Résoudre les problèmes liés à Azure Update Manager

Cet article décrit les erreurs qui peuvent se produire lorsque vous déployez ou utilisez le Gestionnaire de mise à jour Azure, comment les résoudre, ainsi que les problèmes connus et les limitations de la mise à jour corrective planifiée.

Résolution générale des problèmes

Les étapes de résolution des problèmes suivantes s’appliquent aux machines virtuelles Azure liées à l’extension de correctif sur les machines Windows et Linux.

Machines virtuelles Azure

Machine virtuelle Linux Azure

Pour vérifier si l’agent de l’ordinateur virtuel Microsoft Azure (agent VM) est en cours d’exécution et a déclenché des actions appropriées sur l’ordinateur et le numéro de séquence de la demande de mise à jour corrective automatique, consultez le journal de l’agent pour plus d’informations dans /var/log/waagent.log. Chaque demande de mise à jour corrective automatique a un numéro de séquence unique associé sur l’ordinateur. Recherchez un journal similaire à 2021-01-20T16:57:00.607529Z INFO ExtHandler.

Le répertoire de package de l’extension est /var/lib/waagent/Microsoft.CPlat.Core.Edp.LinuxPatchExtension-<version>. Le sous-dossier /status comprend un fichier <sequence number>.status. Il inclut une brève description des actions effectuées lors d’une demande de mise à jour corrective automatique unique et de l’état. Il inclut également une courte liste d’erreurs qui se sont produites lors de l’application des mises à jour.

Pour passer en revue les journaux liés à toutes les actions effectuées par l’extension, consultez plus d’informations dans /var/log/azure/Microsoft.CPlat.Core.LinuxPatchExtension/. Il inclut les deux fichiers journaux suivants d’intérêt :

• <seq number>.core.log : contient des informations relatives aux actions de correctif. Ces informations incluent les correctifs évalués et installés sur l’ordinateur et les problèmes rencontrés lors du processus.
• <Date and Time>_<Handler action>.ext.log : il existe un wrapper au-dessus de l’action de correctif, qui est utilisé pour gérer l’extension et appeler une opération de correctif spécifique. Ce journal contient des informations sur le wrapper. Pour la mise à jour corrective automatique, le journal <Date and Time>_Enable.ext.log contient des informations sur l’appel de l’opération de correctif spécifique.

Machine virtuelle Windows Azure

Pour vérifier si l’agent VM est en cours d’exécution, a déclenché des actions appropriées sur l’ordinateur et le numéro de séquence de la demande de mise en service corrective automatique, vérifiez le journal de l’agent pour plus d’informations dans C:\WindowsAzure\Logs\AggregateStatus. Le répertoire de package de l’extension est C:\Packages\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>.

Pour passer en revue les journaux liés à toutes les actions effectuées par l’extension, consultez plus d’informations dans C:\WindowsAzure\Logs\Plugins\Microsoft.CPlat.Core.WindowsPatchExtension<version>. Il inclut les deux fichiers journaux suivants d’intérêt :

• WindowsUpdateExtension.log : contient des informations relatives aux actions de correctif. Ces informations incluent les correctifs évalués et installés sur l’ordinateur et les problèmes rencontrés lors du processus.
• CommandExecution.log : il existe un wrapper au-dessus de l’action de correctif, qui est utilisé pour gérer l’extension et appeler une opération de correctif spécifique. Ce journal contient des informations sur le wrapper. Pour la mise à jour corrective automatique, le journal contient des informations sur l’appel de l’opération de correctif spécifique.

Serveurs avec Arc

Pour les serveurs avec Azure Arc, consultez Résolution des problèmes d’extensions d’ordinateur virtuel pour connaître les étapes de résolution générales.

Pour passer en revue les journaux liés à toutes les actions effectuées par l’extension, sur Windows, consultez plus d’informations dans C:\ProgramData\GuestConfig\extension_Logs\Microsoft.SoftwareUpdateManagement\WindowsOsUpdateExtension. Il inclut les deux fichiers journaux suivants d’intérêt :

• WindowsUpdateExtension.log : contient des informations relatives aux actions de correctif. Ces informations incluent les correctifs évalués et installés sur l’ordinateur et les problèmes rencontrés lors du processus.
• cmd_execution_<numeric>_stdout.txt : il existe un wrapper au-dessus de l’action de correctif. Il est utilisé pour gérer l’extension et appeler une opération de correctif spécifique. Ce journal contient des informations sur le wrapper. Pour la mise à jour corrective automatique, le journal contient des informations sur l’appel de l’opération de correctif spécifique.
• cmd_excution_<numeric>_stderr.txt

