Se o seu Windows Server 2022 parou de atualizar ou de permitir adicionar/remover funções, um “repair install” (atualização in‑place) a partir do ISO é, frequentemente, a forma mais rápida e segura de restaurar o subsistema de atualização — sem perder partilhas SMB nem permissões NTFS.
Visão geral e resposta curta
Sim: ao executar o setup do ISO do Windows Server 2022 a partir do próprio sistema e escolher “Manter ficheiros e aplicações” (Keep personal files and apps), o assistente preserva:
- Partilhas SMB e respetivas ACLs (armazenadas no registo e herdadas da NTFS);
- Permissões NTFS de ficheiros/pastas;
- Funções (roles) e funcionalidades instaladas.
Na prática, é como reinstalar os componentes do sistema sobre a mesma instalação, corrigindo ficheiros corrompidos e o motor de atualização, sem tocar no conteúdo dos volumes de dados nem nas partilhas configuradas. Em vários cenários reportados, após o repair as updates voltaram a funcionar e voltou a ser possível gerir roles normalmente — sem perdas de partilhas nem de permissões.
O que o repair in‑place faz (e o que não faz)
Para alinhar expectativas, veja um resumo do que costuma ser preservado e do que requer atenção:
| Componente | Comportamento esperado | Observações |
|---|---|---|
| Partilhas SMB | Preservadas | Entradas em HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares; ACLs seguidas da NTFS. |
| Permissões NTFS | Preservadas | Attributes/ACLs mantidos no volume; rotina não formata nem move dados. |
| Funções e funcionalidades | Preservadas | Inclui AD DS, DNS, DHCP, FSRM, Hyper‑V, etc. Valide serviços após o reboot. |
| Drivers | Preservados | É recomendável ter pacotes atualizados do fabricante (NIC/Storage). |
| Apps/Agentes | Preservados | Agentes de backup, EDR/AV e monitorização costumam sobreviver, mas podem exigir reparo/revalidação. |
| Licenciamento | Preservado | Pode solicitar reativação em raros casos; tenha a chave/lis. por perto. |
| Configurações de rede | Preservadas | Endereços IP, VLANs e teaming LBFO/SET usualmente mantidos. Confira após a conclusão. |
| BitLocker | Requer atenção | Suspender proteções antes do setup evita pedidas de recuperação e falhas. |
| Clustering | Requer planejamento | Pause e esvazie o nó (drain) antes. Atualize um nó de cada vez. |
Boas práticas e preparação (recomendado)
Apesar do processo ser seguro, adote práticas de mudança para reduzir risco e tempo de restauração, caso algo inesperado aconteça.
Backups rápidos e exportações úteis
Exportar partilhas SMB (inventário):
Get-SmbShare -Special $false | Export-Csv C:\Backup\SmbShares.csv -NoTypeInformation
Exportar chaves das partilhas:
reg export HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares C:\Backup\Shares.reg
Guardar permissões NTFS:
icacls D:\Dados /save C:\Backup\acls.txt /t
Opcional — System State:
wbadmin start systemstatebackup -backuptarget:E:
Dicas adicionais por função (opcional, conforme o que existe no servidor):
- DHCP:
Backup-DhcpServer -ComputerName localhost -Path C:\Backup\DHCP - FSRM:
dir "C:\System Volume Information\SRM" /s(e snapshots se aplicável) ou exportações via GUI. - Serviços de Impressão: usar
PrintBRM.exepara exportar filas e drivers. - AD CS:
certutil -backupdbe, se houver chaves,certutil -backupkey. - Hyper‑V: confirme
Get-VMe prepare backups consistentes.
Janela de manutenção e energia
- Garanta UPS ou energia estável. Em VMs, crie um checkpoint apenas se a sua política permitir e evite snapshots de Controladores de Domínio (risco de USN rollback). Prefira System State e backup com reconhecimento de aplicações.
- Desative temporariamente BitLocker no volume do SO:
manage-bde -protectors -disable C: -RebootCount 1. - Considere colocar EDR/AV em modo de manutenção para não interferir no setup.
