Les sessions RDS Windows Server 2019 tombent en cascade ? Si vos utilisateurs sont déconnectés avec l’Event ID 40 et le code 3489660929 (0xD0000001), le coupable est probablement la mise à jour cumulative KB 5041578. Voici une analyse complète, les correctifs et des bonnes pratiques de prévention.
Problème observé : déconnexions RDS en série
Dans plusieurs fermes Remote Desktop Services (RDS) exécutant Windows Server 2019 (build originale 17763), tous les utilisateurs connectés à un même hôte se voient éjectés simultanément. La coupure, brutale, est immédiatement suivie d’une tentative automatique de reconnexion ; le cycle peut se répéter plusieurs fois par heure.
Journal : Microsoft‑Windows‑TerminalServices‑RemoteConnectionManager/Operational
Event ID : 40
Texte : “Session <n> has been disconnected”
Code raison : 3489660929 (0xD0000001)
Ce code hexadécimal (0xD0000001) correspond à une erreur interne réseau au niveau du protocole RDP. Le service TermService ne tombe pas pour autant ; seule la pile de transport RDP se réinitialise, forçant la rupture de tous les canaux Open SSL, UDP et TCP associés.
Pistes éliminées lors du diagnostic
| Piste | Mesure entreprise | Résultat |
|---|---|---|
| Transport UDP instable | Désactivation d’UDP côté client (fClientDisableUDP=1) et GPO « Turn off UDP on client ».Forçage TCP‑only sur l’hôte via GPO « Select RDP transport protocols ». | Aucune amélioration durable : après quelques heures, le même Event ID 40 ressurgit. |
| Pilote réseau / carte NIC | Contrôle des journaux système, collecte WireShark avec filtres tcp.port==3389 et udp.port==3389. | Pas de paquets RST ni d’anomalie ARP ; latence stable ; aucune micro‑coupure reproduite. |
| Taille du jeton Kerberos | Extension de la valeur MaxTokenSize jusque 48 000.Relance du service KDC. | Sans effet sur le phénomène. Les tickets TGT se renouvellent normalement. |
| VPN site‑à‑site saturé | Désactivation temporaire de la passerelle IPsec inter‑sites ; bascule du trafic sur une ligne dédiée. | Le problème persiste, y compris en local sur le même commutateur. |
Cause principale identifiée
Le correctif cumulatif KB 5041578 (13 août 2024 — build 17763.6189) introduit un défaut dans la gestion du cœur de session RDP. Microsoft a publié l’incident dans la section « Known issues » de l’article KB : la pile RDP déclenche des réinitialisations forcées, ce qui se traduit exactement par le code 0xD0000001.
Comment valider la présence de la mise à jour fautive ?
- Dans Programmes — Mises à jour installées, repérez « 2024‑08 Cumulative Update for Windows Server 2019 (KB5041578) ».
- Depuis PowerShell :
Get-HotFix | Where-Object {$_.HotFixID -eq 'KB5041578'}
Si l’entrée apparaît, l’hôte est potentiellement affecté.
Solutions confirmées
1. Désinstaller KB 5041578 (remède immédiat)
- Ouvrez une console PowerShell Run as Administrator.
- Lancez :
wusa /uninstall /kb:5041578 /quiet /norestart - Redémarrez le serveur hors production (>15 minutes d’arrêt).
Dès le reboot, les sessions restent stables ; aucun nouvel Event ID 40 n’est enregistré.
2. Appliquer un Cumulative Update ultérieur (correctif propre)
Les Cumulative Updates de septembre 2024 (build 17763.6201) puis de novembre 2024 (build 17763.6323) embarquent le correctif officiel. Pour garantir la réception :
- Vérifiez que la règle « Quality updates deferral period (days) » est à 0 le temps de patcher.
- Forcer la détection Windows Update :
UsoClient StartScan - Laissez le serveur redémarrer automatiquement ou planifiez un redémarrage contrôlé.
3. Empêcher la ré‑installation involontaire de la Preview fautive
- Pendant quelques mois, conservez l’option « Recevoir les mises à jour facultatives (Preview) » désactivée.
- Dans WSUS, refusez la classification Preview Cumulative Update sur la vue Windows Server 2019.
Contournements provisoires si l’hôte est déjà instable
- Connectez‑vous en session console (Direct Access, iLO, Hyper‑V, KVM IP) ; la présence d’une session administrateur empêche souvent la pile RDP de se réinitialiser pendant plusieurs minutes — le temps de sauver les fichiers ouverts.
- Planifiez ensuite un redémarrage propre par
Shutdown /r /t 0 /fhors heures ouvrées. Cette action purge les handles orphelins et relance tous les services dépendants (TSSDIS, ProfSvc, etc.).
