Bản cập nhật lỗi thời (OOB) này dành cho Windows Server 2025 (KB5091157) là bản cập nhật tích lũy không liên quan đến bảo mật.
Cải tiến
Bản cập nhật lỗi thời này chứa những cải tiến về chất lượng từ KB5082063 (phát hành ngày 14 tháng 4 năm 2026). Tóm tắt sau đây phác thảo các sự cố chính được giải quyết bằng bản cập nhật ngoài ban nhạc này. Văn bản in đậm bên trong dấu ngoặc đơn cho biết mục hoặc vùng thay đổi.
-
[Bộ kiểm soát miền (sự cố đã biết)] Đã khắc phục: Sau khi cài đặt bản cập nhật bảo mật Windows (KB5082063) ngày 14 tháng 4 năm 2026 và khởi động lại, bộ kiểm soát miền có rừng nhiều miền sử dụng Quản lý Truy nhập Đặc quyền (PAM) có thể gặp sự cố khởi động. Trong một số trường hợp, Local Security Authority Subsystem Service (LSASS) có thể ngừng phản hồi, dẫn đến khởi động lại nhiều lần và ngăn dịch vụ xác thực và thư mục, điều này có thể khiến miền không sẵn dùng.
-
[Cài đặt Windows update] Đã khắc phục: Một số lượng nhỏ các thiết bị Windows Server 2025 có thể không cài đặt được bản cập nhật bảo mật Windows (KB5082063) ngày 14 tháng 4 năm 2026. Khi sự cố này xảy ra, các thiết bị bị ảnh hưởng có thể hiển thị một trong các thông báo lỗi sau: "Lỗi cài đặt: 0x800F0983" hoặc "Một số tệp cập nhật bị thiếu hoặc gặp sự cố. Chúng tôi sẽ cố gắng tải xuống lại bản cập nhật này sau. Mã lỗi: 0x80073712."
Nếu bạn đã cài đặt các bản cập nhật cũ hơn, thiết bị của bạn sẽ chỉ tải xuống và cài đặt các bản cập nhật mới có trong gói này.
Ghi chú Các thiết bị được đăng ký bản Windows Server cập nhật Hotpatch năm 2025 bị ảnh hưởng bởi sự cố cài đặt KB5082063 có thể cài đặt bản cập nhật OOB này để có cùng các tùy chọn bảo vệ. Tuy nhiên, việc này sẽ yêu cầu khởi động lại và các bản cập nhật công bố nóng sẽ không tiếp tục cho đến bản cập nhật cơ sở tháng 7 năm 2026.
Bản cập nhật sắp xếp cung cấp dịch vụ Windows Sever 2025 (KB5082062) -26100.32692
Bản cập nhật này cải tiến chất lượng cho ngăn xếp cung cấp dịch vụ, là cấu phần cài đặt các bản cập nhật Windows. Bản cập nhật xếp chồng dịch vụ (SSU) đảm bảo rằng bạn có ngăn xếp cung cấp dịch vụ mạnh mẽ và đáng tin cậy để thiết bị của bạn có thể nhận và cài đặt các bản cập nhật Microsoft. Để tìm hiểu thêm về SSU, hãy xem mục Đơn giản hóa việc triển khai tại chỗ các bản cập nhật sắp xếp cung cấp dịch vụ.
Những sự cố đã biết trong bản cập nhật này
Dấu hiệu
Một số thiết bị có cấu hình chính sách nhóm BitLocker không được yêu cầu có thể phải nhập khóa khôi phục BitLocker vào lần khởi động lại đầu tiên sau khi cài đặt bản cập nhật này.
Sự cố này chỉ ảnh hưởng đến một số hệ thống giới hạn trong đó TẤT CẢ các điều kiện sau đều đúng. Các điều kiện này khó có thể tìm thấy trên thiết bị cá nhân không được quản lý bởi bộ phận CNTT.
-
BitLocker được bật trên ổ đĩa HĐH.
-
Cấu hình chính sách nhóm "Cấu hình cấu hình xác thực nền tảng TPM cho cấu hình vi chương trình UEFI gốc" được đặt cấu hình và PCR7 được bao gồm trong cấu hình xác thực (hoặc khóa đăng ký tương đương được đặt theo cách thủ công).
