Deze out-of-band (OOB)-update voor Windows Server 2025 (KB5091157) is een niet-beveiligingsupdate cumulatief.
Verbeteringen
Deze out-of-band-update bevat kwaliteitsverbeteringen van KB5082063 (van 14 april 2026). De volgende samenvatting geeft een overzicht van de belangrijkste problemen die door deze out-of-band-update zijn opgelost. De vetgedrukte tekst tussen vierkante haken geeft het item of gebied aan van de wijziging die wemelt.
- [Active Directory] Opgelost: na het installeren van de Windows-beveiligingsupdate van april 2026 en het opnieuw opstarten kunnen domeincontrollers (DC's) met meerdere domeinforests die gebruikmaken van Privileged Access Management (PAM), opstartproblemen ondervinden. In sommige gevallen reageert de Subsysteemservice voor lokale beveiligingsautoriteit (LSASS) mogelijk niet meer, waardoor meerdere malen opnieuw worden opgestart en verificatie- en adreslijstservices worden verhinderd, waardoor het domein mogelijk niet beschikbaar is.
- [Windows Update-installatie] Opgelost: een klein aantal apparaten met Windows Server 2025 kan de Windows-beveiligingsupdate (KB5082063) van 14 april 2026 mogelijk niet installeren. Wanneer dit probleem optreedt, kunnen de betrokken apparaten een van de volgende foutberichten weergeven: 'Installatiefout: 0x800F0983' of 'Sommige updatebestanden ontbreken of hebben problemen. We proberen de update later opnieuw te downloaden. Foutcode: 0x80073712'.
Als u eerdere updates hebt geïnstalleerd, downloadt en installeert uw apparaat alleen de nieuwe updates in dit pakket.
Windows Sever 2025 servicing stack update (KB5082062) -26100.32692
Met deze update worden kwaliteitsverbeteringen aangebracht in de onderhoudsstack. Dit is het onderdeel dat Windows-updates installeert. Updates voor de onderhoudsstack (SSU) zorgen ervoor dat u over een robuuste en betrouwbare onderhoudsstack beschikt, zodat uw apparaten Microsoft-updates kunnen ontvangen en installeren. Zie On-premises implementatie van onderhoudsstackupdates vereenvoudigen voor meer informatie over SSU's.
Bekende problemen in deze update
Apparaten met een niet-aanbevolen BitLocker-groepsbeleid-configuratie moeten mogelijk hun BitLocker-herstelsleutel invoeren
Symptoom
Sommige apparaten met een niet-aanbevolen BitLocker-groepsbeleidsconfiguratie moeten mogelijk hun BitLocker-herstelsleutel invoeren bij de eerste herstart na het installeren van deze update.
Dit probleem doet zich alleen voor bij een beperkt aantal systemen waarin ALLE onderstaande voorwaarden waar zijn. Deze voorwaarden zijn waarschijnlijk niet gevonden op persoonlijke apparaten die niet worden beheerd door IT-afdelingen.
- BitLocker is ingeschakeld op het besturingssysteemstation.
- Het groepsbeleidsinstelling 'Configureer TPM-platformvalidatieprofiel voor native UEFI-firmwareconfiguraties' is geconfigureerd en PCR7 is opgenomen in het validatieprofiel (of de equivalente registersleutel is handmatig ingesteld).
- Systeeminformatie (msinfo32.exe) rapporteert secure boot state PCR7 Binding als 'Niet mogelijk'.
- Het Windows UEFI CA 2023-certificaat is aanwezig in de Secure Boot Signature Database (DB) van het apparaat, waardoor het apparaat in aanmerking komt voor het met 2023 ondertekende Windows Opstartbeheer als standaardinstelling.
- Op het apparaat wordt het met 2023 ondertekende Windows Opstartbeheer nog niet uitgevoerd.
In dit scenario hoeft de BitLocker-herstelsleutel slechts eenmaal te worden ingevoerd. Als je opnieuw opstart, wordt er geen BitLocker-herstelscherm geactiveerd, zolang de configuratie van het groepsbeleid ongewijzigd blijft. Zie het artikel Uw BitLocker-herstelsleutel zoeken voor hulp bij het vinden van uw BitLocker-herstelsleutel.
Ondernemingen wordt aangeraden hun BitLocker-groepsbeleid te controleren op expliciete PCR7-opname en msinfo32.exe te controleren op PCR7-bindingsstatus voordat je deze update installeert. (Zie optie 1 hieronder.)
Tijdelijke oplossing
Dit probleem wordt opgelost in KB5094125. Na de installatie van KB5094125 kunnen apparaten met deze incompatibele configuratie van groepsbeleid de in 2023 ondertekende Windows Boot Manager niet installeren. Als uw apparaat is getroffen, wordt gebeurtenis-id 1032 weergegeven in het systeemgebeurtenislogboek bij het installeren van Windows-updates: 'De Secure Boot-update Boot Manager (2023) is niet toegepast vanwege een bekende incompatibiliteit met de huidige BitLocker-configuratie.'
