Corrigir Windows Update em Windows Server: Guia de Diagnóstico
Windows Server · Windows Update · DISM · SFC · Troubleshooting | ✎ Duarte Spínola | 2026-06-26
A corrupção do Windows Update em ambientes Windows Server é um problema recorrente que pode parar a aplicação de patches críticos, deixar o servidor vulnerável e comprometer a conformidade de segurança. Este guia reúne o diagnóstico e as acções de reparação recomendadas pela Microsoft, com comandos práticos de DISM, SFC e PowerShell. A documentação oficial de resolução de erros está disponível em learn.microsoft.com — Fix Windows Update errors e learn.microsoft.com — Resolve Windows Update issues.
Neste artigo
- Introdução
- Sintomas de Corrupção no Windows Update
- Erros Comuns do Windows Update
- Preparação e Diagnóstico Inicial
- Repor Componentes do Windows Update
- Utilizar o DISM para Reparar a Imagem do Sistema
- Verificar Integridade com SFC
- Limpar a Cache do SoftwareDistribution
- Reparar o Repositório WMI
- Instalar Updates Manuais com PSWindowsUpdate
- Cenários Específicos em Server Core
- Prevenção e Boas Práticas
- Checklist Final de Verificação
Introdução
O Windows Update é o mecanismo oficial para manter Windows Server actualizado e seguro. Quando os componentes responsáveis pela detecção, descarregamento e instalação de updates ficam corruptos, o servidor pode deixar de receber patches — incluindo correcções de segurança críticas. O processo de actualização do Windows (WaaS) está descrito em learn.microsoft.com — Windows as a Service (WaaS) overview e a visão geral de updates de Windows Server em learn.microsoft.com — Windows Server Updates.
A corrupção pode ter várias origens: interrupção de uma instalação anterior, problemas de disco, conflitos com antivírus, ou repositórios WMI danificados. Este guia segue uma abordagem progressiva — do diagnóstico inicial até à reparação avançada — para que o administrador restaure o funcionamento do Windows Update sem reinstalar o sistema operativo.
⚠ Atenção
Antes de executar qualquer acção de reparação num servidor de produção, crie um ponto de restauro ou faça um backup completo do estado do sistema. Algumas operações (como o salvage do repositório WMI) são irreversíveis.
Sintomas de Corrupção no Windows Update
A detecção precoce de corrupção reduz o tempo de inactividade. Os sintomas mais comuns incluem:
- O serviço Windows Update (wuauserv) termina inesperadamente ou fica em estado «A iniciar» indefinidamente.
- A procura de updates nunca termina ou devolve uma lista vazia mesmo existindo patches disponíveis.
- A instalação de um update falha com um código de erro genérico (ex.: 0x80070002, 0x8024402F).
- O CPU ou a memória do processo
svchost.exe(que aloja o serviço de updates) ficam elevados de forma persistente. - O
WindowsUpdate.logapresenta entradas repetidas de erro comoFATALouFailed to.
ℹ️ Nota: Em Server Core, os sintomas só são visíveis através de logs e comandos PowerShell, dado que não existe interface gráfica do Windows Update. A gestão de Server Core está documentada em learn.microsoft.com — Manage Server Core.
Erros Comuns do Windows Update
A tabela seguinte resume os erros mais frequentes, a causa provável e a acção de resolução correspondente. Esta lista é baseada na orientação oficial de diagnóstico em learn.microsoft.com — Troubleshoot update issues.
| Problema | Causa | Solução |
|---|---|---|
| 0x80070002 | Ficheiro de update em falta ou corrupto na cache | Limpar a pasta SoftwareDistribution e voltar a procurar updates |
| 0x8024402F | Falha de ligação ao WSUS ou ao Windows Update online | Verificar proxy, DNS e conectividade (ver artigo nº 09) |
| 0x800F081F | Imagem do sistema corrupta; DISM RestoreHealth não encontra origem | Fornecer uma origem WIM/ISO válida com /Source |
| 0x8000FFFF | Repositório WMI ou componentes de update gravemente danificados | Repor componentes do Windows Update e reparar WMI |
| 0x80246013 | Transferência interrompida por proxy ou firewall | Verificar regras de firewall e configuração de proxy |
| 0xC80003FA | Serviço de updates em estado inconsistente | Reiniciar serviços wuauserv, bits, cryptsvc |
| 0x80240438 | Problema de registo de DLLs do agente de updates | Re-registar DLLs do Windows Update |
⚠ Atenção
Os códigos de erro podem variar consoante a versão do Windows Server (2016, 2019, 2022, 2025). Registe sempre o código exacto no ticket — uma boa prática documentada no nosso artigo nº 22 sobre registo e documentação de tickets.
