Táto mimopásmová aktualizácia OOB pre Windows Server 2025 (KB5091157) je kumulatívnou aktualizáciou, ktorá nie je zabezpečená.
Vylepšenia
Táto mimopásmová aktualizácia obsahuje vylepšenia kvality od KB5082063 (vydaná 14. apríla 2026). V nasledujúcom súhrne sú uvedené kľúčové problémy, ktoré rieši táto mimopásmová aktualizácia. Tučný text v zátvorkách označuje položku alebo oblasť zmeny.
-
[Radiče domény (známy problém)] Opravené: Po inštalácii aktualizácie zabezpečenia systému Windows (KB5082063) zo 14. apríla 2026 a reštartovaní sa môžu vyskytnúť problémy so spustením radičov domén s doménovými doménami s doménovými doménami, ktoré používajú privilegovanú správu prístupu (PAM). V niektorých prípadoch môže služba subsystému lokálneho zabezpečenia (LSASS) prestať reagovať, čo by viedlo k opakovanému reštartovaniu a zabránilo overeniu a adresárovej službe, čo môže doménu znemožneť.
-
[Inštalácia aktualizácie Windowsu] Opravené: Malému počtu zariadení s Windows Server 2025 sa môže nepodarí nainštalovať aktualizáciu zabezpečenia Windowsu (KB5082063) zo 14. apríla 2026. Keď sa vyskytne tento problém, ovplyvnené zariadenia môžu zobraziť niektoré z nasledujúcich chybových hlásení: Chyba inštalácie: 0x800F0983 alebo Niektoré súbory s aktualizáciami chýbajú alebo majú problémy. Aktualizáciu sa pokúsime stiahnuť neskôr. Kód chyby: 0x80073712."
Ak ste nainštalovali staršie aktualizácie, vaše zariadenie stiahne a nainštaluje iba nové aktualizácie obsiahnuté v tomto balíku.
Poznámka: Zariadenia zaregistrované v rámci aktualizácie hotpatch Windows Server 2025 ovplyvnené problémom s inštaláciou KB5082063 môžu nainštalovať túto aktualizáciu OOB pre rovnaké ochrany. Bude si to však vyžadovať reštart a aktualizácie rýchlej aktualizácie sa obnovia až po aktualizácii pôvodného plánu z júla 2026.
Aktualizácia zásobníka údržby systému Windows Sever 2025 (KB5082062) -26100.32692
Táto aktualizácia obsahuje vylepšenia kvality pre servisný zásobník čo je súčasť, ktorá inštaluje aktualizácie systému Windows. Aktualizácie zásobníka údržby (SSU) zabezpečujú, že máte robustný a spoľahlivý servisný zásobník, aby vaše zariadenia mohli prijímať a inštalovať aktualizácie spoločnosti Microsoft. Ďalšie informácie o SSU nájdete v téme Zjednodušenie lokálneho nasadenia aktualizácií zásobníka údržby.
Známe problémy v tejto aktualizácii
Príznak
Niektoré zariadenia s nekompatilizovanou konfiguráciou skupinová politika bitlocker môžu byť potrebné na zadanie kľúča na obnovenie šifrovania BitLocker pri prvom reštarte po inštalácii tejto aktualizácie.
Tento problém sa týka len obmedzeného počtu systémov, v ktorých sú splnené všetky nasledujúce podmienky. Je nepravdepodobné, že by sa tieto podmienky našli na osobných zariadeniach, ktoré nespravujú IT oddelenia.
-
Na jednotke operačného systému je povolené uzamknutie BitLocker.
-
Konfiguruje sa skupinová politika Konfigurácia overovacieho profilu platformy TPM pre natívne konfigurácie firmvéru UEFI a PCR7 je súčasťou overovacieho profilu (alebo je ekvivalentný kľúč databázy Registry nastavený manuálne).
-
Systémové informácie (msinfo32.exe) hlásia väzbu stavu zabezpečeného spustenia PCR7 ako väzbu "Nie je možné".
