«Одно лечим, другое калечим». Патч Windows остановил принудительные обновления, но отправил серверы в бесконечную перезагрузку

Администраторы Windows Server больше года ждали момента, когда Microsoft наконец закроет историю с самопроизвольным апгрейдом серверов до Windows Server 2025. Компания теперь пометила проблему как решенную, но сделала это в своем привычном стиле: вместе с апрельским накопительным пакетом KB5082063 пришла новая проблема, уже для контроллеров домена.

Скандальная история началась еще в 2024 году. Часть систем на Windows Server 2019 и Windows Server 2022 неожиданно и без явного согласия администраторов перешла на Windows Server 2025. Откат при этом не выглядел простым и очевидным, что для серверной инфраструктуры само по себе означало худший сценарий. Microsoft тогда объяснила происходящее сторонними средствами управления патчами. По версии компании, пакет Windows Server 2025 публиковался как необязательный, а его метаданные следовало трактовать именно так, а не как рекомендуемые. Формально сбой затронул среды, где установкой патчей управляли внешние системы.

Но такое объяснение убедило не всех. Часть администраторов и поставщиков ПО спорила с Microsoft еще тогда, а некоторые сообщали, что неожиданный переход пришел и на серверы без сторонних систем управления патчами. Официальная позиция Microsoft с тех пор не изменилась: корпорация по-прежнему объясняет автоматическую установку Windows Server 2025 тем, как отдельные продукты трактовали классификацию пакета.

Теперь в документации Microsoft статус проблемы сменился на "решена". В записях о состоянии Windows Server 2025, Windows Server 2022 и Windows Server 2019 указано, что сбой с неожиданным апгрейдом закрыт 14 апреля 2026 года. Одновременно компания снова включила предложение перехода через Windows Update для организаций, которые сами хотят выполнить установку Windows Server 2025 поверх текущей версии. Там же Microsoft уточняет, что такой вариант в штатном сценарии должен предлагаться для Windows Server 2019 и Windows Server 2022 как необязательный.

На этом история не закончилась. Именно пакет KB5082063, после которого Microsoft и поставила отметку о решении, принес новую аварию. На этот раз проблема затрагивает среды с Privileged Access Management, где работают контроллеры домена без роли глобального каталога, то есть non-Global Catalog DC. После установки апрельского пакета 2026 года такие серверы могут ловить сбой процесса LSASS еще на этапе запуска. Дальше машина уходит в циклические перезагрузки, аутентификация перестает работать, службы каталогов тоже, а в худшем случае домен вообще становится недоступным.

Microsoft уже подтвердила новый сбой и уточнила, что он касается именно серверных систем, а не пользовательских ПК. В описании компания добавляет важную деталь: чаще всего проблема возникает в средах с несколькими доменами в одном лесу, где используется PAM. Временное решение есть, но его выдают через поддержку Microsoft для бизнеса, а не через обычный Windows Update. Полноценное исправление компания обещает выпустить в ближайшие дни.

Вся история получилась довольно показательной. Microsoft больше года не закрывала инцидент с незваными апгрейдами серверов, а сразу после формального закрытия появился новый риск для доменной инфраструктуры. Для администраторов важен простой вывод: даже исправление старой проблемы пришлось встречать с оглядкой на сбои LSASS и возможные циклические перезагрузки контроллеров домена.