Las actualizaciones acumulativas KB5036609 y KB5036899 pueden atascarse en Windows Server 2016 con el código 0x80245002. Este artículo recopila las causas técnicas y presenta un procedimiento probado para que los parches se instalen correctamente sin reinstalar todo el sistema.
Síntomas del problema
- Windows Update descarga el CU, solicita reinicio, pero tras arrancar vuelve a marcar el intento como Fallido.
- El Visor de eventos (
Setup.evtx) registra el ID 20 “La instalación falló” acompañado de 0x80245002. - En servidores unidos a dominio, los errores se replican en varias máquinas y se repiten aunque se intente la vía manual (
.msu).
Causas habituales del error 0x80245002
- Componentes de Windows Update dañados
Archivos corruptos en%windir%\SoftwareDistributiono en el almacén de catálogoscatroot2impiden validar la firma de los paquetes. - Falta de la última Servicing Stack Update (SSU)
Server 2016 exige instalar su SSU más reciente antes de aceptar un CU de 2024 o 2025. - Interferencia de un filtro HTTPS o proxy
Si el tráfico TLS 1.2 haciadownload.windowsupdate.comse inspecciona o reescribe, el agente de actualización considera la URL inválida. - Espacio insuficiente en la partición del sistema
Menos de 10 GB libres en la unidad C: desencadena limpiezas parciales y deja el paquete incompleto. - Protección en tiempo real de terceros
Antivirus o EDR pueden bloquear la escritura de los binarios temporales que WU desempaqueta en%SystemRoot%\Temp.
Comprobaciones previas indispensables
Antes de aplicar el procedimiento, confirme estos puntos:
| Elemento | Verificación | Comando o ruta |
|---|---|---|
| Espacio libre | > 10 GB en C: | Get-PSDrive C |
| Conectividad TLS 1.2 | Puertos 80/443 abiertos | Test-NetConnection download.windowsupdate.com -Port 443 |
| SSU instalado | KB5036994 o superior | wmic qfe |
| Estado de sistema | Sin daños de archivos | sfc /scannow |
Procedimiento paso a paso para solucionar KB5036609 y KB5036899
1. Detener servicios y renombrar almacenes
Abra un CMD con privilegios elevados y ejecute:
net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren %windir%\SoftwareDistribution SoftwareDistribution.old
ren %windir%\System32\catroot2 catroot2.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver
Se recrearán directorios limpios al reiniciar el servicio.
2. Aplicar la última Servicing Stack Update
Descargue la SSU de abril 2025 desde el Catálogo de Microsoft Update y ejecútela (Windows10.0-KB5036994-x64.msu). Reinicie incluso si no lo pide.
3. Instalar actualizaciones pendientes menores
En Settings → Update & Security deje que se instalen primero definiciones de Defender, .NET CU o herramientas adicionales. Esto limpia la cola y valida la cadena de confianza.
4. Deshabilitar defensas en tiempo real
Durante la instalación:
- Desactive cualquier capa de Web filtering o SSL inspection.
- En antivirus, cree una exclusión temporal para
C:\Windows\SoftwareDistribution\Download.
5. Instalar manualmente KB5036609 o KB5036899
Copie el archivo .msu al servidor y lance:
wusa Windows10.0-KB5036899-x64.msu /quiet /norestartEspere a que %windir%\Logs\CBS\CBS.log deje de crecer antes de reiniciar manualmente.
6. Verificar la instalación
wmic qfe | findstr 5036899→ debe listar el parche con “InstallState=Installed”.- Visor de eventos: Setup → ID 2 “La instalación se completó correctamente”.
systeminfomuestra la build 14393.7168 o superior.
Qué hacer si el problema persiste
Si aún aparece 0x80245002:
- Comprobar políticas WSUS
En GPMC, revise que Specify intranet Microsoft update service location señale correctamente al WSUS y que su base esté sincronizada. - Regenerar el archivo de registro de WU
Get-WindowsUpdateLogy busque “Redirector, GET, failed” o “Proxy Auth Required”. - Probar canal externo
Configure temporalmentenetsh winhttp reset proxyy repita la descarga. - Herramienta de preparación de actualizaciones de Microsoft
Ejecute la imagenWindows6.0-KB947821-v34-x64.msupara reparar el almacén de componentes. - Reparación in‑place
Monte la ISO oficial 1607 with Update 2025, inicie el Setup.exe, elija “Conservar datos y roles”. El proceso demora 30–45 min pero no requiere volver a unir el servidor al dominio.
Cómo prevenir fallos futuros
- Automatice la descarga de cada SSU con un Scheduled Task que compruebe el Catálogo y la aplique antes del Patch Tuesday.
- Habilite exclusivamente TLS 1.2 en
SchUseStrongCryptopara que WU no caiga en versiones inseguras de SSL. - Implemente cuotas de disco y alertas: las carpetas WinSXS y SoftwareDistribution pueden inflarse rápidamente tras varios años de uso.
- Mantenga el antivirus actualizado y excluya
C:\Windows\Logsy WinSXS para que la inspección no ralentice el proceso. - Revise periódicamente la integridad de los roles críticos con
Dism /Online /Cleanup-Image /AnalyzeComponentStore.
Preguntas frecuentes
¿Puedo eliminar SoftwareDistribution .old?
Sí, después de confirmar que la nueva carpeta funciona y no hay actualizaciones pendientes.
¿WSUS necesita también el CU en su base?
Exacto. Si el servidor WSUS no aprobó KB5036899, ningún cliente lo instalará, aunque lo busque en línea.
¿Cuándo es seguro reactivar el antivirus?
Tras verificar en el registro que la instalación alcanzó el estado “Commit” (TrustedInstaller: Commit Complete).
¿Se rompe algo al renombrar catroot2?
No. Windows recrea la carpeta y la rellena con los catálogos vigentes en el reinicio del servicio cryptSvc.
¿Conviene limpiar WinSXS frecuentemente?
En servidores 24/7 se recomienda cada seis meses Dism /Online /Cleanup-Image /StartComponentCleanup para reducir tamaño y tiempo de escaneos.
Conclusión
El error 0x80245002 suele indicar un obstáculo en el camino de descarga o verificación de los paquetes de Windows Update. Restablecer los componentes, instalar la SSU correcta y desactivar temporalmente filtros de red resuelve la mayoría de los casos en Windows Server 2016. Mantener un ciclo de mantenimiento proactivo —espacio libre, TLS actualizado y exclusiones antivirus— previene repetir el incidente con futuras acumulativas.