Kwietniowa łatka Windows Server naprawiła stary błąd, ale spowodowała awarię kontrolerów domeny
Firma Microsoft wydała kwietniowy pakiet zbiorczy KB5082063 dla Windows Server, który oficjalnie zamyka problem samoczynnej aktualizacji serwerów do Windows Server 2025. Jednak wraz z poprawką pojawił się nowy krytyczny błąd, który dotyka kontrolery domeny w środowiskach z Privileged Access Management (PAM). Serwery, które nie są katalogiem globalnym (non-GC DC), po zainstalowaniu łatki mogą wchodzić w cykl ponownego uruchamiania z powodu awarii procesu LSASS, co prowadzi do niedostępności uwierzytelniania i usług katalogowych.
Historia problemu z wymuszoną aktualizacją
Od końca 2024 roku administratorzy Windows Server 2019 i 2022 spotykali się z nieoczekiwaną aktualizacją do Windows Server 2025 bez ich zgody. Microsoft tłumaczył to nieprawidłową interpretacją klasyfikacji pakietu przez zewnętrzne systemy zarządzania aktualizacjami. Jednak wielu specjalistów IT zgłaszało incydenty nawet przy braku takich systemów. Oficjalne stanowisko firmy pozostawało niezmienne i dopiero w kwietniu 2026 roku status problemu został zmieniony na „rozwiązany”.
Nowa awaria w kontrolerach domeny
Pakiet KB5082063, mający na celu wyeliminowanie starego problemu, spowodował krytyczną awarię w środowiskach z wieloma domenami w jednym lesie, gdzie używany jest PAM. Po zainstalowaniu aktualizacji serwery, które nie są katalogiem globalnym, doświadczają awarii LSASS podczas uruchamiania, co prowadzi do nieskończonego cyklu ponownego uruchamiania. To uniemożliwia uwierzytelnianie i działanie usług katalogowych, a w najgorszym przypadku cała domena staje się niedostępna.
Tymczasowe środki i oczekiwanie na poprawkę
Microsoft potwierdził problem i oświadczył, że dotyczy on tylko systemów serwerowych. Tymczasowe rozwiązanie jest udostępniane przez pomoc techniczną Microsoft dla firm. Pełna poprawka spodziewana jest w najbliższych dniach. Administratorom zaleca się tymczasowe powstrzymanie się od instalacji KB5082063 na krytycznych kontrolerach domeny, szczególnie w środowiskach z PAM.
Co jest ważne
- Pakiet KB5082063 powoduje awarię LSASS na kontrolerach domeny bez roli katalogu globalnego w środowiskach PAM.
- Serwery wchodzą w cykl ponownego uruchamiania, uwierzytelnianie i usługi katalogowe przestają działać.
- Microsoft udostępnia tymczasowe rozwiązanie przez pomoc techniczną, pełna łatka spodziewana jest w najbliższych dniach.
- Administratorzy powinni odłożyć instalację aktualizacji na dotkniętych systemach do czasu wydania poprawki.
Kontekst i konsekwencje
Ta sytuacja podkreśla ryzyko związane z aktualizacjami infrastruktury serwerowej. Przedłużająca się poprawka jednego problemu doprowadziła do pojawienia się innego, równie poważnego. Dla organizacji korzystających z PAM oznacza to konieczność dokładnego testowania łat przed wdrożeniem. Incydent pokazuje również złożoność utrzymania zgodności aktualizacji w środowiskach z wieloma domenami.
— Editorial Team
Brak komentarzy.