Solución de problemas de Update Management

Precaución

En este artículo se hace referencia a CentOS, una distribución de Linux que está cerca de su estado Final de ciclo vida (EOL). Tenga en cuenta su uso y planeación en consecuencia. Para más información, consulte la Guía de fin de ciclo de vida de CentOS.

En este artículo se describen los problemas que puede experimentar al usar la característica Update Management para evaluar y administrar actualizaciones en sus máquinas. Existe un agente solucionador de problemas para que el agente de Hybrid Runbook Worker determine el problema subyacente. Para obtener más información sobre el solucionador de problemas, consulte Solución de problemas del agente de actualización de Windows y Solución de problemas del agente de actualización de Linux. Si tiene otros problemas de implementación de características, consulte Solucionar problemas de implementación de características.

Nota:

Si encuentra problemas al implementar Update Management en una máquina Windows, abra el Visor de eventos de Windows y compruebe el registro de eventos de Operations Manager en los registros de aplicaciones y servicios en la máquina local. Busque eventos con el id. de evento 4502 y detalles del evento que contengan Microsoft.EnterpriseManagement.HealthService.AzureAutomation.HybridAgent.

Ejemplo: la actualización de Windows Defender siempre se muestra como ausente.

Problema

La actualización de definiciones de Windows Defender (KB2267602) siempre se muestra como ausente en una evaluación cuando se instala y se muestra como actualizada en el momento de comprobarla en el historial de Windows Update.

Causa

Las actualizaciones de definiciones se publican varias veces en un solo día. Como resultado, puede ver varias versiones de KB2267602 publicadas en un solo día, pero con un id. de actualización y una versión diferentes.

La evaluación de Update Management se ejecuta una vez cada 11 horas. En este ejemplo, a las 10:00 se ejecutó una evaluación y la versión 1.237.316.0 estaba disponible en ese momento. Al buscar la tabla Actualización en el área de trabajo de Log Analytics, la actualización de la definición 1.237.316.0 se muestra con un valor de updateState establecido en Necesario. Si una implementación programada se ejecuta unas horas más tarde (supongamos que a las 13:00) y la versión 1.237.316.0 o una versión más reciente sigue estando disponible, se instalará la versión más reciente; así pues, este proceso se reflejará en el registro escrito en la tabla UpdateRunProgress. Sin embargo, en la tabla Actualización todavía se mostrará la versión 1.237.316.0 como Necesaria hasta que se ejecute la siguiente evaluación. Cuando la evaluación se ejecuta de nuevo, es posible que no haya una actualización de definición más reciente disponible, por lo que la tabla Actualización no mostrará la versión de actualización de definición 1.237.316.0 como ausente o una versión más reciente disponible según sea necesario. Debido a la frecuencia de las actualizaciones de definiciones, se podrían devolver varias versiones en la búsqueda de registros.

Solución

Ejecute la siguiente consulta de registro para confirmar que las actualizaciones de definiciones instaladas se notifican correctamente. Esta consulta devuelve el tiempo generado, la versión y el id. de actualización de KB2267602 en la tabla Actualizaciones. Reemplace el valor de Equipo por el nombre completo de la máquina.

Update
| where TimeGenerated > ago(14h) and OSType != "Linux" and (Optional == false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((
    Heartbeat
    | where TimeGenerated > ago(12h) and OSType =~ "Windows" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, *) by Computer, SourceComputerId, UpdateID
| where UpdateState =~ "Needed" and Approved != false and Computer == "<computerName>"
| render table

Los resultados de la consulta deben devolver un valor similar al siguiente:

Ejecute la siguiente consulta de registro para obtener el tiempo generado, la versión y el id. de actualización de KB2267602 en la tabla UpdatesRunProgress. Esta consulta le permitirá saber si se instaló desde Update Management o si se instaló automáticamente en la máquina desde Microsoft Update. Debe reemplazar el valor de CorrelationId por el GUID del trabajo de runbook (es decir, el valor de la propiedad MasterJOBID del trabajo de runbook Patch-MicrosoftOMSComputer) para la actualización, y SourceComputerId por el GUID de la máquina.

UpdateRunProgress
| where OSType!="Linux" and CorrelationId=="<master job id>" and SourceComputerId=="<source computer id>"
| summarize arg_max(TimeGenerated, Title, InstallationStatus) by UpdateId
| project TimeGenerated, id=UpdateId, displayName=Title, InstallationStatus

Los resultados de la consulta deben devolver un valor similar al siguiente:

Si el valor TimeGenerated de los resultados de la consulta de registro de la tabla Actualizaciones es anterior a la marca de tiempo (es decir, el valor de TimeGenerated) de la instalación de la actualización en el equipo o de los resultados de la consulta de registro de la tabla UpdateRunProgress, espere a la siguiente valoración. A continuación, vuelva a ejecutar la consulta de registro en la tabla Actualizaciones. No aparecerá una actualización de KB2267602 o aparecerá con una versión más reciente. Sin embargo, si después de realizar la evaluación más reciente la misma versión aparece como Necesaria en la tabla Actualizaciones pero resulta que ya está instalada, debe abrir un incidente de soporte técnico de Azure.

