Dimanche 19 avril 2026, Microsoft a publié en urgence des mises à jour hors bande pour corriger des problèmes affectant plusieurs versions de Windows Server et les domaines Active Directory. Voici ce que l’on sait.

Des correctifs d’avril 2026 mal digérés par les DC

Depuis le déploiement des mises à jour cumulatives d’avril 2026, la situation s’est dégradée pour certains administrateurs de serveurs sous Windows Server. En effet, plusieurs problèmes ont rapidement émergé et ils ont été confirmés par Microsoft.

La firme de Redmond a d’abord confirmé qu’il y avait parfois des échecs lors de l’installation de la mise à jour de sécurité KB5082063 sur les machines équipées de Windows Server 2025. Dans le cas où l’installation réussit, un autre dysfonctionnement peut affecter les machines Windows Server avec le chiffrement BitLocker actif et configuré d’une certaine façon. Elles sont susceptibles d’entrer en mode de récupération BitLocker, mais comme pour Windows 11, il faut respecter des conditions bien spécifiques (cas isolés). Toutes les conditions suivantes doivent être réunies pour qu’une machine soit affectée :

• L’appareil n’exécute pas déjà le Windows Boot Manager signé avec le certificat de 2023.
• BitLocker est activé sur le lecteur du système d’exploitation.
• La stratégie de groupe (GPO) “Configurer le profil de validation de la plate-forme TPM pour les configurations de microprogramme UEFI natif” est configurée, et le composant PCR7 est inclus dans le profil de validation (ou la clé de Registre équivalente est configurée manuellement).
• L’utilitaire d’Informations système () indique que l’état de la liaison PCR7 est “Impossible”.
• Le certificat Windows UEFI CA 2023 est présent dans la base de données de signatures (DB) du Secure Boot de l’appareil, ce qui le rend éligible pour que le Gestionnaire de démarrage Windows (Windows Boot Manager) signé en 2023 soit défini par défaut.

Mais ce n’est pas le pire : de nombreux serveurs Windows configurés en tant que contrôleurs de domaine (DC) sont affectés par un bug qui entraîne des redémarrages en boucle. Et ça, c’est particulièrement désagréable et mauvais pour la production. Cette instabilité pouvant rendre indisponible le domaine et perturber l’authentification est liée à des plantages du processus LSASS.

Tous les environnements ne sont pas affectés, comme l’explique la firme de Redmond sur son site web : “Après avoir installé la mise à jour de sécurité Windows du 14 avril 2026 (KB5082063) et redémarré, les contrôleurs de domaine avec des forêts multi-domaines qui utilisent Privileged Access Management (PAM) peuvent rencontrer des problèmes de démarrage.”

Des mises à jour d’urgence (OOB) pour rectifier le tir

Afin de pallier ce dysfonctionnement affectant les contrôleurs de domaine (et le problème d’installation pour Windows Server 2025), la firme de Redmond a publié de nouvelles mises à jour hors bande.

“La mise à jour hors bande (OOB) de Windows Server 2025 (KB5091157) corrige à la fois le problème d’échec de l’installation et celui lié au redémarrage du contrôleur de domaine.”, précise Microsoft.

Si vous gérez des serveurs, voici la liste de ces nouvelles mises à jour :

• Windows Server 2025 : KB5091157 (OS Build 26100.32698)
• Windows Server, version 23H2 : KB5091571 (OS Build 25398.2276)
• Windows Server 2022 : KB5091575 (OS Build 20348.5024)
• Windows Server 2019 : KB5091573 (OS Build 17763.8647)
• Windows Server 2016 : KB5091572 (OS Build 14393.9062)
• Windows Server 2025 Datacenter (Azure Edition) : Hotpatch KB5091470
• Windows Server 2022 Datacenter (Azure Edition) : Hotpatch KB5091576

Il est recommandé d’installer ces nouvelles mises à jour directement, en particulier sur les contrôleurs de domaine et l’ensemble des serveurs sous Windows Server 2025.

Si vous avez déjà installé la mise à jour d’avril 2026, vous pouvez installer celle-ci “par-dessus”, Windows Server installera uniquement le différentiel. “Si vous avez installé des mises à jour antérieures, votre appareil télécharge et installe uniquement les nouvelles mises à jour contenues dans ce package.”, précise Microsoft.

Ces mises à jour ne sont pas attendues dans Windows Update, vous devez passer par le catalogue Microsoft Update pour récupérer les paquets d’installation. Ce lien devrait vous aider à trouver votre bonheur.