Windows-Updates wirken auf den ersten Blick wie ein einzelner Mechanismus, bestehen in der Praxis jedoch aus mehreren Diensten, COM-/RPC-Interaktionen, Aufgaben der Aufgabenplanung, lokalen Datenablagen, Richtlinien- und Registry-Einstellungen sowie verschiedenen Protokollquellen. In Unternehmensumgebungen und auch auf Einzelgeräten entstehen Fehler häufig nicht durch „das Update“ selbst, sondern durch unterbrochene Abhängigkeiten: ein deaktivierter Dienst, beschädigte Update-Datenbanken, blockierte BITS-Transfers, fehlerhafte Servicing-Komponenten, inkonsistente Komponentenstore-Zustände oder Richtlinien, die den Ablauf verändern. Wer Update-Fehler systematisch eingrenzen will, braucht belastbare Zuordnungen: Welcher Dienst ist für welche Phase zuständig, welcher Prozess hostet ihn, welche Ordner und Datenbanken werden genutzt, welche geplanten Tasks greifen ein, wo liegen die relevanten Registry-Schlüssel und welche Logs liefern pro Komponente die verwertbaren Spuren. Aus Sicht der Fehlersuche lautet die Kernfrage daher nicht „Warum schlägt das Update fehl?“, sondern „Welche Windows-Update-Komponente ist in welcher Stufe beteiligt und wie lässt sich ihr Zustand anhand konkreter Artefakte prüfen?“
Inhalt
- Dienste und Prozesse: wuauserv, UsoSvc, BITS, DoSvc, WaaSMedicSvc, CryptSvc und TrustedInstaller im Zusammenspiel
- Dateisystem, Registry und Aufgabenplanung: zentrale Pfade, Datenbanken, Richtlinien und geplante Jobs der Update-Pipeline
- Logs und Fehlercodes: Zuordnung typischer HRESULT/Win32-Codes zu Komponenten und Vorgehen zur Ursachenabgrenzung
Dienste und Prozesse: wuauserv, UsoSvc, BITS, DoSvc, WaaSMedicSvc, CryptSvc und TrustedInstaller im Zusammenspiel
Die Windows-Update-Laufzeit besteht nicht aus einem einzelnen Dienst, sondern aus einem Geflecht aus Orchestrierung, Transport, Inhaltsbereitstellung, Kryptografie/Vertrauen und Installationslogik. In der Praxis treten Fehler oft dort auf, wo Verantwortlichkeiten überlappen: Der Update-Orchestrator plant und stößt an, der Windows-Update-Dienst bewertet und verwaltet Sessions, BITS und Delivery Optimization transportieren Inhalte, Cryptographic Services validiert Signaturen und Zertifikatsketten, und der Windows Modules Installer (TrustedInstaller) führt die paketbasierte Installation über CBS aus. WaaSMedicSvc greift zusätzlich ein, wenn Update-Komponenten als „reparaturbedürftig“ eingestuft werden.
Rollenverteilung und Prozesszuordnung
wuauserv bildet die klassische Windows-Update-Engine (WUAgent) für Suche, Bewertung und Teile der Download-/Installationssteuerung, interagiert jedoch seit Windows 10/11 eng mit UsoSvc (Update Orchestrator Service). UsoSvc übernimmt die „Taktung“: Wartungsfenster, Reboots, Scan-/Install-Trigger und Koordination mit Aufgabenplanung. Der eigentliche Datenpfad nutzt je nach Richtlinien und Szenario BITS oder DoSvc (Delivery Optimization). Kryptografische Prüfungen laufen zentral über CryptSvc; die eigentliche Paketinstallation, Servicing-Stack-Aktionen und Komponentenstore-Operationen laufen unter dem Dienst Windows Modules Installer (Dienstname TrustedInstaller) und der CBS-Engine; als Worker-Prozess ist dabei häufig TiWorker.exe sichtbar.
Mehrere dieser Dienste laufen typischerweise in svchost.exe-Instanzen mit spezifischen Service-Gruppierungen; die exakte Gruppierung kann build- und editionsabhängig sein. Für die Zuordnung sind die Abfragen über den Service Control Manager verlässlicher als Prozessnamen allein, da insbesondere svchost.exe mehrere Services hosten kann.