Preparação e Diagnóstico Inicial
Antes de aplicar reparações, convém recolher informação de diagnóstico que confirme a extensão do problema e sirva de registo para o ticket.
Todos os comandos deste guia devem ser executados numa sessão PowerShell elevada (Executar como Administrador) no próprio servidor ou via sessão remota (Enter-PSSession).
Get-ComputerInfo | Select-Object OsName, OsVersion, OsBuildNumber
# Listar serviços do Windows Update e o seu estado
Get-Service -Name wuauserv, bits, cryptsvc, msiserver | Format-Table Name, Status, StartType
# Verificar os últimos erros no registo de eventos do Windows Update
Get-WinEvent -LogName “Setup” -MaxEvents 20 | Where-Object LevelDisplayName -eq ‘Error’ | Format-Table TimeCreated, Id, Message -Wrap
A tabela seguinte resume os pré-requisitos e permissões necessárias para as acções de reparação:
| Pré-requisito | Detalhe | Verificação |
|---|---|---|
| Sessão elevada | Administrador local ou Domain Admin | whoami /priv |
| Espaço em disco | Mínimo 10 GB livres em C: | Get-PSDrive C |
| Acesso à origem DISM | ISO/WIM da mesma build ou ligação online | Test-Path C:\Mount\install.wim |
| Serviços base activos | Eventlog, Rpc, RpcSs | Get-Service Eventlog, Rpc, RpcSs |
| Conectividade de rede | Acesso a Windows Update ou WSUS | Resolve-DnsName windowsupdate.microsoft.com |
Repor Componentes do Windows Update
A reposição dos componentes do Windows Update é frequentemente o primeiro passo eficaz. Consiste em parar os serviços relacionados, renomear as pastas de cache e voltar a iniciar os serviços. O Windows recria estas pastas automaticamente na próxima procura.
Stop-Service -Name wuauserv -Force
Stop-Service -Name bits -Force
Stop-Service -Name cryptsvc -Force
# Renomear as pastas de cache (o sistema recria-as automaticamente)
Rename-Item -Path “C:\Windows\SoftwareDistribution” -NewName “SoftwareDistribution.bak” -ErrorAction SilentlyContinue
Rename-Item -Path “C:\Windows\System32\catroot2” -NewName “catroot2.bak” -ErrorAction SilentlyContinue
# Reiniciar os serviços
Start-Service -Name cryptsvc
Start-Service -Name bits
Start-Service -Name wuauserv
Após reiniciar os serviços, force uma nova procura de updates. Se o problema persistir, avance para a reparação com DISM. A pasta SoftwareDistribution.bak pode ser eliminada manualmente após confirmar que os updates voltam a funcionar.
Utilizar o DISM para Reparar a Imagem do Sistema
O Deployment Image Servicing and Management (DISM) é a ferramenta oficial para reparar a imagem do Windows quando ficheiros de sistema estão corruptos. A introdução ao DISM está em learn.microsoft.com — What is DISM e a referência completa de opções em learn.microsoft.com — DISM command-line options. A referência de comandos DISM em Windows Server está também em learn.microsoft.com — DISM (Windows Server commands).
DISM /Online /Cleanup-Image /ScanHealth
# 2. Verificar se há corrupção detectada (CheckHealth)
DISM /Online /Cleanup-Image /CheckHealth
# 3. Reparar a imagem a partir de uma origem válida (RestoreHealth)
# Substitua o caminho pelo ficheiro install.wim/esd da mesma build
DISM /Online /Cleanup-Image /RestoreHealth /Source:WIM:C:\Mount\sources\install.wim:1 /LimitAccess
# 4. Reparar sem origem offline (usa Windows Update online)
DISM /Online /Cleanup-Image /RestoreHealth
⚠ Atenção
O parâmetro /Source deve apontar para um ficheiro WIM ou ISO da mesma versão e build do servidor. Uma origem com build diferente pode corromper ainda mais a imagem. O procedimento de ScanHealth e RestoreHealth está descrito em learn.microsoft.com — ScanHealth and RestoreHealth.
