Résoudre les problèmes liés à Azure Update Manager
Cet article décrit les erreurs qui peuvent se produire lorsque vous déployez ou utilisez le Gestionnaire de mise à jour Azure, comment les résoudre, ainsi que les problèmes connus et les limitations de la mise à jour corrective planifiée.
Résolution générale des problèmes
Les étapes de résolution des problèmes suivantes s’appliquent aux machines virtuelles Azure liées à l’extension de correctif sur les machines Windows et Linux.
Machine virtuelle Linux Azure
Pour vérifier si l’agent de l’ordinateur virtuel Microsoft Azure (agent VM) est en cours d’exécution et a déclenché des actions appropriées sur l’ordinateur et le numéro de séquence de la demande de mise à jour corrective automatique, consultez le journal de l’agent pour plus d’informations dans /var/log/waagent.log
. Chaque demande de mise à jour corrective automatique a un numéro de séquence unique associé sur l’ordinateur. Recherchez un journal similaire à 2021-01-20T16:57:00.607529Z INFO ExtHandler
.
Le répertoire de package de l’extension est /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>
. Le sous-dossier /status
comprend un fichier <sequence number>.status
. Il inclut une brève description des actions effectuées lors d’une demande de mise à jour corrective automatique unique et de l’état. Il inclut également une courte liste d’erreurs qui se sont produites lors de l’application des mises à jour.
Pour passer en revue les journaux liés à toutes les actions effectuées par l’extension, consultez plus d’informations dans /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/
. Il inclut les deux fichiers journaux suivants d’intérêt :
<seq number>.core.log
: contient des informations relatives aux actions de correctif. Ces informations incluent les correctifs évalués et installés sur l’ordinateur et les problèmes rencontrés lors du processus.<Date and Time>_<Handler action>.ext.log
: il existe un wrapper au-dessus de l’action de correctif, qui est utilisé pour gérer l’extension et appeler une opération de correctif spécifique. Ce journal contient des informations sur le wrapper. Pour la mise à jour corrective automatique, le journal<Date and Time>_Enable.ext.log
contient des informations sur l’appel de l’opération de correctif spécifique.
Machine virtuelle Windows Azure
Pour vérifier si l’agent VM est en cours d’exécution, a déclenché des actions appropriées sur l’ordinateur et le numéro de séquence de la demande de mise en service corrective automatique, vérifiez le journal de l’agent pour plus d’informations dans C:\WindowsAzure\Logs\AggregateStatus
. Le répertoire de package de l’extension est C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>
.
Pour passer en revue les journaux liés à toutes les actions effectuées par l’extension, consultez plus d’informations dans C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>
. Il inclut les deux fichiers journaux suivants d’intérêt :
WindowsUpdateExtension.log
: contient des informations relatives aux actions de correctif. Ces informations incluent les correctifs évalués et installés sur l’ordinateur et les problèmes rencontrés lors du processus.CommandExecution.log
: il existe un wrapper au-dessus de l’action de correctif, qui est utilisé pour gérer l’extension et appeler une opération de correctif spécifique. Ce journal contient des informations sur le wrapper. Pour la mise à jour corrective automatique, le journal contient des informations sur l’appel de l’opération de correctif spécifique.
L’évaluation périodique n’est pas correctement définie lorsque la stratégie d’évaluation périodique est utilisée lors de la création pour les machines virtuelles spécialisées, migrées et restaurées
Cause
L’évaluation périodique n’est pas correctement définie pendant la création pour les machines virtuelles spécialisées, migrées et restaurées en raison de la façon dont la stratégie de modification actuelle est conçue. Après la création, la stratégie affiche ces ressources comme non conformes sur le tableau de bord de conformité.
Résolution
Exécutez une tâche de correction après la création pour corriger les ressources nouvellement créées. Pour plus d’informations, consultez Corriger les ressources non conformes avec Azure Policy.
Le prérequis pour la mise à jour corrective planifiée n’est pas défini correctement et les planifications ne sont pas attachées quand des stratégies spécifiques sont utilisées lors de la création pour des machines virtuelles spécialisées, généralisées, migrées et restaurées.