| Komponente | Dienstname (ServiceName) | Typischer Prozess/Host | Kernaufgabe im Updatepfad |
|---|---|---|---|
| Windows Update | wuauserv |
svchost.exe |
Scan-/Evaluierungslogik, Verwaltung von Update-Sessions, Schnittstellen zu WU-APIs |
| Update Orchestrator | UsoSvc |
svchost.exe |
Orchestrierung von Scan/Download/Install, Wartungs- und Neustartkoordination |
| Background Intelligent Transfer Service | BITS |
svchost.exe |
HTTP(S)-Transfers im Hintergrund (Jobs/Queues), robust bei Verbindungswechseln |
| Delivery Optimization | DoSvc |
svchost.exe |
Content-Distribution (HTTP + optional P2P), Cache-Management für Updateinhalte |
| WaaS Medic | WaaSMedicSvc |
svchost.exe |
Reparatur/Remediation von Update-Komponenten und -Konfigurationen |
| Kryptografiedienste | CryptSvc |
svchost.exe |
Signatur- und Kettenvalidierung, Katalogverwaltung, Vertrauen für Pakete |
| Windows Modules Installer | TrustedInstaller |
svchost.exe (Dienst) / TiWorker.exe (Worker) |
Paketinstallation über CBS, Komponentenstore (WinSxS), Commit/Rollback |
Wichtige Pfade, Registry-Bezüge und Log-Dateien
Für die Fehleranalyse sind Dateisystem- und Protokollpfade entscheidend, weil sie die Komponente zeigen, die tatsächlich „scheitert“. In aktuellen Windows-Versionen schreibt die WU-Engine Diagnose in ETL-Formate, während die Servicing-Engine weiterhin textbasierte CBS-Protokolle erzeugt. Parallel dazu liefern BITS- und Delivery-Optimization-Events Hinweise auf Transportfehler, Timeouts oder Content-Hash-Konflikte.
- Service-Details und Starttyp prüfen:
sc.exe qc wuauservsc.exe qc usosvcsc.exe qc bitssc.exe qc dosvcsc.exe qc waasmedicsvcsc.exe qc cryptsvcsc.exe qc trustedinstaller - Prozesszuordnung verifizieren:
tasklist /svc /fi "imagename eq svchost.exe"sc.exe queryex wuauservsc.exe queryex trustedinstaller - WU- und Orchestrator-Logquellen (typisch):
%windir%\Logs\WindowsUpdate\(ETL/diagnostische Logs, je nach Build)Get-WindowsUpdateLog(PowerShell, erzeugt eine lesbare Zusammenführung aus ETL auf unterstützten Systemen) - Servicing-/TrustedInstaller-Protokolle:
%windir%\Logs\CBS\CBS.log%windir%\Logs\CBS\CbsPersist_*.log - Delivery Optimization Daten/Cache und Diagnose:
%ProgramData%\Microsoft\Windows\DeliveryOptimization\Get-DeliveryOptimizationStatus - WU-relevante Arbeitsordner:
%windir%\SoftwareDistribution\(u. a. Download/Datastore; Lebenszyklus wird durch WU verwaltet)
Registry-Schlüssel werden im Updatepfad vor allem als Richtlinien- und Statusquellen genutzt. Für die Dienstkonfiguration ist HKLM\SYSTEM\CurrentControlSet\Services\<Dienstname> maßgeblich (z. B. HKLM\SYSTEM\CurrentControlSet\Services\wuauserv), während Update-Policies üblicherweise unter HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate und ... \AU liegen. Die Bewertung, ob ein Download über BITS oder DO erfolgt, hängt von Windows-Version, Richtlinien und Content-Typ ab; in Mischszenarien können beide Transportkomponenten im selben Updatevorgang sichtbar werden.
Aufgabenplanung und Orchestrierung: wo UsoSvc „anfasst“
UsoSvc ist eng an Aufgaben der Aufgabenplanung gekoppelt. Diese Tasks triggern Scans, berücksichtigen Energie-/Netzwerkzustände und koordinieren Reboot-Phasen. Bei Störungen sind im Ereignisprotokoll häufig Task-Startfehler, Zugriffsprobleme oder eine blockierte Wartung zu sehen, während wuauserv selbst technisch „gesund“ bleibt.
