La începutul lunii, update-ul de securitate KB5065426 publicat de Microsoft a creat o problemă pentru unii administratori Windows Server: sincronizarea grupurilor de securitate Active Directory cu mai mult de 10.000 de membri poate rămâne incompletă pe serverele afectate. Situația amintește de acele ocazii când update-urile promise pentru stabilitate au generat, în schimb, surprize neplăcute pentru infrastructurile IT critice.
Pachetul KB5065426, distribuit recent și incluzând atât corecții de securitate, cât și câteva funcționalități noi, a provocat un comportament neașteptat la sincronizarea directoarelor. Microsoft explică în paginile sale de stare că aplicațiile care utilizează controlul Active Directory directory synchronization (DirSync) pentru AD DS on-premises, cum este Microsoft Entra Connect Sync, pot să nu sincronizeze în totalitate grupurile AD cu peste 10.000 de membri. Problema se manifestă exclusiv pe Windows Server 2025 după instalarea update-ului din septembrie 2025 (KB5065426) sau a actualizărilor ulterioare. Pe scurt: dacă infrastructura conține grupuri foarte mari, există riscul ca anumite conturi să nu fie propagate către serviciile care depind de DirSync.
Microsoft nu a comunicat numărul utilizatorilor afectați, dar anunță că lucrează la o remediere. Până la eliberarea soluției definitive, a fost propus un workaround prin modificarea registrului Windows, care permite administratorilor să anuleze schimbarea introdusă de update, revenind la comportamentul anterior al sincronizării. Atenție: este un tweak care necesită prudență, Microsoft avertizează că erorile în modificarea registrului pot provoca probleme serioase și, în cazuri extreme, reinstalarea sistemului de operare.
Pașii tehnici pentru soluția temporară sunt următorii: în Registry Editor, navigați la ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetPoliciesMicrosoftFeatureManagementOverrides și creați sau modificați o intrare denumită 2362988687, de tip REG_DWORD, setând valoarea la 0. După aplicarea acestei chei, comportamentul introdus de actualizare ar trebui să fie dezactivat pe sistemele afectate. Microsoft a inclus această problemă în secțiunea Known Issues a articolului KB5065426, reiterând că aplicațiile bazate pe DirSync pot avea sincronizări incomplete pentru grupurile ce depășesc 10.000 de membri.
Remediul permanent va fi livrat printr-un viitor update; până atunci, administratorii trebuie să decidă între aplicarea tweak-ului din registru sau așteptarea corecției oficiale, evaluând riscurile și procedurile interne de change management. Schimbarea e relevantă în special pentru mediile enterprise cu entități mari în Active Directory, iar impactul poate apărea în scenarii de autentificare centralizată sau în sincronizări cu servicii cloud dependente de datele AD.
Concluzia subliniază relația delicată dintre update-urile software și infrastructurile critice: KB5065426 arată cât de interdependente sunt componentele moderne, un patch de securitate destinat întăririi sistemului poate, accidental, să perturbe procese esențiale precum sincronizarea DirSync pentru grupuri mari. Date cheie din material: numele actualizării KB5065426, platforma afectată Windows Server 2025 și cheia de registru ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetPoliciesMicrosoftFeatureManagementOverrides cu intrarea 2362988687 setată la REG_DWORD 0. Ce opțiune ar trebui să prioritizeze administratorii: implementarea imediată a workaround-ului cu riscurile aferente sau așteptarea patch-ului oficial?
Fii primul care comentează