El código de error 0x80070005 durante Windows Update en Windows Server 2022 suele aparecer cuando el servicio no puede leer o escribir en carpetas y claves esenciales. Este artículo explica con detalle —y paso a paso— cómo eliminar la causa, restaurar los permisos adecuados y dejar el servidor listo para recibir parches sin contratiempos.
Qué significa el código 0x80070005
El identificador hexadecimal 0x80070005 es la manera que Windows Update tiene de decir “Acceso denegado”. Suele dispararse cuando:
- El servicio wuauserv o BITS no posee permiso de escritura sobre
C:\Windows\SoftwareDistributionoC:\Windows\System32\catroot2. - Una directiva de grupo, software de seguridad o ACL personalizada bloquea la creación de subclaves en el Registro de Windows.
- El antivirus intercepta DLL y catálogos durante la fase de instalación, provocando que Windows descarte la transacción.
- Un proxy, firewall o dispositivo de inspección profunda impide que el servidor contacte a los puntos de distribución de actualizaciones.
Principales síntomas
- Las actualizaciones permanecen en estado “Pendiente de reinicio” o “Descarga” indefinida.
- El Visor de eventos muestra
Event ID : 20(Windows Update Agent) con el detalle “0x80070005” o “Access is denied”. Get-WindowsUpdateLogseñala líneas con “WUEACCESS_DENIED”.- El rendimiento del servicio TrustedInstaller.exe es mínimo o inexistente durante el intento de instalación.
Evaluación preliminar antes de aplicar cambios
Antes de actuar, confirme los siguientes puntos para evitar horas de diagnóstico infructuoso:
- Abra PowerShell como administrador y ejecute
Test-NetConnectioncontradownload.windowsupdate.comy*.microsoft.com. Si falla, el problema es de red. - Ejecútese
gpresult /h gpo.htmlpara comprobar si existe una directiva que deshabilite Windows Update o BITS. - Valide que el espacio libre en la partición del sistema supere el 10 % recomendado.
- Reinicie el servidor y verifique que no queden transacciones de mantenimiento pendientes.
Solución paso a paso
Ejecutar el Solucionador de problemas de Windows Update
La herramienta integrada aplica correcciones automáticas sobre servicios, ACL y rutas de acceso:
- Abra Configuración ▶ Actualización y seguridad ▶ Solucionar problemas ▶ Solucionadores adicionales ▶ Windows Update.
- Ejecute el asistente y aplique las recomendaciones.
- Reinicie y pruebe de nuevo la descarga.
Si el error persiste, continúe con los pasos siguientes.
Restablecer manualmente los componentes de Windows Update
En un símbolo del sistema elevado (o PowerShell con Start-Process powershell -Verb runAs) ejecute:
net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver
dism /online /cleanup-image /startcomponentcleanup
Los cuatro servicios detenidos aparecen resumidos a continuación:
| Servicio | Nombre interno | Rol |
|---|---|---|
| Windows Update | wuauserv | Descarga y orquesta la instalación de parches |
| Servicios de cifrado | cryptSvc | Gestiona certificados y catálogos de seguridad |
| Background Intelligent Transfer | BITS | Optimiza la transferencia en segundo plano |
| Windows Installer | msiserver | Despliega paquetes MSI/MSP durante actualizaciones |
Una vez re‑creada la carpeta SoftwareDistribution y reiniciados los servicios, Windows generará de nuevo los catálogos y la base de datos DataStore.edb desde cero.
Reparar la imagen del sistema y los archivos protegidos
Si el componente está dañado, la operación anterior no bastará. Continúe con:
DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow
DISM inspecciona las capas de la imagen y descarga piezas desde Windows Update si faltan, mientras que SFC compara los binarios con el catálogo de firmas.
