看了你的问题，确实挺闹心的——组策略跑了好几年都没问题，就这台Server 2019的RD虚拟机突然因为更新出问题，还不能回滚更新。结合Server 2019和客户端系统的差异，给你几个针对性的排查方向，都是不用卸载更新就能试的：

先确认Server 2019特有的远程协助组策略配置 #

虽然域策略已经部署，但Windows更新有时候会重置本地的特定设置，尤其是服务器版的默认逻辑和客户端不一样：

• 打开本地组策略编辑器(gpedit.msc)，定位到计算机配置 > 管理模板 > 系统 > 远程协助
• 重点检查这两个设置：
  • 配置远程协助：必须设为已启用，并且选中允许远程协助邀请，同时勾选允许此计算机被远程控制
  • 允许无请求的远程协助：这个是你用msra /offerra的核心，一定要设为已启用，并指定你的域管理员组作为允许发起协助的对象
• 配置完后跑一遍gpupdate /force，再重启下远程协助服务（可以在服务里找Remote Assistance，或者用命令net stop raserver && net start raserver）

检查防火墙规则是否被更新篡改 #

域策略的防火墙规则有时候会被更新新增的规则覆盖：

• 打开Windows Defender防火墙高级设置(wf.msc)，找入站规则里的这几个远程协助相关条目：
  • 远程协助 - 邀请 (TCP-In)
  • 远程协助 - 数据 (TCP-In)
  • 远程协助 - 会话邀请 (WMI-In)
• 确保这些规则都是已启用状态，并且应用范围包含域网络（如果这台机器暴露在公网，也要确认公网规则是否允许）
• 另外可以临时关闭防火墙测试一下，如果能连接，说明确实是防火墙规则的问题，再针对性调整

深挖DCOM和WMI的权限（Server 2019容易被更新改动） #

你之前查过dcomcnfg，但可能没注意Server 2019的特定组件权限：

• 打开dcomcnfg，进入组件服务 > 计算机 > 我的电脑 > DCOM配置，找到Remote Assistance组件
• 右键属性切到安全选项卡：
  • 在启动和激活权限里，点击编辑限制，给NETWORK SERVICE和你的域管理员组加上本地启动、本地激活权限
  • 在访问权限里，同样给上述账户加上本地访问权限
• 顺便检查Windows Management Instrumentation的DCOM权限，MSRA依赖WMI获取系统信息，更新很可能改动了这个组件的权限

核对注册表的关键项（针对无请求协助的设置） #

有些更新会悄悄修改注册表的远程协助开关：

• 打开注册表编辑器(regedit)，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Remote Assistance
• 确认以下DWORD键值都是1：
  • fAllowToGetHelp：允许接受协助
  • fAllowFullControl：允许被远程控制
  • fAllowUnsolicited：允许无请求的协助（msra /offerra必须靠这个）
• 另外检查HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services下的fDenyTSConnections是否为0，RD服务的状态会影响MSRA的连接

检查RD会话主机的特殊限制 #

因为这台机器是RD服务器，Server 2019的RD会话主机有自己的远程协助控制：

• 打开服务器管理器，进入远程桌面服务 > 集合 > 你的RD集合 > 属性 > 会话
• 确认允许远程协助已启用，并且设置为允许管理员查看和控制会话
• 同时检查你的管理员账户是否在Remote Desktop Users和Administrators组里，MSRA需要足够的权限发起跨会话的协助

如果以上都试过还是不行，你可以先试一下用普通的MSRA邀请（不是/offerra）能不能连接——如果能，说明更新确实限制了无请求协助的功能，这时候可以考虑提交微软支持工单，或者等后续的累积更新修复（毕竟你不能回滚更新）。

备注：内容来源于stack exchange，提问作者didrocks66