Après avoir appliqué l’OOB KB5037425 sur Windows Server 2019, Windows Update continue d’afficher la CU KB5038549 ? Voici des méthodes concrètes pour empêcher son téléchargement/installation automatique et reprendre le contrôle du poste ou du parc.
Vue d’ensemble de la question
Dans certains environnements, une fois la mise à jour hors bande KB5037425 installée, Windows Update peut encore proposer la mise à jour cumulative KB5038549. L’objectif est d’empêcher que cette dernière se télécharge ou s’installe d’elle‑même, tout en laissant la main à l’administrateur pour décider du moment opportun.
Réponse & solution proposée (méthode rapide)
- Ouvrir l’éditeur de stratégie locale :
gpedit.msc. - Accéder à : Configuration ordinateur ▸ Modèles d’administration ▸ Composants Windows ▸ Windows Update.
- Double‑cliquer sur Configurer les mises à jour automatiques.
- Cocher Activé, puis sélectionner l’option 2 – Notifier pour le téléchargement et l’installation.
- Valider avec Appliquer puis OK.
Effet recherché : Windows Update n’installe plus automatiquement les mises à jour ; l’administrateur reçoit une notification et conserve le contrôle sur le téléchargement et l’installation.
Action immédiate après la modification
Pour accélérer la prise en compte de la stratégie et rafraîchir l’état de Windows Update, exécutez en invite de commandes élevée :
gpupdate /force
net stop wuauserv
net stop bits
net start wuauserv
usoclient StartScan
Alternativement, un simple gpupdate /force suivi d’un StartScan suffit souvent. Vous pouvez ensuite ouvrir Paramètres ▸ Mise à jour & sécurité ▸ Windows Update pour vérifier que les mises à jour ne se lancent plus d’elles‑mêmes.
Résultat constaté
Dans le cas rapporté, l’administrateur a observé qu’au bout d’environ 24 heures, KB5038549 n’était plus proposée, rendant l’application de la stratégie finalement inutile pour cette instance. Ce comportement est cohérent avec la propagation des métadonnées de détection (catalogues, supersedence) côté Windows Update : il peut y avoir un léger décalage entre l’installation d’une OOB et l’actualisation des offres visibles sur le poste.
Pourquoi la KB5038549 peut‑elle revenir malgré l’OOB ?
- Cache de détection non rafraîchi : tant qu’un cycle de détection ne reconstruit pas l’état, l’offre peut persister visuellement.
- Latence des métadonnées : le service peut proposer temporairement une CU qui inclut déjà le correctif OOB, le temps que la relation de supersédure s’applique à votre appareil.
- Paquet déjà pré‑chargé : si la CU a été téléchargée avant votre changement de stratégie, elle peut rester en attente d’installation.
Dans ces cas, la stratégie “Notifier pour le téléchargement et l’installation” coupe le déclenchement automatique. Le rafraîchissement de détection (usoclient StartScan) et, si besoin, le nettoyage du cache (voir plus bas) aident à assainir l’état.
Méthodes complémentaires
| Méthode | Quand l’utiliser | Comment faire |
|---|---|---|
| Masquer spécifiquement la mise à jour | Lorsque l’update reste listée malgré la stratégie | Option 1 : utilitaire “Show or Hide Updates Troubleshooter” (wushowhide) : masquer la KB ciblée. Option 2 : PowerShell, module PSWindowsUpdate : Install-Module PSWindowsUpdate -Scope AllUsers Import-Module PSWindowsUpdate Hide-WindowsUpdate -KBArticleID 'KB5038549' -Hide -Verbose # Pour vérifier : Get-WindowsUpdate -IsHidden # Pour réactiver si nécessaire : Hide-WindowsUpdate -KBArticleID 'KB5038549' -Hide:$false |
| Gérer via WSUS ou SCCM | En environnement d’entreprise avec gestion centralisée | WSUS : Refuser la KB dans la console, ou placer en quarantaine et n’approuver qu’après validation. Microsoft Configuration Manager (SCCM/MECM) : contrôler le déploiement via des collections et des règles d’approbation, avec des dates de disponibilité et deadlines conditionnées. |
| Délais de mise à jour (déflexion) | Pour retarder toutes les mises à jour de qualité | GPO : Sélectionner quand les mises à jour de qualité sont reçues (Windows Update for Business) ► Différer de X jours. Idéal pour un ring de validation. |
| Canal de maintenance approprié | Éviter l’application de CU “Preview” non souhaitées | Ne déployez pas les CU Preview si votre politique exige uniquement les B‑releases (Patch Tuesday). En WSUS/MECM, filtrez vos déploiements pour n’inclure que les CU stables publiées le deuxième mardi du mois. |
