Su Windows Server 2019 gli aggiornamenti iniziali possono sembrare fermi al 17% con disco molto attivo. Qui trovi un percorso chiaro per distinguere un vero blocco da un’attesa fisiologica e per sbloccare Windows Update in sicurezza (SSU KB5005112, risoluzione problemi, SFC/DISM, installazione manuale).
Panoramica del problema
Dopo un’installazione fresh di Windows Server 2019 (fisico o VM), il primo giro di patch può restare “inchiodato” visivamente al 17% anche per molto tempo. In realtà, dietro le quinte il sistema esegue attività intense di staging dei pacchetti, validazioni del component store e compattazioni, tutte operazioni I/O‑intensive (file e cataloghi CAB, WinSxS, firma, component based servicing). Se il disco continua a lavorare e processi come TiWorker.exe (Windows Modules Installer Worker) e TrustedInstaller.exe sono attivi, nella maggior parte dei casi non c’è un blocco “hard”, ma un’attesa fisiologica.
Come capire se è bloccato davvero
Prima di intervenire, verifica questi segnali. Aiutano a decidere se attendere ancora oppure passare subito alla correzione.
| Segnale | Cosa indica | Azione consigliata |
|---|---|---|
Disco al 80–100% per diversi minuti, picchi su C:\Windows\WinSxS e C:\Windows\SoftwareDistribution | Staging/validazione pacchetti in corso | Attendere; monitorare con Gestione Attività/Resource Monitor |
Processi TiWorker.exe e TrustedInstaller.exe presenti e con CPU/DISK attivi | Windows Modules Installer sta lavorando | Attendere; non forzare un riavvio |
Log WindowsUpdateClient/Operational cresce | Download/staging procedono | Attendere e osservare eventuali errori |
| Nessuna attività disco/CPU per oltre 20–30 minuti, UI ferma, log invariati | Possibile stallo | Procedere con i passaggi di correzione sotto |
Regole d’oro: non forzare lo spegnimento se c’è attività su disco; prima di interventi manuali crea un backup o uno snapshot/Checkpoint della VM; assicurati di avere spazio libero sufficiente (consigliati >10–15 GB su C: per i primi cumulativi).
Checklist di sicurezza prima degli interventi
- Sessione con privilegi amministrativi (elevated).
- Backup/snapshot recente e finestra di manutenzione definita.
- Connettività verso Windows Update o WSUS (DNS e proxy corretti).
- Spazio su disco sufficiente e nessuna quota/limitazione sul volume di sistema.
Verifica del Servicing Stack Update (SSU) KB5005112
Il Servicing Stack Update (SSU) è il “motore” di Windows Update. Senza un SSU recente, il cumulativo può fermarsi o riprovare all’infinito. Per Windows Server 2019 è fondamentale che sia presente KB5005112.
Come verificare se KB5005112 è installato
Get-HotFix -Id KB5005112Se non restituisce nulla, puoi cercarlo tra i pacchetti:
DISM /Online /Get-Packages | findstr 5005112Se manca, installarlo prima di tutto
- Scarica il pacchetto SSU
KB5005112dal Microsoft Update Catalog (file.msuper Windows Server 2019). - Esegui l’installazione silenziosa:
wusa.exe C:\Percorso\KB5005112.msu /quiet /norestart - Riavvia se richiesto.
Nota: l’SSU non richiede spesso riavvio, ma è comunque consigliato dopo l’installazione se prevedi di applicare un cumulativo immediatamente.
Eseguire lo strumento di risoluzione dei problemi di Windows Update
Con interfaccia Desktop Experience:
- Impostazioni → Aggiornamento e sicurezza → Risoluzione dei problemi → Strumenti aggiuntivi → Windows Update.
- Avvia la diagnostica e applica le correzioni proposte (ripristino componenti WU, BITS, criteri, cache).
In ambienti Server Core puoi avviare la diagnostica da riga di comando:
msdt.exe /id WindowsUpdateDiagnosticRiparare file di sistema e componenti di immagine
La corruzione del component store (CBS) o dei file di sistema è una causa tipica di aggiornamenti bloccati.
System File Checker
sfc /scannowSe SFC trova e ripara errori, riavvia e riprova l’aggiornamento.
DISM RestoreHealth
DISM /Online /Cleanup-Image /RestoreHealthOpzionalmente, un controllo preliminare:
DISM /Online /Cleanup-Image /ScanHealthSe RestoreHealth restituisce errori sorgente, specifica una sorgente (WIM/ISO della stessa build) con:
DISM /Online /Cleanup-Image /RestoreHealth /Source:wim:D:\sources\install.wim:1 /LimitAccessInstallazione manuale del cumulativo (se il download automatico fallisce)
Quando il download o lo staging automatico falliscono, installare il cumulativo offline è spesso risolutivo.
