19 เมษายน 2026— KB5091157 (ระบบปฏิบัติการรุ่น 26100.32698) Out-of-band
นำไปใช้กับ
วันที่วางจำหน่าย:
19/4/2569
เวอร์ชัน:
ระบบปฏิบัติการรุ่น 26100.32698
การอัปเดตแบบพร้อมใช้งาน (OOB) สําหรับ Windows Server 2025 (KB5091157) เป็นการอัปเดตแบบสะสมที่ไม่ใช่ด้านความปลอดภัย
การปรับปรุง
การอัปเดตพร้อมใช้งานนี้มีการปรับปรุงคุณภาพจาก KB5082063 (เผยแพร่เมื่อ 14 เมษายน 2026) สรุปต่อไปนี้สรุปปัญหาที่สําคัญที่แก้ไขโดยการอัปเดตที่ไม่อยู่ในแบนด์นี้ ข้อความตัวหนาภายในวงเล็บเหลี่ยมจะระบุรายการหรือพื้นที่ของการเปลี่ยนแปลง
-
[Active Directory] แก้ไขแล้ว: หลังจากติดตั้งการอัปเดตความปลอดภัยของ Windows เดือนเมษายน 2026 และเริ่มระบบใหม่ ตัวควบคุมโดเมน (DC) ที่มีฟอเรสต์แบบหลายโดเมนที่ใช้ Privileged Access Management (PAM) อาจประสบปัญหาการเริ่มต้นทํางาน ในบางกรณี Local Security Authority Subsystem Service (LSASS) อาจหยุดการตอบสนอง ซึ่งนําไปสู่การรีสตาร์ตซ้ําๆ และป้องกันการรับรองความถูกต้องและบริการไดเรกทอรี ซึ่งอาจทําให้โดเมนไม่พร้อมใช้งาน
-
[การติดตั้ง Windows Update] แก้ไขแล้ว: อุปกรณ์ Windows Server 2025 จํานวนเล็กน้อยอาจไม่สามารถติดตั้งการอัปเดตความปลอดภัยของ Windows (KB5082063) ในวันที่ 14 เมษายน 2026 ได้ เมื่อปัญหานี้เกิดขึ้น อุปกรณ์ที่ได้รับผลกระทบอาจแสดงข้อความแสดงข้อผิดพลาดต่อไปนี้: "ข้อผิดพลาดในการติดตั้ง: 0x800F0983" หรือ "ไฟล์อัปเดตบางไฟล์หายไปหรือมีปัญหา เราจะพยายามดาวน์โหลดการอัปเดตอีกครั้งในภายหลัง รหัสข้อผิดพลาด: 0x80073712"
หากคุณติดตั้งการอัปเดตก่อนหน้านี้ อุปกรณ์ของคุณจะดาวน์โหลดและติดตั้งเฉพาะการอัปเดตใหม่ที่มีอยู่ในแพคเกจนี้เท่านั้น
การอัปเดตสแตกบริการของ Windows Sever 2025 (KB5082062) -26100.32692
การอัปเดตนี้จะมีการปรับปรุงคุณภาพให้กับสแตกการบริการ ซึ่งเป็นองค์ประกอบที่ติดตั้งการอัปเดตของ Windows การอัปเดตสแตกการบริการ (SSU) ทําให้แน่ใจว่าคุณมีสแตกการบริการที่มีเสถียรภาพและเชื่อถือได้ เพื่อให้อุปกรณ์ของคุณสามารถรับและติดตั้งการอัปเดตของ Microsoft เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ SSU ให้ดู การปรับใช้ภายในองค์กรของการอัปเดตสแตกการบริการให้ง่ายขึ้น
ปัญหาที่ทราบแล้วในการอัปเดตนี้
อาการ