- Typische Task-Pfade (Auswahl):
\Microsoft\Windows\UpdateOrchestrator\\Microsoft\Windows\WindowsUpdate\\Microsoft\Windows\WaaSMedic\ - Tasks inventarisieren:
schtasks.exe /Query /TN "\Microsoft\Windows\UpdateOrchestrator\*" /V /FO LISTschtasks.exe /Query /TN "\Microsoft\Windows\WindowsUpdate\*" /V /FO LIST - Laufhistorie im Eventlog korrelieren:
wevtutil qe Microsoft-Windows-TaskScheduler/Operational /q:"*[System[(Level=2 or Level=3)]]" /f:text /c:50
Abhängigkeiten und typische Fehlerbilder je Komponente
Fehlercodes lassen sich häufig einer Schicht zuordnen. Transportfehler zeigen sich eher als Netzwerk-/Timeout-/Proxy- oder Content-Integritätsprobleme; Kryptografiefehler betreffen Signaturen, Kataloge und Zertifikatsketten; Servicing-Fehler entstehen beim Anwenden von Paketen, beim Zugriff auf den Komponentenstore oder bei Pending-Operationen. Eine schnelle Komponentenzuordnung verhindert Aktionismus, etwa das „Reparieren“ von BITS bei einem reinen CBS-Fehler.
| Komponente | Häufig zuordenbare Fehlercodes (Beispiele) | Typischer Befund | Primäre Logs/Events |
|---|---|---|---|
wuauserv / WUAgent |
0x8024A105, 0x8024A000, 0x8024000B |
Scan/Orchestrierung bricht ab, Session/State inkonsistent, Metadatenprobleme | %windir%\Logs\WindowsUpdate\, WUClient-Events |
UsoSvc / Update Orchestrator |
0x8024001E (Abbruch), Folgefehler durch nicht gestartete Aktionen |
Triggers/Tasks laufen nicht, Wartungsfenster/Neustartlogik blockiert | TaskScheduler/Operational, WUClient, UpdateOrchestrator-Events |
BITS |
0x80200010, 0x80200013, 0x8020002E |
Transfer abgebrochen, Job-Queue-Fehler, Verbindungs-/Proxy-Störungen | BITS-Client-Events, bitsadmin-Status (nur Diagnose), WU-Logs |
DoSvc (Delivery Optimization) |
0x80D02002, 0x80D02010, 0x80D02011 |
DO-Download scheitert, Cache-/Content-Validierung oder CDN/P2P-Connectivity | DeliveryOptimization-Events, Get-DeliveryOptimizationStatus |
CryptSvc |
0x800B0109, 0x80092004, 0x80096001 |
Zertifikatkette/CRL/Trust-Validierung, Katalog-/Signaturprüfung fehlschlägt | CAPI2-Operational, CBS/WU-Logs (Signaturprüfpfade) |
TrustedInstaller / CBS |
0x800F081F, 0x800F0831, 0x800F0922 |
Quellen/Manifestabhängigkeiten fehlen, Komponentenstore-Inkonsistenz, Servicing-Commit-Probleme | %windir%\Logs\CBS\CBS.log, DISM/CBS-Events |
WaaSMedicSvc |
(häufig indirekt sichtbar; Remediation erzeugt Folgeereignisse statt eigener Fehlercodes) | Reparaturmaßnahmen werden ausgelöst, z. B. Wiederherstellung von Update-Einstellungen/Komponenten | WaaSMedic-Events, Setup/Servicing-Events, Aufgabenplanung |
Als praktische Trennlinie gilt: Sobald TrustedInstaller beziehungsweise TiWorker.exe aktiv wird und CBS.log Fehlerketten produziert, liegt die Ursache häufig nicht mehr in wuauserv oder der Transportstrecke, sondern in Servicing-Voraussetzungen (Manifest-/Paketabhängigkeiten, Komponentenstore, ausstehende Transaktionen). Umgekehrt deuten wiederholte DO-/BITS-Abbrüche bei unveränderten Update-Metadaten eher auf Transportbedingungen (Proxy, TLS-Interception, Captive Portal, Content-Filter) oder auf korrupten Cache hin, während kryptografische Codes wie 0x800B0109 den Blick auf Vertrauen, Zertifikatskette und Signaturprüfung lenken.
Dateisystem, Registry und Aufgabenplanung: zentrale Pfade, Datenbanken, Richtlinien und geplante Jobs der Update-Pipeline
Die Windows-Update-Pipeline stützt sich auf wenige, aber hochkritische Persistenzbereiche: Arbeits- und Cache-Verzeichnisse im Dateisystem, Richtlinienschlüssel und Statusdaten in der Registry sowie wiederkehrende oder ereignisbasierte Abläufe in der Aufgabenplanung. In komplexen Fehlerszenarien entscheidet häufig nicht der Dienstzustand allein, sondern die Konsistenz der Datenbanken, die korrekte ACL-Vererbung, die Erreichbarkeit von Log- und Downloadpfaden sowie die Ausführung bestimmter Tasks mit passenden Triggern und Rechten.
