web-dev-qa-db-fra.com

Windows Update ne fonctionne pas sur Windows 2012 R2 Standard

J'ai récemment hérité de la gestion d'un serveur Windows 2012 sur un site distant.

J'ai vérifié Windows Update et il n'a pas été mis à jour depuis mars. Lorsque je dis à Windows de vérifier les mises à jour, cela agit comme s'il vérifiait, mais il semble que cela dure des heures. Si j'essaie de redémarrer le service de mise à jour de Windows, il semble qu'il ne pourra jamais s'arrêter. Mon seul remède semble être le redémarrage pour revenir au point où je peux dire à Windows Update de vérifier les nouvelles mises à jour.

La dernière vérification réussie des mises à jour indique le 20 mars.

La dernière fois que les mises à jour ont été installées, le 17 mars (échec).

L'historique des mises à jour montre qu'une mise à jour a échoué le 17 mars, une mise à jour du pilote d'imprimante, mais l'historique affiche 13 mises à jour ayant échoué le 17 février.

Je ne sais pas quoi d'autre à essayer.

windows-server-2012windows-server-2012-r2wsuswindows-update
18
Scot

Deux de mes trois machines 2012R2 ont présenté ce comportement en avril dernier. Ils se bloqueraient à la recherche de mises à jour ... pour toujours.

Je n'ai jamais appris exactement ce qui a causé le problème, mais je l'ai résolu en procédant comme suit:

  1. Arrêtez le service Windows Update.

    net stop wuauserv

  2. Supprimez le répertoire du cache de Windows Update C:\Windows\SoftwareDistribution.

    Remove-Item -Recurse -Force C:\Windows\SoftwareDistribution

  3. Redémarrer le PC. (Sur une machine, il a fallu plusieurs redémarrages pour que tout soit supprimé de ce répertoire, alors essayez si nécessaire.)

  4. Exécutez à nouveau Windows Update manuellement. Il échouera presque instantanément et proposera d'exécuter un outil de diagnostic. Téléchargez l'outil et laissez-le s'exécuter.

  5. L'outil détectera et résoudra certains problèmes. À ce stade, réexécutez manuellement Windows Update. Windows Update a bien fonctionné à ce stade.

20
Michael Hampton

j'ai trouvé cette excellente réponse ici et cela a fonctionné à merveille pour moi. Je veux juste partager au cas où quelqu'un chercherait:

Essayez ceci à une invite de commande élevée:

netsh winhttp import proxy source=ie

et redémarrer

une autre solution qui a également fonctionné pour moi a été de définir le mode de mise à jour sur "Ne jamais vérifier les mises à jour"

7
avs099

Présentation

Nous avons rencontré ce problème sur certains serveurs virtuels migrés d'un fournisseur "cloud" vers notre centre de données interne. La cause principale était les autorisations sur le %SystemRoot%\System32\catroot2 dossier. Il y avait un certain nombre de différences entre les autorisations sur ce dossier sur un serveur sain et celles sur le serveur migré. Je crois que la clé était que TrustedInstaller n'avait pas full access.

Symptômes supplémentaires

En regardant le journal des applications dans l'Observateur d'événements, nous avons vu un certain nombre d'erreurs:

Source: CAPI2
EventId: 257
Text: The Cryptographic Services service failed to initialize the Catalog Database. The ESENT error was: -1032.

Source: ESENT
EventId: 490
Text: Catalog Database (416) Catalog Database: An attempt to open the file "C:\Windows\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" for read / write access failed with system error 5 (0x00000005): "Access is denied. ".  The open file operation will fail with error -1032 (0xfffffbf8).

L'indice se trouve dans le texte de l'erreur ESENT; c'est-à-dire un problème d'autorisations d'accès à un fichier sous le dossier catroot2.

Résolution

Donnez au compte Trusted Installer le contrôle total sur le dossier catroot2 et ses enfants.

Au cas où cela ne suffirait pas, à titre de comparaison, exécuter icacls %systemroot%\system32\catroot2 sur un serveur sain donne ceci:

C:\Windows\system32\catroot2 NT SERVICE\CryptSvc:(F)
                         NT SERVICE\CryptSvc:(OI)(CI)(IO)(F)
                         NT SERVICE\TrustedInstaller:(I)(F)
                         NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
                         NT AUTHORITY\SYSTEM:(I)(F)
                         NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
                         BUILTIN\Administrators:(I)(F)
                         BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
                         BUILTIN\Users:(I)(RX)
                         BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
                         CREATOR OWNER:(I)(OI)(CI)(IO)(F)
                         APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
                         APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)

NB: Pour ajouter Trusted Installer, vous devrez rechercher sur les comptes de l'ordinateur local pour nt service\trustedinstaller.

Après avoir remplacé les autorisations sur catroot2, assurez-vous de cliquer sur replace permissions on child objects & containers case à cocher pour garantir que les autorisations des enfants sont également résolues.

Aucun redémarrage n'est nécessaire pour le correctif lui-même (bien évidemment, une fois que les mises à jour recommenceront à fonctionner, vous devrez probablement redémarrer pour celles-ci).

0
JohnLBevan

Mon correctif sur une VM nouvellement installée sur Windows Server 2012 R2 sur Citrix 6.5, et comme Marcus Greasly l'a posté, désactivez IE Sécurité renforcée ... a fonctionné immédiatement ...

Pour désactiver IE sécurité renforcée dans Windows Server 2012 R2, lancez le Gestionnaire de serveur, sur le côté gauche, cliquez sur Serveur local. Sur le côté droit, cliquez sur le lien Sur à côté de IE Configuration de sécurité renforcée. Vous verrez maintenant la zone Configuration de sécurité renforcée d'Internet Explorer.

https://prajwaldesai.com/disable-ie-enhanced-security-in-windows-server-2012-r2/

0
Peter Matsumoto

J'ai utilisé l'outil de préparation de mise à jour du système et DISM. Ça a marché pour moi. Vous pouvez l'obtenir ici: http://support.Microsoft.com/kB/947821

0
Greg Olson

J'ai récemment rencontré les mêmes problèmes sur mon serveur 2012 et tout ce que j'ai fait a été de désactiver le service Malwarebytes et les mises à jour téléchargées immédiatement. Essayez de désactiver tout logiciel malveillant ou antivirus dont vous disposez, car cela pourrait être la cause de la racine.

0
rockit

J'ai joué avec un 2012 VM et j'ai eu ce problème. Ma solution (rapide, non sécurisée, etc.) était de désactiver le IE Amélioration de la sécurité sur le serveur et il a heureusement commencé à parler à MS Windows Update. Pas une solution pour un vrai serveur, mais c'est un serveur de développement jouet et je suis d'accord avec ça.

Vraisemblablement, le site de mise à jour Windows doit simplement être ajouté à certains sites de confiance quelque part pour une vraie solution?

0
marcus.greasly