L’évaluation périodique n’est pas correctement définie lorsque la stratégie d’évaluation périodique est utilisée lors de la création pour les machines virtuelles spécialisées, migrées et restaurées

Cause

L’évaluation périodique n’est pas correctement définie pendant la création pour les machines virtuelles spécialisées, migrées et restaurées en raison de la façon dont la stratégie de modification actuelle est conçue. Après la création, la stratégie affiche ces ressources comme non conformes sur le tableau de bord de conformité.

Résolution

Exécutez une tâche de correction après la création pour corriger les ressources nouvellement créées. Pour plus d’informations, consultez Corriger les ressources non conformes avec Azure Policy.

Les tâches de correction de la stratégie échouent pour les images de galerie et pour les images avec des disques chiffrés

Problème

Il existe des échecs de correction pour les machines virtuelles ayant une référence à l’image de galerie en mode Machine virtuelle. Cela est dû au fait qu’elle nécessite l’autorisation de lecture sur l’image de galerie et qu’elle ne fait actuellement pas partie du rôle Contributeur de machine virtuelle.

Cause

Le rôle Contributeur de machine virtuelle ne dispose pas suffisamment d’autorisations.

Résolution

• Pour toutes les nouvelles affectations, une modification récente est introduite pour fournir un rôle Contributeur à l’identité managée créée lors de l’attribution de stratégie pour la correction. Plus tard, cela va être attribué à toutes les nouvelles affectations.
• Pour toutes les affectations précédentes, si vous rencontrez un échec dans les tâches de correction, nous vous recommandons d’attribuer manuellement le rôle contributeur à l’identité managée en suivant les étapes répertoriées sous Octroyer des autorisations à l’identité managée par des rôles définis
• En outre, dans des scénarios où le rôle Contributeur ne fonctionne pas lorsque les ressources liées (image de galerie ou disque) se trouvent dans un autre groupe de ressources ou un autre abonnement, vous devez fournir manuellement l’identité managée avec les autorisations et les rôles appropriés sur l’étendue pour débloquer les corrections, en suivant les étapes décrites dans Octroyer des autorisations à l’identité managée au moyen de rôles définis.

Impossible de générer une évaluation périodique pour les serveurs avec Arc

Problème

Les abonnements dans lesquels les serveurs avec Arc sont intégrés ne produisent pas de données d’évaluation.

Résolution

Vérifiez que les abonnements aux serveurs Arc sont inscrits auprès du fournisseur de ressources Microsoft.Compute afin que les données d’évaluation périodique soient générées régulièrement comme prévu. En savoir plus

La configuration de maintenance n’est pas appliquée lorsque la machine virtuelle est déplacée vers un autre abonnement

Problème

Lorsqu’une machine virtuelle est déplacée vers un autre abonnement, la configuration de maintenance planifiée associée à la machine virtuelle n’est pas en cours d’exécution.

Résolution

Si vous déplacez une machine virtuelle vers un autre groupe de ressources ou un autre abonnement, la mise à jour corrective planifiée pour la machine virtuelle cesse de fonctionner, car ce scénario n’est actuellement pas pris en charge par le système. Vous pouvez supprimer l’ancienne association de la machine virtuelle déplacée et créer la nouvelle association pour inclure les machines virtuelles déplacées dans une configuration de maintenance.

Impossible de modifier l’option d’orchestration des correctifs « Mises à jour automatiques » par « Mises à jour manuelles ».

Problème

La machine Azure dispose de l’option d’orchestration des correctifs AutomaticByOS/Windows (mises à jour automatiques), et vous ne pouvez pas remplacer l’orchestration des correctifs par Mises à jour manuelles à l’aide de Changer les paramètres de mise à jour.

Résolution

Si vous souhaitez qu’aucune installation de correctifs soit gérée par Azure, ou si vous n’utilisez pas de solution de mise à jour corrective personnalisée, vous pouvez définir l’option d’orchestration des correctifs sur Planifications gérées par le client (préversion) ou AutomaticByPlatform et ByPassPlatformSafetyChecksOnUserSchedule et ne pas associer de configuration de planification/maintenance à la machine. Ce paramètre garantit qu’aucun correctif n’est appliqué sur la machine tant que vous ne le changez pas explicitement. Pour plus d’informations, consultez Scénario 2 dans Scénarios utilisateur.

