Обновления безопасности, выпущенные Microsoft 14 апреля для Windows Server, вызвали побочные эффекты в некоторых корпоративных средах. Контроллеры домена без глобального каталога в конфигурациях, использующих управление привилегированным доступом, сталкиваются со сбоями службы LSASS после установки и перезапуска. Это приводит к возникновению циклов перезапуска, в результате которых службы аутентификации и каталогов остаются недоступными.
Отчеты также указывают на трудности со входом в систему в качестве администратора домена в некоторых системах Windows Server 2025. Сообщение об ошибке указывает на неправильный пароль даже при наличии действительных учетных данных. В зарегистрированных случаях доступ разрешается методом сброса пароля вручную с использованием utilman.exe и загрузочного DVD.
Уязвимость LSASS затрагивает определенные контроллеры домена
Накопительное обновление KB5082063 для Windows Server 2025 вместе с эквивалентами для предыдущих версий приводит к сбою процесса LSASS во время запуска на контроллерах домена, отличных от GC, которые работают с PAM. Весь домен может стать недоступным, поскольку аутентификация перестает работать.
Все выпуски Windows Server, начиная с 2016 года, включены в список затронутых платформ. Особенно проблема возникает после перезагрузки после установки. В некоторых случаях это также появляется при повышении роли нового контроллера домена или когда запросы аутентификации поступают слишком рано при загрузке.
Microsoft задокументировала этот симптом на информационной панели Windows Release Health. Администраторам следует обратиться в службу поддержки предприятий для получения временных мер по устранению проблем до или после установки исправления. Разработчики готовят автоматическое исправление, которое появится в будущем обновлении.
Сообщения о блокировке входа администратора
Пользователи сообщают, что после применения апрельских обновлений на серверах Windows Server 2025 DCE не удается войти в систему в качестве администратора домена. Система отклоняет правильный пароль. Временное решение включает переименование utilman.exe в системном каталоге, замену его на cmd.exe через загрузочный носитель и изменение пароля через командную строку, доступ к которой осуществляется через параметры специальных возможностей.
Эта процедура восстанавливает локальный доступ. После этого учетная запись снова нормально функционирует для управления доменом. Официального подтверждения от Microsoft о точном масштабе этой проблемы со входом нет, но отчеты с мест указывают на ее возникновение в нескольких системах.
- Затронутые контроллеры домена: Windows Server 2016, 2019, 2022 и 2025.
- Основное условие: среды с контроллерами PAM и не-Global Catalog.
- Основной признак: сбой LSASS приводит к повторным перезапускам.
- Воздействие. Службы аутентификации и каталогов останавливаются.
- Обходной путь: смягчение последствий через службу поддержки Microsoft.
- Сообщается о дополнительной проблеме: не удается войти в систему администратора с сообщением о неправильном пароле.
Microsoft повторно активирует дополнительные обновления для Windows Server 2025
Параллельно с проблемами компания устранила предыдущий инцидент. Дополнительные обновления для перехода на Windows Server 2025, действие которого было приостановлено в ноябре 2024 г., теперь снова доступны. Приостановка произошла потому, что это предложение вызвало нежелательную автоматическую миграцию в средах со сторонними инструментами.
Теперь администраторы могут выбрать обновление без риска непреднамеренного обновления. Панель сообщений подтверждает, что проблема устранена. Это упрощает планирование контролируемого перехода на последнюю версию системы.
Что теперь должны делать администраторы
Компаниям, использующим среду Active Directory, следует приостановить установку KB5082063 на контроллерах домена, соответствующих профилю риска, до тех пор, пока не будет достигнуто официальное снижение риска. Тесты в средах утверждения помогают выявить возможные последствия.
Мониторинг журналов событий помогает выявить сбои LSASS на ранней стадии. Оставаясь на связи со службой поддержки Microsoft, вы сможете быстрее найти обходной путь. Окончательное исправление должно появиться в будущем патче, возможно, в мае.
В центре внимания по-прежнему находится безопасность, но стабильность критически важных служб, таких как аутентификация, в этих случаях требует немедленного внимания.
