Den Fehler dokumentiert Microsoft in einem Eintrag des Release-Health-Dashboards. Demnach können Nicht-Global-Catalog-Domänencontroller in PAM-Umgebungen nach der Installation des April-2026-Updates KB5082063 und einem Neustart LSASS-Abstürze beim Hochfahren erleiden. Die Folge: Die betroffenen Server starten wiederholt neu, wodurch Authentifizierung und Verzeichnisdienste ausfallen und die Domäne unter Umständen vollständig unerreichbar wird.

Laut Microsoft kann der Fehler nicht nur auf bestehenden Systemen auftreten, sondern auch beim Aufsetzen neuer Domänencontroller – immer dann, wenn der Server bereits sehr früh im Startvorgang Authentifizierungsanfragen bearbeitet. Eingegrenzt ist das Problem auf Organisationen mit Privileged Access Management. Geräte, die nicht von einer IT-Abteilung verwaltet werden, sind nach Einschätzung des Herstellers nicht betroffen.

Die Liste der betroffenen Systeme umfasst Windows Server 2025, Windows Server 2022, Windows Server 23H2, Windows Server 2019 und Windows Server 2016. Eine Lösung wird laut Microsoft noch erarbeitet. Bis dahin rät das Unternehmen Administratoren, sich an den Microsoft Support für Unternehmen zu wenden – dort gibt es Gegenmaßnahmen, die sich auch nach der bereits erfolgten Installation des April-2026-Updates anwenden lassen.

Ähnliche durch Sicherheitsupdates ausgelöste Probleme an Domänencontrollern hat Microsoft in den vergangenen Jahren mehrfach behoben. Zuletzt löste der Hersteller im Juni 2025 Authentifizierungsprobleme bei Windows Server, die auf die Sicherheitsupdates vom April 2025 zurückgingen. Knapp ein Jahr zuvor, im Mai 2024, beseitigte Microsoft ein Problem, das nach den April-2024-Updates NTLM-Authentifizierungsfehler und Neustarts von Domänencontrollern verursachte. Im März 2024 wiederum musste das Unternehmen außerplanmäßige Out-of-Band-Updates nachschieben, um Abstürze von Domänencontrollern nach den März-Patches zu beheben.

Parallel untersucht Microsoft weitere Probleme rund um KB5082063: So scheitert das Update auf einigen Windows-Server-2025-Systemen bei der Installation. Außerdem warnte das Unternehmen, dass manche Windows-Server-2025-Geräte nach dem Einspielen des Updates zur Eingabe eines BitLocker-Schlüssels auffordern können.