Windows Server 2022 21H2: Windows Update lento o bloqueado al 100% [Guía práctica y soluciones]

¿Tras instalar la actualización 21H2 en Windows Server 2022, Windows Update se queda “al 100%” durante largos minutos u horas? Esta guía práctica te ayuda a desbloquear o acelerar el proceso con pasos graduales, comandos seguros y diagnóstico tanto para entornos con y sin WSUS.

Índice

Contexto y alcance

En Windows Server 2022, especialmente al aplicar 21H2 y acumulativas posteriores, es frecuente que el progreso de instalación muestre “100%” durante más de 30 minutos. En muchos casos no se trata de un bloqueo real, sino de la fase de commit y configuración del almacén de componentes (CBS) y del servicio de Windows Modules Installer. Otras veces sí hay cuellos de botella: disco saturado, caché corrupta, falta de espacio, políticas WSUS, o un agente de actualización desactualizado. A continuación encontrarás un procedimiento ordenado de menor a mayor intervención para resolverlo de forma segura.

Señales y síntomas frecuentes

  • Progreso al “100%” durante 30–90 minutos sin mensajes adicionales.
  • Actividad alta o sostenida de CPU y disco en TrustedInstaller.exe o TiWorker.exe.
  • Reinicios que vuelven al mismo punto, o ciclos de “configurando actualizaciones”.
  • Errores en el Visor de eventos bajo WindowsUpdateClient o CBS, o código genérico al buscar/instalar.

Cómo distinguir espera normal de bloqueo

Antes de intervenir, conviene distinguir si el servidor está trabajando de forma legítima o si está atascado. Esta tabla te orienta:

IndicadorComportamiento normalPosible bloqueo
CPU de TrustedInstaller/TiWorkerIntermitente 10–60%0% sostenido por >15 min sin I/O
I/O de discoLectura/escritura sostenidaSin actividad apreciable
Registro CBS.logNuevas entradas cada pocos minSin nuevas entradas >15–20 min
Tiempo totalHasta 60–90 min aceptable en VM con I/O lento>120 min sin cambios visibles

Ruta de solución de menor a mayor intervención

Ejecuta cada bloque y prueba Windows Update antes de pasar al siguiente. Si el servidor es de producción, planifica una ventana, realiza copia/snapshot y utiliza consola remota de hardware si está disponible.

Verificaciones rápidas

  1. Confirma que no sea solo la fase de configuración. Si hay actividad de CPU/disco, espera 60–90 min.
  2. Revisa recursos: CPU, RAM y, sobre todo, I/O de disco. En entornos virtualizados, comprueba el datastore y la latencia.
  3. Comprueba conectividad y estabilidad de red. Si usas proxy o inspección TLS, anótalo para pasos posteriores.
  4. Verifica fecha y hora: desajustes de tiempo rompen TLS. Ejecuta: w32tm /query /status w32tm /resync

Pausar y reanudar con reinicio intermedio

En Configuración > Actualización y seguridad > Windows Update, pausa 7 días, reinicia el servidor y reanuda. Este “borrón y cuenta nueva” reevalúa el estado interno de la cola de actualizaciones.

Limpiar la caché de Windows Update

Este es el corrector más efectivo cuando la descarga o la base de datos local está corrupta. Abre CMD como administrador y ejecuta:

net stop wuauserv
net stop bits
cd %systemroot%\SoftwareDistribution
del /f /s /q Download
del /f /s /q DataStore
net start wuauserv
net start bits

Alternativa PowerShell (por si lo prefieres):

Stop-Service wuauserv -Force
Stop-Service bits -Force
Remove-Item "$env:SystemRoot\SoftwareDistribution\Download\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "$env:SystemRoot\SoftwareDistribution\DataStore\*" -Recurse -Force -ErrorAction SilentlyContinue
Start-Service bits
Start-Service wuauserv

Opcional y más profundo: renombrar la carpeta completa y catroot2 (útil cuando hay errores de firma):

net stop wuauserv
net stop bits
net stop cryptsvc
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old
ren %systemroot%\System32\catroot2 catroot2.old
net start cryptsvc
net start bits
net start wuauserv

Usar el solucionador integrado

Ve a Configuración > Actualización y seguridad > Solucionar problemas > Solucionadores adicionales > Windows Update. Este asistente repara permisos, trabajos programados y estados inconsistentes comunes.

Comprobar el disco

Una instalación puede quedar en “100%” si el volumen del sistema presenta sectores reasignados o una NTFS colapsada. Lanza:

chkdsk /f /r

El análisis completo se ejecutará en el próximo reinicio. Evita apagar bruscamente el servidor si detectas errores de disco.

Instalar manualmente la actualización

Cuando el agente no logra componer la acumulativa, la instalación manual del paquete correcto suele destrabar el estado. Descarga el paquete adecuado para tu arquitectura y ediciones y ejecútalo localmente. Si solo tienes el archivo CAB o MSU, puedes aplicar por línea de comandos:

dism /online /add-package /packagepath:"C:\Ruta\Actualizacion.msu"

Si utilizas WSUS, sincroniza previamente y asegúrate de que el paquete esté aprobado para ese equipo o grupo.

