Wie erkenne ich, ob ich vom Problem betroffen bin?

Typische Symptome sind: ein Domain Controller, der sich nach der KB5082063-Installation kontinuierlich neu startet, Systemprotokolle mit LSASS-Crash-Ereignissen (Event ID 1000 oder 4625), Active Directory für Clients nicht erreichbar, Kerberos/NTLM-Authentifizierung blockiert. Außerdem schlägt das Update auf einigen Windows Server 2025 fehl, und auf anderen Systemen kann nach einem Neustart eine unerwartete BitLocker-Wiederherstellungsschlüssel-Abfrage erscheinen. Wenn eines dieser Anzeichen direkt nach dem Patch-Zyklus April 2026 auftritt, ist es sehr wahrscheinlich das KB5082063-Problem.

Was tun, wenn ich KB5082063 bereits installiert habe?

Microsoft arbeitet an einer endgültigen Lösung; in der Zwischenzeit bietet das Unternehmen Workarounds über den Enterprise-Support. In der Wartezeit sind die operativen Mitigationen: (1) den DC im Verzeichnisdienst-Wiederherstellungsmodus starten und einen Pre-Patch-Snapshot wiederherstellen, falls verfügbar; (2) in Umgebungen mit mehreren DCs den abstürzenden vorübergehend isolieren und die Authentifizierungen über die verbleibenden DCs leiten, mit Priorität auf den Global Catalog; (3) die BitLocker-Wiederherstellungsschlüssel der Server griffbereit halten, da das verwandte Problem deren manuelle Eingabe erfordern kann; (4) die weitere KB5082063-Verteilung auf noch nicht aktualisierten DCs aussetzen, bis die offizielle Lösung veröffentlicht wird.

Wie verhindere ich ein ähnliches Problem beim nächsten Microsoft-Patch?

Drei Dinge sind erforderlich: ein strukturiertes Patch-Management-Verfahren, das Microsoft-Updates in einem Pilotring vor den produktiven DCs testet; ein konsistenter Snapshot oder ein anwendungsbewusstes Backup des DC unmittelbar vor jedem Patch, mit getestetem Wiederherstellungsverfahren; aktive Überwachung von Microsoft Release Health und der Bulletins im Microsoft 365 Admin Center, um Hinweise auf bekannte Probleme abzufangen, bevor der Ausfall in der Produktion auftritt. Für KMU ohne dediziertes Team ist die Auslagerung des Patch-Managements mit kontrollierten Fenstern oft sicherer als das sofortige Installieren von Updates.

Soll KB5082063 trotzdem installiert werden?

Ja, aber kontrolliert. KB5082063 enthält auch wichtige Sicherheitskorrekturen, die Teil des Patch Tuesday vom April 2026 sind und langfristig nicht ignoriert werden können. Die Empfehlung lautet: die automatische Verteilung des Patches auf Domain Controllern (besonders Nicht-Global-Catalog-DCs in PAM-Umgebungen) bis zur Veröffentlichung der Microsoft-Korrektur oder eines offiziellen Workarounds aussetzen, die Installation auf Workstations, File-Servern und Anwendungsservern beibehalten, Windows Server Release Health auf den Lösungshinweis überwachen und die endgültige Korrektur auf allen DCs mit derselben Vorsicht anwenden.

KB5082063 April 2026: Domain Controller mit LSASS-Crash und BitLocker Recovery, was tun

Q: Was ist KB5082063 und welche Systeme sind betroffen?

KB5082063 ist das kumulative Microsoft-Sicherheitsupdate für Windows Server, veröffentlicht im April 2026. Microsoft hat bestätigt, dass nach der Installation einige Domain Controller aufgrund eines LSASS-Fehlers (Local Security Authority Subsystem Service) in eine endlose Neustart-Schleife geraten können. Das Problem betrifft hauptsächlich Domain Controller, die kein Global Catalog sind, in Umgebungen mit aktivem Privileged Access Management (PAM). Betroffene Versionen sind Windows Server 2016, 2019, 2022, 23H2 und 2025.

Alle News

28. April 2026·MicrosoftWindows ServerActive DirectoryPatch ManagementCybersecurity

UpdateKB5082063, April 2026

AuswirkungenLSASS-Crash, BitLocker Recovery

SystemeWindows Server 2016 → 2025

Was ist passiert

Nach der Installation des Microsoft-Updates KB5082063, ausgeliefert mit dem Patch Tuesday vom April 2026, geraten einige Windows Server Domain Controller aufgrund eines Fehlers in LSASS (Local Security Authority Subsystem Service) in eine endlose Neustart-Schleife. Microsoft hat das Problem als bekanntes Problem im Release Health des Produkts anerkannt und weist darauf hin, dass es vor allem Domain Controller betrifft, die keine Global Catalogs sind und in Umgebungen mit aktivem Privileged Access Management (PAM) arbeiten. Betroffen sind Windows Server 2016, 2019, 2022, 23H2 und 2025.

Microsoft hat auch ein zweites verwandtes Problem anerkannt: Auf einigen Windows Server 2025 lässt sich das Update nicht korrekt installieren, und auf anderen Systemen kann nach dem Installations-Neustart eine unerwartete BitLocker-Wiederherstellungsschlüssel-Abfrage erscheinen — ein Ereignis, das, wenn der Schlüssel nicht korrekt archiviert wurde, einen Server unzugänglich machen kann. Die endgültige Lösung ist in Arbeit; in der Zwischenzeit bietet Microsoft Workarounds über den Enterprise-Support.