อุปกรณ์บางเครื่องที่มีการกําหนดค่านโยบายกลุ่ม BitLocker ที่ไม่เป็นที่แนะนําอาจจําเป็นต้องใส่คีย์การกู้คืน BitLocker ในการเริ่มระบบของคอมพิวเตอร์ใหม่ครั้งแรกหลังจากติดตั้งการอัปเดตนี้
ปัญหานี้มีผลต่อระบบจํานวนจํากัดที่เงื่อนไขต่อไปนี้ทั้งหมดเป็นจริง เงื่อนไขเหล่านี้ไม่น่าจะพบบนอุปกรณ์ส่วนบุคคลที่ไม่ได้จัดการโดยแผนก IT
-
BitLocker ถูกเปิดใช้งานบนไดรฟ์ระบบปฏิบัติการ
-
นโยบายกลุ่ม "กําหนดค่าโปรไฟล์การตรวจสอบความถูกต้องของแพลตฟอร์ม TPM สําหรับการกําหนดค่าเฟิร์มแวร์ UEFI ดั้งเดิม" และ PCR7 รวมอยู่ในโปรไฟล์การตรวจสอบความถูกต้อง (หรือมีการตั้งค่ารีจิสทรีคีย์ที่เทียบเท่าด้วยตนเอง)
-
ข้อมูลระบบ (msinfo32.exe) รายงานการผูกข้อมูล SECURE Boot State PCR7 เป็น "ไม่สามารถทําได้"
-
ใบรับรอง Windows UEFI CA 2023 แสดงอยู่ในฐานข้อมูลลายเซ็นการบูตแบบปลอดภัย (DB) ของอุปกรณ์’ทําให้อุปกรณ์มีสิทธิ์สําหรับ Windows Boot Manager ที่ลงนาม 2023 เป็นค่าเริ่มต้น
-
อุปกรณ์ไม่ได้ใช้งาน Windows Boot Manager ที่เวอร์ชันปี 2023
ในสถานการณ์นี้ ต้องป้อนคีย์การกู้คืน BitLocker เพียงครั้งเดียว เท่านั้น การเริ่มระบบใหม่ในภายหลังจะไม่ทริกเกอร์หน้าจอการกู้คืน BitLocker ตราบใดที่การกําหนดค่านโยบายกลุ่มยังคงไม่เปลี่ยนแปลง สําหรับความช่วยเหลือในการค้นหาคีย์การกู้คืน BitLocker ของคุณ โปรดดูบทความ ค้นหาคีย์การกู้คืน BitLocker ของคุณ
องค์กรขอแนะนําให้ตรวจสอบนโยบายกลุ่ม BitLocker สําหรับการรวม PCR7 อย่างชัดเจนและตรวจสอบ msinfo32.exe สําหรับสถานะการผูกข้อมูล PCR7 ก่อนที่จะติดตั้งการอัปเดตนี้ (ดูตัวเลือกที่ 1 ด้านล่าง)
วิธีแก้ไขปัญหาชั่วคราว
ปัญหานี้ได้รับการแก้ไขแล้วใน KB5094125 หลังจากติดตั้ง KB5094125 อุปกรณ์ ที่มีการกําหนดค่านโยบายกลุ่มที่เข้ากันไม่ได้นี้จะได้รับการป้องกันจากการติดตั้ง Windows Boot Manager ที่ได้รับการรับรอง 2023 หากอุปกรณ์ของคุณได้รับผลกระทบ รหัสเหตุการณ์ 1032 จะปรากฏในบันทึกเหตุการณ์ของระบบเมื่อติดตั้งการอัปเดต Windows: "Secure Boot Update Boot Manager (2023) ไม่ถูกนําไปใช้เนื่องจากไม่เข้ากันที่ทราบแล้วกับการกําหนดค่า BitLocker ปัจจุบัน"
