Compartir a través de

Solución de problemas conocidos con el Administrador de actualizaciones de Azure

En este artículo se describen los errores que pueden producirse al implementar o usar el Administrador de actualizaciones de Azure, cómo resolverlos y los problemas conocidos y las limitaciones de la aplicación de revisiones programadas.

Solución general de problemas

La siguiente información de solución de problemas se aplica a las máquinas virtuales (VM) de Azure relacionadas con la extensión de revisión en máquinas Windows y Linux.

Máquina virtual Linux

Para comprobar si el agente de VM de Azure se está ejecutando y ha desencadenado las acciones adecuadas en la máquina, y para comprobar el número de secuencia de la solicitud de aplicación automática de revisiones, consulte el registro del agente en /var/log/waagent.log. Cada solicitud de aplicación de revisiones automática tiene un número de secuencia único asociado con ella en el equipo. Busque un registro similar a: 2021-01-20T16:57:00.607529Z INFO ExtHandler.

El directorio del paquete de la extensión es /var/lib/waagent/Microsoft.CPlat.Core.LinuxPatchExtension-<version>. La subcarpeta /status tiene un archivo <sequence number>.status. Incluye una breve descripción de las acciones realizadas durante una única solicitud de parche automático y el estado. También incluye una breve lista de errores que se produjeron durante las actualizaciones.

Para revisar los registros relacionados con todas las acciones realizadas por la extensión, vaya a /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Esta carpeta incluye los siguientes archivos de registro de interés:

  • <seq number>.core.log: este archivo contiene información relacionada con las acciones de parche. La información incluye revisiones evaluadas e instaladas en la máquina, junto con los problemas detectados en el proceso.
  • <Date and Time>_<Handler action>.ext.log: Se usa una envoltura/un wrapper sobre la acción de parche para administrar la extensión e invocar una operación de parche específica. Este registro contiene información sobre el contenedor. Para la revisión automática, el archivo <Date and Time>_Enable.ext.log contiene información sobre si se invocó la operación de revisión específica.

Máquina virtual Windows

Para comprobar si el agente de VM se está ejecutando y ha desencadenado las acciones adecuadas en el equipo, y para verificar el número de secuencia de la solicitud de revisión automática, compruebe el registro del agente en C:\WindowsAzure\Logs\AggregateStatus. El directorio del paquete de la extensión es C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Para revisar los registros relacionados con todas las acciones realizadas por la extensión, vaya a C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Esta carpeta incluye los siguientes archivos de registro de interés:

  • WindowsUpdateExtension.log: Este archivo contiene información relacionada con las acciones de parche. La información incluye revisiones evaluadas e instaladas en la máquina, junto con los problemas detectados en el proceso.
  • CommandExecution.log: se utiliza un contenedor sobre la acción de la revisión para administrar la extensión e invocar una operación de revisión específica. Este registro contiene información sobre el contenedor. Para la aplicación de parches automáticos, el registro tiene información sobre si se invocó la operación de parche específica.

La evaluación periódica no se ha ajustado correctamente

Incidencia

La evaluación periódica no se establece correctamente durante la creación de recursos para máquinas virtuales especializadas, migradas y restauradas.

Causa

El diseño de la directiva de modificación actual afecta a la evaluación. Después de la creación de recursos, la directiva muestra estos recursos como no compatibles en el panel de cumplimiento.

Resolución

Ejecute una tarea de corrección para los recursos recién creados. Para más información, consulte Corrección de recursos no compatibles con Azure Policy.

El requisito previo para el parcheo programado no se ha establecido correctamente

Incidencia

Cuando use las directivas Programar actualizaciones periódicas con Administrador de actualizaciones de Azure y Establecer requisitos previos para programar actualizaciones periódicas en máquinas virtuales de Azure durante la creación de recursos para máquinas virtuales especializadas, generalizadas, migradas y restauradas:

  • El requisito previo para el parcheo programado no se ha establecido correctamente.
  • Las programaciones no están adjuntas.

Causa

El diseño de la directiva Implementar si no existe afecta al parcheo programado. Después de la creación de recursos, la directiva muestra estos recursos como no compatibles en el panel de cumplimiento.

Resolución

Ejecute una tarea de corrección para los recursos recién creados. Para más información, consulte Corrección de recursos no compatibles con Azure Policy.

