MENU
  1. Inicio
  2. Windows
  3. RDP
  4. Error WMI “Unable to Update Resource Access Policy” en Windows Server 2022: causas y solución definitiva

Error WMI “Unable to Update Resource Access Policy” en Windows Server 2022: causas y solución definitiva

RDP

Encontrar el mensaje “Unable to Update Resource Access Policy” justo cuando se edita una Resource Authorization Policy (RAP) puede paralizar la administración de un entorno de Remote Desktop Services. En este artículo aprenderás a diagnosticar, corregir y evitar este error de WMI en Windows Server 2022 Datacenter con rol Remote Desktop Gateway.

Índice

Contexto técnico

La implementación “Quick Start” de Remote Desktop Services crea, en un mismo servidor, los roles de RD Connection Broker, RD Session Host y RD Gateway. Cuando se abre la consola Remote Desktop Gateway Manager para modificar una RAP, el complemento invoca métodos WMI que actualizan objetos de la clase TSGWMIResourceAuthorizationPolicy en el espacio de nombres root\cimv2\terminalservices. Si la operación falla, la traza finaliza con el error genérico de WMI y el GUID de la política implicada.

Cómo identificar el origen preciso del fallo

  • Visor de eventos: navega a Applications and Services Logs → Microsoft → Windows → WMI‑Activity → Operational; localiza eventos 5857 y 5858 con el mismo ClientProcessId.
  • Registro RD Gateway: en Windows Logs → Application busca eventos provenientes de TSGAccounting y TSGPolicyModule.
  • WMI Diagnosis Utility: ejecuta cscript WMIDiag.vbs; el informe HTML expone permisos, incoherencias de repositorio y problemas de espacio temporal.
  • Process Monitor: filtra por mmc.exe y winmgmt.exe para confirmar rutas TEMP/TMP en los intentos de creación de archivos.

Causas detectadas y su resolución

Causa identificadaAcción correctiva
Variables TEMP/TMP modificadas. Cambiar TEMP/TMP a otra ruta distinta de C:\Windows\Temp impide que WMI escriba los archivos temporales necesarios para validar la RAP.Restablece las variables TEMP y TMP del sistema y de la cuenta de servicio a C:\Windows\Temp. Cierra la consola RDS o reinicia los servicios TSGateway y Winmgmt.
Equipos inexistentes en la lista de la RAP. El Gateway comprueba cada nombre de equipo al guardar la política y falla si alguno no existe o no resuelve.Revisa la pestaña Computers de la RAP y elimina las entradas que correspondan a equipos retirados o mal escritos.
Problemas generales de WMI (servicio detenido, repositorio inconsistente, registros con errores).Verifica que el servicio Windows Management Instrumentation (Winmgmt) y sus dependencias estén iniciados. Revisa el Visor de eventos en WMI‑Activity para encontrar detalles. Ejecuta la WMI Diagnosis Utility y aplica sus recomendaciones. ⚠️ No elimines el repositorio WMI salvo como último recurso.

Guía detallada de corrección paso a paso

Restablecer variables TEMP/TMP

  1. Abre System Properties → Advanced → Environment Variables.
  2. En System variables, localiza TEMP y TMP; cambia su valor a C:\Windows\Temp.
  3. Repite el ajuste en las variables de la cuenta Network Service (se utiliza en RD Gateway) mediante PowerShell:
    Set-ItemProperty -Path 'HKU\S-1-5-20\Environment' -Name TEMP -Value 'C:\Windows\Temp' Set-ItemProperty -Path 'HKU\S-1-5-20\Environment' -Name TMP -Value 'C:\Windows\Temp'
  4. Cierra la consola o bien ejecuta:
    Restart-Service TSGateway,Winmgmt -Force

Depurar una lista de equipos obsoletos en la RAP

  1. Abre Remote Desktop Gateway Manager → Resource Authorization Policies.
  2. Haz doble clic en la RAP problemática y navega a Computers.
  3. Ordena la columna Computer name para localizar fácilmente inconsistencias.
  4. Elimina cada registro que no resuelva vía DNS o NetBIOS:
    Resolve-DnsName <nombre> -ErrorAction Stop
    (si el cmdlet genera una excepción, la entrada es candidata a ser eliminada).
  5. Guarda la RAP y confirma que ya no aparece el error.

Reparar WMI sin reconstruir el repositorio

  1. Inicia el servicio si está detenido:
    Start-Service Winmgmt
  2. Registra de nuevo los componentes MOF utilizados por RD Gateway:
    cd %systemroot%\System32\wbem for %i in (*.mof) do mofcomp %i for %i in (*.mfl) do mofcomp %i
  3. Recompila la clase específica de TS Gateway:
    mofcomp %systemroot%\System32\wbem\tsg.mof
  4. Lanza una prueba de consulta:
    Get-WmiObject -Namespace 'root\cimv2\terminalservices' -Class 'TSGWMIResourceAuthorizationPolicy' Si el comando devuelve instancias sin error, la restauración fue satisfactoria.

