Deze out-of-band-update (OOB) voor Windows Server 2025 (KB5091157) is een niet-beveiligingsupdate.
Verbeteringen
Deze out-of-band-update bevat kwaliteitsverbeteringen van KB5082063 (uitgebracht op 14 april 2026). In de volgende samenvatting worden de belangrijkste problemen beschreven die door deze out-of-band-update zijn opgelost. De vetgedrukte tekst tussen de haken geeft het item of gebied van de wijziging aan.
-
[Domeincontrollers (bekend probleem)] Opgelost: Na de installatie van de Windows-beveiligingsupdate (KB5082063) van 14 april 2026 en het opnieuw opstarten, kunnen domeincontrollers met forests met meerdere domeinen die gebruikmaken van Privileged Access Management (PAM) opstartproblemen ondervinden. In sommige gevallen reageert LSASS (Local Security Authority Subsystem Service) mogelijk niet meer, wat leidt tot herhaaldelijk opnieuw opstarten en verificatie en adreslijstservices verhinderen, waardoor het domein mogelijk niet beschikbaar is.
-
[Windows Update-installatie] Opgelost: een klein aantal Windows Server 2025-apparaten kan de Windows-beveiligingsupdate (KB5082063) van 14 april 2026 niet installeren. Wanneer dit probleem zich voordoet, kunnen betrokken apparaten een van de volgende foutberichten weergeven: 'Installatiefout: 0x800F0983' of 'Sommige updatebestanden ontbreken of hebben problemen. We proberen de update later opnieuw te downloaden. Foutcode: 0x80073712.
Als u eerdere updates hebt geïnstalleerd, downloadt en installeert uw apparaat alleen de nieuwe updates in dit pakket.
Opmerking Hotpatch-update-ingeschreven Windows Server 2025-apparaten die worden beïnvloed door het KB5082063 installatieprobleem, kunnen deze OOB-update voor dezelfde beveiliging installeren. Als u dit doet, moet u echter opnieuw worden opgestart en worden hotpatch-updates pas hervat als de basislijnupdate van juli 2026 wordt uitgevoerd.
Windows Sever 2025 onderhoudsstackupdate (KB5082062) -26100.32692
Met deze update worden kwaliteitsverbeteringen aangebracht in de onderhoudsstack. Dit is het onderdeel dat Windows-updates installeert. Onderhoudsstackupdates (SSU) zorgen ervoor dat u een robuuste en betrouwbare onderhoudsstack hebt, zodat uw apparaten Microsoft-updates kunnen ontvangen en installeren. Zie De on-premises implementatie van onderhoudsstackupdates vereenvoudigen voor meer informatie over SSU's.
Bekende problemen in deze update
Symptoom
Sommige apparaten met een niet-aanbevolen BitLocker-groepsbeleid-configuratie moeten mogelijk hun BitLocker-herstelsleutel invoeren bij de eerste herstart na de installatie van deze update.
Dit probleem is alleen van invloed op een beperkt aantal systemen waarin aan ALLE van de volgende voorwaarden wordt voldaan. Deze voorwaarden zijn waarschijnlijk niet te vinden op persoonlijke apparaten die niet worden beheerd door IT-afdelingen.
-
BitLocker is ingeschakeld op het besturingssysteemstation.
-
De groepsbeleid 'TPM-platformvalidatieprofiel configureren voor systeemeigen UEFI-firmwareconfiguraties' is geconfigureerd en PCR7 wordt opgenomen in het validatieprofiel (of de equivalente registersleutel wordt handmatig ingesteld).
-
Systeeminformatie (msinfo32.exe) rapporteert PcR7-binding met status beveiligd opstarten als 'Niet mogelijk'.
-
Het Windows UEFI CA 2023-certificaat is aanwezig in de Secure Boot Signature Database (DB) van het apparaat, waardoor het apparaat in aanmerking komt voor het met 2023 ondertekende Windows Boot Manager als standaardinstelling.
-
Op het apparaat wordt windows opstartbeheer met 2023 nog niet uitgevoerd.
In dit scenario hoeft de BitLocker-herstelsleutel slechts eenmaal te worden ingevoerd. Bij volgende herstarts wordt geen BitLocker-herstelscherm geactiveerd, zolang de configuratie van het groepsbeleid ongewijzigd blijft. Zie het artikel Uw BitLocker-herstelsleutel zoeken voor hulp bij het vinden van uw BitLocker-herstelsleutel.
Ondernemingen wordt aangeraden hun BitLocker-groepsbeleid te controleren op expliciete PCR7-opname en msinfo32.exe te controleren op hun PCR7-bindingsstatus voordat ze deze update installeren. (Zie optie 1 hieronder.)
Tijdelijke oplossing
Optie 1: verwijder de groepsbeleid configuratie voordat u de update installeert (aanbevolen)
-
Open groepsbeleid Editor (gpedit.msc) of uw groepsbeleid-beheerconsole.
-
Navigeer naar: Computerconfiguratie > Beheersjablonen > Windows-onderdelen > BitLocker-stationsversleuteling > besturingssysteemstations.
-
Stel 'Tpm-platformvalidatieprofiel configureren voor systeemeigen UEFI-firmwareconfiguraties' in op 'Niet geconfigureerd'.
-
Voer de volgende opdracht uit op betrokken apparaten om de beleidswijziging door te geven: gpupdate /force
-
Voer de volgende opdracht uit om BitLocker te onderbreken (waarbij BitLocker is ingeschakeld op station C:): manage-bde -protectors -disable C:
-
Voer de volgende opdracht uit om BitLocker te hervatten (waarbij BitLocker is ingeschakeld op station C:): manage-bde -protectors -enable C:
-
Hiermee worden de BitLocker-bindingen bijgewerkt om het door Windows geselecteerde standaard-PCR-profiel te gebruiken.
Optie 2: Pas de KIR (Known Issue Rollback) toe voordat u de update installeert
Er is een KIR (Bekend probleem terugdraaien) beschikbaar voor klanten die het pcR7-groepsbeleid niet kunnen verwijderen voordat ze deze update implementeren. De KIR voorkomt de automatische overschakeling naar 2023 Boot Manager, waardoor de BitLocker-hersteltrigger wordt vermeden. De KIR moet worden geïmplementeerd voordat u de update installeert op betrokken apparaten. Neem contact op met microsoft-ondersteuning voor bedrijven om deze KIR te verkrijgen.
Een permanente oplossing voor dit probleem is gepland in een toekomstige Windows-update. Meer informatie wordt gegeven wanneer deze beschikbaar is.
Na de installatie van KB5070881 of latere updates worden in Windows Server Update Services (WSUS) geen synchronisatiefoutdetails weergegeven in de foutenrapportage. Deze functionaliteit wordt tijdelijk verwijderd om het beveiligingslek met betrekking tot het uitvoeren van externe code op te lossen, CVE-2025-59287.
Hoe u deze update kunt downloaden
Voordat u deze update installeert
Microsoft combineert nu de meest recente onderhoudsstackupdate (SSU) voor uw besturingssysteem met de meest recente cumulatieve update (LCU). Zie Onderhoudsstackupdates voor algemene informatie over SSU's.
Deze update installeren
Als u deze update wilt installeren, gebruikt u een van de volgende Windows- en Microsoft-releasekanalen.
|
Beschikbaar |
Volgende stap |
|
|
Zie de overige opties. |
|
Beschikbaar |
Volgende stap |
|
|
Zie de overige opties. |
|
Beschikbaar |
Volgende stap |
|||||
|
|
Volg deze instructies om deze release te installeren vanuit de Microsoft Update-catalogus: Voordat u deze update installeert, gaan de zelfstandige pakketten voor deze update naar de website van Microsoft Update-catalogus. Deze KB bevat een of meer MSU-bestanden waarvoor installatie in een specifieke volgorde is vereist. U kunt deze update installeren met behulp van methode 1 (installeer alle MSU-bestanden samen) of methode 2 (installeer elk MSU-bestand afzonderlijk, in volgorde). Methode 1: Alle MSU-bestanden samen installeren Download alle MSU-bestanden voor KB5091157 uit de Microsoft Update-catalogus en plaats ze in dezelfde map (bijvoorbeeld C:/Packages). Gebruik Deployment Image Servicing and Management (DISM.exe) om de doelupdate te installeren. DISM gebruikt de map die is opgegeven in PackagePath om zo nodig een of meer vereiste MSU-bestanden te detecteren en te installeren. Windows-pc bijwerken Als u deze update wilt toepassen op een actieve Windows-pc, voert u de volgende opdracht uit vanaf een opdrachtprompt met verhoogde bevoegdheid:
Of voer de volgende opdracht uit vanaf een Windows PowerShell prompt met verhoogde bevoegdheid:
Of gebruik Windows Update zelfstandige installatieprogramma om de doelupdate te installeren. Windows-installatiemedia bijwerken Zie Windows-installatiemedia bijwerken met Dynamische update als u deze update wilt toepassen op Windows-installatiemedia. Opmerking: Wanneer u andere dynamische updatepakketten downloadt, moet u ervoor zorgen dat deze overeenkomen met dezelfde maand als deze KB. Als de dynamische safeOS-update of dynamische update voor instellen niet beschikbaar is voor dezelfde maand als deze KB, gebruikt u de meest recent gepubliceerde versie van elke update. Als u deze update wilt toevoegen aan een gekoppelde installatiekopieën, voert u de volgende opdracht uit vanaf een opdrachtprompt met verhoogde bevoegdheid:
Of voer de volgende opdracht uit vanaf een Windows PowerShell prompt met verhoogde bevoegdheid:
Methode 2: Elk MSU-bestand afzonderlijk installeren, in volgorde Download en installeer elk MSU-bestand afzonderlijk met behulp van DISM of Windows Update Standalone Installer in de volgende volgorde:
|
|
Beschikbaar |
Volgende stap |
|
|
Zie de overige opties. |
Als u deze update wilt verwijderen
Let op: voordat u besluit deze update te verwijderen, raadpleegt u Inzicht in de risico's: waarom u beveiligingsupdates niet moet verwijderen.
Als u deze update wilt verwijderen nadat u het gecombineerde SSU- en LCU-pakket hebt geïnstalleerd, gebruikt u de opdrachtregeloptie DISM/Remove-Package met de naam van het LCU-pakket als argument. U kunt de pakketnaam vinden met behulp van deze opdracht: DISM /online /get-packages.
Het uitvoeren van Windows Update Standalone Installer (wusa.exe) met de schakeloptie /uninstall op het gecombineerde pakket werkt niet omdat het gecombineerde pakket de SSU bevat. U kunt de SSU niet verwijderen uit het systeem na de installatie.
Bestandsinformatie
Download de bestandsinformatie voor out-of-band update 5091157 voor een lijst van bestanden die deel uit maken van deze update.
Download de bestandsinformatie voor SSU (KB5082062) - versie 26100.32692 voor een lijst van bestanden in de onderhoudsstackupdate.
