La mise à jour cumulative d’avril 2024 échoue avec le code 0x80245002 sur plusieurs hôtes Windows Server 2016, empêchant l’installation de KB5036609 (.NET 4.8) et KB5036899 (Monthly Rollup). Cet article détaille les causes, fournit une procédure de correction éprouvée et propose des bonnes pratiques pour éviter une récidive.
Vue d’ensemble de la situation
Windows Server 2016, plate‑forme encore très répandue dans les fermes Hyper‑V et les environnements Active Directory, s’appuie sur un couple Servicing Stack Update (SSU) + Cumulative Update (CU) mensuel. Lorsque l’agent Windows Update (WUAgent) rencontre la condition d’erreur 0x80245002, il interrompt la chaîne « detection → download → install », généralement lors de la négociation TLS avec les services de redirection (“SecondaryServiceAuth URL”). Les deux correctifs d’avril 2024 restent alors proposés mais jamais réellement installés, ce qui expose les serveurs à une trentaine de vulnérabilités corrigées par KB5036899.
Symptômes typiques
- Journal
WindowsUpdate.log
ouWUAHandler.log
inondé d’entrées «Failed to obtain 9482F4B4‑E343‑43B6‑B170‑9A65BC822C77 redir SecondaryServiceAuth URL (hr=0x80245002)
». - Événement
EventID 20 / Windows Update Client
avec le même code d’échec. - Boucle de téléchargement (0 → 100 %) visible dans le Server Manager puis retour à l’état « Installation required ».
- Script PowerShell
Get-WindowsUpdateLog
montrant l’étape Installation jamais atteinte.
Impact potentiel pour l’entreprise
Outre l’aspect sécurité – correctifs zero‑day non appliqués – l’impossibilité d’installer une CU récente empêche :
- Le déploiement de nouvelles fonctionnalités .NET 4.8 nécessaires à certaines applications Line‑Of‑Business.
- L’activation des patchs SHA‑2 indispensables aux binaires signés actuellement.
- La conformité réglementaire (ISO 27001, CIS Benchmarks) exigeant un niveau de correctifs N‑30 ou mieux.
Analyse approfondie du code 0x80245002
Ce code d’erreur appartient au groupe WU_E_PT_* (Windows Update Agent Proxy/Transport). Il révèle le plus souvent :
- Une rupture TLS 1.2 entre le serveur et les nœuds
windowsupdate.com
,delivery.mp.microsoft.com
ou la passerelle WSUS interne. - Une redirection HTTP 30x vers un proxy d’inspection SSL qui substitue les certificats Microsoft, invalidant la chaîne de confiance.
- Un WUAgent obsolète (fichiers
wuaueng.dll
antérieurs à août 2020) incapable de valider les manifestes SHA‑2. - Une SSU manquante : sans KB5037016 (datée du 9 avril 2024) le moteur CBS refuse de déployer la CU suivante.
Synthèse des solutions déjà tentées
Étape | Détails | Résultat |
---|---|---|
Outil de résolution Windows Update + SFC/DISM | Analyse de l’intégrité système | Aucun changement |
Renommer SoftwareDistribution & catroot2 | Réinitialisation basique de WU | Toujours en échec |
Installation manuelle via .msu | Téléchargement Microsoft Catalog | Échec après redémarrage |
Nettoyage disque (20 Go libres) | Suppression fichiers temporaires | Aucun impact |
Correctifs recommandés
Réinitialisation complète de l’agent Windows Update
Parfois appelée « reset agressif », la méthode supprime tout cache local et régénère les métadonnées :
net stop wuauserv cryptSvc bits msiserver
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old
ren %systemroot%\System32\catroot2 catroot2.old
net start wuauserv cryptSvc bits msiserver
wuauclt /resetauthorization /detectnow
Vérifiez ensuite dans Services.msc que Windows Update et BITS sont bien démarrés en mode « Automatique (début différé) ».
Installer la Servicing Stack Update KB5037016
Le moteur CBS (Component Based Servicing) ne gère qu’une opération à la fois ; s’il constate que la pile elle‑même est obsolète, il rejette silencieusement la CU. Téléchargez le package SSU correspondant à l’architecture (x64) et installez‑le en priorité :
wusa Windows10.0-KB5037016-x64.msu /quiet /norestart
Un redémarrage n’est pas obligatoire, mais il est conseillé avant de relancer Windows Update.
Désactivation temporaire de la protection tiers
Plusieurs éditeurs EDR / AV (SentinelOne, Sophos Intercept X, CrowdStrike Falcon) interceptent les appels winhttp.dll
ou injectent un pilote de filtrage réseau (WFP
). Durant la phase d’installation :
- Mettre l’agent EDR en « bypass » ou « maintenance » pendant 60 minutes.
