Votre serveur Windows Server 2012 R2 affiche le build 6.3.9600.22221 et vous voyez un correctif plus récent (6.3.9600.22267). Êtes‑vous encore « couvert » ESU sans l’installer ? Réponse courte : non. En ESU, seul le dernier Monthly Rollup publié est officiellement supporté — vous devez donc l’appliquer.
Prise en charge ESU de Windows Server 2012 R2 – faut‑il installer le dernier correctif ?
Vue d’ensemble de la question
Un administrateur gère un hôte Windows Server 2012 R2 qui tourne en build 6.3.9600.22221. Un nouveau Monthly Rollup est disponible, qui fait passer le noyau en build 6.3.9600.22267. Le serveur est-il encore « couvert » par le programme Extended Security Updates (ESU) s’il reste en 22221 ?
Réponse & solution
| Point clef | Explication |
|---|---|
| Fin du support traditionnel | Windows Server 2012 R2 est entré hors support étendu le 10 octobre 2023. La réception de correctifs de sécurité nécessite désormais ESU. |
| ESU (2023‑2026) | Avec une clé ESU valide et activée, Microsoft publie encore un Monthly Rollup de sécurité chaque mois jusqu’au 13 octobre 2026. |
| Règle de support | Les Monthly Rollups sont cumulatifs et supersédants. À la parution d’un nouveau Rollup, la version précédente n’est plus considérée supportée. Ainsi, 9600.22221 a été couvert jusqu’à la sortie de 9600.22267, mais ne l’est plus après. |
| Recommandation | Installer immédiatement le dernier Monthly Rollup disponible (au minimum 9600.22267 dans votre scénario, idéalement la version de ce mois).Vérifier et installer d’abord le Servicing Stack Update (SSU) le plus récent, sinon le Rollup ne s’installera pas. |
| Continuité ESU | Le serveur reste éligible si : 1) la clé ESU de l’année en cours est installée et activée (slmgr /ipk puis slmgr /ato), 2) le dernier SSU et les Monthly Rollups sont appliqués. |
Comprendre ce que signifie « être couvert ESU »
Le programme ESU ne garantit pas simplement que vous possédez une clé valide. Le support effectif s’appuie sur l’état de patching. Les Monthly Rollups remplacent les précédents et deviennent les seuls paquets officiellement supportés. Si vous restez sur un Rollup précédent (ex. 22221), Microsoft considère que votre machine n’est pas à jour et donc hors des conditions de support, même si votre activation ESU est en règle.
Deux conséquences très concrètes :
- Couverture sécurité : rester sur un Rollup supersédé signifie manquer des corrections pour des CVE publiées après votre niveau de patch.
- Assistance Microsoft : en cas d’incident, on vous demandera d’installer le dernier SSU/Monthly Rollup avant toute analyse.
Décoder les builds et les Rollups (exemples concrets)
Sur Windows Server 2012 R2, le format de build est typiquement 6.3.9600.x. Le suffixe x augmente à mesure des Monthly Rollups. À l’automne 2024, par exemple :
- Octobre 2024 : build courant observé
6.3.9600.22221. - Novembre 2024 : Rollup suivant portant le build
6.3.9600.22267, qui supersède 22221.
Ensuite, en 2025, des Rollups mensuels (par ex. KB5053887 en mars 2025, KB5061018 en juin 2025) poursuivent cette progression. Le bon réflexe est de viser systématiquement la dernière version disponible ce mois‑ci, pas un numéro de build précis.
En une phrase : si un Monthly Rollup plus récent existe, votre build n’est plus la référence supportée. Passez au dernier niveau sans attendre.
Checklist opératoire : passer de 9600.22221 à un niveau supporté
1) Vérifier l’activation ESU
slmgr /dlv
Dans la fenêtre d’informations, la ligne du canal (Retail/Volume) doit indiquer une activation Windows Server 2012 R2 ESU Year X. Si ce n’est pas le cas :
slmgr /ipk <votre_clé_ESU_annuelle>
slmgr /ato
2) Contrôler la présence du dernier SSU
Depuis 2025, Microsoft exige l’installation préalable du dernier Servicing Stack Update pour pouvoir appliquer les nouveaux Rollups. Par exemple : SSU de mai 2025 (réf. KB5058529) pour Windows Server 2012 R2. Il peut exister un SSU plus récent : installez toujours le plus récent détecté par Windows Update/WSUS/MECM.
Pour lister les SSU présents :
dism /online /get-packages /format:table | findstr /i "servicing stack"
3) Installer le dernier Monthly Rollup
Appliquez le Rollup cumulé du mois en cours (par ex. KB5061018 pour juin 2025, ou un KB plus récent le cas échéant). Inutile d’installer chaque Rollup intermédiaire : un seul Rollup le plus récent suffit, à condition que le SSU adéquat soit en place.
