19. April 2026 – KB5091157 (Betriebssystembuild 26100.32698) Out-of-Band
Gilt für
Veröffentlichungsdatum:
19.04.2026
Version:
Betriebssystembuild 26100.32698
Dieses Out-of-Band-Update (OOB) für Windows Server 2025 (KB5091157) ist ein nicht sicherheitsrelevantes kumulatives Update.
Verbesserungen
Dieses Out-of-Band-Update enthält Qualitätsverbesserungen aus KB5082063 (veröffentlicht am 14. April 2026). In der folgenden Zusammenfassung werden die wichtigsten Probleme beschrieben, die von diesem Out-of-Band-Update behoben werden. Der fett formatierte Text in den Klammern gibt das Element oder den Bereich der Änderung an.
-
[Active Directory] Behoben: Nach der Installation des Windows-Sicherheitsupdates vom April 2026 und dem Neustart treten bei Domänencontrollern (DCs) mit Gesamtstrukturen mit mehreren Domänen, die Privileged Access Management (PAM) verwenden, möglicherweise Startprobleme auf. In einigen Fällen reagiert der Lokale Sicherheitsautoritätssubsystemdienst (LSASS) möglicherweise nicht mehr, was zu wiederholten Neustarts führt und Authentifizierungs- und Verzeichnisdienste verhindert, wodurch die Domäne nicht mehr verfügbar ist.
-
[Windows Update-Installation] Behoben: Eine kleine Anzahl von Windows Server 2025-Geräten kann möglicherweise das Windows-Sicherheitsupdate (KB5082063) vom 14. April 2026 nicht installieren. Wenn dieses Problem auftritt, zeigen betroffene Geräte möglicherweise eine der folgenden Fehlermeldungen an: "Installationsfehler: 0x800F0983" oder "Einige Updatedateien fehlen oder haben Probleme. Wir werden versuchen, das Update später erneut herunterzuladen. Fehlercode: 0x80073712."
Wenn Sie frühere Updates installiert haben, lädt Ihr Gerät nur die neuen Updates herunter und installiert sie, die in diesem Paket enthalten sind.
Windows Server 2025 Servicing Stack Update (KB5082062) -26100.32692
Dieses Update enthält qualitative Verbesserungen am Wartungsstapel, bei dem es sich um die Komponente handelt, die Windows-Updates installiert. SSU (Servicing Stack Updates) stellen sicher, dass Sie über einen robusten und zuverlässigen Wartungsstapel verfügen, damit Ihre Geräte Microsoft-Updates erhalten und installieren können. Weitere Informationen zu SSUs finden Sie unter Vereinfachen der lokalen Bereitstellung von Wartungsstapelupdates.
Bekannte Probleme bei diesem Update
Symptom
Einige Geräte mit einer nicht empfohlenen BitLocker-Gruppenrichtlinienkonfiguration sind möglicherweise erforderlich, um ihren BitLocker-Wiederherstellungsschlüssel beim ersten Neustart nach der Installation dieses Updates einzugeben.
Dieses Problem betrifft nur eine begrenzte Anzahl von Systemen, bei denen ALLE der folgenden Bedingungen zutreffen. Diese Bedingungen werden wahrscheinlich nicht auf persönlichen Geräten gefunden, die nicht von IT-Abteilungen verwaltet werden.
-
BitLocker ist auf dem Betriebssystemlaufwerk aktiviert.
-
Die Gruppenrichtlinie „TPM-Plattformüberprüfungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren“ ist konfiguriert, und PCR7 ist im Validierungsprofil enthalten (oder der entsprechende Registrierungsschlüssel wurde manuell festgelegt).
-
Systeminformationen (msinfo32.exe) melden für die Bindung des sicheren PCR7-Startzustands „Nicht möglich“.
-
Das Windows UEFI CA 2023-Zertifikat ist in der Datenbank (DB) für die sichere Startsignatur des Geräts vorhanden, sodass das Gerät als Standard für den 2023 signierten Windows-Start-Manager berechtigt ist.
-
Auf dem Gerät wird noch nicht der 2023 signierte Windows-Start-Manager ausgeführt.
In diesem Szenario muss der BitLocker-Wiederherstellungsschlüssel nur einmal eingegeben werden. Nachfolgende Neustarts lösen keinen BitLocker-Wiederherstellungsbildschirm aus, solange die Gruppenrichtlinienkonfiguration unverändert bleibt. Hilfe bei der Suche nach Ihrem BitLocker-Wiederherstellungsschlüssel finden Sie im Artikel Suchen Ihres BitLocker-Wiederherstellungsschlüssels.
