Microsoft: некоторые серверы Windows после апрельских обновлений зависают при перезагрузке

Компания Microsoft подтвердила, что некоторые контроллеры доменов Windows зависают из-за сбоев в работе службы подсистемы локальных сертификатов (LSASS) после установки обновлений безопасности за апрель 2026 года.

Компания также предупредила, что администраторы Windows могут столкнуться с этой проблемой при настройке новых контроллеров домена или даже на уже существующих, если сервер обрабатывает запросы на аутентификацию на самых ранних этапах запуска.

«После установки обновления для системы безопасности Windows от апреля 2026 года (KB5082063) и перезагрузки контроллеры домена (DC), не относящиеся к глобальному каталогу (non‑GC), в средах, использующих управление привилегированным доступом (PAM), могут испытывать сбои LSASS во время запуска», — говорится в сообщении Microsoft в обновлении панели мониторинга работоспособности выпуска.

«В результате затронутые контроллеры домена могут периодически перезагружаться, что приводит к сбоям в работе служб аутентификации и каталогов и может сделать домен недоступным».

Эта известная проблема затрагивает только организации, использующие управление привилегированным доступом (PAM), и вряд ли затронет личные устройства, которые не находятся под управлением ИТ-отдела. В список уязвимых платформ входят системы под управлением Windows Server 2025, Windows Server 2022, Windows Server 23H2, Windows Server 2019 и Windows Server 2016.

Пока Microsoft работает над исправлением, компания посоветовала ИТ-администраторам обратиться в службу поддержки Microsoft для бизнеса, чтобы узнать о мерах по смягчению последствий, которые можно принять даже после установки обновления за апрель 2026 года.

За последние годы компания Microsoft устранила множество проблем с контроллерами домена, вызванных обновлениями системы безопасности. Последняя из них — устранение проблем с аутентификацией в Windows Server в июне 2025 года, вызванная обновлениями системы безопасности, выпущенными в апреле 2025 года.

Почти год назад, в мае 2024 года, была устранена другая известная проблема, которая приводила к сбоям аутентификации NTLM и перезагрузке контроллера домена после установки обновлений системы безопасности Windows Server за апрель 2024 года.

В марте 2024 года компания выпустила экстренные внеочередные (OOB) обновления для устранения сбоев в работе контроллеров домена Windows после установки мартовских обновлений безопасности Windows Server 2024 года.

Сейчас Microsoft также изучает отдельную проблему, из-за которой обновление безопасности Windows KB5082063, выпущенное в этом месяце, не устанавливается на некоторых системах Windows Server 2025.

В среду компания также предупредила администраторов, что некоторые устройства с Windows Server 2025 могут запрашивать у пользователей ввод ключа BitLocker после установки обновления KB5082063.

Компания Microsoft предупредила администраторов о новой проблеме, затрагивающей некоторые контроллеры домена Windows Server после установки апрельских обновлений безопасности. На части серверов может возникать циклическая перезагрузка (reboot loop), из-за чего службы Active Directory становятся недоступны, а пользователи теряют возможность аутентификации в домене.

Что происходит

Сбой затрагивает в первую очередь не-Global Catalog контроллеры домена в средах, где используется функция Privileged Access Management (PAM). После установки обновления и перезапуска система может столкнуться с аварийным завершением процесса LSASS.exe, который отвечает за обработку входа пользователей и безопасность Active Directory.

Когда служба LSASS аварийно завершается во время запуска, сервер автоматически перезагружается. После следующей загрузки проблема повторяется, формируя бесконечный цикл перезапуска.

Какие версии затронуты

По имеющейся информации, проблема может затрагивать следующие версии:

• Windows Server 2025
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016

Домашние версии Windows и клиентские ПК этой ошибке не подвержены.

Основные симптомы

Администраторы могут заметить следующие признаки:

• сервер перезагружается сразу после загрузки;
• Active Directory становится недоступной;
• ошибки аутентификации Kerberos;
• невозможность входа пользователей в домен;
• сбой сетевых служб, связанных с контроллером домена.

Временное решение

Microsoft пока не выпустила полноценное исправление через Windows Update. В качестве временной меры компания рекомендует:

• обратиться в Microsoft Support для получения mitigation-пакета;
• временно приостановить установку апрельских обновлений на контроллеры домена;
• если обновление уже установлено — удалить проблемный KB;
• проверить, используются ли в инфраструктуре non-GC DC и PAM.

Для организаций с критически важной инфраструктурой рекомендуется отложить массовое развёртывание обновлений до выхода официального исправления.

Почему это важно

Контроллеры домена являются центральным элементом корпоративной сети. Даже кратковременный сбой может привести к:

• остановке работы пользователей;
• нарушению доступа к ресурсам;
• сбоям Exchange и файловых серверов;
• ошибкам групповых политик;
• рискам для бизнес-процессов.

Именно поэтому подобные обновления требуют тестирования в изолированной среде перед внедрением в рабочую инфраструктуру.

Вывод

Новая проблема с апрельскими обновлениями Windows Server показывает, что даже стандартные патчи безопасности могут вызывать серьёзные последствия для инфраструктуры Active Directory. Администраторам рекомендуется внимательно отслеживать сообщения Microsoft, тестировать обновления заранее и временно воздержаться от установки проблемных пакетов на контроллеры домена до появления официального исправления.

Редактор: AndreyEx