Problemas de actualización: Windows 11 24H2 y Windows Server 2025 no reciben parches a través de WSUS

Bloqueo masivo de parches desde abril de 2025: Las ediciones de Windows 11 24H2 y Windows Server 2025 simplemente ignoran los paquetes enviados por WSUS. Este silencio interrumpe los ciclos de mantenimiento, aumenta el riesgo de ataques y ya está obligando a varias empresas a congelar sus implementaciones. Los primeros comentarios sobre el terreno apuntan a un conflicto de registro que ha surgido con la nueva estrategia de «Dual Scan». El reto es claro: restablecer un canal de actualización fiable lo antes posible sin esperar un parche oficial de Microsoft. Windows 11 24H2 y Windows Server 2025 desconectados de WSUS: impacto inmediato. El problema se produce en cuanto una estación de trabajo o servidor se actualiza a la versión 24H2. Las máquinas aparecen en la consola de Windows Server Update Services, pero no se descargan actualizaciones. Como resultado, el panel de seguridad parpadea en rojo, mientras que los administradores ven un montón de alertas de CVE sin parchear. En un grupo industrial francés con 5000 estaciones de trabajo, el departamento de TI tuvo que revertir urgentemente a una antigua instantánea de Azure para proteger los controladores de Active Directory. Una situación similar se produjo en una consulta médica, donde los parches antivirus dependían de Windows Update sin conexión a través de System Center. En cada ocasión, la cadena de cumplimiento fallaba y la gerencia exigía una solución antes de la auditoría mensual. Este bloqueo es aún más crítico, ya que Microsoft centra sus boletines de seguridad en el ecosistema Windows. Sin WSUS, es imposible probar un parche en el laboratorio o controlar la fase piloto. Los parches acumulativos se convierten en una situación de «todo o nada», donde cada reinicio se realiza a ciegas. Los departamentos de TI ya temen la combinación clásica: pérdida de productividad, mayor exposición y mayores costos de mantenimiento.

Origen del error: nuevas claves de registro y un «Dual Scan» mal dirigido.

El diagnóstico ahora es claro: la versión 24H2 introduce varios valores, incluido «DeferFeatureUpdate». , que controlan la coexistencia entre WSUS y Windows Update for Business. Cuando estas claves permanecen en cero, el cliente intenta un doble apuntamiento. Esta lógica funciona con Intune o ConfigMgr en modo de administración conjunta, pero provoca un cortocircuito si la máquina solo tiene un servidor WSUS local.El análisis de un administrador alemán muestra una solicitud HTTP a la plataforma en la nube de Microsoft, seguida de un rechazo 0x8024500c y, a continuación, un intento de WSUS que entra en bucle. Cada fallo pospone la siguiente detección durante 24 horas. Durante este tiempo, la consola simplemente muestra «Último contacto: OK», ocultando el fallo real.

La descompilación de los registros de PowerShell Get-WindowsUpdateLog también revela que el agente 24H2 busca un catálogo llamado «Microsoft Server Operating System Version 24H2». Sin embargo, en un servidor 2022, el catálogo aún conserva el ID de la generación anterior. La coincidencia falla y la descarga se detiene. Solución rápida: Script de PowerShell y directiva de grupo Dos líneas son suficientes para desbloquear la distribución. Primero, elimine las claves problemáticas: Remove-ItemProperty -Path ‘HKLM:SOFTWAREMicrosoftWindowsUpdateUXSettings’ -Name DeferFeatureUpdate Luego, fuerce la fuente de WSUS:Reg Add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /v SetPolicyDrivenUpdateSourceForDriverUpdates /t REG_DWORD /d 1 /f Una vez implementado el script mediante Intune o una GPO tradicional, el cliente reinicia la detección, descarga los paquetes y aplica la última actualización acumulativa. El departamento de TI de una pyme de Brest restableció el estado de ochenta estaciones de trabajo en menos de una hora. El mismo método funciona en el servidor: un reinicio y el parche de mayo de 2025 se implementa sin problemas. Para evitar que esto vuelva a ocurrir, varios expertos recomiendan habilitar el modo TargetReleaseVersion. El administrador define explícitamente «24H2» como la única versión de destino. Este bloqueo bloquea cualquier intento de migración a la nube y mantiene la coherencia con la infraestructura WSUS existente. Alternativas: Azure Update Management, Intune o System Center.Ante la incertidumbre, algunas organizaciones ya están migrando a plataformas híbridas. Con Azure Update Management, la máquina virtual implementada localmente o en la nube recibe parches a través de un agente de Log Analytics. La herramienta ofrece un panel de control ampliado e informes casi en tiempo real. El inconveniente es la latencia del catálogo: los parches suelen publicarse veinticuatro horas después de WSUS.

ConfigMgr sigue siendo la referencia para entornos que desean combinar el inventario de hardware, la implementación de aplicaciones y la administración de parches. En el modo «Conexión a la nube», envía parches y permite al departamento de seguridad aprobar o rechazar una base de conocimientos. La integración con Intune simplifica la administración remota de estaciones de trabajo y evita la apertura de puertos VPN. Finalmente, algunos departamentos de TI simplemente optan por liberar el tráfico directo a Windows Update. Esta solución reduce la carga del servidor, pero elimina el control granular. En un entorno regulatorio estricto, solo es aceptable con un entorno aislado de Active Directory y una estrategia de implementación por fases mediante anillos. Perspectiva: Tras la descontinuación de WSUS, ¿cuál es la hoja de ruta? Microsoft ha confirmado el fin del desarrollo activo de WSUS, al tiempo que garantiza su soporte hasta 2034. Esta postura deja nueve años para la migración. Los comentarios sobre la crisis de 24H2 nos recuerdan que un cambio no se trata solo de cambiar de herramientas. Es necesario revisar la gobernanza de parches, reescribir los procedimientos de escalamiento y crear un laboratorio de pruebas automatizado. La tendencia apunta hacia una arquitectura mixta: Windows Update for Business para estaciones de trabajo móviles, System Center o Azure.para cargas de trabajo de servidor y un canal de emergencia administrado por PowerShell para parches fuera de banda. El éxito dependerá de la capacidad de los equipos para orquestar estos flujos múltiples sin multiplicar las excepciones.

Otra opción: el prometedor catálogo unificado anunciado en Ignite 2025. Combinará controladores, firmware y paquetes de seguridad en un único punto final de API. Los comentarios iniciales privados sugieren una integración perfecta con Intune y un modelo de facturación basado en el número de nodos en lugar de la CPU. Esto debería animar incluso a los usuarios más precavidos a planificar una prueba piloto ya en el próximo trimestre.

Más allá de los aspectos técnicos, el episodio de 24H2 pone de manifiesto lo obvio: sin un mecanismo de respaldo robusto, cada cambio de versión se convierte en una apuesta arriesgada. La prioridad inmediata es documentar el parche de registro, actualizar los scripts y mantener un canal de monitorización fuera de banda. Una inversión modesta para evitar una parálisis total durante el próximo Martes de Parches. Fuente: borncity.com