Arranque limpio para descartar software de terceros

Servicios de antivirus/EDR, agentes de copia o inventario, y módulos de inspección SSL pueden interferir en Windows Update. Realiza un arranque limpio:

  1. Ejecuta msconfig > pestaña Servicios > marca Ocultar todos los servicios de Microsoft > Deshabilitar todos.
  2. Pestaña Inicio > Abrir el Administrador de tareas > deshabilita los elementos de inicio.
  3. Reinicia y prueba Windows Update.

Revisar registros para acertar con el remedio

Los registros dicen exactamente qué falló. Enfócate en:

OrigenRuta o canalQué buscar
WindowsUpdateClientVisor de eventos > Aplicaciones y servicios > Microsoft > Windows > WindowsUpdateClient > OperationalCódigos de error al buscar/instalar, tiempos, reintentos.
CBSC:\Windows\Logs\CBS\CBS.logErrores de Servicing, paquetes pendientes, componentes dañados.
DISMC:\Windows\Logs\DISM\dism.logDetalles de reparación de imagen y aplicados.
WindowsUpdate.logGenerar con PowerShell: Get-WindowsUpdateLogVista consolidada del motor de Windows Update.

Mantener actualizado el componente de actualización

El agente de Windows Update y, cuando aplique, el Servicing Stack Update (SSU) deben estar presentes antes de la acumulativa. Instala primero el SSU más reciente y luego la acumulativa. Si dudas del estado, vuelve a intentar tras limpiar caché y reiniciar.

Reparaciones complementarias cuando persiste el problema

Si tras los pasos anteriores el servidor sigue lento o bloqueado, ejecuta estas reparaciones del sistema:

DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow

Estas utilidades verifican y restauran la integridad del almacén de componentes y reemplazan archivos del sistema dañados. Si DISM indica fuentes dañadas que no puede descargar, sospecha de proxy/inspección TLS o de WSUS que bloquea determinados features on demand.

Espacio libre, I/O y mantenimiento del almacén de componentes

  • Asegura suficiente espacio en la unidad del sistema. Recomendación: más de 10–15 GB libres antes de aplicar acumulativas grandes.
  • Libera espacio seguro con: Dism.exe /Online /Cleanup-Image /StartComponentCleanup Nota: evita /ResetBase en servidores donde necesites desinstalar parches posteriormente.
  • Verifica que el volumen no esté al límite de IOPS. En VM, comprueba colas de disco en el hipervisor y evita almacenamiento sobrecargado durante ventanas de actualización.

Conectividad, proxy y pila de red

Muchos bloqueos se reducen a problemas de red: inspección HTTPS, certificados, o un proxy WinHTTP distinto al de usuario. Ejecuta estas comprobaciones:

netsh winhttp show proxy
netsh winhttp reset proxy

Si trabajas con proxy corporativo, configura la excepción temporal para endpoints de actualización y prueba sin inspección TLS para el servidor. También puedes restablecer la pila de sockets en casos de errores de conectividad persistente:

netsh winsock reset
ipconfig /flushdns

Entornos con WSUS

Para aislar si WSUS es el culpable, alterna temporalmente a Microsoft Update:

  1. Abre gpedit.msc en el servidor.
  2. Ve a Plantillas administrativas > Componentes de Windows > Windows Update.
  3. Deshabilita o pon en No configurada la directiva Especificar la ubicación del servicio de actualización de Microsoft en la intranet.
  4. Fuerza actualización de directivas: gpupdate /force.
  5. Limpia caché de Windows Update y reinicia.

Si tras esto las actualizaciones fluyen, revisa en WSUS aprobaciones, idiomas innecesarios de productos, reglas de autoaprobación y caducados. Una base de datos WSUS fragmentada o sin mantenimiento también ralentiza clientes.

Virtualización, antivirus y controladores

  • Antivirus/EDR: añade exclusiones para C:\Windows\SoftwareDistribution, C:\Windows\WinSxS, C:\Windows\Logs y procesos de TrustedInstaller/TiWorker. Durante la instalación, prueba con protección en modo pasivo o según políticas de la organización.
  • VMs: evita capturas instantáneas antiguas y latencias de disco altas. Asegura VM Tools/Guest Additions y controladores de almacenamiento actualizados.
  • Controladores de red: drivers desactualizados provocan pérdidas de paquetes y renegociaciones. Actualiza NICs y desactiva un offloading problemático si detectas retransmisiones.

Acciones avanzadas para atascos de mantenimiento

Cuando el sistema queda con acciones pendientes o un paquete parcialmente aplicado, estas técnicas ayudan:

  • Cancelar acciones pendientes: útil si hay un pending.xml problemático. dism /image:C:\ /cleanup-image /revertpendingactions Ejecuta desde Entorno de Recuperación si el sistema no arranca. Usar con cautela: revertirá instalaciones en curso.
  • Ejecutar limpieza de componentes programada: schtasks /run /tn "\Microsoft\Windows\Servicing\StartComponentCleanup"
  • Instalar CAB de SSU antes de la acumulativa: si tienes el CAB, aplícalo primero con dism /online /add-package y reinicia.

