Microsoft heeft bevestigd dat sommige Windows-domeincontrollers na het installeren van de beveiligingsupdates van april 2026 in herstartlussen terechtkomen. Dit wordt veroorzaakt door crashes van de Local Security Authority Subsystem Service (LSASS) tijdens het opstarten. De problemen doen zich voor bij niet-Global Catalog (non-GC) domeincontrollers in omgevingen die gebruikmaken van Privileged Access Management (PAM).

Volgens Microsoft kunnen beheerders dit probleem ook tegenkomen bij het opzetten van nieuwe domeincontrollers of bij bestaande servers die authenticatieverzoeken verwerken in een vroeg stadium van het opstartproces. Door de LSASS-crashes starten de getroffen domeincontrollers herhaaldelijk opnieuw op, waardoor authenticatie en directoryservices niet functioneren en het domein mogelijk onbereikbaar wordt. Dit probleem treft uitsluitend organisaties die PAM gebruiken en heeft waarschijnlijk geen impact op persoonlijke apparaten die niet door een IT-afdeling worden beheerd.

De getroffen systemen draaien op Windows Server 2025, Windows Server 2022, Windows Server 23H2, Windows Server 2019 en Windows Server 2016. Microsoft werkt nog aan een oplossing, maar adviseert IT-beheerders contact op te nemen met Microsoft Support for Business voor mogelijke mitigatiemaatregelen die ook na installatie van de aprilupdate kunnen worden toegepast.

In de afgelopen jaren heeft Microsoft meerdere problemen met domeincontrollers veroorzaakt door beveiligingsupdates opgelost. Zo werden in juni 2025 authenticatieproblemen verholpen die waren ontstaan na de april 2025 updates. Eerder, in mei 2024, werd een issue opgelost dat NTLM-authenticatiefouten en herstarts van domeincontrollers veroorzaakte na de april 2024 updates. In maart 2024 werden noodupdates uitgebracht om crashes van domeincontrollers na de maart 2024 patches te verhelpen.

Daarnaast onderzoekt Microsoft een apart probleem waarbij de KB5082063 update van april 2026 niet op sommige Windows Server 2025 systemen kan worden geïnstalleerd. Ook waarschuwde het bedrijf dat sommige Windows Server 2025 apparaten na installatie van deze update kunnen vragen om een BitLocker-sleutel.