Ein weiteres Kapitel in der langen Geschichte problematischer Windows-Updates: Microsofts April-2026-Sicherheitspatch KB5082063 sorgt in Unternehmensumgebungen für erhebliche Probleme. Konkret betroffen sind Windows-Domain-Controller – also jene Server, die in Active-Directory-Infrastrukturen die zentrale Authentifizierung und Verwaltung von Benutzerkonten übernehmen. Nach der Installation des Updates und dem anschließenden Neustart geraten diese Systeme in kontinuierliche Reboot-Schleifen, aus denen sie ohne manuelle Intervention nicht mehr herausfinden.
LSASS-Absturz als Ursache identifiziert
Microsoft hat den Auslöser inzwischen offiziell bestätigt: Der Local Security Authority Subsystem Service (LSASS) stürzt während des Systemstarts ab und zieht den gesamten Server in eine Neustartspirale. LSASS ist eine der kritischsten Komponenten unter Windows, da er für die Durchsetzung von Sicherheitsrichtlinien, die Verwaltung von Anmeldeinformationen und die Authentifizierung von Nutzern zuständig ist. Fällt dieser Dienst aus, ist ein geordneter Betrieb des Servers schlicht nicht möglich.
Besonders anfällig sind laut Microsoft sogenannte Non-Global-Catalog-Domain-Controller in Umgebungen, die Privileged Access Management (PAM) einsetzen. Das Problem tritt zudem nicht nur bei bestehenden Systemen auf – auch frisch aufgesetzte Domain-Controller können betroffen sein, wenn der Server bereits sehr früh im Startprozess Authentifizierungsanfragen verarbeitet. Die Bandbreite der betroffenen Betriebssystemversionen ist beachtlich: Sie reicht von Windows Server 2016 über 2019 und 2022 bis hin zu Windows Server 2025.
Dritter bekannter Fehler im selben Update
Was die Situation für IT-Administratoren besonders frustrierend macht: Es handelt sich bereits um das dritte bekannte Problem, das mit dem April-Patch KB5082063 in Verbindung gebracht wird. Damit reiht sich dieses Update in eine Reihe von Patches ein, die in den vergangenen Jahren immer wieder für unerwünschte Nebeneffekte in Produktivumgebungen gesorgt haben. Gerade in Enterprise-Umgebungen, wo Stabilität und Verfügbarkeit kritischer Infrastrukturen oberste Priorität haben, sind solche Probleme besonders schwerwiegend.
Was Administratoren jetzt tun sollten
Für betroffene Unternehmen empfiehlt es sich zunächst, das Update auf noch nicht gepatchten Domain-Controllern zurückzuhalten, bis Microsoft einen offiziellen Fix bereitstellt. Systeme, die bereits in der Reboot-Schleife feststecken, können über den abgesicherten Modus oder die Windows-Wiederherstellungsumgebung erreichbar sein, um den Patch zu deinstallieren. Administratoren sollten außerdem ihre Monitoring-Systeme auf LSASS-bezogene Ereignisprotokoll-Einträge prüfen und Snapshots oder Backups ihrer Domain-Controller-VMs als Rollback-Option bereithalten.
Das Vorfall unterstreicht einmal mehr, wie wichtig ein strukturiertes Patch-Management mit Testumgebungen ist, bevor Updates auf produktiven Servern ausgerollt werden. In komplexen Active-Directory-Landschaften mit PAM-Implementierungen sollte das Einspielen von Sicherheitsupdates grundsätzlich erst nach gründlicher Validierung erfolgen. Microsoft arbeitet nach eigenen Angaben an einer Lösung – ein konkreter Zeitplan für einen Hotfix wurde bislang jedoch nicht kommuniziert.
Quellen: Tom's Hardware · BleepingComputer