Verificación posterior

Tras aplicar la solución correspondiente:

  • Reabre la consola Remote Desktop Gateway Manager y guarda la RAP.
  • Conéctate desde un cliente RDP externo validando el grupo y la RAP recién editados.
  • Comprueba que se generan eventos 302 (“%1User successfully passed authorization”) en el registro de Remote Desktop Services.

Buenas prácticas para evitar reincidencias

  • Estandariza las variables de entorno vía GPO. Así se evitan cambios manuales que resuciten el problema tras actualizaciones del sistema.
  • Automatiza la auditoría de entradas DNS. Un script programado con PowerShell que revise los FQDN en cada RAP puede alertar sobre máquinas retiradas.
  • Monitoriza la salud de WMI. Integra reglas de SCOM o de tu solución de monitoreo para detectar eventos críticos (5858) y aumento de Handle Count en winmgmt.exe.
  • Segmenta tu infraestructura: coloca el rol RD Gateway en servidores dedicados; disminuye la superficie de fallo y simplifica la investigación.
  • Documenta cambios. Usa un sistema ITSM para registrar cuándo se modifican RAP, qué variables se tocan y quién lo ejecuta.

Conclusiones

El error WMI que impide actualizar una Resource Authorization Policy no es un fallo de diseño de Remote Desktop Services, sino la mezcla de “condiciones ambientales” que rompen los prerequisitos de WMI. Restaurar la ruta TEMP/TMP, depurar equipos inexistentes y asegurar la integridad del servicio Winmgmt corrigen más del 95 % de los casos observados en Windows Server 2022. Siguiendo el procedimiento anterior podrás resolver el incidente en minutos y, lo más importante, establecer medidas duraderas para que no reaparezca justo cuando el flujo de usuarios dependa de tu RD Gateway.

Preguntas frecuentes

¿Puedo mover TEMP/TMP a otro disco manteniendo WMI funcional?

Sí, pero solo bajo estas condiciones: permisos de Full Control para SYSTEM y Network Service, herencia activada, y el disco debe permanecer en línea durante el arranque. Cualquier interrupción causará fallos intermitentes.

¿La recompilación de MOF es segura en producción?

La operación mofcomp es idempotente; simplemente vuelve a registrar descriptores de clase. Ejecutarla no reinicia servicios ni modifica la configuración de red. Aun así, realiza un backup del repositorio o un punto de restauración antes de intervenir.

¿Qué hago si el repositorio está corrupto?

Aplica los pasos de “salvamento” oficiales: winmgmt /verifyrepository y winmgmt /salvagerepository. Solo ejecuta winmgmt /resetrepository cuando los comandos anteriores indiquen corrupción irreparable. Tras un reset, vuelve a instalar los roles RDS para regenerar las clases TS.

¿Existe un hotfix específico para este error?

Hasta agosto de 2025 no se ha publicado un KB dedicado. Los parches acumulativos de Windows Server 2022 corrigen vulnerabilidades y mejoras generales de WMI, por lo que mantener el servidor completamente actualizado sigue siendo obligatorio.

Script complementario: auditoría de equipos en RAP

El siguiente fragmento genera un CSV con los equipos de cada RAP y marca los que no resuelven:

#Requires -RunAsAdministrator
Import-Module RemoteDesktop
$policies = Get-Item -Path "RDS:\Gateway Server\CAP\\RAPs\"
$result = foreach ($p in $policies) {
    $bad = @()
    foreach ($c in $p.Computers) {
        try { Resolve-DnsName $c -ErrorAction Stop | Out-Null }
        catch { $bad += $c }
    }
    [pscustomobject]@{
        PolicyName = $p.Name
        InvalidComputers = $bad -join ';'
    }
}
$result | Export-Csv "$env:USERPROFILE\RAP_Audit.csv" -NoTypeInformation
Write-Host "Auditoría completada: $(($result | Where-Object InvalidComputers).Count) inconsistencias detectadas."

Programa el script cada noche y tendrás una alerta temprana antes de que la consola muestre el infame error WMI.

Resumen ejecutivo

Si al actualizar una RAP aparece el mensaje “Unable to Update Resource Access Policy”, ejecuta este orden de respuesta:

  1. Confirma que las variables TEMP y TMP señalan a C:\Windows\Temp.
  2. Elimina nombres de equipo que ya no existan.
  3. Comprueba el estado del servicio Winmgmt y corrige incoherencias del repositorio.
  4. Valida la RAP y monitoriza la consola RD Gateway.

Con estas acciones la continuidad del acceso remoto queda garantizada sin necesidad de reinstalar roles ni interrumpir la operación de los usuarios.

RDP
Índice