四月Windows Server补丁修复旧问题,却导致域控制器崩溃
微软发布了Windows Server的四月累积更新KB5082063,正式解决了服务器自动升级到Windows Server 2025的问题。然而,修复的同时带来了一个新关键错误,影响启用了特权访问管理(PAM)环境中的域控制器。非全局编录(非GC DC)服务器在安装补丁后可能因LSASS进程失败而进入重启循环,导致身份验证和目录服务不可用。
强制升级问题的历史
自2024年底以来,Windows Server 2019和2022的管理员遭遇了未经同意自动升级到Windows Server 2025的情况。微软将此归因于第三方更新管理系统对更新包的错误分类。然而,许多IT专业人员报告称,即使没有此类系统,也发生了类似事件。公司的官方立场保持不变,直到2026年4月,该问题的状态才被更改为“已解决”。
新的域控制器崩溃
旨在修复旧问题的KB5082063更新,在单个林中有多个域且使用PAM的环境中导致了严重故障。安装更新后,非全局编录服务器在启动时出现LSASS失败,导致无限重启循环。这使得身份验证和目录服务无法进行,最坏情况下,整个域变得不可用。
临时措施与等待修复
微软已确认该问题,并表示仅影响服务器系统。通过微软商业支持可获得临时解决方案。完整修复预计在未来几天内发布。建议管理员暂时不要在关键域控制器上安装KB5082063,尤其是在PAM环境中。
要点
- KB5082063导致PAM环境中未承担全局编录角色的域控制器出现LSASS崩溃。
- 服务器进入重启循环,身份验证和目录服务停止工作。
- 微软通过支持提供临时解决方案;完整补丁预计在未来几天内发布。
- 管理员应推迟在受影响系统上安装该更新,直到修复发布。
背景与影响
这种情况凸显了服务器基础设施更新的风险。一个问题的长期修复导致了另一个同样严重的问题。对于使用PAM的组织来说,这意味着在部署前需要进行彻底的补丁测试。该事件也展示了在多域环境中维护更新兼容性的复杂性。
— Editorial Team
暂无评论。