Aprílový patch Windows Server opravil starý bug, ale způsobil pád řadičů domény
Microsoft vydala aprílový kumulativní balíček KB5082063 pro Windows Server, který oficiálně uzavírá problém samovolné aktualizace serverů na Windows Server 2025. Spolu s opravou však přišla nová kritická chyba postihující řadiče domény v prostředích s Privileged Access Management (PAM). Servery, které nejsou globálním katalogem (non-GC DC), mohou po instalaci patche vstupovat do cyklu restartování kvůli selhání procesu LSASS, což vede k nedostupnosti autentizace a adresářových služeb.
Historie problému s vynucenou aktualizací
Od konce roku 2024 se správci Windows Server 2019 a 2022 setkávali s neočekávaným upgradem na Windows Server 2025 bez jejich souhlasu. Microsoft to vysvětlovala nesprávnou interpretací klasifikace balíčku systémy třetích stran pro správu aktualizací. Mnoho IT odborníků však hlásilo incidenty i při absenci těchto systémů. Oficiální stanovisko společnosti zůstávalo nezměněno a teprve v dubnu 2026 byl status problému změněn na „vyřešeno".
Nová chyba v řadičích domény
Balíček KB5082063, který měl odstranit starý problém, způsobil kritickou chybu v prostředích s více doménami v jedné doménové struktuře, kde se používá PAM. Po instalaci aktualizace servery, které nejsou globálním katalogem, zaznamenávají selhání LSASS při spuštění, což vede k nekonečnému restartování. To znemožňuje autentizaci a činnost adresářových služeb, v nejhorším případě se celá doména stává nedostupnou.
Dočasná opatření a očekávání opravy
Microsoft potvrdila problém a prohlásila, že postihuje pouze serverové systémy. Dočasné řešení je poskytováno prostřednictvím podpory Microsoft pro firmy. Plnohodnotná oprava se očekává v nejbližších dnech. Správcům se doporučuje dočasně se zdržet instalace KB5082063 na kriticky důležité řadiče domény, zejména v prostředích s PAM.
Co je důležité
- Balíček KB5082063 způsobuje selhání LSASS na řadičích domény bez role globálního katalogu v prostředích PAM.
- Servery vstupují do cyklu restartování, autentizace a adresářové služby přestávají fungovat.
- Microsoft poskytuje dočasné řešení prostřednictvím podpory, plnohodnotný patch se očekává v nejbližších dnech.
- Správci by měli odložit instalaci aktualizace na postižené systémy do vydání opravy.
Kontext a důsledky
Tato situace zdůrazňuje rizika spojená s aktualizacemi serverové infrastruktury. Zdlouhavá oprava jednoho problému vedla ke vzniku dalšího, neméně závažného. Pro organizace používající PAM to znamená nutnost důkladného testování patchů před nasazením. Incident také ukazuje složitost zajištění kompatibility aktualizací v prostředích s více doménami.
— Editorial Team
Zatím žádné komentáře.