Escenario: las actualizaciones de Linux que se muestran como pendientes y las instaladas varían

Problema

En el caso de la máquina Linux, Update Management muestra actualizaciones específicas disponibles bajo la clasificación Seguridad y Otras. Pero cuando se ejecuta una programación de actualización en el equipo, por ejemplo, para instalar solo las actualizaciones que coincidan con la clasificación Seguridad, las actualizaciones instaladas son diferentes de un subconjunto de actualizaciones que se muestran anteriormente que coinciden con esa clasificación.

Causa

Cuando se realiza una evaluación de las actualizaciones del sistema operativo pendientes para la máquina Linux, Update Management utiliza los archivos Open Vulnerability and Assessment Language (OVAL) proporcionados por el proveedor de distribución de Linux para la clasificación. La categorización se realiza para las actualizaciones de Linux como Seguridad u Otras, en función de los archivos OVAL, que indica que las actualizaciones tratan problemas de seguridad o vulnerabilidades. Sin embargo, cuando se ejecuta la programación de actualización, lo hace en la máquina Linux mediante el administrador de paquetes adecuado, como YUM, APT o ZYPPER, para instalarlas. El administrador de paquetes para la distribución de Linux puede tener un mecanismo diferente para clasificar las actualizaciones, donde los resultados pueden diferir de los que se obtienen de los archivos OVAL mediante Update Management.

Solución

Puede comprobar manualmente el equipo Linux, las actualizaciones aplicables y su clasificación según el administrador de paquetes de la distribución. Para saber qué actualizaciones clasifica el administrador de paquetes como Seguridad, ejecute los siguientes comandos.

En el caso de YUM, el comando siguiente devuelve una lista de actualizaciones distinta de cero categorizadas como Seguridad por Red Hat. Tenga en cuenta que en el caso de CentOS, siempre devuelve una lista vacía y no se produce ninguna clasificación de seguridad.

sudo yum -q --security check-update

En el caso de ZYPPER, el siguiente comando devuelve una lista de actualizaciones distinta de cero categorizadas como Seguridad por SUSE.

sudo LANG=en_US.UTF8 zypper --non-interactive patch --category security --dry-run

En el caso de APT, el siguiente comando devuelve una lista de actualizaciones distinta de cero categorizadas como Seguridad por las distribuciones Canonical y Ubuntu Linux.

sudo grep security /etc/apt/sources.list > /tmp/oms-update-security.list LANG=en_US.UTF8 sudo apt-get -s dist-upgrade -oDir::Etc::Sourcelist=/tmp/oms-update-security.list

A partir de esta lista, después puede ejecutar el comando grep ^Inst para obtener todas las actualizaciones de seguridad pendientes.

Escenario: recibe el error "No se pudo habilitar la solución de actualización"

Problema

Al intentar habilitar la Update Management en su cuenta de Automation, recibe el error siguiente:

Error details: Failed to enable the Update solution

Causa

Este error puede ocurrir debido a uno de los siguientes motivos:

• Es posible que los requisitos del firewall de red para el agente de Log Analytics no estén configurados correctamente. Esta situación puede provocar que el agente no pueda resolver las direcciones URL de DNS.

• El destino de Update Management no está configurado correctamente y la máquina no recibe las actualizaciones según lo esperado.

• Es posible que también note que la máquina muestra un estado de Non-compliant en Cumplimiento. Al mismo tiempo, Análisis de escritorio del agente informa el agente como Disconnected.

Solución

• Ejecute el solucionador de problemas para Windows o Linux, según el sistema operativo.

• Vaya a Configuración de red para obtener información acerca de qué direcciones y puertos deben permitirse para que Update Management funcione.

• Compruebe si hay problemas de configuración de ámbito. La configuración de ámbito determina qué máquinas se configuran para Update Management. Si la máquina aparece en el área de trabajo, pero no se muestra en Update Management, debe establecer la configuración del ámbito para dirigirse a las máquinas. Para obtener información sobre la configuración de ámbito, consulte Habilitación de máquinas en el área de trabajo.

• Para quitar la configuración de trabajo, siga los pasos descritos en Eliminación de la instancia de Hybrid Runbook Worker de un equipo Windows local o Eliminación de la instancia de Hybrid Runbook Worker de un equipo Linux local.

Escenario: actualización reemplazada indicada como falta en Update Management

Problema

Se indica que faltan actualizaciones antiguas en la cuenta de Automation, aunque se han reemplazado. Una actualización reemplazada es aquella que no es necesario instalar, puesto que hay una posterior disponible que corrige la misma vulnerabilidad. Update Management omite la actualización reemplazada y no la convierte en aplicable en favor de la actualización que la reemplaza. Para obtener información sobre un problema relacionado, vea Actualización reemplazada.

Causa

Las actualizaciones reemplazadas no se rechazan en Windows Server Update Services (WSUS), de modo que se puedan considerar no aplicables.

