Tags: WSUS, Patch-Management, Troubleshooting
Unter bestimmten Bedingungen kann es vorkommen, dass Windows das Herunterladen von Updates mit dem Fehler 0x8024401c oder 0x8024002e verweigert. Als Ursache erweist sich meist eine Gruppenrichtlinie, die etwa bei der Umstellung auf WSUS den Zugang zu Microsofts Update-Service blockiert.
Da Windows Update aus vielerlei Gründen den Dienst verweigern kann, ist es in der Regel sinnvoll, zuerst die automatische Reparaturoption in der Systemsteuerung zu bemühen. Sie findet sich unter System und Sicherheit => Sicherheit und Wartung => Problembehandlung => System und Sicherheit.
Wizard bei Fehler 0x8024401c erfolglos
Der Wizard durchläuft mehrere Dialoge, die selbsterklärend sind, und versucht sich dann an der Reparatur des Update-Dienstes. Im Fall der oben genannten Fehler diagnostizierte das Tool jedoch fälschlicherweise ein Datenbankproblem, das es dann auch nicht lösen konnte.
Eine typische Situation für das Auftreten von Fehler 0x8024401c ist etwa, wenn man Rechner über Gruppenrichtlinien an WSUS zuordnet. Bis die PCs im WSUS-Server auftauchen, kann eine gewisse Zeit vergehen.
Richtlinie gegen manuelle Updates aus dem Internet
Verwendet man aber zusätzlich die GPO-Einstellung Zugriff auf alle Windows Update-Funktionen deaktivieren, um User daran zu hindern, an WSUS vorbei Updates über das Internet zu beziehen, dann kommt es zum Fehler 0x8024401c, wenn man manuell nach Updates sucht und die WSUS (noch) nicht erreichbar sind.
Windows Update hat in dieser Situation keine Quelle, von der es Patches herunterladen kann. Dieses Problem sollte sich von selbst erledigen, sobald der betreffende Rechner Zugang zu WSUS hat.
Denkbar wären aber auch Szenarien, in denen der WSUS-Server ausgefallen oder außer Betrieb genommen worden ist, ohne die GPOs anzupassen, die den Zugriff auf Microsofts Update-Dienst blockieren. Dann bleibt das Problem natürlich bestehen.
Registry prüfen und anpassen
Neben der Kontrolle und Korrektur der GPOs gibt es in dieser Situation die Möglichkeit, den Registry-Schlüssel abzufragen, der von der oben genannten Einstellung gesetzt wird. Mit PowerShell ließe sich das so bewerkstelligen:
Get-Item "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\"
Zeigt das Ergebnis für DisableWindowsUpdateAccess den Wert 1, dann ist der Zugriff auf Microsoft Update blockiert.
Ändern kann man dies bei Bedarf auch im Registriereditor oder indem man diesen Code in einer Datei mit der Endung .reg speichert und ausführt:
Anschließend sollte man den Dienst für Windows Update neu starten, etwa durch
Restart-Service -DisplayName "Windows Update"
oder in der GUI von services.msc.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Updates über WSUS deinstallieren
- Update-Klassifizierungen in WSUS für Windows 10/11 auswählen
- Wie unterscheiden sich Security-, optionale Preview- und Außer-der-Reihe-Updates?
- UUP-Updates auf WSUS und Configuration Manager ab März verfügbar
- WSUS-Bereinigung bricht ab: Timeout für Datenbank und IIS erhöhen
Weitere Links