マイクロソフトは、2026年4月14日にリリースされた4月2026年累積更新プログラムKB5082063(OSビルド26100.32690)を適用した後、Windows Server 2025ドメインコントローラーに影響を与える重大な既知の問題があることを確認しました。
影響を受けたドメインコントローラーは繰り返されるリスタートループに入っており、関連しているが別の問題が更新後のエンタープライズ管理システムでBitLocker回復プロンプトをトリガーしています。
Windowsサーバーのリブートループ問題
2026年4月のパッチ火曜日更新KB5082063は、マイクロソフトの月次基本セキュリティリリースサイクルの一部であり、Kerberos認証、Secure Boot証明書処理、Remote Desktopフィッシング保護、およびCVE-2026-0386に関連するWindows Deployment Services強化の修正を提供します。
しかし、2026年4月14~15日の展開直後に、システム管理者は、インストール後にドメインコントローラーが繰り返し再起動していることを報告し始めました。
マイクロソフトはその後、この動作を認める告知を発行し、影響を受けた人口を「限定的であり、普遍的ではない」と説明しました。
リブートループに加えて、多くのサーバーもインストール失敗エラーコード0x800F0983を返しており、KB5082063が正常に適用されるのを防いでいます。
マイクロソフトは診断データを積極的に監視しており、根本原因を調査していると述べていますが、最終的なエンジニアリング説明をまだ公開していません。
2次的な合併症には、以下のシステムで更新後に表示されるBitLocker回復プロンプトが含まれます:
- BitLockerはOSドライブで有効になっています
- TPMプラットフォーム検証ポリシーにはPCR7が含まれています
- Secure Boot State PCR7バインディングはmsinfo32で「不可能」として報告されています
マイクロソフトは、この条件はコンシューマーデバイスに影響を与える可能性は低く、主にエンタープライズIT管理環境に限定されると明確にしました。ポリシー構成が変わらない場合、回復キーは通常1回だけ入力する必要がありますが、この問題は回復キーアクセスが事前にステージングされていない無人またはリモート管理サーバーに対して深刻な運用リスクをもたらします。
この問題は、OSビルド26100.32690を実行しているすべてのエディションのWindows Server 2025に適用されます。ドメインコントローラーの再起動ループはマイクロソフトのKB5082063リリースドキュメンテーションで直接既知の問題として記載されており、WSUSが同期エラーの詳細を表示していない、RCE脆弱性CVE-2025-59287に対処するためにKB5070881の後に導入された制限と一緒に記載されています。
管理者向けの推奨アクション
セキュリティチームとサーバー管理者は、以下の手順を実行することをお勧めします:
- 複数の障害が観察された場合、本番環境のWindows Server 2025システム全体への幅広いロールアウトを一時停止します
- 暗号化されたシステムでそれ以上の再起動を試みる前に、BitLocker回復キーを収集します
- イベントビューアのWindowsUpdateClient >操作で正確な失敗コードとタイムスタンプを確認します
- コンポーネントストアの破損が疑われる場合、DISM修復を実行します(
DISM /Online /Cleanup-Image /RestoreHealthおよびsfc /scannow) - 最初に単一の代表的なシステムをトリアージすることなく、本番フロート全体で繰り返されるインストール再試行を避けます
2026年4月17日の時点で、マイクロソフトはリブートループ問題に対するアウトオブバンド(OOB)修正をリリースしていません。同社は診断テレメトリーの監視を続けており、Windows Release Health DashboardおよびOfficial Support Channelsを通じたさらなるアップデートを約束しています。
クリティカルな役割でWindows Server 2025を実行している組織は、マイクロソフトが確認された解決パスを提供するまで、緊急でないパッチを延期することをお勧めします。
翻訳元: https://gbhackers.com/microsoft-acknowledges-reboot-loop-issue-on-windows-servers/
