Microsoft'un nisan ayı güvenlik güncellemesi, bazı kurumsal etki alanı denetleyicilerini (domain controller) sürekli yeniden başlama döngülerine soktu. Microsoft, yayın sağlığı gösterge panosunda bu durumu doğruladı. Nisan 2026'da yayınlanan KB5082063 güncellemesi, Ayrıcalıklı Erişim Yönetimi (PAM) dağıtımlarında kullanılan Global Katalog olmayan etki alanı denetleyicilerinde Yerel Güvenlik Yetkilisi Alt Sistemi Hizmeti'nde (LSASS) çökmelere neden oluyor. Bu durum, etkilenen sunucularda Active Directory kimlik doğrulama ve dizin hizmetlerini kullanılamaz hale getiriyor.
Microsoft'un gösterge panosuna göre, Windows Server 2016, 2019, 2022, 23H2 ve 2025 sürümleri bu hataya karşı savunmasız. LSASS çökmesi, başlatma dizisi sırasında meydana geliyor ve her otomatik yeniden başlama, kararlı bir duruma geri dönmek yerine aynı hatalı kimlik doğrulama kod yoluna girdiği için sorunu bir döngüye dönüştürüyor.
Sorun yalnızca Active Directory ayrıcalık devri için PAM çalıştıran yönetilen kurumsal ortamları etkiliyor. Microsoft, BT tarafından yönetilmeyen etki alanları dışındaki kişisel cihazların bu durumdan etkilenmediğini belirtti. Şirket henüz bir düzeltme yayınlamadı ve bunun yerine KB5082063 zaten yüklendiyse uygulanabilecek azaltma kılavuzları için etkilenen yöneticileri Microsoft Destek'e yönlendirdi.
KB5082063, yayınlanmasından bir hafta sonra bünyesinde üç bilinen hatayı barındırıyor. Microsoft ayrıca, aynı güncellemenin bazı Windows Server 2025 makinelerini kurulum sonrasında bir BitLocker kurtarma anahtarı istemesine neden olduğunu ayrı olarak bildirdi. Şirket, KB5082063'ün bir grup Windows Server 2025 sisteminde tamamen yüklenemediği yönündeki raporları da inceliyor.
Nisan ayı güvenlik güncellemeleri, art arda üç yıl boyunca Windows Server etki alanı denetleyicilerinde aksamalara neden oldu. Mart 2024'te, o ayın Güncelleme Salı gününün etki alanı denetleyicilerinde çökmelere yol açmasının ardından Microsoft acil durum dışı bir düzeltme yayınladı. Nisan 2024 güncelleme döngüsü ise Windows Sunucularında NTLM kimlik doğrulamasını bozdu ve planlanmamış etki alanı denetleyicisi yeniden başlatmalarına neden oldu. Bu durum, Mayıs 2024'te yayınlanan bir güncellemeyle düzeltildi.
Geçen yıl haziran ayında şirket, nisan 2025 güvenlik güncellemesinin getirdiği Active Directory kimlik doğrulama sorunları için başka bir düzeltme yayınladı. Bu ay yaşanan LSASS çökmesi, aynı modelin üçüncü kez tekrarlandığını gösteriyor: genel bir güncellemeyle birlikte kurumsal yöneticilerden gelen dağıtım sonrası hata raporları ve düzeltme hazırlanırken azaltma çabaları.
KB5082063 hala yayın kanalında ve bir yama tarihi yayınlanmamışken, yöneticilerin üç seçeneği var: nisan güncellemesini ertelemek, daha geniş bir dağıtımdan önce yama davranışını doğrulamak için bir test etki alanı denetleyicisini izole etmek veya şirketin vaka bazında sağladığı azaltma adımlarını almak için Microsoft Destek üzerinden ilerlemek.
