Windows Server 2022 21H2 lento em 100%: como acelerar o Windows Update e corrigir travamentos

Depois de instalar a cumulativa 21H2 no Windows Server 2022, o Windows Update parece “parado” em 100% por longos minutos? Este guia completo explica por que isso acontece, como diferenciar lentidão de travamento real e traz um roteiro prático — do diagnóstico à correção definitiva — sem precisar reinstalar o sistema.

Índice

Visão geral do problema

Em servidores Windows, a barra de progresso do Windows Update frequentemente atinge 100% enquanto o sistema ainda realiza etapas internas: staging do pacote, aplicação dos componentes no component store (WinSxS), commit de servicing e limpeza. Esse “silêncio” de interface pode durar vários minutos, especialmente quando há:

Disco ocupado (alta latência de I/O) ou pouca RAM disponível.
Antivírus inspecionando a pasta SoftwareDistribution em tempo real.
Drivers de armazenamento ou controladores RAID/SAS/SCSI desatualizados.
Download lento por firewalls, proxies, WAN congestionada ou perda de pacotes.
Corrupção leve do component store (CBS) ou cache de atualização danificado.

O objetivo deste artigo é ajudá-lo a confirmar se é lentidão normal, encontrar o gargalo e corrigir sem procedimentos invasivos.

Diagnóstico rápido

Antes de aplicar mudanças, confirme se o servidor ainda está trabalhando na atualização e não realmente travado. Verifique:

Uso de CPU e disco no Gerenciador de Tarefas ou Resource Monitor. Processos comuns:
- TiWorker.exe (Windows Modules Installer Worker)
- TrustedInstaller.exe
- MoUsoCoreWorker.exe
Se um deles alterna entre uso de CPU e I/O, o sistema ainda está processando.
Eventos em Event Viewer:
- Applications and Services Logs → Microsoft → Windows → WindowsUpdateClient → Operational
- Windows Logs → System e Application
- Logs\CBS\CBS.log para detalhes de servicing.
Rede: latência e perda de pacotes para o WSUS/Internet.

Dica: se o disco apresenta filas altas e latência acima de 20–30 ms por longos períodos, a etapa de commit pode levar mais tempo. Em hosts virtualizados, observe a camada de armazenamento do hypervisor (provisionamento fino, snapshots, deduplicação e backup).

Check-list de correção

A tabela abaixo resume as ações recomendadas. Em seguida, cada item é detalhado com comandos, boas práticas e critérios de sucesso.

Etapa	Ação recomendada	Objetivo
1	Verificar recursos	Garantir que o gargalo não seja de hardware.
2	Testar conectividade	Evitar atrasos no download dos patches.
3	Pausar e retomar o Windows Update	Forçar reinicialização do processo de instalação.
4	Limpar o cache do Windows Update	Remover downloads corrompidos que travam a instalação.
5	Executar o Solucionador de Problemas	Identificar e corrigir falhas comuns.
6	Verificar erros de disco	Eliminar setores defeituosos que impedem gravações.
7	Instalar manualmente	Contornar falhas do mecanismo automático.
8	Fazer Clean Boot	Excluir interferência de terceiros.
9	Analisar logs	Encontrar códigos de erro específicos (ex.: 0x8024a105).
10	Atualizar o Windows Update Agent / SSU	Corrigir bugs do agente antigo.

Verificar recursos

Comece confirmando capacidade de CPU, memória e disco. Em produção, ajuste o plano de energia para Alto Desempenho (especialmente em hosts virtuais) e garanta espaço livre em C: (idealmente > 10–15 GB durante atualizações cumulativas).

PerfMon (Monit. de Desempenho): monitore \PhysicalDisk\Avg. Disk sec/Transfer, \PhysicalDisk\Current Disk Queue Length, \Memory\Available MBytes e \Process(TiWorker)\% Processor Time.
Se a fila de disco fica persistentemente alta, agende a janela de manutenção com carga menor, mova a VM para datastore menos ocupado ou provisione IOPS/throughput adicionais.

Testar conectividade

Para ambientes com WSUS, proxies ou inspeção SSL, problemas de rede influenciam diretamente a experiência do Windows Update.

ping -n 20 &lt;endereco-do-wsus-ou-proxy&gt;
tracert &lt;endereco&gt;
pathping &lt;endereco&gt;

No PowerShell, você pode medir latência/TCP:

Test-NetConnection &lt;endereco&gt; -Port 80
Test-NetConnection &lt;endereco&gt; -Port 443

Práticas: valide se o servidor sai pela Internet quando necessário, revise listas de allow no firewall, e, se usar WSUS, sincronize e aprove as atualizações corretas para Windows Server 2022 (21H2).