Solución

Cuando una actualización reemplazada sea no aplicable al cien por cien, debe cambiar su estado de aprobación a Declined en WSUS. Para cambiar el estado de aprobación de todas las actualizaciones:

1. En la cuenta de Automation, seleccione Update Management para ver el estado de las máquinas. Vea Visualización de la evaluación de la actualización.

2. Compruebe la actualización reemplazada para asegurarse de que no es aplicable al cien por cien.

3. En el servidor WSUS del que dependen las máquinas, rechace la actualización.

4. Seleccione Equipos y, en la columna Cumplimiento, fuerce un nuevo examen de cumplimiento. Consulte Administración de actualizaciones para máquinas virtuales.

5. Repita los pasos anteriores para otras actualizaciones reemplazadas.

6. En Windows Server Update Services (WSUS), limpie manualmente todas las actualizaciones reemplazadas a fin de actualizar la infraestructura mediante el Asistente para liberar espacio del servidor de WSUS.

7. Repita este procedimiento con regularidad para corregir el problema de visualización y minimizar la cantidad de espacio en disco que se usa para la administración de actualizaciones.

Escenario: Las máquinas no aparecen en el portal en Update Management

Problema

Los equipos presentan estos síntomas:

• La máquina muestra Not configured en la vista de Update Management de una máquina virtual.

• Faltan las máquinas en la vista de Update Management de su cuenta de Azure Automation.

• Tiene máquinas que se muestran como Not assessed en Cumplimiento. Sin embargo, los datos de latido se ven en registros de Azure Monitor para la Hybrid Runbook Worker, pero no para Update Management.

Causa

Este problema puede deberse a problemas de configuración local o a que la configuración de ámbito no se ha realizado correctamente. Las posibles causas específicas son:

• Es posible que tenga que volver a registrar y reinstalar Hybrid Runbook Worker.

• Es posible que se haya alcanzado una cuota definida en el área de trabajo y que impida el almacenamiento de datos adicional.

Solución

1. Ejecute el solucionador de problemas para Windows o Linux, según el sistema operativo.

2. Asegúrese de que las notificaciones de la máquina se envían al área de trabajo correcta. Para obtener instrucciones sobre cómo comprobar este aspecto, consulte Comprobación de la conectividad del agente a Azure Monitor. Asegúrese también de que esta área de trabajo esté vinculada a su cuenta de Azure Automation. Para ello, vaya a la cuenta de Automation y seleccione Área de trabajo vinculada en Recursos relacionados.

3. Asegúrese de que la máquina se muestre en el área de trabajo de Log Analytics vinculada a la cuenta de Automation. Ejecute la siguiente consulta en el área de trabajo de Log Analytics.

   Heartbeat
   | summarize by Computer, Solutions
   

   Si no ve la máquina en los resultados de la consulta, significa que no se ha registrado recientemente. Probablemente haya un problema de configuración local y debe volver a instalar el agente.

   Si el equipo aparece en los resultados de la consulta, compruebe en la propiedad Solutions que aparezca updates. Así se comprueba si está registrado en Update Management. Si no es así, compruebe si hay problemas de configuración de ámbito. La configuración de ámbito determina qué máquinas se configuran para Update Management. Para configurar el ámbito para el equipo de destino, vea Habilitación de máquinas en el área de trabajo.

4. En el área de trabajo, ejecute esta consulta.

   Operation
   | where OperationCategory == 'Data Collection Status'
   | sort by TimeGenerated desc
   

   Si recibe el resultado Data collection stopped due to daily limit of free data reached. Ingestion status = OverQuota, significa que la cuota definida en el área de trabajo se ha alcanzado, lo que ha impedido que se guarden los datos. En el área de trabajo, vaya a Administración del volumen de datos en Usos y costos estimados y cambie o elimine su cuota.

5. Si el problema no se resuelve, siga los pasos descritos en Implementación de Hybrid Runbook Worker en Windows para volver a instalar Hybrid Worker para Windows. Para Linux, siga los pasos que aparecen en Implementación de Hybrid Runbook Worker en Linux.

Escenario: No se puede registrar el proveedor de recursos de Automation para las suscripciones

Problema

Al trabajar con implementaciones de características en la cuenta de Automation, se produce el siguiente error:

Error details: Unable to register Automation Resource Provider for subscriptions

Causa

El proveedor de recursos de Automation no está registrado en la suscripción.

Solución

Para registrar el proveedor de recursos de Automation, realice los pasos siguientes en Azure Portal.

1. En la lista de servicios de Azure de la parte inferior del portal, seleccione Todos los servicios y, a continuación, seleccione Suscripciones en el grupo de servicios General.

2. Seleccione su suscripción.

3. En Configuración, seleccione Proveedores de recursos.

4. En la lista de proveedores de recursos, compruebe que el proveedor de recursos de Microsoft.Automation esté registrado.

5. Si no aparece, registre el proveedor de Microsoft.Automation siguiendo los pasos descritos en Resolución de errores del registro del proveedor de recursos.

Escenario: La actualización programada no ha actualizado algunas máquinas

Problema

No todas las máquinas incluidas en una versión preliminar de actualización aparecen en la lista de máquinas a las que se ha hecho una revisión durante una ejecución programada, o las máquinas virtuales para los ámbitos seleccionados de un grupo dinámico no aparecen en la lista de versión preliminar de actualización en el portal.

La lista de versión preliminar de actualización consta de todas las máquinas recuperadas por una consulta de Azure Resource Graph para los ámbitos seleccionados. Los ámbitos se filtran para las máquinas que tienen instalado Hybrid Runbook Worker y para las que tiene permisos de acceso.

Causa

Este problema puede tener una de las siguientes causas:

• Las suscripciones definidas en el ámbito de una consulta dinámica no están configuradas para el proveedor de recursos de Automation registrado.

• Las máquinas no estaban disponibles o no tenían etiquetas adecuadas cuando se ejecutó la programación.

• No tiene el acceso correcto en los ámbitos seleccionados.

• La consulta de Azure Resource Graph no recupera las máquinas esperadas.

• El sistema Hybrid Runbook Worker no está instalado en las máquinas.

Solución

Suscripciones no configuradas para el proveedor de recursos de Automation registrado

Si la suscripción no está configurada para el proveedor de recursos de Automation, no podrá consultar ni capturar información en las máquinas de esa suscripción. Siga estos pasos para comprobar el registro de la suscripción.

1. En Azure Portal, acceda a la lista de servicios de Azure.

2. Seleccione Todos los servicios y, después, Suscripciones en el grupo de servicios generales.

3. Busque la suscripción definida en el ámbito de la implementación.

4. En Configuración, elija Proveedores de recursos.

5. Compruebe que el proveedor de recursos de Microsoft.Automation esté registrado.

6. Si no aparece, registre el proveedor de Microsoft.Automation siguiendo los pasos descritos en Resolución de errores del registro del proveedor de recursos.

Máquinas no disponibles o no etiquetadas correctamente cuando se ejecutó la programación

Utilice el procedimiento siguiente si la suscripción está configurada para el proveedor de recursos de Automation, pero la ejecución de la programación de actualización con los grupos dinámicos especificados perdió algunas máquinas.

1. En Azure Portal, abra la cuenta de Automation y seleccione Update Management.

2. Compruebe el historial de Update Management para determinar la hora exacta en la que se ejecutó la implementación de actualizaciones.

3. En el caso de las máquinas en las que sospecha que ha perdido Update Management, use Azure Resource Graph (ARG) para localizar los cambios en la máquina.

4. Busque cambios durante un período considerable, como un día, antes de ejecutar la implementación de la actualización.

5. Compruebe los resultados de la búsqueda para constatar si hay cambios sistémicos, como cambios de eliminación o actualización, en las máquinas en este período. Estos cambios pueden modificar el estado o las etiquetas de la máquina, de forma que las máquinas no se seleccionan en la lista de máquinas cuando se implementan las actualizaciones.

6. Ajuste la configuración de los recursos y las máquinas según sea necesario para corregir los problemas de estado o etiquetas de la máquina.

7. Vuelva a ejecutar la programación de actualización para asegurarse de que la implementación con los grupos dinámicos especificados incluya todas las máquinas.

Acceso incorrecto en los ámbitos seleccionados

En Azure Portal solo se muestran las máquinas para las que tiene acceso de escritura en un ámbito determinado. Si no tiene el acceso correcto para un ámbito, consulte Tutorial: Concesión de acceso de un usuario a los recursos de Azure mediante Azure Portal.

La consulta de Azure Resource Graph no devuelve las máquinas esperadas

Siga los pasos que se indican a continuación para averiguar si las consultas funcionan correctamente.

1. Ejecute una consulta de Azure Resource Graph con el formato que se muestra a continuación en la hoja de Resource Graph Explorer en Azure Portal. Si no lleva mucho tiempo usando Azure Resource Graph, consulte este inicio rápido para aprender a trabajar con el explorador de Resource Graph. Esta consulta imita los filtros seleccionados al crear el grupo dinámico en Update Management. Consulte Uso de grupos dinámicos con Update Management.

   where (subscriptionId in~ ("<subscriptionId1>", "<subscriptionId2>") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "<Windows/Linux>" and resourceGroup in~ ("<resourceGroupName1>","<resourceGroupName2>") and location in~ ("<location1>","<location2>") )
   | project id, location, name, tags = todynamic(tolower(tostring(tags)))
   | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" and tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "All" option selected for tags
   | where  (tags[tolower("<tagKey1>")] =~ "<tagValue1>" or tags[tolower("<tagKey2>")] =~ "<tagValue2>") // use this if "Any" option selected for tags
   | project id, location, name, tags
   

   Este es un ejemplo:

   where (subscriptionId in~ ("20780d0a-b422-4213-979b-6c919c91ace1", "af52d412-a347-4bc6-8cb7-4780fbb00490") and type =~ "microsoft.compute/virtualmachines" and properties.storageProfile.osDisk.osType == "Windows" and resourceGroup in~ ("testRG","withinvnet-2020-01-06-10-global-resources-southindia") and location in~ ("australiacentral","australiacentral2","brazilsouth") )
   | project id, location, name, tags = todynamic(tolower(tostring(tags)))
   | where  (tags[tolower("ms-resource-usage")] =~ "azure-cloud-shell" and tags[tolower("temp")] =~ "temp")
   | project id, location, name, tags
   

2. Compruebe si las máquinas que está buscando aparecen en los resultados de la consulta.

3. Si las máquinas no aparecen en la lista, es probable que haya un problema con el filtro seleccionado en el grupo dinámico. Ajuste la configuración del grupo según sea necesario.

