Windows Server 2022 ne démarre plus (y compris en mode sans échec) sur un contrôleur de domaine principal : ce guide pas‑à‑pas vous aide à rétablir au moins un démarrage, réparer l’amorçage UEFI, corriger l’image Windows offline et stabiliser rapidement AD/DNS pour remettre le domaine en service.
Sommaire
Vue d’ensemble de la panne
- Le serveur physique ne boote plus sur Windows Server 2022 ; tous les modes sans échec échouent.
- WinRE (Environnement de récupération) et l’invite de commandes sont accessibles.
SFC/DISMsignalent des corruptions non réparables.bootrecne « voit » pas l’installation ; erreurs de type « no boot device ».- Machine physique OK (BIOS/iDRAC/UEFI accessibles). C’est le contrôleur de domaine principal ; le DC de secours n’est pas prêt → interruption complète du domaine.
Objectif opérationnel
Rétablir un seul démarrage fonctionnel pour permettre la réplication Active Directory, finaliser rapidement un DC de secours, puis assainir la plateforme. Les mesures de type « clean boot », « Driver Verifier » ou mises à jour de pilotes ne sont utiles qu’après un démarrage réussi.
Avant de commencer : prérequis et garde‑fous
- BitLocker ? Si le volume OS est chiffré, déverrouillez‑le avant toute opération offline :
manage-bde -status manage-bde -unlock C: -RecoveryPassword <Clé-de-récupération> - Fenêtre d’intervention et accès console (iDRAC/iLO/KVM) disponibles.
- Éviter toute réinitialisation hasardeuse : ne formatez pas la partition EFI et ne supprimez pas
pending.xmlmanuellement. - Câblage & énergie : vérifiez PDU/UPS et câbles SAS/SATA si applicables.
- Lettre de lecteur : dans WinRE, la lettre de l’OS n’est pas toujours
C:. Identifiez‑la avant d’exécuter des commandes.
Arbre de décision minimal
| Symptôme principal | Cause la plus probable | Action immédiate |
|---|---|---|
bootrec ne trouve aucun système | Partition EFI sans lettre / BCD manquant | Assigner une lettre à l’EFI → bcdboot |
| Corruption système détectée par SFC/DISM | Fichiers Windows endommagés / CU raté | DISM /RevertPendingActions puis /RestoreHealth avec média |
| Échecs répétitifs après MAJ | Dernière mise à jour qualité/feature défaillante | WinRE → Désinstaller la mise à jour (qualité puis fonctionnalité) |
| Disques OK mais démarrage impossible | Entrées NVRAM/Boot EFI incohérentes | bcdboot C:\Windows /s S: /f UEFI |
Vérifications matérielles et firmware (rapides)
Avant toute manipulation logicielle, validez l’état du stockage et des paramètres de démarrage.
| Point de contrôle | Pourquoi | Comment |
|---|---|---|
| RAID/Contrôleur (iDRAC/UEFI) | Un VD dégradé ou un cache contrôleur défaillant provoque des corruptions | Vérifier « Optimal », absence de « Foreign config », état des disques, logs Lifecycle |
| Mode de boot | Un basculement UEFI ↔ Legacy post‑install rend l’OS inamorçable | Confirmer que le mode de boot n’a pas changé depuis l’installation |
| Ordre d’amorçage | Un périphérique USB ou un disque data peut prendre la priorité | Mettre le VD système en premier ; débrancher les supports non‑OS si doute |
Réparer l’amorçage UEFI/GPT
Dans l’invite de commandes de WinRE :
- Identifier les volumes et donner une lettre à la partition EFI (FAT32, ~100–300 Mo) :
diskpart list vol sel vol <N° EFI> assign letter=S exitAlternative sidiskpartne montre pas l’EFI :mountvol S: /S - Confirmer la lettre du Windows offline (souvent
C:) à l’aide delist vol. - Recréer les fichiers de boot UEFI :
bcdboot C:\Windows /s S: /f UEFI - Au besoin, reconstruire BCD si l’ancienne base est corrompue :
attrib S:\EFI\Microsoft\Boot\BCD -h -r -s ren S:\EFI\Microsoft\Boot\BCD BCD.bak bcdboot C:\Windows /s S: /f UEFI
Cas BIOS/MBR (plus rare sur 2022)
bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcdMémo rapide des commandes d’amorçage
| Commande | Usage | Remarques |
|---|---|---|
mountvol S: /S | Monter l’EFI si non listée | Crée la lettre S: directement sur la partition système |
bcdboot C:\Windows /s S: /f UEFI | Regénérer les fichiers de boot UEFI | Met à jour NVRAM et copie les chargeurs sur l’EFI |
bcdedit /store S:\...\BCD /enum | Auditer le magasin BCD offline | À utiliser après bcdboot pour vérification |
Réparer le système de fichiers et l’image Windows (offline)
- CHKDSK (réparable sans rescannage long) :
chkdsk C: /fÉvitez/rtant que possible : très long et intrusif. - SFC offline :
sfc /scannow /offbootdir=C:\ /offwindir=C:\Windows - Annuler des mises à jour en attente (cas typique après un CU raté) :
dism /Image:C:\ /Cleanup-Image /RevertPendingActions - DISM avec source locale (montez l’ISO/USB de Windows Server 2022, ici
D:) :dism /Get-WimInfo /WimFile:D:\sources\install.wim dism /Image:C:\ /Cleanup-Image /RestoreHealth /Source:WIM:D:\sources\install.wim:<INDEX> /LimitAccessSi le média fournitinstall.esd, remplacezinstall.wimparinstall.esd. - Redémarrer. En cas d’échec persistant, rejouez amorçage (
bcdboot) après réparation (DISM/SFC).