Pausar e retomar o Windows Update

Às vezes o processo fica em um estado intermediário. Pausar e retomar ajuda a “resetar” a detecção/instalação.

Abra Configurações → Windows Update e selecione Pausar por 7 dias.
Reinicie o servidor.
Retorne a Windows Update e clique em Retomar.

Sem GUI (Server Core), use SConfig para pausar/retomar e instalar atualizações, ou o módulo PowerShell PSWindowsUpdate se já estiver presente no ambiente.

Limpar o cache do Windows Update

Downloads corrompidos e metadados inconsistentes na pasta SoftwareDistribution e no catroot2 são causas clássicas de lentidão. Execute como Administrador:

net stop wuauserv
net stop bits
net stop cryptsvc
net stop msiserver

ren %SystemRoot%\SoftwareDistribution SoftwareDistribution.bak
ren %SystemRoot%\System32\catroot2 catroot2.bak

net start msiserver
net start cryptsvc
net start bits
net start wuauserv </code></pre>

<p>Em PowerShell:</p>
<pre><code>Stop-Service wuauserv,bits,cryptsvc,msiserver -Force
Remove-Item "$env:SystemRoot\SoftwareDistribution\*" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item "$env:SystemRoot\System32\catroot2\*" -Recurse -Force -ErrorAction SilentlyContinue
Start-Service msiserver,cryptsvc,bits,wuauserv
</code></pre>
<p><em>Dica:</em> configure exclusões temporárias no antivírus para <code>%SystemRoot%\SoftwareDistribution</code> e <code>%SystemRoot%\Logs\CBS</code> enquanto atualiza.</p>

<h2>Executar o Solucionador de Problemas</h2>
<p>Em <em>Configurações → Solução de Problemas → Outros solucionadores</em>, execute o <strong>Windows Update</strong>. Ele corrige permissões, serviços e chaves comuns. Em servidores sem GUI, priorize os passos de limpeza de cache e <em>DISM</em> descritos aqui.</p>

<h2>Verificar erros de disco</h2>
<p>Setores defeituosos e NTFS inconsistentes atrasam a escrita de arquivos de atualização. Agende:</p>
<pre><code>chkdsk C: /f /r
</code></pre>
<p>O servidor solicitará reinicialização para concluir a verificação. Planeje janela de manutenção (o tempo pode variar conforme o tamanho do volume e a saúde do disco).</p>

<h2>Instalar manualmente</h2>
<p>Se o mecanismo automático falha, faça <strong>instalação manual</strong> do KB correspondente. Use o <em>Microsoft Update Catalog</em> para obter o pacote da cumulativa (LCU) e, quando aplicável, o SSU.</p>
<p>Instalação silenciosa (sem reiniciar automaticamente):</p>
<pre><code>wusa.exe &lt;nome-do-pacote.msu&gt; /quiet /norestart
</code></pre>
<p>Para ambientes isolados, você pode <strong>servir offline</strong> usando a mídia do Windows Server 2022 como origem para componentes ausentes:</p>
<pre><code>dism /online /cleanup-image /restorehealth /source:wim:D:\sources\install.wim:1 /limitaccess
</code></pre>
<p>Esse comando repara o <em>component store</em> com base na imagem da mídia (substitua <code>D:</code> pelo seu drive). Após o <em>restorehealth</em>, rode:</p>
<pre><code>sfc /scannow
</code></pre>
<p>Em seguida, tente a cumulativa novamente.</p>

<h2>Fazer Clean Boot</h2>
<p>Serviços de antivírus, agentes de backup e monitoramento podem interceptar I/O e atrasar a instalação. Faça <em>Clean Boot</em> para excluir interferências:</p>
<ol>
  <li>Execute <strong>msconfig</strong> &rarr; marque <em>Inicialização seletiva</em> e desmarque <em>Carregar itens de inicialização</em>.</li>
  <li>Aba <strong>Serviços</strong> &rarr; marque <em>Ocultar todos os serviços Microsoft</em> &rarr; clique em <strong>Desabilitar tudo</strong>.</li>
  <li>Abra o <strong>Gerenciador de Tarefas</strong> &rarr; aba <strong>Inicializar</strong> &rarr; desabilite itens de terceiros.</li>
  <li>Reinicie, aplique as atualizações, depois reverta as alterações.</li>
</ol>

<h2>Analisar logs</h2>
<p>Identifique códigos de erro e a etapa exata do fracasso:</p>
<ul>
  <li><strong>WindowsUpdate.log</strong>: gere com PowerShell:
    <pre><code>Get-WindowsUpdateLog -LogPath $env:USERPROFILE\Desktop\WindowsUpdate.log

CBS.log: em %windir%\Logs\CBS\CBS.log — procure por Failed, Error e 0x.
Event Viewer:

WindowsUpdateClient → Operational para o ciclo de atualização.
Setup e Servicing para instalação de pacotes.