Hybrid Runbook Worker no está instalado en las máquinas

Las máquinas aparecen en los resultados de la consulta de azure Resource Graph, pero todavía no se muestran en la versión preliminar del grupo dinámico. En este caso, es posible que las máquinas no estén designadas como instancias de Hybrid Worker del sistema y, por tanto, no puedan ejecutar trabajos de Azure Automation y Update Management. Para asegurarse de que las máquinas que espera ver estén configuradas como instancias de Hybrid Runbook Worker del sistema:

1. En Azure Portal, vaya a la cuenta de Automation de una máquina que no aparezca correctamente.

2. Seleccione Grupos de Hybrid Worker en Automatización de procesos.

3. Seleccione la pestaña Grupos de Hybrid Worker del sistema.

4. Compruebe que la instancia de Hybrid Worker está presente para esa máquina.

5. Si la máquina no está configurada como Hybrid Runbook Worker del sistema, revise los siguientes métodos para habilitar la máquina usando uno de ellos:

   • Desde su cuenta de Automation para una o más máquinas de Azure o que no sean de Azure, incluidos servidores habilitados para Azure Arc.

   • Use el runbookEnable-AutomationSolution para automatizar la incorporación de máquinas virtuales de Azure.

   • Para una VM de Azure concreta, desde la página Máquinas virtuales en Azure Portal. Este escenario está disponible para las VM Linux y Windows.

   • Para varias máquinas virtuales de Azure, selecciónelas en la página Máquinas virtuales de Azure Portal.

   El método que se va a habilitar se basa en el entorno en el que se ejecuta la máquina.

6. Repita los pasos anteriores para todas las máquinas que no se han mostrado en la versión preliminar.

Escenario: componentes de Update Management habilitados, mientras que la máquina virtual sigue mostrándose como configurada

Problema

Continúa recibiendo el mensaje siguiente en una máquina virtual 15 minutos después de la implementación:

The components for the 'Update Management' solution have been enabled, and now this virtual machine is being configured. Please be patient, as this can sometimes take up to 15 minutes.

Causa

Este error puede ocurrir debido a uno de los siguientes motivos:

• Está bloqueada la comunicación con la cuenta de Automation.

• Hay un nombre de equipo duplicado con identificadores de equipo de origen diferentes. Este escenario se produce cuando se crea una máquina virtual con un nombre de equipo determinado en distintos grupos de recursos y envía notificaciones a la misma área de trabajo del agente de logística en la suscripción.

• La imagen de máquina virtual que se implementará puede provenir de una máquina clonada que no se haya preparado mediante la preparación del sistema (sysprep) con el agente de Log Analytics para Windows instalado.

Solución

Para ayudar a determinar el problema exacto con la VM, ejecute la consulta siguiente en el área de trabajo de Log Analytics que está vinculada a su cuenta de Automation.

Update
| where Computer contains "fillInMachineName"
| project TimeGenerated, Computer, SourceComputerId, Title, UpdateState 

Comunicación con la cuenta de Automation bloqueada

Vaya a Network planning (Planeamiento de red) para obtener información acerca de qué direcciones y puertos deben permitirse para que Update Management funcione.

Nombre de equipo duplicado

Cambie el nombre de las máquinas virtuales para asegurarse de que los nombres sean únicos en el entorno.

Imagen implementada desde una máquina clonada

Si usa una imagen clonada, los distintos nombres de equipo tienen el mismo identificador de equipo de origen. En este caso:

1. En el área de trabajo de Log Analytics, quite la máquina virtual de la búsqueda guardada en la configuración de ámbito MicrosoftDefaultScopeConfig-Updates si se muestra. Las búsquedas guardadas se pueden encontrar en la sección General del área de trabajo.

2. Ejecute el siguiente cmdlet.

   Remove-Item -Path "HKLM:\software\microsoft\hybridrunbookworker" -Recurse -Force
   

3. Ejecute Restart-Service HealthService para reiniciar el servicio de mantenimiento. Esta operación vuelve a crear la clave y genera un nuevo UUID.

4. Si este enfoque no funciona, primero ejecute sysprep en la imagen y, a continuación, instale el agente de Log Analytics para Windows.

Escenario: recibe un error de suscripción vinculada al crear una implementación de actualizaciones para máquinas en otro inquilino de Azure

Problema

Encuentra el error siguiente al intentar crear una implementación de actualización para las máquinas en otro inquilino de Azure:

The client has permission to perform action 'Microsoft.Compute/virtualMachines/write' on scope '/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/resourceGroupName/providers/Microsoft.Automation/automationAccounts/automationAccountName/softwareUpdateConfigurations/updateDeploymentName', however the current tenant '00000000-0000-0000-0000-000000000000' is not authorized to access linked subscription '00000000-0000-0000-0000-000000000000'.

