Solución de problemas con Azure Update Manager

En este artículo se describen los errores que pueden producirse al implementar o usar el Administrador de actualizaciones de Azure, cómo resolverlos y los problemas conocidos y las limitaciones de la aplicación de revisiones programadas.

Solución general de problemas

Los pasos de solución de problemas siguientes se aplican a las máquinas virtuales (VM) de Azure relacionadas con la extensión de aplicación de revisiones automatizada en máquinas Windows y Linux.

Azure Virtual Machines

Azure Linux VM

Para comprobar si el agente de Microsoft Azure Virtual Machines (agente de VM) se está ejecutando y ha desencadenado las acciones adecuadas en la máquina y el número de secuencia de la solicitud de aplicación de revisiones automatizada, consulte los detalles del registro del agente en /var/log/waagent.log. Cada solicitud de aplicación de revisiones automatizada tiene un número de secuencia único asociado en la máquina. Busque un registro similar al siguiente: 2021-01-20T16:57:00.607529Z INFO ExtHandler.

El directorio del paquete de la extensión es /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>. La subcarpeta /status tiene un archivo <sequence number>.status. Incluye una breve descripción de las acciones realizadas durante una única solicitud de aplicación de revisiones automatizada y el estado. También incluye una lista breve de errores que se han producido al aplicar actualizaciones.

Para revisar los registros relacionados con todas las acciones que ha llevado a cabo la extensión, busque más información en /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Incluye estos dos archivos de registro siguientes de interés:

• <seq number>.core.log: contiene información relacionada con las acciones de revisión. Esta información incluye revisiones evaluadas e instaladas en la máquina y los problemas detectados en el proceso.
• <Date and Time>_<Handler action>.ext.log: encima de la acción de revisión, hay un encapsulador que se usa para administrar la extensión e invocar una operación de revisión específica. Este registro contiene información sobre el encapsulador. Para la aplicación de revisiones automatizada, en el registro <Date and Time>_Enable.ext.log hay información sobre si se ha invocado o no la operación de revisión específica.

Azure Windows VM

Para comprobar si el agente de VM se está ejecutando y ha desencadenado las acciones adecuadas en la máquina y el número de secuencia de la solicitud de aplicación de revisiones automatizada, consulte los detalles del registro del agente en C:\WindowsAzure\Logs\AggregateStatus. El directorio del paquete de la extensión es C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Para revisar los registros relacionados con todas las acciones que ha llevado a cabo la extensión, busque más información en C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Incluye estos dos archivos de registro siguientes de interés:

• WindowsUpdateExtension.log: contiene información relacionada con las acciones de revisión. Esta información incluye revisiones evaluadas e instaladas en la máquina y los problemas detectados en el proceso.
• CommandExecution.log: encima de la acción de revisión, hay un encapsulador que se usa para administrar la extensión e invocar una operación de revisión específica. Este registro contiene información sobre el encapsulador. Para la aplicación de revisiones automatizada, en el registro hay información sobre si se ha invocado o no la operación de revisión específica.

Servidores habilitados para Arc

En el caso de los servidores habilitados para Azure Arc, consulte el artículo Solución de problemas de extensiones de máquina virtual para conocer los pasos generales de solución de problemas.

Para revisar los registros relacionados con todas las acciones que ha llevado a cabo la extensión, en Windows, busque más información en C:\ProgramData\GuestConfig\extension_Logs\Microsoft.SoftwareUpdateManagement\WindowsOsUpdateExtension. Incluye estos dos archivos de registro siguientes de interés:

• WindowsUpdateExtension.log: contiene información relacionada con las acciones de revisión. Esta información incluye las revisiones evaluadas e instaladas en la máquina y los problemas detectados en el proceso.
• cmd_execution_<numeric>_stdout.txt: hay un encapsulador encima de la acción de revisión. Se usa para administrar la extensión e invocar una operación de revisión específica. Este registro contiene información sobre el encapsulador. Para la aplicación de revisiones automatizada, en el registro hay información sobre si se ha invocado o no la operación de revisión específica.
• cmd_excution_<numeric>_stderr.txt

La evaluación periódica no se establece correctamente cuando se usa la directiva de evaluación periódica durante la creación de máquinas virtuales especializadas, migradas y restauradas

Causa

La evaluación periódica no se establece correctamente durante la creación de máquinas virtuales especializadas, migradas y restauradas debido a la forma en que está diseñada la directiva de modificación actual. Después de la creación, la directiva mostrará estos recursos como no compatibles en el panel de cumplimiento.

Solución

Ejecute una tarea de corrección después de la creación para corregir los recursos recién creados. Para obtener más información, consulte Corregir los recursos no compatibles con Azure Policy.

Las tareas de corrección de directivas producen errores en las imágenes de la galería y en las imágenes con discos cifrados

Problema

Hay errores de corrección para las máquinas virtuales que tienen una referencia a la imagen de la galería en el modo de máquina virtual. Esto se debe a que requiere el permiso de lectura para la imagen de la galería y actualmente no forma parte del rol Colaborador de máquina virtual.

Causa

El rol Colaborador de máquina virtual no tiene permisos suficientes.

Solución

• Para todas las nuevas asignaciones, se introduce un cambio reciente para proporcionar el rol Colaborador a la identidad administrada creada durante la asignación de directiva para la corrección. En el futuro, esto se asignará para las nuevas asignaciones.
• Para las asignaciones anteriores, si experimenta un error en las tareas de corrección, se recomienda asignar manualmente el rol de colaborador a la identidad administrada siguiendo los pasos indicados en Concesión de permisos a la identidad administrada a través de roles definidos.
• Además, en escenarios en los que el rol Colaborador no funciona cuando los recursos vinculados (imagen de galería o disco) están en otro grupo de recursos o suscripción, proporcione manualmente la identidad administrada con los roles y permisos adecuados en el ámbito para desbloquear las correcciones siguiendo los pasos descritos en Concesión de permisos a la identidad administrada a través de roles definidos.

No se puede generar una evaluación periódica para servidores habilitados para Arc

Problema

Las suscripciones en las que se incorporan los servidores habilitados para Arc no generan datos de evaluación.

Solución

Asegúrese de que las suscripciones de servidores de Arc están registradas en el proveedor de recursos Microsoft.Compute para que los datos de evaluación periódicos se generen periódicamente según lo previsto. Más información

La configuración de mantenimiento no se aplica cuando la máquina virtual se mueve a otra suscripción o grupo de recursos

Problema

Cuando una máquina virtual se mueve a otra suscripción o grupo de recursos, la configuración de mantenimiento programada asociada a la máquina virtual no se está ejecutando.

Solución

Actualmente, el sistema no admite el movimiento de recursos entre grupos de recursos o suscripciones. Como solución alternativa, siga estos pasos para el recurso que desea mover. Como requisito previo, quite primero la asignación antes de seguir los pasos.

Si usa un ámbito de static:

1. Traslade el recurso a otro grupo de recursos o suscripción.
2. Vuelva a crear la asignación de recursos.

Si usa un ámbito de dynamic:

1. Inicie la siguiente ejecución programada o espere a que se produzca. Esta acción hace que al sistema quite completamente la asignación, por lo que puede continuar con los pasos siguientes.
2. Traslade el recurso a otro grupo de recursos o suscripción.
3. Vuelva a crear la asignación de recursos.

Si falta alguno de los pasos, traslade el recurso al grupo de recursos o al identificador de suscripción anterior y vuelva a adjuntar los pasos.

Nota:

Si se elimina el grupo de recursos, vuelva a crearlo con el mismo nombre. Si se elimina el identificador de suscripción, póngase en contacto con el equipo de soporte técnico para la mitigación.

No se puede cambiar la opción de orquestación de revisiones a actualizaciones manuales de actualizaciones automáticas

Problema

La máquina de Azure tiene la opción de orquestación de revisiones como actualizaciones automáticas AutomaticByOS/Windows y no puede cambiar la orquestación de revisiones a Actualizaciones manuales mediante Cambiar la configuración de actualización.