Dateisystem: Arbeitsordner, Caches, Paketquellen und Servicing-Komponenten
Im operativen Updatebetrieb dominiert %windir% als Wurzel für Update-Orchestrierung, Download-Cache und Protokollierung. Besonders relevant ist der Datenpfad von Windows Update selbst (%windir%\SoftwareDistribution): Dort liegen unter anderem die lokale Update-Datenbank, temporäre Downloadsegmente sowie Metadaten, die WUA-Komponenten für Erkennung und Installation benötigen. Bei Reparaturen wird dieser Ordner häufig umbenannt oder geleert; das beeinflusst jedoch Erkennungsstände und kann Re-Downloads auslösen.
Parallel dazu verwaltet der Component-Based Servicing (CBS)-Stack den Systemkomponentenspeicher im WinSxS-Bereich (%windir%\WinSxS). Dieser Speicher ist keine „Cache-Kopie“, sondern die maßgebliche Quelle für Komponenten-Referenzen und Servicing-Transaktionen. Updates, die über CBS laufen (inklusive kumulativer Updates und Features on Demand), protokollieren und transaktionieren über %windir%\Logs\CBS\CBS.log und verwandte Persistenzen. Probleme in diesem Bereich äußern sich oft eher als Servicing-Fehler (CBS/TrustedInstaller) denn als klassische WUA-Downloadfehler.
| Bereich | Zentraler Pfad | Inhalt/Objekte | Typische Relevanz |
|---|---|---|---|
| WUA Datenspeicher | %windir%\SoftwareDistribution\DataStore\DataStore.edb |
Lokale WUA-DB (ESENT), Erkennungs-/Historienmetadaten | Erkennung hängt, inkonsistente Historie, beschädigte DB |
| WUA Downloads | %windir%\SoftwareDistribution\Download |
Temporäre Updatepayloads, Segmente, Metadaten | Downloadabbrüche, wiederholte Re-Downloads, Platzmangel |
| Delivery Optimization Cache | %ProgramData%\Microsoft\Windows\DeliveryOptimization\Cache |
DO-Inhalte, Peer-/HTTP-bezogene Zwischenspeicher | DO-Fehler, Bandbreiten-/Cacheprobleme |
| CBS Logs | %windir%\Logs\CBS\CBS.log |
Servicing-Transaktionen, Komponentenstatus, Fehlerursachen | Installationsfehler, Paketabhängigkeiten, SxS-Probleme |
| DISM Logs | %windir%\Logs\DISM\dism.log |
Servicing via DISM-API, Quellauflösung, Reparaturvorgänge | Reparaturläufe, Quellpfadfehler, Komponentenspeicheranalyse |
| WindowsUpdate.log (modern) | %USERPROFILE%\Desktop\WindowsUpdate.log |
Aus ETW rekonstruierter Textlog via PowerShell | Timeline-Korrelation WUA/Orchestrator/Netzwerk |
Für Log-Korrelationen ist der Wechsel von klassischem WindowsUpdate.log zu ETW-basierten Traces zentral. Auf aktuellen Windows-Versionen entsteht eine lesbare Datei typischerweise erst durch Zusammenführung der ETW-Provider. Zusätzlich liefern %windir%\Logs\MoSetup und %windir%\Panther (insbesondere bei Funktionsupdates/Upgrades) wichtige Setup- und Kompatibilitätsindikatoren; deren genaue Nutzung hängt stark vom Update-Typ (LCU vs. Feature Update) ab.
- Wichtige Pfade (WUA/Servicing/Setup):
%windir%\SoftwareDistribution,%windir%\System32\catroot2,%windir%\WinSxS,%windir%\Logs\CBS,%windir%\Logs\DISM,%windir%\Logs\MoSetup,%windir%\Panther,%ProgramData%\Microsoft\Windows\DeliveryOptimization - ETW-zu-Textlog (aktuelles WindowsUpdate.log):
Get-WindowsUpdateLog - Komponentenspeicherzustand prüfen:
DISM /Online /Cleanup-Image /AnalyzeComponentStoreDISM /Online /Cleanup-Image /CheckHealthDISM /Online /Cleanup-Image /ScanHealth
Registry: Richtlinien, Client-Identität, Status und Servicing-Konfiguration
Die Registry trennt in der Update-Infrastruktur grob zwischen Richtlinien (policy), laufzeitbezogenen Statuswerten und Servicing-Konfiguration. Für klassische WSUS-/WUA-Policy gilt als primärer Zweig HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate (inklusive ...\AU). Dieser Bereich wird überwiegend von Gruppenrichtlinien oder MDM befüllt und steuert etwa Intranet-Update-Server, Update-Verhalten und Zielgruppenzuordnungen. Daneben existieren nicht-policy Schlüssel unter HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate, die stärker auf Clientzustand und interne Parameter ausgerichtet sind; Werte dort sollten ohne klare Diagnosehypothese nicht manuell „korrigiert“ werden.