Se producen errores en las tareas de corrección de directivas para las imágenes

Incidencia

Las tareas de remediación de políticas fallan para las imágenes de la galería y para las imágenes con discos cifrados. Hay errores de corrección para máquinas virtuales que tienen una referencia a una imagen de galería en el modo máquina virtual. La identidad administrada requiere permiso de lectura para la imagen de la galería y, actualmente, no forma parte del rol Colaborador de máquina virtual.

Captura de pantalla que muestra el código del error de corrección de la directiva.

Causa

El rol Colaborador de máquina virtual no tiene permisos suficientes.

Resolución

Para todas las nuevas asignaciones, un cambio reciente concede el rol Colaborador a la identidad administrada creada para las tareas de corrección.

Si experimenta un error en las tareas de corrección de las asignaciones anteriores, se recomienda conceder manualmente el rol colaborador a la identidad administrada siguiendo los pasos descritos en Concesión de permisos a la identidad administrada a través de roles definidos.

En escenarios en los que el rol de Colaborador no funciona cuando los recursos vinculados (como una imagen de galería o un disco) están en otro grupo de recursos o suscripción, proporcione manualmente la identidad administrada con los roles y permisos adecuados dentro del ámbito específico para facilitar las correcciones. Siga los pasos descritos en Concesión de permisos a la identidad administrada mediante roles definidos.

No se puede generar una evaluación periódica para servidores habilitados para Azure Arc.

Incidencia

Las suscripciones en las que se incorporan los servidores habilitados para Azure Arc no generan datos de evaluación.

Causa

Las suscripciones no se registran en el proveedor de recursos correcto.

Resolución

Asegúrese de que las suscripciones de servidor habilitadas para Azure Arc se registran en el proveedor de recursos Microsoft.Compute para que los datos de evaluación periódicos se generen periódicamente según lo previsto. Más información.

La configuración de mantenimiento no se aplica al mover una máquina virtual

Incidencia

Al mover una máquina virtual a otra suscripción o grupo de recursos, la configuración de mantenimiento programada asociada a la máquina virtual no se está ejecutando.

Causa

Las configuraciones de mantenimiento no admiten actualmente el traslado de recursos asignados entre grupos de recursos o suscripciones.

Resolución

Como solución alternativa, siga estos pasos para el recurso que desea mover.

Si usa un ámbito de static:

  1. Quite la asignación de recursos.
  2. Traslade el recurso a otro grupo de recursos o suscripción.
  3. Vuelva a crear la asignación de recursos.

Si usa un ámbito de dynamic:

  1. Inicie la siguiente ejecución programada o espere a que se produzca. Esta acción pide al sistema que quite completamente la asignación para que pueda continuar con los pasos siguientes.
  2. Traslade el recurso a otro grupo de recursos o suscripción.
  3. Vuelva a crear la asignación de recursos.

Si pierde alguno de los pasos, mueva el recurso al grupo de recursos o al identificador de suscripción anterior y vuelva a intentar los pasos.

Nota:

Si se elimina el grupo de recursos, vuelva a crearlo con el mismo nombre. Si se elimina el identificador de suscripción, póngase en contacto con el equipo de soporte técnico para la mitigación.

No se puede cambiar la orquestación de parches de forma automática a manual.

Incidencia

Quiere asegurarse de que el cliente de Windows Update no instalará revisiones en la instancia de Windows Server, por lo que quiere establecer la configuración de revisión en manual. Pero no se puede cambiar la orquestación de parches a actualizaciones manuales mediante Change update settings.

Causa

La máquina de Azure tiene la opción de coordinación de revisión como actualizaciones automáticas AutomaticByOS/Windows.

Resolución

Si no quiere que Azure organice ninguna instalación de revisiones ni está utilizando soluciones de aplicación de revisiones personalizadas, puede modificar la opción de orquestación de revisiones a Programaciones administradas por el cliente (Vista previa) (o AutomaticByPlatform y ByPassPlatformSafetyChecksOnUserSchedule) y no asociar una programación o configuración de mantenimiento a la máquina. Esta configuración garantiza que no se realice ninguna aplicación de revisiones en la máquina hasta que se cambie explícitamente.

Captura de pantalla que muestra una notificación conforme la configuración de actualización tiene errores.

