Quand un contrôleur de domaine Windows Server 2022 refuse d’installer les mises à jour cumulatives KB5037422 puis KB5036909 et affiche les codes 0x8024200B ou 0x800f081f, l’impact se répercute sur la sécurité, la conformité et la stabilité d’Active Directory. Cet article détaille une méthode pas‑à‑pas, éprouvée en production, pour éliminer définitivement ces erreurs et restaurer un pipeline Windows Update fiable.
Pourquoi ces erreurs apparaissent‑elles ?
Les codes 0x8024200B (WU_E_UH_INSTALLER_STATUSUNKNOWN) et 0x800f081f (DISM_E_SOURCE_MISSING) signalent deux états différents :
- 0x8024200B : le moteur Windows Update n’obtient pas de retour cohérent du programme d’installation sous‑jacente.
- 0x800f081f : DISM ou Windows Update ne trouve pas les fichiers sources pour terminer l’assemblage du package.
Les causes profondes se répartissent en quatre catégories : magasin WinSxS corrompu, Servicing Stack Update (SSU) manquante ou obsolète, bibliothèques verrouillées par un antivirus/EDR tiers, ou clé de registre Component Based Servicing incohérente suite à un précédent plantage.
Contrôleur de domaine : risques spécifiques
Sur un serveur membre, un échec de mise à jour est gênant ; sur un Domain Controller (DC) il devient critique :
- Les politiques de mot de passe, Kerberos et authentification NTLM dépendent des correctifs de sécurité récents.
- La réplication AD DS et SYSVOL échoue parfois si le DC redémarre sur une build intermédiaire partiellement installée.
- Les sauvegardes état système postérieures à une mise à jour incomplète risquent de devenir inutilisables.
Méthodologie détaillée
| Étape | Objectif | Commande ou action clé |
|---|---|---|
| 1. Inventaire des builds | Valider la version et le SSU | winver + dism /online /get-packages | findstr Servicing |
| 2. Mode maintenance AD | Sécuriser la forêt | Démarrer en mode DS‑Restore ou isoler le DC (si cluster). |
| 3. Réinitialiser Windows Update | Purger la file d’attente et les caches | net stop wuauserv net stop bits ren %windir%\SoftwareDistribution SoftwareDistribution.old ren %windir%\System32\catroot2 catroot2.old |
| 4. Vérifier l’intégrité système | Détecter les DLL corrompues | sfc /scannow |
| 5. Réparer le magasin de composants | Reconstruire WinSxS | dism /online /cleanup-image /restorehealth ou dism /online /cleanup-image /restorehealth /source:D:\sources\sxs /limitaccess |
| 6. Installer la dernière SSU | Pré‑requis indispensable | KB5032198 (déc. 2024) ou version ultérieure |
| 7. Installer la CU hors ligne | Éviter les interférences réseau | wusa Windows10.0-KB5037422.msu /quiet /norestart |
| 8. Réparation in‑place (dernier recours) | Réinitialiser mais conserver les rôles AD | Exécuter setup.exe depuis l’ISO WS2022 « Conserver fichiers et applications » |
Analyse des journaux CBS et WindowsUpdate.log
Ouvrez cbs.log avec un éditeur prenant en charge les fichiers volumineux (Log Parser Studio, Notepad++). Filtrez :
[HRESULT = 0x800f081f]
ou
error_sxs_component_store_corrupt
La présence répétée de ces entrées confirme que DISM ne trouve pas ses sources. Si la ligne mentionne un assembly amd64_microsoft-windows-…, notez‑le ; vous le rechercherez dans %windir%\WinSxS ou sur l’ISO.
Exécuter DISM avec une source fiable
Montez l’ISO Windows Server 2022, puis :
Dism /Online /Cleanup-Image /RestoreHealth /Source:D:\sources\install.wim:2 /LimitAccess
install.wim:2correspond généralement à l’édition « Standard DesktopExperience » ; adaptez‑la au besoin (Get-WindowsImage -ImagePath D:\sources\install.wim)./LimitAccessdésactive Windows Update pour forcer DISM à n’utiliser que la source locale.
Réparation sur place : déroulé complet
- Sauvegarde AD DS : sauvegarde état système + bare metal.
- Désactivation temporaire de l’antivirus/EDR/agent de sauvegarde.
- Lancement de l’upgrade :
setup.exe /auto upgrade /dynamicupdate disablepour éviter de retélécharger les CU durant le process. - Deux redémarrages minimum ; surveillez l’observateur d’événements (« Setup Event Log »).
- Ré‑activation des agents tiers et exécution de
Dism /Online /Cleanup-Image /StartComponentCleanup.
Dans le cas étudié, cette procédure a recréé l’intégralité du magasin WinSxS, restauré la cohérence du registre Component Based Servicing et permis l’installation de KB5037422 puis KB5036909 sans aucune erreur.
Bonnes pratiques post‑incident
- Plan de maintenance WinSxS : planifiez hebdomadairement
StartComponentCleanupdans le Planificateur de tâches. - Stratégie de CU télescopée : si plusieurs correctifs mensuels sont manqués, installez directement la CU la plus récente ; les CU sont cumulatives par définition.
- Déploiement pilote : utilisez une OU « Preview » pour tester les CU sur un DC non critique.
- Journalisation avancée : activez les Windows Update Debug Logs avec la GPO
Computer Configuration\Administrative Templates\Windows Components\Windows Update\Logging Level. - Surveillance proactive : System Center, Azure Arc ou un SIEM peuvent lever une alerte sur l’événement
Installation FailureID 20.
FAQ
La réparation sur place modifie‑t‑elle les rôles FSMO ?
Non. Les rôles AD (Schema Master, RID, etc.) restent inchangés. Vérifiez néanmoins netdom query fsmo après opération.
Puis‑je appliquer cette méthode sur un server core ?
La réparation in‑place nécessite l’édition Desktop Experience. Sur un Server Core, restaurez la machine depuis une sauvegarde ou promouvez un nouveau DC.
Les snapshots Hyper‑V suffisent‑ils comme sauvegarde ?
Non : Microsoft ne les considère pas comme sauvegarde autorisée d’Active Directory. Utilisez Windows Server Backup ou Veeam en mode application‑aware.
Conclusion
En environnement Active Directory, résoudre un échec persistant de mise à jour sur Windows Server 2022 passe par une approche méthodique : valider le SSU, nettoyer Windows Update, réparer le magasin DISM et, en dernier recours, effectuer une réparation sur place. Suivre cette feuille de route garantit une reprise rapide, limite les interruptions de service et pérennise la sécurité du domaine.