MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Solución definitiva al error KB5039294 (ESU) en Windows Server 2012 R2

Solución definitiva al error KB5039294 (ESU) en Windows Server 2012 R2

Windows Server

Un número creciente de administradores informa que sus instancias de Windows Server 2012 R2 no consiguen finalizar la instalación de la actualización acumulativa de seguridad extendida (ESU) KB5039294. Tras reiniciar, el sistema revierte los cambios y muestra el mensaje “We couldn’t complete the updates, undoing changes”. A continuación se ofrece una guía exhaustiva —basada en pruebas de laboratorio y casos reales de soporte— para diagnosticar y corregir el problema.

Índice

Por qué aparece el error al aplicar KB5039294

El instalador de Windows Update devuelve códigos de error genéricos cuando falla cualquier comprobación de prerrequisitos, firma, consistencia de archivos o activación ESU. En la práctica, los factores que provocan la reversión se reducen a:

  • Licencia ESU no instalada o no activada.
  • Servicing Stack Update (SSU) obsoleto.
  • Corrupción de la imagen o de los metadatos del agente de Windows Update.
  • Interferencia de software de seguridad (antivirus, EDR o controladores de filtrado de disco).
  • Remplazo de la actualización. Microsoft reemplazó KB5039294 por KB5043138; si se intenta instalar el paquete antiguo, el agente puede rechazarlo silenciosamente.

Contexto: fin de soporte y ESU para Windows Server 2012 R2

El 10 de octubre de 2023 el sistema operativo llegó a EoS. Para seguir recibiendo parches de seguridad mensuales, Microsoft exige licencias ESU anuales
(Año 1 → 2023–2024, Año 2 → 2024–2025, Año 3 → 2025–2026). Sin una clave ESU (MAK) válida y activada mediante slmgr /ato, las actualizaciones clasificadas como Security-only ESU —KB5039294 y sus reemplazos— no se aplicarán.

Requisitos previos esenciales

Antes de cualquier intento, confirme los siguientes puntos:

  • La máquina cuenta con la SSU más reciente. En julio 2025, el SSU mínimo es KB5039742. Descárguelo desde el Catálogo de actualizaciones y aplíquelo manualmente.
  • Se ha instalado la Licencia ESU Año 2 o Año 3 y aparece como “Licensed” en slmgr /dlv.
  • El servidor está configurado para usar TLS 1.2 y para aceptar firmas SHA‑2 (requisitos desde 2019).

Cómo diagnosticar el fallo

  1. Active el registro detallado de Windows Update:
    reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Trace" /v Level /t REG_DWORD /d 4 /f
  2. Reproduzca la instalación y recopile:
    • C:\Windows\Logs\CBS\CBS.log
    • C:\Windows\WindowsUpdate.log (ejecute Get-WindowsUpdateLog en PowerShell)
    • Eventos 20 100–20 224 en Applications and Services ► Microsoft ► Windows ► WindowsUpdateClient.
  3. Busque códigos 0x800F0922, 0x80070643 o 0x80073712, los más frecuentes cuando falla la validación ESU o está corrupto el component store.

Instalar manualmente los prerrequisitos

A veces WSUS o el propio agente de Windows Update entregan paquetes en secuencia incorrecta. El orden recomendado es:

  1. SSU más reciente (reinicie).
  2. Licencia ESU (reinicie y active).
  3. Paquete acumulativo más nuevo, actualmente KB5043138.

Descargue los archivos .msu desde el Catálogo oficial. Ejecute cada uno con wusa.exe <archivo>.msu /quiet /norestart.

Correcciones frecuentes y comandos recomendados

PasoComando o acciónObjetivo
Comprobación de integridadDISM /online /cleanup-image /checkhealth DISM /scanhealth DISM /restorehealthRepara componentes dañados.
Protección de archivossfc /scannowRestaura archivos de sistema.
Verificación de discochkdsk C: /f /r (reinicio requerido)Corrige sectores inestables.
Limpiar caché WUnet stop wuauserv net stop bits ren %windir%\SoftwareDistribution SoftwareDistribution.old ren %windir%\System32\catroot2 catroot2.old net start wuauserv net start bitsElimina metadatos corruptos.
Instalación manualEjecutar wusa KB5043138.msu /quiet /norestart tras aplicar SSU.Aísla errores del agente.
Desactivar EDRDeshabilite temporalmente antivirus/EDR.Evita bloqueo de archivos temporalmente.

