Windows-Update-Fehler 0x80070002 beheben: So geht’s Schritt für Schritt

Der Windows-Fehlercode 0x80070002 tritt häufig während der Installation von Updates auf – insbesondere, wenn Systemdateien beschädigt sind oder Pfade fehlen. Für IT-Profis und Administratoren stellt dieser Fehler eine ärgerliche Hürde dar, die jedoch mit systematischem Vorgehen gelöst werden kann. Dieser Leitfaden zeigt, wie sich das Problem nachhaltig beheben lässt.

Fehler 0x80070002 signalisiert, dass Windows beim Update-Prozess zwar Dateien gefunden hat, jedoch ein Problem mit dem Zugriff, der Integrität oder dem Pfad aufgetreten ist. Besonders betroffen sind:

• Windows 10 & 11 Update-Funktionen
• Windows Server Update Services (WSUS)
• Microsoft Store Updates

Der Rückgabecode verweist auf die Win32-Konstante ERROR_FILE_NOT_FOUND (Datei nicht gefunden). In der Praxis entsteht der Fehler, wenn Metadaten oder Nutzdaten eines Updates inkonsistent sind, Signaturprüfungen scheitern oder der Update-Client einen erwarteten Pfad/Container (z. B. im Ordner SoftwareDistribution) nicht auflösen kann. Typische Begleitmeldungen im Ereignisprotokoll lauten: „Download failed because the file does not exist“, „WU_E_DM_URLNOTAVAILABLE“ oder „CBS_E_SOURCE_MISSING“.

Neben 0x80070002 tauchen in Logs häufig zusätzliche Codes auf (z. B. CBS_E_SOURCE_MISSING bei DISM-Quellenproblemen oder WU_E_DM_URLNOTAVAILABLE bei fehlenden Download-Endpunkten). Diese stehen nicht 1:1 für 0x80070002, helfen aber bei der Ursachenabgrenzung.

Relevante Logs: Ereignisanzeige → Applications and Services Logs → Microsoft → Windows → WindowsUpdateClient → Operational; außerdem C:\Windows\Logs\CBS\CBS.log (Komponentenbasierter Dienst), %windir%\SoftwareDistribution\ReportingEvents.log als komprimierte Übersicht und per PowerShell generiertes Get-WindowsUpdateLog zur Aggregation von ETL-Traces des Update-Agents.

1. Datum und Uhrzeit überprüfen

Fehlerhafte Zeitangaben können zu Zertifikatsproblemen führen.

• Systemsteuerung → „Datum und Uhrzeit“
• Aktivieren: „Uhr automatisch synchronisieren“
• Alternativ: timedate.cpl in die Eingabeaufforderung eingeben

In verwalteten Netzen die NTP-Hierarchie prüfen: Domänencontroller (PDC-Emulator) synchronisiert extern (z. B. via w32tm /config /manualpeerlist:"pool.ntp.org" /syncfromflags:manual /update), Clients synchronisieren per Domäne. Abweichungen >5 Minuten verursachen Auth- und Signaturfehler.

2. Windows Update-Dienste neu starten

Ein Neustart der Update-Komponenten ist oft der Schlüssel.

net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver

Anschließend:

net start wuauserv
net start cryptSvc
net start bits
net start msiserver

🔧 Tipp: Diese Befehle lassen sich auch in einem Skript automatisieren.

Ergänzend den Dienst „Windows Modules Installer“ (TrustedInstaller) auf Manuell oder Automatisch setzen und temporär starten: sc query trustedinstaller, net start trustedinstaller. Ohne diesen Dienst scheitern Komponentenupdates trotz laufender wuauserv.

Hinweis: Der „Windows Update Medic Service“ (WaaSMedicSvc) reaktiviert u. U. Komponenten selbsttätig. Plane Änderungen im Wartungsfenster und dokumentiere erwartete Neustarts.

3. Ordner SoftwareDistribution leeren

Dieser Ordner enthält temporäre Update-Dateien und kann manuell bereinigt werden:

• Windows-Dienste stoppen (siehe oben)
• Navigiere zu C:\Windows\SoftwareDistribution
• Inhalte löschen (nicht den Ordner selbst!)
• Dienste erneut starten

Als PowerShell-Einzeiler (als Administrator): Stop-Service wuauserv,bits,cryptsvc,msiserver -Force; Remove-Item "$env:SystemRoot\SoftwareDistribution\*" -Recurse -Force -ErrorAction SilentlyContinue; Start-Service wuauserv,bits,cryptsvc,msiserver

Wenn Signaturen fehlen oder Kataloge korrupt sind, zusätzlich catroot2 zurücksetzen: net stop cryptsvc, dann ren %systemroot%\System32\catroot2 catroot2.old, danach net start cryptsvc. Windows erstellt den Ordner neu.

