Inicio Windows Server Controlador de dominio reinicia en bucle en Windows Server 2025 – Solución con KB5091157

Controlador de dominio reinicia en bucle en Windows Server 2025 – Solución con KB5091157

27 abril, 2026 Escribir un comentario
Controlador de dominio reinicia en bucle en Windows Server 2025 – Solución con KB5091157

Si tras aplicar el Patch Tuesday de abril tu controlador de dominio reinicia en bucle en Windows Server 2025, no estás ante un fallo de hardware ni de configuración. Microsoft ha confirmado que la actualización de seguridad KB5082063, publicada el 14 de abril de 2026, provoca que LSASS deje de responder durante el arranque en determinados entornos, dejando el servidor atrapado en un ciclo de reinicios que inutiliza completamente Active Directory. La buena noticia es que el 19 de abril Microsoft publicó el parche de emergencia KB5091157, que resuelve el problema de forma definitiva.

Te explicamos qué ha pasado, qué entornos están afectados y cómo aplicar la solución paso a paso. Si además tienes el error 0x800F0983 al instalar la actualización, consulta nuestra [guía específica sobre el error 0x800F0983 en Windows Server 2025.

Por qué el controlador de dominio reinicia en bucle en Windows Server 2025

La causa raíz es un fallo de regresión en LSASS (Local Security Authority Subsystem Service), el componente de Windows que gestiona todas las solicitudes de autenticación y aplica la política de seguridad en el dominio. Cuando LSASS falla durante el arranque, Windows no puede completar la secuencia de inicio, fuerza un reinicio automático y el ciclo se repite indefinidamente.

El problema se desencadena en entornos que cumplen estas dos condiciones simultáneamente:

  • El servidor actúa como controlador de dominio sin Catálogo Global (non-GC DC) dentro de un bosque con múltiples dominios
  • El entorno tiene habilitado Privileged Access Management (PAM)

En estos escenarios, tras instalar KB5082063 y reiniciar, el DC arranca, LSASS se detiene al procesar las primeras solicitudes de autenticación, el servidor reinicia automáticamente y el ciclo se repite sin fin. En algunos casos el problema también se ha reproducido al configurar un nuevo controlador de dominio desde cero, cuando el servidor empieza a recibir solicitudes de autenticación antes de completar la secuencia de arranque.

El impacto es crítico: sin LSASS operativo, ningún usuario ni servicio puede autenticarse en el dominio. Si el entorno no tiene DCs redundantes en otros sitios, la interrupción es total.

Qué versiones de Windows Server están afectadas

El bucle de reinicios por LSASS afecta a los controladores de dominio que ejecutan:

  • Windows Server 2025
  • Windows Server 2022
  • Windows Server, versión 23H2
  • Windows Server 2019
  • Windows Server 2016

No está afectado si tu entorno utiliza un bosque de dominio único o si PAM no está habilitado. En esos casos, el riesgo de reinicios en bucle por este motivo concreto es nulo, aunque KB5082063 puede seguir dando el error de instalación 0x800F0983 o solicitar la clave de recuperación de BitLocker.

Cómo detener el bucle cuando el controlador de dominio reinicia en Windows Server 2025 la solución: instalar KB5091157

El 19 de abril de 2026, Microsoft publicó actualizaciones fuera de banda (OOB) para resolver el problema. Para Windows Server 2025, el parche es KB5091157 (OS Build 26100.32698), que además de corregir el bucle de reinicios de LSASS, resuelve el error de instalación 0x800F0983 de KB5082063 e incorpora todos los parches de seguridad de abril. Es la vía de reemplazo completa: da igual si KB5082063 se instaló correctamente o falló, KB5091157 cubre ambos casos.

controlador de dominio reinicia Windows Server 2025

Para el resto de versiones de servidor, los parches OOB específicos son:

Versión KB OOB
Windows Server 2025 KB5091157
Windows Server 2025 Datacenter Azure Edition KB5091470 (Hotpatch)
Windows Server 2022 KB5091575
Windows Server 2022 Datacenter Azure Edition KB5091576 (Hotpatch)
Windows Server 2019 Consultar Catálogo de Microsoft Update
Windows Server 2016 Consultar Catálogo de Microsoft Update

Controlador de dominio reinicia Windows Server 2025 y cómo aplicar KB5091157 paso a paso

Si el DC todavía arranca (instalación preventiva o en bucle leve)

Opción 1 — Desde Windows Update KB5091157 está disponible directamente en Windows Update y WSUS. Abre Configuración → Windows Update → Buscar actualizaciones y aparecerá como actualización disponible.

Opción 2 — Desde el Catálogo de Microsoft Update (recomendado) Si prefieres descargarlo manualmente antes de desplegarlo:

  1. Ve a catalog.update.microsoft.com
  2. Busca KB5091157
  3. Descarga el paquete correspondiente a tu arquitectura (x64)
  4. Ejecuta el instalador con privilegios de administrador
  5. Reinicia el servidor cuando el instalador lo solicite

Nota importante para entornos WSUS/SCCM: Las actualizaciones OOB no se sincronizan automáticamente con el catálogo estándar de WSUS. Debes importarlas manualmente desde el Catálogo de Microsoft Update y aprobarlas de forma explícita antes de que estén disponibles para su despliegue.

