应用对象
Windows Server 2025, all editions

发布日期:

2026/4/19

版本:

OS 内部版本 26100.32698

此适用于 Windows Server 2025 (KB5091157) 的带外 (OOB) 更新是非安全的累积更新。

改进

此带外更新包含 2026 年 4 月 14 日发布的 KB5082063 () 的质量改进。 以下摘要概述了此带外更新解决的关键问题。 括号中的粗体文本指示更改的项目或区域。

  • [Active Directory] 已修复:安装 2026 年 4 月 Windows 安全更新并重启后,域控制器 (DC) 使用 Privileged Access Management (PAM)的多域林可能会遇到启动问题。 在某些情况下,本地安全机构子系统服务 (LSASS) 可能会停止响应,导致重复重启,并阻止身份验证和目录服务,这可能会使域不可用。

  • [Windows 更新安装] 已修复:少量Windows Server 2025 设备可能无法安装 2026 年 4 月 14 日 Windows 安全更新 (KB5082063)。 发生此问题时,受影响的设备可能会显示以下错误消息之一:“安装错误:0x800F0983”或“某些更新文件丢失或出现问题。 稍后我们将尝试再次下载更新。 错误代码:0x80073712。”

如果安装了早期更新,则设备仅下载并安装此包中包含的新更新。

Windows Sever 2025 服务堆栈更新 (KB5082062) -26100.32692

此更新对服务堆栈进行了质量改进,服务堆栈是安装 Windows 更新的组件。 服务堆栈更新 (SSU) 可确保你拥有强大且可靠的服务堆栈,让你的设备可以接收和安装 Microsoft 更新。 若要详细了解 SU,请参阅 简化服务堆栈更新的本地部署

此更新中的已知问题

症状

安装此更新后,某些配置了不推荐的 BitLocker 组策略的设备可能需要在首次重启时输入其 BitLocker 恢复密钥。

此问题仅影响有限数量的系统,其中所有以下条件都为 true。 在不受 IT 部门管理的个人设备上,这些条件几乎不会满足。

  1. BitLocker 在 OS 驱动器上启用。

  2. 组策略“为本机 UEFI 固件配置 TPM 平台验证配置文件”已配置,且验证配置文件中包含 PCR7 (或手动设置了等效的注册表项)。

  3. 系统信息(msinfo32.exe)将安全启动状态 PCR7 绑定报告为“不可能”。

  4. Windows UEFI CA 2023 证书存在于设备的安全启动签名数据库(DB)中,使设备有资格将 2023 签名的 Windows 引导管理器设为默认。

  5. 设备尚未运行 2023 签名的 Windows 引导管理器。

在此方案中,只需输入一次 BitLocker 恢复密钥 - 只要组策略配置保持不变,后续重启就不会触发 BitLocker 恢复界面。 有关查找 BitLocker 恢复密钥的帮助,请参阅 查找 BitLocker 恢复密钥一文。

在安装此更新前,建议企业审核其 BitLocker 组策略,确认是否明确包含 PCR7,并检查 msinfo32.exe 的 PCR7 绑定状态。 (请参阅下面的选项 1。)

解决方法 

此问题已在 KB5094125 中得到解决。 安装 KB5094125 后, 将阻止具有此不兼容组策略配置的设备安装 2023 签名的 Windows 启动管理器。 如果设备受到影响,安装 Windows 更新时,事件 ID 1032 将显示在系统事件日志中:“由于已知与当前 BitLocker 配置不兼容,未应用安全启动更新启动管理器 (2023) 。

如果收到事件 ID 1032,Microsoft强烈建议在安装更新之前删除组策略配置,以便可以安装 2023 年签名的 Windows 启动管理器并继续接收最新的安全启动保护。

在安装更新之前删除组策略配置 (建议)  

  1. 打开组策略编辑器(gpedit.msc)或你的组策略管理控制台。

  2. 导航到: 计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器

  3. 将“为本机 UEFI 固件配置 TPM 平台验证配置文件”设置为“未配置”。

  4. 在受影响的设备上运行以下命令以传播策略更改: gpupdate /force

  5. 运行以下命令以挂起 BitLocker (如果在 C: 驱动器上启用了 BitLocker) :manage-bde -protectors -disable C:

  6. 运行以下命令以恢复 BitLocker (如果在 C: 驱动器上启用了 BitLocker) : manage-bde -protectors -enable C:

  7. 这会更新 BitLocker 绑定以使用 Windows 选择的默认 PCR 配置文件。

如果不希望删除此组策略配置,可以通过暂时挂起 BitLocker 并安装安全启动更新来安装新的 Windows 启动管理器。 要执行此操作:

  1. 如果已在 C: 驱动器上启用了 BitLocker,请运行以下命令来挂起 BitLocker) (: manage-bde -protectors -disable C:

  2. 运行以下命令: Start-ScheduledTask -TaskName“\Microsoft\Windows\PI\Secure-Boot-Update”

  3. 重启设备。

  4. 成功安装新的 Windows 启动管理器后,通过运行以下命令来启用 BitLocker: manage-bde -protectors -enable C:

安装 KB5070881 或更高版本更新后,Windows Server Update Services (WSUS) 不会在其错误报告中显示同步错误详细信息。 此功能已暂时移除,以解决远程执行代码漏洞 CVE-2025-59287。 

症状

安装此更新后,在某些情况下,打开远程桌面 (RDP) 文件时显示的安全警告可能不会正确显示。

如果使用具有不同显示缩放设置的多个监视器, (例如,一台显示器设置为 100%,另一台显示器设置为 125%) ,则可能会出现此问题。 发生这种情况时,警告窗口可能会显示重叠的文本或部分隐藏的按钮,这可能会使消息难以阅读或与之交互。

解决方法

此问题已在KB5087539 中得到解决。

如何获取此更新

安装此更新之前

Microsoft现在将操作系统的最新服务堆栈更新 (SSU) 与最新的累积更新 (LCU) 相结合。 有关 SSU 的一般信息,请参阅 服务堆栈更新

安装此更新

若要安装此更新,请使用以下 Windows 和 Microsoft 发布通道之一。

可用

下一步

不包括

参阅其他选项。

如果要删除此更新

警告:在决定删除此更新之前,请参阅 了解风险:为何不应卸载安全更新

若要在安装组合的 SSU 和 LCU 包后删除此更新,请使用 DISM/Remove-Package 命令行选项以及 LCU 包名称作为参数。 可以使用以下命令查找包名称:DISM /online /get-packages

在组合包上使用 /uninstall 开关运行 Windows 更新 独立安装程序 (wusa.exe) 将不起作用,因为组合包包含 SSU。 安装后,无法从系统中删除 SSU。

文件信息

有关此更新中提供的文件列表,请下载累积更新5091157的文件信息。 

有关服务堆栈更新中提供的文件列表,请下载 SSU (KB5082062) - 版本 26100.32692 的文件信息。

更改日志

更改日期

更改说明

2026 年 6 月 4 日

更正了“目录”选项卡上的 x64 .msu 更新字符串,KB5091157 (此更新)

2026 年 4 月 27 日

更正了已知问题“与远程桌面相关的警告可能无法正确显示”

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心