Bei Dual-Management-Szenarien (GPO plus MDM) entscheidet die effektive Richtlinienauswertung über die tatsächlich wirksamen Quellen. Konflikte zeigen sich oft nicht als einzelner „falscher“ Wert, sondern als inkonsistente Kombinatorik: WUA erwartet WSUS, DO ist restriktiv konfiguriert, während der Orchestrator Microsoft Update ansteuert. Der resultierende Fehler kann sich als Kommunikations- oder Downloadproblem äußern, obwohl die Ursache eine Richtlinienkollision ist.
| Zweck | Registry-Pfad | Typische Inhalte | Hinweis zur Interpretation |
|---|---|---|---|
| WUA-Policy (GPO/MDM) | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate |
WSUS-Server/Status, Defer/Targeting (je nach Verwaltung) | Policy hat Vorrang vor lokalen Defaults; Änderungen meist nur via Management |
| WUA-Policy (AU) | HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU |
Automatische Updates, Installationsverhalten, Zeitsteuerung | Wirkung abhängig von Edition/Build und zusätzlicher MDM-Steuerung |
| WUA Laufzeit/State | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate |
Clientzustand, interne Parameter, Update-Agent-Kontext | Fehleranalyse primär über Logs; manuelle Eingriffe riskant |
| Servicing/CBS | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing |
Servicing-Status, Paket-/Komponentenbezüge | Stark systemkritisch; Auswertung über CBS.log und DISM bevorzugt |
- Policy-Resultate verifizieren:
gpresult /h %TEMP%\gpresult.htmlrsop.msc - Relevante WUA-Policy-Pfade:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdateHKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
Aufgabenplanung: Orchestrierung, Remediation und zeitkritische Trigger
Die Aufgabenplanung bildet den Taktgeber für Scan-, Download-, Installations- und Reboot-orientierte Schritte. Zentral ist der Aufgabenpfad \Microsoft\Windows\UpdateOrchestrator\, der den Update Orchestrator mit zeit- und ereignisbasierten Triggern versorgt. Ergänzend steuert \Microsoft\Windows\WindowsUpdate\ weitere Aufgaben, die historisch stärker WUA-nah sind. Je nach Windows-Build und Verwaltungsszenario (z. B. aktive Nutzungszeiten, Energieverwaltung) können Trigger dynamisch angepasst werden; eine Task ist daher weniger über ihren Namen, sondern über letzten Lauf, Rückgabecode und Triggerkonfiguration zu bewerten.
Für die Diagnose ist entscheidend, ob Tasks überhaupt starten dürfen: deaktivierte Taskfolder, restriktive Sicherheitskontexte, beschädigte Taskdefinitionen (XML) oder blockierte Bedingungen (Netzbetrieb, Leerlauf, Batteriestatus) führen zu scheinbar „stummen“ Updatezuständen. Auch wenn Dienste korrekt laufen, kann eine nicht ausgeführte Orchestrator-Aufgabe den Prozess in einem Wartestatus halten. Die Ereignisanzeige ergänzt hier die Task-Historie; insbesondere die Protokolle für TaskScheduler und WindowsUpdateClient/Operational liefern zeitliche Korrelationen.
- Typische Task-Pfade:
\Microsoft\Windows\UpdateOrchestrator\,\Microsoft\Windows\WindowsUpdate\,\Microsoft\Windows\WaaSMedic\ - Tasks abfragen (Status, letzter Lauf, ResultCode):
Get-ScheduledTask -TaskPath "\Microsoft\Windows\UpdateOrchestrator\"Get-ScheduledTaskInfo -TaskName "Schedule Scan" -TaskPath "\Microsoft\Windows\UpdateOrchestrator\" - Task-Run protokollseitig korrelieren:
wevtutil qe Microsoft-Windows-TaskScheduler/Operational /q:"*[System[(Level=2 or Level=3)]]" /f:text /c:50
Fehlercodes: Zuordnung zu Persistenzbereichen und typischen Bruchstellen
Fehlercodes werden oft pauschal als „Windows Update fehlerhaft“ interpretiert, obwohl sie häufig eine konkrete Bruchstelle markieren: Netzwerk/Proxy, WUA-Metadaten, BITS/DO-Transport, Signaturkataloge oder CBS-Servicing. Für die Eingrenzung ist die Zuordnung zum Persistenzbereich hilfreich: Tritt ein Code nach Downloadabschluss auf, rückt CBS/WinSxS und die Signaturkette in den Vordergrund; tritt er bei der Erkennung auf, sind WUA-Datenspeicher, Policy und Scan-Trigger wahrscheinlicher.