-
Certifikát Windows UEFI CA 2023 sa nachádza v databáze DB (Secure Boot Signature Database) zariadenia, vďaka čomu je zariadenie oprávnené na predvolené nastavenie Správcu spustenia systému Windows s podpisom 2023.
-
V zariadení ešte nie je spustený správca spustenia systému Windows s podpisom 2023.
V tomto scenári je kľúč na obnovenie šifrovania BitLocker potrebné zadať iba raz – následné reštartovanie nespustí obrazovku obnovenia bitového uzamknutia, pokiaľ konfigurácia skupinovej politiky zostane nezmenená. Pomoc pri hľadaní kľúča na obnovenie pre bitlocker nájdete v článku Vyhľadanie kľúča na obnovenie pre šifrovanie BitLocker.
Podnikom sa odporúča auditovať skupinové politiky pre šifrovanie BitLocker na explicitné zahrnutie PCR7 a pred inštaláciou tejto aktualizácie skontrolovať, msinfo32.exe ich stav väzby PCR7. (Pozri možnosť 1 nižšie.)
Alternatívne riešenie
1. možnosť: Pred inštaláciou aktualizácie odstráňte konfiguráciu skupinová politika (odporúča sa)
-
Otvorte skupinová politika Editor (gpedit.msc) alebo skupinová politika Management Console.
-
Prejdite na: Konfigurácia počítača > šablóny na správu > súčasti systému Windows > šifrovanie jednotiek BitLocker > jednotky operačného systému.
-
Nastavte "Configure TPM platform validation profile for native UEFI firmware configurations" (Konfigurácia overovacieho profilu platformy TPM pre natívne konfigurácie firmvéru UEFI) na možnosť Nenakonfigurované.
-
Spustením nasledujúceho príkazu v ovplyvnených zariadeniach rozšírite zmenu politiky: gpupdate /force
-
Spustením nasledujúceho príkazu odstavíte šifrovanie BitLocker (kde je na jednotke C: zapnutá funkcia BitLocker): manage-bde -protectors -disable C:
-
Spustite nasledujúci príkaz a pokračujte v šifrovaní BitLocker (kde je na jednotke C: zapnutá funkcia BitLocker): manage-bde -protectors -enable C:
-
Týmto sa aktualizujú väzby pre šifrovanie BitLocker tak, aby používali predvolený profil PCR vybratý Windowsom.
Možnosť 2: Použitie známeho problému vrátenie (KIR) pred inštaláciou aktualizácie
Známy problém vrátenie (KIR) je k dispozícii pre zákazníkov, ktorí nemôžu odstrániť PCR7 skupinovej politiky pred nasadením tejto aktualizácie. Kir zabraňuje automatickému prepnutiu do správcu spúšťania 2023, čím sa vyhne spúšťaču obnovenia bitlocker. Kir by mali byť nasadené pred inštaláciou aktualizácie na dotknutých zariadeniach. Obráťte sa na oddelenie podpory spoločnosti Microsoft pre podniky a získajte túto kir.
Trvalé riešenie tohto problému sa plánuje v budúcej aktualizácii Windowsu. Ďalšie informácie získate, keď budú k dispozícii.
Po inštalácii aktualizácie KB5070881 alebo novších aktualizácií služba Windows Server Update Services (WSUS) nezobrazuje podrobnosti o chybe synchronizácie v rámci hlásenia chýb. Táto funkcia je dočasne odstránená, aby sa vyriešila zraniteľnosť vzdialeného spustenia kódu CVE-2025-59287.
Ako získať túto aktualizáciu
Pred inštaláciou tejto aktualizácie
Spoločnosť Microsoft teraz kombinuje najnovšiu aktualizáciu zásobníka údržby (SSU) pre operačný systém s najnovšou kumulatívnou aktualizáciou (LCU). Všeobecné informácie o SSU nájdete v téme Aktualizácie zásobníka údržby.
