جلبت التحديثات الأمنية التي أصدرتها Microsoft في 14 أبريل لنظام التشغيل Windows Server آثارًا جانبية في بعض بيئات الشركات. تواجه وحدات التحكم بالمجال التي لا تحتوي على الكتالوج العام في التكوينات التي تستخدم إدارة الوصول المميز حالات فشل خدمة LSASS بعد التثبيت وإعادة التشغيل. وينتج عن هذا حلقات إعادة التشغيل التي تترك خدمات المصادقة والدليل غير متوفرة.
تشير التقارير أيضًا إلى صعوبات في تسجيل الدخول كمسؤول مجال على أنظمة Windows Server 2025 معينة. تشير رسالة الخطأ إلى كلمة مرور غير صحيحة حتى مع وجود بيانات اعتماد صالحة. تعمل طريقة إعادة تعيين كلمة المرور يدويًا باستخدام utilman.exe وقرص DVD قابل للتمهيد على حل مشكلة الوصول في الحالات المبلغ عنها.
يؤثر خلل LSASS على وحدات تحكم مجال محددة
يؤدي التحديث التراكمي KB5082063 لنظام التشغيل Windows Server 2025، إلى جانب ما يعادله من الإصدارات السابقة، إلى تعطل عملية LSASS أثناء بدء التشغيل على وحدات تحكم المجال غير التابعة لـ GC والتي تعمل مع PAM. قد يصبح المجال بأكمله غير متاح بسبب توقف عمليات المصادقة عن العمل.
جميع إصدارات Windows Server بدءًا من عام 2016 فصاعدًا موجودة في قائمة الأنظمة الأساسية المتأثرة. تنشأ المشكلة بشكل خاص بعد إعادة التشغيل بعد التثبيت. وفي بعض الحالات، يظهر هذا أيضًا عند ترقية وحدة تحكم مجال جديدة أو عند وصول طلبات المصادقة في وقت مبكر جدًا عند التمهيد.
قامت Microsoft بتوثيق العرض على لوحة معلومات Windows Release Health. يجب على المسؤولين الاتصال بدعم Enterprise للحصول على إجراءات تخفيف مؤقتة قابلة للتطبيق قبل تثبيت التصحيح أو بعده. يقوم المطورون بإعداد التصحيح التلقائي الذي سيأتي في التحديث المستقبلي.
تقارير حظر تسجيلات دخول المسؤول
أبلغ المستخدمون أنه بعد تطبيق تحديثات أبريل، فشل تسجيل الدخول كمسؤول المجال على خوادم Windows Server 2025 DCE. يرفض النظام كلمة المرور الصحيحة. يتضمن الحل المؤقت إعادة تسمية utilman.exe في دليل النظام، واستبداله بـ cmd.exe عبر وسائط التمهيد، وتغيير كلمة المرور من خلال موجه الأوامر الذي يمكن الوصول إليه من خلال خيارات سهولة الوصول.
يستعيد هذا الإجراء الوصول المحلي. بعد ذلك، يعمل الحساب بشكل طبيعي مرة أخرى لإدارة المجال. لا يوجد تأكيد رسمي من Microsoft حول المدى الدقيق لمشكلة تسجيل الدخول هذه، ولكن التقارير الواردة من الميدان تشير إلى حدوثها على أنظمة متعددة.
- وحدات تحكم المجال المتأثرة: Windows Server 2016 و2019 و2022 و2025
- الشرط الرئيسي: البيئات التي تحتوي على PAM ووحدات تحكم غير الكتالوج العام
- العرض الرئيسي: يؤدي تعطل LSASS إلى إعادة التشغيل بشكل متكرر
- التأثير: تتوقف خدمات المصادقة والدليل
- الحل البديل: التخفيف عبر دعم Microsoft
- تم الإبلاغ عن مشكلة إضافية: فشل تسجيل دخول المسؤول مع ظهور رسالة كلمة مرور غير صحيحة
تقوم Microsoft بإعادة تنشيط التحديثات الاختيارية لنظام التشغيل Windows Server 2025
وبالتوازي مع المشاكل قامت الشركة بحل حادثة سابقة. التحديثات الاختيارية للترحيل إلى Windows Server 2025، التي تم تعليقها في نوفمبر 2024، متاحة الآن مرة أخرى. حدث التعليق لأن العرض تسبب في عمليات ترحيل تلقائية غير مرغوب فيها في البيئات التي تحتوي على أدوات خارجية.
والآن، يمكن للمسؤولين اختيار الترقية دون المخاطرة بالترقيات غير المقصودة. تؤكد لوحة معلومات الرسالة أنه تم حل المشكلة. وهذا يجعل من السهل تخطيط عمليات الترحيل الخاضعة للرقابة إلى أحدث إصدار من النظام.
ما يجب على المشرفين فعله الآن
يجب على الشركات التي لديها بيئات Active Directory إيقاف تثبيت KB5082063 مؤقتًا على وحدات التحكم بالمجال التي تلبي ملف تعريف المخاطر حتى يتم تحقيق التخفيف الرسمي. تساعد الاختبارات في بيئات الموافقة على رسم خريطة للتأثيرات المحتملة.
تساعد مراقبة سجلات الأحداث في تحديد أعطال LSASS مبكرًا. إن البقاء على اتصال بدعم Microsoft يجعل الوصول إلى الحل البديل أسرع. ومن المفترض أن يصل الإصلاح النهائي في تصحيح مستقبلي، ربما في شهر مايو.
ويظل التركيز على الأمن، ولكن استقرار الخدمات الحيوية مثل المصادقة يتطلب اهتمامًا فوريًا في هذه الحالات.
