Die zum 14. April 2026 für Windows Server 2016 bis Windows Server 2025 veröffentlichten kumulativen Updates (z.B. KB508206 für Windows Server 2025) verursachen in bestimmten Konstellationen Reboots bei Domain Controllern. Microsoft hat dieses Problem nach entsprechenden Nutzerberichten inzwischen im Release Health-Dashboard von Windows Server 2025 etc. als bekanntes Problem bestätigt.
Windows Server Updates April 2026
Zum 14. April 2026 hat Microsoft kumulative Security Updates für die noch unterstützen Windows-Server-Versionen freigegeben. Ich hatte im Blog-Beitrag Patchday: Windows Server-Updates (14. April 2026) darüber berichtet. Für Windows Server 2025 wurde z.B. das kumulative Security Update KB5082063 freigegeben.
Bei einigen Systemen gab es Fehler bei der Update-Installation, die ich im Blog-Beitrag Windows Server 2025: Update KB5082063 liefert Error 0x800F0983, 0x80073712 sowie im Beitrag Windows Server 2025: Fehler 0x80073712 bei KB5082063 durch Media Player-Sprachpakete hier im Blog angesprochen habe. Aber es gibt ein weiteres Problem.
Reboot-Probleme bei Domain Controllern
Die Sicherheitsupdates vom 14. April 2026 können in Umgebungen mit Windows Servern, die als Domain-Controller fungieren, zu zyklischen Resets führen.
Eine erste Lesermeldung
Zum 16. April 2026 hat sich Blog-Leser jcvr mit diesem Kommentar gemeldet und schreibt recht unspezifisch, dass der letzte Patch auch zu Problemen mit DCs zu führen scheint. Laut Microsoft sei es kein generelles Problem mit allen Installationen, aber es gebe Probleme nach der Installation des Patches auf DCs. Ein Problem habe man durch Deinstallation des Updates mittels:
Dism /image:c:\ /remove-package /packagename:xxxxx
retten können. In einem Folgekommentar hat jcvr dann präzisiert, dass es "scheinbar Probleme mit ntdsai.dll und samsrv.dll" gebe. Der Windows Server bootet, gibt dann ein Problem mit NTDS aus und führt einen Reset aus. Es handelt sich um Windows Server 2019-2022 (Server Core und mit GUI, mixed Bag scheinbar, englische Installationen). Es seien aber nicht alle DCs in der Umgebung betroffen. Bitlocker sei nicht das Problem, das habe man getestet. Eine neue Azure VM (mit dem Apr. Patch) hat das gleiche Problem "nach der promo".
In einem weiteren Folgekommentar erwähnt jcvr, dass es mehr Betroffene gebe, es aber nicht weit verbreitet sei, um später noch den Link zum nachfolgend erwähnten MS-Artikel der das Problem bestätigt, zu ergänzen. Es werde vermutet, dass es mit aktiviertem Feature "Privileged Access Management" zu tun habe.
Weitere Leserhinweise auf Microsoft-Support-Beiträge
Und Leser Knorth erwähnte zum 17. April 2026, dass er per E-Mail [mutmaßlich von Microsoft] die Information "Domain controllers may restart repeatedly after installing April security update" erhalten habe. Betroffen seien:
- Windows Server 2025 WI1282748 KB5082063
- Windows Server 2022 WI1282749 KB5082142
- Windows Server 2019 WI1282750 KB5082123
- Windows Server 2016 WI1282751 KB5082198
Ergänzung: Inzwischen habe ich auf der patchmanagment.org-Mailing-Liste den nachfolgenden Eintrag mit dieser Bestätigung gefunden.
JanM hat dann in diesem Kommentar auf einen neuen Eintrag Domain controllers may restart repeatedly after installing April security update im Windows Release Health Dashboard von Windows Server 2025 hingewiesen (allen Lesern mein Dank der Community für die Hinweise).
Microsoft bestätigt das Problem
Nach der Installation des Windows-Sicherheitsupdates vom April 2026 (z.B. KB5082063) und einem Neustart kann es laut diesem Supportbeitrag bei Domänencontrollern (DCs) ohne Global Catalog (Non-GC) in Umgebungen, die Privileged Access Management (PAM) verwenden, während des Startvorgangs zu LSASS-Abstürzen kommen. Infolgedessen können betroffene DCs wiederholt neu starten, wodurch die Authentifizierung und die Verzeichnisdienste nicht mehr funktionieren und die Domäne möglicherweise nicht mehr verfügbar ist.
Blog-Leser jcvr schreibt in diesem Kommentar: "Der Artikel spricht von Nicht-GCs die betroffen wären. Das kann ich so nicht bestätigen."
