by BlackRabbitZMicrosoft hat am 19. April 2026 einen außerplanmäßigen Update-Release für Windows Server bereitgestellt, der zwei gravierende Probleme des regulären April-Patches beheben soll. Die Out-of-Band-Aktualisierung KB5091157 adressiert eine Rebootschleife auf Domain Controllern sowie einen Installationsfehler, der KB5082063 auf bestimmten Windows-Server-2025-Systemen komplett scheitern ließ. Microsoft spricht offiziell von einer begrenzten Zahl betroffener Installationen, doch die technische Tragweite ist erheblich, weil die Authentifizierungsinfrastruktur ganzer Active-Directory-Umgebungen betroffen sein kann.
Was der April-Patch ausgelöst hat
Der reguläre Sicherheits-Rollup KB5082063 (OS Build 26100.32690) wurde am 14. April 2026 im Rahmen des Patch Tuesday ausgerollt und enthält unter anderem Änderungen am Kerberos-Standardverhalten, neue Zertifikats-Rollouts für Secure Boot, Phishing-Schutz für Remote-Desktop-Dateien und Härtungsmaßnahmen für Windows Deployment Services im Zusammenhang mit CVE-2026-0386. Gleichzeitig hat Microsoft schon zwei Tage nach Freigabe im Release Health Dashboard ein Known Issue dokumentiert, das die Branche unmittelbar aufhorchen ließ.
Betroffen sind Non-Global-Catalog-Domain-Controller in Umgebungen, die Privileged Access Management im Einsatz haben. Nach der Installation von KB5082063 und dem anschließenden Neustart kommt es auf diesen Systemen zu Abstürzen des Local Security Authority Subsystem Service. Weil der Local Security Authority Subsystem Service für Authentifizierung, Kerberos-Verarbeitung und Sicherheits-Token zuständig ist, reagiert Windows auf seinen Ausfall mit einem erzwungenen Neustart. Daraus entsteht ein Zyklus, der sich praktisch nicht unterbricht: Das System bootet, startet LSASS, das nach wenigen Minuten erneut abstürzt, worauf der nächste Neustart folgt. Authentifizierungs- und Verzeichnisdienste stehen in dieser Zeit nicht zur Verfügung, im schlimmsten Fall ist die gesamte Domäne nicht erreichbar. Microsoft weist im Dashboard zusätzlich darauf hin, dass das Problem auch beim Aufsetzen neuer Domain Controller auftreten kann, oder auf bestehenden Systemen, wenn Authentifizierungsanfragen sehr früh im Startvorgang verarbeitet werden.
Parallel dazu gibt es einen zweiten, strukturell anderen Fehler. Auf einer Teilmenge von Windows-Server-2025-Systemen schlägt die Installation von KB5082063 komplett mit Fehlercode 0x800F0983 fehl. Und als drittes, unabhängig davon dokumentiertes Problem kann der Patch auf Geräten mit nicht empfohlenen BitLocker-Gruppenrichtlinien einen Recovery-Prompt auslösen, der eine manuelle Eingabe des Wiederherstellungsschlüssels erforderlich macht.
Welche Windows-Server-Versionen betroffen sind
Die Liste der betroffenen Plattformen ist breit. Microsoft nennt im Release Health Dashboard Windows Server 2025, Windows Server 2022, Windows Server 23H2, Windows Server 2019 und Windows Server 2016. Das deckt praktisch jede aktuell in Unternehmen eingesetzte Server-Generation ab, inklusive Legacy-Installationen, die in Mischumgebungen mit Privileged Access Management arbeiten. Home- und Consumer-Installationen sind nach Angaben von Microsoft nicht betroffen, weil die Voraussetzung – PAM plus Non-GC-DCs in einer Multi-Domain-Forest-Konfiguration – außerhalb enterprise-gesteuerter Umgebungen nicht vorkommt.
Was KB5091157 und KB5091470 konkret leisten
Der Out-of-Band-Patch KB5091157 adressiert laut Microsoft beide ursprünglich separat dokumentierten Probleme, also den Installationsfehler auf Windows Server 2025 ebenso wie die LSASS-Rebootschleife auf Domain Controllern mit PAM-Konfiguration. Für Windows-Server-2025-Systeme, die im Hotpatching-Programm eingeschrieben sind, liefert Microsoft eine separate Variante nach: KB5091470. Wichtig dabei ist ein Detail, das in der offiziellen Support-Notiz ausdrücklich erwähnt wird: Hotpatch-Systeme, die KB5091157 anstelle der Hotpatch-Variante einspielen, verlieren ihre Hotpatching-Fähigkeit temporär und nehmen den regulären, neustartfreien Update-Zyklus erst mit dem Juli-2026-Baseline-Update wieder auf. Für IT-Teams, die ihre Windows-Server-2025-Flotte bewusst auf Hotpatching umgestellt haben, um Reboot-Fenster zu reduzieren, ist die richtige Auswahl des OOB-Pakets deshalb operationell relevant.