Étapes détaillées : verrouiller l’automatisation tout en gardant la visibilité
1) Configurer la stratégie locale (ou via GPO de domaine)
La stratégie Configurer les mises à jour automatiques en mode 2 – Notifier pour le téléchargement et l’installation se traduit côté Registre par :
Chemin : HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
Valeur : "AUOptions" (DWORD) = 2
Vous pouvez aussi poser cette valeur par script :
New-Item -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU' -Force | Out-Null
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU' -Name 'AUOptions' -Type DWord -Value 2
# Optionnel : éviter un redémarrage forcé si un utilisateur est connecté :
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU' -Name 'NoAutoRebootWithLoggedOnUsers' -Type DWord -Value 1
gpupdate /force
2) Forcer une nouvelle détection
Après application de la stratégie, lancez un cycle de détection pour actualiser l’état de l’offre :
usoclient RefreshSettings
usoclient StartScan
Sur des systèmes où usoclient est restreint, un redémarrage des services Windows Update (wuauserv, bits, UsoSvc) puis l’ouverture de l’app Paramètres déclenche également une détection.
3) Purger un téléchargement déjà présent (si la CU a été pré‑chargée)
Si KB5038549 a déjà été téléchargée, supprimez le cache pour empêcher son installation lors d’une fenêtre de maintenance :
net stop wuauserv
net stop bits
net stop usosvc
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
net start usosvc
net start bits
net start wuauserv
usoclient StartScan
Conservez SoftwareDistribution.old quelques jours pour rollback, puis supprimez‑le.
4) Vérifier que la GPO s’applique
- RSOP :
rsop.msc► Configuration ordinateur ▸ Modèles d’administration ▸ Composants Windows ▸ Windows Update. - Rapport :
gpresult /h C:\temp\gp.htmlpuis ouvrezgp.html. - Journaux : Observateur d’événements ► Applications et services ▸ Microsoft ▸ Windows ▸ WindowsUpdateClient ▸ Operational, contrôlez les événements scan et download.
Références utiles dans l’éditeur de stratégie
| Paramètre | Chemin | Recommandation |
|---|---|---|
| Configurer les mises à jour automatiques | Configuration ordinateur ▸ Modèles d’administration ▸ Composants Windows ▸ Windows Update | 2 – Notifier pour le téléchargement et l’installation (empêche tout démarrage automatique). |
| Sélectionner quand les mises à jour de qualité sont reçues | Windows Update for Business | Appliquer un différé de n jours sur les “Quality Updates” pour laisser le temps aux tests. |
| Ne pas inclure les pilotes avec Windows Update | Windows Update | Réduit le bruit si vos serveurs n’ont pas à recevoir de pilotes via WU. |
Valeurs “AUOptions” : correspondances et comportements
| Valeur | Comportement | Usage recommandé sur serveur |
|---|---|---|
2 | Notifier pour le téléchargement et l’installation | Oui (contrôle total, zéro téléchargement automatique) |
3 | Télécharger automatiquement, notifier pour l’installation | À éviter si vous souhaitez maîtriser la bande passante |
4 | Télécharger et planifier l’installation | Uniquement avec fenêtres de maintenance strictes |
5 | Laisser l’admin local choisir (hérité) | Non recommandé sur Windows Server 2019 |
Automatiser sur plusieurs serveurs
Pour un parc hétérogène sans WSUS/MECM, un script PowerShell remédiant peut être déployé via votre outil d’orchestration :
# Bloquer l'automatisation et masquer la KB
$kb = 'KB5038549'
New-Item -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU' -Force | Out-Null
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU' -Name 'AUOptions' -Value 2 -Type DWord
try {
Import-Module PSWindowsUpdate -ErrorAction Stop
Hide-WindowsUpdate -KBArticleID $kb -Hide -Verbose
} catch {
Write-Host 'PSWindowsUpdate non présent ou non chargé. Masquage non appliqué.'
}
gpupdate /force
usoclient StartScan
Approche WSUS/MECM en pratique
- WSUS : laissez l’auto‑approval désactivé pour les Cumulative Updates ; créez une vue dédiée “Serveurs 2019” et déclinez explicitement KB5038549 le temps de l’analyse. Une fois la CU validée, approuvez‑la vers un ring pilote, puis généralisez.