Cause
Le prérequis pour la mise à jour corrective planifiée et l’attachement de planifications n’est pas défini correctement quand les stratégies Planifier des mises à jour périodiques en utilisant Azure Update Manager et Définir un prérequis pour la planification des mises à jour périodiques sur des machines virtuelles Azure sont utilisées lors de la création de machines virtuelles spécialisées, généralisées, migrées et restaurées, en raison de la façon dont la Stratégie de déploiement si inexistant est conçue. Après la création, la stratégie affiche ces ressources comme non conformes sur le tableau de bord de conformité.
Résolution
Exécutez une tâche de correction après la création pour corriger les ressources nouvellement créées. Pour plus d’informations, consultez Corriger les ressources non conformes avec Azure Policy.
Les tâches de correction de la stratégie échouent pour les images de galerie et pour les images avec des disques chiffrés
Problème
Il existe des échecs de correction pour les machines virtuelles ayant une référence à l’image de galerie en mode Machine virtuelle. Ceci est dû au fait qu’elle nécessite l’autorisation de lecture sur l’image de la galerie et qu’elle ne fait actuellement pas partie du rôle Contributeur de machine virtuelle.
Cause
Le rôle Contributeur de machine virtuelle ne dispose pas suffisamment d’autorisations.
Résolution
- Pour toutes les nouvelles affectations, une modification récente est introduite pour fournir un rôle Contributeur à l’identité managée créée lors de l’attribution de stratégie pour la correction. Plus tard, cela va être attribué à toutes les nouvelles affectations.
- Pour les attributions précédentes, si vous rencontrez un échec dans les tâches de correction, nous vous recommandons d’attribuer manuellement le rôle Contributeur à l’identité managée en suivant les étapes listées sous Octroyer des autorisations à l’identité managée via des rôles définis.
- En outre, dans des scénarios où le rôle Contributeur ne fonctionne pas lorsque les ressources liées (image de galerie ou disque) se trouvent dans un autre groupe de ressources ou un autre abonnement, vous devez fournir manuellement l’identité managée avec les autorisations et les rôles appropriés sur l’étendue pour débloquer les corrections, en suivant les étapes décrites dans Octroyer des autorisations à l’identité managée au moyen de rôles définis.
Impossible de générer une évaluation périodique pour les serveurs avec Arc
Problème
Les abonnements dans lesquels les serveurs avec Arc sont intégrés ne produisent pas de données d’évaluation.
Résolution
Vérifiez que les abonnements aux serveurs Arc sont inscrits auprès du fournisseur de ressources Microsoft.Compute afin que les données d’évaluation périodique soient générées régulièrement comme prévu. En savoir plus
La configuration de maintenance n’est pas appliquée lorsque la machine virtuelle est déplacée vers un autre abonnement ou groupe de ressources
Problème
Lorsqu’une machine virtuelle est déplacée vers un autre abonnement ou groupe de ressources, la configuration de maintenance planifiée associée à la machine virtuelle n’est pas exécutée.
Résolution
Le système ne prend actuellement pas en charge le déplacement de ressources entre des groupes de ressources ou des abonnements. Pour contourner ce problème, effectuez ces étapes pour la ressource que vous souhaitez déplacer. Vous devez d’abord supprimer l’attribution avant de suivre les étapes.
Si vous utilisez une étendue static
:
- Déplacer la ressource dans un autre groupe de ressources ou abonnement.
- Recréez l’affectation de ressource.
Si vous utilisez une étendue dynamic
:
- Lancez ou attendez la prochaine exécution planifiée. Cette action fait en sorte que le système supprime complètement l’affectation, ce qui vous permet de passer aux étapes suivantes.
- Déplacer la ressource dans un autre groupe de ressources ou abonnement.
- Recréez l’affectation de ressource.
Si l’une des étapes est manquée, veuillez déplacer la ressource vers le groupe de ressources ou l’ID d’abonnement précédent, puis retenter les étapes.
Remarque
Si le groupe de ressources est supprimé, recréez-le avec le même nom. Si l’ID d’abonnement est supprimé, contactez l’équipe de support technique pour l’atténuation des risques.
Impossible de modifier l’option d’orchestration des correctifs « Mises à jour automatiques » par « Mises à jour manuelles ».
Problème
La machine Azure dispose de l’option d’orchestration des correctifs AutomaticByOS/Windows
(mises à jour automatiques), et vous ne pouvez pas remplacer l’orchestration des correctifs par Mises à jour manuelles à l’aide de Changer les paramètres de mise à jour.
