会社のPowerEdge R740にはWIndows Server 2012R2を入れて使っているのですが、アプリの更新を機に使わないアプリもそこそこあるので昨年の12月以来のクリーンインストールを実行することにしました。
　前と同じようにディスクを初期化してOSからインストールしてネットワークやドメイン参加の設定をしてWindows Updateを実行したのですが、ここで再起動後に失敗して元に戻します。との症状になってしまいました。
　ネットで検索するとクリーンインストール後のパッチが多いと出るような情報がありましたので10個づつとかやっても途中から0x800f0831のエラーコードで適用できません。CBS.logファイルも確認したのですがファイルサイズが大きいためかこれといった原因はつかめませんでした。0x800f0831で検索しても個別のパッチでの対応は出てきますが解決にいたらず。
　何度か再インストールからWindows Updateを繰り返してもだめで、パッチのファイルサイズの大きい順に当てていけば原因となるパッチがわかるかもと、リストをサイズ順にして一番大きい770MBぐらいあるKB3000850をまずは当ててみるといきなりエラーで適用きませんでした。どうやらこれが原因かもしれません。上記ページを調べてみると、この更新プログラムの既知の問題として

UEFI がセキュリティで保護されたブートが有効になっていることが必要なハードウェアで実行されている Windows Server 2012 R2 のサーバーがあります。

の条件でエラーでインストールされない場合があるとのこと。うちのR740もこの構成にインストールしています。で問題の解決には、スタック更新プログラム2975061を適用せよとのことです。
　2975061のページには

この更新プログラムよりもより包括的な問題を修正する追加の機能強化が含まれている更新プログラム3021910をインストールすることをお勧めします。

とありましたので、素直に3021910をダウンロードしてインストール。再起動後KB3000850が問題なく適用できました。その他のパッチも順番に当ててみたところ問題ありません。今回のWindows Updateに失敗する原因はこれだったようです。
　2017年12月に導入した頃はこのような不具合はなかったのでパッチの組み合わせが原因かもしれませんが、2018年8月現在ではセキュアブートが有効な環境にいちからインストールしたWindows Server 2012R2でWindows Updateを問題なく実施するには、まず最初にKB3021910の導入が必要との結論になりました。