MENU
  1. Accueil
  2. Windows
  3. Windows Server
  4. KB5034768 : corriger le BSOD 0xc000021a sur Windows Server 2019

KB5034768 : corriger le BSOD 0xc000021a sur Windows Server 2019

Windows Server

La mise à jour cumulative KB5034768 de février 2024 provoque, sur certaines machines Windows Server 2019 Standard, un écran bleu Stop 0xc000021a en boucle. Cet article explique les causes, les correctifs fiables et les bonnes pratiques pour sécuriser votre production.

Sommaire

Contexte et périmètre du problème

Depuis Patch Tuesday de février 2024, plusieurs administrateurs ont signalé que l’installation de KB5034768 sur des hôtes ou VM Windows Server 2019 (build 17763.5329) se soldait par un redémarrage interminable : la session d’amorçage produit un BSOD 0xc000021a, collecte des informations puis redémarre, sans jamais atteindre l’écran de connexion. Le phénomène touche principalement des VM Hyper‑V hébergeant SQL Server 2014 ou un agent de sécurité tiers, tandis que les VM « jumelles » dépourvues de ces composants démarrent normalement.

Symptômes observés

  • BSOD « Stop Code : 0xc000021a » immédiatement après le premier redémarrage post‑patch.
  • Boucle de démarrage : collecte de données → redémarrage → BSOD.
  • Dans certains crash dumps, le message « DRIVER UNLOADED WITHOUT CANCELLING PENDING OPERATIONS – edrdrv.sys » renvoie au pilote du client Xcitium / Comodo EDR.
  • Observé sur des VM Hyper‑V Generation 2 (Secure Boot activé) mais également rapporté sur du matériel physique Dell de génération 14.

Analyse des causes probables

  1. Conflit pilote tiers – Le module edrdrv.sys interceptant les appels noyau entre en conflit avec le nouveau fichier noyau livré par KB5034768.
  2. Actions de maintenance en attente – Windows n’arrive pas à finaliser ses « pending operations » au premier boot, déclenchant le rollback puis le BSOD.
  3. Chaîne de dépendance SQL Server 2014 – Certaines DLL chargées très tôt (filtre de ressource FILESTREAM, pilotes VSS) ne passent plus la signature au redémarrage, générant l’état d’arrêt critique.

Solutions et contournements confirmés

MéthodePrincipeScénario d’usage
1. Restauration & blocage sélectifRestaurer l’OS ou la VM puis ré‑appliquer les mises à jour via PowerShell :
Install-WindowsUpdate -MicrosoftUpdate -NotKBArticleID KB5034768
pour exclure ce correctif uniquement.		Parfait si une sauvegarde ou un snapshot est disponible.
2. Désinstallation normaleDémarrer l’OS (si possible) → Paramètres › Windows Update › Historique › Désinstaller → Sélectionner KB5034768.Valable lorsque la machine atteint encore le bureau.
3. Désinstallation hors‑boot (DISM)Démarrer sur Repair your computerCommand Prompt puis :
D:> DISM /Image:D:\ /Cleanup-Image /RevertPendingActions D:> DISM /Image:D:\ /Remove-Package /PackageName:PackageforKB5034768~31bf3856ad364e35~amd64~~17763.5329.1.7		Indispensable si le BSOD boucle et qu’aucun snapshot n’existe.
4. Suppression du pilote fautifDémarrer en Mode sans échec.
Activer Windows Installer :
REG ADD "HKLM\... \Minimal\MSIServer" /VE /T REG_SZ /F /D "Service"
puis désinstaller Xcitium EDR.
Enfin, redémarrer.		À employer si le pilote edrdrv.sys est présent.

Procédures détaillées pas‑à‑pas

1. Restaurer et bloquer sélectivement KB5034768

Si vous disposez d’un snapshot Hyper‑V ou d’une sauvegarde Bare Metal :

  1. Restaurer l’image antérieure au Patch Tuesday.
  2. Ouvrir une session administrateur ; lancer PowerShell en mode élevé.
  3. Installer toutes les mises à jour critiques sauf celle incriminée :
    Install-WindowsUpdate -AcceptAll -NotKBArticleID "5034768"
  4. Redémarrer ; vérifier que la build reste 17763.4xxx sans BSOD.