| Fehlercode | Primäre Komponente | Nahe liegende Persistenz/Spur | Typische Bruchstelle |
|---|---|---|---|
0x80070002 |
WUA / Dateizugriff | %windir%\SoftwareDistribution, ETW/WU-Log |
Fehlende/unerwartete Dateien im Arbeitsbereich, inkonsistente Cacheinhalte |
0x8007000D |
WUA / Servicing (abhängig vom Kontext) | ETW/WU-Log, %windir%\Logs\CBS\CBS.log |
Beschädigte Metadaten oder Paketbestandteile; häufig erst im Installationspfad sichtbar |
0x800F081F |
CBS/DISM | %windir%\Logs\DISM\dism.log, %windir%\Logs\CBS\CBS.log |
Quellen für Reparatur/Features fehlen, Komponentenspeicherauflösung scheitert |
0x800F0922 |
CBS/Setup | %windir%\Logs\CBS\CBS.log, ggf. Setup/Upgrade-Logs |
Servicing-Transaktion scheitert; häufig im Kontext von System-reservierter Partition/EFI oder bei Commit-Problemen, exakte Ursache ist phasenabhängig |
0x8024402C |
WUA / Netzwerk/Proxy | Policy-Schlüssel unter HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, ETW/WU-Log |
Proxy-/Namensauflösung/Policy-Konflikt, Scan/Download erreicht Endpoint nicht |
0x80246007 |
BITS/WUA | BITS-Ereignisse, WU-ETW, Downloadpfade | Transfer scheitert oder wird abgebrochen; häufig abhängig von Warteschlangen/Netzbedingungen |
Die praktische Arbeit mit Fehlercodes verlangt Kontext: derselbe Code kann je nach Phase (Scan, Download, Install, Reboot) unterschiedliche Wurzeln haben. Die zuverlässigste Zuordnung entsteht aus der Zeitlinie zwischen Task-Ausführung (\Microsoft\Windows\UpdateOrchestrator\), WUA-ETW-Ereignissen (rekonstruiertes WindowsUpdate.log) und CBS/DISM-Logs. Erst wenn diese Spuren konsistent auf denselben Persistenzbereich zeigen, lässt sich gezielt an Cache, Richtlinien oder Servicing-Datenbanken ansetzen, ohne Nebenwirkungen zu provozieren.
Logs und Fehlercodes: Zuordnung typischer HRESULT/Win32-Codes zu Komponenten und Vorgehen zur Ursachenabgrenzung
Windows Update verteilt seine Diagnosesignale über mehrere Logquellen, die je nach Phase (Scan, Download, Installation, Commit, Reboot) von unterschiedlichen Komponenten beschrieben werden. Für eine belastbare Ursachenabgrenzung ist daher weniger die „eine“ zentrale Logdatei entscheidend, sondern die konsistente Zuordnung eines Fehlercodes zu dem Baustein, der ihn erzeugt oder propagiert. Besonders relevant sind HRESULTs aus dem COM-/WUA-Umfeld, Win32-Codes aus Datei-/Netzwerkpfaden sowie CBS- und Servicing-spezifische Fehler, die erst spät in der Pipeline sichtbar werden.
Die Logauswertung sollte stets entlang eines Zeitfensters erfolgen: Zuerst wird der sichtbare Fehlercode am UI, in Ereignissen oder in Update-Client-Ausgaben erfasst, anschließend werden die korrespondierenden Einträge in WUA/USO, Delivery Optimization, BITS, CBS/Servicing und gegebenenfalls Setup/Modern Setup gesucht. Bei Windows 10/11 ist zusätzlich zu berücksichtigen, dass Teile der klassischen WindowsUpdate.log nicht mehr direkt geschrieben werden, sondern aus ETW-Traces generiert werden müssen.
Logquellen und typische Signaturen je Komponente
Mehrere Logströme liefern komplementäre Perspektiven: der Update-Client dokumentiert Scan- und Evaluationsentscheidungen, der Transportpfad zeigt Download- und Retry-Logik, während CBS/Servicing die eigentliche Pakettransaktion protokolliert. Für Feature-Updates kommen Setup-Logs hinzu, die Fehler oft als Setup-spezifische Codes abbilden und erst sekundär auf Servicing-Fehler verweisen.
