Windows Server 2019 Essentials : corriger l’erreur 0x87e10bc6 après réinstallation (Dell PowerEdge)

Après une réinstallation de Windows Server 2019 Essentials sur un Dell PowerEdge 540, l’activation échoue avec le code 0x87e10bc6 et la fenêtre d’activation téléphonique (slui 4) ne s’ouvre pas ? Ce guide pas à pas vous aide à diagnostiquer et résoudre définitivement le problème.

Vue d’ensemble du problème

Contexte typique : serveur Dell PowerEdge 540 réinstallé à l’identique après une infection virale, clé produit et matériel identiques à l’installation d’origine (juin 2021). L’assistant d’activation renvoie l’erreur 0x87e10bc6, et slui 4 (activation téléphonique) ne s’ouvre pas. Cette situation pointe souvent vers un blocage de connectivité, une incohérence d’édition installée, une clé OEM non réinjectée depuis le BIOS, ou un service d’activation local en panne.

Solutions et pistes de diagnostic proposées

Étape	But	Commandes ou actions	Commentaires
Vérifier le canal de licence	S’assurer qu’il s’agit bien d’une clé OEM (courant sur les serveurs Dell/EMC)	wmic path SoftwareLicensingService get OA3xOriginalProductKey	Si la clé BIOS s’affiche, la saisir dans « Changer la clé de produit ».
Contrôler l’horloge système	Empêcher un rejet d’activation pour cause d’horodatage	Synchroniser date/heure et fuseau horaire	Une dérive de quelques minutes suffit à bloquer l’activation.
Tester la connectivité	Garantir l’accès aux serveurs d’activation Microsoft	Ping externe, DNS fonctionnel	Le code 0x87e10bc6 est fréquent en cas de perte d’accès aux services activation/validation.
Examiner le pare‑feu / proxy	Débloquer les ports 80, 443, 1688 (KMS)	Désactiver temporairement règles bloquantes ou proxy	Sur certains réseaux d’entreprise, un proxy transparent bloque les requêtes SOAP d’activation.
Mettre à jour le système	Corriger d’éventuels bogues d’activation	Lancer Windows Update puis redémarrer	Certains correctifs cumulatifs règlent des défaillances d’activation hors connexion.
Utiliser l’outil SLMGR	Forcer la réinitialisation et l’activation	slmgr /upk (facultatif) puis slmgr /ipk <clé> et slmgr /ato	Surveillez le code renvoyé ; 0xC004C003 indique une clé bloquée.
Activer par téléphone	Contourner les appels réseau	slui 04 puis suivre l’assistant	Si la fenêtre ne s’affiche toujours pas, exécuter Start-Process "C:\Windows\System32\slui.exe" 4 dans PowerShell.
Vérifier l’ISO utilisée	Édition et build doivent correspondre à la clé	Télécharger l’image Windows Server 2019 Essentials depuis VLSC ou Dell	Installer Standard ou Datacenter entraîne un échec systématique avec une clé Essentials.
Contacter le support Dell / Microsoft	Obtenir une réactivation manuelle si la clé est bloquée	Fournir l’ID d’installation (phone activation) et la preuve d’achat	Les clés OEM peuvent être verrouillées après plusieurs réinstallations rapprochées.

Comprendre l’erreur 0x87e10bc6

Le code 0x87e10bc6 est un code générique d’échec d’activation qui survient fréquemment lorsque Windows ne parvient pas à contacter les services d’activation, quand l’édition installée ne correspond pas à la clé (ex. clé Essentials sur ISO Standard/Datacenter), quand le service Software Protection (sppsvc) est défaillant, ou lorsque le proxy/pare‑feu effectue une inspection TLS qui perturbe la chaîne de confiance des requêtes d’activation.

• Symptôme réseau : activation impossible, slui qui tourne en boucle ou ne se lance pas, Event Viewer indiquant des erreurs Security-SPP.
• Symptôme édition : slmgr /ato renvoie une clé non valide pour l’édition en place.
• Symptôme service : sppsvc en état arrêté ou en échec, fichiers de magasin de licences corrompus.

Procédure de diagnostic pas à pas

Identifier le type de clé et l’édition installée

1. Ouvrir PowerShell en administrateur et extraire la clé OEM injectée en BIOS :
   wmic path SoftwareLicensingService get OA3xOriginalProductKey Si une clé apparaît, c’est une clé OEM : la ressaisir via Paramètres > Mise à jour et sécurité > Activation > Changer la clé de produit ou en ligne de commande :
   slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
2. Contrôler l’édition réellement installée :
   dism /online /Get-CurrentEdition Comparez l’édition obtenue avec la clé. Essentials doit être installé avec une image conforme à Essentials. Une installation Standard ou Datacenter échouera avec une clé Essentials.