Warum dieser Fehler in einem unangenehmen Muster liegt
Die aktuelle Rebootschleife reiht sich in eine dreijährige Serie ein, in der Microsofts April-Updates Domain Controller betroffen haben. Im März 2024 musste der Hersteller einen Notfall-Out-of-Band-Patch nachliefern, nachdem der damalige Patch Tuesday Domain Controller zum Absturz brachte. Der April-2024-Zyklus brach anschließend die NTLM-Authentifizierung und erzwang ungeplante DC-Neustarts, was Microsoft erst mit einem Mai-Rollout korrigieren konnte. Die April-2025-Updates wiederum führten zu Problemen bei der Active-Directory-Authentifizierung, für die Microsoft erst im Juni 2025 eine Korrektur veröffentlichte. Dass ausgerechnet der April-Zyklus drei Jahre in Folge spürbar größere DC-Probleme erzeugt, ist inhaltlich kein Zufall – der April-Patch liegt traditionell nah an größeren Änderungen im Kerberos- und Authentifizierungsumfeld, und diese Komponenten sind auf Domain Controllern sensibler als anderswo.
Was Administratoren jetzt konkret tun sollten
Der vernünftige Weg hängt davon ab, in welchem Stadium des Patch-Rollouts die Flotte gerade steht. Auf nicht betroffenen Umgebungen kann KB5082063 planmäßig ausgerollt werden, weil die bekannten Fehlerbilder PAM und spezifische DC-Rollen voraussetzen. Auf produktiven Domain Controllern in Multi-Domain-Umgebungen mit Privileged Access Management sollten Administratoren vor dem Patch prüfen, ob das OOB-Paket KB5091157 bereits via WSUS, Azure Update Manager oder Microsoft Update Catalog verteilbar ist, und es vorzugsweise direkt in Kombination mit KB5082063 einspielen. Bei Windows-Server-2025-Systemen mit Hotpatching ist stattdessen KB5091470 die korrekte Wahl.
Für Umgebungen, die KB5082063 bereits ausgerollt haben und aktuell mit der Rebootschleife kämpfen, bietet das Microsoft-eigene Release-Health-Dashboard konkrete Schritte zur Anwendung des OOB-Patches auf betroffenen Systemen. Parallel empfiehlt sich der altbekannte Hygienestandard für Patch-bedingte Ausfälle: BitLocker-Recovery-Keys aktuell und offline verfügbar halten, Event-Logs im WindowsUpdateClient-Zweig auf konkrete Fehlercodes prüfen und eigene DISM- und SFC-Diagnosen fahren, bevor Reinstall-Schleifen über ganze Racks gezogen werden.
Wie der Fall über das konkrete Problem hinaus wirkt
Der Vorgang zeigt ein strukturelles Problem, das unabhängig vom konkreten Patch besteht. Windows Server 2025 ist die aktuellste Generation und gleichzeitig die am stärksten von neuen Bugs betroffene – der Installationsfehler 0x800F0983 betrifft ausschließlich diese Version, während die LSASS-Rebootschleife auch ältere Server bis zurück zu Windows Server 2016 trifft. Unternehmen, die gerade auf Server 2025 migrieren oder ihre Hotpatching-Strategie aufbauen, bekommen mit diesem Release eine unangenehme Erinnerung daran, dass stabile Produktionsflotten neben einer zügigen Patch-Strategie auch eine belastbare Rollback- und Recovery-Planung brauchen. Die Out-of-Band-Veröffentlichung ist in diesem Kontext die vergleichsweise gute Nachricht: Microsoft hat binnen Tagen reagiert, statt den Fix erst in den Mai-Rollup zu verschieben. Für IT-Teams bedeutet das aber auch, dass der April-Patch-Zyklus diesmal nicht mit einem einzigen Stichtag erledigt ist, sondern zwingend ein zweites Wartungsfenster für den OOB-Patch nach sich zieht.
Was KB5091157 für die kommenden Wochen ändert
Bestätigt ist, dass Microsoft mit KB5091157 und dem Hotpatch-Pendant KB5091470 Out-of-Band-Fixes bereitstellt, die sowohl den Installationsfehler auf Windows Server 2025 als auch die LSASS-induzierte Rebootschleife auf Non-GC-Domain-Controllern mit PAM-Konfiguration adressieren. Nicht bestätigt ist, ob weitere Nebenwirkungen, insbesondere rund um BitLocker-Recovery-Prompts und die Kerberos-Verhaltensänderung, mit dem OOB-Paket vollständig eingehegt werden. Bis zur offiziellen Entwarnung über das Release Health Dashboard bleibt der April-2026-Patch-Zyklus für Windows-Server-Administratoren ein Vorgang, der zweistufig abgearbeitet werden muss – und ein Beleg dafür, dass gerade die sensiblen Teile der Active-Directory-Infrastruktur weiterhin eng an Microsofts Release-Rhythmus gekoppelt sind.
Quellen:
- Microsoft Support – April 14, 2026 KB5082063 (OS Build 26100.32690)
- BleepingComputer – Microsoft: Some Windows servers enter reboot loops after April patches
- Tom’s Hardware – Microsoft’s April patch puts Windows domain controllers into reboot loops
- Petri – Microsoft Confirms LSASS Crash Bug Causing Reboot Loops on Windows Server
- CybersecurityNews – Microsoft Confirms Windows Servers Enter Reboot Loops Following April Patches
- Windows Report – Microsoft Warns KB5082063 Triggers Boot Loops on Some Windows Server DCs
Der Beitrag Microsoft liefert Notfall-Patch KB5091157 für Windows Server nach – KB5082063 löst Rebootschleife auf Domain Controllern aus erschien zuerst auf Hardware News.