4) Redémarrer et valider
Après installation, redémarrez puis vérifiez :
Get-HotFix | Sort-Object -Property InstalledOn -Descending | Select-Object -First 10
# Vérifier le build exact :
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion" -Name BuildLabEx La clé BuildLabEx doit refléter un suffixe de build correspondant au Rollup installé (par ex. 9600.22267 ou supérieur).
Procédure détaillée (avec et sans connexion Internet)
Cas A — Serveur connecté (Windows Update/WSUS/MECM)
- Vérifier ESU :
slmgr /dlv. Installer/activer la clé ESU de l’année si nécessaire. - Lancer la détection via Windows Update, WSUS ou MECM/SCCM.
- Installer d’abord le SSU le plus récent proposé.
- Installer ensuite le Monthly Rollup du mois en cours.
- Redémarrer et valider (Get‑HotFix, BuildLabEx).
Cas B — Serveur isolé (offline)
- Récupérer le dernier package SSU et le dernier Monthly Rollup (
.msu) depuis une station connectée (extraction des KB depuis le Catalogue Microsoft Update). - Transférer les fichiers sur le serveur via un média approuvé.
- Installer le SSU :
wusa.exe <SSU_x64.msu> /quiet /norestart
- Installer le Rollup :
wusa.exe <KB_Rollup_x64.msu> /quiet /norestart
shutdown /r /t 0
Alternative pour images offline (capturer un VHD/VHDX ou monter un WIM puis injecter directement) :
dism /image:D:\Mount /add-package /packagepath:D:\Patches\<SSU_x64.msu>
dism /image:D:\Mount /add-package /packagepath:D:\Patches\<KB_Rollup_x64.msu>
Dépannage : erreurs courantes et solutions
| Symptôme / Code | Cause probable | Correctif |
|---|---|---|
La mise à jour ne s’applique pas à votre ordinateur | SSU manquant ou niveau ESU non préparé | Installer le dernier SSU et s’assurer que la préparation ESU (référencée par KB5031043) a été faite. |
| Rollup non proposé par WSUS | Catégories/produits WSUS incomplètes ou règles de supersédance | Cocher le produit Windows Server 2012 R2 et la classification Security Updates. Approuver uniquement le Rollup le plus récent. |
| Échec « prérequis non satisfaits » | Ordre SSU → Rollup non respecté | Déployer l’SSU en premier, attendre la détection suivante, puis le Rollup. |
| Serveur en build < 22221 | Sauts de patchs sur plusieurs mois | Bonne nouvelle : un seul Rollup le plus récent suffit (après SSU à jour). |
Vérifications post‑patch : soyez factuel
1) Lister les hotfix installés
Get-HotFix | Where-Object {$_.HotFixID -match "KB"} | Sort-Object InstalledOn -Descending
2) Contrôler la version du noyau
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion" `
-Name BuildLabEx,ReleaseId,UBR
Interprétation : BuildLabEx doit indiquer 9600.22xxx avec un nombre au moins égal à celui du Rollup installé (ex. 9600.22267 ou supérieur). Le champ UBR reflète la révision cumulative.
3) Journaliser la conformité
Conservez une trace (export CSV) des serveurs mis à jour :
Get-ADComputer -Filter * -Properties OperatingSystem |
Where-Object {$_.OperatingSystem -like "*2012 R2*"} |
ForEach-Object {
$os = Invoke-Command -ComputerName $_.Name -ScriptBlock {
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion" -Name BuildLabEx
} -ErrorAction SilentlyContinue
[PSCustomObject]@{Server=$_.Name; Build=$os.BuildLabEx}
} | Export-Csv .\Conformite_WS2012R2_ESU.csv -NoTypeInformation
FAQ — vos questions, des réponses nettes
Dois‑je installer chaque Rollup manqué ?
Non. Les Monthly Rollups sont cumulatifs. Installez le dernier (après le SSU adéquat) pour obtenir l’ensemble des correctifs précédents.
Le serveur reste‑t‑il « éligible ESU » si je n’installe pas le dernier Rollup ?
Votre licence ESU reste valide, mais le support Microsoft et la protection contre les vulnérabilités les plus récentes non. Vous devrez patcher au niveau le plus récent pour être considéré supporté.
Comment savoir quel SSU est requis ?
Depuis janvier 2025, Microsoft impose « le SSU le plus récent » avant tout Rollup ESU. Sur 2012 R2, un SSU de référence est KB5058529 (mai 2025), mais installez toujours celui que votre outil propose en dernier.
Comment vérifier la préparation ESU ?
Suivez la procédure officielle désignée par KB5031043 (pré‑requis, packages d’activation, redémarrage). Sans cette étape, les Rollups ESU ne s’appliqueront pas.
Pourquoi mon antivirus/EDR signale‑t‑il des redémarrages requis en boucle ?
Les Rollups modifient des composants noyau et RDP/SMB. Après un SSU puis un Rollup, un seul redémarrage bien séquencé suffit. Évitez d’enchaîner plusieurs KB en parallèle.