Wie das Problem zu erkennen ist

Die Symptome sind konkret und innerhalb weniger Stunden nach der Installation von KB5082063 sichtbar. Wenn eines der folgenden direkt nach dem Patch-Zyklus April 2026 auftritt, ist es sehr wahrscheinlich das bekannte Microsoft-Problem:

Domain Controller im Dauer-Neustart — der Server startet in Schleife neu, oft ohne den Dienststart abzuschließen. Im Ereignisprotokoll erscheinen LSASS-Abstürze (Event ID 1000), 4625-Fehler bei der Authentifizierung und Application-Log-Einträge zum Sicherheitssubsystem.
Active Directory nicht erreichbar — die Clients können sich nicht anmelden, Gruppenrichtlinien werden nicht angewendet, Kerberos/NTLM-Aufrufe scheitern. Wenn der betroffene DC der einzige für eine Niederlassung erreichbare ist, geht der ganze Standort offline.
BitLocker-Recovery-Abfrage nach Neustart — einige Server zeigen nach dem Neustart die Abfrage des BitLocker-Wiederherstellungsschlüssels. Wenn der Schlüssel nicht in Active Directory oder Microsoft Entra ID archiviert ist, bleibt das System gesperrt.
Fehlschlag der Installation auf Windows Server 2025 — das Paket lässt sich auf einigen 2025-Systemen nicht korrekt anwenden und hinterlässt den Server in einem Teil-Patch-Zustand, der bis zum nächsten kumulativen Update zu abnormalem Verhalten führen kann.

Operative Mitigationen

Während die Microsoft-Korrektur erwartet wird, hier die Maßnahmen mit sofortiger Wirkung in der Produktion:

1KB5082063 auf noch nicht aktualisierten DCs aussetzen — über WSUS, Windows Update for Business oder SCCM/Intune-Richtlinien die Verteilung von KB5082063 auf den Domain Controllern bis zur Korrektur pausieren, den Patch jedoch auf Workstations, File-Servern und Anwendungsservern weiter ausrollen.
2Pre-Patch-Snapshot auf betroffenen DCs wiederherstellen — wenn ein konsistenter Snapshot vor der Installation existiert, ist der Rollback der schnellste Weg. Auf einem DC muss der Rollback immer mit der Active-Directory-Replikation koordiniert werden, um unbeabsichtigte USN-Rollbacks zu vermeiden. Backup und Disaster Recovery.
3Den abstürzenden DC isolieren und Authentifizierungen umleiten — wenn mehrere DCs vorhanden sind, den betroffenen vorübergehend aus der Client-DNS-Auflösung ausschließen (durch Entfernen aus den SRV-Records oder Herunterfahren) und die Authentifizierungen auf die gesunden DCs leiten, mit Priorität auf den Global Catalog.
4BitLocker-Schlüssel der Server bereitstellen — vorab prüfen, ob die Wiederherstellungsschlüssel der Server in Active Directory oder Microsoft Entra ID archiviert sind. Für Umgebungen, in denen das nicht vorgesehen ist, ist jetzt der Moment, das automatische Schlüssel-Escrow zu aktivieren, um nicht mit einem verschlüsselten Server und keinem Schlüssel zur Hand dazustehen. Microsoft 365 und Identität.
5Enterprise-Fall mit Microsoft eröffnen — die offiziellen Workarounds für den LSASS-Crash werden derzeit über den Enterprise-Support bereitgestellt. Wenn das Problem blockierend ist, ist dies der schnellste und nachvollziehbarste offizielle Weg.

Strukturiertes Patch-Management als Prävention

KB5082063 ist nicht das erste Microsoft-Update, das Probleme in den Kernkomponenten der Domain Controller verursacht, und wird nicht das letzte sein. Derselbe April-Zyklus 2026 brachte auch das Thema Kerberos-Enforcement und RC4 auf Active Directory. Für KMU lautet die operative Lehre: Microsoft-Updates werden nicht «im Vorbeigehen» auf kritischen Systemen installiert. Es braucht kontrollierte Fenster, Pre-Patch-Snapshots, einen Pilotring und eine dokumentierte Rollback-Matrix.

AtWorkStudio verwaltet das Patch-Management der kritischen Systeme der Kunden mit Verteilungsringen, Pre-Production-Tests, konsistenten Snapshots und vereinbarten Fenstern für risikoreiche Installationen. Wir arbeiten seit 2000 von Piacenza (Italien) aus. Wir sind nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert, ACN-qualifiziert für SaaS-Cloud-Dienste, Mitglied von Clusit (italienischer Verband für Informationssicherheit) und assoziiert mit Confindustria Piacenza im RICT-Cluster.

Quellen

Microsoft Release Health — Windows Server, bekanntes Problem LSASS-Crash auf Domain Controllern nach KB5082063 (April 2026)
Microsoft Security Update Guide — KB5082063, April 2026 (Windows Server 2016/2019/2022/23H2/2025)
Microsoft 365 Admin Center — Hinweis bekanntes Problem zur BitLocker-Recovery-Schlüssel-Abfrage nach dem Patch
Red Hot Cyber — «Microsoft-Alarm: der April-Patch kann die Unternehmensauthentifizierung blockieren» (20. April 2026)

Mehr erfahren

Cybersecurity-Dienste Microsoft 365 Backup und Disaster Recovery Incident Response & Recovery Kerberos-Enforcement und RC4 Kontakt

Häufig gestellte Fragen

Antworten auf die häufigsten Fragen zu KB5082063, LSASS-Crashes auf Domain Controllern und BitLocker Recovery.

Domain Controller im Crash oder Patch zu verwalten?

Wenn Sie KB5082063 installiert haben und ein DC in einer Reboot-Schleife festhängt, können wir im Notfall eingreifen. Wenn Sie das Patch-Management strukturieren möchten, um Wiederholungen zu vermeiden, helfen wir gerne.

Kontakt Cybersecurity-Dienste

KB5082063:Domain Controller im Crash nach dem April-Patch