微软发布带外更新，修复四月补丁引发的服务器重启死循环

微软近日推出了一项带外更新，专门用于解决部分Windows Server设备在安装四月份更新后陷入重启死循环的问题。

此次修复将帮助管理员免于在安装2026年四月更新后被迫反复重启服务器的烦恼。（再次提醒：在未经充分测试的情况下，直接将任何微软更新部署至生产环境，说好听点，是一种"大胆的人生选择"。）

微软就此次问题更新说明："在安装2026年四月Windows安全更新（KB5082063）并重启后，在使用特权访问管理（PAM）且林中存在多个域的环境中，域控制器（DC）可能在启动期间出现LSASS崩溃。"

"受影响的域控制器可能反复重启，导致身份验证和目录服务无法正常运行，甚至可能造成整个域不可用。"

Windows域服务中断可能引发严重后果。任何需要身份验证的资源，例如网络共享，都可能变得无法访问。

此次问题影响范围涵盖Windows Server 2016至2025各版本，严重程度足以促使微软发布带外更新，同时也提供了热补丁供用户选择。

此次修复同时解决了安装失败的问题，但域控制器意外重启才是更可能引发大量紧急支持工单的原因——因为用户将被锁定在关键资源之外。

值得注意的是，此次重启问题仅影响Windows Server，Windows客户端设备这次躲过了这颗"更新炸弹"。不过，四月更新存在另一个已知问题：使用了不推荐BitLocker组策略配置的部分设备，可能在安装更新后首次重启时被要求输入BitLocker恢复密钥。该问题主要影响企业设备。

带外更新本应是例外情况，而非常规操作，但它似乎已成为Windows管理员的"日常"。微软在三月份曾因破坏微软账户应用登录功能而发布过一次带外更新，四月份又再度发布带外更新以处理域控制器重启问题。

受影响的用户或许情有可原地认为，就微软的质量管控而言，"带外（out-of-band）"正越来越像"失控（out of control）"的代名词。

Q&A

Q1：KB5082063更新导致域控制器崩溃的根本原因是什么？

A：根据微软的说明，在安装2026年四月Windows安全更新（KB5082063）并重启后，在启用了特权访问管理（PAM）且林中存在多个域的环境中，域控制器在启动过程中会出现LSASS（本地安全授权子系统服务）崩溃，进而导致域控制器反复重启，身份验证和目录服务无法正常运行，严重时甚至会使整个域不可用，影响所有依赖身份验证的资源访问。

Q2：微软针对此次Windows Server重启问题发布了哪些修复方案？

A：微软发布了一项带外更新（Out-of-Band Update）来专门修复此次域控制器重启死循环问题，同时也提供了热补丁（Hotpatch）供管理员选择。此次修复还一并解决了部分安装失败的问题。受影响的系统版本涵盖Windows Server 2016至2025。

Q3：Windows客户端设备是否也受到四月更新的影响？

A：此次域控制器重启死循环问题仅影响Windows Server，Windows客户端设备未受波及。但四月更新存在另一个已知问题：部分使用了不推荐BitLocker组策略配置的设备，在安装更新后首次重启时可能被要求输入BitLocker恢复密钥，该问题主要影响企业级设备。