Actions WinRE ciblées mises à jour
Depuis WinRE → Options avancées → Désinstaller des mises à jour :
- Tentez d’abord la dernière mise à jour qualité.
- Si proposé, essayez ensuite la mise à jour de fonctionnalité.
Après redémarrage réussi : stabiliser AD/DNS
L’objectif est de profiter de la fenêtre de vie de ce DC pour sécuriser l’annuaire et sortir du mode dégradé.
Sauvegarde immédiate
wbadmin start systemstatebackup -backuptarget:E: -quietVérifiez que la cible est locale ou exposée via iSCSI/NAS fiable.
Promouvoir un DC de secours (au plus vite)
- Préparez un Windows Server (même site AD si possible), joignez‑le au domaine.
- Installez AD DS et promouvez en Additional Domain Controller.
- Vérifiez la réplication et la présence des partages
SYSVOL/NETLOGON.
Contrôles AD/DNS
dcdiag /v
repadmin /replsummary
repadmin /showrepl * /csv > C:\Temp\showrepl.csv
dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:<DC-source> /rmem:<DC-cible>
net share
nltest /dsgetdc:<votre-domaine>- SYSVOL doit être partagé ; service DFSR sans erreurs critiques.
- DNS : vérifiez la présence des enregistrements SRV (
_ldap._tcp.dc._msdcs…), chargement des zones, transfert si serveur secondaire. - FSMO : confirmez les rôles et leur santé ; transférez si nécessaire une fois le DC de secours en ligne.
Si aucun correctif ne permet de booter
- Restauration Bare‑Metal / System State du DC sur matériel identique/similaire (idéal). Validez le réseau et l’heure (NTP) après restauration.
- Pas de sauvegarde exploitable et DC unique : préparez une récupération de forêt (reconstruction d’un DC propre, nettoyage des métadonnées d’anciens DC, réintégration des rôles FSMO, re‑création de
SYSVOLsi nécessaire). Interruption plus longue à prévoir. - Mesures palliatives : externalisez temporairement des services critiques (DHCP, DNS secondaire) vers un hôte séparé pour restaurer un socle réseau minimal durant l’intervention.
Informations complémentaires utiles
- L’erreur
bootrecqui « ne voit pas » l’installation est très souvent due à une partition EFI sans lettre. L’assignation (S:) suivie debcdbootcorrige généralement le problème. - Sur plateformes Dell, inspectez dans iDRAC les logs Lifecycle et l’état du PERC ; un VD dégradé ou un cache contrôleur défaillant peut engendrer des corruptions détectées par
SFC/DISM. - Évitez de formater l’EFI ; préférez renommer le BCD puis
bcdboot. - Pendant les opérations offline, débranchez les périphériques externes/USB inutiles pour éviter les confusions de volumes.
- Si vous suspectez un pilote défaillant empêchant le boot, il est possible de désactiver un service pilote offline via le Registre (voir annexe).
Procédure express (ordre recommandé)
- Contrôler RAID/UEFI/ordre de boot.
diskpart→ attribuer une lettre à l’EFI →bcdboot C:\Windows /s S: /f UEFI.sfcoffline →dism /revertpendingactions→dism /restorehealthavec média.- Redémarrer ; si échec, répéter
bcdbootet, en MBR,bootrec. - Après boot, sauvegarder, promouvoir un second DC, puis assainir AD/DNS.
