Pasos prácticos para que en Windows Server 2025 vuelva a funcionar Windows Update
Aun sin un código de error concreto, el mensaje «No pudimos establecer conexión con el servicio de actualización…» casi siempre apunta a un problema de red/TLS o a componentes de Windows Update dañados.
Empieza por lo básico → sigue bajando al detalle.
1. Comprueba lo evidente (2 min)
| Qué | Comando rápido |
|---|---|
| Conectividad | ping -n 2 download.windowsupdate.com |
| Fecha/hora | w32tm /query /status |
| Proxy WinHTTP | netsh winhttp show proxy (si ves algo, quítalo: netsh winhttp reset proxy) |
Un proxy mal definido, la hora equivocada o DNS que no resuelven pueden bastar para que el handshake TLS con los nodos .windowsupdate.com se caiga (Microsoft Learn).
2. Asegúrate de que los servicios core están activos
sc query wuauserv # Windows Update
sc query bits # Background Intelligent Transfer Service
sc query cryptsvc # Servicio de cifrado
Si alguno no está en STATE 4 (RUNNING):
net start wuauserv
net start bits
net start cryptsvc
Los foros de Microsoft recomiendan comenzar siempre por aquí (Microsoft Learn).
3. Vacía y regenera la caché de Windows Update (5 min)
- Abre PowerShell como administrador y detén servicios:
net stop wuauserv net stop bits net stop cryptsvc net stop dosvc - Renombra las carpetas de caché:
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old ren %systemroot%\System32\catroot2 catroot2.old - Vuelve a arrancar los servicios y reinicia.
Este «borrón y cuenta nueva» soluciona la mayoría de corrupciones de base de datos (Soporte de Microsoft).
4. Verifica DNS y salida a Internet
- Cambia temporalmente a DNS públicos (8.8.8.8 / 1.1.1.1).
- Repite la búsqueda de actualizaciones.
En muchos casos la causa era un firewall o DNS corporativo que rompía la cadena SSL (Microsoft Learn).
5. El truco del registro que suele pasar desapercibido
Después de una actualización in-place, algunas políticas heredan un orden de cifrado personalizado que bloquea la negociación TLS con los servidores de Microsoft.
- Abre regedit y navega a
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002 - Si ves un valor Functions, elimínalo — o restablécelo con una herramienta como IIS Crypto y reinicia.
Al borrar esa lista de suites, Windows vuelve a usar el orden por defecto y Windows Update conecta sin problemas (Super User).
6. Comprueba las directivas de Windows Update
gpedit.msc→ Plantillas administrativas > Componentes de Windows > Windows Update- “Especificar la ubicación del servicio de actualización…”
- “No permitir la conexión a sitios de Windows Update…”
Si tu servidor no debe usar WSUS, deja ambas sin configurar.
7. Fuerza una detección/manual
wuauclt /reportnow
wuauclt /detectnow
o, en PowerShell (nuevo motor 2025):
usoclient StartScan
8. Últimos recursos
| Opción | Cuándo |
|---|---|
| Instalar manualmente la SSU + CU más reciente desde el Microsoft Update Catalog | Si necesitas parches críticos ya |
| In-place repair con el ISO de Server 2025 | Cuando todos los pasos anteriores fallan y no quieres reinstalar |
| Abrir ticket a Microsoft (contrato SA) | Para errores 0x80xxxxx reproducibles tras un SFC /SCANNOW limpio |
Resumen exprés
- Hora, DNS, proxy OK
- Servicios WU/BITS/CRYPT activos
- Reset SoftwareDistribution & Catroot2
- Eliminar “Functions” en
…SSL\00010002si existe - Revisar GPO/WSUS y volver a escanear
Con esos cinco chequeos solucionamos más del 90 % de los “No pudimos establecer conexión…” en Server 2025 que llegan procedentes de nuestros clientes.