A tabela seguinte resume os comandos DISM principais e a sua função:
| Comando | Função | Duração típica |
|---|---|---|
/ScanHealth |
Verifica se a imagem tem corrupção de componentes | 10–30 min |
/CheckHealth |
Verificação rápida de marcadores de corrupção conhecida | < 1 min |
/RestoreHealth |
Repara a imagem usando origem online ou /Source |
15–60 min |
/StartComponentCleanup |
Limpa componentes substituídos e reduz o WinSxS | 10–30 min |
/ResetBase |
Remove todas as versões anteriores de componentes (irreversível) | 20–60 min |
Verificar Integridade com SFC
O System File Checker (SFC) verifica e repara ficheiros de sistema protegidos. Deve ser executado após o DISM RestoreHealth, pois o SFC utiliza a imagem reparada pelo DISM como origem. A referência oficial está em learn.microsoft.com — SFC command reference.
sfc /scannow
# Verificar apenas (sem reparar) — útil para diagnóstico
sfc /verifyonly
# Verificar um ficheiro específico
sfc /scanfile=C:\Windows\System32\wuaueng.dll
Se o SFC reportar «não conseguiu reparar alguns ficheiros», consulte o log C:\Windows\Logs\CBS\CBS.log para identificar quais. Normalmente, voltar a executar o DISM RestoreHealth com uma origem válida e depois repetir o sfc /scannow resolve os ficheiros em falta.
Limpar a Cache do SoftwareDistribution
Quando a pasta SoftwareDistribution acumula ficheiros parciais ou corruptos, a procura e instalação de updates falham. A limpeza completa força o servidor a descarregar novamente os metadados e os pacotes.
Stop-Service -Name wuauserv, bits, cryptsvc -Force
# Eliminar todo o conteúdo da cache (mantém a pasta)
Remove-Item -Path “C:\Windows\SoftwareDistribution\*” -Recurse -Force -ErrorAction SilentlyContinue
# Limpar também a pasta catroot2
Remove-Item -Path “C:\Windows\System32\catroot2\*” -Recurse -Force -ErrorAction SilentlyContinue
# Reiniciar serviços
Start-Service -Name cryptsvc, bits, wuauserv
# Forçar nova procura
Get-WindowsUpdateLog
⚠ Atenção
Não elimine as pastas SoftwareDistribution ou catroot2 — remova apenas o seu conteúdo. Eliminar as pastas propriamente ditas pode causar erros de permissões quando o sistema tenta recriá-las.
Reparar o Repositório WMI
O repositório WMI (Windows Management Instrumentation) é utilizado pelo Windows Update para consultar o estado do sistema. Se estiver corrupto, os updates podem falhar silenciosamente.
winmgmt /verifyrepository
# Salvar o repositório (tenta reparar automaticamente)
winmgmt /salvagerepository
# Se o salvage não resolver, repor o repositório (último recurso)
winmgmt /resetrepository
⚠ Atenção
O comando winmgmt /resetrepository repõe o repositório WMI para o estado inicial e pode afectar aplicações que dependam de classes WMI personalizadas. Utilize apenas se o /salvagerepository não resolver o problema e após confirmar que não existem extensões WMI críticas de terceiros.
Instalar Updates Manuais com PSWindowsUpdate
O módulo PSWindowsUpdate permite instalar updates directamente via PowerShell, útil quando a interface gráfica do Windows Update falha ou em instalações Server Core. A documentação do módulo está em learn.microsoft.com — PSWindowsUpdate module.
Install-Module -Name PSWindowsUpdate -Force -AllowClobber
# Importar o módulo
Import-Module PSWindowsUpdate
# Procurar updates disponíveis
Get-WindowsUpdate
# Instalar todos os updates disponíveis (aceita e reinicia se necessário)
Install-WindowsUpdate -AcceptAll -AutoReboot
# Instalar um update específico pelo KB
Install-WindowsUpdate -KBArticleID “KB5031364” -AcceptAll
O parâmetro -AutoReboot reinicia o servidor automaticamente após a instalação. Em ambientes de produção, utilize -AutoReboot:$false e agende o reinício numa janela de manutenção. Para registar esta acção no ticket, siga o formato do nosso artigo nº 22 sobre documentação de tickets.
