Windows Server: April-Update kann Domain Controller in Reboot-Loops bringen

Was passiert

Microsoft beschreibt für die April-2026 Updates einen relevanten Known Issue für Active Directory: In Multi-Domain-Forests mit Privileged Access Management (PAM) können Domain Controller, die nicht als Global Catalog betrieben werden, beim Booten durch LSASS-Startprobleme in wiederholte Neustarts geraten. Das kann Authentifizierung und Verzeichnisdienste unterbrechen und so ganze Domänen beeinträchtigen.

Was jetzt zählt

• Rollout auf Domain Controllern mit PAM-Forests vorab in einer Testwelle verifizieren (insb. non-GC DCs).
• Falls bereits betroffen: Out-of-band (OOB) Updates einplanen/ausrollen (je nach Version z. B. KB5091157 für Windows Server 2025, KB5091575 für Windows Server 2022, KB5091573 für Windows Server 2019, KB5091572 für Windows Server 2016, KB5091571 für Windows Server 23H2).
• Patch-Deployment so gestalten, dass ein kontrollierter Neustart- und Recovery-Pfad existiert (Konsolen-/iLO-/iDRAC-Zugriff, dokumentierte Restore-Optionen).
• BitLocker-Prozesse prüfen: In bestimmten Konfigurationen kann nach dem Update einmalig die Recovery-Key-Eingabe erforderlich werden (Key-Backups/Recovery-Prozess sicherstellen).