Étapes détaillées pour un patching sécurisé
- Inventorier les serveurs RDS concernés :
Invoke-Command -ComputerName (Get-Content .\RDSFarm.txt) ` -ScriptBlock { Get-HotFix | Where {$_.HotFixID -eq 'KB5041578'} } ` | Export‑Csv KB5041578_Report.csv -NoTypeInformationLe fichier CSV permet de prioriser les nœuds selon la criticité métier. - Prendre une sauvegarde ou un snapshot Hyper‑V avant toute désinstallation.
- Désinstaller ou mettre à jour selon la fenêtre de maintenance disponible.
- Valider :
Get-WinEvent -LogName ` 'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational' ` -MaxEvents 1000 | Where-Object {$_.Id -eq 40 -and $_.Properties[1].Value -eq 3489660929}Aucun nouvel événement ID 40 ne doit apparaître après le correctif. - Mettre à jour la documentation interne (Guide d’exploitation, Change Log).
Pourquoi le code 0xD0000001 reste un indicateur critique
Ce code d’erreur n’est pas spécifique à KB 5041578 ; il signale un effondrement de la pile RDP, quelle qu’en soit la cause : bug de mise à jour, corruption mémoire, pilote NDIS défaillant. Surveiller ce code dans les journaux offre un moyen proactif de détecter les futures régressions.
Bonnes pratiques pour éviter un nouvel incident
- Maintenir un pilote NIC certifié WHQL et le micro‑code firmware du contrôleur réseau à jour.
- Segmenter l’environnement : isolez au moins un hôte pré‑production (bascule rapide) pour tester chaque CU en avance.
- Activer les sauvegardes d’état système quotidiennes ; elles accélèrent une restauration bare‑metal si un patch corrompt les services cruciaux.
- Mettre en place un monitoring (SCOM, Zabbix, PRTG) sur les compteurs :
Terminal Services(*)\Total SessionsetRemoteFX Network(*)\Total Packets Lost. - Documenter les exceptions de déploiement WSUS : toute approbation manuelle doit être tracée dans un journal de changement.
FAQ — questions fréquemment posées
« Puis‑je simplement forcer TCP Only et ignorer la mise à jour ? »
Cela peut réduire la fréquence des coupures, mais ne supprime pas le bug ; l’erreur 0xD0000001 continue de se produire même en TCP pur.
« Quelle différence entre la Preview CU et la CU mensuelle ? »
La Preview, publiée en troisième ou quatrième semaine, contient des correctifs non finalisés ; la CU mensuelle (Patch Tuesday) est cumulative, signée et supposée stable. KB 5041578 était une Preview.
« Le problème touche‑t‑il Windows 10/11 ? »
Non : le composant affecté (rdpcorets.dll v10.0.17763.4974) est propre à la branche LTSC 1809 (Server 2019).
Tableau récapitulatif des builds Server 2019
| Build | Date de sortie | ID KB | État RDP |
|---|---|---|---|
| 17763.5921 | 11 juin 2024 | KB5039289 | Stable |
| 17763.6189 | 13 août 2024 | KB5041578 | Instable |
| 17763.6201 | 10 septembre 2024 | KB5039369 | Stable (corrigé) |
| 17763.6323 | 12 novembre 2024 | KB5039894 | Stable |
Scripts complémentaires
Bloquer la réinstallation de KB 5041578 via registres WU
$BlockList = '5041578'
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wusa.exe' `
-Name Debugger -Value 'cmd /c exit' -Force
Write-Host "wusa.exe neutralisé, KB bloquée : $BlockList"
Attention : cette astuce doit rester temporaire ; supprimez la clé une fois un CU corrigé installé.
Surveiller le code 0xD0000001 en temps réel
Get-WinEvent -LogName `
'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational' -FilterXPath `
"*[System[(EventID=40)]]" -MaxEvents 0 | `
Where-Object {$_.Properties[1].Value -eq 3489660929} | `
Register-ObjectEvent -Action {
Write-EventLog -LogName Application `
-Source "RDP Monitor" -EventId 1001 -EntryType Error `
-Message "Déconnexion RDP détectée (0xD0000001) !"
}
À retenir
Le code 3489660929 est la conséquence directe du bug introduit par KB 5041578. La désinstallation de ce correctif ou, mieux, l’installation d’un Cumulative Update postérieur (septembre 2024 ou ultérieur) élimine définitivement le problème. Les réglages UDP/TCP et autres tweaks réseau ne sont que des palliatifs tant que la mise à jour fautive demeure sur le système.
En appliquant méthodiquement les étapes décrites — inventaire, correctif, prévention, monitoring — vous sécurisez durablement vos infrastructures RDS Windows Server 2019 et garantissez la continuité du service pour vos utilisateurs.