Den här OOB-uppdateringen (out-of-band) för Windows Server 2025 (KB5091157) är en kumulativ uppdatering som inte är säkerhetsrelaterad.
Förbättringar
Den här out-of-band-uppdateringen innehåller kvalitetsförbättringar från KB5082063 (släpptes 14 april 2026). I följande sammanfattning beskrivs viktiga problem som åtgärdas i den här inbyggda uppdateringen. Texten i fetstil inom hakparenteserna anger objektet eller området för ändringen.
-
[Domänkontrollanter (känt problem)] Åtgärdat: När du har installerat windows-säkerhetsuppdateringen (KB5082063) och omstarten den 14 april 2026 kan det uppstå startproblem för domänkontrollanter med flerdomänskogar som använder PAM (Privileged Access Management). I vissa fall kan LSASS (Local Security Authority Subsystem Service) sluta svara, vilket leder till upprepade omstarter och förhindrar autentisering och katalogtjänster, vilket kan göra domänen otillgänglig.
-
[Windows-uppdateringsinstallation] Åtgärdat: Ett litet antal Windows Server 2025-enheter kanske inte kan installera windows-säkerhetsuppdateringen från 14 april 2026 (KB5082063). När det här problemet uppstår kan berörda enheter visa något av följande felmeddelanden: "Installationsfel: 0x800F0983" eller "Vissa uppdateringsfiler saknas eller har problem. Vi försöker ladda ned uppdateringen igen senare. Felkod: 0x80073712."
Om du har installerat tidigare uppdateringar laddar enheten endast ned och installerar de nya uppdateringarna i det här paketet.
Obs Hotpatch-uppdateringsregistrerade Windows Server 2025-enheter som påverkas av KB5082063 installationsproblem kan installera den här OOB-uppdateringen för samma skydd. Om du gör det krävs dock en omstart, och uppdateringar av snabbkorrigeringar återupptas inte förrän baslinjeuppdateringen i juli 2026.
Servicing stack-uppdatering för Windows Sever 2025 (KB5082062) -26100.32692
Den här uppdateringen innebär kvalitetsförbättringar av tjänststacken, som är den komponent som installerar Windows-uppdateringar. Servicing stack-uppdateringar (SSU) säkerställer att du har en robust och tillförlitlig servicing stack så att dina enheter kan ta emot och installera Microsoft-uppdateringar. Mer information om SSU:er finns i Förenkla lokal distribution av Servicing Stack-uppdateringar.
Kända fel i den här uppdateringen
Tecken på problem
Vissa enheter med en okommen BitLocker-grupprincip konfiguration kan behöva ange BitLocker-återställningsnyckeln vid den första omstarten efter att den här uppdateringen har installerats.
Det här problemet påverkar bara ett begränsat antal system där ALLA av följande villkor uppfylls. Dessa villkor kommer sannolikt inte att finnas på personliga enheter som inte hanteras av IT-avdelningar.
-
BitLocker är aktiverat på OS-enheten.
-
Grupprincip Konfigurera TPM-plattformens verifieringsprofil för inbyggda UEFI-konfigurationer konfigureras och PCR7 ingår i verifieringsprofilen (eller motsvarande registernyckel anges manuellt).
-
Systeminformation (msinfo32.exe) rapporterar Secure Boot State PCR7 Binding som "Not Possible".
-
Windows UEFI CA 2023-certifikatet finns i enhetens databas för säker startsignatur (DB), vilket gör enheten berättigad till att den 2023-signerade Windows Boot Manager blir standard.
-
Enheten kör inte redan den 2023-signerade Windows Boot Manager.
I det här scenariot behöver bitLocker-återställningsnyckeln bara anges en gång – efterföljande omstarter utlöser inte en BitLocker-återställningsskärm, så länge grupprincipkonfigurationen inte ändras. Mer information om hur du hittar BitLocker-återställningsnyckeln finns i artikeln Hitta din BitLocker-återställningsnyckel.
Företag rekommenderas att granska sina BitLocker-gruppprinciper för explicit PCR7-integrering och kontrollera msinfo32.exe för deras PCR7-bindningsstatus innan du installerar den här uppdateringen. (Se alternativ 1 nedan.)
Lösning
Alternativ 1: Ta bort konfigurationen av grupprincip innan du installerar uppdateringen (rekommenderas)
-
Öppna grupprincip Editor (gpedit.msc) eller grupprincip Management Console.
-
Gå till: Datorkonfiguration > administrativa mallar > Windows-komponenter > BitLocker-diskkryptering > operativsystemenheter.
-
Ställ in "Configure TPM platform validation profile for native UEFI firmware configurations" till "Not Configured".
-
Kör följande kommando på berörda enheter för att sprida principändringen: gpupdate /force
-
Kör följande kommando för att pausa BitLocker (där BitLocker är aktiverat på C:-enheten): manage-bde -protectors -disable C:
-
Kör följande kommando för att återuppta BitLocker (där BitLocker är aktiverat på C:-enheten): manage-bde -protectors -enable C:
-
Då uppdateras BitLocker-bindningarna för att använda den Windows-valda standard-PCR-profilen.