-
Thông tin Hệ thống (msinfo32.exe) báo cáo Ràng buộc An toàn của Trạng thái Khởi động PCR7 là "Không thể".
-
Chứng chỉ Windows UEFI CA 2023 có trong Cơ sở dữ liệu Chữ ký Khởi động An toàn (DB) của thiết bị, làm cho thiết bị đủ điều kiện để được đặt làm Trình quản lý Khởi động Windows được ký năm 2023.
-
Thiết bị chưa chạy Windows Boot Manager đã ký năm 2023.
Trong trường hợp này, chỉ cần nhập khóa khôi phục BitLocker một lần -- các lần khởi động lại sau đó sẽ không kích hoạt màn hình phục hồi BitLocker, miễn là cấu hình chính sách nhóm vẫn không thay đổi. Để được trợ giúp tìm khóa khôi phục BitLocker, hãy xem bài viết Tìm khóa khôi phục BitLocker của bạn.
Các doanh nghiệp được khuyến nghị kiểm tra chính sách nhóm BitLocker để đưa PCR7 rõ ràng vào và kiểm tra xem msinfo32.exe trạng thái ràng buộc PCR7 của họ trước khi cài đặt bản cập nhật này. (Xem Tùy chọn 1 bên dưới.)
Giải pháp thay thế
Tùy chọn 1: Xóa cấu hình chính sách nhóm trước khi cài đặt bản cập nhật (Được đề xuất)
-
Mở Trình chính sách nhóm (gpedit.msc) hoặc Bảng điều khiển Quản chính sách nhóm của bạn.
-
Dẫn hướng đến: Cấu hình Máy tính > quản > cấu phần Windows > mã hóa ổ đĩa BitLocker > hệ điều hành.
-
Đặt "Cấu hình cấu hình cấu hình xác thực nền tảng TPM cho cấu hình vi chương trình UEFI gốc" thành "Không được Đặt cấu hình".
-
Chạy lệnh sau trên các thiết bị bị ảnh hưởng để truyền thay đổi chính sách: gpupdate /force
-
Chạy lệnh sau để tạm ngừng BitLocker (trong đó BitLocker được bật trên ổ đĩa C: ): manage-bde -protectors -disable C:
-
Chạy lệnh sau để tiếp tục BitLocker (trong đó BitLocker được bật trên ổ đĩa C:): manage-bde -protectors -enable C:
-
Thao tác này sẽ cập nhật các ràng buộc BitLocker để sử dụng cấu hình PCR mặc định do Windows chọn.
Tùy chọn 2: Áp dụng Quay lui Sự cố Đã biết (KIR) trước khi cài đặt bản cập nhật
Tính năng Quay lui Sự cố Đã biết (KIR) khả dụng cho những khách hàng không thể xóa chính sách nhóm PCR7 trước khi triển khai bản cập nhật này. KIR ngăn chặn tự động chuyển sang Trình quản lý Khởi động 2023, tránh trình kích hoạt khôi phục BitLocker. KIR sẽ được triển khai trước khi cài đặt bản cập nhật trên các thiết bị bị ảnh hưởng. Liên hệ với Bộ phận Hỗ trợ của Microsoft dành cho doanh nghiệp để nhận KIR này.
Chúng tôi sẽ lên kế hoạch khắc phục vĩnh viễn sự cố này trong bản cập nhật Windows trong tương lai. Thông tin thêm sẽ được cung cấp khi có sẵn.
Sau khi cài đặt KB5070881 hoặc các bản cập nhật mới hơn, Windows Server Update Services (WSUS) không hiển thị chi tiết lỗi đồng bộ trong báo cáo lỗi. Chức năng này tạm thời bị loại bỏ để khắc phục Lỗ hổng thực thi mã từ xa, CVE-2025-59287.
Cách tải bản cập nhật này
Trước khi bạn cài đặt bản cập nhật này
Microsoft hiện kết hợp bản cập nhật sắp xếp cung cấp dịch vụ (SSU) mới nhất cho hệ điều hành của bạn với bản cập nhật tích lũy mới nhất (LCU). Để biết thông tin chung về SSU, hãy xem Bản cập nhật sắp xếp cung cấp dịch vụ.
