Windows Update funktioniert nicht unter Windows 2012 R2 Standard

18

Ich habe kürzlich die Verwaltung eines Windows 2012-Servers an einem Remotestandort geerbt.

Ich habe Windows Update überprüft und es wurde seit März nicht aktualisiert. Wenn ich Windows sage, dass es nach Updates suchen soll, verhält es sich so, als würde es nach Updates suchen, aber das scheint stundenlang zu sein. Wenn ich versuche, den Windows Update-Dienst neu zu starten, kann er anscheinend nie heruntergefahren werden. Mein einziges Mittel scheint ein Neustart zu sein, um zu dem Punkt zurückzukehren, an dem ich Windows Update anweisen kann, nach neuen Updates zu suchen.

Die letzte erfolgreiche Überprüfung auf Updates zeigt den 20. März an.

Das letzte Mal, als Updates installiert wurden, war der 17. März (fehlgeschlagen).

Der Updateverlauf zeigt, dass ein Update für den 17. März, ein Druckertreiber-Update, fehlgeschlagen ist, der Verlauf zeigt jedoch 13 fehlgeschlagene Updates für den 17. Februar.

Ich weiß nicht, was ich sonst noch versuchen soll.

windows-server-2012  windows-server-2012-r2  wsus  windows-update 
Schotte
quelle
Ruft es die Updates direkt von Microsoft, WSUS oder SCCM ab?
Davidw
1
Direkt von Microsoft.
Scot
Beenden Sie wuauserv (Windows Update Service), löschen Sie \ Windows \ WindowsUpdate.log, starten Sie den Dienst, suchen Sie nach Updates und überprüfen Sie WindowsUpdate.log. (Es neigt dazu, schnell zu wachsen, daher ist es einfacher, es vor dem Lesen aufzuräumen.)
Somescout
1
Was ist der genaue Fehler in \ Windows \ WindowsUpdate.log? Fehlercodes finden Sie unter support.microsoft.com/kb/938205
xXhRQ8sD2L7Z
Es wird hier beantwortet: serverfault.com/a/830047/398329 Ich fand es hilfreich.
Niveshsaharan

Antworten:

20

Zwei meiner drei 2012R2-Maschinen zeigten im vergangenen April dieses Verhalten. Sie hingen für immer bei der Suche nach Updates.

Ich habe nie genau erfahren, was das Problem verursacht hat, aber ich habe es folgendermaßen gelöst:

  1. Beenden Sie den Windows Update-Dienst.

    net stop wuauserv

  2. Löschen Sie das Windows Update-Cache-Verzeichnis C:\Windows\SoftwareDistribution.

    Remove-Item -Recurse -Force C:\Windows\SoftwareDistribution

  3. Starte den Computer neu. (Auf einem Computer waren mehrere Neustarts erforderlich, um tatsächlich alles aus diesem Verzeichnis zu löschen. Versuchen Sie es also bei Bedarf erneut.)

  4. Führen Sie Windows Update erneut manuell aus. Es wird fast sofort fehlschlagen und die Ausführung eines Diagnosetools anbieten. Laden Sie das Tool herunter und lassen Sie es laufen.

  5. Das Tool findet und behebt einige Probleme. Führen Sie zu diesem Zeitpunkt Windows Update erneut manuell aus. Windows Update funktionierte zu diesem Zeitpunkt einwandfrei.

Michael Hampton
quelle
3
Ich bin zu Schritt 4 gekommen, aber es ist nicht sofort fehlgeschlagen oder ich habe angeboten, ein Diagnosetool auszuführen. Es läuft einfach weiter, während der Fortschrittsbalken immer wieder wechselt und keine Aktualisierungen erhält.
Scot
1
Probieren Sie zu diesem Zeitpunkt das verknüpfte Windows Update-Diagnosetool aus, unabhängig davon, ob es von Windows angeboten wird oder nicht.
Michael Hampton
6
@MichalSokolowski "Auf einem ordnungsgemäß funktionierenden System gibt es KEINEN Grund, warum dieser Ordner jemals berührt werden muss." In der Tat, aber wir diskutieren hier nicht richtig funktionierende Systeme.
Michael Hampton
1
Ich wollte hier etwas anderes unterstreichen; Das Zerstören des Patch-Verlaufs von Windows Update Agent ist eine schlechte Idee, da es nach dem Löschen die Fähigkeit verliert, festzustellen, was gepatcht wurde und was nicht. Zusammenfassend lässt sich sagen: 1) Das Löschen der Softwareverteilung sollte als letzter Ausweg behandelt werden, bevor die Box neu formatiert wird. 2) Dem Löschen muss eine ordnungsgemäße Diagnose vorausgehen - z. B. fehlerhafter DataStore.EDB, desynchronisierter DataStore.EDB und Download-Ordner - diese sind am häufigsten. Das Löschen von DataStore \ Logs-Inhalten zerstört den Patch-Verlauf.
Michal Sokolowski
1
@MichalSokolowski Du hast wahrscheinlich recht. Trotzdem - auf jedem meiner Systeme, Windows 2k3, 2012, 2012R2, 7, 8, 8.1 (noch nicht 10), hatte ich das gleiche Problem. Eine richtige Analyse ist also etwas schwierig, es sei denn, Sie möchten einen Vollzeitjob daraus machen. Ich habe das gleiche Problem auch auf den Rechnern anderer, daher kann es nicht nur meine Schuld sein, sondern es muss sich um ein allgemeines Windows Update-Problem handeln (insbesondere bei Neuinstallationen älterer Betriebssysteme).
Andreas Reiff
7