La máquina no está evaluada y muestra una excepción HRESULT

Incidencia

Tiene máquinas que aparecen como No evaluadas en Cumplimiento y ve un mensaje de excepción debajo de ellas. O bien, verá un código de error HRESULT en el portal.

Causa

El agente de actualización (Agente de Windows Update en Windows y el administrador de paquetes para una distribución de Linux) no está configurado correctamente. Update Manager se basa en el agente de actualización del equipo para proporcionar las actualizaciones necesarias, el estado de la revisión y los resultados de las revisiones implementadas. Sin esta información, Update Manager no puede informar correctamente de las revisiones que son necesarias o que están instaladas.

Resolución

Intente realizar actualizaciones de forma local en la máquina. Si se produce un error en esta operación, normalmente significa que hay un error de configuración para el agente de actualización. Para corregir el problema:

Si se muestra un código de error HRESULT, haga doble clic en la excepción que se muestra en rojo para ver el mensaje de excepción completo. Revise la siguiente tabla para ver posibles resoluciones o acciones recomendadas.

Excepción Acción o resolución
Exception from HRESULT: 0x……C Busque el código de error correspondiente en la lista de códigos de error de Windows Update para obtener más información sobre la causa de la excepción.
0x8024402C
0x8024401C
0x8024402F		 Esta excepción indica problemas de conectividad de red. Asegúrese de que la máquina tiene conectividad de red con Update Manager. Para obtener una lista de los puertos y direcciones necesarios, consulte Planeamiento de red.
0x8024001E No se terminó la operación de actualización porque se estaba cerrando el servicio o el sistema. Vuelva a intentar la operación.
0x8024002E El servicio Windows Update está deshabilitado. Habilite el servicio.
0x8024402C Si usa un servidor WSUS, asegúrese de que los valores del Registro para WUServer y WUStatusServer en la clave del HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate Registro especifiquen el servidor WSUS correcto.
0x80072EE2 Hay un problema de conectividad de red o un problema al comunicarse con un servidor WSUS configurado. Compruebe la configuración de WSUS y asegúrese de que el servicio sea accesible desde el cliente.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) Asegúrese de que el servicio Windows Update (wuauserv) se está ejecutando y no está deshabilitado.
0x80070005 Cualquiera de los siguientes problemas puede provocar un error de "acceso denegado":
- Equipo infectado.
- Windows Update no está configurado correctamente.
- Error de permiso de archivo con la carpeta %WinDir%\SoftwareDistribution.
- Espacio en disco insuficiente en la unidad del sistema (unidad C).
Cualquier otra excepción genérica Ejecute una búsqueda en Internet para ver las posibles resoluciones y trabaje con su soporte técnico de TI local.

Revisar el archivo %Windir%\Windowsupdate.log también puede ayudarle a determinar las posibles causas. Para obtener más información sobre cómo leer el registro, consulta Archivos de registro de Windows Update.

También puede descargar y ejecutar el solucionador de problemas de Windows Update para comprobar si hay algún problema con Windows Update en el equipo. El solucionador de problemas funciona tanto en clientes de Windows como en Windows Server.

Recibes un error de ejecución interno.

Incidencia

Update Manager no puede aplicar revisiones a la máquina virtual y genera un error de ejecución interno. La operación no devuelve una respuesta y podría estar incompleta.

Causa

Este problema puede producirse debido a un problema temporal o un error de comunicación entre Update Manager y la máquina virtual. Entre las causas comunes se incluyen:

  • Problema temporal de plataforma o servicio de backend.
  • Un agente de máquina virtual de Azure no responde o obsoleto.
  • Una máquina virtual con mucha carga o reinicio durante la operación.
  • Un problema de red o conectividad.

Resolución

  • Vuelva a intentar la actualización después de unos minutos.
  • Asegúrese de que el agente de máquina virtual está en buen estado y actualizado.
  • Si el estado del agente muestra No listo, intente reiniciar la máquina virtual.
  • Compruebe el uso de recursos de máquina virtual (CPU, memoria, disco). Reinicie si es necesario.
  • Compruebe la conectividad de red con los servicios de Azure.
  • Revise los registros de la máquina virtual y Update Manager para obtener más detalles.

El parcheo programado no funciona

En el caso de la programación simultánea o en conflicto, solo se desencadenará una programación. La otra programación se desencadena una vez finalizada la primera programación.

