¿Te aparece “Access Denied” al actualizar Windows Server 2022 en un Lenovo ThinkSystem SR650 V2 con el código 0x80070005? Esta guía práctica te explica el significado del error y ofrece un procedimiento probado, ordenado y verificable para resolverlo sin perder tiempo.

Resumen del caso

Durante la instalación de actualizaciones en Windows Server 2022 Standard, el sistema devuelve el error 0x80070005 de Windows Update. Ocurre con frecuencia cuando hay problemas de permisos, políticas restrictivas, cachés dañadas o software de seguridad bloqueando el proceso. El hardware del servidor Lenovo ThinkSystem SR650 V2 rara vez es la causa directa de este código; lo habitual está en el sistema operativo, las directivas y la red.

Qué significa el código de acceso denegado

El código 0x80070005 se traduce en Access Denied. En la práctica, indica que un componente de actualización no ha podido leer, escribir o cambiar algo que necesitaba. Las causas más comunes son:

• Cuenta sin privilegios elevados o token incompleto al ejecutar el proceso.
• Carpetas y ACL de Windows Update dañadas (SoftwareDistribution y catroot2).
• Directivas de grupo (GPO) o configuración WSUS mal aplicadas o demasiado restrictivas.
• Antivirus o EDR interceptando operaciones de BITS, WUA o cifrado.
• Servicios requeridos detenidos, erróneamente configurados o con dependencias rotas.
• Red, proxy o firewall impidiendo el acceso al origen de actualizaciones (WSUS o Windows Update).

Solución paso a paso

Aplica los pasos en el siguiente orden. Tras cada bloque, vuelve a intentar “Buscar actualizaciones” desde Configuración > Windows Update o ejecuta una detección forzada para validar el cambio.

1. Elevar privilegios de administración Abre PowerShell o CMD como Administrador. Verifica pertenencia efectiva al grupo Administrators: whoami /groups | findstr /I Administrators Si el comando no devuelve el grupo, usa una cuenta con privilegios o inicia una consola elevada correcta. Evita ejecutar actualizaciones con RunAs que no propague el token completo.
2. Restablecer componentes de Windows Update Este reinicio “limpia” las cachés y vuelve a crear estructuras internas. Ejecuta en consola elevada: net stop wuauserv net stop cryptSvc net stop bits net stop msiserver ren %windir%\SoftwareDistribution SoftwareDistribution.old ren %windir%\System32\catroot2 catroot2.old net start msiserver net start bits net start cryptSvc net start wuauserv Reinicia el servidor y busca actualizaciones de nuevo. El renombrado preserva los datos antiguos por si necesitas auditoría; podrás eliminarlos luego.
3. Reparar la imagen del sistema y archivos Si hay corrupción en el almacén de componentes o archivos protegidos, las actualizaciones fallarán. Ejecuta: DISM /Online /Cleanup-Image /RestoreHealth sfc /scannow Si DISM o SFC reparan algo, reinicia y vuelve a intentar Windows Update. Anota cualquier mensaje de reparación para la bitácora de cambios.
4. Revisar GPO y configuración WSUS En entornos con WSUS, confirma que el servidor puede contactar el WSUS y que las directivas apuntan a la URL correcta. Genera un informe de políticas para detectar restricciones inusuales: gpresult /h C:\Temp\gpresult.html Revisa especialmente las directivas:
   • Configurar la ubicación del servicio de actualizaciones de la intranet de Microsoft.
   • No permitir conexiones a ubicaciones de Windows Update en Internet (si el servidor debe usar WSUS, puede estar habilitada; si debe usar Internet, debe estar deshabilitada).
   • Configurar actualizaciones automáticas y horarios de instalación.
   Comprueba claves de registro de políticas (solo lectura y verificación): reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /s Si las GPO son contradictorias (por ejemplo, se fuerza WSUS pero el host está fuera de la red corporativa), actualiza el alcance de la GPO o crea una de excepción. Tras cambios de GPO, ejecuta: gpupdate /force
5. Verificar proxy y firewall Una configuración WinHTTP heredada o un proxy sin credenciales puede causar el error como “acceso denegado” de cara al servicio. Revisa y limpia: netsh winhttp show proxy netsh winhttp reset proxy Asegura que el servidor tiene salida a su origen de actualizaciones conforme a política: a tu WSUS corporativo o a los dominios estándar de Windows Update. Considera exclusiones de inspección TLS en dispositivos de seguridad si hay validación de certificados.
6. Revisar antivirus y soluciones EDR Algunos agentes bloquean operaciones de escritura en SoftwareDistribution o el tráfico de BITS. De forma temporal (según tus políticas), desactiva el módulo que inspecciona tiempo real o aplica exclusiones precisas:
   • %windir%\SoftwareDistribution\*
   • %windir%\System32\catroot2\*
   Reintenta la actualización. Si funciona con el EDR desactivado, crea reglas permanentes aprobadas por seguridad.
7. Comprobar servicios y espacio en disco Asegura que los servicios clave están en ejecución y con tipo de inicio correcto:
   • Windows Update (wuauserv)
   • Servicio de transferencia inteligente en segundo plano (BITS)
   • Servicios criptográficos (CryptSvc)
   • Windows Installer (msiserver)
   sc query wuauserv sc query bits sc query cryptsvc sc query msiserver Comprueba que la unidad del sistema tenga espacio suficiente (recomendación: varios GB libres). Limpia temporales si es necesario.
8. Analizar registros para la causa exacta El Visor de eventos y los registros de CBS proporcionan el detalle que necesitas para la causa raíz:
   • Visor de eventos → Applications and Services Logs → Microsoft → Windows → WindowsUpdateClient → Operational.
   • Archivo %windir%\Logs\CBS\CBS.log para instalaciones de paquetes.
   • Si requieres el log consolidado de Windows Update:
   Get-WindowsUpdateLog Busca errores de acceso, fallos de firma, códigos complementarios y nombres de paquetes específicos que estén fallando.