L’ordinateur s’affiche comme « Non évalué » et présente une exception HRESULT

Problème

• Certaines de vos machines portent la mention Not assessed sous Conformité, et vous voyez un message d’exception sous celles-ci.
• Un code d’erreur HRESULT s’affiche dans le portail.

Cause

L’agent de mise à jour (agent Windows Update sur Windows et le gestionnaire de package pour une distribution Linux) n’est pas configuré correctement. Le Gestionnaire de mise à jour s’appuie sur l’agent de mise à jour de la machine pour fournir les mises à jour nécessaires, l’état du correctif et les résultats des correctifs déployés. Sans ces informations, le Gestionnaire de mise à jour ne peut pas générer de rapport exact sur les correctifs nécessaires ou installés.

Résolution

Essayez d’exécuter des mises à jour localement sur l’ordinateur. Si cette opération échoue, cela signifie généralement qu’il existe une erreur de configuration de l’agent de mise à jour.

Ce problème est souvent dû à des problèmes de configuration de réseau et de pare-feu. Effectuez les vérifications suivantes pour corriger le problème :

• Pour Linux, consultez la documentation appropriée pour vous assurer que vous pouvez atteindre le point de terminaison réseau de votre référentiel de packages.

• Pour Windows, vérifiez la configuration de votre agent, comme indiqué dans Les mises à jour ne se téléchargent pas à partir du point de terminaison intranet (WSUS/SCCM).

  • Si les ordinateurs sont configurés pour Windows Update, vérifiez que vous pouvez atteindre les points de terminaison décrits dans Problèmes liés à HTTP/au proxy.
  • Si les ordinateurs sont configurés pour WSUS (Windows Server Update Services), vérifiez que vous pouvez atteindre le serveur WSUS configuré par la clé de Registre WUServer.

Si vous voyez un code d’erreur HRESULT, double-cliquez sur l’exception affichée en rouge pour voir le message d’exception. Dans le tableau suivant, recherchez les résolutions possibles ou les actions recommandées.

Exception	Résolution ou action
Exception from HRESULT: 0x……C	Recherchez le code d’erreur pertinent dans la liste des codes d’erreur de Windows Update pour obtenir davantage d’informations sur la cause de l’exception.
0x8024402C 0x8024401C 0x8024402F	Indique des problèmes de connectivité réseau. Assurez-vous que votre ordinateur dispose de la connectivité réseau pour Update Management. Pour obtenir la liste des ports et des adresses requis, consultez la section Planification réseau.
0x8024001E	L’opération de mise à jour a échoué, car le service ou le système était en cours d’arrêt.
0x8024002E	Le service Windows Update est désactivé.
0x8024402C	Si vous utilisez un serveur WSUS, assurez-vous que les valeurs de Registre de WUServer et WUStatusServer sous la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate spécifient le bon serveur WSUS.
0x80072EE2	Il y a un problème de connectivité réseau ou un problème de communication avec un serveur WSUS configuré. Vérifiez les paramètres WSUS et assurez-vous que le service est accessible à partir du client.
The service cannot be started, either because it is disabled or because it has no enabled devices associated with it. (Exception from HRESULT: 0x80070422)	Vérifiez que le service Windows Update (wuauserv) est en cours d’exécution et qu’il n’est pas désactivé.
0x80070005	Une erreur d’accès refusé peut être due à l’un des problèmes suivants : - Ordinateur infecté. - Paramètres Windows Update configurés de manière incorrecte. - Erreur d’autorisation de fichier avec le dossier %WinDir%\SoftwareDistribution. - Espace disque insuffisant sur le lecteur système (lecteur C:).
Toute autre exception générique	Effectuez une recherche sur Internet pour découvrir des résolutions possibles et contactez votre support technique local.

L’examen du fichier %Windir%\Windowsupdate.log peut aussi vous aider à déterminer les causes possibles. Pour savoir comment lire le journal, consultez l’article Lire le fichier Windowsupdate.log.

Vous pouvez également télécharger et exécuter l’utilitaire de résolution des problèmes de Windows Update pour vérifier si la machine présente des problèmes liés à Windows Update.

Remarque

La documentation de l’outil de résolution des problèmes de Windows Update indique qu’il est destiné à être utilisé sur des clients Windows, mais il fonctionne également sur Windows Server.

Problèmes connus de la planification de la mise à jour corrective

• Pour la planification simultanée ou conflictuelle, une seule planification est déclenchée. L’autre planification est déclenchée une fois qu’une planification est terminée.
• Si un ordinateur est nouvellement créé, la planification du déclencheur de planification peut présenter 15 minutes de retard en cas d’ordinateurs virtuels Azure.
• La définition de stratégie Planification de mises à jour récurrentes à l’aide d’Azure Update Manager avec la version 1.0.0 (préversion) corrige correctement les ressources. Toutefois, elle les affiche toujours comme non conformes. La valeur actuelle de la condition d’existence est un espace réservé qui prend toujours la valeur false.

Échec de mise à jour corrective planifiée avec l’erreur « ShutdownOrUnresponsive »

Problème

La mise à jour corrective planifiée n’a pas installé les correctifs sur les machines virtuelles et génère une erreur « ShutdownOrUnresponsive ».

Résolution

Les planifications déclenchées sur des machines supprimées et recréées avec le même ID de ressource dans les 8 heures peuvent échouer avec l’erreur ShutdownOrUnresponsive en raison d’une limitation connue.

Impossible d’appliquer des correctifs pour les machines à l’arrêt

Problème

Les correctifs ne sont pas appliqués pour les machines qui sont à l’état d’arrêt. Vous pouvez également constater que des machines perdent leurs configurations de maintenance ou planifications associées.

Cause

Les machines sont à l’état d’arrêt.

Résolution

Laissez vos machines en marche au moins 15 minutes avant la mise à jour planifiée. Pour plus d’informations, consultez Arrêter des machines.

Échec de l’exécution de correctif avec propriété Fenêtre de maintenance dépassée indiquant la valeur true, même s’il restait du temps

Problème

Lorsque vous affichez un déploiement de mise à jour dans l’Historique des mises à jour, la propriété Ayant échoué avec la fenêtre Maintenance a dépassé affiche la valeur true, même si il restait du temps pour l’exécution. Dans ce cas, l’un des éléments suivants est possible :

• Aucune mise à jour n’est affichée.
• Une ou plusieurs mises à jour sont dans un état en attente.
• L’état du redémarrage est Obligatoire, mais un redémarrage n’a pas été tenté même lorsque le paramètre de redémarrage transmis était IfRequired ou Always.

Cause

Pendant un déploiement de mise à jour, l’utilisation de la fenêtre de maintenance est vérifiée à plusieurs étapes. Dix minutes de la fenêtre de maintenance sont réservées au redémarrage à tout moment. Avant que le déploiement obtienne la liste des mises à jour ou téléchargements manquants, ou qu’il installe toute mise à jour (à l’exception des mises à jour du Service Pack Windows), il vérifie s’il y a 15 minutes + 10 minutes pour le redémarrage (c’est-à-dire 25 minutes restantes dans la fenêtre de maintenance).

Pour les mises à jour du Service Pack Windows, le déploiement vérifie s’il y a 20 minutes + 10 minutes pour le redémarrage (autrement dit, 30 minutes). Si le déploiement ne dispose pas d’un délai suffisant, il ignore l’analyse/téléchargement/installation des mises à jour. L’exécution du déploiement vérifie ensuite si un redémarrage est nécessaire et s’il reste dix minutes dans la fenêtre de maintenance. Si c’est le cas, le déploiement déclenche un redémarrage. Sinon, le redémarrage est ignoré.

Dans ce cas, l’état est mis à jour sur Échec, et la propriété Fenêtre de maintenance dépassée est mise à jour avec la valeur true. Dans les cas où le temps restant est inférieur à 25 minutes, les mises à jour ne sont pas analysées ou tentées pour l’installation.

Pour plus d’informations, passez en revue les journaux dans le chemin d’accès du fichier fourni dans le message d’erreur de l’exécution du déploiement.

Résolution

Définissez un intervalle de temps plus long pour une durée maximale lorsque vous déclenchez un déploiement de mise à jour à la demande afin d’éviter le problème.

Étapes suivantes

• Pour en savoir plus sur le Gestionnaire de mise à jour, consultez la Vue d’ensemble.
• Pour afficher les résultats journalisés de toutes vos machines, consultez Interrogation de journaux et résultats à partir du Gestionnaire de mise à jour.