Verificações rápidas de saúde
Antes de iniciar, vale a pena tentar reparar componentes de imagem e sistema:
DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow
Se o Windows Update/servicing estiver muito danificado, estes comandos podem não resolver — e é aí que o repair in‑place brilha.
Passo a passo: reparar/atualizar in‑place no Windows Server 2022
- Inventarie idioma, edição e tipo do sistema. No PowerShell/Prompt:
dism /online /Get-Intl Get-WinSystemLocale DISM /online /Get-CurrentEdition Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion' | Select InstallationType, EditionID, ProductName Get-PSDrive -Name CGuarde as saídas. Verifique se é Desktop Experience ou Server Core, edição (Standard/Datacenter) e locale (pt‑PT, pt‑BR, en‑US, etc.). - Obtenha o ISO correto. Precisa ser do mesmo idioma, mesma edição e mesmo tipo de instalação (Core vs Desktop).
- Confirme espaço livre. Tenha pelo menos 15–20 GB de margem na unidade do SO.
- Monte o ISO e, no próprio Windows, execute
setup.exe(não inicialize pelo boot do ISO). Ative Dynamic Update:<LetraDoISO>:\setup.exe /DynamicUpdate enable - Selecione “Download updates…” quando solicitado e, em “Choose what to keep”, escolha “Manter ficheiros e aplicações”.
- Conclua o assistente. O servidor vai reiniciar algumas vezes.
- Valide pós‑reparo. Veja a secção de validação abaixo.
Quando a opção “Manter ficheiros e aplicações” aparece acinzentada
Se o setup não permitir manter ficheiros/apps, as causas mais comuns são:
| Causa provável | Como verificar | Como corrigir |
|---|---|---|
| Idioma do ISO diferente do SO | dism /online /Get-Intl e Get-WinSystemLocale | Use um ISO com o mesmo idioma do sistema. |
| Edição/tipo diferentes (Standard vs Datacenter; Core vs Desktop) | DISM /online /Get-CurrentEdition e InstallationType no registo | Escolha um ISO que contenha a mesma edição e tipo. |
| Evaluation vs Retail/Volume/OEM | EditionID e ProductName no registo | Converter antes com DISM /Online /Set-Edition:<Alvo> /ProductKey:<chave> /AcceptEula. |
| Espaço insuficiente | Get-PSDrive -Name C | Libere espaço, limpe temporários, aumente o disco. |
| Setup iniciado via boot do ISO | Assistente não oferece “keep” quando arrancado pelo ISO | Monte o ISO no Windows e execute setup.exe de dentro do SO. |
| ISO desatualizada/canal inadequado | dism /Get-WimInfo /WimFile:D:\sources\install.wim | Use ISO oficial do mesmo idioma/edição; em Azure/ROK, alinhe exatamente. |
Se necessário, consulte os logs de compatibilidade para entender o bloqueio:
C:\$WINDOWS.~BT\Sources\Panther\setupact.log
C:\$WINDOWS.~BT\Sources\Panther\setuperr.log
C:\$WINDOWS.~BT\Sources\Panther\compat*.xml
Comandos úteis para inspeção e alinhamento
Idioma/locale do sistema:
dism /online /Get-Intl
Get-WinSystemLocale
Edição e tipo de instalação:
DISM /online /Get-CurrentEdition
Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion' |
Select InstallationType, EditionID, ProductName
Conteúdos do ISO (editions):
dism /Get-WimInfo /WimFile:D:\sources\install.wim
Converter Evaluation para Retail/Volume/OEM (exemplo):
DISM /Online /Set-Edition:ServerDatacenter /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula
Validação pós‑reparo (checklist)
Depois que o servidor voltar, valide rapidamente os pontos críticos.
- Serviço SMB e partilhas:
Get-SmbShare -Special $false | Format-Table Name,Path,FolderEnumerationMode,ConcurrentUserLimit Test-NetConnection -ComputerName localhost -Port 445 net share - Permissões NTFS: faça um spot‑check:
icacls D:\Dados - Windows Update: abra o Settings > Update e confirme que a verificação/instalação funciona. Se usa WSUS, confirme a deteção.
