Denne uavbrutt (OOB)-oppdateringen for Windows Server 2025 (KB5091157) er en kumulativ oppdatering som ikke er sikkerhetsrelatert.
Forbedringer
Denne utdaterte oppdateringen inneholder kvalitetsforbedringer fra KB5082063 (utgitt 14. april 2026). Følgende sammendrag beskriver viktige problemer som løses av denne ut-av-bånd-oppdateringen. Fet tekst i hakeparentesene angir elementet eller området i endringen.
-
[Domenekontrollere (kjent problem)] Løst: Når du har installert 14. april 2026, kan Windows-sikkerhetsoppdatering (KB5082063) og omstart, domenekontrollere med flerdomeneskoger som bruker Privileged Access Management (PAM), oppleve oppstartsproblemer. I noen tilfeller kan Det lokale sikkerhetstilsynets delsystemtjeneste (LSASS) slutte å svare, noe som fører til gjentatte omstarter og forhindrer godkjenning og katalogtjenester, noe som kan gjøre domenet utilgjengelig.
-
[Windows Update-installasjon] Løst: Et lite antall Windows Server 2025-enheter kan mislykkes i å installere windows-sikkerhetsoppdateringen (KB5082063) 14. april 2026. Når dette problemet oppstår, kan berørte enheter vise én av følgende feilmeldinger: «Installasjonsfeil: 0x800F0983» eller «Noen oppdateringsfiler mangler eller har problemer. Vi prøver å laste ned oppdateringen på nytt senere. Feilkode: 0x80073712.»
Hvis du installerte tidligere oppdateringer, laster enheten ned og installerer bare de nye oppdateringene i denne pakken.
Obs! Hotpatch update-enrolled Windows Server 2025 devices affected by the KB5082063 installation issue can install this OOB update for the same protections. Dette krever imidlertid en omstart, og oppdateringer av hurtigoppdateringer gjenopptas ikke før den opprinnelige oppdateringen for juli 2026.
Windows Sever 2025 service stack update (KB5082062) -26100.32692
Denne oppdateringen gjør kvalitetsforbedringer i servicestakken, som er komponenten som installerer Windows-oppdateringer. Servicestakkoppdateringer (SSU) sikrer at du har en robust og pålitelig servicestakk, slik at enhetene dine kan motta og installere Microsoft-oppdateringer. Hvis du vil lære mer om SSU-er, kan du se Forenkle lokal distribusjon av stakkoppdateringer for service.
Kjente problemer med denne oppdateringen
Symptom
Noen enheter med en ikke-bekreftet BitLocker-gruppepolicy konfigurasjon kan være nødvendig for å angi BitLocker-gjenopprettingsnøkkelen ved første omstart etter installasjon av denne oppdateringen.
Dette problemet påvirker bare et begrenset antall systemer der ALLE av følgende betingelser er oppfylt. Det er lite sannsynlig at disse betingelsene finnes på personlige enheter som ikke administreres av IT-avdelinger.
-
BitLocker er aktivert på OS-stasjonen.
-
Gruppepolicy «Konfigurer valideringsprofil for TPM-plattform for opprinnelige UEFI-fastvarekonfigurasjoner» er konfigurert, og PCR7 er inkludert i valideringsprofilen (eller den tilsvarende registernøkkelen angis manuelt).
-
Systeminformasjon (msinfo32.exe) rapporterer PCR7-binding for sikker oppstartstilstand som «Ikke mulig».
-
Windows UEFI CA 2023-sertifikatet finnes i enhetens database for sikker oppstartssignatur (DB), noe som gjør enheten kvalifisert for at den 2023-signerte Oppstartsbehandling for Windows skal gjøres til standard.
-
Enheten kjører ikke allerede den 2023-signerte Windows Boot Manager.
I dette scenarioet trenger bitLocker-gjenopprettingsnøkkelen bare å angis én gang – etterfølgende omstarter utløser ikke en BitLocker-gjenopprettingsskjerm, så lenge konfigurasjonen av gruppepolicyen forblir uendret. Hvis du vil ha hjelp til å finne BitLocker-gjenopprettingsnøkkelen, kan du se artikkelen Finn BitLocker-gjenopprettingsnøkkelen.
Virksomheter anbefales å overvåke BitLocker-gruppepolicyene for eksplisitt PCR7-inkludering og kontrollere msinfo32.exe for DERES PCR7-bindingsstatus før du installerer denne oppdateringen. (Se alternativ 1 nedenfor.)
Midlertidig løsning
Alternativ 1: Fjern konfigurasjonen for gruppepolicy før du installerer oppdateringen (anbefales)
-
Åpne gruppepolicy Editor (gpedit.msc) eller gruppepolicy Management Console.
-
Gå til: Datamaskinkonfigurasjon > administrative maler > Windows-komponenter > BitLocker-stasjonskryptering > operativsystemstasjoner.
-
Angi «Konfigurer valideringsprofil for TPM-plattform for opprinnelige UEFI-fastvarekonfigurasjoner» til «Ikke konfigurert».
-
Kjør følgende kommando på berørte enheter for å overføre policyendringen: gpupdate /force
-
Kjør følgende kommando for å suspendere BitLocker (der BitLocker er aktivert på C:-stasjonen): manage-bde -protectors -disable C:
-
Kjør følgende kommando for å gjenoppta BitLocker (der BitLocker er aktivert på C:-stasjonen): manage-bde -protectors -enable C:
-
Dette oppdaterer BitLocker-bindingene for å bruke den Windows-valgte standard PCR-profilen.
