Microsoft hat außerplanmäßige Updates veröffentlicht, nachdem es nach den April-Sicherheitsupdates bei einigen Windows-Servern zu wiederholten Neustarts kommen konnte. Betroffen sind Domain Controller in bestimmten Active-Directory-Umgebungen; Auslöser sind laut Microsoft LSASS-Abstürze beim Start. Das Unternehmen hat das Problem offiziell dokumentiert und am 19. April 2026 per Out-of-Band-Updates behoben.
Was passiert ist
Nach Installation der April-2026-Sicherheitsupdates können Domain Controller in Umgebungen mit mehreren Domänen im Forest und aktivem Privileged Access Management (PAM) in Neustartschleifen geraten. Microsoft zufolge stürzt in diesen Fällen der Local Security Authority Subsystem Service, kurz LSASS, während des Startvorgangs ab. Die Folge: Authentifizierungs- und Verzeichnisdienste können ausfallen, im Extremfall wird die betroffene Domäne zeitweise nicht mehr verfügbar.
Welche Systeme betroffen sind
Microsoft nennt als betroffene Plattformen Windows Server 2016, 2019, 2022, Version 23H2 und 2025. Wichtig für die Einordnung: Nach Angaben des Herstellers betrifft das Problem Windows Server in gemanagten Unternehmensumgebungen, nicht jedoch typische Consumer-PCs oder private Geräte. Auch BleepingComputer ordnet den Vorfall ausdrücklich als Enterprise-Thema rund um Domain Controller ein.
Microsoft reagiert mit Updates außer der Reihe
Heise berichtete zunächst über ein außerplanmäßiges Microsoft-Update gegen die ungewollten Server-Reboots. Die offizielle Bestätigung dazu findet sich in Microsofts Release-Health-Dokumentation: Dort wird das Problem für mehrere Windows-Server-Versionen geführt und als am 19. April 2026 durch OOB-Updates behoben markiert. Für Windows Server 2022 nennt Microsoft etwa KB5091575, für Windows Server 2025 KB5091157 und für Windows Server 2016 KB5091572.
Warum das für IT-Entscheider relevant ist
Der Vorfall zeigt erneut, wie kritisch Patch-Management bei zentralen Infrastrukturkomponenten bleibt. Anders als bei Client-Problemen kann ein fehlerhaftes Update auf Domain Controllern unmittelbare Auswirkungen auf Anmeldung, Verzeichnisdienste und den laufenden Betrieb haben. Gerade in komplexeren AD-Umgebungen mit mehreren Domänen und privilegierten Zugriffsmodellen sollten Sicherheitsupdates deshalb weiterhin gestaffelt getestet und nicht ohne Validierung breit ausgerollt werden.
Was Unternehmen jetzt tun sollten
Unternehmen sollten prüfen, ob ihre Domain Controller zu den betroffenen Konstellationen gehören und ob bereits die korrigierten Out-of-Band-Updates eingespielt wurden. Wer die April-Updates wegen der bekannten Probleme gestoppt oder verschoben hat, sollte jetzt auf Basis der Microsoft-Hinweise die jeweils passenden OOB-Pakete für die eigene Server-Version bewerten und in den regulären Change-Prozess übernehmen.
Das muss man gelesen haben?
Behalten Sie ihr Wissen nicht für sich und teilen Sie diesen Beitrag.