- WindowsUpdate.log (generiert): Erstellung bei modernen Builds über
Get-WindowsUpdateLog; nützlich für Clientfluss, weniger für CBS-Details. - WUA/USO Ereignisse: Operative Kanäle im Event Log, insbesondere
Microsoft-Windows-WindowsUpdateClient/OperationalundMicrosoft-Windows-UpdateOrchestrator/Operational; gute Startpunkte für Zeitstempel und Update-IDs. - Servicing/CBS: Zentrale Datei
C:\Windows\Logs\CBS\CBS.logsowie Rollups inC:\Windows\Logs\CBS\CbsPersist_*.log; entscheidend bei Komponentenstore- und Paketcommit-Problemen. - DISM Log:
C:\Windows\Logs\DISM\dism.logfür Reparaturen, Features on Demand und Servicing-Operationen über DISM; korreliert häufig mit CBS-Einträgen. - Delivery Optimization:
%windir%\Logs\DeliveryOptimization\dosvc.log(falls vorhanden/aktiv) und Event LogMicrosoft-Windows-DeliveryOptimization/Operational; relevant für Peer/HTTP-Download, Cache und Policies. - BITS: Ereignisprotokolle unter
Microsoft-Windows-Bits-Client/Operational; zeigt Jobzustände, Proxy-/TLS-Probleme, Abbrüche und Wiederaufnahmen. - Feature Update (Setup): Logs unter
C:\$WINDOWS.~BT\Sources\Panther\(z. B.setupact.log,setuperr.log) sowie nach Inplace-UpgradeC:\Windows\Panther\; wichtig bei Treiberblockern, Kompatibilität und SafeOS-Phasen.
Fehlercode-Landkarte: häufige HRESULT/Win32-Codes und der wahrscheinliche Ursprung
Viele Fehler werden entlang der Kette umcodiert: Ein Win32-Fehler (z. B. Zugriff verweigert) kann als HRESULT in WUA erscheinen; Netzwerkfehler können aus WinHTTP stammen, aber im Update-Client als generischer Downloadfehler enden. Deshalb ist die Zuordnung stets probabilistisch und muss durch passende Logsignaturen bestätigt werden (z. B. „CBS“, „FATAL“, „0x8024“, „0x8007“ in unmittelbarer zeitlicher Nähe).
| Code | Typische Komponente/Phase | Primäre Nachweisorte | Einordnung |
|---|---|---|---|
0x80240022 |
WUA / Update Client (Scan/Install) | Microsoft-Windows-WindowsUpdateClient/Operational, Get-WindowsUpdateLog |
WUA-spezifischer Fehler; oft Folge von Dienst-/Policy-Zustand oder inkonsistenter Orchestrierung, Bestätigung über WUA-Events erforderlich. |
0x8024200D |
WUA / Payload-Validierung | WindowsUpdate.log (generiert), WUA-Operational |
Heruntergeladene Inhalte unvollständig/korrupt; Abgleich mit DO/BITS-Logs für Transportursache. |
0x8024402C |
WUA + WinHTTP (Scan/Download) | WUA-Operational, ggf. Proxy-Events | Häufig Proxy-/Namensauflösungs-/Gateway-Themen; Korrelation mit WinHTTP/Proxy-Konfiguration und BITS/DO ratsam. |
0x80072EE2 |
Netzwerk (WinHTTP Timeout) | BITS-Operational, DO-Operational, WUA-Operational | Zeitüberschreitung zu Update-Endpunkten; kann durch TLS-Inspection, Proxy, Paketverlust oder blockierte URLs ausgelöst werden. |
0x80070005 |
Win32 Zugriff verweigert (mehrere Phasen) | C:\Windows\Logs\CBS\CBS.log, WUA-Operational, Setup-Logs |
ACL/UAC/Token- oder Dateisperren; genaue Ressource über Logzeilen mit Pfadangaben identifizieren. |
0x80070002 |
Win32 Datei nicht gefunden | CBS/DISM Logs, Setup-Logs | Fehlende Payload/Metadaten oder inkonsistenter Komponentenstore; häufig in CBS-Kontext mit Paketnamen sichtbar. |
0x800F081F |
Servicing (CBS/DISM) | CBS.log, dism.log |
Quelldateien nicht gefunden (z. B. Features on Demand, Reparatur); nicht primär ein Transportfehler, sondern Source/Content-Problem. |
0x800F0922 |
Servicing/Commit oder Feature Update | CBS.log, Setup setuperr.log |
Oft im Kontext reservierter Partition/Bootdateien oder Servicing-Commit; exakte Ursache über CBS-Transaktionsfehler und Setup-Phase bestimmen. |
Vorgehen zur Ursachenabgrenzung: von Code zu Logkette
Eine belastbare Eingrenzung entsteht, wenn der Fehlercode in eine Phase übersetzt wird (Scan, Download, Install, Reboot/Commit) und anschließend die korrespondierenden Logs derselben Zeitspanne entlang der Abhängigkeiten geprüft werden. Dabei bewährt sich ein Top-down-Ansatz: zuerst Orchestrierung (USO/WUA), dann Transport (DO/BITS/WinHTTP), schließlich Servicing (CBS/DISM) und für Feature-Updates zusätzlich Setup/Panther. Wo Codes generisch sind (z. B. 0x80070005), entscheidet der erste Logeintrag, der den Fehler zusammen mit einer konkreten Ressource (Pfad, Paket, URL, Registry-Schlüssel) nennt.
