微软4月14日发布的Windows Server安全更新给一些企业环境带来了副作用。在使用特权访问管理的配置中没有全局编录的域控制器在安装和重新启动后会遇到 LSASS 服务失败。这会导致重新启动循环,导致身份验证和目录服务不可用。
报告还指出在某些 Windows Server 2025 系统上以域管理员身份登录时遇到困难。该错误消息表明即使凭据有效,密码也不正确。使用 utilman.exe 和可启动 DVD 的手动密码重置方法可解决报告案例中的访问问题。
LSASS 缺陷影响特定域控制器
Windows Server 2025 的累积更新 KB5082063 以及以前版本的等效更新会导致 LSASS 进程在使用 PAM 运行的非 GC 域控制器上启动期间崩溃。由于身份验证停止工作,整个域可能变得不可用。
2016 年起的所有版本的 Windows Server 均位于受影响的平台列表中。该问题尤其在安装后重新启动后出现。在某些情况下,当升级新的域控制器或身份验证请求在启动时过早到达时,它也会出现。
Microsoft 已在 Windows Release Health 仪表板上记录了该症状。管理员应在安装补丁之前或之后联系企业支持以获取适用的临时缓解措施。开发人员正在准备将在未来的更新中进行自动更正。
阻止管理员登录的报告
用户报告说,应用 4 月份的更新后,在 Windows Server 2025 DCE 服务器上以域管理员身份登录失败。系统拒绝正确的密码。临时解决方法包括重命名系统目录中的 utilman.exe,通过启动介质将其替换为 cmd.exe,并通过“轻松访问”选项访问的命令提示符更改密码。
此过程恢复本地访问。之后,该帐户就可以正常进行域管理了。 Microsoft 尚未正式确认此登录问题的确切范围,但现场报告表明多个系统上均出现此问题。
- 受影响的域控制器:Windows Server 2016、2019、2022 和 2025
- 主要条件:具有 PAM 和非全局目录控制器的环境
- 主要症状:LSASS崩溃导致反复重启
- 影响:身份验证和目录服务停止
- 解决方法:通过 Microsoft 支持进行缓解
- 报告的其他问题:管理员登录失败,密码错误消息
Microsoft 重新激活 Windows Server 2025 的可选更新
与此同时,该公司还解决了之前的一起事件。 2024 年 11 月暂停的迁移到 Windows Server 2025 的可选更新现在再次可用。发生暂停的原因是该产品在使用第三方工具的环境中导致了不必要的自动迁移。
现在,管理员可以选择升级,而无需承担意外升级的风险。消息仪表板确认问题已得到解决。这使得更容易计划受控迁移到最新版本的系统。
管理员现在应该做什么
拥有 Active Directory 环境的公司应暂停在符合风险状况的域控制器上安装 KB5082063,直到实现正式缓解措施。审批环境中的测试有助于确定可能的影响。
监视事件日志有助于及早识别 LSASS 崩溃。与 Microsoft 支持人员保持联系可以更快地找到解决方法。最终的修复应该会在未来的补丁中发布,可能是在五月份。
重点仍然是安全性,但在这些情况下需要立即关注身份验证等关键服务的稳定性。
