应用对象
Windows Server 2022

发布日期:

2026/4/19

版本:

OS 内部版本 20348.5024

公告和消息

本部分提供与此版本相关的重要通知,包括公告、更改日志和支持终止通知。 

Windows 安全启动证书过期 

重要提示: 大多数 Windows 设备使用的安全启动证书从 2026 年 6 月开始过期。 若未能及时更新,这可能会影响某些个人和企业设备安全启动的能力。 为避免中断,建议查看指南并提前采取措施更新证书。  

有关 Windows 设备的详细信息和准备步骤,请参阅Windows 安全启动证书过期和 CA 更新。

有关 Windows 服务器的详细信息和准备步骤,请参阅以下资源:

更改日期

更改说明

2026 年 5 月 7 日

添加了对已知问题“与远程桌面相关的警告可能无法正确显示”的解决方法。

2026 年 4 月 27 日

更正了已知问题“与远程桌面相关的警告可能无法正确显示”。

2026 年 4 月 23 日

添加了已知问题:“与远程桌面相关的警告可能无法正确显示”。

2026 年 4 月 21 日

已知问题已添加:“可能需要配置未经推荐的 BitLocker 组策略设备才能输入其 BitLocker 恢复密钥”。

摘要

此带外更新适用于 2022 Windows Server 2022 (KB5091575) 是累积的。 它包括以下更新的一部分的修补程序和改进:

下面是此带外更新在安装此更新时所解决的问题的摘要。 括号中的粗体文本表示我们记录的更改的项目或区域。

  • [域控制器 (已知问题) ] 已修复:安装 2026 年 4 月 14 日后, (KB5082142) Windows 安全更新并重启后,使用 Privileged Access Management (PAM)的多域林的域控制器可能会遇到启动问题。 在某些情况下,本地安全机构子系统服务 (LSASS) 可能会停止响应,导致重复重启,并阻止身份验证和目录服务,这可能会使域不可用。

如果安装了早期更新,则设备仅下载并安装此包中包含的新更新。

若要查看有关此版本的最新更新,请访问 Windows 版本运行状况仪表板Windows Server 2022 的更新历史记录页。 

Windows Server 2022 服务堆栈更新 (KB5082137) - 20348.5021

Microsoft 现在将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 组合在一起。 SU 提高了更新过程的可靠性,并包括对服务堆栈(安装 Windows 更新的组件)的修复。 若要了解有关 SU 的详细信息,请参阅服务堆栈更新

此更新中的已知问题

症状

安装此更新后,某些配置了不推荐的 BitLocker 组策略的设备可能需要在首次重启时输入其 BitLocker 恢复密钥。

此问题仅影响有限数量的系统,其中所有以下条件都为 true。 在不受 IT 部门管理的个人设备上,这些条件几乎不会满足。

  1. BitLocker 在 OS 驱动器上启用。

  2. 组策略“为本机 UEFI 固件配置 TPM 平台验证配置文件”已配置,且验证配置文件中包含 PCR7 (或手动设置了等效的注册表项)。

  3. 系统信息(msinfo32.exe)将安全启动状态 PCR7 绑定报告为“不可能”。

  4. Windows UEFI CA 2023 证书存在于设备的安全启动签名数据库(DB)中,使设备有资格将 2023 签名的 Windows 引导管理器设为默认。

  5. 设备尚未运行 2023 签名的 Windows 引导管理器。

在此方案中,只需输入一次 BitLocker 恢复密钥 - 只要组策略配置保持不变,后续重启就不会触发 BitLocker 恢复界面。 有关查找 BitLocker 恢复密钥的帮助,请参阅 查找 BitLocker 恢复密钥一文。

在安装此更新前,建议企业审核其 BitLocker 组策略,确认是否明确包含 PCR7,并检查 msinfo32.exe 的 PCR7 绑定状态。 (请参阅下面的解决方法。)

解决方法 

在安装更新之前删除组策略配置 (建议)  

  1. 打开组策略编辑器(gpedit.msc)或你的组策略管理控制台。

  2. 导航到: 计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器

  3. 将“为本机 UEFI 固件配置 TPM 平台验证配置文件”设置为“未配置”。

  4. 在受影响的设备上运行以下命令以传播策略更改: gpupdate /force

  5. 运行以下命令以暂停 BitLocker (C: 驱动器上启用 BitLocker 的位置): manage-bde -protectors -disable C: 

  6. 运行以下命令以恢复 BitLocker (C: 驱动器上启用 BitLocker 的位置): manage-bde -protectors -enable C: 

  7. 这会更新 BitLocker 绑定以使用 Windows 选择的默认 PCR 配置文件。

计划在将来的 Windows 更新中永久解决此问题。 更多信息将在可用时提供。

安装 KB5070884 或更高版本更新后,Windows Server Update Services (WSUS) 不会在其错误报告中显示同步错误详细信息。 此功能已暂时移除,以解决远程执行代码漏洞 CVE-2025-59287。 

症状

安装此更新后,在某些情况下,打开远程桌面 (RDP) 文件时显示的安全警告可能不会正确显示。

如果使用具有不同显示缩放设置的多个监视器, (例如,一台显示器设置为 100%,另一台显示器设置为 125%) ,则可能会出现此问题。 发生这种情况时,警告窗口可能会显示重叠的文本或部分隐藏的按钮,这可能会使消息难以阅读或与之交互。

解决方法

此问题已在 KB5087545 中得到解决。

如何获取此更新

安装此更新

若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。

可用

下一步

不包括

此更新仅在Microsoft更新目录中可用。

如果要删除 LCU 

警告 在决定删除此更新之前,请参阅了解风险:为何不应卸载安全更新

若要在安装组合的 SSU 和 LCU 包后删除 LCU,请使用 DISM/Remove-Package 命令行选项,并将 LCU 包名称用作参数。 可以使用以下命令查找包名称:DISM /online /get-packages

在组合包上使用 /uninstall 开关运行 Windows 更新 独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。

文件信息

有关此更新中提供的文件列表,请下载带外更新55091575的文件信息。. 

有关服务堆栈更新中提供的文件列表,请下载 SSU (KB5082137) - 版本 20348.5021 的文件信息。 

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心