Causa

Este error se produce cuando se crea una implementación de actualización que tiene máquinas virtuales de Azure en otro inquilino que se incluye en una implementación de actualización.

Solución

Use la solución alternativa siguiente para programar estos elementos. Puede usar el cmdlet New-AzAutomationSchedule con el parámetro ForUpdateConfiguration para crear una programación. Después, use el cmdlet New-AzAutomationSoftwareUpdateConfiguration y pase las máquinas del otro inquilino al parámetro NonAzureComputer. El siguiente ejemplo muestra cómo hacer esto:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$s = New-AzAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdateConfiguration

New-AzAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName $aa -Schedule $s -Windows -AzureVMResourceId $azureVMIdsW -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Escenario: reinicios no descritos

Problema

Aunque haya establecido la opción Reboot Control (Control de reinicio) en No reiniciar nunca, las máquinas todavía se reinician después de instalar las actualizaciones.

Causa

Windows Update se puede modificar mediante varias claves del Registro, cualquiera de ellas puede modificar el comportamiento del reinicio.

Solución

Revise las claves del Registro enumeradas en Configuración de actualizaciones automáticas mediante la edición del Registro y Claves del Registro usadas para administrar reinicios para asegurarse de que las máquinas estén configuradas correctamente.

Escenario: La máquina muestra "No se pudo iniciar" en una implementación de actualizaciones

Problema

Una máquina muestra un estado Failed to start o Failed. Al ver los detalles específicos de la máquina, ve el siguiente error:

For one or more machines in schedule, UM job run resulted in either Failed or Failed to start state. Guide available at https://aka.ms/UMSucrFailed.

Causa

Este problema puede ocurrir debido a uno de los siguientes motivos:

• La máquina ya no existe.
• La máquina está desactivada y no se posible establecer comunicación con ella.
• La máquina tiene un problema de conectividad de red y, por lo tanto, no se puede alcanzar la instancia de Hybrid Worker de la máquina.
• Hubo una actualización del agente de Log Analytics que hizo cambiar el identificador del equipo de origen.
• La ejecución de actualizaciones se ha regulado si se ha alcanzado el límite de 200 trabajos simultáneos en una cuenta de Automation. Cada implementación se considera un trabajo y cada máquina de una implementación de actualizaciones se cuenta como un trabajo. Cualquier otro trabajo de automatización o implementación de actualizaciones actualmente en ejecución en la cuenta de Automation cuenta para el límite de trabajos simultáneos.

Solución

Puede recuperar más detalles mediante programación con las API REST. Consulte Ejecuciones de la máquina de configuración de actualizaciones de software para obtener información sobre cómo recuperar una lista de ejecuciones de máquina de configuración de actualizaciones, o una única ejecución de máquina de configuración de actualizaciones de software por identificador.

Cuando proceda, use grupos dinámicos para las implementaciones de actualizaciones. Además, puede llevar a cabo los pasos siguientes.

1. Compruebe si la máquina o el servidor cumplen los requisitos.
2. Compruebe la conectividad con el Hybrid Runbook Worker mediante el solucionador de problemas del agente de Hybrid Runbook Worker. Para más información sobre el solucionador de problemas, consulte el artículo sobre cómo solucionar problemas con el agente de actualización.

Escenario: las actualizaciones se instalan sin una implementación

Problema

Al inscribir una máquina Windows en Update Management, puede ver las actualizaciones instaladas sin una implementación.

Causa

En Windows, las actualizaciones se instalan automáticamente en cuanto están disponibles. Este comportamiento puede producir confusión si no ha programado que una actualización se implemente en la máquina.

Solución

La clave del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU se establece de manera predeterminada en un valor de 4: auto download and install.

En el caso de los clientes de Update Management, se recomienda establecer esta clave en 3: auto download but do not auto install.

Para más información, consulte Configuración de actualizaciones automáticas.

Escenario: La máquina ya está registrada en otra cuenta

Problema

Aparece el siguiente mensaje de error:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.InvalidOperationException: {"Message":"Machine is already registered to a different account."}

Causa

La máquina ya se ha implementado en otra área de trabajo para Update Management.

Solución

1. Siga los pasos de Las máquinas no se muestran en el portal en Update Management para asegurarse de que la máquina envía notificaciones al área de trabajo adecuada.
2. Limpie los artefactos en la máquina mediante la eliminación del grupo Hybrid Runbook y vuelva a intentarlo.

Escenario: La máquina no se puede comunicar con el servicio

Problema

Aparece uno de los siguientes mensajes de error:

Unable to Register Machine for Patch Management, Registration Failed with Exception System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a receive. ---> System.ComponentModel.Win32Exception: The client and server can't communicate, because they do not possess a common algorithm

Unable to Register Machine for Patch Management, Registration Failed with Exception Newtonsoft.Json.JsonReaderException: Error parsing positive infinity value.