- MECM : constituez trois collections (Pilote, Pré‑prod, Prod). Déployez les CU en Disponible (disponibility) puis changez en Obligatoire (deadline) après validation. Conservez des schedules alignés sur vos fenêtres de maintenance.
Checklist de dépannage si KB5038549 insiste
| Symptôme | Cause probable | Action corrective |
|---|---|---|
| La KB reste proposée et démarre un téléchargement | Stratégie non appliquée / héritage bloquant | Vérifier gpresult et la valeur AUOptions=2 ; corriger l’ordre des GPO |
| La KB est déjà “En attente d’installation” | Paquet mis en cache | Renommer SoftwareDistribution après arrêt des services, puis StartScan |
| Masquage PSWindowsUpdate sans effet | Module absent, ou WSUS impose l’offre | Installer le module, lancer PowerShell en admin, ou gérer côté WSUS/MECM |
| Le serveur réinstalle la CU malgré tout | Tâches planifiées/maintenance externe | Contrôler les Maintenance Windows MECM, scripts tiers, et planifications |
Bonnes pratiques supplémentaires
- Surveiller régulièrement le Windows Release Health pour repérer les correctifs recommandés, suspendus ou retirés.
- Documenter précisément la version et la date d’application de l’OOB (KB5037425) pour faciliter un rollback si nécessaire.
- Tester d’abord en pré‑production les impacts sur les rôles et services (AD DS, Hyper‑V, RDS, IIS, SQL Server…)
- Standardiser vos rings (Pilote ► Pré‑prod ► Prod) et vos fenêtres de maintenance ; bannir les installations “à chaud” sur Prod.
- Conserver une politique d’exposition minimale : seules les CU validées et nécessaires doivent être proposées à vos serveurs.
FAQ rapide
Le passage en “Notifer pour le téléchargement et l’installation” bloque‑t‑il toutes les mises à jour ?
Oui, il empêche l’exécution automatique. Vous recevez une notification et vous décidez de télécharger/installer manuellement. Cela ne supprime pas la visibilité sur les mises à jour disponibles.
Masquer une KB est‑il définitif ?
Non. Le masquage reste en vigueur jusqu’à ce que vous l’inversiez (-Hide:$false) ou qu’une CU ultérieure remplace/supersède la KB, changeant l’ID d’article et la détection.
Dois‑je préférer “Preview CU” ou attendre le Patch Tuesday ?
En production, attendez en principe la CU stable du Patch Tuesday (B‑release), sauf si une OOB/Preview corrige un incident critique que vous rencontrez.
Le serveur est géré par WSUS : la stratégie locale suffit‑elle ?
La stratégie locale contrôle le comportement (télécharger/installer) mais WSUS contrôle quoi est offert. Combinez les deux : ne pas approuver la KB côté WSUS et activer AUOptions=2 côté poste pour une protection à double fond.
Exemple de procédure complète “propre”
- Appliquer l’OOB KB5037425 sur un ring pilote.
- Sur ces serveurs, basculer la stratégie AUOptions=2 via GPO/Script.
- Masquer KB5038549 avec PSWindowsUpdate si elle persiste.
- Forcer un StartScan et contrôler le journal WindowsUpdateClient/Operational.
- Nettoyer
SoftwareDistributionsi la CU était déjà pré‑téléchargée. - Au bout de quelques cycles de détection, vérifier la disparition de l’offre. Quand prêt, démasquer et déployer de façon contrôlée.
Annexe : alternatives pour Server Core
Sur Windows Server 2019 Core, utilisez sconfig :
- Exécuter
sconfigen console. - Choisir 5) Windows Update Settings puis M – Manual.
- Déclencher une recherche 6) Download and Install Updates uniquement quand vous le souhaitez.
Pour un contrôle scripté sur Core, privilégiez PSWindowsUpdate et la bascule AUOptions comme décrit plus haut.
Conclusion
Pour empêcher l’apparition et l’installation automatique de KB5038549 après l’OOB KB5037425 sur Windows Server 2019, la combinaison gagnante est : AUOptions=2 (notification), masquage ciblé si nécessaire, rafraîchissement de détection et, en entreprise, pilotage via WSUS/MECM. Cette approche garantit un contrôle fin, préserve la stabilité de vos rôles critiques, et vous laisse décider du bon moment pour installer la cumulative update.