Unternehmen wird empfohlen, ihre BitLocker-Gruppenrichtlinien auf explizite PCR7-Einbindung zu überprüfen und msinfo32.exe auf ihre PCR7-Bindungsstatus zu überprüfen, bevor Sie dieses Update installieren. (Siehe Option 1 unten.)
Problemumgehung
Dieses Problem wird in KB5094125 behoben. Nach der Installation von KB5094125 werden Geräte mit dieser inkompatiblen Gruppenrichtlinienkonfiguration daran gehindert, den mit 2023 signierten Windows-Start-Manager zu installieren. Wenn Ihr Gerät betroffen war, wird die Ereignis-ID 1032 bei der Installation von Windows-Updates im Systemereignisprotokoll angezeigt: "Der Start-Manager für sicheres Startupdate (2023) wurde aufgrund einer bekannten Inkompatibilität mit der aktuellen BitLocker-Konfiguration nicht angewendet."
Wenn Sie die Ereignis-ID 1032 erhalten, empfiehlt Microsoft dringend, die Gruppenrichtlinie Konfiguration vor der Installation von Updates zu entfernen, damit Sie den 2023-signierten Windows-Start-Manager installieren und weiterhin die neuesten Schutzmechanismen für den sicheren Start erhalten können.
Entfernen der Gruppenrichtlinie-Konfiguration vor der Installation des Updates (empfohlen)
-
Öffnen Sie den Gruppenrichtlinieneditor (gpedit.msc) oder Ihre Gruppenrichtlinien-Verwaltungskonsole.
-
Navigieren Sie zu: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke.
-
Legen Sie „TPM-Plattformvalidierungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren“ auf „Nicht konfiguriert“ fest.
-
Führen Sie den folgenden Befehl auf betroffenen Geräten aus, um die Richtlinienänderung zu verteilen: gpupdate /force
-
Führen Sie den folgenden Befehl aus, um BitLocker anzusetzen (wenn BitLocker auf Laufwerk C: aktiviert ist): manage-bde -protectors -disable C:
-
Führen Sie den folgenden Befehl aus, um BitLocker fortzusetzen (wenn BitLocker auf Laufwerk C: aktiviert ist): manage-bde -protectors -enable C:
-
Dadurch werden die BitLocker-Bindungen aktualisiert, um das von Windows ausgewählte PCR-Standardprofil zu verwenden.
Wenn Sie diese Gruppenrichtlinie Konfiguration nicht entfernen möchten, können Sie den neuen Windows-Start-Manager installieren, indem Sie BitLocker vorübergehend anhalten und das Update für den sicheren Start installieren. Gehen Sie wie folgt vor:
-
Führen Sie den folgenden Befehl aus, um BitLocker anzusetzen (wenn BitLocker auf Laufwerk C: aktiviert ist): manage-bde -protectors -disable C:
-
Führen Sie den folgenden Befehl aus: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
-
Starten Sie das Gerät neu.
-
Nachdem der neue Windows-Start-Manager erfolgreich installiert wurde, aktivieren Sie BitLocker, indem Sie den Befehl manage-bde -protectors -enable C ausführen:
Nach der Installation von KB5070881 oder späterer Updates zeigt Windows Server Update Services (WSUS) keine Details zu Synchronisierungsfehlern in der Fehlerberichterstattung an. Diese Funktion wurde vorübergehend entfernt, um die Sicherheitslücke für Remote-Code-Ausführung zu beheben, CVE-2025-59287.
Symptome
Nach der Installation dieses Updates wird die Sicherheitswarnung, die beim Öffnen von Remotedesktopdateien (RDP) angezeigt wird, in einigen Fällen möglicherweise nicht ordnungsgemäß angezeigt.
Dieses Problem kann auftreten, wenn Sie mehr als einen Monitor mit unterschiedlichen Anzeigeskalierungseinstellungen verwenden (z. B. eine Anzeige, die auf 100 % und eine andere auf 125 % festgelegt ist). In diesem Fall zeigt das Warnfenster möglicherweise überlappenden Text oder teilweise ausgeblendete Schaltflächen an, was das Lesen oder Interagieren der Nachricht erschweren kann.
Problemumgehung
Dieses Problem wird inKB5087539 behoben.
So erhalten Sie dieses Update
Vor der Installation dieses Updates
Microsoft kombiniert jetzt das neueste Servicing Stack Update (SSU) für Ihr Betriebssystem mit dem neuesten kumulativen Update (LCU). Allgemeine Informationen zu SSUs finden Sie unter Wartungsstapelupdates.
