微軟4月14日發布的Windows Server安全更新為一些企業環境帶來了副作用。在使用特權存取管理的設定中沒有全域編錄的網域控制站在安裝和重新啟動後會遇到 LSASS 服務失敗。這會導致重新啟動循環,導致身份驗證和目錄服務不可用。
報告也指出在某些 Windows Server 2025 系統上以網域管理員身分登入時遇到困難。此錯誤訊息表示即使憑證有效,密碼也不正確。使用 utilman.exe 和可啟動 DVD 的手動密碼重設方法可解決報告案例中的存取問題。
LSASS 缺陷影響特定網域控制站
Windows Server 2025 的累積更新 KB5082063 以及先前版本的等效更新會導致 LSASS 進程在使用 PAM 執行的非 GC 網域控制站上啟動期間崩潰。由於身份驗證停止工作,整個網域可能變得不可用。
2016 年起的所有版本的 Windows Server 均位於受影響的平台清單中。該問題尤其在安裝後重新啟動後出現。在某些情況下,當升級新的網域控制站或身份驗證請求在啟動時過早到達時,它也會出現。
Microsoft 已在 Windows Release Health 儀表板上記錄了該症狀。管理員應在安裝修補程式之前或之後聯絡企業支援以取得適用的臨時緩解措施。開發人員正在準備將在未來的更新中進行自動更正。
封鎖管理員登入的報告
用戶報告說,應用 4 月的更新後,在 Windows Server 2025 DCE 伺服器上以網域管理員身分登入失敗。系統拒絕正確的密碼。臨時解決方法包括重新命名系統目錄中的 utilman.exe,透過啟動媒體將其替換為 cmd.exe,並透過「輕鬆存取」選項存取的命令提示字元變更密碼。
此過程恢復本地存取。之後,該帳戶就可以正常進行網域管理了。 Microsoft 尚未正式確認此登入問題的確切範圍,但現場報告顯示多個系統上均出現此問題。
- 受影響的網域控制站:Windows Server 2016、2019、2022 和 2025
- 主要條件:具有 PAM 和非全域目錄控制器的環境
- 主要症狀:LSASS崩潰導致反覆重啟
- 影響:身份驗證和目錄服務停止
- 解決方法:透過 Microsoft 支援進行緩解
- 報告的其他問題:管理員登入失敗,密碼錯誤訊息
Microsoft 重新啟用 Windows Server 2025 的選用更新
同時,該公司也解決了先前的事件。 2024 年 11 月暫停的遷移到 Windows Server 2025 的選用更新現在再次可用。發生暫停的原因是該產品在使用第三方工具的環境中導致了不必要的自動遷移。
現在,管理員可以選擇升級,而無需承擔意外升級的風險。訊息儀表板確認問題已解決。這使得更容易計劃受控遷移到最新版本的系統。
管理員現在該做什麼
擁有 Active Directory 環境的公司應暫停在符合風險狀況的網域控制站上安裝 KB5082063,直到正式緩解措施。審批環境中的測試有助於確定可能的影響。
監視事件日誌有助於及早識別 LSASS 崩潰。與 Microsoft 支援人員保持聯繫可以更快地找到解決方法。最終的修復應該會在未來的補丁中發布,可能是在五月。
重點仍然是安全性,但在這些情況下需要立即關注身份驗證等關鍵服務的穩定性。
