Утро понедельника, 14 апреля 2026 года. Плановое обслуживание прошло ночью, патчи встали — и вдруг посыпались звонки: пользователи не могут войти в домен, шары недоступны, VPN не поднимается. На контроллерах домена — бесконечный экран загрузки и перезагрузка по кругу. Виновник — накопительное обновление KB5082063 из апрельского Patch Tuesday.
Симптомы
Админ видит следующее:
- Контроллер домена уходит в перезагрузку сразу после запуска Windows, не успев загрузить рабочий стол
- После нескольких автоматических перезапусков появляется синий экран восстановления
- В журнале событий (если успеть снять до следующей перезагрузки) — Event ID 1000 и Event ID 1001 от
lsass.exeс кодом ошибкиc0000005 - Сервисы Active Directory Domain Services и Kerberos Key Distribution Center не запускаются
- Аутентификация пользователей в домене полностью недоступна
- Сетевые шары на серверах-членах домена недоступны (нет билетов Kerberos)
- Вторичные DC тоже в петле, если на них стоял тот же патч
Окружение
| Параметр | Значение |
|---|---|
| ОС | Windows Server 2016 / 2019 / 2022 / 23H2 / 2025 |
| Роль | Domain Controller (не Global Catalog) |
| Служба | LSASS, Active Directory Domain Services |
| Триггер | Установка KB5082063 (апрель 2026) |
ℹ️ Проблема воспроизводится только на контроллерах домена, которые не являются Global Catalog серверами, в лесах с включённым Privileged Access Management (PAM). Если все DC у вас одновременно являются GC — скорее всего, вас не затронуло.
Причина
Обновление KB5082063 содержит регрессию в обработке PAM-расширений Active Directory. При старте системы lsass.exe обращается к PAM-атрибутам леса и падает с нарушением доступа к памяти (STATUS_ACCESS_VIOLATION). Поскольку LSASS — критический процесс, Windows немедленно инициирует перезагрузку. При следующем старте история повторяется.
Privileged Access Management в AD — это расширение схемы (ms-DS-Shadow-Principal-Container), которое позволяет выдавать временные привилегированные членства в группах. Включается через Enable-ADOptionalFeature. Если эта функция активна в лесу, каждый DC при старте LSASS проверяет соответствующие объекты — и падает.
Диагностика
Проверить, включён ли PAM в вашем лесу (выполнять на работающем DC или с рабочей станции с RSAT):
Get-ADOptionalFeature -Filter {name -eq "Privileged Access Management Feature"} |
Select-Object Name, EnabledScopes
Если EnabledScopes не пуст — PAM включён, и вы в зоне риска.
Проверить, установлен ли проблемный патч:
Get-HotFix -Id KB5082063
Если DC ещё загружается (успеть до следующей перезагрузки), собрать журнал:
Get-EventLog -LogName Application -Source "Application Error" -Newest 20 |
Where-Object { $_.Message -match "lsass" } |
Format-List TimeGenerated, Message
На ещё живом DC проверить версию сборки:
[System.Environment]::OSVersion.Version
(Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion").UBR
Поражённая сборка Windows Server 2022 — UBR = 5020 (KB5082142).
Решение
⚠️ Перед любыми действиями убедись, что у тебя есть свежий snapshot или System State Backup хотя бы одного DC. Если все DC в петле — работай с тем, у кого последний бэкап.
Вариант 1 — Откат патча через Windows Recovery Environment (рекомендуется)
- Прерви загрузку DC три раза подряд (кнопка Reset или выдерни питание в момент загрузки). Windows автоматически войдёт в WinRE.
- Выбери Troubleshoot → Advanced options → Uninstall Updates → Uninstall latest quality update.
- Подтверди удаление и дождись завершения.
- После перезагрузки DC должен подняться нормально.
❌ Не удаляй обновления на всех DC одновременно. Работай с одним, дождись, пока он встанет, убедись что репликация жива — затем переходи к следующему.
Вариант 2 — Ручное удаление через DISM из WinRE
Если «Uninstall Updates» недоступен или не помогает:
- В WinRE выбери Troubleshoot → Advanced options → Command Prompt.
- Определи букву системного диска (обычно
C:илиD:в WinRE):
diskpart
list vol
exit
- Получи список установленных пакетов:
dism /image:C:\ /get-packages | findstr /i "KB5082"
- Удали найденный пакет (подставь точное имя из вывода выше):
dism /image:C:\ /remove-package /packagename:Package_for_RollupFix~31bf3856ad364e35~amd64~~20348.5020.1.8
- Перезагрузись и проверь, встал ли DC.
Вариант 3 — Восстановление из бэкапа
Если откат патча не помог или у DC нет WinRE:
# На Hyper-V — откат снэпшота до 13 апреля 2026
Restore-VMSnapshot -VMName "DC01" -Name "Before-April-Patching"
Для физических машин — восстанови System State через Windows Server Backup или Veeam.
Финальный шаг — установка исправленного патча
После восстановления DC не ставь KB5082063 заново. Вместо него установи исправленное out-of-band обновление от 19 апреля 2026:
| Windows Server | KB исправления |
|---|---|
| Windows Server 2025 | KB5091157 |
| Windows Server 23H2 | KB5091571 |
| Windows Server 2022 | KB5091575 |
| Windows Server 2019 | KB5091573 |
| Windows Server 2016 | KB5091572 |
Скачать можно через Microsoft Update Catalog или установить командой:
# Пример для Server 2022
Invoke-WebRequest -Uri "https://catalog.s.download.windowsupdate.com/..KB5091575.msu" -OutFile "C:\Temp\KB5091575.msu"
wusa.exe C:\Temp\KB5091575.msu /quiet /norestart
ℹ️ Исправленные KB уже содержат все исправления безопасности из апрельского Patch Tuesday — отдельно KB5082063 ставить не нужно.
Проверка
После восстановления DC и установки исправленного патча проверь репликацию AD:
repadmin /replsummary
dcdiag /test:replications /v
Проверь, что LSASS и AD DS работают:
Get-Service -Name "lsass", "NTDS", "kdc" | Select-Object Name, Status
Проверь аутентификацию с рабочей станции:
nltest /sc_verify:<имя_домена>
✅ Если всё прошло успешно —repadmin /replsummaryпокажет 0 ошибок,dcdiagвернётpassedпо всем тестам, а пользователи смогут нормально войти в домен.
Итог
Апрельский патч KB5082063 содержит регрессию в обработке PAM-объектов Active Directory, из-за которой lsass.exe падает при старте на не-GC контроллерах домена — и те уходят в бесконечную перезагрузку. Решение: откатить патч через WinRE или из бэкапа, затем установить исправленные out-of-band KB (KB5091157/KB5091571/KB5091575/KB5091573/KB5091572 в зависимости от версии ОС). Если PAM у вас не используется — проблема вас не затрагивает, но стоит всё равно перейти на исправленный KB.