- Funções/serviços: verifique serviços críticos (AD DS/DNS/DHCP/FSRM/Hyper‑V/SQL/etc.). Em DCs:
dcdiag /v repadmin /replsummary - Eventos: procure erros recentes no Event Viewer (System, Application, Setup).
- Rede: confira IPs, VLANs e teaming (LBFO/SET).
Get-NetIPAddress Get-NetAdapter Get-NetLbfoTeam
Plano B: se a opção continuar desativada
Se, mesmo após alinhar idioma/edição/tipo e assegurar espaço livre, a opção “Manter ficheiros e aplicações” seguir indisponível, o caminho mais previsível é:
- Backup (exports acima + System State).
- Instalação limpa da mesma edição/idioma.
- Reaplicar partilhas e ACLs usando os exports:
reg import C:\Backup\Shares.reg icacls D:\Dados /restore C:\Backup\acls.txtConfirme cada partilha (Get-SmbShare) e efetue spot‑checks de permissões. - Reinstalar agentes (backup, EDR, monitorização) e validar roles.
Cenários especiais e dicas profissionais
Controladores de Domínio (AD DS)
- O repair in‑place é suportado e costuma funcionar sem impacto, mas faça System State e assegure replicação saudável (
dcdiag,repadmin) antes. - Se houver forest/domain functional level antigo ou topologia delicada, pese a alternativa clássica: introduzir um novo DC, transferir funções FSMO e aposentar o antigo.
- Evite snapshots em DCs. Se sua plataforma exigir, garanta consistência de AD (aplicação‑consciente).
Failover Clustering
- Atualize um nó por vez. Pause e esvazie o nó:
Suspend-ClusterNode -Drain Resume-ClusterNode - Valide o cluster após cada nó (
Test-Cluster).
Servidores de ficheiros com deduplicação/FSRM
- A deduplicação e quotas FSRM são preservadas, mas revalide tarefas e relatórios. Mantenha drivers/storage up‑to‑date.
NIC Teaming, drivers e firmware
- Tenha drivers e firmware recentes (especialmente NIC/Storage). Em broadcom/HPE/DELL, use os pacotes do fabricante.
- Registe a configuração do teaming antes. Após o reparo, confirme status e tráfego.
Segurança: BitLocker, Credential Guard, EDR
- Suspender BitLocker evita loops de recuperação. Reative no fim:
manage-bde -protectors -enable C:. - Algumas soluções EDR/AV aplicam tamper protection. Planeie janelas e exclusões temporárias para o setup.
Checklist condensado
- Inventarie idioma, edição e tipo (Core/Desktop).
- Faça exports críticos:
Get-SmbShare -Special $false | Export-Csv C:\Backup\SmbShares.csv -NoTypeInformation reg export HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares C:\Backup\Shares.reg icacls D:\Dados /save C:\Backup\acls.txt /t wbadmin start systemstatebackup -backuptarget:E: - Garanta 20 GB livres no sistema e energia estável.
- Monte o ISO correto e execute:
<LetraDoISO>:\setup.exe /DynamicUpdate enable - Escolha “Manter ficheiros e aplicações”.
- Após reinícios, valide:
Get-SmbShare -Special $false icacls D:\DadosE teste Windows Update e (se houver) comandos de saúde de DC/Cluster.
Resolução de problemas (FAQ)
Posso executar este processo a partir do boot do ISO?
Não. Se arrancar pelo ISO, o assistente não oferece a opção de manter ficheiros/aplicações. Tem de iniciar setup.exe de dentro do Windows.
Quanto espaço o assistente precisa?
Planeie pelo menos 15–20 GB livres em C:. O processo cria uma pasta temporária ($WINDOWS.~BT) e pode gerar Windows.old.
E se a edição for Evaluation?
Converta antes para Standard/Datacenter correspondente com DISM /Online /Set-Edition e uma chave válida. Só então o setup permitirá manter apps e dados.
As minhas partilhas estão num volume diferente de C:; isso influencia?
Não. As partilhas são descritas no registo e apontam para caminhos NTFS. Como o processo não mexe nos volumes de dados, as ACLs e apontadores são preservados.
