การอัปเดตความปลอดภัยที่เผยแพร่โดย Microsoft เมื่อวันที่ 14 เมษายนสำหรับ Windows Server ทำให้เกิดผลข้างเคียงในสภาพแวดล้อมขององค์กรบางแห่ง ตัวควบคุมโดเมนที่ไม่มี Global Catalog ในการกำหนดค่าที่ใช้ Privileged Access Management ประสบปัญหาบริการ LSASS ล้มเหลวหลังจากการติดตั้งและรีสตาร์ท ซึ่งส่งผลให้เกิดลูปการรีสตาร์ทที่ทำให้บริการการรับรองความถูกต้องและบริการไดเรกทอรีไม่พร้อมใช้งาน
รายงานยังระบุถึงปัญหาในการเข้าสู่ระบบในฐานะผู้ดูแลระบบโดเมนบนระบบ Windows Server 2025 บางระบบ ข้อความแสดงข้อผิดพลาดระบุว่ารหัสผ่านไม่ถูกต้องแม้ว่าจะมีข้อมูลประจำตัวที่ถูกต้องก็ตาม วิธีการรีเซ็ตรหัสผ่านด้วยตนเองโดยใช้ utilman.exe และ DVD ที่สามารถบู๊ตได้จะช่วยแก้ไขการเข้าถึงในกรณีที่รายงาน
ข้อบกพร่อง LSASS ส่งผลกระทบต่อตัวควบคุมโดเมนเฉพาะ
การอัปเดตสะสม KB5082063 สำหรับ Windows Server 2025 พร้อมด้วยสิ่งที่เทียบเท่าสำหรับเวอร์ชันก่อนหน้า ทำให้กระบวนการ LSASS หยุดทำงานระหว่างการเริ่มต้นระบบบนตัวควบคุมโดเมนที่ไม่ใช่ GC ซึ่งทำงานกับ PAM โดเมนทั้งหมดอาจไม่พร้อมใช้งานเนื่องจากการรับรองความถูกต้องหยุดทำงาน
Windows Server ทุกรุ่นตั้งแต่ปี 2559 เป็นต้นไปอยู่ในรายชื่อแพลตฟอร์มที่ได้รับผลกระทบ ปัญหาเกิดขึ้นเป็นพิเศษหลังจากการรีบูตหลังการติดตั้ง ในบางกรณี ยังปรากฏขึ้นเมื่อมีการโปรโมตตัวควบคุมโดเมนใหม่ หรือเมื่อคำขอการรับรองความถูกต้องมาถึงเร็วเกินไปตอนบูต
Microsoft ได้บันทึกอาการไว้ในแดชบอร์ด Windows Release Health ผู้ดูแลระบบควรติดต่อฝ่ายสนับสนุนองค์กรเพื่อขอการลดปัญหาชั่วคราวที่เกี่ยวข้องก่อนหรือหลังการติดตั้งแพตช์ นักพัฒนาซอฟต์แวร์กำลังเตรียมการแก้ไขอัตโนมัติที่จะมาในการอัปเดตในอนาคต
รายงานการบล็อกการเข้าสู่ระบบของผู้ดูแลระบบ
ผู้ใช้รายงานว่าหลังจากใช้การอัปเดตเดือนเมษายน การเข้าสู่ระบบในฐานะผู้ดูแลระบบโดเมนล้มเหลวบนเซิร์ฟเวอร์ Windows Server 2025 DCE ระบบปฏิเสธรหัสผ่านที่ถูกต้อง วิธีแก้ปัญหาชั่วคราวเกี่ยวข้องกับการเปลี่ยนชื่อ utilman.exe ในไดเร็กทอรีระบบ แทนที่ด้วย cmd.exe ผ่านทางสื่อสำหรับบูต และการเปลี่ยนรหัสผ่านผ่านพรอมต์คำสั่งที่เข้าถึงได้ผ่านตัวเลือกความง่ายในการเข้าถึง