Comprobaciones complementarias de infraestructura

• Sincronización de hora y NTP: desajustes de tiempo afectan a Kerberos y a la validación TLS. Verifica w32tm /query /status y corrige la fuente de tiempo si es necesario.
• Resolución DNS: confirma que el servidor resuelve sus destinos de actualización. Usa nslookup hacia el WSUS o los dominios de Windows Update definidos por tu organización.
• Conectividad y MTU: inspecciones TLS y MTU inapropiadas pueden cortar las descargas de BITS. Si hay appliances de seguridad, excluye las rutas de actualización.
• Credenciales de proxy autenticado: si el proxy requiere autenticación y WinHTTP no tiene credenciales, el servidor no podrá descargar. Configura credenciales o usa bypass para el WSUS.

Guía rápida según tipo de entorno

Escenario	Acción recomendada	Validación
Servidor unido a dominio con WSUS	Verificar GPO de WSUS, conectividad al WSUS, puertos y certificados internos.	gpresult sin conflictos, descarga de catálogos desde WSUS, eventos limpios.
Servidor aislado sin WSUS	Quitar GPO que fuerce WSUS, habilitar acceso a Windows Update a través de proxy correcto.	Detección completa y paquetes descargados desde Internet.
Servidor con EDR estricto	Aplicar exclusiones de carpetas y procesos de actualización; modo de aprendizaje temporal.	Instalación exitosa con el EDR activo y monitoreado.
Fallo tras renombrar cachés	Ejecutar DISM y SFC; revisar CBS para corrupción de manifiestos.	DISM corrige la imagen; SFC sin infracciones; reinicio y actualización correcta.

Uso de detección y descarga desde consola

Para forzar el ciclo de detección y descarga sin esperar al programador, ejecuta en consola elevada:

usoclient StartScan
usoclient StartDownload
usoclient StartInstall

En versiones de servidor modernas, también puedes usar PowerShell si tienes el módulo correspondiente, siempre sujeto a políticas corporativas.

Instalación manual de paquetes MSU

Si tras los pasos anteriores persiste el problema, instala manualmente el último acumulativo de calidad y el SSU correspondiente desde el Catálogo de Microsoft (según tus políticas). Copia los archivos .msu al servidor y ejecuta:

wusa.exe <ruta\paquete.msu> /quiet /norestart

Tras la instalación manual, reinicia y verifica que la pila de servicio y el LCU estén al día. Esto suele “desbloquear” errores que provienen de un estado intermedio de la pila de actualización.

Checklist de servicios y tipos de inicio

Servicio	Nombre	Tipo de inicio sugerido	Descripción
Windows Update	wuauserv	Manual o Automático	Orquesta la detección e instalación de actualizaciones.
BITS	bits	Manual	Descarga en segundo plano con control de ancho de banda.
Servicios criptográficos	cryptsvc	Automático	Validación de firmas y catálogo de seguridad.
Windows Installer	msiserver	Manual	Instala paquetes MSI, requerido por ciertos actualizadores.