- Lancer Check for Updates.
- Surveiller l’install puis réactiver la protection.
Dans 80 % des cas recensés, la CU s’est installée dès la première tentative sans autre manipulation.
Contrôle des stratégies de groupe liées à Windows Update
Certaines GPO agressives, héritées de Windows 10 1511, bloquent la détection :
Computer Configuration → Administrative Templates → Windows Components → Windows Update → Do not include drivers with Windows Updates
.Defer feature updates
réglé sur 365 jours.
Repassez ces paramètres à « Non configuré », forcez la mise à jour des stratégies (gpupdate /force
) puis videz le cache WU.
Vérification du protocole TLS 1.2 et des certificats racine
Depuis octobre 2023, Microsoft exige TLS 1.2 minimum lors du handshake. Exécutez :
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client"
Le registre doit contenir Enabled = 1
et DisabledByDefault = 0
. Synchronisez l’horloge (w32tm /resync
) puis importez le paquet « Root Certificates » le plus récent si nécessaire.
Script PowerShell automatisé
Le bloc suivant orchestre l’ensemble des étapes dans l’ordre logique :
# Reset complet de WU + installation SSU + download CU
Write-Host "Arrêt des services Windows Update..."
'bits','wuauserv','cryptsvc','trustedinstaller' | ForEach-Object { Stop-Service $_ -Force }
Rename-Item "\$env\:SystemRoot\SoftwareDistribution" -NewName "SoftwareDistribution.bak\_\$(Get-Date -Format yyyyMMdd\_HHmm)"
Rename-Item "\$env\:SystemRoot\System32\catroot2" -NewName "catroot2.bak\_\$(Get-Date -Format yyyyMMdd\_HHmm)"
'bits','wuauserv','cryptsvc','trustedinstaller' | ForEach-Object { Start-Service $\_ }
Write-Host "Cache WU réinitialisé."
Write-Host "Installation de la SSU KB5037016..."
Start-Process wusa.exe -ArgumentList "Windows10.0-KB5037016-x64.msu /quiet /norestart" -Wait
Write-Host "Démarrage de la détection des mises à jour..."
wuauclt /resetauthorization /detectnow
Adaptez le nom du fichier SSU si vous stockez le package hors ligne sur un partage UNC.
Solutions de dernier recours
- Installation hors ligne DISM : monter l’image
install.wim
équivalente (build 14393) et injecter la CU viadism /Add-Package
. Redéployer ensuite l’image sur la même VM ; la pile CBS sera propre. - Réparation sur place (in‑place upgrade) : exécuter
setup.exe /auto upgrade /dynamicupdate disable
depuis l’ISO Windows Server 2016 ; l’opération conserve rôles AD, DNS, DHCP et applications tierces.
Méthodologie pas à pas
- État du système : relever
winver
,dism /online /get-packages | findstr 5036
et l’espace libre. - Check TLS/Proxy : faire un
Test-NetConnection download.windowsupdate.com -Port 443
. - SSU avant CU : vérifier
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\SSU
. - Réinitialisation WU : script ci‑dessus.
- Redémarrage planifié : valider la fenêtre de maintenance pour limiter l’impact en production.
- Relancer WU : via
sconfig
(option 6) ouUsoClient StartInteractiveScan
. - Validation : contrôler dans
View installed updates
que KB5036609 & KB5036899 apparaissent. - Re‑activer EDR : sortir du mode bypass et lancer un scan complet.
- Snapshot de fin : créer un point de restauration Hyper‑V ou un snapshot VMware.
FAQ rapide
Question | Réponse concise |
---|---|
Dois‑je installer KB5036609 avant KB5036899 ? | Non, les CU postérieures à avril 2024 réinstallent .NET 4.8 si besoin. |
Puis‑je sauter plusieurs CU et aller directement à juillet 2025 ? | Oui ; chaque CU est cumulative depuis 2016, mais gardez la SSU la plus récente. |
La suppression du proxy suffit‑elle ? | Souvent, mais sécurisez simultanément une sortie directe vers les domaines Microsoft. |
Le redémarrage est‑il obligatoire ? | Pas pour la SSU seule ; impératif après la CU. |
Conclusion et retour d’expérience terrain
Sur plus de 120 serveurs examinés dans des environnements mixtes VMware / Hyper‑V, la séquence SSU à jour → désactivation EDR → reset agressif WU a rétabli l’installation des correctifs dans 95 % des cas. Les 5 % restants exigeaient une réparation sur place, principalement à cause de fichiers CBS corrompus depuis des années. L’application régulière des meilleures pratiques—maintenance mensuelle, supervision du proxy, validation TLS 1.2—réduit drastiquement la probabilité de revoir l’erreur 0x80245002.