Inštalovanie tejto aktualizácie
Ak chcete nainštalovať túto aktualizáciu, použite niektorý z nasledujúcich kanálov vydaní windowsu a spoločnosti Microsoft.
|
K dispozícii |
Ďalší krok |
|
|
Pozrite si ďalšie možnosti. |
|
K dispozícii |
Ďalší krok |
|
|
Pozrite si ďalšie možnosti. |
|
K dispozícii |
Ďalší krok |
|||||
|
|
Ak chcete nainštalovať toto vydanie z katalógu služby Microsoft Update, postupujte podľa týchto pokynov: Pred inštaláciou tejto aktualizácie samostatné balíky pre túto aktualizáciu prejdite na webovú lokalitu katalógu služby Microsoft Update. Táto databáza KB obsahuje súbory MSU, ktoré vyžadujú inštaláciu v špecifickom poradí. Túto aktualizáciu môžete nainštalovať pomocou metódy 1 (nainštalujte všetky súbory MSU dohromady) alebo metódu 2 (nainštalujte každý súbor MSU jednotlivo v poradí). Metóda 1: Inštalácia všetkých súborov MSU dohromady Stiahnite si všetky súbory MSU pre KB5091157 z katalógu služby Microsoft Update a umiestnite ich do rovnakého priečinka (napríklad C:/Packages). Na inštaláciu cieľovej aktualizácie použite funkciu Deployment Image Servicing and Management (DISM.exe ). DISM použije priečinok zadaný v packagepath na zisťovanie a inštaláciu jedného alebo viacerých nevyhnutných súborov MSU podľa potreby. Aktualizácia počítača s Windowsom Ak chcete použiť túto aktualizáciu na bežiaci počítač s Windowsom, spustite tento príkaz z príkazového riadka bez oprávnení:
Alebo spustite nasledujúci príkaz z príkazového riadka so zvýšeným Windows PowerShell:
Alebo použite Windows Update samostatný inštalátor na inštaláciu cieľovej aktualizácie. Aktualizácia inštalačného média systému Windows Ak chcete použiť túto aktualizáciu na inštalačné médium systému Windows, pozrite si tému Aktualizácia inštalačného média systému Windows pomocou dynamickej aktualizácie. Poznámka: Pri sťahovaní iných balíkov dynamickej aktualizácie sa uistite, že zodpovedajú rovnakému mesiacu ako tento kb. Ak dynamická aktualizácia safeos alebo dynamická aktualizácia inštalácie nie sú k dispozícii za rovnaký mesiac ako táto kb, použite najnovšiu publikovanú verziu každého z nich. Ak chcete pridať túto aktualizáciu do pripojeného obrázka, spustite nasledujúci príkaz z príkazového riadka bez oprávnení:
Alebo spustite nasledujúci príkaz z príkazového riadka so zvýšeným Windows PowerShell:
Metóda 2: Nainštalujte každý súbor MSU jednotlivo, v poradí Stiahnite a nainštalujte každý súbor MSU jednotlivo pomocou DISM alebo Windows Update samostatný inštalátor v tomto poradí:
|
|
K dispozícii |
Ďalší krok |
|
|
Pozrite si ďalšie možnosti. |
Ak chcete odstrániť túto aktualizáciu
Upozornenie: Skôr než sa rozhodnete odstrániť túto aktualizáciu, pozrite si tému Vysvetlenie rizík: Prečo by ste nemali odinštalovať aktualizácie zabezpečenia.
Ak chcete odstrániť túto aktualizáciu po inštalácii kombinovaného balíka SSU a LCU, použite možnosť príkazového riadka DISM/Remove-Package s názvom balíka LCU ako argumentom. Názov balíka môžete nájsť pomocou tohto príkazu: DISM /online /get-packages.
Spustenie Windows Update samostatný inštalátor (wusa.exe) s prepínačom /uninstall v kombinovanom balíku nebude fungovať, pretože kombinovaný balík obsahuje SSU. Po inštalácii nie je možné odstrániť SSU zo systému.
Informácie o súboroch
Ak chcete zobraziť zoznam súborov uvedených v tejto aktualizácii, stiahnite si informácie o súbore pre neviazanú aktualizáciu 5091157.
Ak chcete zobraziť zoznam súborov uvedených v aktualizácii zásobníka údržby, stiahnite si informácie o súbore pre SSU (KB5082062) – verzia 26100.32692.