Résolution
Si vous souhaitez qu’aucune installation de correctifs soit gérée par Azure, ou si vous n’utilisez pas de solution de mise à jour corrective personnalisée, vous pouvez définir l’option d’orchestration des correctifs sur Planifications gérées par le client (préversion) ou AutomaticByPlatform
et ByPassPlatformSafetyChecksOnUserSchedule
et ne pas associer de configuration de planification/maintenance à la machine. Ce paramètre garantit qu’aucun correctif n’est appliqué sur la machine tant que vous ne le changez pas explicitement. Pour plus d’informations, consultez Scénario 2 dans Scénarios utilisateur.
L’ordinateur s’affiche comme « Non évalué » et présente une exception HRESULT
Problème
- Certaines de vos machines portent la mention
Not assessed
sous Conformité, et vous voyez un message d’exception sous celles-ci. - Un code d’erreur
HRESULT
s’affiche dans le portail.
Cause
L’agent de mise à jour (agent Windows Update sur Windows et le gestionnaire de package pour une distribution Linux) n’est pas configuré correctement. Le Gestionnaire de mise à jour s’appuie sur l’agent de mise à jour de la machine pour fournir les mises à jour nécessaires, l’état du correctif et les résultats des correctifs déployés. Sans ces informations, le Gestionnaire de mise à jour ne peut pas générer de rapport exact sur les correctifs nécessaires ou installés.
Résolution
Essayez d’exécuter des mises à jour localement sur l’ordinateur. Si cette opération échoue, cela signifie généralement qu’il existe une erreur de configuration de l’agent de mise à jour.
Ce problème est souvent dû à des problèmes de configuration de réseau et de pare-feu. Effectuez les vérifications suivantes pour corriger le problème :
Pour Linux, consultez la documentation appropriée pour vous assurer que vous pouvez atteindre le point de terminaison réseau de votre référentiel de packages.
Pour Windows, vérifiez la configuration de votre agent, comme indiqué dans Les mises à jour ne se téléchargent pas à partir du point de terminaison intranet (WSUS/SCCM).
- Si les ordinateurs sont configurés pour Windows Update, vérifiez que vous pouvez atteindre les points de terminaison décrits dans Problèmes liés à HTTP/au proxy.
- Si les ordinateurs sont configurés pour WSUS (Windows Server Update Services), vérifiez que vous pouvez atteindre le serveur WSUS configuré par la clé de Registre WUServer.
Si vous voyez un code d’erreur HRESULT
, double-cliquez sur l’exception affichée en rouge pour voir le message d’exception. Dans le tableau suivant, recherchez les résolutions possibles ou les actions recommandées.
Exception | Résolution ou action |
---|---|
Exception from HRESULT: 0x……C |
Recherchez le code d’erreur pertinent dans la liste des codes d’erreur de Windows Update pour obtenir davantage d’informations sur la cause de l’exception. |
0x8024402C 0x8024401C 0x8024402F |
Indique des problèmes de connectivité réseau. Assurez-vous que votre ordinateur dispose de la connectivité réseau pour Update Management. Pour obtenir la liste des ports et des adresses requis, consultez la section Planification réseau. |
0x8024001E |
L’opération de mise à jour a échoué, car le service ou le système était en cours d’arrêt. |
0x8024002E |
Le service Windows Update est désactivé. |
0x8024402C |
Si vous utilisez un serveur WSUS, assurez-vous que les valeurs de Registre de WUServer et WUStatusServer sous la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate spécifient le bon serveur WSUS. |
0x80072EE2 |
Il y a un problème de connectivité réseau ou un problème de communication avec un serveur WSUS configuré. Vérifiez les paramètres WSUS et assurez-vous que le service est accessible à partir du client. |
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422) |
Vérifiez que le service Windows Update (wuauserv ) est en cours d’exécution et qu’il n’est pas désactivé. |
0x80070005 |
Une erreur d’accès refusé peut être due à l’un des problèmes suivants : - Ordinateur infecté. - Paramètres Windows Update configurés de manière incorrecte. - Erreur d’autorisation de fichier avec le dossier %WinDir%\SoftwareDistribution .- Espace disque insuffisant sur le lecteur système (lecteur C:). |
Toute autre exception générique | Effectuez une recherche sur Internet pour découvrir des résolutions possibles et contactez votre support technique local. |
L’examen du fichier %Windir%\Windowsupdate.log
peut aussi vous aider à déterminer les causes possibles. Pour savoir comment lire le journal, consultez l’article Lire le fichier Windowsupdate.log.
