Windows Update não funciona no Windows 2012 R2 Standard

18

Recentemente, herdei o gerenciamento de um servidor Windows 2012 em um site remoto.

Eu verifiquei o Windows Update e ele não está sendo atualizado desde março. Quando digo ao Windows para verificar se há atualizações, ele age como se estivesse verificando, mas parece dizer isso por horas. Se eu tentar reiniciar o serviço de atualização do Windows, ele parece nunca conseguir desligar. Meu único remédio parece estar sendo reiniciado para voltar ao ponto em que posso pedir ao Windows Update para verificar se há novas atualizações.

A última verificação bem-sucedida de atualizações diz 20 de março.

A última vez que as atualizações foram instaladas, diz 17 de março (falha).

O histórico de atualizações mostra que uma atualização falhou em 17 de março, uma atualização de driver de impressora, mas o histórico mostra 13 atualizações falhadas em 17 de fevereiro.

Não tenho certeza o que mais tentar.

Scot
fonte
Ele está obtendo as atualizações diretamente do Microsoft, WSUS ou SCCM?
davidw
11
Diretamente da Microsoft.
Scot
Pare o wuauserv (Serviço Windows Update), exclua \ Windows \ WindowsUpdate.log, inicie o serviço, verifique se há atualização e verifique WindowsUpdate.log. (tende a crescer rapidamente, por isso é mais fácil limpá-lo antes de ler).
Somescout
11
Qual é o erro exato em \ Windows \ WindowsUpdate.log? Consulte support.microsoft.com/kb/938205 para obter códigos de erro
xXhRQ8sD2L7Z
É respondida aqui: serverfault.com/a/830047/398329 Achei útil.
Nsshsaharan

Respostas:

20

Duas das minhas três máquinas 2012R2 exibiram esse comportamento em abril passado. Eles ficavam na verificação de atualizações ... para sempre.

Nunca aprendi exatamente o que causou o problema, mas resolvi-o fazendo o seguinte:

  1. Pare o serviço Windows Update.

    net stop wuauserv
    
  2. Exclua o diretório de cache do Windows Update C:\Windows\SoftwareDistribution.

    Remove-Item -Recurse -Force C:\Windows\SoftwareDistribution
    
  3. Reinicie o computador. (Em uma máquina, foram necessárias várias reinicializações para realmente excluir tudo deste diretório, portanto, tente se necessário.)

  4. Execute o Windows Update manualmente novamente. Ele falhará quase instantaneamente e oferecerá a execução de uma ferramenta de diagnóstico. Faça o download da ferramenta e permita que ela seja executada.

  5. A ferramenta irá encontrar e corrigir alguns problemas. Neste ponto, execute o Windows Update manualmente novamente. O Windows Update funcionou bem neste momento.

Michael Hampton
fonte
3
Chegou à etapa 4, mas não falhou instantaneamente ou se ofereceu para executar uma ferramenta de diagnóstico. Ele continua funcionando com a barra de progresso alternando repetidamente, nunca recebendo atualizações.
6164 Scot
11
Experimente a ferramenta de diagnóstico do Windows Update vinculada nesse momento, independentemente de o Windows oferecer ou não.
Michael Hampton
6
@MichalSokolowski "Não há motivo, em um sistema que funcione corretamente, por que essa pasta precisa ser tocada." De fato, mas não estamos discutindo sistemas funcionando corretamente aqui.
Michael Hampton
11
Eu queria sublinhar outra coisa aqui; destruir o histórico de patches do Windows Update Agent é uma péssima idéia, pois, após a exclusão, perde a capacidade de determinar o que foi corrigido e o que não foi. Em conclusão, são (de acordo com esse segmento): 1) a exclusão da distribuição de software leve deve ser tratada como último recurso antes de reformar a caixa; 2) a exclusão precisa ser precedida de um diagnóstico adequado - por exemplo, DataStore.EDB quebrado, DataStore.EDB desincronizado e Pasta de download - essas são as mais comuns. A exclusão do conteúdo do DataStore \ Logs destruirá o histórico do patch.
Michal Sokolowski
11
@MichalSokolowski Você provavelmente está certo. Ainda assim - em todos os meus sistemas, Windows 2k3, 2012, 2012R2, 7, 8, 8.1 (ainda não 10), tive o mesmo problema. Portanto, a análise adequada é um pouco difícil, a menos que você queira fazer um trabalho em período integral. Também estou tendo o mesmo problema nas máquinas de outras pessoas, por isso não pode ser apenas minha culpa, mas deve haver algum problema geral do Windows Update (especialmente instalações novas de sistemas operacionais mais antigos).
Andreas Reiff
7

Encontrei essa ótima resposta aqui e funcionou lindamente para mim. Só quero compartilhar caso alguém esteja pesquisando:

Tente isso em um prompt de comando elevado:

netsh winhttp import proxy source=ie

e reinicie

outra solução que funcionou para mim também foi definir o modo de atualização como "Nunca verificar atualizações"

avs099
fonte
O que isso faz?
GlennG
0

Eu usei a System Update Readiness Tool e o DISM. Funcionou para mim. Você pode obtê-lo aqui: http://support.microsoft.com/kB/947821

Greg Olson
fonte
Recentemente, usei a Ferramenta de prontidão para atualização do sistema e com êxito.
19414 Mitch
0

Eu estava brincando com uma VM de 2012 e tive esse problema. Minha solução (rápida, insegura, etc etc) foi desativar a segurança aprimorada do IE no servidor e, felizmente, começou a conversar com o MS Windows Update. Não é uma solução para um servidor real, mas é um servidor de desenvolvimento de brinquedos e estou bem com isso.

Presumivelmente, o site de atualização do Windows só precisa ser adicionado a alguns sites confiáveis ​​em algum lugar para uma solução real?

marcus.greasly
fonte
0

Minha correção em um recém-instalado no Windows Server 2012 R2 na Citrix 6.5 VM e, como Marcus Greasly postou, desativar o IE Enchanced Security ... funcionou imediatamente ...

Para desabilitar a segurança aprimorada do IE no Windows Server 2012 R2, inicie o Gerenciador do Servidor, no lado esquerdo, clique em Servidor Local. No lado direito, clique no link Ao lado de IE Enhanced Security Configuration. Agora você verá a caixa Configuração de segurança aprimorada do Internet Explorer.

https://prajwaldesai.com/disable-ie-enhanced-security-in-windows-server-2012-r2/

Peter Matsumoto
fonte
0

Recentemente, tenho os mesmos problemas no meu Server 2012 e tudo o que fiz foi desabilitar o Serviço Malwarebytes e as atualizações baixadas imediatamente. Tente desativar qualquer malware ou software antivírus que você possui, pois essa pode ser a raiz causada.

rockit
fonte
0

Visão geral

Tivemos esse problema em alguns servidores virtuais migrados de um provedor de "nuvem" de volta para nosso data center interno. A causa raiz foi as permissões para a %SystemRoot%\System32\catroot2pasta. Havia várias diferenças entre as permissões nessa pasta em um servidor íntegro e as do servidor migrado. Eu acredito que o principal era que TrustedInstallernão tinha full access.

Sintomas adicionais

Observando o log do aplicativo no visualizador de eventos, vimos vários erros:

Source: CAPI2
EventId: 257
Text: The Cryptographic Services service failed to initialize the Catalog Database. The ESENT error was: -1032.

Source: ESENT
EventId: 490
Text: Catalog Database (416) Catalog Database: An attempt to open the file "C:\Windows\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" for read / write access failed with system error 5 (0x00000005): "Access is denied. ".  The open file operation will fail with error -1032 (0xfffffbf8).

A pista está no texto do erro ESENT; isto é, as permissões emitem para acessar um arquivo na pasta catroot2.

Resolução

Dê à conta do Trusted Installer controle total para a pasta catroot2 e seus filhos.

Caso isso não seja suficiente, para comparação, a execução icacls %systemroot%\system32\catroot2em um servidor íntegro fornece:

C:\Windows\system32\catroot2 NT SERVICE\CryptSvc:(F)
                         NT SERVICE\CryptSvc:(OI)(CI)(IO)(F)
                         NT SERVICE\TrustedInstaller:(I)(F)
                         NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
                         NT AUTHORITY\SYSTEM:(I)(F)
                         NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
                         BUILTIN\Administrators:(I)(F)
                         BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
                         BUILTIN\Users:(I)(RX)
                         BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
                         CREATOR OWNER:(I)(OI)(CI)(IO)(F)
                         APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
                         APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)

Nota: para adicionar o Trusted Installer, você deve procurar nas contas do computador local nt service\trustedinstaller.

Depois de substituir as permissões catroot2, certifique-se de clicar na replace permissions on child objects & containerscaixa de seleção para garantir que os itens filhos também tenham suas permissões resolvidas.

Nenhuma reinicialização é necessária para a correção em si (embora, obviamente, quando as atualizações começarem a funcionar novamente, você provavelmente precisará reinicializá-las).

JohnLBevan
fonte