หากคุณได้รับรหัสเหตุการณ์ 1032 Microsoft ขอแนะนําให้ลบการกําหนดค่านโยบายกลุ่มก่อนติดตั้งการอัปเดต เพื่อให้คุณสามารถติดตั้ง Windows Boot Manager ที่ได้รับการรับรองปี 2023 และรับการป้องกันการบูตแบบปลอดภัยล่าสุดต่อไป
ลบการกําหนดค่านโยบายกลุ่มก่อนที่จะติดตั้งการอัปเดต (แนะนํา)
-
เปิดตัวแก้ไขนโยบายกลุ่ม (gpedit.msc) หรือคอนโซลการจัดการนโยบายกลุ่มของคุณ
-
นําทางไปยัง: การกําหนดค่าคอมพิวเตอร์ > เทมเพลตการดูแลระบบ > Windows Components > การเข้ารหัสลับไดรฟ์ด้วย BitLocker >ไดรฟ์ระบบปฏิบัติการ
-
ตั้งค่า "กําหนดค่าโปรไฟล์การตรวจสอบความถูกต้องของแพลตฟอร์ม TPM สําหรับการกําหนดค่าเฟิร์มแวร์ UEFI ดั้งเดิม" เป็น "ไม่ได้กําหนดค่า"
-
เรียกใช้คําสั่งต่อไปนี้บนอุปกรณ์ที่ได้รับผลกระทบเพื่อเผยแพร่การเปลี่ยนแปลงนโยบาย: gpupdate /force
-
เรียกใช้คําสั่งต่อไปนี้เพื่อหยุด BitLocker ชั่วคราว (ถ้าเปิดใช้งาน BitLocker บนไดรฟ์ C:): manage-bde -protectors -disable C:
-
เรียกใช้คําสั่งต่อไปนี้เพื่อดําเนินการ BitLocker ต่อ (ถ้าเปิดใช้งาน BitLocker บนไดรฟ์ C: ): manage-bde -protectors -enable C:
-
ซึ่งจะอัปเดตการผูก BitLocker เพื่อใช้โปรไฟล์ PCR เริ่มต้นที่เลือกของ Windows
หากคุณไม่ต้องการลบการกําหนดค่านโยบายกลุ่มนี้ ออก คุณสามารถติดตั้ง Windows Boot Manager ใหม่โดยการระงับ BitLocker ชั่วคราวและติดตั้งการอัปเดตการบูตแบบปลอดภัย เมื่อต้องการทำเช่นนี้:
-
เรียกใช้คําสั่งต่อไปนี้เพื่อหยุด BitLocker ชั่วคราว (ถ้าเปิดใช้งาน BitLocker บนไดรฟ์ C:): manage-bde -protectors -disable C:
-
เรียกใช้คําสั่งต่อไปนี้: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
-
รีสตาร์ตอุปกรณ์
-
เมื่อติดตั้ง Windows Boot Manager ใหม่เรียบร้อยแล้ว ให้เปิดใช้งาน BitLocker โดยการเรียกใช้คําสั่ง: manage-bde -protectors -enable C:
หลังจากติดตั้ง KB5070881 หรือการอัปเดตในภายหลัง Windows Server Update Services (WSUS) จะไม่แสดงรายละเอียดข้อผิดพลาดการซิงโครไนซ์ภายในการรายงานข้อผิดพลาด ฟังก์ชันนี้จะถูกนำออกชั่วคราวเพื่อจัดการช่องโหว่การเรียกใช้โค้ดระยะไกล CVE-2025-59287
อาการ
หลังจากติดตั้งการอัปเดตนี้ คําเตือนด้านความปลอดภัยที่ปรากฏขึ้นเมื่อเปิดไฟล์เดสก์ท็อประยะไกล (RDP) อาจแสดงอย่างไม่ถูกต้องในบางกรณี