Alternativ 2: Bruk tilbakerulling av kjente problemer (KIR) før du installerer oppdateringen
En kjent tilbakerulling av problemer (KIR) er tilgjengelig for kunder som ikke kan fjerne PCR7-gruppepolicyen før de distribuerer denne oppdateringen. KIR forhindrer automatisk bytting til 2023 Boot Manager, og unngår BitLocker-gjenopprettingsutløseren. KIR bør distribueres før du installerer oppdateringen på berørte enheter. Kontakt Microsofts kundestøtte for bedrifter for å få denne KIR-en.
En permanent løsning på dette problemet er planlagt i en fremtidig Windows-oppdatering. Mer informasjon gis når den er tilgjengelig.
Etter å ha installert KB5070881 eller senere oppdateringer, viser ikke Windows Server Update Services (WSUS) detaljer om synkroniseringsfeil i feilrapporteringen. Denne funksjonaliteten fjernes midlertidig for å løse sikkerhetsproblemet for ekstern kjøring av kode, CVE-2025-59287.
Slik får du denne oppdateringen
Før du installerer denne oppdateringen
Microsoft kombinerer nå den nyeste servicestakkoppdateringen (SSU) for operativsystemet ditt med den nyeste kumulative oppdateringen (LCU). Hvis du vil ha generell informasjon om SSU-er, kan du se Oppdateringer for servicestakk.
Installer denne oppdateringen
Hvis du vil installere denne oppdateringen, bruker du én av følgende utgivelseskanaler for Windows og Microsoft.
|
Tilgjengelig |
Neste trinn |
|
|
Se de andre alternativene. |
|
Tilgjengelig |
Neste trinn |
|
|
Se de andre alternativene. |
|
Tilgjengelig |
Neste trinn |
|||||
|
|
Følg disse instruksjonene for å installere denne versjonen fra Microsoft Update-katalogen: Før du installerer denne oppdateringen, går de frittstående pakkene for denne oppdateringen til nettstedet for Microsoft Update-katalogen. Denne KB-en inneholder én eller flere MSU-filer som krever installasjon i en bestemt rekkefølge. Du kan installere denne oppdateringen ved hjelp av Metode 1 (installer alle MSU-filer sammen) eller Metode 2 (installer hver MSU-fil individuelt, i rekkefølge). Metode 1: Installer alle MSU-filer sammen Last ned alle MSU-filer for KB5091157 fra Microsoft Update-katalogen, og plasser dem i samme mappe (for eksempel C:/Pakker). Bruk Distribusjonsbildeservice og -administrasjon (DISM.exe) til å installere måloppdateringen. DISM bruker mappen som er angitt i PackagePath , til å finne og installere én eller flere nødvendige MSU-filer etter behov. Oppdaterer Windows PC Hvis du vil bruke denne oppdateringen på en windows-PC som kjører, kjører du følgende kommando fra en hevet ledetekst:
Eller kjør følgende kommando fra en hevet Windows PowerShell ledetekst:
Du kan også bruke Windows Update frittstående installasjonsprogrammet til å installere måloppdateringen. Oppdaterer Windows-installasjonsmedier Hvis du vil bruke denne oppdateringen på Windows-installasjonsmedier, kan du se Oppdatere Windows-installasjonsmedier med dynamisk oppdatering. Obs! Når du laster ned andre dynamiske oppdateringspakker, må du sørge for at de samsvarer med samme måned som denne KB-en. Hvis dynamisk oppdatering for SafeOS eller dynamisk installasjon ikke er tilgjengelig for samme måned som denne KB-en, kan du bruke den nyeste publiserte versjonen av hver av dem. Hvis du vil legge til denne oppdateringen i et montert bilde, kjører du følgende kommando fra en hevet ledetekst:
Eller kjør følgende kommando fra en hevet Windows PowerShell ledetekst:
Metode 2: Installer hver MSU-fil enkeltvis, i rekkefølge Last ned og installer hver MSU-fil individuelt enten ved hjelp av DISM eller Windows Update frittstående installasjonsprogram i følgende rekkefølge:
|
|
Tilgjengelig |
Neste trinn |
|
|
Se de andre alternativene. |
Hvis du vil fjerne denne oppdateringen
Forsiktig! Før du bestemmer deg for å fjerne denne oppdateringen, kan du se Forstå risikoene: Hvorfor bør du ikke avinstallere sikkerhetsoppdateringer.
Hvis du vil fjerne denne oppdateringen etter å ha installert den kombinerte SSU- og LCU-pakken, bruker du kommandolinjealternativet DISM/Remove-Package med LCU-pakkenavnet som argument. Du finner pakkenavnet ved hjelp av denne kommandoen: DISM /online /get-packages.
Kjøring Windows Update frittstående installasjonsprogram (wusa.exe) med /uninstall-bryteren på den kombinerte pakken vil ikke fungere fordi den kombinerte pakken inneholder SSU. Du kan ikke fjerne SSU fra systemet etter installasjonen.
Filinformasjon
Hvis du vil ha en liste over filene i denne oppdateringen, laster du ned filinformasjonen for 5091157.
Last ned filinformasjonen for SSU (KB5082062) – versjon 26100.32692 for å få en liste over filene som er angitt i oppdatering av servicestakken.
