今月のWindows Server運用で最優先で確認したいのが、4月のセキュリティ更新後にドメインコントローラーが再起動を繰り返す問題です。単なる1台の不調ではなく、認証基盤そのものが止まるため、影響は大きくなります。
この記事では、何が起きているのか、どの環境が影響を受けるのか、そして管理者が最初に何をすべきかを整理します。
この記事でわかること
– 4月14日, 2026年の更新で発生した既知の問題の中身
– 再起動ループが起きる条件と、止まる理由
– 影響を受けたときの現実的な対処順
何が起きたのか
Microsoftは、2026年4月14日のKB5082142で、ドメインコントローラーが繰り返し再起動する既知の問題を公表しました。対象は、複数ドメインを持つフォレスト環境で、Privileged Access Management、つまり特権アクセス管理を使っている構成です。
症状は単純です。更新後の再起動でLSASS、Local Security Authority Subsystem Serviceが失敗し、起動が完了しません。その結果、認証とディレクトリサービスが動かず、場合によってはドメイン全体が使えなくなります。
ここで重要なのは、これは「たまたま落ちるサーバー」の話ではないことです。ドメインコントローラーは認証の中心です。止まると、ログオン、グループポリシー、アプリの認証連携まで連鎖的に影響します。
なぜ止まるのか
原因は、更新後の起動時にLSASSが正常に立ち上がらないことです。LSASSはWindowsのセキュリティを支える常駐プロセスで、アカウント認証やアクセス制御を担当します。ここが失敗すると、OSは安全側に倒れます。結果として再起動を繰り返し、正常起動へ進めません。
Microsoftの説明では、特に多ドメインのフォレストとPAMの組み合わせが問題の条件です。つまり、標準的な単一ドメイン環境より、特権管理を厳しくしている企業環境ほど影響を受けやすいということです。
この種の障害は、見た目はOSの不具合でも、実際には認証設計と更新適用順の問題として表れます。更新を一斉に当てる前に、認証基盤の役割分担を確認しておく必要があります。
影響範囲をどう見るか
対象になりやすいのは、Windows Serverのドメインコントローラーです。特に、PAMを使い、複数ドメインが同居している環境は注意が必要です。
逆に言うと、同じ更新でもすべてのWindows Serverで同じ症状が出るわけではありません。まず見るべきなのは次の3点です。
- そのサーバーはドメインコントローラーか
- フォレスト内に複数ドメインがあるか
- PAMを使っているか
この3つがそろうなら、更新後の再起動は慎重に扱うべきです。パッチ適用の成否を1台で確認せず、本番DCへ広げるのは危険です。
いま取るべき対処
最優先は、Microsoftが出した修正版の適用です。KB5082142の既知問題は、後続のout-of-band更新で解消されています。つまり、問題のある更新を入れっぱなしにするのではなく、修正版へ置き換える必要があります。
すでに影響を受けた場合は、次の順で動きます。
- そのDCが本当にKB5082142の影響下にあるか確認する
- 再起動を繰り返しているなら、復旧手段を先に確保する
- Microsoftの修正版更新を適用する
- 他のドメインコントローラーへ展開する前に、1台で検証する
現場では、まず正常系を戻すことが先です。原因調査はその後で十分です。認証基盤が止まっている状態で、詳細な検証に時間をかけると業務影響が拡大します。
運用で防ぐポイント
今回の件で学ぶべきなのは、月例更新をそのまま全部の基盤に流し込まないことです。特にDCのような基盤サーバーは、検証の順番を決めておく必要があります。
実務では、次の運用が有効です。
- まず非本番のドメインコントローラーで適用確認をする
- 更新後の再起動と認証を必ずチェックする
- PAMや証明書、レプリケーションの状態もまとめて見る
- OOB更新が出たら、通常の月例パッチより優先して検討する
Windows Serverのパッチは、単に「入ったかどうか」では足りません。認証、起動、レプリケーションが一緒に正常かまで確認して初めて安全です。
まとめ
今回の問題は、Windows Serverの月例更新がドメインコントローラーの起動に直接影響した事例です。LSASSが起動できず、再起動ループに入るため、見た目以上に深刻です。
管理者が取るべき対応は明確です。影響条件を確認し、修正版を適用し、ドメインコントローラーへの展開順を見直すことです。基盤系の更新は、便利さよりも検証順序が重要です。