ปัญหานี้อาจเกิดขึ้นเมื่อคุณใช้จอภาพมากกว่าหนึ่งจอที่มีการตั้งค่ามาตราส่วนการแสดงผลที่แตกต่างกัน (ตัวอย่างเช่น จอแสดงผลหนึ่งตั้งค่าเป็น 100% และอีกชุดเป็น 125%) เมื่อเกิดเหตุการณ์นี้ขึ้น หน้าต่างคําเตือนอาจแสดงข้อความที่เหลื่อมกันหรือปุ่มที่ถูกซ่อนไว้บางส่วน ซึ่งอาจทําให้อ่านหรือโต้ตอบกับข้อความได้ยาก
วิธีแก้ไขปัญหาชั่วคราว
ปัญหานี้ได้รับการแก้ไขแล้วในKB5087539
วิธีรับการอัปเดตนี้
ก่อนที่คุณจะติดตั้งการอัปเดตนี้
ขณะนี้ Microsoft รวมการอัปเดตสแตกบริการ (SSU) ล่าสุดสําหรับระบบปฏิบัติการของคุณกับการอัปเดตแบบสะสมล่าสุด (LCU) สําหรับข้อมูลทั่วไปเกี่ยวกับ SSU โปรดดู การอัปเดตสแตกการให้บริการ
ติดตั้งการอัปเดตนี้
เมื่อต้องการติดตั้งการอัปเดตนี้ ให้ใช้หนึ่งในช่องทางการเผยแพร่ Windows และ Microsoft ต่อไปนี้
|
พร้อมใช้ |
ขั้นตอนถัดไป |
|
|
ดูตัวเลือกอื่นๆ |
|
ว่าง |
ขั้นตอนถัดไป |
|
|
ดูตัวเลือกอื่นๆ |
|
พร้อมใช้ |
ขั้นตอนถัดไป |
|||||
|
|
เมื่อต้องการติดตั้งรุ่นนี้จาก Microsoft Update Catalog ให้ทําตามคําแนะนําต่อไปนี้: ก่อนที่คุณจะติดตั้งโปรแกรมปรับปรุงนี้ ให้ไปที่เว็บไซต์ Microsoft Update Catalog ก่อนที่จะติดตั้งแพคเกจสแตนด์อโลนสําหรับการปรับปรุงนี้ KB นี้มีไฟล์ MSU อย่างน้อยหนึ่งไฟล์ที่ต้องการการติดตั้งตามลําดับเฉพาะ คุณสามารถติดตั้งการอัปเดตนี้โดยใช้วิธีที่ 1 (ติดตั้งไฟล์ MSU ทั้งหมดเข้าด้วยกัน) หรือวิธีที่ 2 (ติดตั้งแต่ละไฟล์ MSU ตามลําดับ) วิธีที่ 1: ติดตั้งไฟล์ MSU ทั้งหมดพร้อมกัน ดาวน์โหลดไฟล์ MSU ทั้งหมดสําหรับ KB5091157 จาก Microsoft Update Catalog และวางไว้ในโฟลเดอร์เดียวกัน (ตัวอย่างเช่น C:/Packages) ใช้ Deployment Image Servicing and Management (DISM.exe) เพื่อติดตั้งการอัปเดตเป้าหมาย DISM จะใช้โฟลเดอร์ที่ระบุใน PackagePath เพื่อค้นหาและติดตั้งไฟล์ MSU ข้อกําหนดเบื้องต้นอย่างน้อยหนึ่งไฟล์ตามที่จําเป็น การอัปเดตพีซี Windows เมื่อต้องการใช้การอัปเดตนี้กับพีซี Windows ที่ใช้งาน ให้เรียกใช้คําสั่งต่อไปนี้จากพร้อมท์คําสั่งด้วยสิทธิ์ผู้ดูแล:
หรือเรียกใช้คําสั่งต่อไปนี้จากพร้อมท์ Windows PowerShell ผู้ดูแล:
หรือใช้ตัวติดตั้ง Windows Update แบบสแตนด์อโลนเพื่อติดตั้งการอัปเดตเป้าหมาย การอัปเดตสื่อการติดตั้ง Windows เมื่อต้องการใช้การอัปเดตนี้กับสื่อการติดตั้ง Windows ให้ดู อัปเดตสื่อการติดตั้ง Windows ด้วยการปรับปรุงแบบไดนามิก หมายเหตุ: เมื่อดาวน์โหลดแพคเกจการปรับปรุงแบบไดนามิกอื่นๆ ตรวจสอบให้แน่ใจว่าตรงกับเดือนเดียวกันกับ KB นี้ ถ้าการปรับปรุงแบบไดนามิก SafeOS แบบไดนามิกหรือการตั้งค่าการปรับปรุงแบบไดนามิกไม่พร้อมใช้งานสําหรับเดือนเดียวกับ KB นี้ ให้ใช้รุ่นที่เผยแพร่ล่าสุดของแต่ละรุ่น เมื่อต้องการเพิ่มการอัปเดตนี้ลงในรูปที่เมาต์ ให้เรียกใช้คําสั่งต่อไปนี้จากพร้อมท์คําสั่งด้วยสิทธิ์ผู้ดูแล:
หรือเรียกใช้คําสั่งต่อไปนี้จากพร้อมท์ Windows PowerShell ผู้ดูแล:
วิธีที่ 2: ติดตั้งไฟล์ MSU แต่ละไฟล์ตามลําดับ ดาวน์โหลดและติดตั้งไฟล์ MSU แต่ละไฟล์โดยใช้ DISM หรือ Windows Update ตัวติดตั้งแบบสแตนด์อโลนตามลําดับต่อไปนี้:
|
|
ว่าง |
ขั้นตอนถัดไป |
|
|
ดูตัวเลือกอื่นๆ |
หากคุณต้องการลบการอัปเดตนี้ออก
ข้อควรระวัง: ก่อนที่คุณจะตัดสินใจลบการอัปเดตนี้ ให้ดู ทําความเข้าใจเกี่ยวกับความเสี่ยง: เหตุใดคุณจึงไม่ควรถอนการติดตั้งการอัปเดตความปลอดภัย
เมื่อต้องการลบการอัปเดตนี้หลังจากติดตั้งแพคเกจ SSU และ LCU ที่รวมเข้าด้วยกัน ให้ใช้ตัวเลือก DISM/Remove-Package command line ที่มีชื่อแพคเกจ LCU เป็นอาร์กิวเมนต์ คุณสามารถค้นหาชื่อแพคเกจโดยใช้คําสั่งนี้: DISM /online /get-packages
การเรียกใช้ Windows Update ตัวติดตั้งแบบสแตนด์อโลน (wusa.exe) ด้วยสวิตช์ /uninstall บนแพคเกจรวมจะไม่ทํางานเนื่องจากแพคเกจรวมมี SSU คุณไม่สามารถลบ SSU ออกจากระบบหลังจากการติดตั้ง
ข้อมูลไฟล์
สําหรับลิสต์ของไฟล์ที่ระบุในการอัปเดตนี้ ให้ดาวน์โหลด ข้อมูลไฟล์สําหรับการอัปเดตแบบสะสม 5091157
สําหรับรายการไฟล์ที่ระบุในการอัปเดตสแตกบริการ ให้ดาวน์โหลด ข้อมูลไฟล์สําหรับ SSU (KB5082062) - เวอร์ชัน 26100.32692
เปลี่ยนล็อก
|
เปลี่ยนวันที่ |
เปลี่ยนคําอธิบาย |
|
วันที่ 4 มิถุนายน 2026 |
แก้ไขสตริงการอัปเดต x64 .msu บนแท็บ Catalog สําหรับ KB5091157 (การอัปเดตนี้) |
|
วันที่ 27 เมษายน 2026 |
แก้ไขปัญหาที่ทราบแล้ว "คําเตือนที่เกี่ยวข้องกับเดสก์ท็อประยะไกลอาจแสดงอย่างไม่ถูกต้อง" |
ต้องการความช่วยเหลือเพิ่มเติมหรือไม่
ต้องการตัวเลือกเพิ่มเติมหรือไม่
สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ
ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย
