たまにActive Directoryを再起不能にするような不具合が発見されるわけですが、今回も残念ながら一部の環境で2026年4月パッチを適用すると、ブルースクリーンループに陥る深刻なバグが報告されていました。
2026年4月19日現地時間に定例外パッチが配信されたので、下記環境に該当するActive Directoryドメインコントローラーを運用されている方は、必ず定例外パッチを適用するようにしましょう・・・!
対象環境
以下すべてを満たす環境が対象です。
- ドメインコントローラーのOSがWindows Server 2016以降
- マルチドメインフォレスト環境
- 特権アクセス管理(PAM)を利用している
上記環境に2026年4月パッチを適用すると、起動時にLSASSがクラッシュして、ブルースクリーンループに陥るというもの。
ドメインコントローラーを複数運用していて、パッチ適用を1台ずつ実施していれば、社内ユーザーの影響は比較的軽微で済みますが、全台で実施すると認証及びディレクトリサービスが機能しなくなり、最終的にドメイン全体が利用不能になる恐れがあります。
対処方法
各OSバージョンに適合した定例外パッチを適用することで回避できます。
| バージョン | Microsoft Updateカタログ |
|---|---|
| Windows Server 2016 | KB5091572 |
| Windows Server 2019 | KB5091573 |
| Windows Server 2022 | KB5091575 |
| Windows Server, version 23H2 | KB5091571 |
| Windows Server 2025 | KB5091157 |
それぞれのOSバージョンに合わせたmsuファイルをダウンロードし、ダブルクリックしてインストールすればOKです。
なお、Windows Update適用時に再起動が要らないホットパッチ向けの定例外パッチも下記の通り配信されています。
| バージョン | Microsoftサポート |
|---|---|
| Windows Server 2022 Datacenter: Azure Edition | Hotpatch KB5091576 |
| Windows Server 2025 Datacenter: Azure Edition | Hotpatch KB5091470 |
Windows Server 2025に適用する場合
手元の検証環境はWindows Server 2025だったので、本事象を避けるべくKB5091157適用してみました。
手順としては、必要なmsuファイルを同じフォルダ(C:\Users\Administrator\Desktop\workなど)に保存したうえで、下記コマンド実行でもインストール可能です(Windows Server 2025を例として挙げています。)
DISM /Online /Add-Package /PackagePath:C:\Users\Administrator\Desktop\work\Windows11.0-KB5091157-x64.msuこれであとは再起動すればOKです。