Vous pouvez également télécharger et exécuter l’utilitaire de résolution des problèmes de Windows Update pour vérifier si la machine présente des problèmes liés à Windows Update.
Remarque
La documentation de l’outil de résolution des problèmes de Windows Update indique qu’il est destiné à être utilisé sur des clients Windows, mais il fonctionne également sur Windows Server.
Problèmes connus de la planification de la mise à jour corrective
- Pour la planification simultanée ou conflictuelle, une seule planification est déclenchée. L’autre planification est déclenchée une fois qu’une planification est terminée.
- Si un ordinateur est nouvellement créé, la planification du déclencheur de planification peut présenter 15 minutes de retard en cas d’ordinateurs virtuels Azure.
- La définition de stratégie Planification de mises à jour récurrentes à l’aide d’Azure Update Manager avec la version 1.0.0 (préversion) corrige correctement les ressources. Toutefois, elle les affiche toujours comme non conformes. La valeur actuelle de la condition d’existence est un espace réservé qui prend toujours la valeur false.
Échec de mise à jour corrective planifiée avec l’erreur « ShutdownOrUnresponsive »
Problème
La mise à jour corrective planifiée n’a pas installé les correctifs sur les machines virtuelles et génère une erreur « ShutdownOrUnresponsive ».
Résolution
Les planifications déclenchées sur des machines supprimées et recréées avec le même ID de ressource dans les 8 heures peuvent échouer avec l’erreur ShutdownOrUnresponsive en raison d’une limitation connue.
Impossible d’appliquer des correctifs pour les machines à l’arrêt
Problème
Les correctifs ne sont pas appliqués pour les machines qui sont à l’état d’arrêt. Vous pouvez également constater que des machines perdent leurs configurations de maintenance ou planifications associées.
Cause
Les machines sont à l’état d’arrêt.
Résolution
Laissez vos machines en marche au moins 15 minutes avant la mise à jour planifiée. Pour plus d’informations, consultez Arrêter des machines.
Échec de l’exécution de correctif avec propriété Fenêtre de maintenance dépassée indiquant la valeur true, même s’il restait du temps
Problème
Lorsque vous affichez un déploiement de mise à jour dans l’Historique des mises à jour, la propriété Ayant échoué avec la fenêtre Maintenance a dépassé affiche la valeur true, même si il restait du temps pour l’exécution. Dans ce cas, l’un des éléments suivants est possible :
- Aucune mise à jour n’est affichée.
- Une ou plusieurs mises à jour sont dans un état en attente.
- L’état du redémarrage est Obligatoire, mais un redémarrage n’a pas été tenté même lorsque le paramètre de redémarrage transmis était
IfRequired
ouAlways
.
Cause
Pendant un déploiement de mise à jour, l’utilisation de la fenêtre de maintenance est vérifiée à plusieurs étapes. Dix minutes de la fenêtre de maintenance sont réservées au redémarrage à tout moment. Avant que le déploiement obtienne la liste des mises à jour ou téléchargements manquants, ou qu’il installe toute mise à jour (à l’exception des mises à jour du Service Pack Windows), il vérifie s’il y a 15 minutes + 10 minutes pour le redémarrage (c’est-à-dire 25 minutes restantes dans la fenêtre de maintenance).
Pour les mises à jour du Service Pack Windows, le déploiement vérifie s’il y a 20 minutes + 10 minutes pour le redémarrage (autrement dit, 30 minutes). Si le déploiement ne dispose pas d’un délai suffisant, il ignore l’analyse/téléchargement/installation des mises à jour. L’exécution du déploiement vérifie ensuite si un redémarrage est nécessaire et s’il reste dix minutes dans la fenêtre de maintenance. Si c’est le cas, le déploiement déclenche un redémarrage. Sinon, le redémarrage est ignoré.
Dans ce cas, l’état est mis à jour sur Échec, et la propriété Fenêtre de maintenance dépassée est mise à jour avec la valeur true. Dans les cas où le temps restant est inférieur à 25 minutes, les mises à jour ne sont pas analysées ou tentées pour l’installation.
Pour plus d’informations, passez en revue les journaux dans le chemin d’accès du fichier fourni dans le message d’erreur de l’exécution du déploiement.
Résolution
Définissez un intervalle de temps plus long pour une durée maximale lorsque vous déclenchez un déploiement de mise à jour à la demande afin d’éviter le problème.