Wichtig: Den Ordner catroot (ohne „2“) nicht löschen oder umbenennen; nur catroot2 zurücksetzen.

Nach dem Reset die Vertrauenskette aktualisieren/prüfen (administrative Eingabeaufforderung):

certutil -generateSSTFromWU "%temp%\mssst.sst"
certutil -addstore -f root "%temp%\mssst.sst"

In stark abgeschotteten Netzen den Root-Store per Unternehmens-PKI bereitstellen.

4. Systemdateien mit SFC und DISM reparieren

System File Checker (SFC)

sfc /scannow

→ Erkennt und repariert beschädigte Systemdateien.

Deployment Imaging Servicing and Management (DISM)

DISM /Online /Cleanup-Image /RestoreHealth

→ Besonders effektiv bei tieferliegenden Systemproblemen.

Falls DISM eine Quelle anfordert (CBS_E_SOURCE_MISSING), ein funktionsgleiches Installationsmedium (gleiche Edition, Build, Sprache) mounten und Quelle setzen: DISM /Online /Cleanup-Image /RestoreHealth /Source:wim:X:\sources\install.wim:1 /LimitAccess. Alternativ mit install.esd: /Source:esd:X:\sources\install.esd:1.

Unklarer Index? Mit dism /Get-WimInfo /WimFile:X:\sources\install.wim die enthaltenen Editionen anzeigen und den passenden Index auswählen.

Nach SFC/DISM immer WindowsUpdateClient-Log, ReportingEvents.log und CBS.log prüfen und einen erneuten Scan starten (Einstellungen → Windows Update → Nach Updates suchen).

5. Update Troubleshooter verwenden

Microsoft bietet ein integriertes Tool zur Update-Fehlerbehebung:

• Einstellungen → Update & Sicherheit → Problembehandlung → Windows Update
• Ausführen und Anweisungen folgen

Im Anschluss den Fehlercode und die angewendeten Korrekturen protokollieren. Häufig setzt der Troubleshooter Berechtigungen zurück, repariert ACLs unter %systemroot%\SoftwareDistribution und bereinigt Pending-Transaktionen.

6. Manuelles Herunterladen des Updates

• Gehe zur Seite Microsoft Update-Katalog
• Gib die KB-Nummer ein
• Lade die Datei herunter und installiere sie manuell

Auf aktuellen Windows-Versionen liefern kumulative Updates (LCU) die Servicing-Stack-Komponenten (SSU) seit Windows 10 Version 2004 und in Windows 11 typischerweise bereits mit; separate SSU-Vorpakete betreffen vor allem ältere Builds. Bei Abweisungen auf Build-Kompatibilität achten (Edition/Sprache/Architektur) und ggf. zuerst ein passendes SSU/LCU-Paar für den betroffenen Alt-Build installieren.

7. Registrierungseinträge prüfen

Warnung: Änderungen an der Registry nur mit Vorsicht und Backup durchführen!

Pfad:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate

• WUServer und WUStatusServer bei WSUS-Umgebungen
• Pfadangaben zu Speicherorten

Auch Richtlinienpfade prüfen: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate und ...\AU. Wichtige Werte: UseWUServer (1 = WSUS erzwingen), NoAutoUpdate, AUOptions. Konflikte entstehen, wenn UseWUServer aktiv ist, aber kein gültiger WUServer-Endpunkt konfiguriert wurde.

8. Windows Update Agent neu registrieren

regsvr32 /s wuapi.dll
regsvr32 /s wuaueng.dll
regsvr32 /s wups.dll
regsvr32 /s wups2.dll

Auf modernen Builds sind einzelne Bibliotheken u. U. nicht mehr vorhanden oder bereits als Systemkomponenten registriert. Fehlermeldungen beim Registrieren („module not found“) sind in diesem Fall unkritisch; maßgeblich ist die Integrität von wuaueng.dll und wups*.dll.

9. Temporäre Benutzerprofile ausschließen

• Neuen Benutzer anlegen
• Update testen
• Wenn erfolgreich → Profil migrieren

Temporäre Profile (.bak-Schlüssel unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList) verursachen Berechtigungs- und Pfadprobleme im lokalen Paketcache (%ProgramData%\Package Cache) sowie im SoftwareDistribution-Kontext.

Bei Store-/UWP-Updateproblemen zusätzlich Besitz/ACL prüfen: %ProgramData%\Microsoft\Windows\ClipSVC und %ProgramData%\Microsoft\Windows\AppRepository. Falsche Berechtigungen verhindern App-Installationen trotz funktionierendem Windows Update.