Alternativ 2: Tillämpa återställningen av kända problem (KIR) innan du installerar uppdateringen
En återställning av kända problem (KIR) är tillgänglig för kunder som inte kan ta bort PCR7-grupprincipen innan den här uppdateringen distribueras. KIR förhindrar automatisk växling till 2023 Boot Manager och undviker BitLocker-återställningsutlösaren. KIR ska distribueras innan uppdateringen installeras på berörda enheter. Kontakta Microsofts support för företag för att få detta KIR.
En permanent lösning på det här problemet planeras i en kommande Windows-uppdatering. Mer information kommer att tillhandahållas när den är tillgänglig.
När du har installerat KB5070881 eller senare uppdateringar visar Windows Server Update Services (WSUS) inte information om synkroniseringsfel i felrapportering. Den här funktionen tas tillfälligt bort för att åtgärda sårbarheten för körning av fjärrkod, CVE-2025-59287.
Så här hämtar du uppdateringen
Innan du installerar den här uppdateringen
Microsoft kombinerar nu den senaste Servicing Stack-uppdateringen (SSU) för ditt operativsystem med den senaste kumulativa uppdateringen (LCU). Allmän information om SSU:er finns i Servicing Stack-uppdateringar.
Installera den här uppdateringen
Om du vill installera den här uppdateringen använder du någon av följande Windows- och Microsoft-utgivningskanaler.
|
Tillgänglig |
Nästa steg |
|
|
Se de andra alternativen. |
|
Tillgänglig |
Nästa steg |
|
|
Se de andra alternativen. |
|
Kan användas |
Nästa steg |
|||||
|
|
Följ de här anvisningarna om du vill installera den här versionen från Microsoft Update Catalog: Innan du installerar den här uppdateringen går du till webbplatsen Microsoft Update Catalog för de fristående paketen för den här uppdateringen. Denna KB innehåller en eller flera MSU-filer som kräver installation i en viss ordning. Du kan installera den här uppdateringen med metod 1 (installera alla MSU-filer tillsammans) eller Metod 2 (installera varje MSU-fil individuellt i ordning). Metod 1: Installera alla MSU-filer tillsammans Ladda ned alla MSU-filer för KB5091157 från Microsoft Update Catalog och placera dem i samma mapp (till exempel C:/Packages). Använd Deployment Image Servicing and Management (DISM.exe) för att installera måluppdateringen. DISM använder mappen som anges i PackagePath för att identifiera och installera en eller flera MSU-filer som krävs. Uppdatera Windows-dator Om du vill använda den här uppdateringen på en Windows-dator som körs kör du följande kommando från en upphöjd kommandotolk:
Du kan också köra följande kommando från en fråga med förhöjd Windows PowerShell:
Eller använd Windows Update fristående installationsprogrammet för att installera måluppdateringen. Uppdatera installationsmedia för Windows Information om hur du installerar den här uppdateringen på installationsmedia för Windows finns i Uppdatera Windows-installationsmedia med dynamisk uppdatering. Obs! När du laddar ned andra dynamic update-paket ska du se till att de matchar samma månad som denna KB. Om SafeOS Dynamic Update eller Setup Dynamic Update inte är tillgängligt under samma månad som denna KB använder du den senast publicerade versionen av var och en. Om du vill lägga till den här uppdateringen i en monterad avbildning kör du följande kommando från en upphöjd kommandotolk:
Du kan också köra följande kommando från en fråga med förhöjd Windows PowerShell:
Metod 2: Installera varje MSU-fil individuellt i ordning Ladda ned och installera varje MSU-fil individuellt med hjälp av DISM eller Windows Update fristående installationsprogrammet i följande ordning:
|
|
Tillgänglig |
Nästa steg |
|
|
Se de andra alternativen. |
Om du vill ta bort den här uppdateringen
Varning! Innan du bestämmer dig för att ta bort den här uppdateringen kan du läsa Förstå riskerna: Varför du inte bör avinstallera säkerhetsuppdateringar.
Om du vill ta bort den här uppdateringen efter installation av det kombinerade SSU- och LCU-paketet använder du kommandoradsalternativet DISM/Remove-Package med LCU-paketnamnet som argument. Du hittar paketnamnet med hjälp av följande kommando: DISM /online /get-packages.
Det går inte att köra Windows Update fristående installationsprogrammet (wusa.exe) med växeln /uninstall på det kombinerade paketet eftersom det kombinerade paketet innehåller SSU. Du kan inte ta bort SSU från systemet efter installationen.
Filinformation
Om du vill ha en lista med de filer som ingår i den här uppdateringen kan du ladda ned filinformation för 5091157.
Om du vill ha en lista med de filer som ingår i Servicing Stack-uppdateringen kan du ladda ned filinformation för SSU (KB5082062) – version 26100.32692.