Si el DC está atrapado en el bucle de reinicios y no arranca

Si el servidor ya está en el bucle y no puedes acceder a él en modo normal, necesitas intervención desde el Entorno de recuperación de Windows (WinRE) o desde consola física/remota (iDRAC, iLO, KVM):

Paso 1 — Entrar en modo seguro

Interrumpe el arranque tres veces seguidas apagando el servidor durante el proceso de inicio. En el cuarto intento debería aparecer la pantalla de recuperación automática. Desde ahí accede a Opciones avanzadas → Configuración de inicio → Reiniciar → Modo seguro con funciones de red (opción 5).

Paso 2 — Desinstalar KB5082063 desde modo seguro

Una vez en modo seguro, abre PowerShell como administrador y ejecuta:

powershell
wusa /uninstall /kb:5082063 /quiet /norestart

Reinicia el servidor y verifica que arranca correctamente sin el bucle.

Paso 3 — Instalar KB5091157 inmediatamente

Una vez el servidor esté operativo, aplica KB5091157 desde Windows Update o desde el Catálogo antes de que el sistema vuelva a intentar instalar KB5082063 automáticamente.

El problema de BitLocker en Windows Server 2025 tras KB5082063

Además del bucle de reinicios, KB5082063 tiene un tercer problema en Windows Server 2025: algunos sistemas arrancan directamente en modo de recuperación de BitLocker y solicitan la clave de cifrado antes de continuar.

KB5091157 resuelve el bucle de LSASS y el error de instalación, pero no incluye la corrección definitiva para BitLocker. Microsoft ha publicado un workaround manual mientras trabaja en un parche permanente:

powershell
1. Suspender BitLocker antes de aplicar cualquier actualización
manage-bde -protectors -disable C:

2. Aplicar KB5091157
# (instalar desde Windows Update o el Catálogo)

3. Reactivar BitLocker tras el reinicio
manage-bde -protectors -enable C:

Adicionalmente, si tienes configurada la directiva de grupo «Configure TPM platform validation profile for native UEFI firmware configurations» con PCR7 incluido, establécela como «Not Configured» y ejecuta gpupdate /force antes de parchear. Esto evita que BitLocker entre en modo de recuperación al detectar cambios en la cadena de arranque.Además del bucle de reinicios, otro efecto de KB5082063 que afecta al controlador de dominio en Windows Server 2025 es que algunos sistemas arrancan directamente en modo de recuperación de BitLocker y solicitan la clave de cifrado antes de continuar.

Tres años seguidos: el patrón de los Patch Tuesday de abril en los DC

Lo que hace especialmente preocupante este incidente es que no es un caso aislado. Este es el tercer año consecutivo en que la actualización de abril de Microsoft rompe los controladores de dominio:

  • Abril de 2024: el Patch Tuesday bloqueó por completo los controladores de dominio y rompió la autenticación NTLM, requiriendo parche de emergencia.
  • Abril de 2025: problemas de autenticación en Active Directory que no se resolvieron hasta junio de 2025.
  • Abril de 2026: bucle de reinicios por LSASS en entornos PAM con bosques multi-dominio, resuelto con KB5091157 el 19 de abril.

La recomendación práctica para entornos de producción es clara: nunca aplicar el Patch Tuesday de abril en los DC el mismo día de su publicación. Espera al menos 7-10 días para que el volumen de incidencias reportadas permita identificar regresiones críticas antes de desplegarlo en producción. Mantén siempre un DC en el nivel de parche anterior durante los primeros días del ciclo.

¿Tu servidor no tiene licencia activa de Windows Server 2025?

Si has llegado aquí porque tu servidor muestra el aviso de Windows no está activado o porque estás valorando migrar desde Windows Server 2019 o 2022 a una versión con soporte activo hasta 2034, en Tienda Zentinels tienes disponibles licencias originales de Windows Server 2025 Standard y Datacenter:

💡 Nota Zentinels: Si gestionas varios controladores de dominio y quieres automatizar la detección del estado de LSASS antes de aplicar actualizaciones, puedes usar Get-EventLog -LogName System -Source "Service Control Manager" | Where-Object {$_.Message -like "*LSASS*"} para revisar el historial de fallos recientes en el visor de eventos desde PowerShell.

Tal vez te interesen

blank

Solución al error 0x800F0983 en Windows Server 2025 – Actualización KB5082063 de abril 2026

Windows Server 2025, SQL Server 2025 y Office LTSC 2024

Windows Server 2025, SQL Server 2025 y Office LTSC 2024 – El conjunto empresarial más potente para 2026

blank

Cómo convertir Windows Server Evaluation a Full sin reinstalar en 2026

blank

Migrar SQL Server 2016 a 2025 – Guía técnica paso a paso

Solución al error Wbadmin.msc al crear una copia de seguridad en Windows Server

Solución al error Wbadmin.msc al crear una copia de seguridad en Windows Server

blank

Activación de RDS CAL por Teléfono: «Datos del acuerdo no válidos» (Solución)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *