Windows Update non funziona su Windows 2012 R2 Standard

18

Di recente ho ereditato la gestione di un server Windows 2012 in un sito remoto.

Ho controllato Windows Update e non si aggiorna da marzo. Quando dico a Windows di verificare la presenza di aggiornamenti, si comporta come se stesse controllando, ma sembra dirlo per ore. Se provo a riavviare il servizio di aggiornamento di Windows, sembra che non riesca mai a chiudere. Il mio unico rimedio sembra essere il riavvio per tornare al punto in cui posso dire a Windows Update di verificare la presenza di nuovi aggiornamenti.

L'ultimo controllo riuscito per gli aggiornamenti dice il 20 marzo.

L'ultima volta che sono stati installati gli aggiornamenti dice il 17 marzo (non riuscito).

La cronologia degli aggiornamenti mostra che un aggiornamento non è riuscito per il 17 marzo, un aggiornamento del driver della stampante, ma la cronologia mostra 13 aggiornamenti non riusciti per il 17 febbraio.

Non sono sicuro di cos'altro provare.

windows-server-2012  windows-server-2012-r2  wsus  windows-update 
scozzese
fonte
Sta estraendo gli aggiornamenti direttamente da Microsoft, WSUS o SCCM?
Davidw,
1
Direttamente da Microsoft.
Scot,
Arrestare wuauserv (servizio Windows Update), eliminare \ Windows \ WindowsUpdate.log, avviare il servizio, verificare l'aggiornamento e verificare WindowsUpdate.log. (tende a crescere rapidamente, quindi è più facile ripulirlo prima di leggere).
Somescout,
1
Qual è l'errore esatto in \ Windows \ WindowsUpdate.log? Vedere support.microsoft.com/kb/938205 per i codici di errore
xXhRQ8sD2L7Z
La risposta è qui: serverfault.com/a/830047/398329 l' ho trovato utile.
niveshsaharan,

Risposte:

20

Due delle mie tre macchine 2012R2 hanno mostrato questo comportamento lo scorso aprile. Si bloccherebbero a Verifica aggiornamenti ... per sempre.

Non ho mai imparato esattamente cosa ha causato il problema, ma l'ho risolto procedendo come segue:

  1. Arresta il servizio Windows Update.

    net stop wuauserv

  2. Elimina la directory della cache di Windows Update C:\Windows\SoftwareDistribution.

    Remove-Item -Recurse -Force C:\Windows\SoftwareDistribution

  3. Riavvia il computer. (Su un computer sono necessari diversi riavvii per ottenere effettivamente tutto cancellato da questa directory, quindi continua a provare se necessario.)

  4. Eseguire di nuovo Windows Update manualmente. Fallirà quasi istantaneamente e offrirà di eseguire uno strumento diagnostico. Scarica lo strumento e consenti l'esecuzione.

  5. Lo strumento troverà e risolverà alcuni problemi. A questo punto, eseguire nuovamente Windows Update manualmente. Windows Update ha funzionato bene a questo punto.

Michael Hampton
fonte
3
È arrivato al punto 4, ma non è fallito all'istante o si è offerto di eseguire uno strumento diagnostico. Continua a funzionare con la barra di avanzamento ripetutamente, ripetutamente, senza mai ricevere aggiornamenti.
Scot,
1
Prova lo strumento diagnostico di Windows Update collegato a quel punto, indipendentemente dal fatto che Windows lo offra o meno.
Michael Hampton
6
@MichalSokolowski "Non c'è motivo, su un sistema correttamente funzionante, perché questa cartella debba mai essere toccata." Anzi, ma non stiamo discutendo di sistemi correttamente funzionanti qui.
Michael Hampton
1
Volevo sottolineare qualcos'altro qui; distruggere la cronologia delle patch di Windows Update Agent è davvero una cattiva idea, perché dopo l'eliminazione perde la capacità di determinare cosa è stato corretto e cosa no. In poche parole sono (secondo quel thread): 1) l'eliminazione della distribuzione di software dovrebbe essere trattata come ultima risorsa prima di riformulare il riquadro, 2) l'eliminazione deve essere preceduta da un'adeguata diagnosi - cioè DataStore.EDB rotto, DataStore.EDB desincronizzato e Cartella di download: questi sono i più comuni. L'eliminazione del contenuto di DataStore \ Logs distruggerà la cronologia delle patch.
Michal Sokolowski il
1
@MichalSokolowski Probabilmente hai ragione. Comunque - su ognuno dei miei sistemi, Windows 2k3, 2012, 2012R2, 7, 8, 8.1 (non ancora 10) ho avuto lo stesso problema. Quindi ... un'analisi corretta è un po 'difficile a meno che tu non voglia fare un lavoro a tempo pieno. Sto riscontrando lo stesso problema anche su macchine di altre persone, quindi non può essere solo colpa mia, ma deve essere un problema generale di Windows Update (in particolare nuove installazioni di sistemi operativi precedenti).
Andreas Reiff,
7

ho trovato questa grande risposta qui e ha funzionato magnificamente per me. Voglio solo condividere nel caso qualcuno stia cercando:

Prova questo a un prompt dei comandi elevato:

netsh winhttp import proxy source=ie

e riavviare

un'altra soluzione che ha funzionato anche per me era impostare la modalità di aggiornamento su "Non controllare mai gli aggiornamenti"

avs099
fonte
Cosa fa questo?
GlennG,
0

Ho giocato con una VM del 2012 e ho avuto questo problema. La mia soluzione (rapida, insicura, ecc.) È stata quella di disabilitare la protezione avanzata IE sul server e ha iniziato felicemente a parlare con MS Windows Update. Non è una soluzione per un vero server, ma è un server di sviluppo giocattolo e io sono d'accordo.

Presumibilmente il sito di aggiornamento di Windows deve solo essere aggiunto ad alcuni siti attendibili da qualche parte per una vera soluzione?

marcus.greasly
fonte
0

La mia correzione su una nuova installazione su Windows Server 2012 R2 su Citrix 6.5 VM e, come pubblicato da Marcus Greasly, disabilita IE Enchanced Security ... ha funzionato immediatamente ...

Per disabilitare la protezione avanzata di IE in Windows Server 2012 R2, avviare Server Manager, sul lato sinistro fare clic su Server locale. Sul lato destro fare clic sul collegamento Attivo accanto a IE Enhanced Security Configuration. Ora vedrai la casella Configurazione sicurezza avanzata di Internet Explorer.

https://prajwaldesai.com/disable-ie-enhanced-security-in-windows-server-2012-r2/

Peter Matsumoto
fonte
0

Recentemente ho avuto gli stessi problemi sul mio Server 2012 e tutto quello che ho fatto è stato disabilitare il servizio Malwarebytes e gli aggiornamenti scaricati immediatamente. Prova a disabilitare qualsiasi malware o software antivirus che possiedi perché potrebbe essere la causa principale.

Rockit
fonte
0

Panoramica

Abbiamo riscontrato questo problema su alcuni server virtuali migrati da un provider "cloud" al nostro data center interno. La causa principale erano le autorizzazioni per la %SystemRoot%\System32\catroot2cartella. C'erano alcune differenze tra le autorizzazioni su quella cartella su un server integro rispetto a quelle sul server migrato. Credo che quello chiave fosse quello TrustedInstallerche non aveva full access.

Sintomi aggiuntivi

Guardando il registro dell'applicazione nel Visualizzatore eventi, abbiamo riscontrato una serie di errori:

Source: CAPI2
EventId: 257
Text: The Cryptographic Services service failed to initialize the Catalog Database. The ESENT error was: -1032.

Source: ESENT
EventId: 490
Text: Catalog Database (416) Catalog Database: An attempt to open the file "C:\Windows\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" for read / write access failed with system error 5 (0x00000005): "Access is denied. ".  The open file operation will fail with error -1032 (0xfffffbf8).

L'indizio è nel testo dell'errore ESENT; vale a dire problemi di autorizzazione durante l'accesso a un file nella cartella catroot2.

Risoluzione

Dai all'account Trusted Installer il pieno controllo della cartella catroot2 e dei suoi figli.

Nel caso in cui ciò non bastasse, per fare un confronto, l'esecuzione icacls %systemroot%\system32\catroot2su un server sano dà questo:

C:\Windows\system32\catroot2 NT SERVICE\CryptSvc:(F)
                         NT SERVICE\CryptSvc:(OI)(CI)(IO)(F)
                         NT SERVICE\TrustedInstaller:(I)(F)
                         NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
                         NT AUTHORITY\SYSTEM:(I)(F)
                         NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
                         BUILTIN\Administrators:(I)(F)
                         BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
                         BUILTIN\Users:(I)(RX)
                         BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
                         CREATOR OWNER:(I)(OI)(CI)(IO)(F)
                         APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
                         APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)

NB: per aggiungere Trusted Installer, dovrai cercare negli account dei computer locali nt service\trustedinstaller.

Dopo aver sostituito le autorizzazioni attivate catroot2, assicurarsi di fare clic sulla replace permissions on child objects & containerscasella di controllo per assicurarsi che anche le voci secondarie vengano risolte.

Nessun riavvio è necessario per la correzione stessa (anche se ovviamente, una volta che gli aggiornamenti ricominceranno a funzionare, probabilmente dovrai riavviare per quelli).

JohnLBevan
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.