Windows Server 2025(KB5091157)에 대한 이 OOB(대역 외) 업데이트는 비보안 누적 업데이트입니다.
개선 사항
이 대역 외 업데이트에는 KB5082063 (2026년 4월 14일 출시)의 품질 개선 사항이 포함되어 있습니다. 다음 요약에서는 이 대역 외 업데이트로 해결된 주요 문제를 간략하게 설명합니다. 대괄호 내의 굵은 텍스트는 변경 내용의 항목 또는 영역을 나타냅니다.
-
[도메인 컨트롤러(알려진 문제)] 수정됨: 2026년 4월 14일을 설치하고 windows 보안 업데이트(KB5082063)를 다시 시작한 후 PAM(Privileged Access Management)을 사용하는 다중 도메인 포리스트가 있는 도메인 컨트롤러에서 시작 문제가 발생할 수 있습니다. 경우에 따라 LSASS(로컬 보안 기관 하위 시스템 서비스)가 응답을 중지하여 반복적으로 다시 시작되고 인증 및 디렉터리 서비스를 방지하여 도메인을 사용할 수 없게 할 수 있습니다.
-
[Windows 업데이트 설치] 수정됨: 소수의 Windows Server 2025 디바이스가 2026년 4월 14일 Windows 보안 업데이트(KB5082063)를 설치하지 못할 수 있습니다. 이 문제가 발생하면 영향을 받는 디바이스에 "설치 오류: 0x800F0983" 또는 "일부 업데이트 파일이 없거나 문제가 있는 오류 메시지 중 하나가 표시될 수 있습니다. 나중에 업데이트를 다시 다운로드해 보겠습니다. 오류 코드: 0x80073712."
이전 업데이트를 설치한 경우 디바이스는 이 패키지에 포함된 새 업데이트만 다운로드하고 설치합니다.
참고 핫패치 업데이트 등록 Windows Server KB5082063 설치 문제의 영향을 받는 2025 디바이스는 동일한 보호를 위해 이 OOB 업데이트를 설치할 수 있습니다. 그러나 이렇게 하려면 다시 시작해야 하며 핫패치 업데이트는 2026년 7월 기준 업데이트까지 다시 시작되지 않습니다.
Windows Sever 2025 서비스 스택 업데이트(KB5082062) -26100.32692
이 업데이트는 Windows 업데이트를 설치하는 구성 요소인 서비스 스택의 품질을 개선합니다. SSU(서비스 스택 업데이트)는 장치가 Microsoft 업데이트를 받고 설치할 수 있도록 강력하고 안정적인 서비스 스택을 갖도록 보장합니다. SSU에 대한 자세한 내용은 서비스 스택 업데이트의 온-프레미스 배포 간소화를 참조하세요.
이 업데이트의 알려진 문제
증상
이 업데이트를 설치한 후 첫 번째 다시 시작에서 BitLocker 복구 키를 입력하려면 커밋되지 않은 BitLocker 그룹 정책 구성이 있는 일부 디바이스가 필요할 수 있습니다.
이 문제는 다음 조건 모두에 해당하는 제한된 수의 시스템에만 영향을 줍니다. 이러한 조건은 IT 부서에서 관리하지 않는 개인 디바이스에서 찾을 수 없습니다.
-
BitLocker는 OS 드라이브에서 사용하도록 설정됩니다.
-
"네이티브 UEFI 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성"그룹 정책 구성되고 PCR7이 유효성 검사 프로필에 포함됩니다(또는 해당하는 레지스트리 키가 수동으로 설정됨).
-
시스템 정보(msinfo32.exe)는 보안 부팅 상태 PCR7 바인딩을 "불가능"으로 보고합니다.
-
Windows UEFI CA 2023 인증서는 디바이스의 DB(보안 부팅 서명 데이터베이스)에 있으므로 디바이스가 2023 서명된 Windows 부팅 관리자를 기본값으로 사용할 수 있습니다.
-
디바이스가 2023 서명된 Windows 부팅 관리자를 아직 실행하고 있지 않습니다.
이 시나리오에서는 BitLocker 복구 키를 한 번만 입력하면 됩니다. 그룹 정책 구성이 변경되지 않는 한 후속 다시 시작은 BitLocker 복구 화면을 트리거하지 않습니다. BitLocker 복구 키를 찾는 데 도움이 되는 내용은 BitLocker 복구 키 찾기 문서를 참조하세요.
엔터프라이즈는 이 업데이트를 설치하기 전에 명시적 PCR7 포함 및 PCR7 바인딩 상태 대한 검사 msinfo32.exe BitLocker 그룹 정책을 감사하는 것이 좋습니다. (아래 옵션 1을 참조하세요.)
해결 방법
옵션 1: 업데이트를 설치하기 전에 그룹 정책 구성 제거(권장)
-
그룹 정책 편집기(gpedit.msc) 또는 그룹 정책 관리 콘솔을 엽니다.
-
탐색: 컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브.
-
"네이티브 UEFI 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성"을 "구성되지 않음"으로 설정합니다.
-
영향을 받는 디바이스에서 다음 명령을 실행하여 정책 변경을 전파합니다. gpupdate /force
-
다음 명령을 실행하여 BitLocker를 일시 중단합니다(여기서 BitLocker는 C: 드라이브에서 사용하도록 설정됨): manage-bde -protectors -disable C:
-
다음 명령을 실행하여 BitLocker를 다시 시작합니다(여기서 BitLocker는 C: 드라이브에서 사용하도록 설정됨): manage-bde -protectors -enable C:
-
이렇게 하면 Windows에서 선택한 기본 PCR 프로필을 사용하도록 BitLocker 바인딩이 업데이트됩니다.