Puis‑je bloquer un Rollup jugé « riské » ce mois‑ci ?
Seulement de manière temporaire et exceptionnelle au vu d’un incident critique. Les Rollups suivants continueront de superséder et vous devrez rattraper rapidement.
Que se passe‑t‑il après le 13 octobre 2026 ?
Fin du programme ESU. Plus de correctifs pour 2012 R2. Il faudra migrer (Windows Server plus récent ou Azure Stack HCI) pour rester conforme et protégé.
Bonnes pratiques pour patcher sereinement en production
- Snapshots/Sauvegardes : prenez un point de restauration ou un snapshot VM avant chaque Rollup, et vérifiez sa purge après validation.
- Fenêtres de maintenance : regroupez SSU+Rollup dans une même fenêtre testée sur un pilot représentatif (contrôleur de domaine, serveur RDS, SQL, etc.).
- Clustering : patch rolling nœud par nœud (drain des rôles, pause, patch, redémarrage, reprise).
- Surveillance : après patch, contrôlez Event Viewer (System/Setup), services critiques (AD DS, DNS, DHCP, SQL, IIS), et supervision applicative.
- Catalogue maîtrisé : n’approuvez que le dernier Rollup, pas les historiques supersédés.
- Communication : informez les équipes applicatives et les métiers (changements de certificats, impacts RDP/SMB, redémarrages).
Exemples utiles (scripts et commandes prêts à l’emploi)
1) Tester rapidement l’état ESU d’une machine
# Vérifie activation ESU & dernier Rollup installé
$esu = (cscript.exe /nologo C:\Windows\System32\slmgr.vbs /dlv) 2>&1
$rollup = (Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 1).HotFixID
$build = (Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion").BuildLabEx
[PSCustomObject]@{
EsuActivated = ($esu -match "Windows Server 2012 R2 ESU")
LastKB = $rollup
BuildLabEx = $build
}
2) Détecter proactivement un SSU manquant
# Cherche un package "Servicing Stack" manquant
$dism = dism /online /get-packages
if ($dism -notmatch "Servicing Stack") { "SSU absent ou obsolète" } else { "SSU détecté" }
3) Audit de parc via WSMan
$servers = @("SRV-APP01","SRV-DB01","SRV-RDS01")
Invoke-Command -ComputerName $servers -ScriptBlock {
$kb = (Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 1).HotFixID
$b = (Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion").BuildLabEx
"$env:COMPUTERNAME`t$kb`t$b"
}
Tableau mémo : quoi faire selon votre situation
| Situation | Action immédiate | Objectif |
|---|---|---|
| Build 9600.22221, ESU actif | Installer SSU le plus récent, puis Rollup ≥ 9600.22267 | Revenir sur une version supportée |
| Erreur « non applicable » au Rollup | Installer la préparation ESU (réf. KB5031043) puis le SSU | Satisfaire les prérequis |
| Serveur coupé d’Internet | Déployer SSU + Rollup via wusa.exe ou dism | Mettre à jour hors ligne |
| Plusieurs mois de retard | Installer uniquement le dernier Rollup après SSU | Rattrapage rapide et propre |
Plan de sortie : anticipez la fin ESU (13 octobre 2026)
ESU s’arrête à cette date. Pour éviter une dette de sécurité :
- Priorité 1 : migrer les rôles critiques vers Windows Server plus récent (2022/2025) ou vers Azure Stack HCI/AKS Edge si pertinent.
- Priorité 2 : durcir (CIS Benchmarks), segmenter réseau et limiter l’exposition des services NTLM/RDP/SMB sur 2012 R2 tant qu’ils existent.
- Priorité 3 : maintenir un runbook de patch mensuel rigoureux jusqu’à la décommission.
Références KB à connaître (sans liens)
- KB5031043 : procédure pour continuer à recevoir les mises à jour après le 10/10/2023 (préparation ESU).
- KB5058529 : Servicing Stack Update pour Windows Server 2012 R2 (mai 2025).
- KB5053887 : Monthly Rollup (mars 2025).
- KB5061018 : Monthly Rollup (juin 2025). D’autres KB mensuels plus récents existent : appliquez toujours le dernier proposé.
En résumé
Dans le cadre ESU, seul le dernier Monthly Rollup est supporté. Votre build 6.3.9600.22221 a cessé d’être couvert dès la sortie de 6.3.9600.22267, puis des Rollups suivants. Pour rester protégé, conforme et éligible au support Microsoft :
- Activez chaque année la clé ESU adaptée (
slmgr /ipk+/ato). - Installez le dernier SSU disponible (sinon les Rollups échouent).
- Déployez le Monthly Rollup du mois (le plus récent), redémarrez, vérifiez le build.
- Mettez en place un rythme de patch mensuel et préparez votre plan de migration avant le 13/10/2026.
Adoptez ce processus et vous saurez, à chaque Patch Tuesday, si votre serveur est réellement couvert : c’est le cas uniquement quand il est au niveau de patch le plus récent d’ESU.