2026年5月13日(日本時間)に配信されたWindows Server 2025の月例アップデート(Patch Tuesday)に関連して、管理者から複数の不具合が報告されています。4月更新での深刻な障害(緊急OOBパッチで対応済み)の経緯も踏まえ、5月更新で確認されている問題と対処法をまとめます。
⚠️ サーバー管理者の方へ:4月更新(KB5082063)で発生したドメインコントローラーの再起動ループは、4月19日リリースのOOBパッチ(KB5091157)で解決済みです。5月更新を適用する前に、必ず4月のOOBパッチが適用済みであることをご確認ください。
📋 2026年5月 Windows Server 2025 更新プログラム
| 対象OS | KB番号(5月) | 配信日 |
|---|---|---|
| Windows Server 2025 | KB5089541 | 2026年5月13日 |
| Windows Server 2025 Datacenter: Azure Edition | Hotpatch 含む | 2026年5月13日 |
※2026年1月以降、Windows Server 2025はWindows 11とは独立したKB番号が割り当てられています。
📌 この記事の内容
⚠️ 不具合①:BitLocker回復キーの入力を求められる
症状
5月の累積更新を適用して再起動した際、BitLocker回復キーの入力画面が表示されることがあります。これは、不適切なBitLockerグループポリシー構成が設定されたWindows Server 2025環境で発生します。Microsoftは本件を既知の問題として公式に案内しています。
影響範囲
- 企業・組織管理下のサーバー環境が対象(個人・家庭用環境での発生はほぼない)
- Microsoftが推奨しないBitLockerグループポリシー構成(特定のTPM PCR7設定)が適用されている環境に限定
- 回復キーを一度入力すれば、以降の再起動では再発しない
原因
2026年2月以降、Microsoftは段階的に新しいUEFI証明書(Windows UEFI CA 2023)の展開を進めています。セキュアブートの信頼チェーンが更新される際、古いTPMプロファイル(PCR7)の設定を持つ環境では、暗号鍵のバインド情報が変化し、BitLocker回復モードがトリガーされます。Microsoftは「推奨されない構成のサーバーで発生する一時的な事象」と説明しています。
🔧 対処法
【更新前の予防策】グループポリシーの構成を修正する
- グループポリシーエディター(
gpedit.msc)を開く - 「コンピューターの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「BitLocker ドライブ暗号化」→「オペレーティングシステムのドライブ」
- 「ネイティブUEFIプラットフォーム検証プロファイルを構成する」を 「未構成」 に設定
- コマンドプロンプト(管理者)で
gpupdate /forceを実行
【更新後の対処】BitLockerプロテクターのリセット
既に回復キー入力が発生した場合、管理者権限のコマンドプロンプトで以下を実行します(C:ドライブが対象の場合):
manage-bde -protectors -enable C: -tpm
※コマンド実行後、再起動して正常に起動することを確認してください。
📌 Microsoftは恒久的な修正を準備中と案内しています。現在の対処は一時的なものであり、今後の更新で根本的な対応が提供される予定です。
🔴 不具合②:ドメインコントローラーの再起動ループ(4月更新・解決済み)
症状と概要
4月の累積更新(KB5082063)を適用後、PAM(Privileged Access Management)を使用するマルチドメインフォレスト環境のドメインコントローラー(DC)において、LSSASSサービスのクラッシュが発生し、サーバーが再起動ループに陥る深刻な問題が報告されました。認証・ディレクトリサービスが機能しなくなり、最悪の場合ドメイン全体が利用不能になるケースも確認されています。
また、一部のWindows Server 2025環境では4月更新(KB5082063)のインストール自体がエラーコード 800F0983 で失敗するケースも報告されました。
✅ 解決策:OOBパッチ(KB5091157)を適用
Microsoftは2026年4月19日に緊急のOOB(帯域外)更新プログラムをリリースし、再起動ループとインストール失敗の両方を解決しました。
- KB5091157(Windows Server 2025用・OSビルド 26100.32698)
- Microsoft Update Catalogから手動でダウンロード可能
- 5月更新を適用する前に必ず本OOBパッチの適用を確認してください
📌 5月の定例更新(KB5089541)には、このOOBパッチの修正内容が統合されています。4月のOOBパッチ未適用の環境では、5月更新の適用前に状態を確認してから展開することを推奨します。
ℹ️ 注意事項:セキュアブート証明書の更新と再起動増加
更新適用中に通常より多い再起動が発生する場合がありますが、これは不具合ではありません。2011年発行の旧セキュアブート証明書(多くのデバイスで使用)が2026年6月26日に期限切れとなるため、Microsoftは新しいUEFI証明書(Windows UEFI CA 2023)を段階的に展開しています。5月更新はこの展開の重要なタイミングにあたります。
🔴 管理者向け重要事項:6月26日までに対応が必要
6月26日までに新しいセキュアブート証明書を受信していないデバイスは、翌日からセキュリティ上の保護が低下した状態になります。サーバーフリートの証明書適用状況を確認し、5月の更新サイクル中に展開を完了することを推奨します。
証明書の適用状況を確認する方法
- 「スタート」→「設定」→「プライバシーとセキュリティ」→「Windowsセキュリティ」
- 「デバイス セキュリティ」→「セキュアブート」
- 「適用済み」と表示されていれば更新完了
📅 経緯タイムライン
| 日付 | 内容 |
|---|---|
| 2026年4月15日 | 4月定例更新(KB5082063)リリース。Windows Server 2025でインストール失敗(エラー800F0983)やDCの再起動ループが発生 |
| 2026年4月16日 | MicrosoftがWindows Server 2025のBitLocker回復問題(KB5082063適用後)を公式確認・案内 |
| 2026年4月19日 | 緊急OOBパッチ(KB5091157)リリース。DCの再起動ループとインストール失敗の両方を解決 |
| 2026年5月2日 | Microsoftが再起動回数増加の理由(セキュアブート証明書更新)を公式説明 |
| 2026年5月13日 | 5月定例更新(KB5089541)配信開始。OOBパッチの修正内容を統合。BitLocker問題を既知の問題として案内 |
| 2026年6月26日 | 旧セキュアブート証明書(2011年発行)の期限切れ。新証明書未適用デバイスはセキュリティ保護が低下 |
📊 まとめ・対処法一覧
| 不具合・事象 | ステータス | 深刻度 | 対処法 |
|---|---|---|---|
| BitLocker回復キー要求 (5月更新・特定GPO設定環境) |
調査中 | 中〜高 (企業DC限定) |
グループポリシーを「未構成」に変更、または manage-bde でプロテクターをリセット |
| DCの再起動ループ / LSSASSクラッシュ (4月更新・PAM環境) |
✅ 解決済み | 重大 | OOBパッチ KB5091157 を適用(5月更新にも統合済み) |
| 更新時の再起動回数増加 | 仕様 | なし | 対処不要。証明書適用状況を「デバイス セキュリティ」画面で確認可能 |
🔗 参考・公式情報
- Microsoft サポート:Windows Server 2025 更新履歴
- Microsoft Learn:Windows Server 2025 既知の問題と通知
- Microsoft Learn:Windows Server 2025 解決済みの問題
- BleepingComputer:Microsoft releases emergency updates to fix Windows Server issues
最終更新:2026年5月13日 / 情報は記事公開時点のものです。今後の公式発表により内容が変わる場合があります。本記事の情報はサーバー管理者向けの参考情報であり、実際の運用変更は必ず公式ドキュメントを確認のうえ実施してください。