Ich fand diese großartige Antwort hier und es hat wunderbar für mich funktioniert. Ich möchte nur mitteilen, ob jemand sucht:

Versuchen Sie dies an einer Eingabeaufforderung mit erhöhten Rechten:

netsh winhttp import proxy source=ie

und neu starten

Eine andere Lösung, die auch für mich funktionierte, war, den Update-Modus auf "Niemals nach Updates suchen" zu setzen.

avs099
quelle
Was macht das?
GlennG
0

Ich habe 2012 mit einer VM rumgespielt und hatte dieses Problem. Meine Lösung (schnell, unsicher usw. usw.) bestand darin, die IE Enhanced-Sicherheit auf dem Server zu deaktivieren, und sie begann glücklich, mit MS Windows Update zu kommunizieren. Keine Lösung für einen echten Server, aber es ist ein Spielzeug-Entwickler-Server und ich bin damit einverstanden.

Vermutlich muss die Windows Update-Site nur zu vertrauenswürdigen Sites hinzugefügt werden, um eine echte Lösung zu finden.

marcus.greasly
quelle
0

Mein Fix für eine neu auf Windows Server 2012 R2 unter Citrix 6.5 installierte VM und die Deaktivierung von IE Enchanced Security, wie Marcus Greasly mitteilte, funktionierten sofort ...

Starten Sie zum Deaktivieren der erweiterten IE-Sicherheit in Windows Server 2012 R2 den Server-Manager. Klicken Sie auf der linken Seite auf Lokaler Server. Klicken Sie auf der rechten Seite auf den Link On neben IE Enhanced Security Configuration. Sie sehen nun das Feld Erweiterte Sicherheitskonfiguration für Internet Explorer.

https://prajwaldesai.com/disable-ie-enhanced-security-in-windows-server-2012-r2/

Peter Matsumoto
quelle
0

Ich habe in letzter Zeit die gleichen Probleme auf meinem Server 2012 und alles, was ich getan habe, war, den Malwarebytes-Dienst und heruntergeladene Updates sofort zu deaktivieren. Deaktivieren Sie eventuell vorhandene Malware oder Antivirensoftware, da dies die Ursache sein könnte.

Rocke es
quelle
0

Überblick

Wir hatten dieses Problem auf einigen virtuellen Servern, die von einem "Cloud" -Anbieter zurück in unser internes Rechenzentrum migriert wurden. Die Hauptursache waren Berechtigungen für den %SystemRoot%\System32\catroot2Ordner. Es gab eine Reihe von Unterschieden zwischen den Berechtigungen für diesen Ordner auf einem fehlerfreien Server und denen auf dem migrierten Server. Ich glaube, der Schlüssel war dasTrustedInstaller es keinen gabfull access .

Zusätzliche Symptome

Beim Betrachten des Anwendungsprotokolls in der Ereignisanzeige wurde eine Reihe von Fehlern festgestellt:

Source: CAPI2
EventId: 257
Text: The Cryptographic Services service failed to initialize the Catalog Database. The ESENT error was: -1032.

Source: ESENT
EventId: 490
Text: Catalog Database (416) Catalog Database: An attempt to open the file "C:\Windows\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" for read / write access failed with system error 5 (0x00000005): "Access is denied. ".  The open file operation will fail with error -1032 (0xfffffbf8).

Der Hinweis befindet sich im Text des ESENT-Fehlers. Das heißt, Berechtigungen geben den Zugriff auf eine Datei im catroot2-Ordner aus.

Auflösung

Geben Sie dem Trusted Installer-Konto die vollständige Kontrolle über den Ordner catroot2 und seine untergeordneten Elemente.

Für den Fall, dass dies zum Vergleich nicht ausreicht, lautet die Aussage icacls %systemroot%\system32\catroot2auf einem fehlerfreien Server wie folgt:

C:\Windows\system32\catroot2 NT SERVICE\CryptSvc:(F)
                         NT SERVICE\CryptSvc:(OI)(CI)(IO)(F)
                         NT SERVICE\TrustedInstaller:(I)(F)
                         NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
                         NT AUTHORITY\SYSTEM:(I)(F)
                         NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
                         BUILTIN\Administrators:(I)(F)
                         BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
                         BUILTIN\Users:(I)(RX)
                         BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
                         CREATOR OWNER:(I)(OI)(CI)(IO)(F)
                         APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
                         APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)

Hinweis: Um Trusted Installer hinzuzufügen, müssen Sie die lokalen Computerkonten nach durchsuchen nt service\trustedinstaller.

catroot2Stellen Sie nach dem Ersetzen von Berechtigungen für sicher, dass Sie das replace permissions on child objects & containersKontrollkästchen aktivieren, um sicherzustellen, dass die Berechtigungen untergeordneter Elemente ebenfalls aufgelöst werden.

Für den Fix selbst ist kein Neustart erforderlich (obwohl Sie wahrscheinlich einen Neustart durchführen müssen, sobald die Updates wieder funktionieren).

JohnLBevan
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.