Preparazione cartelle
mkdir C:\temp
mkdir C:\temp\cabScaricare il cumulativo
Dal Microsoft Update Catalog salva in C:\temp il file .msu del cumulativo desiderato (compatibile con Windows Server 2019).
Estrarre il pacchetto CAB
expand -F:* C:\temp\Aggiornamento.msu C:\temp\cabInstallare il CAB con DISM
DISM /Online /Add-Package /PackagePath:C:\temp\cab\Aggiornamento.cabSe richiesto, riavvia al termine.
Quando è “normale” attendere
Nel caso riportato, l’update si è completato da solo dopo un periodo prolungato. È normale che i primi aggiornamenti su Windows Server 2019 richiedano decine di minuti, specialmente su hardware nuovo o VM appena create. Finché vedi attività su disco/CPU e i log si aggiornano, non forzare la chiusura: interrompere nel mezzo del component servicing può corrompere il sistema.
Ripristino sicuro dei componenti di Windows Update (opzionale ma efficace)
Se tutto sopra non basta, effettua un reset mirato di WU e BITS. Esegui i comandi in un prompt elevato:
net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserverAl termine, esegui una nuova ricerca aggiornamenti oppure avvia la scansione con USOClient:
UsoClient StartScanAmbienti con WSUS o criteri di gruppo
Se il server è unito a dominio, i criteri potrebbero imporre l’uso di un WSUS. Se WSUS non ha approvato il cumulativo richiesto (o non ha l’SSU), la UI può restare ferma al 17% in attesa.
- Verifica assegnazione WSUS:
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v WUServer reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU - Conferma i criteri applicati:
gpresult /h C:\temp\gp.html - Forza una nuova scansione:
UsoClient StartScan UsoClient StartDownload UsoClient StartInstall
Se stai usando WSUS, verifica che il prodotto “Windows Server 2019” sia selezionato e che siano approvati SSU e cumulativo corrente.
Strumenti utili di osservazione
Log e tracciati
- Event Viewer: Applications and Services Logs → Microsoft → Windows → WindowsUpdateClient → Operational.
- Log CBS:
C:\Windows\Logs\CBS\CBS.log(cerca ERROR, 0x800f… ). - Unione log WU: su 2019 usa PowerShell per creare
WindowsUpdate.logleggibile:Get-WindowsUpdateLog -LogPath C:\temp\WindowsUpdate.log
Processi da monitorare
| Processo | Ruolo | Cosa osservare |
|---|---|---|
TiWorker.exe | Windows Modules Installer Worker | CPU/DISK variabili ma presenti → aggiornamento in corso |
TrustedInstaller.exe | Installazione componenti | Uso disco su WinSxS e Servicing |
svchost.exe (wuauserv) | Windows Update | Attività di download e staging |
bits | Background Intelligent Transfer | Trasferimenti in coda; rate costante |
Scenario pratico risolto
Un utente ha segnalato che dopo l’installazione di Windows Server 2019 Windows Update è rimasto fermo al 17% per circa un’ora con disco in attività continua. Seguendo il percorso qui sopra (controllo SSU KB5005112, diagnostica, SFC/DISM), l’update si è risolto da solo dopo un lungo periodo senza richiedere interventi invasivi. Al termine, il server è stato riavviato e non risultavano ulteriori pacchetti in sospeso.
Domande frequenti
Devo forzare il riavvio se la barra resta al 17%?
No, se il disco è attivo e i processi di servizio stanno lavorando. Un riavvio forzato durante lo staging può corrompere file di sistema e allungare i tempi.
Quanto spazio serve per i primi aggiornamenti?
Consiglia almeno 10–15 GB liberi su C: per consentire download, estrazione e staging dei pacchetti. Se lo spazio scende, il sistema può rallentare o fermarsi.
Antivirus/EDR possono interferire?
Sì, specialmente con scansioni in tempo reale su C:\Windows\SoftwareDistribution e C:\Windows\WinSxS. Se la tua policy lo consente, valuta un’esclusione temporanea limitata al tempo dell’aggiornamento.
Uso Server Core: come aggiorno?
Apri sconfig e usa le voci per configurare Windows Update (ricerca, installazione, riavvio). In alternativa utilizza UsoClient da riga di comando o installa pacchetti manuali con DISM.
Quali errori devo cercare nei log?
Codici 0x800f09xx e 0x8024xxxx sono tipici di problemi CBS o di comunicazione con WU/WSUS. In questi casi SFC/DISM e reset componenti WU risultano spesso risolutivi.
Percorso completo consigliato (riassunto operativo)
- Backup/Snapshot e verifica spazio su disco.