In einigen Umgebungen kann dieses Problem auch beim Einrichten eines neuen Domänencontrollers oder auf bestehenden DCs auftreten, wenn Authentifizierungsanfragen sehr früh während des Startvorgangs verarbeitet werden.
Betroffen sind Windows Server 2025; Windows Server 2022; Windows Serve Version 23H2; Windows Server 2019 und Windows Server 2016. IT-Administratoren können sich an den Microsoft-Support für Unternehmen wenden, um eine Abhilfemaßnahme zu erhalten. Diese Abhilfemaßnahme kann auf Geräte angewendet werden, auf denen das Update vom April 2026 bereits installiert ist, oder vor dessen Installation. Microsoft arbeitet an der Behebung dieses Problems und wll diese in den nächsten Tagen veröffentlichen.
Ergänzung: Zum 19. April 2026 gab es Out-of-Band-Updates zur Korrektur, siehe Windows Server Out-of-Band-Updates (19.4.2026) zur Fehlerkorrektur.
Ähnliche Artikel:
Microsoft Security Update Summary (14. April 2026)
Patchday: Windows 10/11 Updates (14. April 2026)
Patchday: Windows Server-Updates (14. April 2026)
Patchday: Microsoft Office Updates (14. April 2026)
Remote Desktop-Phishing-Schutz im April 2026-Update verursacht Verwirrung
Windows 11 April 2026-Updates (KB5083769, KB5082052) triggern BitLocker Recovery
Windows Server 2025: Update KB5082063 liefert Error 0x800F0983, 0x80073712
Windows Server 2025: Fehler 0x80073712 bei KB5082063 durch Media Player-Sprachpakete
Windows Server 2016-2025: Reboot von Domain Controllern durch April 2026-Update (KB5082063 etc.)
Windows April 2026-Updates verursachen Anmelde-Probleme
Windows Server Out-of-Band-Updates (19.4.2026) zur Fehlerkorrektur
MVP: 2013 – 2016
Mit PAM meint Microsoft hier das aktivierte optionale AD Feature "Privileged Access Management Feature" was man z.B. für das Verwenden von temporären Gruppenmitgliedschaften in AD aktivieren muss.
Die Information das es nur nicht-GCs betrifft kann ich nicht bestätigen. Für mich schien das völlig Unabhängig davon zu sein.
Ich lehne mich nur mehr zurück, genehmige mir ein Weitra Bräu und lach mich krumm. Habe mir diesen Scheixx, über dreißig Jahre angetan … von Novell 2. irgenwas, über NT 3.51, 4, 2000, … früher gab es noch eine MS Knowledgebase die man durchforsten und der DEC und HP Support war sowieso unschlagbar … war … wird Zeit, daß ich mir ein hanndwerkliches Hobby suche … /zyn
wenn man aus der IT aussteigt, was macht an dann? käsebrote schmieren?
inzwischen ist IT überall.
ich stufe Deine Frage als rein rhetorische Frage ein, trotzdem antworte ich jetzt mal pragmatisch drauf:
Man kann zum Beispiel dann das Leben geniessen, in die Natur raus gehen und Pilze sammeln. Ich selber bin schon jetzt in meiner Freizeit immer draussen in der Natur und wenn ich mal aussteige, dann umso mehr. Deine Frage ist daher recht sinnlos.
Käsebrot schmieren ist ab und zu auch nicht übel. Schmeckt lecker. Gibt aber noch tausende andere Sachen, die man dann machen kann (sofern man aber noch mit PC etwas machen will, hier ein paar wenige interessante Sachen: BSD, GNU, ESP32, Linux allgemein… Auch wenn man aussteigt, kann man sich trotzdem noch weiterbilden oder auf etwas anderes konzentrieren. Aussteigen heisst nicht, dass man sich allem abwendet.
Hach, sie machen einen wirklich Hoffnung! Danke!
Wird zwar jetzt arg off-topic – zum "in die Natur raus gehen und Pilze sammeln": 's ist wie mit dem Patchen, manches machst Du einmal im Leben, dann ist's aus mit dem Genießen. Pilze sammeln schön und gut, geht nur zu bestimmten Jahreszeiten. Aber mit der Anwendung (aka essen) sollte man vorsichtig sein, wenn man sich (wie beim Patchen) nicht sehr gut auskennt ;-).
die Frage war ja "was macht man, wenn man aus der IT aussteigt?"
daher ja, effektiv sehr OT.
Aber ich stimme Dir zu: beim Pilze sammeln und essen muss man auch sehr vorsichtig sein. Ist wie in der IT: ein Fehler, dann hat man den Schei**.
(nebenbei: Pilze kann man das ganze Jahr sammeln. Gibt sogar die sogenannten Winterpilze (3 Arten sind essbar)… aber ja, wir sind sehr OT)
Hatte mir ja auch schon mal vor Jahren überlegt, eine Pilzzucht im Keller zu versuchen, mich dann aber für's Bloggen entschieden – ist mehr los und spannender ;-).