Installieren dieses Updates
Verwenden Sie zum Installieren dieses Updates einen der folgenden Windows- und Microsoft-Releasekanäle.
|
Verfügbar |
Nächster Schritt |
|
|
Siehe die sonstigen Optionen. |
|
Verfügbar |
Nächster Schritt |
|
|
Siehe die sonstigen Optionen. |
|
Verfügbar |
Nächster Schritt |
|||||
|
|
Führen Sie die folgenden Anweisungen aus, um dieses Release aus dem Microsoft Update-Katalog zu installieren: Bevor Sie dieses Update installieren, wechseln Sie die eigenständigen Pakete für dieses Update zur Microsoft Update-Katalog-Website. Diese KB enthält eine oder mehrere MSU-Dateien, die in einer bestimmten Reihenfolge installiert werden müssen. Sie können dieses Update mithilfe von Methode 1 (alle MSU-Dateien zusammen installieren) oder Methode 2 (installieren Sie jede MSU-Datei einzeln in der reihenfolge) installieren. Methode 1: Alle MSU-Dateien zusammen installieren Laden Sie alle MSU-Dateien für KB5091157 aus dem Microsoft Update-Katalog herunter, und speichern Sie sie im gleichen Ordner (z. B. C:/Packages). Verwenden Sie deployment image servicing and management (DISM.exe), um das Zielupdate zu installieren. DISM verwendet den in PackagePath angegebenen Ordner, um eine oder mehrere erforderliche MSU-Dateien nach Bedarf zu ermitteln und zu installieren. Aktualisieren des Windows-PCs Um dieses Update auf einen ausgeführten Windows-PC anzuwenden, führen Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten aus:
Oder führen Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Windows PowerShell aus:
Oder verwenden Sie Windows Update eigenständigen Installer, um das Zielupdate zu installieren. Aktualisieren der Windows-Installationsmedien Informationen zum Anwenden dieses Updates auf Windows-Installationsmedien finden Sie unter Aktualisieren von Windows-Installationsmedien mit dynamischem Update. Hinweis: Stellen Sie beim Herunterladen anderer dynamischer Updatepakete sicher, dass sie demselben Monat entsprechen wie dieser KB. Wenn das dynamische SafeOS-Update oder das dynamische Setupupdate für denselben Monat wie diese KB nicht verfügbar ist, verwenden Sie jeweils die zuletzt veröffentlichte Version. Um dieses Update einem eingebundenen Image hinzuzufügen, führen Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten aus:
Oder führen Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Windows PowerShell aus:
Methode 2: Installieren Sie jede MSU-Datei einzeln in der richtigen Reihenfolge. Laden Sie jede MSU-Datei einzeln herunter, und installieren Sie sie entweder mithilfe von DISM oder Windows Update eigenständigen Installer in der folgenden Reihenfolge:
|
|
Verfügbar |
Nächster Schritt |
|
|
Siehe die sonstigen Optionen. |
Wenn Sie dieses Update entfernen möchten
Achtung: Bevor Sie sich entscheiden, dieses Update zu entfernen, lesen Sie Grundlegendes zu den Risiken: Warum Sie Sicherheitsupdates nicht deinstallieren sollten.
Um dieses Update nach der Installation des kombinierten SSU- und LCU-Pakets zu entfernen, verwenden Sie die Befehlszeilenoption DISM/Remove-Package mit dem LCU-Paketnamen als Argument. Sie können den Paketnamen mithilfe des folgenden Befehls ermitteln: DISM /online /get-packages.
Das Ausführen Windows Update eigenständigen Installers (wusa.exe) mit dem Schalter /uninstall im kombinierten Paket funktioniert nicht, da das kombinierte Paket das SSU enthält. Sie können die SSU nach der Installation nicht aus dem System entfernen.
Dateiinformationen
Um eine Liste der in diesem Update bereitgestellten Dateien zu erhalten, laden Sie die Dateiinformationen für kumulative Update-5091157 herunter.
Um eine Liste der Dateien zu erhalten, die im Wartungsstapelupdate bereitgestellt werden, laden Sie die Dateiinformationen für die SSU (KB5082062) herunter– Version 26100.32692.
Änderungsprotokoll
|
Datum ändern |
Beschreibung ändern |
|
4. Juni 2026 |
Die x64-MSU-Updatezeichenfolge auf der Registerkarte Katalog für KB5091157 (dieses Update) wurde korrigiert. |
|
27. April 2026 |
Das bekannte Problem "Warnungen im Zusammenhang mit Remotedesktop werden möglicherweise nicht ordnungsgemäß angezeigt" korrigiert. |
Benötigen Sie weitere Hilfe?
Möchten Sie weitere Optionen?
Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.
In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.
