Microsoft đã xác nhận một sự cố nghiêm trọng ảnh hưởng đến các bộ điều khiển miền (Domain Controllers) trên Windows Server 2025 sau khi triển khai bản vá bảo mật tích lũy KB5082063 của đợt Patch Tuesday tháng 4 năm 2026. Các máy chủ bị ảnh hưởng đang gặp phải tình trạng khởi động lại liên tục sau khi cài đặt cập nhật này, tạo ra một rủi ro bảo mật đáng kể cho môi trường doanh nghiệp.
Sự cố Bản vá KB5082063 và Windows Server 2025
Bản cập nhật tích lũy KB5082063 (OS Build 26100.32690) được phát hành vào ngày 14 tháng 4 năm 2026. Đây là một cập nhật bản vá bảo mật hàng tháng tiêu chuẩn dành cho Windows Server 2025. Gói cập nhật này bao gồm các bản vá bảo mật mới nhất cùng với những cải tiến không liên quan đến bảo mật từ bản xem trước tùy chọn tháng 3.
Tuy nhiên, vào ngày 16 tháng 4 năm 2026, nhật ký thay đổi chính thức của Microsoft đã được cập nhật để bao gồm một sự cố đã biết. Thông báo nêu rõ: “Các bộ điều khiển miền có thể khởi động lại liên tục sau khi cài đặt bản cập nhật này”.
Sự cố vòng lặp khởi động lại này đã được gắn cờ, gây ra mối lo ngại nghiêm trọng cho các quản trị viên IT doanh nghiệp. Việc bộ điều khiển miền không ổn định có thể dẫn đến gián đoạn dịch vụ Active Directory, ảnh hưởng đến xác thực và ủy quyền trong toàn bộ mạng lưới.
Vòng Lặp Khởi Động Lại Trên Domain Controllers
Các quản trị viên hệ thống đã báo cáo trên diễn đàn Reddit’s Patch Tuesday về việc gặp phải tình trạng này. Một quản trị viên đã ghi nhận bộ điều khiển miền của họ “mắc kẹt trong vòng lặp khởi động lại” ngay sau khi cài đặt KB5082063.
Trong các trường hợp này, khởi động vào Chế độ Khôi phục Dịch vụ Thư mục (DSRM – Directory Services Restore Mode) được báo cáo là vẫn hoạt động. DSRM cho phép quản trị viên truy cập vào các công cụ quản lý Active Directory để gỡ lỗi hoặc khôi phục.
Quan trọng hơn, việc gỡ cài đặt bản vá bảo mật KB5082063 đã cho phép bộ điều khiển miền bị ảnh hưởng khởi động lại bình thường. Điều này chỉ ra rằng chính bản cập nhật là nguyên nhân gốc rễ của vấn đề.
Sự cố này đặc biệt ảnh hưởng đến các bộ điều khiển miền không phải Global Catalog (non-GC) trong các môi trường Active Directory phức tạp. Các máy chủ này đóng vai trò quan trọng trong việc quản lý và phân phối thông tin thư mục, và sự cố của chúng có thể gây ra tác động dây chuyền.
Lỗi Cài Đặt 0x800F0983
Ngoài vấn đề vòng lặp khởi động lại, một sự cố phụ khác cũng đang được ghi nhận. Một số lượng hạn chế các hệ thống Windows Server 2025 không thể cài đặt hoàn tất bản vá bảo mật này.
Trong quá trình triển khai, các máy chủ này báo cáo mã lỗi 0x800F0983. Microsoft đã thừa nhận và đang tích cực theo dõi dữ liệu đo từ xa chẩn đoán liên quan đến các lỗi cài đặt lặp lại này.
Hãng cũng đã xác nhận rằng “một số lượng hạn chế máy chủ bị ảnh hưởng có thể gặp lỗi cài đặt kèm theo mã lỗi 800F0983“. Điều này cho thấy rằng việc triển khai cập nhật bản vá này không chỉ gây ra sự cố sau cài đặt mà còn cả vấn đề trong quá trình cài đặt.
Vấn đề Chế độ Khôi phục BitLocker
Song song với các sự cố trên, Microsoft cũng đã đưa ra cảnh báo về BitLocker. Các thiết bị có cấu hình BitLocker Group Policy không được khuyến nghị có thể bị buộc phải vào chế độ khôi phục BitLocker sau khi cài đặt KB5082063. Đây là một sự cố đã biết được thêm vào nhật ký thay đổi vào ngày 14 tháng 4 năm 2026.
Thông tin chi tiết về sự cố này và bản vá bảo mật KB5082063 có thể được tìm thấy trên trang hỗ trợ chính thức của Microsoft: KB5082063 OS Build 26100.32690.
Mặc dù vấn đề này ít có khả năng ảnh hưởng đến người dùng cá nhân, nhưng các máy chủ doanh nghiệp được quản lý với các chính sách BitLocker cụ thể lại rất dễ bị ảnh hưởng. Chúng có thể phải đối mặt với gián đoạn truy cập đáng kể, yêu cầu nhập khóa khôi phục thủ công để lấy lại quyền kiểm soát dữ liệu.
Khuyến nghị cho Quản trị viên IT và Bảo mật
Hiện tại, Microsoft vẫn chưa công bố bất kỳ giải pháp hoặc khung thời gian khắc phục chính thức nào cho sự cố vòng lặp khởi động lại. Cuộc điều tra về lỗi cài đặt 0x800F0983 vẫn đang được tiến hành. Do đó, các biện pháp phòng ngừa là cực kỳ quan trọng.
Các quản trị viên IT và chuyên gia bảo mật được khuyến nghị thực hiện các biện pháp sau để giảm thiểu nguy cơ bảo mật và đảm bảo tính liên tục, an toàn thông tin của hệ thống:
- Theo dõi liên tục: Thường xuyên kiểm tra bảng điều khiển tình trạng phát hành Windows Server 2025 tại Microsoft Release Health Dashboard để nhận các cập nhật theo thời gian thực về bản vá bảo mật này.
- Tạm dừng triển khai: Nên tạm dừng việc triển khai cập nhật bản vá KB5082063 trên các bộ điều khiển miền cho đến khi Microsoft cung cấp một giải pháp chính thức hoặc bản sửa lỗi.
- Duy trì khóa khôi phục: Đảm bảo rằng tất cả các khóa khôi phục BitLocker được duy trì ngoại tuyến và có thể truy cập được trước khi thực hiện bất kỳ hoạt động vá lỗi nào. Điều này sẽ giúp tránh mất quyền truy cập vào dữ liệu quan trọng.
Mặc dù bản vá bảo mật KB5082063 hứa hẹn mang lại những cải tiến về bảo mật và độ tin cậy, nhưng các sự cố phát sinh yêu cầu sự thận trọng tối đa trong quá trình triển khai. Việc trì hoãn cập nhật bản vá trên các hệ thống quan trọng như Domain Controllers là một chiến lược hợp lý trong tình huống này.
Cập Nhật Servicing Stack Đi Kèm
Cần lưu ý rằng bản cập nhật servicing stack update KB5082062 (Build 26100.32692) được đi kèm với bản phát hành này. Mục đích của bản cập nhật này là để đảm bảo độ tin cậy của cơ sở hạ tầng cập nhật, hỗ trợ quá trình cài đặt các bản vá bảo mật khác được hiệu quả và ổn định hơn. Tuy nhiên, điều này không giải quyết trực tiếp các vấn đề phát sinh từ KB5082063.