Cài đặt bản cập nhật này
Để cài đặt bản cập nhật này, hãy sử dụng một trong các kênh phát hành sau của Windows và Microsoft.
|
Sẵn dùng |
Bước Tiếp theo |
|
|
Xem các tùy chọn khác. |
|
Sẵn dùng |
Bước Tiếp theo |
|
|
Xem các tùy chọn khác. |
|
Sẵn dùng |
Bước Tiếp theo |
|||||
|
|
Để cài đặt bản phát hành này từ Danh mục Microsoft Update, hãy làm theo các hướng dẫn sau: Trước khi bạn cài đặt bản cập nhật này, (các) gói độc lập cho bản cập nhật này, hãy truy cập trang web Danh mục Microsoft Update. KB này chứa một hoặc nhiều tệp MSU yêu cầu cài đặt theo một thứ tự cụ thể. Bạn có thể cài đặt bản cập nhật này bằng phương pháp 1 (cài đặt tất cả các tệp MSU cùng nhau) hoặc Phương pháp 2 (cài đặt từng tệp MSU riêng lẻ, theo thứ tự). Phương pháp 1: Cài đặt tất cả các tệp MSU cùng nhau Tải xuống tất cả các tệp MSU cho KB5091157 từ Danh mục Microsoft Update và đặt chúng trong cùng một thư mục (ví dụ: C:/Packages). Sử dụng Deployment Image Servicing and Management (DISM.exe) để cài đặt bản cập nhật đích. DISM sẽ sử dụng thư mục được chỉ định trong PackagePath để khám phá và cài đặt một hoặc nhiều tệp MSU tiên quyết khi cần. Cập nhật PC chạy Windows Để áp dụng bản cập nhật này cho PC chạy Windows, hãy chạy lệnh sau từ Dấu nhắc Lệnh mức cao:
Hoặc chạy lệnh sau đây từ lời nhắc mức Windows PowerShell cao:
Hoặc sử dụng Windows Update Cài đặt Độc lập để cài đặt bản cập nhật đích. Cập nhật phương tiện Cài đặt Windows Để áp dụng bản cập nhật này cho phương tiện Cài đặt Windows, hãy xem Cập nhật phương tiện cài đặt Windows bằng Cập nhật Động. Lưu ý: Khi tải xuống các gói Cập nhật Động khác, hãy đảm bảo các gói đó khớp với tháng với KB này. Nếu Bản cập nhật Động SafeOS hoặc Bản cập nhật Động Thiết lập không khả dụng trong cùng tháng với KB này, hãy sử dụng phiên bản phát hành gần đây nhất của từng bản. Để thêm bản cập nhật này vào hình ảnh được gắn kết, hãy chạy lệnh sau từ Dấu nhắc Lệnh mức cao:
Hoặc chạy lệnh sau đây từ lời nhắc mức Windows PowerShell cao:
Phương pháp 2: Cài đặt từng tệp MSU riêng lẻ, theo thứ tự Tải xuống và cài đặt từng tệp MSU riêng lẻ bằng DISM Windows Update Trình cài đặt Độc lập theo thứ tự sau:
|
|
Sẵn dùng |
Bước Tiếp theo |
|
|
Xem các tùy chọn khác. |
Nếu bạn muốn xóa bản cập nhật này
Lưu ý: Trước khi quyết định xóa bản cập nhật này, hãy xem Hiểu các rủi ro: Tại sao bạn không nên gỡ cài đặt bản cập nhật bảo mật.
Để loại bỏ bản cập nhật này sau khi cài đặt gói SSU và LCU kết hợp, hãy sử dụng tùy chọn dòng lệnh DISM/Remove-Package với tên gói LCU làm đối số. Bạn có thể tìm thấy tên gói bằng cách sử dụng lệnh sau: DISM /online /get-packages.
Chạy Windows Update Cài đặt Độc lập (wusa.exe) bằng công tắc /uninstall trên gói kết hợp sẽ không hoạt động vì gói kết hợp có chứa SSU. Bạn không thể xóa SSU khỏi hệ thống sau khi cài đặt.
Thông tin Tệp
Để biết danh sách các tệp được cung cấp trong bản cập nhật này, hãy tải xuống thông tin tệp cho bản cập nhật ban 5091157.
Để biết danh sách các tệp được cung cấp trong bản cập nhật sắp xếp cung cấp dịch vụ, hãy tải xuống thông tin tệp cho SSU (KB5082062) - phiên bản 26100.32692.
