Установка обновления безопасности Windows Server за этот месяц привела к тому, что некоторые контроллеры домена корпоративного уровня начали непрерывно перезагружаться, подтвердила компания Microsoft в записи на панели состояния выпуска.
Компания заявляет, что апрельский патч 2026 года, KB5082063, вызывает сбои в службе подсистемы локальной проверки подлинности (LSASS) на контроллерах домена, не являющихся контроллерами глобального каталога, используемых в средах с управлением привилегированным доступом (PAM), что приводит к недоступности аутентификации Active Directory и служб каталогов на затронутых серверах.
На панели управления Microsoft указаны Windows Server 2016, 2019, 2022, 23H2 и 2025 как уязвимые к этой неисправности. Сбой LSASS происходит во время последовательности запуска, что и превращает отказ в цикл: каждая автоматическая перезагрузка снова входит в тот же ошибочный путь кода аутентификации вместо восстановления стабильного состояния.
Проблема затрагивает только управляемые корпоративные среды, использующие PAM для делегирования привилегий Active Directory, и Microsoft сообщила, что персональные устройства вне доменов, управляемых ИТ-отделами, не подвержены риску. Компания еще не выпустила патч и вместо этого направила затронутым администраторам обращаться в Microsoft Support for Business за рекомендациями по смягчению последствий, которые можно применить, если KB5082063 уже развернуто.
KB5082063 теперь имеет три признанных ошибки в течение недели после выпуска, и Microsoft отдельно предупредила, что то же обновление запрашивает ключ восстановления BitLocker на некоторых машинах Windows Server 2025 после установки. Компания расследует сообщения о том, что KB5082063 полностью не устанавливается на подмножестве систем Windows Server 2025.
Апрельские обновления безопасности нарушали работу контроллеров домена Windows Server три года подряд. В марте 2024 года Microsoft выпустила экстренное внеплановое исправление после того, как Patch Tuesday того месяца вызвал прямые сбои контроллеров домена. Апрельский цикл патчей 2024 года затем нарушил аутентификацию NTLM на серверах Windows и вызвал незапланированные перезапуски контроллеров домена, что Microsoft исправила в выпуске за май 2024 года.
В июне прошлого года компания выпустила еще одно исправление для проблем с аутентификацией Active Directory, вызванных обновлением безопасности за апрель 2025 года. Сбой LSASS в этом месяце следует той же схеме третий год подряд: общий выпуск патча, за которым следуют сообщения от корпоративных администраторов о сбоях после развертывания, и спешка с мерами по смягчению последствий, пока готовится исправление.
Поскольку KB5082063 все еще находится в канале выпуска и дата выпуска патча не объявлена, у администраторов есть три варианта: отложить апрельское обновление, изолировать тестовый контроллер домена для проверки поведения патча перед более широким развертыванием или обратиться через форму Microsoft Support for Business, чтобы получить шаги по смягчению последствий, которые компания предоставляет в индивидуальном порядке.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Luke James
