¿Tras instalar la actualización 21H2 en Windows Server 2022, Windows Update se queda “al 100%” durante largos minutos u horas? Esta guía práctica te ayuda a desbloquear o acelerar el proceso con pasos graduales, comandos seguros y diagnóstico tanto para entornos con y sin WSUS.
Contexto y alcance
En Windows Server 2022, especialmente al aplicar 21H2 y acumulativas posteriores, es frecuente que el progreso de instalación muestre “100%” durante más de 30 minutos. En muchos casos no se trata de un bloqueo real, sino de la fase de commit y configuración del almacén de componentes (CBS) y del servicio de Windows Modules Installer. Otras veces sí hay cuellos de botella: disco saturado, caché corrupta, falta de espacio, políticas WSUS, o un agente de actualización desactualizado. A continuación encontrarás un procedimiento ordenado de menor a mayor intervención para resolverlo de forma segura.
Señales y síntomas frecuentes
- Progreso al “100%” durante 30–90 minutos sin mensajes adicionales.
- Actividad alta o sostenida de CPU y disco en TrustedInstaller.exe o TiWorker.exe.
- Reinicios que vuelven al mismo punto, o ciclos de “configurando actualizaciones”.
- Errores en el Visor de eventos bajo WindowsUpdateClient o CBS, o código genérico al buscar/instalar.
Cómo distinguir espera normal de bloqueo
Antes de intervenir, conviene distinguir si el servidor está trabajando de forma legítima o si está atascado. Esta tabla te orienta:
Indicador | Comportamiento normal | Posible bloqueo |
---|---|---|
CPU de TrustedInstaller/TiWorker | Intermitente 10–60% | 0% sostenido por >15 min sin I/O |
I/O de disco | Lectura/escritura sostenida | Sin actividad apreciable |
Registro CBS.log | Nuevas entradas cada pocos min | Sin nuevas entradas >15–20 min |
Tiempo total | Hasta 60–90 min aceptable en VM con I/O lento | >120 min sin cambios visibles |
Ruta de solución de menor a mayor intervención
Ejecuta cada bloque y prueba Windows Update antes de pasar al siguiente. Si el servidor es de producción, planifica una ventana, realiza copia/snapshot y utiliza consola remota de hardware si está disponible.
Verificaciones rápidas
- Confirma que no sea solo la fase de configuración. Si hay actividad de CPU/disco, espera 60–90 min.
- Revisa recursos: CPU, RAM y, sobre todo, I/O de disco. En entornos virtualizados, comprueba el datastore y la latencia.
- Comprueba conectividad y estabilidad de red. Si usas proxy o inspección TLS, anótalo para pasos posteriores.
- Verifica fecha y hora: desajustes de tiempo rompen TLS. Ejecuta:
w32tm /query /status w32tm /resync
Pausar y reanudar con reinicio intermedio
En Configuración > Actualización y seguridad > Windows Update, pausa 7 días, reinicia el servidor y reanuda. Este “borrón y cuenta nueva” reevalúa el estado interno de la cola de actualizaciones.
Limpiar la caché de Windows Update
Este es el corrector más efectivo cuando la descarga o la base de datos local está corrupta. Abre CMD como administrador y ejecuta:
net stop wuauserv
net stop bits
cd %systemroot%\SoftwareDistribution
del /f /s /q Download
del /f /s /q DataStore
net start wuauserv
net start bits
Alternativa PowerShell (por si lo prefieres):
Stop-Service wuauserv -Force
Stop-Service bits -Force
Remove-Item "$env:SystemRoot\SoftwareDistribution\Download\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "$env:SystemRoot\SoftwareDistribution\DataStore\*" -Recurse -Force -ErrorAction SilentlyContinue
Start-Service bits
Start-Service wuauserv
Opcional y más profundo: renombrar la carpeta completa y catroot2 (útil cuando hay errores de firma):
net stop wuauserv
net stop bits
net stop cryptsvc
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old
ren %systemroot%\System32\catroot2 catroot2.old
net start cryptsvc
net start bits
net start wuauserv
Usar el solucionador integrado
Ve a Configuración > Actualización y seguridad > Solucionar problemas > Solucionadores adicionales > Windows Update. Este asistente repara permisos, trabajos programados y estados inconsistentes comunes.
Comprobar el disco
Una instalación puede quedar en “100%” si el volumen del sistema presenta sectores reasignados o una NTFS colapsada. Lanza:
chkdsk /f /r
El análisis completo se ejecutará en el próximo reinicio. Evita apagar bruscamente el servidor si detectas errores de disco.
Instalar manualmente la actualización
Cuando el agente no logra componer la acumulativa, la instalación manual del paquete correcto suele destrabar el estado. Descarga el paquete adecuado para tu arquitectura y ediciones y ejecútalo localmente. Si solo tienes el archivo CAB o MSU, puedes aplicar por línea de comandos:
dism /online /add-package /packagepath:"C:\Ruta\Actualizacion.msu"
Si utilizas WSUS, sincroniza previamente y asegúrate de que el paquete esté aprobado para ese equipo o grupo.
Arranque limpio para descartar software de terceros
Servicios de antivirus/EDR, agentes de copia o inventario, y módulos de inspección SSL pueden interferir en Windows Update. Realiza un arranque limpio:
- Ejecuta
msconfig
> pestaña Servicios > marca Ocultar todos los servicios de Microsoft > Deshabilitar todos. - Pestaña Inicio > Abrir el Administrador de tareas > deshabilita los elementos de inicio.
- Reinicia y prueba Windows Update.
Revisar registros para acertar con el remedio
Los registros dicen exactamente qué falló. Enfócate en:
Origen | Ruta o canal | Qué buscar |
---|---|---|
WindowsUpdateClient | Visor de eventos > Aplicaciones y servicios > Microsoft > Windows > WindowsUpdateClient > Operational | Códigos de error al buscar/instalar, tiempos, reintentos. |
CBS | C:\Windows\Logs\CBS\CBS.log | Errores de Servicing, paquetes pendientes, componentes dañados. |
DISM | C:\Windows\Logs\DISM\dism.log | Detalles de reparación de imagen y aplicados. |
WindowsUpdate.log | Generar con PowerShell: Get-WindowsUpdateLog | Vista consolidada del motor de Windows Update. |
Mantener actualizado el componente de actualización
El agente de Windows Update y, cuando aplique, el Servicing Stack Update (SSU) deben estar presentes antes de la acumulativa. Instala primero el SSU más reciente y luego la acumulativa. Si dudas del estado, vuelve a intentar tras limpiar caché y reiniciar.
Reparaciones complementarias cuando persiste el problema
Si tras los pasos anteriores el servidor sigue lento o bloqueado, ejecuta estas reparaciones del sistema:
DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow
Estas utilidades verifican y restauran la integridad del almacén de componentes y reemplazan archivos del sistema dañados. Si DISM indica fuentes dañadas que no puede descargar, sospecha de proxy/inspección TLS o de WSUS que bloquea determinados features on demand.
Espacio libre, I/O y mantenimiento del almacén de componentes
- Asegura suficiente espacio en la unidad del sistema. Recomendación: más de 10–15 GB libres antes de aplicar acumulativas grandes.
- Libera espacio seguro con:
Dism.exe /Online /Cleanup-Image /StartComponentCleanup
Nota: evita/ResetBase
en servidores donde necesites desinstalar parches posteriormente. - Verifica que el volumen no esté al límite de IOPS. En VM, comprueba colas de disco en el hipervisor y evita almacenamiento sobrecargado durante ventanas de actualización.
Conectividad, proxy y pila de red
Muchos bloqueos se reducen a problemas de red: inspección HTTPS, certificados, o un proxy WinHTTP distinto al de usuario. Ejecuta estas comprobaciones:
netsh winhttp show proxy
netsh winhttp reset proxy
Si trabajas con proxy corporativo, configura la excepción temporal para endpoints de actualización y prueba sin inspección TLS para el servidor. También puedes restablecer la pila de sockets en casos de errores de conectividad persistente:
netsh winsock reset
ipconfig /flushdns
Entornos con WSUS
Para aislar si WSUS es el culpable, alterna temporalmente a Microsoft Update:
- Abre gpedit.msc en el servidor.
- Ve a Plantillas administrativas > Componentes de Windows > Windows Update.
- Deshabilita o pon en No configurada la directiva Especificar la ubicación del servicio de actualización de Microsoft en la intranet.
- Fuerza actualización de directivas:
gpupdate /force
. - Limpia caché de Windows Update y reinicia.
Si tras esto las actualizaciones fluyen, revisa en WSUS aprobaciones, idiomas innecesarios de productos, reglas de autoaprobación y caducados. Una base de datos WSUS fragmentada o sin mantenimiento también ralentiza clientes.
Virtualización, antivirus y controladores
- Antivirus/EDR: añade exclusiones para
C:\Windows\SoftwareDistribution
,C:\Windows\WinSxS
,C:\Windows\Logs
y procesos de TrustedInstaller/TiWorker. Durante la instalación, prueba con protección en modo pasivo o según políticas de la organización. - VMs: evita capturas instantáneas antiguas y latencias de disco altas. Asegura VM Tools/Guest Additions y controladores de almacenamiento actualizados.
- Controladores de red: drivers desactualizados provocan pérdidas de paquetes y renegociaciones. Actualiza NICs y desactiva un offloading problemático si detectas retransmisiones.
Acciones avanzadas para atascos de mantenimiento
Cuando el sistema queda con acciones pendientes o un paquete parcialmente aplicado, estas técnicas ayudan:
- Cancelar acciones pendientes: útil si hay un pending.xml problemático.
dism /image:C:\ /cleanup-image /revertpendingactions
Ejecuta desde Entorno de Recuperación si el sistema no arranca. Usar con cautela: revertirá instalaciones en curso. - Ejecutar limpieza de componentes programada:
schtasks /run /tn "\Microsoft\Windows\Servicing\StartComponentCleanup"
- Instalar CAB de SSU antes de la acumulativa: si tienes el CAB, aplícalo primero con
dism /online /add-package
y reinicia.