Alguns códigos frequentes e como agir:

Código	Causa provável	Ação
0x8024a105	Erro genérico de download/instalação	Limpar cache, pausar/retomar, validar rede e antivírus.
0x800f0831	Origem ausente para componentes	`DISM /RestoreHealth` com mídia (parâmetro `/Source`).
0x80073701	Corrupção no component store	`DISM` + `SFC`; avaliar `CBS.log`.
0x800f0922	Espaço/partição System reservada ou falha de conexão	Garantir espaço na partição de sistema; validar rede/WSUS.
0x800f0988	Pacotes inconsistentes	`StartComponentCleanup` e reinstalação manual do KB.

Atualizar o Windows Update Agent e o SSU

No Windows Server 2022, versões mais recentes de Servicing Stack e do agente trazem correções importantes. Em edições modernas, o SSU costuma vir integrado à LCU. Ainda assim, se você estiver instalando manualmente um KB mais antigo, pode ser necessário aplicar primeiro o SSU para evitar loops de falha. Verifique os pacotes de Servicing Stack instalados:

dism /online /get-packages | findstr /i Servicing | findstr /i Stack

Quando identificar um SSU mais recente disponível, instale-o antes da cumulativa (separadamente) apenas quando aplicável ao seu cenário.

Medidas adicionais de estabilidade

Limpeza do repositório de componentes (libera espaço e remove versões substituídas): dism /online /Cleanup-Image /StartComponentCleanup /ResetBase Atenção: /ResetBase impede a desinstalação de atualizações antigas; use em janelas controladas.
Antivírus: crie exclusões temporárias para SoftwareDistribution, Catroot2 e Logs\CBS ou aplique política de baixa prioridade de I/O durante a janela de manutenção.
Drivers de armazenamento: instale versões atualizadas de controladores RAID/SAS/SCSI/NVMe do fabricante do servidor ou do HBA.
Delivery Optimization (DO): em redes com muitos servidores, habilite cache em pares para reduzir tempo de download e aliviar WAN:
- GPO: Computador → Modelos Administrativos → Componentes do Windows → Delivery Optimization → Modo de download (LAN/Grupo).

Ambientes WSUS

Se você usa WSUS e suspeita de metadados inconsistentes:

Sincronize e reaprovede as atualizações para Windows Server 2022.
Limpe o cache local no servidor (etapa de limpeza do SoftwareDistribution).
Temporariamente, para isolar o problema, desative o uso de WSUS no cliente e force a verificação direta na Microsoft. Registre o valor e reverta após testar: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU ^ /v UseWUServer /t REG_DWORD /d 0 /f net stop wuauserv && net start wuauserv usoclient StartScan Depois de validar, volte o valor para 1, aplique gpupdate /force e retorne ao fluxo normal do WSUS.

Server Core e automação com PowerShell

Em servidores sem GUI, o módulo PSWindowsUpdate é útil (quando previamente permitido no ambiente). Exemplos:

# Listar atualizações disponíveis
Get-WindowsUpdate

Instalar todas as atualizações importantes e reiniciar quando necessário

Install-WindowsUpdate -MicrosoftUpdate -AcceptAll -AutoReboot </code></pre>

<p>Para análise, o <code>Get-WindowsUpdateLog</code> gera o log combinado legível a partir de ETW, facilitando correlacionar eventos e códigos de erro.</p>

<h2>Como saber se é seguro reiniciar</h2>
<p>Se o servidor aparenta estar “preso” na tela de 100% por mais de 30 minutos, verifique:</p>
<ul>
  <li>Atividade de disco no host/hypervisor.</li>
  <li>Luz de I/O no storage (se disponível).</li>
  <li>Se o <em>TrustedInstaller</em> ainda está ativo antes do reboot. Evite desligamento forçado durante <em>Working on updates</em>; isso pode danificar o <em>component store</em>.</li>
</ul>
<p>Se for necessário intervir, priorize <em>reiniciar normalmente</em> pelo sistema. Após voltar, execute <code>DISM /RestoreHealth</code>, <code>SFC /scannow</code> e repita a instalação manual do KB.</p>

