После установки обновления безопасности KB5082063, выпущенного в апреле 2026 года, некоторые серверы Windows начинают бесконечно перезагружаться. Сбой происходит в подсистеме локального органа безопасности (LSASS), которая отвечает за обработку запросов аутентификации. Проблема проявляется в средах, где используется управление привилегированным доступом (PAM), и затрагивает серверы, не являющиеся глобальными каталогами (non‑GC).
При каждой попытке запуска система падает до завершения и автоматически начинает новый цикл загрузки, что делает службы аутентификации недоступными и может привести к полной потере доступа к домену.
Симптомы и последствия
Типичными признаками неисправности являются многократные сообщения о сбое LSASS в журнале событий, отсутствие завершения фазы «Loading Active Directory», а также отсутствие отклика от служб LDAP и Kerberos.
На практике пользователи не могут войти в домен, а серверы‑клиенты получают ошибки доступа. Поскольку серверы отвечают за репликацию каталогов, их недоступность приводит к отставанию реплик и потенциальному разрыву согласованности данных.
Рекомендованные действия
Microsoft советует администратору выполнить несколько проверенных шагов. Первым делом необходимо загрузить сервер в безопасный режим с минимальным набором драйверов и отключить функции PAM, если они включены. После этого следует проанализировать журнал событий на предмет ошибок LSASS и убедиться, что служба Netlogon не пытается обработать запросы аутентификации до полной инициализации системы. Если проблема сохраняется, рекомендуется откатить обновление KB5082063 через wusa /uninstall или воспользоваться механизмом «Удалить обновление» в панели управления. При откате следует установить последнюю доступную корректирующую прошивку, которую Microsoft выпускает в ответ на инцидент.
Для организаций, где откат невозможен из‑за требований соответствия, Microsoft предоставляет временный обходной путь: отключить репликацию между контроллерами, пока не будет установлен исправляющий пакет. После применения временного решения следует открыть запрос в службу поддержки, указав конфигурацию серверов, версии Windows Server и наличие PAM. Техподдержка предоставит набор скриптов, позволяющих принудительно завершить процесс инициализации LSASS без отключения PAM, а также инструкции по последующей проверке целостности каталога.
Сбой LSASS после обновления KB5082063 ограничивается средами с активным PAM и контроллерами, не являющимися глобальными каталогами. Откат обновления, временное отключение PAM и взаимодействие со службой поддержки позволяют восстановить работоспособность домена без потери данных. Плановое тестирование обновлений в изолированных средах и мониторинг журналов LSASS остаются лучшими практиками для предотвращения аналогичных инцидентов в будущем.