ขั้นตอนนี้จะคืนค่าการเข้าถึงภายในเครื่อง หลังจากนั้นบัญชีจะกลับมาทำงานตามปกติอีกครั้งสำหรับการจัดการโดเมน ไม่มีการยืนยันอย่างเป็นทางการจาก Microsoft เกี่ยวกับขอบเขตที่แน่นอนของปัญหาการเข้าสู่ระบบนี้ แต่รายงานจากฟิลด์นี้ระบุว่าเกิดขึ้นในหลายระบบ
- ตัวควบคุมโดเมนที่ได้รับผลกระทบ: Windows Server 2016, 2019, 2022 และ 2025
- เงื่อนไขหลัก: สภาพแวดล้อมที่มีตัวควบคุม PAM และ non-Global Catalog
- อาการหลัก: ความผิดพลาดของ LSASS ทำให้เกิดการรีสตาร์ทซ้ำหลายครั้ง
- ผลกระทบ: บริการการรับรองความถูกต้องและไดเรกทอรีหยุดทำงาน
- วิธีแก้ปัญหา: การบรรเทาผลกระทบผ่านทางฝ่ายสนับสนุนของ Microsoft
- รายงานปัญหาเพิ่มเติม: การเข้าสู่ระบบของผู้ดูแลระบบล้มเหลวโดยมีข้อความรหัสผ่านไม่ถูกต้อง
Microsoft เปิดใช้งานการอัปเดตเพิ่มเติมสำหรับ Windows Server 2025 อีกครั้ง
ควบคู่ไปกับปัญหาดังกล่าว บริษัทได้แก้ไขเหตุการณ์ก่อนหน้านี้ การอัปเดตเพิ่มเติมเพื่อย้ายไปยัง Windows Server 2025 ที่ถูกระงับในเดือนพฤศจิกายน 2024 พร้อมให้ใช้งานอีกครั้งแล้ว การระงับเกิดขึ้นเนื่องจากข้อเสนอดังกล่าวทำให้เกิดการโยกย้ายอัตโนมัติที่ไม่พึงประสงค์ในสภาพแวดล้อมด้วยเครื่องมือของบุคคลที่สาม
ขณะนี้ ผู้ดูแลระบบสามารถเลือกอัปเกรดได้โดยไม่ต้องเสี่ยงกับการอัปเกรดโดยไม่ได้ตั้งใจ แดชบอร์ดข้อความยืนยันว่าปัญหาได้รับการแก้ไขแล้ว ซึ่งช่วยให้วางแผนการโยกย้ายแบบควบคุมไปยังเวอร์ชันล่าสุดของระบบได้ง่ายขึ้น
สิ่งที่แอดมินควรทำตอนนี้
บริษัทที่มีสภาพแวดล้อม Active Directory ควรหยุดการติดตั้ง KB5082063 บนตัวควบคุมโดเมนที่ตรงกับโปรไฟล์ความเสี่ยงจนกว่าจะบรรลุการลดปัญหาอย่างเป็นทางการ การทดสอบในสภาพแวดล้อมการอนุมัติช่วยจัดทำแผนที่ผลกระทบที่อาจเกิดขึ้น
การตรวจสอบบันทึกเหตุการณ์ช่วยระบุข้อขัดข้องของ LSASS ได้ตั้งแต่เนิ่นๆ การติดต่อกับฝ่ายสนับสนุนของ Microsoft ช่วยให้เข้าถึงวิธีแก้ปัญหาได้เร็วขึ้น การแก้ไขขั้นสุดท้ายน่าจะมาถึงในแพตช์หน้า อาจจะเป็นในเดือนพฤษภาคม
จุดเน้นยังคงอยู่ที่ความปลอดภัย แต่ความเสถียรของบริการที่สำคัญ เช่น การรับรองความถูกต้อง จำเป็นต้องได้รับการดูแลทันทีในกรณีเหล่านี้