Microsoft corrige les boucles de redémarrage des contrôleurs de domaine Windows Server KB5082063

Microsoft a publié le 19 avril 2026 un correctif d'urgence pour une faille critique dans sa mise à jour KB5082063 du Patch Tuesday d'avril qui entraînait les contrôleurs de domaine Windows Server dans des boucles de redémarrage continu.

La mise à jour hors bande est la suivante : KB5091157 (OS Build 26100.32698) pour Windows Server 2025et KB5091575 (OS Build 20348.5024) pour Windows Server 2022. Les deux sont disponibles dès maintenant via Windows Update, le catalogue de mises à jour de Microsoft et WSUS.

Ce qui n'allait pas

KB5082063, publiée le 14 avril, a provoqué des pannes du service Local Security Authority Subsystem Service, connu sous le nom de LSASS, sur les contrôleurs de domaine ne faisant pas partie du catalogue global et fonctionnant dans des environnements utilisant la gestion des accès privilégiés (PAM). LSASS est le composant Windows qui traite les demandes d'authentification et applique la politique de sécurité dans un domaine.

Lorsqu'il se bloque au démarrage, le serveur redémarre, se bloque à nouveau et redémarre à nouveau, ce qui bloque la machine dans une boucle. Dans certains cas, le problème est également apparu lors de la configuration d'un nouveau contrôleur de domaine, ou sur des serveurs qui ont commencé à traiter les demandes d'authentification au début de la séquence de démarrage.

Les contrôleurs de domaine concernés ne pouvaient donc pas authentifier les utilisateurs ou les services, ce qui, dans certains cas, rendait l'ensemble du domaine indisponible jusqu'à ce que le serveur soit récupéré manuellement.

Plates-formes concernées

Le problème affectait les contrôleurs de domaine fonctionnant sous Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016 et Windows Server version 23H2. Les appareils personnels et les machines non gérées par un service informatique n'ont pas été affectés.

Trois problèmes, une mise à jour

La boucle de redémarrage est le troisième problème connu lié à KB5082063 une semaine après sa publication. Microsoft avait déjà confirmé que la même mise à jour déclenchait des problèmes liés à l'utilisation de BitLocker au premier redémarrage pour certains appareils Windows Server 2025 et Windows 11 et, séparément, qu'elle ne s'installait pas complètement sur certains systèmes Windows Server 2025 avec le code d'erreur 0x800F0983.

Malgré cette série de problèmes, Microsoft n'a pas retiré la mise à jour. KB5082063 corrige 167 vulnérabilités, dont deux sont activement exploitées, ce qui fait d'un retour en arrière complet un risque de sécurité important pour les environnements d'entreprise.

C'est la troisième fois en avril que la mise à jour mensuelle de Microsoft pour les serveurs perturbe les contrôleurs de domaine. En mars 2024, un correctif d'urgence a été nécessaire après le Patch Tuesday de ce mois-là avait provoqué le blocage pur et simple des contrôleurs de domaine. En avril 2024, l'authentification NTLM a été interrompue et des redémarrages imprévus ont été nécessaires. Avril 2025 a introduit des problèmes d'authentification Active Directory qui ont nécessité une correction séparée en juin 2025.