2. Exécuter la désinstallation hors‑boot avec DISM

  1. Monter l’ISO Windows Server 2019 ou utiliser l’Environment Recovery.
  2. Sélectionner Réparer l’ordinateur › Dépannage › Invite de commandes.
  3. Découvrir la lettre Windows :
    diskpart → list volume.
  4. Lancer :
    DISM /Image:D:\ /Cleanup-Image /RevertPendingActions
    (replace D: by your Windows drive).
  5. Si le problème persiste, supprimer le package :
    DISM /Image:D:\ /Remove-Package /PackageName:PackageforKB5034768~...
  6. Quitter puis redémarrer ; Windows annule la mise à jour et démarre normalement.

3. Retirer temporairement Xcitium / Comodo EDR

Lorsque le dump pointe vers edrdrv.sys :

  1. Forcer Démarrage avancé › Options › Mode sans échec avec réseau.
  2. Activer Windows Installer dans ce mode :
    REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSIServer" /VE /T REG_SZ /F /D "Service"
  3. Démarrer le service :
    net start msiserver
  4. Désinstaller « Xcitium Client Security ».
  5. Redémarrer en mode normal ; vérifier l’absence de BSOD.
  6. Télécharger la version EDR la plus récente compatible avril 2024 ou supérieure, puis ré‑installer.

Bonnes pratiques avant chaque Patch Tuesday

  • Sauvegardes complètes et amorçables : snapshot Hyper‑V + sauvegarde hors‑ligne sur stockage isolé.
  • Validation hors‑production : cloner la VM et appliquer la CU dans un réseau non critique.
  • Inventaire logiciel à jour : repérer antivirus, EDR, outils de sauvegarde, pilotes RAID susceptibles d’intercepter le noyau.
  • Plan de back‑out documenté : procédures DISM, WinRE, restauration Veeam testées et chronométrées.
  • Surveillance post‑patch : logs SetupAPI.dev.log, CBS.log, WindowsUpdate.log et alertes SCOM.

Pourquoi le code d’arrêt 0xc000021a ?

Le BSOD Status System Process Terminated (0xc000021a) se déclenche lorsque winlogon.exe ou csrss.exe s’arrête de façon inattendue. Dans le cas présent, le pilote EDR mal désenregistré ou la défaillance de la séquence « Pending Xml Identifier » bloque la montée de version des fichiers système. Windows détecte une violation d’intégrité et force l’arrêt pour protéger le système.

Questions fréquentes (FAQ)

La KB5034768 est‑elle retirée du catalogue ?

Non. Microsoft n’a pas retiré la mise à jour mais recommande, dans son article KB, de vérifier la compatibilité des logiciels de sécurité avant déploiement. Aucun Known Issue Rollback (KIR) n’a été publié à ce jour.
Puis‑je installer les mises à jour ultérieures (mars 2024 et suivantes) ?

Oui. Les builds mensuelles cumulent les correctifs précédents. Si Microsoft publie un correctif de régression, il sera inclus dans la Cumulative Update suivante. Toutefois, testez d’abord sur une VM de lab.
SQL Server 2014 est‑il obligatoirement en cause ?

Non. SQL Server 2014 ajoute des pilotes FileStream et VSS qui complexifient la pile d’amorçage, mais le conflit principal reste le pilote EDR. Un serveur sans SQL mais équipé du même agent EDR peut planter.

Conclusion

Le BSOD 0xc000021a observé après l’installation de KB5034768 est généralement lié à un conflit entre le correctif et un pilote noyau tiers (edrdrv.sys). La désinstallation du correctif ou la suppression du pilote rétablit la disponibilité du serveur. Pour éviter toute interruption de service :

  • Conservez des sauvegardes et snapshots systématiques.
  • Testez chaque cumulative update en pré‑production.
  • Mettez à jour vos solutions EDR/antivirus avant le Patch Tuesday.
  • Surveillez les prochaines CU : Microsoft publie souvent une correction dans le patch mensuel suivant.

En appliquant ces pratiques, vous réduirez fortement le risque d’interruption et garantirez la résilience de vos charges de travail critiques.

Windows Server
BSOD KB5034768 0xc000021a Windows Server 2019 Xcitium EDR
Sommaire