Umsteigen auf Metall und Holz … /zyn
Beides gefährlich, da Du da ganz schnell wieder bei CNC-Fräsen und dem Tech-Stack drum herum landest…
irgendwas mit Blumen vielleicht?
Hmmm wenn die erst zu Beginn deiner Rentnerzeit ein Hobby suchst, tust du mir Leid. Hatte auch über 30 Jahre im IT-Bereich zuletzt über 20 Jahre als Freelancer im IT Bereich gearbeitet.
Ich kann nur sagen früher war es auch nicht besser. Netware 2 konnte man konfigurieren und musste sich dann einen lauffähigen Kernel kompilieren.
Windows NT 3,51 mit Netbui und Netbios auch so ein tolle Sache. Als Novell mit der Version4 dann eine Art AD für Novell brachte und auf Tcp/Ip umstellte gab es auch einen riesen Aufschrei. Das Windows 3,51 und die folgenden Version bis Windows 8.1 täglich mehrmals abgestürzt sind war eben die Tagesordnung.
Hier im Blog sind die Störungen halt überdimensional beschrieben und auch teilweise durch KI Beiträge kommentiert.
Ich betreibe in meinem privaten Pensionisten-Netzwerk 2 Windows Server 2025 DC mit 3 Clients und hatte mit den April Updates keinerlei Probleme.
Das letzte Problem das ich in meinem Netzwerk hatte war vor 2 Monaten mit ACD/See. Da meinte Windows es muss nach einem Update nachts neu booten während irgend ein Wartungsservice die ACD/See Datenbank bearbeitete. Dadurch ist halt ACD/See gecrasht. Veeam Backup von dem PC wieder eingespielt und weiter ging es.
Und ein letztes – sehr viele Rentner und Rentnerinnen müssen erst einmal lernen einen geregelten Tagesablauf zu haben und die Natur neben den vielen Arztterminen zu geniesen. Da lügen sich sehr viele selbst in die Tasche.
Schön für dich … /zyn
Bei uns war es nicht mehr möglich das sich der Administrator am DC anmelden konnte. Ein andere Admin hat noch funktioniert. Hat man das Kennwort vom Administrator geändert ist der Server 2025 abgestürzt. Eine Deinstallation vom Update hat in einem Bluescreen geendet. Wir habe jetzt ein Backup eingespielt. Danke MS dass ich den sonnigen Tag vor Server verbringen konnte.
warum betreibt man DC ohne GC?
das Thema Infrastruktur Master und GC hat sich mit Server 2003(!) praktisch erledigt. seitdem der GC mit 2003 inkrementell repliziert werden kann macht man jeden DC zum GC
@Christian:
du hast wohl die Kerberos-Umstellung wohl verpennt, die wurde jetzt mit dem April-Update scharf geschalten. In diesem Fall kann MS nichts dafür.
Auch bei uns hatten wir das nicht so genau geplant, alle Konten mit RC4 Verschlüsselung gehen nach dem Update nicht mehr. Ist allerdings sehr einfach zu beheben.
Wir haben mehrere DCs (2019, 2022 und 2025) mit KB508206 aktualisiert und können bis jetzt keine Probleme feststellen, wie auch in den vergangenen Monaten und Jahren.
Gibt inzwischen einen OOB-Patch, der das Problem beheben soll. Muss man aber wie immer selbst aus dem Windows Update Catalog herunterladen und entsprechend manuell installieren. Der Patch kommt nicht über Windows Update/WSUS. Hier die Links für die verschiedenen Serverversionen:
Windows Server 2025: https://support.microsoft.com/topic/13ab53cc-ccc8-4a00-89d2-823b58fa03ec
Windows Server, version 23H2: https://support.microsoft.com/help/5091571
Windows Server 2022: https://support.microsoft.com/topic/4a5a784e-e50a-4358-8093-b1654aecdbd1
Windows Server 2019: https://support.microsoft.com/topic/08263e6c-c20a-423f-8d75-9c6d77a0c75e
Windows Server 2016: https://support.microsoft.com/topic/5df74339-4bd0-4fd0-af74-45972f072abb
Danke, da haben wir wohl parallel geschrieben – siehe Windows Server Out-of-Band-Updates (19.4.2026) zur Fehlerkorrektur
Aber dass es Out of Band Updates gibt heißt nicht dass die ursprünglichen Updates revidiert wurden und die Fehler jetzt nicht mehr auftreten oder?
Wer hat schon Lust beim Updaten auf Fehler zu stoßen die er dann mit nem zweiten Patch wieder korrigieren kann … wenn denn der Server nicht in Reboot-Schleife hängt.