Cenários Específicos em Server Core
O Windows Server Core não tem interface gráfica, pelo que todo o diagnóstico e reparação do Windows Update decorre por linha de comandos e PowerShell. A gestão de Server Core está documentada em learn.microsoft.com — Manage Server Core.
| Tarefa | Comando (Server Core) | Notas |
|---|---|---|
| Ver estado de serviços | Get-Service wuauserv, bits |
Sem GUI disponível |
| Procurar updates | Get-WindowsUpdate |
Requer PSWindowsUpdate |
| Ver logs | Get-WinEvent -LogName Setup |
Sem Visualizador de Eventos gráfico |
| Configurar WSUS | Set-WUSettings (PSWindowsUpdate) |
Alternativa a GPO |
| Reiniciar servidor | Restart-Computer -Force |
Usar em janela de manutenção |
Em Server Core, a migração para versões mais recentes do Windows Server exige que o Windows Update esteja funcional, pois a actualização in-place depende destes mesmos componentes (ver artigo nº 23 sobre migração para Windows Server 2025).
Prevenção e Boas Práticas
A prevenção de corrupção do Windows Update reduz incidentes e tempo de inactividade. As seguintes práticas são recomendadas em ambientes de produção:
- Agendar reinícios regulares após janelas de aplicação de patches, evitando estados intermédios prolongados.
- Monitorizar o espaço em disco da unidade C: — o WinSxS pode crescer significativamente sem limpeza.
- Executar periodicamente
DISM /Online /Cleanup-Image /StartComponentCleanuppara reduzir o WinSxS. - Manter o antivírus actualizado e excluir as pastas
SoftwareDistributionecatroot2de análises agressivas que possam bloquear ficheiros em uso. - Validar a conectividade com o WSUS ou o Windows Update online — problemas de DNS ou proxy são uma causa frequente de falhas (ver artigo nº 09 sobre diagnóstico de conectividade).
- Em migrações, garantir que o Secure Boot e os certificados estão válidos — o artigo nº 12 sobre Secure Boot e expiração de certificados aborda este tema.
- Para migrações de versões de cliente associadas, o artigo nº 04 sobre migração para Windows 11 24H2/25H2 oferece contexto adicional.
ℹ️ Nota: A aplicação de patches deve seguir um ciclo previsível: teste em laboratório, aplicação em servidores piloto, validação e rollout geral. O modelo WaaS está descrito em learn.microsoft.com — WaaS overview e a estratégia de updates de Windows Server em learn.microsoft.com — Windows Server Updates.
Checklist Final de Verificação
Após aplicar as acções de reparação, confirme que o Windows Update voltou ao funcionamento normal percorrendo os pontos seguintes:
| Passo | Verificação | Estado |
|---|---|---|
| 1 | Serviços wuauserv, bits, cryptsvc estão a correr (Running) | ☐ |
| 2 | DISM /Online /Cleanup-Image /ScanHealth não reporta corrupção |
☐ |
| 3 | sfc /scannow reporta «não encontrou nenhuma violação» |
☐ |
| 4 | Get-WindowsUpdate devolve a lista de updates disponíveis |
☐ |
| 5 | Pelo menos um update é instalado com sucesso (sem erro) | ☐ |
| 6 | winmgmt /verifyrepository reporta consistente |
☐ |
| 7 | Registo de eventos Setup não apresenta erros novos | ☐ |
| 8 | Servidor reinicia sem erros pendentes de instalação | ☐ |
⚠ Atenção
Se todos os passos estiverem concluídos e o Windows Update continuar a falhar, o próximo passo é uma reparação in-place (upgrade preserving files) ou, em último caso, a reinstalação do sistema operativo. Registe o incidente e a decisão no ticket antes de avançar para essa fase.
Este guia reflecte as práticas recomendadas pela Microsoft até à data de publicação. Para problemas específicos não cobertos, consulte a documentação oficial de diagnóstico em learn.microsoft.com — Fix Windows Update errors e learn.microsoft.com — Resolve Windows Update issues.