Solución

Si no desea que Azure organice ninguna instalación de revisiones o no usa soluciones de aplicación de revisiones personalizadas, puede cambiar la opción de orquestación de revisiones a Programaciones administradas por el cliente (versión preliminar) o AutomaticByPlatform y ByPassPlatformSafetyChecksOnUserSchedule, y no asociar una configuración de programación o mantenimiento a la máquina. Esta configuración garantiza que no se realice ninguna aplicación de revisiones en la máquina hasta que se cambie explícitamente. Para obtener más información, vea Escenario 2 en Escenarios de usuario.

La máquina aparece como "No evaluado" y se muestra una excepción HRESULT

Problema

• Tiene máquinas que aparecen como Not assessed en Cumplimiento y verá un mensaje de excepción debajo de él.
• Verá un código de error HRESULT en el portal.

Causa

El agente de actualización (Agente de Windows Update en Windows, el administrador de paquetes para la distribución de Linux) no está configurado correctamente. Update Manager se basa en el agente de actualización de la máquina para proporcionar las actualizaciones necesarias, el estado de la revisión y los resultados de las revisiones implementadas. Sin esta información, Update Manager no puede informar correctamente de las revisiones que son necesarias o que están instaladas.

Solución

Intente realizar actualizaciones de forma local en la máquina. Si esta operación falla, suele significar que hay un error de configuración con el agente de actualización.

Este problema suele deberse a problemas de firewall y de configuración de red. Use las siguientes comprobaciones para corregir el problema:

• Para Linux, consulte la documentación correspondiente para asegurarse de que puede acceder al punto de conexión de red del repositorio de paquetes.

• Para Windows, compruebe la configuración del agente como se describe en Las actualizaciones no se descargan desde el punto de conexión de la intranet (WSUS/SCCM).

  • Si las máquinas están configuradas para Windows Update, asegúrese de que puede acceder a los puntos de conexión descritos en Problemas relacionados con HTTP/proxy.
  • Si las máquinas están configuradas para Windows Server Update Services (WSUS), asegúrese de que puede acceder al servidor WSUS configurado por la clave del Registro WUServer.

Si se muestra un código de error HRESULT, haga doble clic en la excepción que se muestra en rojo para ver el mensaje de excepción completo. Revise la siguiente tabla para ver posibles resoluciones o acciones recomendadas.

Excepción	Acción o resolución
Exception from HRESULT: 0x……C	Busque el código de error correspondiente en la lista de códigos de error de Windows Update para obtener más información sobre la causa de la excepción.
0x8024402C 0x8024401C 0x8024402F	Indica problemas de conectividad de red. Asegúrese de que la máquina tenga conectividad de red con Update Management. Consulte la sección sobre el planeamiento de red para obtener una lista de puertos y direcciones necesarios.
0x8024001E	No se terminó la operación de actualización porque se estaba cerrando el servicio o el sistema.
0x8024002E	El servicio de Windows Update está deshabilitado.
0x8024402C	Si usa un servidor WSUS, asegúrese de que los valores del Registro para WUServer y WUStatusServer en la clave del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate especifican el servidor WSUS correcto.
0x80072EE2	Hay un problema de conectividad de red o un problema al comunicarse con un servidor WSUS configurado. Compruebe la configuración de WSUS y asegúrese de que se puede acceder al servicio desde el cliente.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Asegúrese de que el servicio Windows Update (wuauserv) se está ejecutando y no está deshabilitado.
0x80070005	Un error de acceso denegado puede deberse a cualquiera de los siguientes problemas: - Equipo infectado. - Windows Update no está configurado correctamente. - Error de permiso de archivo con la carpeta %WinDir%\SoftwareDistribution. - Espacio en disco insuficiente en la unidad del sistema (unidad C).
Cualquier otra excepción genérica	Ejecute una búsqueda en Internet para ver las resoluciones posibles y colabore con el equipo de soporte técnico de TI local.

Revisar el archivo %Windir%\Windowsupdate.log también puede ayudar a determinar los posibles motivos. Para más información sobre cómo leer el registro, consulte Leer el archivo Windowsupdate.log.