The certificate presented by the service <wsid>.oms.opinsights.azure.com was not issued by a certificate authority used for Microsoft services. Contact your network administrator to see if they are running a proxy that intercepts TLS/SSL communication.

Access is denied. (Exception form HRESULT: 0x80070005(E_ACCESSDENIED))

Causa

Un proxy, una puerta de enlace o un firewall pueden estar bloqueando la comunicación de red.

Resolución

Revise la red y asegúrese de que están permitidas las direcciones y los puertos adecuados. Consulte los requisitos de red para obtener una lista de puertos y direcciones que Update Management necesita y las instancias de Hybrid Runbook Worker.

Escenario: error al crear el certificado autofirmado.

Problema

Aparece uno de los siguientes mensajes de error:

Unable to Register Machine for Patch Management, Registration Failed with Exception AgentService.HybridRegistration. PowerShell.Certificates.CertificateCreationException: Failed to create a self-signed certificate. ---> System.UnauthorizedAccessException: Access is denied.

Causa

Hybrid Runbook Worker no pudo generar un certificado autofirmado.

Resolución

Verifique que la cuenta del sistema tiene acceso de lectura a la carpeta C:\ProgramData\Microsoft\Crypto\RSA e inténtelo de nuevo.

Escenario: Error en la actualización programada con un error MaintenanceWindowExceeded

Problema

La ventana de mantenimiento predeterminada para las actualizaciones es de 120 minutos. Puede aumentar la ventana de mantenimiento a un máximo de seis 6 horas o 360 minutos. Es posible que reciba el mensaje de error For one or more machines in schedule, UM job run resulted in Maintenance Window Exceeded state. Guide available at https://aka.ms/UMSucrMwExceeded.

Solución

Para comprender el motivo de esta incidencia durante la ejecución de una actualización después de haberse iniciado correctamente, compruebe la salida del trabajo desde la máquina afectada en la ejecución. Puede encontrar mensajes de error específicos procedentes de las máquinas que puede investigar e intentar solucionar.

Puede recuperar más detalles mediante programación con las API REST. Consulte Ejecuciones de la máquina de configuración de actualizaciones de software para obtener información sobre cómo recuperar una lista de ejecuciones de máquina de configuración de actualizaciones, o una única ejecución de máquina de configuración de actualizaciones de software por identificador.

Edite las implementaciones de actualizaciones programadas con errores y aumente la ventana de mantenimiento.

Para más información sobre las ventanas de mantenimiento, consulte la instalación de actualizaciones.

Escenario: la máquina se muestra como "No evaluada" y muestra una excepción HRESULT

Problema

• Tiene máquinas que aparecen como Not assessed en Cumplimiento y verá un mensaje de excepción debajo de él.
• Se muestra un código de error HRESULT en el portal.

Causa

El agente de actualización (Agente de Windows Update en Windows, el administrador de paquetes para la distribución de Linux) no está configurado correctamente. Update Management se basa en el agente de actualización de la máquina para proporcionar las actualizaciones necesarias, el estado de la revisión y los resultados de las revisiones implementadas. Sin esta información, Update Management no puede informar correctamente de las revisiones que son necesarias o que están instaladas.

Solución

Intente realizar actualizaciones de forma local en la máquina. Si esta operación falla, suele significar que hay un error de configuración con el agente de actualización.

Este problema suele deberse a problemas de firewall y de configuración de red. Use las siguientes comprobaciones para corregir el problema.

• Para Linux, consulte la documentación correspondiente para asegurarse de que puede acceder al punto de conexión de red del repositorio de paquetes.

• Para Windows, compruebe la configuración del agente como se indica en Las actualizaciones no se descargan desde el punto de conexión de la intranet (WSUS/SCCM).

  • Si las máquinas están configuradas para Windows Update, asegúrese de que puede acceder a los puntos de conexión descritos en Problemas relacionados con HTTP/proxy.
  • Si las máquinas están configuradas para Windows Server Update Services (WSUS), asegúrese de que puede acceder al servidor WSUS configurado por la clave del Registro WUServer.

Si se muestra un código de error HRESULT, haga doble clic en la excepción que se muestra en rojo para ver el mensaje de excepción completo. Revise la siguiente tabla para ver posibles resoluciones o acciones recomendadas.

Excepción	Acción o resolución
Exception from HRESULT: 0x……C	Busque el código de error correspondiente en la lista de códigos de error de Windows Update para buscar detalles adicionales sobre la causa de la excepción.
0x8024402C 0x8024401C 0x8024402F	Estos errores indican problemas de conectividad de red. Asegúrese de que la máquina tenga conectividad de red con Update Management. Consulte la sección sobre el planeamiento de red para obtener una lista de puertos y direcciones necesarios.
0x8024001E	No se completó la operación de actualización porque se estaba cerrando el servicio o el sistema.
0x8024002E	El servicio de Windows Update está deshabilitado.
0x8024402C	Si usa un servidor WSUS, asegúrese de que los valores del Registro para WUServer y WUStatusServer en la clave del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate especifican el servidor WSUS correcto.
0x80072EE2	Existe un problema de conectividad de red o un problema al comunicarse con un servidor WSUS configurado. Compruebe la configuración de WSUS y asegúrese de que se puede acceder al servicio desde el cliente.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Asegúrese de que el servicio Windows Update (wuauserv) se está ejecutando y no está deshabilitado.
0x80070005	Un error de acceso denegado puede deberse a cualquiera de las siguientes razones: Equipo infectado Windows Update no está configurado correctamente. Error de permiso de archivo en la carpeta %WinDir%\SoftwareDistribution Espacio en disco insuficiente en la unidad del sistema (C:).
Cualquier otra excepción genérica	Ejecute una búsqueda en Internet para ver las resoluciones posibles y colabore con el equipo de soporte técnico de TI local.