• wsreset.exe ausführen
• PowerShell (Admin):
  Get-AppxPackage -AllUsers Microsoft.Store | Reset-AppxPackage
Get-AppxPackage -AllUsers Microsoft.WindowsStore | ForEach-Object {Add-AppxPackage -Register -DisableDevelopmentMode ($_.InstallLocation + "\AppxManifest.xml")}

10. Letzter Ausweg: Inplace Upgrade

• Windows-ISO herunterladen
• Setup.exe ausführen
• „Daten und Apps behalten“ wählen
• Windows repariert sich selbst – Updates inklusive

Während des Inplace-Upgrades Netzwerkstabilität sicherstellen, Drittanbieter-AV/EDR temporär deaktivieren und über Gruppenrichtlinien gesetzte Update-Sperren (Deferals, WUfB) vorher aufheben, damit der Setup-Broker keine Richtlinienkonflikte protokolliert.

Kompatibilität: Edition, Sprache und Architektur müssen zum installierten System passen; der Installationsstand darf gleich oder neuer sein. Optionaler Reparaturlauf ohne Dynamic Update: setup.exe /auto upgrade /dynamicupdate disable – sinnvoll im abgeschotteten Change-Fenster.

Sicherheitslösungen sollten C:\Windows\SoftwareDistribution\, C:\Windows\Logs\CBS\ sowie die Prozesse TiWorker.exe, TrustedInstaller.exe und svchost.exe (Instanzen wuauserv/bits) von tiefer Inhaltsprüfung ausnehmen, um Blockaden während des Upgrades zu vermeiden.

Vertiefung: Diagnoseleitfaden für Profis

• Netzwerk: Proxy/Firewall prüfen; Downloads von download.windowsupdate.com, dl.delivery.mp.microsoft.com zulassen; SSL-Inspection für Microsoft-Domains ausnehmen.
• BITS: Ausstehende Jobs auflisten Get-BitsTransfer -AllUsers; abgebrochene Transfers entfernen Get-BitsTransfer -AllUsers | Remove-BitsTransfer.
• Speicher: Freien Platz >10 GB sicherstellen; chkdsk /scan und DISM /Online /Cleanup-Image /StartComponentCleanup ausführen (Hinweis: /ResetBase nur nach erfolgreichem Patch-Zyklus verwenden, da Rollbacks sonst unmöglich werden).
• Servicing Stack: Prüfen, ob aktuelles SSU installiert ist (Installierte Updates); ggf. SSU vorziehen.
• Eventlogs: Im Kanal WindowsUpdateClient/Operational sind u. a. IDs 19/20 (Download/Installation) sowie 25/31/34/41 relevant; zusätzlich %windir%\SoftwareDistribution\ReportingEvents.log auswerten und mit Zeiten aus CBS.log korrelieren. Typische Meldung: „Download failed“ (ID 20) mit Fehler 0x80070002; in CBS.log findet sich häufig „Source packages not found“.

Auf produktiven Maschinen kann die Liste der BITS-Jobs sehr groß sein. Nach dem Aufräumen die Update-Kette sofort neu starten (Scan → Download → Install), um verwaiste Referenzen zu vermeiden.

WinHTTP-Proxy explizit prüfen und auf Systemproxy ausrichten (häufige Ursache für 0x80070002 bei nicht erreichbaren Endpunkten):

• netsh winhttp show proxy (Ist-Zustand prüfen)
• netsh winhttp import proxy source=ie (Systemproxy übernehmen)
• netsh winhttp reset proxy (Proxy entfernen, falls erforderlich)

BITS-Grundprüfung und (falls nötig) vorsichtige Neuinitialisierung im Wartungsfenster:

sc query bits
Get-NetFirewallServiceFilter -Service BITS -ErrorAction SilentlyContinue | Format-Table -Auto

# Hartnaeckige BITS-Fehler zuruecksetzen (Wartungsfenster!):
Stop-Service bits -Force
Del "$env:ALLUSERSPROFILE\Microsoft\Network\Downloader\qmgr*.dat" 2>$null
Start-Service bits

MTU/Fragmentierung reproduzierbar testen (besonders bei VPN/SD-WAN): ping -f -l 1472 download.windowsupdate.com und die Paketgröße per Binary-Search ermitteln; effektive MTU = gefundene Größe + 28. Abweichungen zwischen VPN und Direktverbindung deuten auf zu hohe MTU im Tunnelprofil (z. B. auf 1400 senken).