Vérifier date/heure et services

1. Mettre à l’heure le serveur (source NTP fiable, fuseau horaire correct). En environnement virtualisé, assurez-vous que l’hyperviseur ne force pas une autre heure.
2. Valider le statut du service de protection logicielle :
   sc query sppsvc sc start sppsvc
3. Redémarrer sppsvc si nécessaire après avoir stoppé proprement les dépendances :
   net stop sppsvc net start sppsvc

Tester la connectivité et le proxy

Confirmez la résolution DNS, la sortie HTTP/HTTPS, et l’accès au port 1688 si KMS est utilisé.

Test-NetConnection -ComputerName activation.sls.microsoft.com -Port 443
Test-NetConnection -ComputerName kms.contoso.local -Port 1688
Resolve-DnsName activation.sls.microsoft.com

• Proxy explicite : vérifiez les paramètres WinHTTP et Internet (et tout pac).
  netsh winhttp show proxy netsh winhttp reset proxy Si l’entreprise impose un proxy, configurez une exception ou autorisez explicitement les hôtes d’activation.
• Inspection TLS : certaines appliances effectuent une interception TLS qui rompt la validation des certificats des services d’activation. Placez des exclusions de déchiffrement pour les domaines d’activation ou autorisez les flux en passthrough.

Forcer la réinitialisation de l’activation

Utilisez slmgr pour purger et réinjecter la clé, puis relancer l’activation en ligne.

slmgr /upk
slmgr /cpky
slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
slmgr /ato

Interprétez les codes retour :

• 0xC004C003 : clé bloquée ou non valide pour l’édition. Vérifiez l’ISO et l’origine de la clé (OEM vs MAK/KMS).
• 0x87e10bc6 : problème de connectivité ou service ; poursuivre avec les sections réseau et service.

Activer par téléphone quand slui 4 ne s’ouvre pas

Si slui 4 ne s’ouvre pas :

Start-Process "C:\Windows\System32\slui.exe" 4

Si la fenêtre reste muette, vérifiez la présence et l’intégrité de C:\Windows\System32\slui.exe (SFC et DISM ci‑dessous) et l’association des applications UI.

Réparer Windows avant une nouvelle tentative

sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth
shutdown /r /t 0

Ces commandes corrigent des composants corrompus (dont slui et la pile de servicing) susceptibles d’empêcher l’activation.

Vérifications approfondies côté édition et image

La réinstallation avec une image non conforme est l’une des causes majeures d’échec d’activation :

• ISO inadaptée : une clé Essentials ne peut pas activer une installation Datacenter/Standard. Assurez-vous d’avoir utilisé l’image correcte Windows Server 2019 Essentials fournie par votre canal (OEM Dell ou licences en volume).
• Downgrade/Upgrade : la conversion d’édition via dism /Set-Edition n’est pas supportée pour toutes les combinaisons et peut échouer. En cas de doute, privilégiez une réinstallation avec la bonne image.
• OEM vs Volume : ne mélangez pas clé OEM et média Volume Licensing (VLSC). Restez cohérent clé/média.

Pare‑feu, proxy et endpoints à autoriser

Si votre réseau met en œuvre un proxy ou une inspection TLS, préparez un jeu d’exclusions et autorisations. Au minimum :

Type	Ports	Description
Activation en ligne	TCP 80, 443	Requêtes HTTP(S) vers les services d’activation/validation Windows.
KMS (interne)	TCP 1688	Communication avec l’hôte KMS d’entreprise.
DNS	UDP/TCP 53	Résolution des noms des services d’activation.

En environnement à haut niveau de sécurité, définissez des exclusions de déchiffrement TLS pour les flux d’activation et vérifiez que la chaîne de certificats système est à jour.

Lecture des journaux et triage des erreurs

• Event Viewer : Applications and Services Logs ▸ Microsoft ▸ Windows ▸ Security-SPP.
  Recherchez des événements d’échec d’activation, de validation de licence, d’appel RPC ou de proxy.
• Journaux CBS : %windir%\logs\cbs\cbs.log pour les réparations système (SFC/DISM).
• Journal SLMGR : les messages renvoyés par slmgr.vbs vous donnent le code d’échec précis et parfois une cause textuelle (clé invalide, service indisponible, etc.).