Si una máquina virtual es creada recientemente, la programación podría tener un retraso de activación de 15 minutos en el caso de las máquinas virtuales de Azure.

Recibe un error ShutdownOrUnresponsive

Incidencia

El parcheo programado no instala las revisiones en las máquinas virtuales y arroja un ShutdownOrUnresponsive error.

Causa

Una limitación conocida puede provocar que las programaciones desencadenadas en máquinas eliminadas y creadas de nuevo con el mismo id. de recurso en un plazo de 8 horas fallen con este error.

Resolución

El problema no se produce después del período de 8 horas.

No se pueden aplicar parches a las máquinas apagadas

Incidencia

Las actualizaciones no se aplican a las máquinas que están en estado de apagado. También puede ver que las máquinas pierden sus configuraciones de mantenimiento asociadas o programaciones.

Causa

Las máquinas están apagadas.

Resolución

Asegúrese de que las máquinas estén activadas al menos 15 minutos antes de la actualización programada. Para obtener más información, consulte Apagar máquinas.

El historial de actualizaciones muestra inexactamente que superó la ventana de mantenimiento.

Incidencia

Al ver una implementación de actualizaciones en el Historial de actualizaciones, la propiedad Error con ventana de mantenimiento superada muestra true aunque se haya dejado suficiente tiempo para la ejecución. En este caso, es posible uno de los siguientes problemas:

  • No se muestra ninguna actualización.
  • Una o varias actualizaciones están en estado Pendiente.
  • El estado de reinicio es Obligatorio, pero no se intentó reiniciar incluso cuando la configuración de reinicio era IfRequired o Always.

Causa

Durante una implementación de actualizaciones, el uso de la ventana de mantenimiento se comprueba en varios pasos. Diez minutos de la ventana de mantenimiento se reservan para el reinicio en cualquier momento.

Antes de que la implementación obtenga una lista de actualizaciones o descargas que faltan o instale una actualización, comprueba que el tiempo suficiente permanece en la ventana de mantenimiento:

  • Todas las actualizaciones excepto Windows Service Pack: 15 minutos + 10 minutos para el reinicio, durante un total de 25 minutos.
  • Actualizaciones de Service Pack de Windows: 20 minutos + 10 minutos para el reinicio, durante un total de 30 minutos.

Si a la implementación no le queda suficiente tiempo, omite el examen, la descarga y la instalación de actualizaciones. A continuación, el proceso de despliegue comprueba si se necesita un reinicio y si quedan 10 minutos en la ventana de mantenimiento. Si es así, la implementación desencadena un reinicio. De lo contrario, se omite el reinicio.

En tales casos, el estado se actualiza a Con errores y la propiedad de ventana de mantenimiento superada se actualiza a true. En los casos en los que el tiempo restante es inferior a 25 minutos, las actualizaciones no se examinan ni se intenta instalarlas.

Para obtener más información, revise los registros de la ruta de acceso del archivo proporcionada en el mensaje de error de la ejecución de implementación.

Resolución

Establezca un intervalo de tiempo más largo para la duración máxima al desencadenar un despliegue de actualizaciones a petición.

La extensión de actualización del sistema operativo Windows/Linux no está instalada

Incidencia

No puede aplicar parches en máquinas habilitadas para Azure Arc.

Causa

La extensión de actualización del sistema operativo Windows/Linux debe instalarse correctamente en máquinas habilitadas para Azure Arc para realizar evaluaciones a petición, aplicación de revisiones y aplicación de revisiones programadas.

Resolución

Desencadenar una evaluación o aplicación de revisiones a petición para instalar la extensión en el equipo. También puede adjuntar la máquina a un programa de configuración de mantenimiento, que instalará la extensión cuando se lleve a cabo la aplicación de parches según el programa.

Si la extensión ya está presente en un equipo habilitado para Azure Arc, pero el estado de la extensión no es Correcto, quite la extensión y, a continuación, desencadene una operación a petición para reinstalarla.

La extensión de actualización de revisión de Windows/Linux no está instalada

Incidencia

No se puede aplicar parches en máquinas virtuales de Azure.

Causa

La extensión de actualización de revisiones de Windows/Linux debe instalarse correctamente en máquinas de Azure para realizar evaluaciones a petición o aplicación de revisiones, revisiones programadas y evaluaciones periódicas.