<h2>Boas práticas para evitar recorrência</h2>
<ul>
  <li><strong>Janela de manutenção previsível</strong>: combine com equipes de backup e antivírus para reduzir concorrência de I/O.</li>
  <li><strong>Armazenamento saudável</strong>: monitore latência, remova <em>snapshots</em> antigos e mantenha firmware/driver atualizados.</li>
  <li><strong>Espaço livre</strong>: reserve margem de segurança em <code>C:</code> e na Partição Reservada do Sistema.</li>
  <li><strong>Sequência SSU → LCU</strong>: quando trabalhar com pacotes antigos, instale primeiro o SSU. Em builds atuais do Server 2022, a LCU já inclui o SSU, simplificando o fluxo.</li>
  <li><strong>Delivery Optimization</strong> ou <strong>cache</strong> local (WSUS) bem configurado para reduzir tempo de download.</li>
</ul>

<h2>Playbook detalhado</h2>
<ol>
  <li><strong>Confirmar recursos</strong>:
    <ul>
      <li>Espaço livre &gt; 10–15 GB em <code>C:</code>.</li>
      <li>Plano de energia “Alto Desempenho”.</li>
      <li>Sem backup/antivírus concorrendo pesado.</li>
    </ul>
  </li>
  <li><strong>Validar rede</strong>: <code>Test-NetConnection</code> para 80/443; proxy e DNS corretos.</li>
  <li><strong>Pausar/retomar</strong> o Windows Update e reiniciar.</li>
  <li><strong>Resetar cache</strong>: <code>SoftwareDistribution</code> e <code>catroot2</code>.</li>
  <li><strong>DISM + SFC</strong>:
    <pre><code>dism /online /cleanup-image /restorehealth
sfc /scannow

Instalação manual do KB (via pacote .msu).
Clean Boot e nova tentativa.
Verificar disco com chkdsk /f /r em janela programada.
Gerar logs com Get-WindowsUpdateLog e revisar CBS.log.
Atualizar SSU/Agente quando aplicável.

Casos especiais

Erro 0x800f0831 com WSUS: habilite a origem da mídia no DISM com /Source e /LimitAccess. Depois, re-sincronize WSUS.
Falha em .NET ou FODs (Features on Demand): aponte /Source para o diretório SxS da mídia correspondente ao build.
Partição Reservada do Sistema pequena: amplie a partição ou libere espaço; esse gargalo costuma acionar 0x800f0922.

Checklist de pré-atualização

Backup consistente do sistema.
Verificação de integridade do disco.
Exclusões de antivírus definidas para a janela.
Drivers de armazenamento validados.
DO/WSUS operacional e com metadados atualizados.

Resumo executivo

A lentidão em 100% após aplicar a cumulativa 21H2 no Windows Server 2022 costuma estar ligada a I/O de disco, antivírus, rede/WSUS ou cache corrompido. Seguindo o roteiro — confirmar recursos, validar rede, pausar/retomar, limpar cache, executar DISM/SFC, testar instalação manual e revisar logs — a imensa maioria dos servidores volta a atualizar normalmente. Em ambientes corporativos, reforçar DO/WSUS, revisar drivers de armazenamento e manter a pilha de serviço (SSU) atualizada previne a reincidência.

Referências operacionais rápidas

Parar/iniciar serviços: net stop wuauserv && net stop bits && net stop cryptsvc && net stop msiserver net start msiserver && net start cryptsvc && net start bits && net start wuauserv
Reparar imagem e sistema: dism /online /cleanup-image /restorehealth sfc /scannow
Instalar KB manualmente: wusa.exe <pacote.msu> /quiet /norestart
Gerar log do Windows Update: Get-WindowsUpdateLog -LogPath $env:USERPROFILE\Desktop\WindowsUpdate.log
Limpar SoftwareDistribution e catroot2: Stop-Service wuauserv,bits,cryptsvc,msiserver -Force Remove-Item "$env:SystemRoot\SoftwareDistribution\*" -Recurse -Force Remove-Item "$env:SystemRoot\System32\catroot2\*" -Recurse -Force Start-Service msiserver,cryptsvc,bits,wuauserv

Perguntas frequentes

Quanto tempo é “normal” ficar em 100%?
Depende do hardware e do volume de alterações. Em servidores com disco lento, é comum levar de 10 a 30 minutos para concluir commit e limpeza após atingir 100%.

Devo interromper o servidor à força?
Evite. Se houver atividade de disco e processos de servicing rodando, aguarde. Só considere intervenção após avaliar logs, disco e rede.

Preciso instalar SSU separado?
Em builds atuais do Windows Server 2022, o SSU já vem dentro da LCU. Porém, ao aplicar manualmente um pacote antigo, pode ser necessário instalar o SSU primeiro.

É preciso reinstalar o sistema?
Raramente. Seguindo as etapas aqui, a maioria dos casos de lentidão se resolve sem reinstalação.

Seguindo a ordem acima, a maioria dos casos de lentidão se resolve sem necessidade de reinstalar o sistema.