Guía detallada paso a paso recomendada

A continuación, las acciones prácticas ordenadas de lo más simple a lo más profundo. Ejecuta cada bloque y prueba Windows Update antes de continuar.

Verificaciones rápidas recomendadas

  • Confirma que no sea solo “fase de configuración”: deja hasta 60–90 min si hay alta actividad de CPU/disco.
  • Revisa recursos: CPU, RAM y, sobre todo, I/O del disco.
  • Comprueba conectividad y estabilidad de red.

Pausar, reiniciar y reanudar

Desde Windows Update, pausa 7 días, reinicia y reanuda. Este ciclo reestablece estados y tareas en cola.

Limpiar caché y base local de Windows Update

net stop wuauserv
net stop bits
cd %systemroot%\SoftwareDistribution
del /f /s /q Download
del /f /s /q DataStore
net start wuauserv
net start bits

Solucionador de problemas

Ejecuta el solucionador de Windows Update desde Configuración.

Comprobar disco y corregir errores

chkdsk /f /r

Instalación manual del paquete

Descarga el paquete adecuado y aplícalo manualmente (MSU o CAB). Si procede, instala primero el SSU.

Arranque limpio para descartar interferencias

  1. Ejecuta msconfig y deshabilita servicios de terceros.
  2. Deshabilita inicios en el Administrador de tareas.
  3. Reinicia y prueba.

Revisión de registros

Analiza WindowsUpdateClient, CBS y DISM para identificar el error exacto y aplicar el remedio específico.

Actualizar agente y pila de servicio

Asegúrate de tener el componente de actualización y SSU más recientes antes de la acumulativa.

Bloque de reparaciones adicionales

DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow
  • Verifica espacio libre: objetivo >10–15 GB en la unidad del sistema.
  • Si usas WSUS, comprueba políticas y conectividad con el servidor WSUS y prueba temporalmente con Microsoft Update para aislar el problema.

Buenas prácticas para futuras actualizaciones

  • Planifica ventanas y realiza un snapshot o backup consistente antes de parches críticos.
  • Mantén una política de mantenimiento del almacén de componentes con StartComponentCleanup programado.
  • Evita saturar almacenamiento compartido con múltiples servidores actualizando a la vez.
  • Conserva actualizado tu antivirus/EDR y revisa exclusiones adecuadas.
  • Estandariza controladores de NIC y almacenamiento.
  • En WSUS, limpia metadatos y caducados con regularidad para acelerar la detección.

Preguntas frecuentes

¿Es “normal” esperar más de 30 minutos en 100%? Puede serlo si hay mucha actividad de CBS/TrustedInstaller y el servidor tiene I/O limitada, especialmente en VMs con almacenamiento compartido. Hasta 60–90 minutos puede considerarse aceptable antes de intervenir.

¿Forzar apagado ayuda? No. Interrumpe transacciones del almacén de componentes y puede provocar más corrupción y bucles de reparación. Si necesitas cortar, intenta primero un reinicio limpio con shutdown /r /t 0.

¿Basta con borrar SoftwareDistribution? En la mayoría de casos, sí. Cuando hay daños más profundos, combina con renombrado de catroot2, DISM/SFC y, si aplica, reinstalación manual del SSU + acumulativa.

¿Cómo sé si WSUS es el problema? Si al desactivar temporalmente la directiva de WSUS y limpiar caché todo vuelve a fluir, revisa aprobaciones, idiomas y mantenimiento de la base WSUS.

¿Qué pasa si hay acciones pendientes tras un corte? Usa dism /cleanup-image /revertpendingactions desde WinRE, entendiendo que revertirá paquetes en progreso.

Checklist final rápido

  • Esperar hasta 60–90 min si hay actividad real de CPU/I/O.
  • Revisar recursos y fecha/hora correctas.
  • Pausar, reiniciar y reanudar Windows Update.
  • Limpiar SoftwareDistribution y, si procede, catroot2.
  • Ejecutar solucionador de Windows Update.
  • Ejecutar chkdsk /f /r en el próximo arranque.
  • Instalar manualmente SSU y acumulativa.
  • Arranque limpio para descartar terceros.
  • Analizar WindowsUpdateClient, CBS, DISM y WindowsUpdate.log.
  • Aplicar DISM /RestoreHealth y sfc /scannow.
  • Comprobar espacio libre y rendimiento de I/O.
  • Verificar proxy/WinHTTP y resetear si es necesario.
  • Probar sin WSUS para aislar causa.

Resumen ejecutivo

Los bloqueos o la lentitud de Windows Update en Windows Server 2022 al aplicar 21H2 suelen resolverse limpiando la caché, asegurando SSU previo, comprobando disco y red, y, en entornos gestionados, aislando WSUS o el proxy. Con la secuencia de pasos de este artículo, o bien se completa la instalación, o bien se identifica el error preciso en registros para actuar puntualmente.

Con estas medidas, la mayoría de bloqueos/lentitud de Windows Update en Server 2022 se resuelven o, como mínimo, queda registrado el error específico para intervenir con precisión.

Índice