- Controllo SSU KB5005112: se manca, installalo prima del cumulativo.
- Windows Update Troubleshooter: applica le correzioni proposte.
- SFC e DISM: ripara file e componenti di immagine.
sfc /scannow DISM /Online /Cleanup-Image /RestoreHealth - Se ancora bloccato: installa manualmente il cumulativo via
DISMda file.cab.mkdir C:\temp && mkdir C:\temp\cab expand -F:* C:\temp\Aggiornamento.msu C:\temp\cab DISM /Online /Add-Package /PackagePath:C:\temp\cab\Aggiornamento.cab - Opzionale: reset dei componenti di Windows Update e nuova scansione.
- Riavvio e verifica pacchetti in sospeso (
Impostazioni → Windows UpdateoGet-HotFix).
Verifiche post‑aggiornamento
- Controlla che non ci siano installazioni in coda o riavvii pendenti (Pending reboot).
- Elenca gli hotfix installati:
Get-HotFix | Sort-Object InstalledOn | Format-Table -Auto - Eventuali errori residui in WindowsUpdateClient/Operational e
CBS.log.
Consigli per ambienti virtualizzati e cloud
- Time Sync: tempi errati ostacolano TLS e la validazione delle firme. Allinea l’orologio (NTP/Host).
- Storage: su storage condiviso, la latenza I/O amplifica i tempi di staging; se possibile assicurati un profilo IOPS adeguato.
- Gestori patch esterni: evita sovrapposizioni tra Windows Update, WSUS e eventuali agent (Azure Update Management, SCCM). Una sola regia per volta.
Perché proprio il 17%?
La percentuale mostrata dalla UI non è una misura lineare: rappresenta macro‑fasi. Il 17% coincide spesso con lo staging e la validazione CBS del primo cumulativo dopo la RTM o dopo un SSU importante. È la fase più lunga su installazioni “vergini”, soprattutto con CPU/Disco non ancora “caldi” e cache vuote.
Template di raccolta prove (copiaincolla)
Per creare un pacchetto diagnostico utile prima di aprire un ticket:
$ts = Get-Date -Format "yyyyMMdd_HHmmss"
New-Item -ItemType Directory -Force -Path "C:\temp\diag_$ts" | Out-Null
Get-HotFix | Sort-Object InstalledOn | Out-File "C:\temp\diag_$ts\hotfix.txt"
Get-ComputerInfo | Out-File "C:\temp\diag_$ts\computerinfo.txt"
Get-WindowsUpdateLog -LogPath "C:\temp\diag_$ts\WindowsUpdate.log"
Copy-Item "C:\Windows\Logs\CBS\CBS.log" "C:\temp\diag_$ts\CBS.log" -ErrorAction SilentlyContinue
wevtutil epl Microsoft-Windows-WindowsUpdateClient/Operational "C:\temp\diag_$ts\WU.evtx"
wevtutil epl System "C:\temp\diag_$ts\System.evtx"
Riepilogo finale
Un aggiornamento fermo al 17% su Windows Server 2019 non significa necessariamente blocco: spesso è la fase di staging più intensa. Agendo in modo ordinato — verifica ed eventuale installazione dell’SSU KB5005112, esecuzione della diagnostica di Windows Update, riparazione con SFC/DISM e, se necessario, installazione manuale del cumulativo — si porta il server a regime senza rischi. Solo in caso di reale stallo procedi con il reset dei componenti WU o con la correzione di policy/WSUS. Al termine, riavvia e verifica che non restino pacchetti in sospeso.
Appendice: comandi chiave a colpo d’occhio
| Obiettivo | Comando |
|---|---|
| Verifica SSU KB5005112 | Get-HotFix -Id KB5005112 |
| Riparazione file di sistema | sfc /scannow |
| Riparazione component store | DISM /Online /Cleanup-Image /RestoreHealth |
| Estrazione CAB da MSU | expand -F:* C:\temp\Aggiornamento.msu C:\temp\cab |
| Installazione cumulativo da CAB | DISM /Online /Add-Package /PackagePath:C:\temp\cab\Aggiornamento.cab |
| Reset componenti WU | net stop wuauserv … ren SoftwareDistribution … net start wuauserv |
| Forzare scansione | UsoClient StartScan |
Buone pratiche finali: non forzare il riavvio se l’indicatore resta fermo ma il disco lavora; prima di interventi manuali crea un backup/istantanea; dopo gli aggiornamenti riavvia e verifica code pendenti. In molti casi il sistema completa gli update in autonomia quando gli si concede il tempo necessario.
Ringraziamenti: il caso risolto riportato conferma che la corretta sequenza SSU → diagnostica → SFC/DISM → (eventuale) installazione manuale è spesso sufficiente, senza interventi aggiuntivi.