les correctifs sur les VMs et génère une erreur du type « ShutdownOrUnresponsive ».

Résolution

Les planifications déclenchées sur des machines supprimées et recréées avec le même ID de ressource dans les 8 heures peuvent échouer avec l’erreur ShutdownOrUnresponsive en raison d’une limitation connue.

Impossible d’appliquer des correctifs pour les machines à l’arrêt

Problème

Les correctifs ne sont pas appliqués pour les machines qui sont à l’état d’arrêt. Vous pouvez également constater que des machines perdent leurs configurations de maintenance ou planifications associées.

Cause

Les machines sont à l’état d’arrêt.

Résolution

Assurez-vous que vos machines sont allumées au moins 15 minutes avant la mise à jour programmée. Pour plus d’informations, consultez Arrêter des machines.

Échec de l’exécution de correctif avec propriété Fenêtre de maintenance dépassée indiquant la valeur true, même s’il restait du temps

Problème

Lorsque vous affichez un déploiement de mise à jour dans l’Historique des mises à jour, la propriété Ayant échoué avec la fenêtre Maintenance a dépassé affiche la valeur true, même si il restait du temps pour l’exécution. Dans ce cas, l’un des éléments suivants est possible :

  • Aucune mise à jour n’est affichée.
  • Une ou plusieurs mises à jour sont dans un état en attente.
  • L’état du redémarrage est Obligatoire, mais un redémarrage n’a pas été tenté même lorsque le paramètre de redémarrage transmis était IfRequired ou Always.

Cause

Pendant un déploiement de mise à jour, l’utilisation de la fenêtre de maintenance est vérifiée à plusieurs étapes. Dix minutes de la fenêtre de maintenance sont réservées au redémarrage à tout moment. Avant que le déploiement obtienne la liste des mises à jour ou téléchargements manquants, ou qu’il installe toute mise à jour (à l’exception des mises à jour du Service Pack Windows), il vérifie s’il y a 15 minutes + 10 minutes pour le redémarrage (c’est-à-dire 25 minutes restantes dans la fenêtre de maintenance).

Pour les mises à jour du Service Pack Windows, le déploiement vérifie s’il y a 20 minutes + 10 minutes pour le redémarrage (autrement dit, 30 minutes). Si le déploiement ne dispose pas d’un délai suffisant, il ignore l’analyse/téléchargement/installation des mises à jour. L’exécution du déploiement vérifie ensuite si un redémarrage est nécessaire et s’il reste dix minutes dans la fenêtre de maintenance. Si c’est le cas, le déploiement déclenche un redémarrage. Sinon, le redémarrage est ignoré.

Dans ce cas, l’état est mis à jour sur Échec, et la propriété Fenêtre de maintenance dépassée est mise à jour avec la valeur true. Dans les cas où le temps restant est inférieur à 25 minutes, les mises à jour ne sont pas analysées ou tentées pour l’installation.

Pour plus d’informations, passez en revue les journaux dans le chemin d’accès du fichier fourni dans le message d’erreur de l’exécution du déploiement.

Résolution

Définissez un intervalle de temps plus long pour une durée maximale lorsque vous déclenchez un déploiement de mise à jour à la demande afin d’éviter le problème.

L’extension Mise à jour du système d’exploitation Windows/Linux n’est pas installée.

Problème

L’extension Mise à jour du système d’exploitation Windows/Linux doit être installée correctement sur les machines Arc pour effectuer des évaluations à la demande, des mises à jour correctives et des mises à jour correctives planifiées .

Résolution

Déclenchez une évaluation à la demande ou une mise à jour corrective pour installer l’extension sur la machine. Vous pouvez également attacher la machine à une planification de configuration de maintenance qui installe l’extension quand la mise à jour corrective est effectuée conformément à la planification.

Si l'extension est déjà présente sur une machine Arc mais que l'état de l'extension n'est pas Réussi, assurez-vous de supprimer l'extension et de déclencher une opération à la demande afin qu'elle soit à nouveau installée.

L’extension Mise à jour de correctif Windows/Linux n’est pas installée.

Problème

L’extension Mise à jour de correctif Windows/Linux doit être installée correctement sur les machines Azure pour effectuer des évaluations ou des mises à jour correctives à la demande, des mises à jour correctives planifiées et des évaluations périodiques.

Résolution

Déclenchez une évaluation à la demande ou une mise à jour corrective pour installer l’extension sur la machine. Vous pouvez également attacher la machine à une planification de configuration de maintenance qui installe l’extension quand la mise à jour corrective est effectuée conformément à la planification.

Si l'extension est déjà présente sur la machine mais que le statut de l'extension n'est pas Réussi, déclenchez une opération à la demande qui l'installera à nouveau.

La vérification effectuée par Autoriser les opérations d’extension a échoué.

Problème

La propriété AllowExtensionOperations est définie sur false dans le profil OSProfile de la machine.

Résolution

La propriété doit être définie sur true pour permettre aux extensions de fonctionner correctement.

Privilèges sudo non présents

Problème

Les privilèges sudo ne sont pas accordés aux extensions pour les opérations d’évaluation ou de mise à jour corrective sur les machines Linux.

Résolution

Accordez des privilèges sudo pour permettre la réussite des opérations d’évaluation ou de mise à jour corrective.

Le proxy est configuré

Problème

Un proxy configuré sur des machines Windows ou Linux peut bloquer l’accès aux points de terminaison requis pour que les opérations d’évaluation ou de mise à jour corrective réussissent.

Résolution

Pour Windows, consultez Problèmes liés au proxy.

Pour Linux, vérifiez que la configuration du proxy ne bloque pas l’accès aux référentiels requis pour le téléchargement et l’installation des mises à jour.

Échec de la vérification TLS 1.2

Problème

TLS 1.0 et TLS 1.1 sont déconseillés.

Résolution

Utilisez TLS 1.2 ou ultérieur.

Pour Windows, consultez Protocoles dans TLS/SSL (SSP Schannel).

Pour Linux, exécutez la commande suivante pour voir les versions de TLS prises en charge pour votre distribution. nmap --script ssl-enum-ciphers -p 443 www.azure.com

La vérification de la connexion HTTPS a échoué.

Problème

La connexion HTTPS n’est pas disponible, alors qu’elle est nécessaire pour télécharger et installer les mises à jour depuis les points de terminaison requis pour chaque système d’exploitation.

Résolution

Autorisez la connexion HTTPS depuis votre machine.

Le service MsftLinuxPatchAutoAssess n’est pas en cours d’exécution, ou Time n’est pas actif.

Problème

MsftLinuxPatchAutoAssess est requis pour la réussite des évaluations périodiques sur les machines Linux.

Résolution

Vérifiez que l’état de LinuxPatchExtension est Réussite pour la machine. Redémarrez la machine pour vérifier si le problème est résolu.

Les référentiels Linux ne sont pas accessibles.

Problème

Les mises à jour sont téléchargées depuis des référentiels publics ou privés configurés pour chaque distribution Linux. La machine ne peut pas se connecter à ces référentiels pour télécharger ou évaluer les mises à jour.

Résolution

Vérifiez que des règles de sécurité réseau n’empêchent pas la connexion aux référentiels requis pour les opérations de mise à jour.

Étapes suivantes