Resolución

Desencadenar una evaluación o aplicación de revisiones a petición para instalar la extensión en el equipo. También puede adjuntar la máquina a una programación de mantenimiento y configuración, que instalará la extensión cuando se realice la aplicación de revisiones según la programación.

Si la extensión ya está presente en el equipo, pero el estado de la extensión no es Correcto, quite la extensión y, a continuación, desencadene una operación a petición para reinstalarla.

Error en la comprobación de extensiones

Incidencia

La comprobación para asegurarse de que la propiedad AllowExtensionOperations se ha establecido correctamente produce un error.

Causa

La propiedad AllowExtensionOperations se establece en false en la interfaz OSProfile de la máquina.

Resolución

Para permitir que las extensiones funcionen correctamente, establezca la propiedad true.

Los privilegios de Sudo no están presentes

Incidencia

Es posible que vea la siguiente excepción:

EXCEPTION: Exception('Unable to invoke sudo successfully. Output: root is not in the sudoers file. This incident will be reported. False ',)

Causa

Los privilegios de Sudo no se conceden a las extensiones para las operaciones de evaluación o aplicación de revisiones en máquinas Linux.

Update Manager requiere un alto nivel de permisos debido a los muchos componentes que se pueden actualizar con Update Manager (incluidos los controladores de kernel y la aplicación de revisiones de seguridad del sistema operativo). Las extensiones de Update Manager usan la root cuenta para las operaciones.

Resolución

Conceda privilegios sudo para garantizar que las operaciones de evaluación o aplicación de revisión se realicen correctamente. Debe agregar la cuenta raíz al /etc/sudoers archivo:

  1. Abra el sudoers archivo para editarlo:

    sudo visudo

  2. Agregue la entrada siguiente al final del sudoers archivo:

    root ALL=(ALL) ALL

  3. Guarde y cierre el editor mediante el método abreviado de teclado Ctrl+X . Si usa el editor vi , puede escribir :wq y, a continuación, seleccionar la tecla Entrar .

El proxy está configurado

Incidencia

Un servidor proxy bloquea el acceso a los puntos de conexión necesarios para que las operaciones de evaluación o de aplicación de parches tengan éxito.

Causa

Un proxy está configurado en las máquinas Windows o Linux.

Resolución

Para Windows, consulte Problemas relacionados con HTTP/Proxy.

Para Linux, asegúrese de que la configuración del proxy no bloquea el acceso a los repositorios necesarios para descargar e instalar actualizaciones.

Error en la comprobación de TLS 1.2

Incidencia

La verificación para asegurar que estás usando TLS 1.2 falla.

Causa

Usa TLS 1.0 o TLS 1.1. Estas versiones están en desuso.

Resolución

Utilice TLS 1.2 o versiones posteriores.

Para Windows, consulte Protocolos en TLS/SSL (Schannel SSP).

Para Linux, ejecute el siguiente comando para ver las versiones admitidas de TLS para la distribución: nmap --script ssl-enum-ciphers -p 443 www.azure.com.

Error en la comprobación de conexión HTTPS

Incidencia

La comprobación para asegurar la disponibilidad de una conexión HTTPS falla.

Causa

Una conexión HTTPS no está disponible. Esta conexión es necesaria para descargar e instalar actualizaciones desde los puntos de conexión necesarios para cada sistema operativo.

Resolución

Permitir una conexión HTTPS desde la máquina.

El servicio MsftLinuxPatchAutoAssess no se está ejecutando o ha agotado el tiempo de espera

Incidencia

Las evaluaciones periódicas no funcionan en las máquinas Linux.

Causa

El servicio MsftLinuxPatchAutoAssess es necesario para realizar evaluaciones periódicas correctas.

Resolución

Asegúrese de que el LinuxPatchExtension estado es succeeded para la máquina. Reinicie la máquina para comprobar si se ha resuelto el problema.

Los repositorios de Linux no son accesibles

Incidencia

Las actualizaciones se descargan de repositorios públicos o privados configurados para cada distribución de Linux. La máquina no puede conectarse a estos repositorios para descargar o evaluar las actualizaciones.

Causa

Las reglas de seguridad de red pueden bloquear conexiones importantes.

Resolución

Asegúrese de que las reglas de seguridad de red no dificultan las conexiones de la máquina a los repositorios necesarios para las operaciones de actualización.

Contenido relacionado

  • Last updated on