- Code normalisieren: HRESULT/Win32 erfassen und bei Bedarf Win32 aus HRESULT ableiten; bei Anzeigen wie
0x80070005stets Kontext (Komponente/Phase) aus Ereignissen ergänzen. - Zeitfenster setzen: Relevante Zeitstempel aus
Microsoft-Windows-WindowsUpdateClient/OperationalundMicrosoft-Windows-UpdateOrchestrator/Operationalbestimmen und als Leitplanke für alle weiteren Logs verwenden. - Transport prüfen: Bei Download-/Timeout-Indikatoren DO/BITS korrelieren:
Microsoft-Windows-DeliveryOptimization/Operational,Microsoft-Windows-Bits-Client/Operational; Proxy/TLS-Hinweise im Umfeld von0x8024402Cund0x80072EE2priorisieren. - Servicing verifizieren: Bei
0x800F*und wiederholten Installationsabbrüchen primärC:\Windows\Logs\CBS\CBS.logundC:\Windows\Logs\DISM\dism.logauswerten; entscheidend sind Paketnamen, „Failed to resolve package“, „Cannot repair“ und Transaktionsabbrüche. - Feature-Update-Phasen trennen: Bei Inplace-Upgrades Setup-Logs heranziehen, z. B.
C:\$WINDOWS.~BT\Sources\Panther\setupact.logundsetuperr.log; Fehler in SafeOS/Boot/FirstBoot unterscheiden, bevor Servicingmaßnahmen angesetzt werden. - Reproduzierbarkeit prüfen: Wiederholte Fehler bei identischem Schritt sprechen für deterministische Ursachen (Policy, Berechtigungen, fehlende Quellen), während wechselnde Codes eher Transport-/Stabilitätsprobleme nahelegen; Beleg ausschließlich über konsistente Logmuster.
Praktische Suchanker und Minimaltelemetrie ohne Volltraces
In komplexen Umgebungen ist eine Vollerfassung per ETW nicht immer zulässig oder erforderlich. Häufig reichen präzise Suchanker: der Fehlercode selbst, die Update-ID (GUID), ein Paketname (KB, Package_for_RollupFix, Feature on Demand) oder ein URL-/Hostfragment. In CBS/DISM-Logs sind Paket- und Komponentenbezeichner der stabilste Anker; in WUA/USO-Ereignissen liefern Activity IDs und Update Titles eine verlässliche Korrelation. Für moderne WindowsUpdate.log-Ausgaben bleibt wichtig, dass die Generierung über Get-WindowsUpdateLog zeitnah zum Ereignis erfolgt, da ETW-Rollovers ältere Daten verwerfen können.
- WindowsUpdate.log erzeugen:
Get-WindowsUpdateLog - CBS-Persistenz prüfen:
C:\Windows\Logs\CBS\CbsPersist_*.log(ältere Zeiträume) zusätzlich zuC:\Windows\Logs\CBS\CBS.logberücksichtigen. - Gezielte Ereigniskanäle:
Microsoft-Windows-WindowsUpdateClient/OperationalMicrosoft-Windows-UpdateOrchestrator/OperationalMicrosoft-Windows-Bits-Client/OperationalMicrosoft-Windows-DeliveryOptimization/Operational - Setup-Pfade bei Feature Updates:
C:\$WINDOWS.~BT\Sources\Panther\C:\Windows\Panther\
Meroth IT-Service ist Ihr lokaler IT-Dienstleister in Frankfurt am Main für kleine Unternehmen, Selbstständige und Privatkunden
Kostenfreie Ersteinschätzung Ihres Anliegens?
Werbung
(**) UVP: Unverbindliche Preisempfehlung
Preise inkl. MwSt., zzgl. Versandkosten