L’extension Mise à jour du système d’exploitation Windows/Linux n’est pas installée.
Problème
L’extension Mise à jour du système d’exploitation Windows/Linux doit être installée correctement sur les machines Arc pour effectuer des évaluations à la demande, des mises à jour correctives et des mises à jour correctives planifiées .
Résolution
Déclenchez une évaluation à la demande ou une mise à jour corrective pour installer l’extension sur la machine. Vous pouvez également attacher la machine à une planification de configuration de maintenance qui installe l’extension quand la mise à jour corrective est effectuée conformément à la planification.
Si l’extension est déjà présente sur la machine, mais que l’état de l’extension n’est pas Réussite, veillez à supprimer l’extension et à déclencher une opération à la demande afin qu’elle soit réinstallée.
L’extension Mise à jour de correctif Windows/Linux n’est pas installée.
Problème
L’extension Mise à jour de correctif Windows/Linux doit être installée correctement sur les machines Azure pour effectuer des évaluations ou des mises à jour correctives à la demande, des mises à jour correctives planifiées et des évaluations périodiques.
Résolution
Déclenchez une évaluation à la demande ou une mise à jour corrective pour installer l’extension sur la machine. Vous pouvez également attacher la machine à une planification de configuration de maintenance qui installe l’extension quand la mise à jour corrective est effectuée conformément à la planification.
Si l’extension est déjà présente sur la machine, mais que l’état de l’extension n’est pas Réussite, veillez à supprimer l’extension et à déclencher une opération à la demande qui va la réinstaller.
La vérification effectuée par Autoriser les opérations d’extension a échoué.
Problème
La propriété AllowExtensionOperations est définie sur false dans le profil OSProfile de la machine.
Résolution
La propriété doit être définie sur true pour permettre aux extensions de fonctionner correctement.
Privilèges sudo non présents
Problème
Les privilèges sudo ne sont pas accordés aux extensions pour les opérations d’évaluation ou de mise à jour corrective sur les machines Linux.
Résolution
Accordez des privilèges sudo pour permettre la réussite des opérations d’évaluation ou de mise à jour corrective.
Le proxy est configuré
Problème
Un proxy configuré sur des machines Windows ou Linux peut bloquer l’accès aux points de terminaison requis pour que les opérations d’évaluation ou de mise à jour corrective réussissent.
Résolution
Pour Windows, consultez Problèmes liés au proxy.
Pour Linux, vérifiez que la configuration du proxy ne bloque pas l’accès aux référentiels requis pour le téléchargement et l’installation des mises à jour.
Échec de la vérification TLS 1.2
Problème
TLS 1.0 et TLS 1.1 sont déconseillés.
Résolution
Utilisez TLS 1.2 ou ultérieur.
Pour Windows, consultez Protocoles dans TLS/SSL (SSP Schannel).
Pour Linux, exécutez la commande suivante pour voir les versions de TLS prises en charge pour votre distribution.
nmap --script ssl-enum-ciphers -p 443 www.azure.com
La vérification de la connexion HTTPS a échoué.
Problème
La connexion HTTPS n’est pas disponible, alors qu’elle est nécessaire pour télécharger et installer les mises à jour depuis les points de terminaison requis pour chaque système d’exploitation.
Résolution
Autorisez la connexion HTTPS depuis votre machine.
Le service MsftLinuxPatchAutoAssess n’est pas en cours d’exécution, ou Time n’est pas actif.
Problème
MsftLinuxPatchAutoAssess est requis pour la réussite des évaluations périodiques sur les machines Linux.
Résolution
Vérifiez que l’état de LinuxPatchExtension est Réussite pour la machine. Redémarrez la machine pour vérifier si le problème est résolu.
Les référentiels Linux ne sont pas accessibles.
Problème
Les mises à jour sont téléchargées depuis des référentiels publics ou privés configurés pour chaque distribution Linux. La machine ne peut pas se connecter à ces référentiels pour télécharger ou évaluer les mises à jour.
Résolution
Vérifiez que des règles de sécurité réseau n’empêchent pas la connexion aux référentiels requis pour les opérations de mise à jour.
Étapes suivantes
- Pour en savoir plus sur le Gestionnaire de mise à jour, consultez la Vue d’ensemble.
- Pour afficher les résultats journalisés de toutes vos machines, consultez Interrogation de journaux et résultats à partir du Gestionnaire de mise à jour.