Als gebeurtenis-id 1032 wordt weergegeven, raadt Microsoft ten zeerste aan de configuratie van het groepsbeleid te verwijderen voordat je updates installeert, zodat je de in 2023 ondertekende Windows Boot Manager kunt installeren en de nieuwste Secure Boot-beveiligingen kunt blijven ontvangen.
De configuratie van het groepsbeleid verwijderen voordat u de update installeert (aanbevolen)
- Open groepsbeleid-editor (gpedit.msc) of je console Groepsbeleidbeheer.
- Navigeer naar: Beheersjablonen > voor computerconfiguratie > Windows-onderdelen > BitLocker-stationsversleuteling Besturingssysteemstations>.
- Stel 'Configureer TPM-platformvalidatieprofiel voor native UEFI-firmwareconfiguraties' in op 'Niet geconfigureerd'.
- Voer de volgende opdracht uit op betrokken apparaten om de beleidswijziging door te geven: gpupdate /force
- Voer de volgende opdracht uit om BitLocker te onderbreken (als BitLocker is ingeschakeld op station C:): manage-bde -protectors -disable C:
- Voer de volgende opdracht uit om BitLocker te hervatten (als BitLocker is ingeschakeld op station C:): manage-bde -protectors -enable C:
- Hiermee worden de BitLocker-bindingen bijgewerkt om het door Windows geselecteerde standaard PCR-profiel te gebruiken.
Als je deze configuratie van het groepsbeleid niet wilt verwijderen, kun je de nieuwe Windows Boot Manager installeren door BitLocker tijdelijk te onderbreken en de update voor beveiligd opstarten te installeren. Dit doet u als volgt:
- Voer de volgende opdracht uit om BitLocker te onderbreken (als BitLocker is ingeschakeld op station C:): manage-bde -protectors -disable C:
- Voer de volgende opdracht uit: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- Start het apparaat opnieuw op.
- Zodra de nieuwe Windows Boot Manager is geïnstalleerd, schakel je BitLocker in door de opdracht uit te voeren: manage-bde -protectors -enable C:
In Windows Server Update Services (WSUS) worden geen foutdetails weergegeven
Na de installatie van KB5070881 of latere updates worden in Windows Server Update Services (WSUS) geen synchronisatiefoutdetails weergegeven in de foutenrapportage. Deze functionaliteit wordt tijdelijk verwijderd om het beveiligingslek met betrekking tot het uitvoeren van externe code, CVE-2025-59287, op te lossen.
Waarschuwingen met betrekking tot Extern bureaublad worden mogelijk niet correct weergegeven
Symptomen
Na installatie van deze update wordt de beveiligingswaarschuwing die wordt weergegeven bij het openen van RDP-bestanden (Extern bureaublad) in sommige gevallen mogelijk niet correct weergegeven.
Dit probleem kan optreden wanneer je meer dan één monitor gebruikt met verschillende instellingen voor de weergaveschaal (bijvoorbeeld een beeldscherm ingesteld op 100% en een ander ingesteld op 125%). Wanneer dit gebeurt, kan het waarschuwingsvenster overlappende tekst of gedeeltelijk verborgen knoppen tonen, waardoor het bericht moeilijk te lezen en te bewerken is.
Tijdelijke oplossing
Dit probleem wordt opgelost in KB5087539.
Hoe u deze update kunt downloaden
Voordat u deze update installeert
Microsoft combineert nu de meest recente onderhoudsstackupdate (SSU) voor je besturingssysteem met de meest recente cumulatieve update (LCU). Zie Onderhoudsstackupdates voor algemene informatie over SSU's.
Deze update installeren
Gebruik een van de volgende releasekanalen van Windows en Microsoft om deze update te installeren.
| Beschikbaar | Volgende stap |
|---|---|
|
Zie de overige opties. |
Opmerking
- Als u deze update wilt verwijderen
- Let op: lees de risico's van deze update: waarom u beveiligingsupdates beter niet moet verwijderen voordat u besluit deze update te verwijderen.
- Als u deze update wilt verwijderen na installatie van het gecombineerde SSU- en LCU-pakket, gebruikt u de opdrachtregeloptie DISM/Remove-Package met de naam van het LCU-pakket als argument. U kunt de naam van het pakket vinden met deze opdracht: DISM /online /get-packages.
- Het uitvoeren van Windows Update zelfstandig installatieprogramma (wusa.exe) met de schakeloptie /uninstall op het gecombineerde pakket werkt niet, omdat het gecombineerde pakket de SSU bevat. U kunt de SSU na de installatie niet meer uit het systeem verwijderen.
Bestandsinformatie
Download de bestandsinformatie voor de cumulatieve update 5091157 voor een lijst van bestanden die deel uitmaken van deze update.
Download de bestandsinformatie voor de SSU (KB5082062) versie 26100.32692 voor een lijst van bestanden die deel uitmaken van de onderhoudsstackupdate.
Wijzigingenlogboek
| Datum wijzigen | Beschrijving van wijziging |
|---|---|
| 4 juni 2026 | De x64 .msu-updatetekenreeks op het tabblad Catalogus gecorrigeerd voor KB5091157 (deze update) |
| dinsdag 27 april 2026 | Het bekende probleem 'Waarschuwingen met betrekking tot Extern bureaublad worden mogelijk niet correct weergegeven' is opgelost. |