- En cas d’échec total, restaurer (Bare‑metal/System State) ou lancer une récupération de forêt.
Pourquoi ces étapes fonctionnent
bcdbootrecrée un environnement UEFI propre et régénère les entrées NVRAM, neutralisant un BCD manquant/incohérent.DISM /RevertPendingActionsannule des modifications incomplètes (notamment après une mise à jour interrompue), débloquant la pile de maintenance.DISM /RestoreHealthavec source remplace les composants corrompus depuis un média fiable, là oùSFCn’y parvient pas seul.- Réparation d’abord, optimisation ensuite : toute démarche « fine » (pilotes, services) est inefficace si l’OS ne passe pas POST→WINLOAD.
Annexe : structure de partitions typique (UEFI/GPT)
| Partition | Taille (indicative) | Système de fichiers | Rôle |
|---|---|---|---|
| EFI | 100–300 Mo | FAT32 | Chargeurs UEFI (\EFI\Microsoft\Boot) |
| Microsoft Reserved (MSR) | 16 Mo | — | Maintenance GPT |
| OS | Variable | NTFS | Windows Server 2022 (C:\Windows) |
| Recovery | 500 Mo–1 Go | NTFS | WinRE |
Annexe : commandes prêtes à copier
:: Monter EFI et régénérer l’amorçage (UEFI)
diskpart
list vol
sel vol <N° EFI>
assign letter=S
exit
bcdboot C:\Windows /s S: /f UEFI
\:: Reconstruire BCD si nécessaire
attrib S:\EFI\Microsoft\Boot\BCD -h -r -s
ren S:\EFI\Microsoft\Boot\BCD BCD.bak
bcdboot C:\Windows /s S: /f UEFI
\:: Réparations offline
chkdsk C: /f
sfc /scannow /offbootdir=C:\ /offwindir=C:\Windows
dism /Image\:C:\ /Cleanup-Image /RevertPendingActions
dism /Get-WimInfo /WimFile\:D:\sources\install.wim
dism /Image\:C:\ /Cleanup-Image /RestoreHealth /Source\:WIM\:D:\sources\install.wim:\ /LimitAccess
\:: Cas MBR (rare)
bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd
\:: Après boot — AD/DNS
wbadmin start systemstatebackup -backuptarget\:E: -quiet
dcdiag /v
repadmin /replsummary
net share
dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:\ /rmem:\Annexe : désactiver un pilote/service fautif offline
À utiliser avec discernement si un pilote tiers bloque le démarrage et que vous l’avez identifié (journaux, dernières installations).
- Montez la ruche
SYSTEMdu Windows offline :reg load HKLM\BROKENSYS C:\Windows\System32\Config\SYSTEM - Passez le service à
Start=4(désactivé) dansHKLM\BROKENSYS\ControlSet001\Services\<NomDuService>. - Déchargez la ruche :
reg unload HKLM\BROKENSYS
Annexe : lecture des journaux hors ligne pour diagnostic
- Exporter les journaux d’événements vers un disque de travail (
E:) :wevtutil epl System E:\System.evtx wevtutil epl Application E:\Application.evtx wevtutil epl Setup E:\Setup.evtx - Consulter les traces de réparations :
C:\Windows\Logs\CBS\CBS.log,C:\Windows\Logs\DISM\dism.log,C:\Windows\System32\Logfiles\Srt\SrtTrail.txt.
Bonnes pratiques pour éviter la récidive
- Deux DC minimum par domaine/site critique, avec surveillance de la réplication.
- Plan de sauvegarde testé : Bare‑metal + System State, restauration validée régulièrement.
- Fenêtrage des mises à jour sur DC, avec anneaux (pré‑prod → prod) et point de restauration/backup avant patch.
- Contrôleur RAID à jour (firmware/drivers) et surveillance proactive (alerting PERC/iDRAC).
- BitLocker + clé stockée de façon sécurisée et accessible en astreinte.
En suivant cette séquence — stockage & firmware → bcdboot (UEFI) → DISM/SFC offline → désinstallation des mises à jour problématiques → redémarrage → stabilisation AD/DNS — vous maximisez vos chances de faire repartir un Windows Server 2022 contrôleur de domaine bloqué, tout en limitant l’impact sur l’annuaire.