Revisar el archivo %Windir%\Windowsupdate.log también puede ayudar a determinar los posibles motivos. Para más información sobre cómo leer el registro, consulte Cómo leer el archivo Windowsupdate.log.

También puede descargar y ejecutar el solucionador de problemas de Windows Update para comprobar si hay algún problema con Windows Update en el equipo.

Nota:

La documentación del solucionador de problemas de Windows Update indica que es para su uso en clientes de Windows, pero también funciona en Windows Server.

Escenario: La ejecución de la actualización devuelve el estado Error (Linux)

Problema

Se inicia una ejecución de actualización, pero encuentra errores durante la ejecución.

Causa

Causas posibles:

• El estado del administrador de paquetes no es correcto.
• El agente de actualización (WUA para Windows, el administrador de paquetes específico de la distribución para Linux) no está configurado correctamente.
• Paquetes específicos interfieren con la aplicación de revisiones basada en la nube.
• La máquina es inaccesible.
• Las actualizaciones tenían dependencias que no se resolvieron.

Solución

Si se producen errores durante una ejecución de actualizaciones después de que se haya iniciado correctamente, compruebe el trabajo de salida desde la máquina afectada en la ejecución. Puede encontrar mensajes de error específicos procedentes de las máquinas que puede investigar e intentar solucionar. Update Management requiere que el administrador de paquetes tenga un estado correcto para que las implementaciones de actualizaciones se realicen con éxito.

Si se observan revisiones, paquetes o actualizaciones específicos inmediatamente antes de que se produzca un error en el trabajo, puede intentar excluirlos de la siguiente implementación de actualizaciones. Para recopilar información de registro de Windows Update, consulte Archivos de registro de Windows Update.

Si no puede resolver un problema de aplicación de revisiones, realice una copia del archivo /var/opt/microsoft/omsagent/run/automationworker/omsupdatemgmt.log y consérvela para solucionar los problemas antes de que se inicie la siguiente implementación de actualizaciones.

Las revisiones no se instalan

Las máquinas no instalan las actualizaciones

Intente ejecutar las actualizaciones directamente en la máquina. Si la máquina no se puede aplicar las actualizaciones, consulte la lista de posibles errores en la guía de solución de problemas.

Si las actualizaciones se ejecutan localmente, intente quitar y volver a instalar el agente en la máquina siguiendo las instrucciones para quitar una máquina virtual de Update Management.

Sé que hay actualizaciones disponibles, pero no se muestran como disponibles en mis máquinas

Esto suele ocurrir si las máquinas están configuradas para obtener actualizaciones de WSUS o Microsoft Configuration Manager, pero WSUS y Configuration Manager no han aprobado las actualizaciones.

Puede comprobar si las máquinas están configuradas para WSUS y SSCM mediante la referencia cruzada de la clave del Registro UseWUServer con las claves del Registro de la sección Configuración de actualizaciones automáticas mediante la edición del Registro de este artículo.

Si las actualizaciones no se aprueban en WSUS, no se instalan. Puede comprobar si hay actualizaciones no aprobadas en Log Analytics ejecutando la consulta siguiente.

Update | where UpdateState == "Needed" and ApprovalSource == "WSUS" and Approved == "False" | summarize max(TimeGenerated) by Computer, KBID, Title

Las actualizaciones se muestran como instaladas, pero no las encuentro en mi máquina

Con frecuencia, las actualizaciones se reemplazan por otras actualizaciones. Para más información, consulte La actualización se ha reemplazado en la guía de solución de problemas de Windows Update.

Instalación de actualizaciones mediante clasificación en Linux

La implementación de actualizaciones en Linux mediante clasificación ("actualizaciones críticas y de seguridad") tiene advertencias importantes, especialmente para CentOS. Estas limitaciones se documentan en la página de información general de Update Management.

KB2267602 falta constantemente

KB2267602 es la actualización de la definición de Windows Defender. Se actualiza diariamente.

Pasos siguientes

Si su problema no aparece o no puede resolverlo, intente uno de los siguientes canales para obtener ayuda adicional.

• Obtenga respuestas de expertos de Azure en los foros de Azure.
• Póngase en contacto con @AzureSupport, la cuenta oficial de Microsoft Azure para mejorar la experiencia del cliente.
• Registrar un incidente de soporte técnico de Azure. Vaya al sitio de Soporte técnico de Azure y seleccione Obtener soporte.