Pour extraire rapidement les erreurs pertinentes :

Get-WinEvent -LogName "Microsoft-Windows-Security-SPP/Software Protection Platform Service" |
  Where-Object {$_.LevelDisplayName -in @("Error","Warning")} |
  Select-Object TimeCreated,Id,LevelDisplayName,Message |
  Sort-Object TimeCreated -Descending | Select-Object -First 20

Cas particuliers à connaître

Clé OEM BIOS non réinjectée après réinstallation

Sur un Dell PowerEdge, la clé OEM est souvent stockée en BIOS (OA3). Si l’image utilisée ne lit pas automatiquement cette clé, l’activation échoue jusqu’à ce que vous la saisissiez manuellement. La commande WMIC affichée plus haut permet de la récupérer en toute sécurité.

Activation MAK/KMS en contexte de licences en volume

• MAK : quota d’activations limité. Si vous avez dépassé le quota (multiples réinstallations), l’activation en ligne échoue ; favorisez l’activation téléphonique ou la remontée du quota.
• KMS : assurez-vous que le serveur peut joindre l’hôte KMS (port 1688), que le DNS publie l’enregistrement SRV adéquat et que le seuil minimal d’activation est atteint pour l’OS concerné.

slui 4 ne s’affiche pas ou se ferme instantanément

Outre la réparation SFC/DISM, vérifiez :

• Stratégies GPO qui restreignent les interfaces d’activation ou la couche UI.
• Composant UI AppX corrompu : DISM RestoreHealth corrige souvent le problème.
• Exécution en session RDP : testez en console locale (mstsc /admin) ou directement au KVM/iDRAC.

Checklist express

1. Confirmer la clé OEM : wmic path SoftwareLicensingService get OA3xOriginalProductKey.
2. Vérifier l’édition : dism /online /Get-CurrentEdition et cohérence avec la clé.
3. Mettre à l’heure le serveur et redémarrer sppsvc.
4. Tester DNS + sortie HTTPS + KMS si applicable (Test-NetConnection).
5. Passer Windows Update et redémarrer.
6. Réinitialiser et réactiver : slmgr /upk → /ipk → /ato.
7. Si échec : tenter l’activation téléphonique avec slui 4 ou Start-Process ... 4.
8. Vérifier ISO et envisager média Essentials OEM/VLSC conforme.
9. En dernier ressort : support Dell/Microsoft avec ID d’installation et preuve d’achat.

Scripts PowerShell prêts à l’emploi

Diagnostic réseau et services en un passage

$hosts = @("activation.sls.microsoft.com","validation.sls.microsoft.com")
$results = foreach ($h in $hosts) { Test-NetConnection -ComputerName $h -Port 443 -WarningAction SilentlyContinue }
$kms = Test-NetConnection -ComputerName "kms.contoso.local" -Port 1688 -WarningAction SilentlyContinue
$dns = Resolve-DnsName "activation.sls.microsoft.com" -ErrorAction SilentlyContinue

Write-Host "=== Net HTTPS ==="
$results | Format-Table -AutoSize ComputerName,RemotePort,TcpTestSucceeded
Write-Host "`n=== KMS 1688 ==="
$kms | Format-Table -AutoSize ComputerName,RemotePort,TcpTestSucceeded
Write-Host "`n=== DNS ==="
$dns | Select-Object Name,Type,IPAddress | Format-Table -AutoSize

Write-Host "`n=== Services ==="
Get-Service sppsvc | Format-Table -AutoSize Status,Name,DisplayName

Réparation rapide des composants d’activation

Stop-Service sppsvc -Force -ErrorAction SilentlyContinue
Start-Sleep -Seconds 2
Start-Service sppsvc
slmgr /rearm
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth

Bonnes pratiques pour éviter le retour du problème

• Conserver un média conforme à l’édition et au canal de licence utilisés lors de l’achat.
• Documenter la clé OEM extraite via WMIC et la stocker en coffre‑fort.
• Automatiser la configuration NTP et vérifier la dérive horaire après chaque redémarrage (surtout en VM).
• Mettre en liste d’autorisation les flux d’activation dans les politiques proxy/pare‑feu et désactiver l’inspection TLS pour ces domaines.
• Appliquer les mises à jour cumulatives afin de maintenir la pile de servicing et les certificats racine à jour.

Quand escalader au support

Si après l’ensemble des étapes l’activation échoue encore :

• Clé bloquée (erreur 0xC004C003) : fournissez au support l’ID d’installation obtenu via l’assistant téléphonique, la preuve d’achat et, pour un OEM, le Service Tag du Dell PowerEdge 540.
• Édition impossible à corriger : réinstallez avec l’ISO Essentials appropriée (OEM ou VLSC selon votre licence).
• Blocage réseau intraitable : capturez les logs proxy/pare‑feu montrant les refus sur 80/443/1688 afin d’obtenir une exception.

Informations complémentaires utiles

• Rôle KMS/MAK : si la clé provient d’un contrat de licences en volume (MAK/KMS), il faut utiliser l’hôte KMS interne ou augmenter le quota d’activations auprès de l’éditeur.
• Restauration système hors ligne : sur un serveur déjà en production, sauvegardez l’état système avant toute tentative de slmgr /upk pour éviter de déstabiliser d’autres rôles (AD DS, DHCP, etc.).
• Édition Essentials et limitations : Essentials n’autorise qu’un seul contrôleur de domaine et 25 utilisateurs / 50 appareils ; envisagez une montée en gamme vers Standard si votre infrastructure s’agrandit.
• Logs détaillés : les erreurs d’activation sont consignées dans %windir%\logs\cbs\cbs.log et Event Viewer ▸ Applications and Services Logs ▸ Microsoft ▸ Windows ▸ Security‑SPP – utile pour isoler un problème de clé corrompue ou de service défaillant.

Exemples de scénarios et corrections rapides

Scénario	Symptômes	Cause probable	Remède conseillé
Réinstallation post‑malware	0x87e10bc6, slui 4 muet	Composants SPP corrompus	sfc + DISM, relance sppsvc, slmgr /ipk + /ato
Image non conforme	Clé refusée	ISO Standard/Datacenter	Réinstaller avec ISO Essentials du bon canal
Proxy d’entreprise strict	Activation en boucle	Inspection TLS	Exclure les domaines d’activation du déchiffrement
Licences en volume	Échec en ligne	Quota MAK épuisé	Activation téléphonique ou augmentation du quota
Horloge VM	Échec sporadique	Dérive NTP	Synchroniser NTP hôte/invité, redémarrer

Plan d’action recommandé

1. Identifier le canal de licence (OEM/MAK/KMS) et l’édition installée.
2. Assainir l’OS : sfc + DISM, services, mises à jour.
3. Ouvrir les flux réseau nécessaires : sorties HTTPS et KMS si applicable.
4. Réancrer la clé : slmgr /ipk puis /ato (ou téléphone via slui 4).
5. Valider via Event Viewer l’absence d’erreurs Security‑SPP.
6. Escalader en fournissant ID d’installation + preuve d’achat si blocage persistant.

Résumé exécutable

:: 1) Vérif clé OEM
wmic path SoftwareLicensingService get OA3xOriginalProductKey

:: 2) État édition + services
dism /online /Get-CurrentEdition
sc query sppsvc

:: 3) Réseau & proxy
Test-NetConnection activation.sls.microsoft.com -Port 443
netsh winhttp show proxy

:: 4) Réparation + réactivation
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth
slmgr /upk && slmgr /cpky
slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
slmgr /ato

:: 5) Téléphone si besoin
Start-Process "C:\Windows\System32\slui.exe" 4

Conclusion

Dans la grande majorité des cas, l’activation d’un Windows Server 2019 Essentials fraîchement réinstallé sur un Dell PowerEdge 540 aboutit après : (1) confirmation de la clé OEM BIOS et de l’édition, (2) remise en état des services/licences, (3) ouverture des flux réseau, et (4) recours ponctuel à l’activation téléphonique si les services en ligne sont injoignables. En procédant dans cet ordre, vous évitez une nouvelle réinstallation et restaurez une activation propre et durable.

En appliquant ces vérifications dans l’ordre, on identifie généralement la cause (clé OEM non réinjectée, blocage réseau ou mauvaise édition installée) et l’activation aboutit sans réinstaller à nouveau le serveur.

---

Notes complémentaires

• Un serveur de production hébergeant des rôles sensibles (AD DS, DHCP, fichiers) doit être sauvegardé (état système) avant toute opération /upk.
• Essentials impose des limites : un seul contrôleur de domaine, 25 utilisateurs/50 appareils. Anticipez une montée en charge éventuelle vers Standard.
• Conservez un journal des codes renvoyés par slmgr et des événements Security‑SPP pour accélérer un éventuel échange avec Dell/Microsoft.