微软证实，安装4月安全更新的部份Windows Server 2025系统网域控制器（domain controller）发生验证问题。

Windows独立论坛用户指出，Server 2016（KB5055521）、2019（KB5055519）、2022（KB5055526）也受到影响。

微软说，Server 2025机器在上个月安全更新中安装KB5055523后，其Active Directory（AD）网域控制器（Domain Controller）在处理使用凭证型凭证的Kerberos登入或委派时，可能会出现问题，因为这类凭证仰赖AD的msds-KeyCredentialLink栏位中的金钥信任（Key Trust）机制。

这问题可能导致使用Windows Hello for Business（WHfB）金钥信任（一种无密码验证技术），或是部署装置公钥验证（Device Public Key Authentication，又称Machine PKINIT）的环境发生验证问题。此外，其他使用这项功能的产品也可能受影响，像是智慧卡验证、第三方单一登入（single sign-on）以及身分管理系统。

微软解释，此问题根本原因是4月安全更新为了解决Kerberos验证中的安全漏洞（CVE-2025-26647），微软在更新中引入新的凭证验证行为。更新后，DC会检查用户端凭证是否链结到NTAuth中的根凭证。由于新的验证更为严格，因此若凭证未链结到NTAuth Store的根凭证，即导致验证失败。

受影响的协定包括Kerberos PKINIT，影响Windows Hello for Business，及二种凭证类Service-for-User (S4U)委派，包含二种委派方式：Kerberos Constrained Delegation (KCD or A2D2 Delegation)及Kerberos Resource-Based Constrained Delegation (RBKCD or A2DF)。

暂时解决方案是设定登录机码，允许修改值以绕过NTAuth Store检查（不过会降低安全性）。微软提供方法如下：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesKdc

AllowNtAuthPolicyBypass = 1

微软说正在製作解决方案，会儘快释出。

这是4月安全更新二周之内第二次引发问题。上周也传出企业中的Windows 11 22H2、23H2电脑安装了安全更新KB5055528后，无法从WSUS（Windows Server Update Service）升级到24H2。微软上周紧急释出「Known Issue Rollback」修补该问题。但IT管理员必须先为受影响的企业电脑设定群组政策。