También puede descargar y ejecutar el solucionador de problemas de Windows Update para comprobar si hay algún problema con Windows Update en el equipo.

Nota:

La documentación del solucionador de problemas de Windows Update indica que es para su uso en clientes de Windows, pero también funciona en Windows Server.

Problemas conocidos de la aplicación de revisiones de programación

• En el caso de la programación simultánea o en conflicto, solo se desencadenará una programación. La otra programación se desencadenará una vez finalizada la programación.
• Si se acaba de crear una máquina, la programación puede tener 15 minutos de retraso del desencadenador programado en el caso de las VM de Azure.
• La definición de directiva Programación de actualizaciones periódicas mediante Azure Update Manager con la versión 1.0.0-preview corrige correctamente los recursos. Sin embargo, siempre se muestran como no conformes. El valor actual de la condición de existencia es un marcador de posición que siempre se evalúa como false.

Error de aplicación de revisiones de programación con el error 'ShutdownOrUnresponsive'

Problema

La programación de revisiones no ha instalado las revisiones en las máquinas virtuales y proporciona un error como "ShutdownOrUnresponsive".

Solución

Las programaciones desencadenadas en las máquinas eliminadas y recreadas con el mismo identificador de recurso en un plazo de 8 horas pueden producir un error ShutdownOrUnresponsive debido a una limitación conocida.

No se pueden aplicar revisiones para las máquinas apagadas

Problema

Las revisiones no se aplican a las máquinas que están apagadas. También puede ver que las máquinas pierden sus configuraciones de mantenimiento asociadas o programaciones.

Causa

Las máquinas están apagadas.

Solución

Mantenga las máquinas activadas al menos 15 minutos antes de la actualización programada. Para obtener más información, consulte Apagar máquinas.

Error en la ejecución de revisión con la propiedad de ventana de mantenimiento superada en el que se muestra true incluso si el tiempo se ha mantenido

Problema

Al ver una implementación de actualizaciones en el Historial de actualizaciones, la propiedad Error con ventana de mantenimiento superada muestra true aunque se haya dejado suficiente tiempo para la ejecución. En este caso, es posible uno de los siguientes problemas:

• No se muestra ninguna actualización.
• Una o varias actualizaciones están en estado Pendiente.
• El estado de reinicio es Obligatorio, pero no se ha intentado reiniciar incluso cuando la configuración de reinicio pasada era IfRequired o Always.

Causa

Durante una implementación de actualizaciones, comprueba el uso de la ventana de mantenimiento en varios pasos. 10 minutos de la ventana de mantenimiento se reservan para el reinicio en cualquier momento. Antes de que la implementación obtenga una lista de actualizaciones que faltan o descargar o instalar cualquier actualización (excepto las de Windows Service Pack), comprueba si hay 15 minutos + 10 minutos para el reinicio (es decir, 25 minutos restantes en la ventana de mantenimiento).

En el caso de las actualizaciones de Windows Service Pack, la implementación comprueba que haya 20 minutos + 10 minutos para el reinicio (es decir, 30 minutos). Si la implementación no tiene suficiente tiempo restante, omite el examen, la descarga o la instalación de actualizaciones. Después, la ejecución de implementación comprueba si se necesita un reinicio y si quedan 10 minutos en la ventana de mantenimiento. Si lo hay, la implementación desencadena un reinicio. De lo contrario, se omite el reinicio.

En tales casos, el estado se actualiza a Con errores y la propiedad de ventana de mantenimiento superada se actualiza a true. En los casos en los que el tiempo restante es inferior a 25 minutos, las actualizaciones no se examinan ni se intenta instalarlas.

Para obtener más información, revise los registros de la ruta de acceso del archivo proporcionada en el mensaje de error de la ejecución de implementación.

Solución

Establecer un intervalo de tiempo más largo durante la duración máxima al desencadenar una implementación de actualizaciones a petición ayuda a evitar el problema.

Pasos siguientes

• Para obtener más información sobre Update Manager, consulte la Información general.
• Para ver los resultados registrados de todas las máquinas, vea Consulta de registros y resultados de Update Manager.