Guía detallada paso a paso recomendada
A continuación, las acciones prácticas ordenadas de lo más simple a lo más profundo. Ejecuta cada bloque y prueba Windows Update antes de continuar.
Verificaciones rápidas recomendadas
- Confirma que no sea solo “fase de configuración”: deja hasta 60–90 min si hay alta actividad de CPU/disco.
- Revisa recursos: CPU, RAM y, sobre todo, I/O del disco.
- Comprueba conectividad y estabilidad de red.
Pausar, reiniciar y reanudar
Desde Windows Update, pausa 7 días, reinicia y reanuda. Este ciclo reestablece estados y tareas en cola.
Limpiar caché y base local de Windows Update
net stop wuauserv
net stop bits
cd %systemroot%\SoftwareDistribution
del /f /s /q Download
del /f /s /q DataStore
net start wuauserv
net start bits
Solucionador de problemas
Ejecuta el solucionador de Windows Update desde Configuración.
Comprobar disco y corregir errores
chkdsk /f /r
Instalación manual del paquete
Descarga el paquete adecuado y aplícalo manualmente (MSU o CAB). Si procede, instala primero el SSU.
Arranque limpio para descartar interferencias
- Ejecuta
msconfig
y deshabilita servicios de terceros. - Deshabilita inicios en el Administrador de tareas.
- Reinicia y prueba.
Revisión de registros
Analiza WindowsUpdateClient, CBS y DISM para identificar el error exacto y aplicar el remedio específico.
Actualizar agente y pila de servicio
Asegúrate de tener el componente de actualización y SSU más recientes antes de la acumulativa.
Bloque de reparaciones adicionales
DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow
- Verifica espacio libre: objetivo >10–15 GB en la unidad del sistema.
- Si usas WSUS, comprueba políticas y conectividad con el servidor WSUS y prueba temporalmente con Microsoft Update para aislar el problema.
Buenas prácticas para futuras actualizaciones
- Planifica ventanas y realiza un snapshot o backup consistente antes de parches críticos.
- Mantén una política de mantenimiento del almacén de componentes con
StartComponentCleanup
programado. - Evita saturar almacenamiento compartido con múltiples servidores actualizando a la vez.
- Conserva actualizado tu antivirus/EDR y revisa exclusiones adecuadas.
- Estandariza controladores de NIC y almacenamiento.
- En WSUS, limpia metadatos y caducados con regularidad para acelerar la detección.
Preguntas frecuentes
¿Es “normal” esperar más de 30 minutos en 100%? Puede serlo si hay mucha actividad de CBS/TrustedInstaller y el servidor tiene I/O limitada, especialmente en VMs con almacenamiento compartido. Hasta 60–90 minutos puede considerarse aceptable antes de intervenir.
¿Forzar apagado ayuda? No. Interrumpe transacciones del almacén de componentes y puede provocar más corrupción y bucles de reparación. Si necesitas cortar, intenta primero un reinicio limpio con shutdown /r /t 0
.
¿Basta con borrar SoftwareDistribution? En la mayoría de casos, sí. Cuando hay daños más profundos, combina con renombrado de catroot2, DISM/SFC y, si aplica, reinstalación manual del SSU + acumulativa.
¿Cómo sé si WSUS es el problema? Si al desactivar temporalmente la directiva de WSUS y limpiar caché todo vuelve a fluir, revisa aprobaciones, idiomas y mantenimiento de la base WSUS.
¿Qué pasa si hay acciones pendientes tras un corte? Usa dism /cleanup-image /revertpendingactions
desde WinRE, entendiendo que revertirá paquetes en progreso.
Checklist final rápido
- Esperar hasta 60–90 min si hay actividad real de CPU/I/O.
- Revisar recursos y fecha/hora correctas.
- Pausar, reiniciar y reanudar Windows Update.
- Limpiar SoftwareDistribution y, si procede, catroot2.
- Ejecutar solucionador de Windows Update.
- Ejecutar
chkdsk /f /r
en el próximo arranque. - Instalar manualmente SSU y acumulativa.
- Arranque limpio para descartar terceros.
- Analizar WindowsUpdateClient, CBS, DISM y WindowsUpdate.log.
- Aplicar
DISM /RestoreHealth
ysfc /scannow
. - Comprobar espacio libre y rendimiento de I/O.
- Verificar proxy/WinHTTP y resetear si es necesario.
- Probar sin WSUS para aislar causa.
Resumen ejecutivo
Los bloqueos o la lentitud de Windows Update en Windows Server 2022 al aplicar 21H2 suelen resolverse limpiando la caché, asegurando SSU previo, comprobando disco y red, y, en entornos gestionados, aislando WSUS o el proxy. Con la secuencia de pasos de este artículo, o bien se completa la instalación, o bien se identifica el error preciso en registros para actuar puntualmente.
Con estas medidas, la mayoría de bloqueos/lentitud de Windows Update en Server 2022 se resuelven o, como mínimo, queda registrado el error específico para intervenir con precisión.