Tabla de diagnóstico causa y acción inmediata

Síntoma	Indicio típico	Acción inmediata
Error inmediato con Access Denied	Eventos del cliente con códigos de acceso, sin descarga previa	Ejecutar en consola elevada y revisar GPO de WSUS
Descarga parcial que se corta	BITS reinicia trabajos, proxy con autenticación	Revisar proxy WinHTTP y excepciones de firewall
Fallo tras reinicio de cachés	Entradas de CBS señalando manifiestos dañados	Ejecutar DISM y SFC; validar almacenamiento
Funciona con EDR desactivado	Registros del EDR muestran bloqueos	Crear exclusiones aprobadas por seguridad

Notas específicas para la plataforma

El Lenovo ThinkSystem SR650 V2 suele ser estable para este tipo de tareas. Aun así, conviene revisar:

• Estado del firmware y controlador de red, especialmente si usas descarga a través de BITS con limitaciones de QoS.
• Controlador de almacenamiento y estado del disco del sistema; latencias o errores de E/S pueden causar fallas intermitentes.
• Entorno de virtualización o hipervisor si aplica, para descartar filtros de red añadidos.

En la mayoría de los casos, estos factores no generan el código 0x80070005, pero si hay bloqueos a nivel de drivers, el síntoma puede confundirse con problemas de permisos.

Buenas prácticas operativas y de seguridad

• Mantén un punto de restauración o snapshot según tu estrategia de continuidad antes de cambios importantes en GPO o servicios.
• Documenta fecha, acciones realizadas y resultados de cada paso; facilitará auditoría y repetibilidad.
• Evita ejecutar actualizaciones con cuentas de servicio limitadas; usa credenciales administrativas controladas y registro de actividad.
• Revisa periódicamente exclusiones del EDR para no abrir superficies de riesgo innecesarias.

Validación final tras la corrección

1. Ejecuta detección y descarga; confirma que no aparece el código 0x80070005.
2. Verifica el historial de actualizaciones y anota los KB aplicados.
3. Comprueba el evento de instalación correcta y ausencia de errores en WindowsUpdateClient y CBS.
4. Elimina las carpetas SoftwareDistribution.old y catroot2.old si todo está estable.

Procedimiento en una sola ejecución

Si prefieres agrupar pasos en una sola ejecución, este bloque de PowerShell automatiza lo esencial. Ejecútalo en consola elevada y revisa la salida:

$ErrorActionPreference = 'Stop'

Write-Host 'Parando servicios...'
Stop-Service wuauserv, bits, cryptsvc, msiserver -Force -ErrorAction SilentlyContinue

Write-Host 'Renombrando cachés...'
\$sd = Join-Path \$env\:windir 'SoftwareDistribution'
\$cr = Join-Path \$env\:windir 'System32\catroot2'
if (Test-Path \$sd) { Rename-Item \$sd "\$(\$sd).old" -ErrorAction SilentlyContinue }
if (Test-Path \$cr) { Rename-Item \$cr "\$(\$cr).old" -ErrorAction SilentlyContinue }

Write-Host 'Reparando imagen...'
DISM /Online /Cleanup-Image /RestoreHealth | Out-Null

Write-Host 'Iniciando servicios...'
Start-Service msiserver, bits, cryptsvc, wuauserv

Write-Host 'Comprobando proxy WinHTTP...'
netsh winhttp show proxy

Write-Host 'SFC en progreso...'
sfc /scannow

Write-Host 'Listo. Reinicia y prueba Windows Update.'

Cuándo instalar manualmente y cuándo escalar

Si después de seguir el flujo el error persiste, considera instalar manualmente el cumulative update y el servicing stack update más recientes. Si aun así falla, la revisión de CBS.log te dirá qué componente niega acceso. En entornos regulados, coordina con el equipo de seguridad para revisar políticas del EDR o de proxy a profundidad.

Resumen ejecutivo

• 0x80070005 significa acceso denegado durante el proceso de actualización.
• La vía rápida que suele resolver: consola elevada, reinicio de componentes de Windows Update, DISM y SFC, verificación de GPO/WSUS, proxy y exclusiones de AV/EDR.
• Si el problema continúa, examina registros y recurre temporalmente a la instalación manual del último acumulativo y su pila de servicio.

Preguntas frecuentes

¿Puede ser un problema del hardware del servidor?
Es poco habitual. El código apunta a permisos, políticas o cachés. El hardware influye si hay fallos de E/S o drivers conflictivos, pero no es la causa típica.

¿Es seguro borrar por completo las carpetas renombradas?
Sí, una vez verificado que el sistema actualiza con normalidad. Renombrarlas primero te permite revertir si necesitas analizar.

¿Debo desactivar el antivirus permanentemente?
No. Úsalo solo para diagnóstico. Define exclusiones específicas aprobadas por tu equipo de seguridad y vuelve a habilitar la protección.

¿Puedo usar este procedimiento en otras ediciones del sistema?
En general, sí para Windows Server modernos y versiones cliente recientes, ajustando particularidades de políticas y módulos.

---

Con esta guía, deberías poder resolver el error 0x80070005 en Windows Server 2022 de forma metódica, minimizando impactos y conservando trazabilidad.