Verificar permisos de carpetas y de Registro
El servicio Windows Update se ejecuta bajo la cuenta NT AUTHORITY\SYSTEM. Use icacls para confirmar que posee control total:
icacls "C:\Windows\SoftwareDistribution"
icacls "C:\Windows\System32\catroot2"
| Ruta | Permisos requeridos |
|---|---|
| C:\Windows\SoftwareDistribution | SYSTEM (F) • Administradores (F) |
| C:\Windows\System32\catroot2 | SYSTEM (F) • Administradores (F) |
En el Registro, valide las claves:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdateHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing
La herencia debe incluir SYSTEM ► Control total. Use regedit.exe o Set-Acl.
Revisar directivas de grupo, antivirus y EDR
La política Computer Configuration ▶ Administrative Templates ▶ System ▶ Specify settings for optional component installation and component repair puede apuntar a una ruta sin acceso a los archivos fuente. Modifíquela o desactívela temporalmente.
Un EDR con control de carpetas o protección antitampón puede denegar a TrustedInstaller.exe. Desactive el modo estricto y añada exclusiones para:
C:\Windows\WinSxSC:\Windows\System32\catroot2C:\Windows\SoftwareDistribution
Consideraciones en entornos con proxy o firewall
Abra los puertos 80/443 hacia:
*.windowsupdate.com*.microsoft.com*.msftconnecttest.com
Si usa proxy con autenticación, configure netsh winhttp set proxy y asigne la política “Allow basic authentication over HTTP” a Windows Update. Para SSL Inspection, excluya los dominios anteriores o importe el certificado de la CA al almacén del sistema.
Uso de registros para diagnóstico avanzado
- Genere el archivo legible mediante
Get-WindowsUpdateLog. Las entradas con 0x80070005 muestran el componente exacto que devolvió “Access is denied”. - En el Visor de eventos, filtre el registro Application and Services Logs ▶ Microsoft ▶ Windows ▶ WindowsUpdateClient ▶ Operational.
- Active el rastreo de CBS.log con:
dism /online /enable-feature /featurename:tracing /limitaccess. Analice las líneas conHRESULT = 80070005.
Mantenimiento preventivo después de la corrección
- Habilite Windows Server Update Services (WSUS) o Windows Update for Business para centralizar parches y reducir errores de descarga.
- Ejecute mensualmente
dism /online /cleanup-image /startcomponentcleanup /resetbasepara compactar WinSxS. - Automatice la copia de seguridad del Registro con
reg export HKLM\System "%SystemDrive%\Backup\registry_%date%.reg". - Documente exclusiones de antivirus y cambios de ACL para auditorías futuras.
Cuándo recurrir a una instalación de reparación
Si tras implementar todos los pasos anteriores el error continúa, las capas de componente pueden estar irrecuperables:
- Reinstalación de la SSU (Servicing Stack Update): descargue la SSU más reciente para Windows Server 2022 e instálela manualmente.
- Actualización en el lugar: monte el ISO de la misma versión del sistema, seleccione “Conservar archivos y configuraciones” y ejecute
setup.exe. El proceso reemplaza el directorio WinSxS y re‑registra los catálogos. - Restauración a partir de backup completo si el servidor forma parte de una infraestructura crítica y las ventanas de mantenimiento lo permiten.
Preguntas frecuentes
¿Puedo borrar permanentemente la carpeta SoftwareDistribution?
Se recomienda renombrarla para conservar una copia; Windows la recreará automáticamente. Borrarla no daña el sistema, pero perderá el historial de descargas.
¿El comando sfc /scannow reinicia servicios críticos?
No, el proceso escanea y repara archivos en ejecución mediante transacciones; no necesita reiniciar servicios ni el sistema.
¿Es seguro detener BITS en producción?
Sí. BITS actúa como gerente de colas de descarga; detenerlo temporalmente no afecta al núcleo del sistema ni a los servicios de red.
Conclusiones
El error 0x80070005 en Windows Server 2022 raras veces indica corrupción profunda; suele ser un problema de permisos o servicios bloqueados. Al seguir las instrucciones anteriores restablecerás los componentes críticos, asegurarás las ACL adecuadas y eliminarás restricciones externas, devolviendo a Windows Update su funcionamiento normal y manteniendo tu infraestructura protegida con los parches más recientes.