옵션 2: 업데이트를 설치하기 전에 KIR(알려진 문제 롤백)을 적용합니다.
이 업데이트를 배포하기 전에 PCR7 그룹 정책을 제거할 수 없는 고객은 KIR(알려진 문제 롤백) 을 사용할 수 있습니다. KIR은 2023 부팅 관리자로 자동 전환을 방지하여 BitLocker 복구 트리거를 방지합니다. 영향을 받는 디바이스에 업데이트를 설치하기 전에 KIR을 배포해야 합니다. 이 KIR을 얻으려면 Microsoft의 비즈니스 지원에 문의하세요.
이 문제에 대한 영구적인 해결 방법은 향후 Windows 업데이트에서 계획됩니다. 추가 정보는 사용 가능한 경우 제공됩니다.
KB5070881 이상 업데이트를 설치한 후 WSUS(Windows Server Update Services)는 오류 보고 내에 동기화 오류 세부 정보를 표시하지 않습니다. 이 기능은 원격 코드 실행 취약성 CVE-2025-59287을 해결하기 위해 일시적으로 제거됩니다.
이 업데이트를 받는 방법
이 업데이트를 설치하기 전에
이제 Microsoft는 운영 체제에 대한 최신 SSU(서비스 스택 업데이트)를 최신 LCU(누적 업데이트)와 결합합니다. SSU에 대한 일반적인 정보는 서비스 스택 업데이트를 참조하세요.
이 업데이트 설치
이 업데이트를 설치하려면 다음 Windows 및 Microsoft 릴리스 채널 중 하나를 사용합니다.
|
사용 가능 |
이후 수행할 단계 |
|
|
기타 옵션을 참조하세요. |
|
온라인 |
이후 수행할 단계 |
|
|
기타 옵션을 참조하세요. |
|
온라인 |
이후 수행할 단계 |
|||||
|
|
Microsoft 업데이트 카탈로그에서 이 릴리스를 설치하려면 다음 지침을 따릅니다. 이 업데이트를 설치하기 전에 이 업데이트에 대한 독립 실행형 패키지는 Microsoft 업데이트 카탈로그 웹 사이트로 이동합니다. 이 KB에는 특정 순서로 설치해야 하는 하나 이상의 MSU 파일이 포함되어 있습니다. 메서드 1(모든 MSU 파일을 함께 설치) 또는 메서드 2(각 MSU 파일을 순서대로 개별적으로 설치)를 사용하여 이 업데이트를 설치할 수 있습니다. 방법 1: 모든 MSU 파일을 함께 설치 Microsoft 업데이트 카탈로그에서 KB5091157 대한 모든 MSU 파일을 다운로드하여 동일한 폴더(예: C:/Packages)에 배치합니다. 배포 이미지 서비스 및 관리(DISM.exe)를 사용하여 대상 업데이트를 설치합니다. DISM은 PackagePath 에 지정된 폴더를 사용하여 필요에 따라 하나 이상의 필수 구성 요소 MSU 파일을 검색하고 설치합니다. Windows PC 업데이트 실행 중인 Windows PC에 이 업데이트를 적용하려면 관리자 권한 명령 프롬프트에서 다음 명령을 실행합니다.
또는 관리자 권한 Windows PowerShell 프롬프트에서 다음 명령을 실행합니다.
또는 Windows 업데이트 독립 실행형 설치 관리자를 사용하여 대상 업데이트를 설치합니다. Windows 설치 미디어 업데이트 이 업데이트를 Windows 설치 미디어에 적용하려면 동적 업데이트를 사용하여 Windows 설치 미디어 업데이트를 참조하세요. 참고: 다른 동적 업데이트 패키지를 다운로드할 때 해당 패키지가 이 KB와 같은 달에 일치하는지 확인합니다. SafeOS 동적 업데이트 또는 설치 동적 업데이트를 이 KB와 같은 달에 사용할 수 없는 경우 가장 최근에 게시된 각 버전을 사용합니다. 탑재된 이미지에 이 업데이트를 추가하려면 관리자 권한 명령 프롬프트에서 다음 명령을 실행합니다.
또는 관리자 권한 Windows PowerShell 프롬프트에서 다음 명령을 실행합니다.
방법 2: 각 MSU 파일을 순서대로 개별적으로 설치 DISM 또는 Windows 업데이트 독립 실행형 설치 관리자를 사용하여 각 MSU 파일을 개별적으로 다운로드하여 설치합니다.
|
|
사용 가능 |
이후 수행할 단계 |
|
|
기타 옵션을 참조하세요. |
이 업데이트를 제거하려는 경우
주의: 이 업데이트를 제거하기 전에 위험 이해: 보안 업데이트를 제거하지 않아야 하는 이유를 참조하세요.
결합된 SSU 및 LCU 패키지를 설치한 후 이 업데이트를 제거하려면 DISM/Remove-Package 명령줄 옵션과 LCU 패키지 이름을 인수로 사용합니다. 다음 명령을 사용하여 패키지 이름을 찾을 수 있습니다. DISM /online /get-packages.
결합된 패키지에 SSU가 포함되어 있으므로 결합된 패키지에서 /uninstall 스위치를 사용하여 독립 실행형 설치 관리자(wusa.exe)를 Windows 업데이트 실행해도 작동하지 않습니다. 설치 후에는 시스템에서 SSU를 제거할 수 없습니다.
파일 정보
이 업데이트에 제공된 파일 목록은 대역 외 업데이트 5091157 대한 파일 정보를 다운로드합니다.
서비스 스택 업데이트에 제공된 파일 목록은 SSU(KB5082062) - 버전 26100.32692에 대한 파일 정보를 다운로드합니다.
