Najnowszy system operacyjny serwera Microsoft, Windows Server 2025, obecnie zmaga się ze znaczącymi znanymi problemami, w szczególności wadą krytycznego uwierzytelnienia wynikającą z aktualizacji bezpieczeństwa z 8 kwietnia (w tym kB5055523 . Ta wada, która powoduje awarie logowania Kerberosa, jest bezpośrednio powiązana z środkami bezpieczeństwa zaimplementowanymi dla cve-2025-26647 vulnevabil. Problem wpływa nie tylko na system Windows Server 2025, ale także starsze wersje, takie jak Windows Server 2022, 2019 i 2016, zgodnie z Microsoft . może zakłócać Hello za biznes (whfb) Kluczowe konfiguracje zaufania i systemy uwierzytelniania klucza publicznego. Microsoft potwierdził, że „może to spowodować problemy z uwierzytelnianiem w systemie Windows Hello For Business (WHFB) Kluczowe środowiska zaufania lub środowiska, które wdrożyły uwierzytelnianie klucza publicznego urządzenia (znane również jako maszynowe pKINIT).”
Dodanie do administracyjnych problemów z obsługą, unikalne dla systemu systemu Windows Server 2025 obejmuje kontrolę domeny niepoprawne zarządzanie systemem, potencjalnie prowadząc do usługi.
Podczas gdy Microsoft zapewnia obejścia i niedawno rozwiązał inne błędy-takie jak wpływa href=”https://support.microsoft.com/topic/Novber-12-2024-KB5046617-os-build-26100-2314-701f76d0-1127-43f5-a554-f562a940bc17″tarm href=”https://support.microsoft.com/topic/fute-11-2025-kb5051987-os-build-26100-3194-6cc1a435-9c1a-42b8-8c4d-b342537844452″niereagujący -Obecne wyzwania stabilności podkreślają złożoność zarządzania serwerami korporacyjnymi. Administratorzy są zachęcani do zapoznania się z oficjalnymi wskazówkami Microsoft dotyczącymi najnowszych etapów statusu i łagodzenia.
Kerberos conundrum i kontrolera domeny odłączenia
Podstawową troską wielu organizacji jest problem uwierzytelniania Kerberos. Microsoft oficjalnie stwierdził: „Po zainstalowaniu kwietniowej miesięcznej aktualizacji bezpieczeństwa wydanej 8 kwietnia 2025 r. (KB5055523/KB5055526/KB5055519/KB505521) lub później, aktywne kontrolery domeny (DC) mogą wystąpić podczas przetwarzania logowania Kerberos lub delegation Pole MSDS-KeyCredententialLink. “
Problem jest bezpośrednio powiązany z miarami bezpieczeństwa dla CVE-2025-26647. Microsoft wyjaśnił, że z tą podatnością „atakującego, który z powodzeniem wykorzystał tę podatność, może przypisać o wiele większe prawa przez kluczowe centrum dystrybucji do certyfikatu niż zamierzone” i szczegółowo opisał, że „uwierzytelniony atakujący może wykorzystać tę podatność na podatność, uzyskując certyfikat docelowego podmiotowego identyfikatora kluczowego (Ski) z certyfikatu (CA). Użytkownik docelowy z kluczowego centrum dystrybucji (KDC).”
Aktualizacje kwietniowe zmieniły sposób, w jaki kontrolery domeny sprawdzają certyfikaty, sprawdzając teraz, czy są one łańcuchowe w sklepie NTAUTH, kontrolowane przez zachowanie za pośrednictwem klucza rejestru„ allowtauthpolicyBySt` href=”https://support.microsoft.com/help/5057784″Target=”_ blank”> KB5057784 Dokumentacja . Chociaż systemy klientów nie mają wpływu, wpływ po stronie serwera jest szeroki.
Zalecane obejście obejmuje ustalenie wartości rejestru „allowntauthpolicyByPass` na„ 1 “, jak opisano w KB5051987 ) zostały ustalone w aktualizacji kwietnia 2025 r. ( KB5055523 ). Ta sama kwietniowa aktualizacja również naprawione problemy z uwierzytelnianiem powiązane z nieudaną rotacją hasła w określonym i strażnicza straż scenariusze i denerwowanie, gdzie niektóre tekstu w języku angielskim pojawiają się w języku angielskim w języku angielskim. Instalacje nieanglojęzyczne z mediów.
Dodatkowo problem powodujący nieoczekiwane aktualizacje systemu Windows Server 2019 i 2022 do systemu Windows Server 2025, gdy zarządzane przez niektóre aplikacje trzecich partyjnych zostało złagodzone, według Microsoft Learn .
szersze zmiany platformy: przykład hotpatching
poza natychmiastowymi poprawkami błędów, organizacje przyjmujące system Windows Server 2025, który Microsoft opisuje w Omówienie nowych funkcji jako dostarczanie „Zwiększenia bezpieczeństwa i nowe możliwości hybrydowe w chmurze w wysokiej wydajności, AI-Capabiling Platform”, są również platformą. Znaczącym rozwojem jest przesunięcie funkcji Hotpatching dla zarządzanego przez Azure Windows Server 2025 na płatny model subskrypcji, z obowiązującym 1 lipca 2025 r. Ta funkcja, początkowo reklamowana jako kluczowa możliwość ograniczenia ponownego uruchamiania, gdy Windows Server 2025 będzie kosztował 1,50 USD za rdzeń procesora rocznie na standardowe edycje i danych danych w zakresie edycji. Ta usługa obsługi Azure ARC kończy się 30 czerwca 2025 r. Hari Pulapaka, dyrektor generalny Microsoft w systemie Windows Server, wcześniej opisywał entuzjastycznie hotpatching, stwierdzając: „Ta funkcja będzie zmieniającą się w grę; Prostsza kontrola zmian, krótsze okna łatek, łatwiejsza orkiestracja… i możesz wreszcie zobaczyć swoją rodzinę w weekendy. “
Ta zmiana oznacza, że organizacje muszą teraz zważyć koszty subskrypcji w stosunku do korzyści operacyjnych potencjalnie mniejszych ponownych uruchamiania, chociaż HotPatching pozostaje uwzględnioną funkcją Datacentera Server Windows Server:
