Au fil des correctifs mensuels, les administrateurs constatent parfois que Windows Server 2022 reste bloqué à 100 % d’installation après le cumulatif 21H2, reproduisant les lenteurs déjà rencontrées sous Server 2016. Cet article propose une méthodologie exhaustive (analyse, remédiation, prévention) pour rétablir des mises à jour rapides et fiables, même sur des infrastructures critiques.
Vue d’ensemble de la question
Le canal de maintenance « 21H2 » correspond à la première branche de Windows Server 2022 (build 20348.x). Les mises à jour de sécurité, livrées sous forme de LCU (Latest Cumulative Update), s’appuient sur le service TrustedInstaller et l’agent Windows Update Agent (WUA). Lorsque l’installation semble figée pendant 30 minutes ou plus, les causes sont souvent relatives à un cache corrompu, à un environnement logiciel tiers intrusif (antivirus, outils de sauvegarde, EDR), ou à une absence de SSU (Servicing Stack Update) récente.
Tableau récapitulatif des solutions
| Axe d’intervention | Actions proposées | Résultats attendus / remarques |
|---|---|---|
| 1. Vérifier les ressources système | Contrôler la charge CPU, RAM et I/O disque (PerfMon, Gestionnaire des tâches). | Si les ressources sont saturées, prévoir un créneau hors‑pic ou augmenter la capacité (RAM, stockage SSD, etc.). |
| 2. Contrôle de la connectivité réseau | Tester la latence et la perte de paquets (ping, tracert) ; vérifier les proxies/pare‑feu. | Les lenteurs de téléchargement sont éliminées ; s’assurer que les adresses Microsoft Update ne sont pas filtrées. |
| 3. Pause puis reprise de Windows Update | Paramètres › Windows Update › Suspendre les mises à jour 7 jours, redémarrer, puis Reprendre. | Relance propre du moteur de mise à jour, utile quand le processus reste bloqué. |
| 4. Purge du cache Windows Update | net stop wuauserv net stop bits rd /s /q %SystemRoot%\SoftwareDistribution net start wuauserv net start bits | Élimine les téléchargements corrompus qui empêchent la progression. |
| 5. Utilitaires de diagnostic | Lancer l’Outil de dépannage Windows Update et analyser les journaux dans Observateur d’événements › System. | Correction automatique de certains composants et visibilité sur les erreurs détaillées (codes 0x800f****). |
| 6. Vérification du disque | chkdsk /f /r suivi d’un redémarrage. | Répare les clusters défectueux susceptibles de bloquer le déploiement de fichiers CAB ou MSU. |
| 7. Installation manuelle | Télécharger le KB concerné sur le Microsoft Update Catalog et exécuter le fichier .msu localement (ou via DISM /Add‑Package). | Contourne les problèmes de téléchargement/validation en ligne. |
| 8. Démarrage minimal (Clean Boot) | msconfig › Masquer services Microsoft › Désactiver tout, désactiver les éléments de démarrage. | Écarte les interférences de logiciels tiers (AV, agents de sauvegarde, monitoring). |
| 9. Mettre à jour l’Agent Windows Update & SSU | Vérifier la présence du dernier SSU avant d’appliquer les cumulatifs. | L’agent obsolète peut provoquer des boucles infinies ou des échecs de post‑installation. |
| 10. Outils système avancés | DISM /Online /Cleanup-Image /RestoreHealth sfc /scannow | Répare l’image et les fichiers système essentiels au service TrustedInstaller. |
Analyse détaillée des causes fréquentes
Cache Windows Update corrompu
Le dossier %SystemRoot%\SoftwareDistribution stocke manifestes XML, téléchargements CAB/MSU, et base ESD. Un échec d’écriture (due à VSS, AV temps réel ou disques lents) crée des données incomplètes que l’agent essaie de relire indéfiniment, figeant la barre de progression à 100 %. La solution radicale consiste à arrêter les services, supprimer le dossier et relancer un scan (wuauclt /detectnow ou usoclient StartScan).
Servicing Stack Update manquant
Depuis début 2021, Microsoft joint SSU+LCU mais certains WSUS/ECC/SCOM filtrent encore les SSU distincts. Sans la version minimale (ex. KB5030310 pour build 20348.1906), l’OS ne peut pas gérer les nouvelles métadonnées – l’installation boucle à la phase « Migraine – Prepare Windows ».
Interférence antivirus ou EDR
Les moteurs temps réel inspectent chaque CRUD sur les fichiers CAB de plusieurs centaines de Mo. Sur des CPU d’entrée de gamme (Xeon E5 v2, AMD Piledriver) et stockage S‑ATA, la décompression cabinet.dll peut chuter sous 3 Mo/s. Désactivez la protection pendant la fenêtre de maintenance ou ajoutez les chemins %SystemRoot%\WinSxS et %SystemRoot%\SoftwareDistribution aux exclusions.
Manque de ressources I/O
Les LCUs réécrivent parfois 50 000 — 100 000 fichiers dans WinSxS. Un disque mécaniques 7200 tr/min peut suffire à saturer la queue e/s (Avg. Disk Queue Length > 2). Migrer vers SSD/NVMe ou répartir la charge via Storage Spaces accélère durablement le processus.
Étapes pas‑à‑pas pour un rétablissement rapide
- Sauvegarder la machine ou au minimum le volume système via Veeam, DPM ou
wbadmin. - Générer un état initial :
- Exporter
Get-Process | Sort CPU –Descending | Select -First 10 - Collecter un Procmon Boot Log si le blocage survient avant l’ouverture de session.
- Exporter
- Appliquer la purge du cache (voir tableau) puis redémarrer en Clean Boot.
- Installer le dernier SSU hors ligne.
Dism /Online /Add-Package /PackagePath:C:\Hotfix\SSU-20348.1906-x64.msu - Lancer l’installation hors ligne du LCU 21H2 correspondant.
wusa C:\Hotfix\LCU-21H2-Oct2025-x64.msu /quiet /norestart - Vérifier les fichiers journaux :
findstr /c:"error" %windir%\logs\cbs\cbs.log > C:\Temp\cbs_errors.txt - Redémarrer et confirmer via
winverouGet-ComputerInfoque la build a évolué.
Automatisation PowerShell/Intune/WSUS
Pour les environnements multi‑nœuds, créez un script .ps1 empaqueté dans Intune ou poussé par WSUS Post-Install. Exemple :
# Verify SSU, purge cache, install LCU
Invoke-Command -ComputerName (Get-ADComputer -Filter "OperatingSystem -like '*Server 2022*'").Name -ScriptBlock {
param($KB='5030310')
try {
Write-Host "Checking SSU..."
$ssu = Get-HotFix -Id "KB$KB" -ErrorAction SilentlyContinue
if (-not $ssu) {
Start-Process wusa.exe "C:\Packages\SSU-$KB.msu" -Wait -ArgumentList '/quiet','/norestart'
}
net stop wuauserv
net stop bits
Remove-Item "$env:SystemRoot\SoftwareDistribution" -Recurse -Force
net start wuauserv
net start bits
Start-Process wusa.exe "C:\Packages\LCU-21H2.msu" -Wait -ArgumentList '/quiet','/norestart'
} catch {
$_ | Out-File C:\Temp\UpdateScript.log -Append
}
}Le script journalise les exceptions, assure la cohérence SSU/LCU et s’intègre à Update Compliance pour un reporting centralisé.
Bonnes pratiques pour éviter les blocages futurs
- Fenêtre de maintenance planifiée : caler les redémarrages hors production (Maintenance Windows SCCM).
- Documentation de build : tenir un BOM (Bill of Materials) listant hotfix, drivers, firmware par serveur.
- Supervision proactive : configurer les métriques Update Health (eventId 19xx) dans une solution SIEM.
- Version pinning : pour les workloads sensibles (SQL HA, ADFS), valider la LCU en pré‑production pendant 48 h.
- Capacité disque : garder au moins 15 % d’espace libre sur
C:; WinSxS utilise hard‑links mais exige un seuil minimum. - Nettoyage régulier : (
Dism /Online /Cleanup-Image /StartComponentCleanup /ResetBase) permet de réduire le poids des composants et accélère les prochaines LCUs.
FAQ
Combien de temps une LCU doit‑elle normalement prendre ?
Sur serveur physique avec SSD : 5‑15 minutes (phase d’installation) + 5 minutes (Post‑Install). Au‑delà de 30 minutes, suspectez un problème.
Peut‑on forcer un redémarrage si le compteur reste bloqué ?
Oui, mais uniquement après avoir confirmé dans winlogon ou CBS.log qu’aucune étape Commit n’est en cours. Utilisez shutdown /r /t 0 /f pour libérer le verrouillage.
Quelle différence entre SSU et LCU ?
Le Servicing Stack Update met à jour la logique d’installation ; le Latest Cumulative Update livre les correctifs fonctionnels. Depuis mai 2021, Microsoft publie des packages SSU+LCU combinés, mais WSUS peut encore les séparer.
Conclusion
En appliquant cette démarche en dix étapes – diagnostics, nettoyage ciblé, installation hors ligne, et automatisation – la majorité des blocages à 100 % d’installation sur Windows Server 2022 21H2 se résolvent définitivement. Vous gagnez non seulement en temps de maintenance, mais vous renforcez également la conformité sécurité de votre parc, condition sine qua non face aux menaces 0‑day de plus en plus rapides.