- 26,325
- 46
- 8 Ноя 2022
Как инженеры исправили старый надоедливый баг… ценой критической ошибки.
Администраторы Windows Server больше года ждали момента, когда Microsoft наконец закроет историю с самопроизвольным апгрейдом серверов до Windows Server 2025. Компания теперь пометила проблему как решенную, но сделала это в своем привычном стиле: вместе с апрельским накопительным обновлением KB5082063 пришла новая проблема, уже для контроллеров домена.
Скандальная история началась еще в 2024 году. Часть систем на Windows Server 2019 и Windows Server 2022 неожиданно и без явного согласия администраторов обновилась до Windows Server 2025. Откат при этом не выглядел простым и очевидным, что для серверной инфраструктуры само по себе означало худший сценарий. Microsoft тогда объяснила происходящее сторонними средствами управления обновлениями. По версии компании, пакет Windows Server 2025 публиковался как необязательное обновление, а его метаданные следовало трактовать как необязательные, а не рекомендуемые. Формально проблема затронула среды, где обновлениями управляли внешние системы управления обновлениями.
Но такое объяснение убедило не всех. The Register пишет, что часть администраторов и поставщиков ПО спорила с Microsoft еще тогда, а некоторые читатели издания сообщали, что неожиданный апгрейд пришел и на серверы без сторонних систем управления обновлениями. Официальная позиция Microsoft с тех пор не изменилась: корпорация продолжает объяснять автоматический переход на Windows Server 2025 тем, как отдельные продукты интерпретировали классификацию обновления.
Теперь в документации Microsoft статус проблемы поменялся на решена. В записях о состоянии Windows Server 2025, Windows Server 2022 и Windows Server 2019 указано, что сбой с неожиданным апгрейдом закрыт 14 апреля 2026 года. Одновременно компания снова включила предложение обновления через Windows Update для организаций, которые сами хотят выполнить обновление на месте до Windows Server 2025. Там же Microsoft уточняет, что предложение Windows Server 2025 в штатном сценарии должно идти как необязательное обновление для Windows Server 2019 и Windows Server 2022.
Проблема в том, что именно обновление KB5082063, после которого Microsoft и поставила отметку о решении, принесло новую аварию. На этот раз речь идет о средах с Privileged Access Management, где используются контроллеры домена без роли глобального каталога, то есть non-Global Catalog DC. После установки апрельского обновления 2026 года такие серверы могут ловить сбой процесса LSASS еще на этапе запуска. Дальше машина уходит в циклические перезагрузки, аутентификация перестает работать, службы каталогов тоже, а в худшем случае домен вообще становится недоступным.
Microsoft уже подтвердила новый сбой и уточнила, что он касается именно серверных систем, а не пользовательских ПК. В описании проблемы компания добавляет важную деталь: чаще всего сбой возникает в средах с несколькими доменами в одном лесу, где используется PAM. Временное решение есть, но его выдают через поддержку Microsoft для бизнеса, а не через обычный Windows Update. Полноценное исправление компания обещает выпустить в ближайшие дни.
В итоге ситуация выглядит показательно. Microsoft больше года не закрывала инцидент с незваными апгрейдами серверов, а после закрытия сразу появился новый риск для доменной инфраструктуры. Для администраторов важен простой факт: даже исправление старой проблемы пришлось встречать с оглядкой на сбои LSASS и возможные циклические перезагрузки контроллеров домена.
Администраторы Windows Server больше года ждали момента, когда Microsoft наконец закроет историю с самопроизвольным апгрейдом серверов до Windows Server 2025. Компания теперь пометила проблему как решенную, но сделала это в своем привычном стиле: вместе с апрельским накопительным обновлением KB5082063 пришла новая проблема, уже для контроллеров домена.
Скандальная история началась еще в 2024 году. Часть систем на Windows Server 2019 и Windows Server 2022 неожиданно и без явного согласия администраторов обновилась до Windows Server 2025. Откат при этом не выглядел простым и очевидным, что для серверной инфраструктуры само по себе означало худший сценарий. Microsoft тогда объяснила происходящее сторонними средствами управления обновлениями. По версии компании, пакет Windows Server 2025 публиковался как необязательное обновление, а его метаданные следовало трактовать как необязательные, а не рекомендуемые. Формально проблема затронула среды, где обновлениями управляли внешние системы управления обновлениями.
Но такое объяснение убедило не всех. The Register пишет, что часть администраторов и поставщиков ПО спорила с Microsoft еще тогда, а некоторые читатели издания сообщали, что неожиданный апгрейд пришел и на серверы без сторонних систем управления обновлениями. Официальная позиция Microsoft с тех пор не изменилась: корпорация продолжает объяснять автоматический переход на Windows Server 2025 тем, как отдельные продукты интерпретировали классификацию обновления.
Теперь в документации Microsoft статус проблемы поменялся на решена. В записях о состоянии Windows Server 2025, Windows Server 2022 и Windows Server 2019 указано, что сбой с неожиданным апгрейдом закрыт 14 апреля 2026 года. Одновременно компания снова включила предложение обновления через Windows Update для организаций, которые сами хотят выполнить обновление на месте до Windows Server 2025. Там же Microsoft уточняет, что предложение Windows Server 2025 в штатном сценарии должно идти как необязательное обновление для Windows Server 2019 и Windows Server 2022.
Проблема в том, что именно обновление KB5082063, после которого Microsoft и поставила отметку о решении, принесло новую аварию. На этот раз речь идет о средах с Privileged Access Management, где используются контроллеры домена без роли глобального каталога, то есть non-Global Catalog DC. После установки апрельского обновления 2026 года такие серверы могут ловить сбой процесса LSASS еще на этапе запуска. Дальше машина уходит в циклические перезагрузки, аутентификация перестает работать, службы каталогов тоже, а в худшем случае домен вообще становится недоступным.
Microsoft уже подтвердила новый сбой и уточнила, что он касается именно серверных систем, а не пользовательских ПК. В описании проблемы компания добавляет важную деталь: чаще всего сбой возникает в средах с несколькими доменами в одном лесу, где используется PAM. Временное решение есть, но его выдают через поддержку Microsoft для бизнеса, а не через обычный Windows Update. Полноценное исправление компания обещает выпустить в ближайшие дни.
В итоге ситуация выглядит показательно. Microsoft больше года не закрывала инцидент с незваными апгрейдами серверов, а после закрытия сразу появился новый риск для доменной инфраструктуры. Для администраторов важен простой факт: даже исправление старой проблемы пришлось встречать с оглядкой на сбои LSASS и возможные циклические перезагрузки контроллеров домена.
- Источник новости
- www.securitylab.ru