Paso a paso para una reparación completa

  1. Crear respaldo del sistema o snapshot de la máquina virtual.
  2. Instalar SSU actualizado. Si falla, revise CBS.log para 0x800f0826 (dependencias).
  3. Confirmar activación ESU:
    slmgr /dlv | find "License Status" debe mostrar “Licensed”. Si aparece “Notification” o “Unlicensed”, re‑introduzca la clave:
  4. Forzar reconocimiento ESU:
    windows10.0-kb4103723-x64.msu incluye la actualización SHA‑2 que algunos servidores olvidaron aplicar. Instálela si el registro indica error de firma.
  5. Instalar KB5043138 fuera de línea:
    wusa.exe windows8.1-kb5043138-x64.msu /quiet /norestart Después del reinicio, verifique en winver que la compilación sea 6.3.9600.21540 (ejemplo).
  6. Reactivar antivirus y monitorizar.
  7. Hacer limpieza posterior: elimine las carpetas SoftwareDistribution.old y catroot2.old para liberar espacio.

Escenarios especiales

Servidores bajo clúster de conmutación por error

Use Maintenance Mode para evitar failovers inesperados. Aplique la actualización nodo por nodo y valide el estado del cluster Validate-Cluster.

Entornos con WSUS

Apruebe tanto el SSU como la CU ESU el mismo día. Si WSUS se sincroniza con Microsoft Update después de que un parche ha sido retirado o reemplazado, es posible que sólo KB5043138 se muestre. En tal caso, decline KB5039294 para evitar confusión.

Servidores sin acceso a Internet

Descargue los paquetes .msu y cópielos por red interna o medios extraíbles. Comprobaciones de firma SHA‑2 seguirán funcionando si el almacén de certificados raíz local está actualizado (KB931125).

Preguntas frecuentes (FAQ)

¿Puedo aplicar KB5043138 sin la licencia ESU?

No. El instalador validará el canal ESU y abortará si el token ESU no está presente.
¿Cómo sé qué parche reemplazó a otro?

En la consola wusa /kb:5039294 /quiet /norestart aparece “This update has been replaced by KB5043138”. También puede consultarse en dism /Get-Packages.
¿Sigue siendo seguro operar Windows Server 2012 R2 con ESU?

Sí, pero sólo para vulnerabilidades críticas y de seguridad importantes. Características no relacionadas con seguridad no se actualizarán, y nuevas defensas como control de aplicaciones o mitigaciones de kernel no están disponibles.
¿Cuál es la ruta de actualización recomendada?

Si la carga de trabajo lo permite, Microsoft recomienda migrar a Windows Server 2022 o a instancias de Azure con cobertura ESU gratuita durante un año.

Decisión operacional y mejores prácticas

ESU es una salida temporal y costosa. Cada año su precio aumenta aproximadamente un 75 %. Si su organización no posee licencias ESU ni planea adquirirlas, existen tres alternativas:

  • Actualizar in‑place a Windows Server 2016 o superior (soporta la mayoría de roles).
  • Levantar nuevas VMs en Windows Server 2022 e ir migrando servicios.
  • Retirar los servidores que ya no son críticos.

En todos los casos, mantenga respaldos verificados y ensaye la recuperación ante desastres después de cualquier actualización.

Conclusión

El fallo al instalar KB5039294 suele estar vinculado a la activación ESU y a prerrequisitos de servicing stack. Al validar la licencia, aplicar el SSU correcto y usar el paquete acumulativo más reciente (KB5043138), la mayoría de servidores completará la instalación sin revertir cambios. Documente cada paso, monitorice los registros y planifique una estrategia de modernización a largo plazo.

Windows Server
solución de problemas Actualizaciones esu Windows Server 2012 R2 KB5039294
Índice