Microsoft corrige KB5082063 bucles de reinicio del controlador de dominio de Windows Server

Microsoft publicó una corrección de emergencia el 19 de abril de 2026 para un fallo crítico en su actualización KB5082063 del martes de parches de abril que estaba enviando a los controladores de dominio de Windows Server a continuos bucles de reinicio.

La actualización fuera de banda es KB5091157 (OS Build 26100.32698) para Windows Server 2025y KB5091575 (OS Build 20348.5024) para Windows Server 2022. Ambos están ya disponibles a través de Windows Update, el Catálogo de actualizaciones de Microsoft y WSUS.

Lo que iba mal

KB5082063, publicado el 14 de abril, provocó fallos en el Servicio del subsistema de autoridad de seguridad local, conocido como LSASS, en los controladores de dominio sin Catálogo global que se ejecutan en entornos que utilizan la Gestión de acceso privilegiado, o PAM. LSASS es el componente de Windows que gestiona las solicitudes de autenticación y aplica la política de seguridad en un dominio.

Cuando se bloquea durante el arranque, el servidor se reinicia, vuelve a bloquearse y se reinicia de nuevo, bloqueando la máquina en un bucle. En algunos casos, el problema también aparecía al configurar un nuevo controlador de dominio, o en servidores que comenzaban a procesar las solicitudes de autenticación al principio de la secuencia de arranque.

El resultado era que los controladores de dominio afectados no podían autenticar a ningún usuario o servicio, lo que en algunos casos hacía que todo el dominio no estuviera disponible hasta que el servidor se recuperaba manualmente.

Plataformas afectadas

El problema afectaba a los controladores de dominio que ejecutaban Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016 y Windows Server versión 23H2. Los dispositivos personales y las máquinas no gestionadas por un departamento de TI no se vieron afectados.

Tres problemas, una actualización

El bucle de reinicio fue el tercer problema conocido vinculado a KB5082063 en el plazo de una semana desde su lanzamiento. Microsoft ya había confirmado que la misma actualización activaba BitLocker peticiones de clave de recuperación en el primer reinicio para algunos dispositivos Windows Server 2025 y Windows 11, y por separado, que estaba fallando al instalarse por completo en algunos sistemas Windows Server 2025 con el código de error 0x800F0983.

A pesar del cúmulo de problemas, Microsoft no retiró la actualización. KB5082063 parchea 167 vulnerabilidades, entre ellas dos zero-days explotados activamente, lo que hace que una reversión completa suponga un riesgo de seguridad importante para los entornos empresariales.

Este es el tercer mes de abril consecutivo en el que la actualización mensual de servidores de Microsoft perturba los controladores de dominio. En marzo de 2024, fue necesaria una corrección de emergencia después de que el Martes de parches provocara el bloqueo total de los controladores de dominio. Abril de 2024 rompió la autenticación NTLM y forzó reinicios imprevistos. Abril de 2025 introdujo problemas de autenticación de Active Directory que requirieron una corrección aparte en junio de 2025.