Preciso reinstalar roles depois?
Em regra, não. Ainda assim, valide serviços e tarefas agendadas associadas a cada role.
Como restauro permissões NTFS se algo falhar?
Use o dump que fez com icacls:
icacls D:\Dados /restore C:\Backup\acls.txt
As partilhas desapareceram, e agora?
Reimporte a chave exportada:
reg import C:\Backup\Shares.reg
Depois reinicie o LanmanServer ou o servidor, e confirme com Get-SmbShare.
Tenho um servidor crítico (SQL, Veeam, Proxy, etc.). É seguro?
A operação é segura, mas programe uma janela, pare serviços que gravam intensamente dados durante o processo e valide a aplicação após o repair. Alguns agentes podem precisar de reparo/reativação.
Exemplo prático completo
Este é um roteiro que pode copiar/ajustar ao seu ambiente (execute como administrador):
:: 1) Inventário
dism /online /Get-Intl
DISM /online /Get-CurrentEdition
powershell -NoLogo -Command "Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion' | Select InstallationType, EditionID, ProductName"
powershell -NoLogo -Command "Get-PSDrive -Name C"
\:: 2) Backups/exports
powershell -NoLogo -Command "Get-SmbShare -Special \$false | Export-Csv C:\Backup\SmbShares.csv -NoTypeInformation"
reg export HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares C:\Backup\Shares.reg /y
icacls D:\Dados /save C:\Backup\acls.txt /t
wbadmin start systemstatebackup -backuptarget\:E:
\:: 3) (Opcional) Saúde do sistema
DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow
\:: 4) Suspender BitLocker (se ativo)
manage-bde -protectors -disable C: -RebootCount 1
\:: 5) Executar setup com Dynamic Update (ajuste a letra do ISO)
D:\setup.exe /DynamicUpdate enable
\:: 6) No assistente, escolher "Manter ficheiros e aplicações"
\:: 7) Validação pós-reparo
powershell -NoLogo -Command "Get-SmbShare -Special \$false"
icacls D:\Dados Resumo executivo
Quando o Windows Server 2022 trava em updates ou na gestão de roles, o repair in‑place é um procedimento orientado a uptime que costuma resolver o problema sem reconfigurações: as partilhas SMB, permissões NTFS e funções instaladas são preservadas. Garanta apenas o alinhamento de idioma/edição/tipo do ISO com o SO instalado e siga as boas práticas de backup e validação pós‑mudança. Se o assistente insistir em bloquear a opção de manter ficheiros/apps, converta edições Evaluation, verifique o locale, confirme espaço livre e rode o setup a partir do Windows. Persistindo o bloqueio, um plano B com instalação limpa e reaplicação de partilhas/ACLs, com base nos exports, minimiza esforço e tempo de paragem.
Apêndice: comandos de referência
Exportações e verificação de partilhas/ACLs
Get-SmbShare -Special $false | Export-Csv C:\Backup\SmbShares.csv -NoTypeInformation
reg export HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares C:\Backup\Shares.reg
icacls D:\Dados /save C:\Backup\acls.txt /t
icacls D:\Dados /restore C:\Backup\acls.txt
Informação do sistema e ISO
dism /online /Get-Intl
Get-WinSystemLocale
DISM /online /Get-CurrentEdition
Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion' | Select InstallationType, EditionID, ProductName
dism /Get-WimInfo /WimFile:D:\sources\install.wim
Conversão de edição (se Eval)
DISM /Online /Set-Edition:ServerStandard /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula
DISM /Online /Set-Edition:ServerDatacenter /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula
Execução do setup
<LetraDoISO>:\setup.exe /DynamicUpdate enable
Verificações pós‑reparo
Get-SmbShare -Special $false
Test-NetConnection -ComputerName localhost -Port 445
dcdiag /v
repadmin /replsummary
Com este guia, administradores de ambientes lusófonos têm um roteiro prático e detalhado para recuperar a capacidade de atualização do Windows Server 2022 — com foco em preservar partilhas SMB, permissões NTFS e continuidade dos serviços.