Windows Update无法在Windows 2012 R2 Standard上运行

我最近继承了远程站点上Windows 2012服务器的管理。

我检查了Windows Update，自3月以来就没有更新过。当我告诉Windows检查更新时，它的行为就像是在检查，但似乎要花几个小时。如果我尝试重新启动Windows Update服务，它似乎永远无法关闭。我唯一的补救方法似乎是重新启动，以回到可以告诉Windows Update检查新更新的位置。

最后一次成功检查更新的日期是3月20日。

上次安装更新的时间为3月17日（失败）。

更新历史记录显示3月17日一个更新失败，打印机驱动程序更新，但是历史记录显示2月17日13个失败更新。

不知道还有什么尝试。

我的三台2012R2机器中有两台在去年四月出现了这种现象。他们将永远垂死于“检查更新”。

我从来没有确切地了解是什么原因导致了问题，但是通过执行以下操作确实可以解决该问题：

1. 停止Windows Update服务。

   net stop wuauserv
   

2. 删除Windows Update缓存目录C:\Windows\SoftwareDistribution。

   Remove-Item -Recurse -Force C:\Windows\SoftwareDistribution
   

3. 重新启动计算机。（在一台计算机上，它需要几次重新启动才能真正从此目录中删除所有内容，因此如有必要，请继续尝试。）

4. 再次手动运行Windows Update。它几乎会立即失效，并提供运行诊断工具的功能。下载该工具并使其运行。

5. 该工具将发现并修复一些问题。此时，再次手动运行Windows Update。Windows Update此时工作正常。

我在这里找到了一个很好的答案，对我来说效果很好。只想分享，以防有人搜索：

在提升的命令提示符下尝试以下操作：

netsh winhttp import proxy source=ie

然后重启

另一个对我有用的解决方案是将更新模式设置为“从不检查更新”

我使用了系统更新准备工具和DISM。它为我工作。您可以在这里获得它：http : //support.microsoft.com/kB/947821

我一直在玩2012 VM，但遇到了这个问题。我的解决方案（快速，不安全等）是禁用服务器上的IE增强安全性，它很高兴开始与MS Windows Update进行通信。这不是一个真正服务器的解决方案，但是它是一个玩具开发服务器，我可以接受。

大概只需要将Windows更新站点添加到某个地方的某些受信任站点中即可获得真正的解决方案？

我对新安装在Citrix 6.5 VM上Windows Server 2012 R2上的修复程序，并如Marcus Greasly所述，禁用IE Enchanced Security ...立即起作用...

要在Windows Server 2012 R2中禁用IE增强的安全性，请启动服务器管理器，在左侧单击本地服务器。在右侧，单击“ IE增强安全配置”旁边的“打开”链接。现在，您将看到“ Internet Explorer增强的安全性配置”框。

https://prajwaldesai.com/disable-ie-enhanced-security-in-windows-server-2012-r2/

我最近在Server 2012上遇到了同样的问题，我所做的所有事情都立即禁用了Malwarebytes服务和下载的更新。尝试禁用您拥有的任何恶意软件或防病毒软件，因为这可能是造成此问题的根本原因。

总览

从“云”提供程序迁移回内部数据中心的某些虚拟服务器上，出现了此问题。根本原因是对该%SystemRoot%\System32\catroot2文件夹的权限。运行状况良好的服务器上的该文件夹的权限与迁移后的服务器上的文件夹的权限之间存在许多差异。我相信关键是TrustedInstaller没有full access。

其他症状

在事件查看器中查看应用程序日志，我们看到许多错误：

Source: CAPI2
EventId: 257
Text: The Cryptographic Services service failed to initialize the Catalog Database. The ESENT error was: -1032.

Source: ESENT
EventId: 490
Text: Catalog Database (416) Catalog Database: An attempt to open the file "C:\Windows\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" for read / write access failed with system error 5 (0x00000005): "Access is denied. ".  The open file operation will fail with error -1032 (0xfffffbf8).

线索在ESENT错误的文本中；即，权限问题导致访问catroot2文件夹下的文件。

解析度

授予“受信任的安装程序”帐户对catroot2文件夹及其子级的完全控制权限。

如果这还不够的话，为了进行比较，在运行icacls %systemroot%\system32\catroot2状况良好的服务器上运行将提供以下信息：

C:\Windows\system32\catroot2 NT SERVICE\CryptSvc:(F)
                         NT SERVICE\CryptSvc:(OI)(CI)(IO)(F)
                         NT SERVICE\TrustedInstaller:(I)(F)
                         NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
                         NT AUTHORITY\SYSTEM:(I)(F)
                         NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
                         BUILTIN\Administrators:(I)(F)
                         BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
                         BUILTIN\Users:(I)(RX)
                         BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
                         CREATOR OWNER:(I)(OI)(CI)(IO)(F)
                         APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
                         APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)

注意：要添加“受信任的安装程序”，您需要在本地计算机帐户中搜索nt service\trustedinstaller。

替换对的权限之后catroot2，请确保您单击replace permissions on child objects & containers复选框以确保子项的权限也得到解决。

该修补程序本身不需要重新启动（尽管很明显，一旦更新再次开始起作用，您可能需要针对这些重新启动）。