Für kontrollierte Testläufe eignet sich ein vollständiger „Reset“ der Updateumgebung im Wartungsfenster. Skripte sollten Dienste sequentiell stoppen, Caches gezielt leeren, Kataloge neu initialisieren und danach einen Scan, Download und Install anstoßen.

Praxis: PowerShell-Reset der Updatekomponenten (mit Rollback)

Voraussetzungen: administrative PowerShell, funktionierender NTP, keine aktiven Installationen. Das Skript erstellt Sicherungen, setzt Komponenten zurück und ermöglicht Rollback.

# Update-Reset mit Sicherung und Rollback
$ts  = Get-Date -Format yyyyMMdd-HHmmss
$sd  = "$env:SystemRoot\SoftwareDistribution"
$cat = "$env:SystemRoot\System32\catroot2"
$bak = "C:\Temp\WU-Backup-$ts"
New-Item $bak -ItemType Directory -Force | Out-Null

try {
  Stop-Service wuauserv,bits,cryptsvc,msiserver -Force -ErrorAction SilentlyContinue

  Copy-Item $sd  "$bak\SoftwareDistribution" -Recurse -Force -ErrorAction SilentlyContinue
  Copy-Item $cat "$bak\catroot2"          -Recurse -Force -ErrorAction SilentlyContinue

  Remove-Item "$sd\*" -Recurse -Force -ErrorAction SilentlyContinue
  if (Test-Path $cat) { Rename-Item $cat "$($cat)-old-$ts" -ErrorAction SilentlyContinue }

  Start-Service cryptsvc -ErrorAction SilentlyContinue
  Start-Sleep -Seconds 2
  Start-Service bits,wuauserv,msiserver -ErrorAction SilentlyContinue

  # BITS-Aufraeumen
  Get-BitsTransfer -AllUsers | Remove-BitsTransfer -ErrorAction SilentlyContinue

  # Neuen Scan anstoßen (wuauclt ist deprecated)
  Start-Process "$env:SystemRoot\System32\UsoClient.exe" -ArgumentList 'StartScan' -WindowStyle Hidden -ErrorAction SilentlyContinue

  Write-Host "Reset abgeschlossen. Backup: $bak"
}
catch {
  Write-Warning ("Fehler im Reset: {0}" -f $_.Exception.Message)
}

Rollback: Dienste stoppen, gesicherte Ordner aus $bak zurückkopieren, Dienste starten. Nur anwenden, wenn nach Reset neue Fehler entstehen.

WSUS/WUfB: Richtlinienkonflikte erkennen und beheben

Bei WSUS-Clients prüfen: Gruppenrichtlinie „Intranet-Microsoft-Updatedienst angeben“ sowie „Internetspeicherorte für Windows Update nicht zulassen“. Mischen von WUfB-Deferals und WSUS führt zu unvorhersehbarem Verhalten. Für saubere Trennung entweder reiner WSUS- oder reiner WUfB-Betrieb.

• Clientseite: gpresult /h C:\Temp\gp.html generieren und Policy-Wirkung prüfen.
• Registry: UseWUServer=1, WUServer und WUStatusServer geprüft; falsche URLs (HTTP/HTTPS, FQDN) korrigieren.
• WSUS-Server: Upstream-Synchronisierung, abgelehnte Updates/Sprachen/Produkte, abgelaufene Zertifikate und Komprimierungseinstellungen verifizieren.

Delivery Optimization (Dienst DoSvc) muss bei Peer-to-Peer-Szenarien erreichbar sein. Proxy-Bypässe/Allowlists für *.windowsupdate.com, *.update.microsoft.com, download.windowsupdate.com, *.delivery.mp.microsoft.com, *.tlu.dl.delivery.mp.microsoft.com hinterlegen und TLS-/SSL-Inspection für diese Zonen ausschließen; sonst scheitern Block-Downloads mit 0x80070002 bei fehlenden Teilstücken.

Für die Zertifikatsvalidierung OCSP/CRL-Zugriffe zulassen (ohne TLS-Inspection), z. B. auf ocsp.msocsp.com, oneocsp.microsoft.com, crl.microsoft.com sowie ggf. organisationsspezifische PKI-Endpunkte.

GPO-Pfade (Bezeichnungen je nach Sprache): Computerkonfiguration → Richtlinien → Administrative Vorlagen → Windows-Komponenten → Windows Update → Intranet-Microsoft-Updatedienst angeben sowie Computerkonfiguration → Administrative Vorlagen → System → Internetkommunikationsverwaltung → Internetkommunikationseinstellungen → Internetspeicherorte für Windows Update nicht zulassen.

Typische Fehlerbilder und schnelle Gegenmaßnahmen