KB5091157とは？DC再起動ループの対象・復旧・適用先を解説

2026年4月の Windows Server 更新では、一部のドメインコントローラーで LSASS 停止に伴う再起動ループが問題になりました。今回のテーマは個人向け Windows PC ではなく、Windows Server を運用する情シス担当者やインフラ管理者向けの緊急対応情報です。

• 自社のドメインコントローラーが今回の不具合の対象かどうかを判定できます
• 4月14日公開の月例更新(KB5082063 / KB5082142 / KB5082060)を適用済みで再起動ループに入った場合の復旧の考え方を整理できます
• KB5091157・KB5091575・KB5091571 とホットパッチ環境の扱いの違いがわかります

本記事では、KB5091157・KB5091575・KB5091571 と 2026年4月のドメインコントローラー再起動ループ問題について、対象条件、復旧の流れ、OOB 更新の入手先、ホットパッチ運用時の注意点まで順番に整理して解説します。

注：Microsoft が公表している影響条件は限定的です。記事内では不安をあおるのではなく、「どの環境が本当に急ぐべきか」を先に切り分けます。

今回の不具合は自社の環境が対象かを先に確認する

まず押さえるポイントは、今回の再起動ループは PAM を使う複数ドメイン フォレスト環境の DC に限定的な影響で、単一ドメイン構成や個人 PC は対象外という点です。

最初に確認したいのは、「KB5091157 を急いで入れるべき環境かどうか」です。今回の 2026年4月の問題は、すべての Windows Server 環境が一律に危険という話ではありません。

Microsoft の KB5091157 ページ と 4月14日公開の KB5082063 ページ では、Windows Server 2025 で、PAM を使用するフォレスト内の複数ドメイン環境の DC が、再起動後の起動中に LSASS クラッシュを起こし、結果として認証やディレクトリサービスが使えなくなる可能性があると説明されています。

また、Windows Release Health では、今回の事象について non-Global Catalog(GC 役割を持たない)DC で起き得る点も含めて案内されています。少なくとも「単一ドメインの一般的な小規模 AD 環境」や「個人 PC」まで広く対象とみなすより、まずは構成条件を冷静に確認する方が実務的です。

なお、同じ 4月14日の月例更新でも、版によって KB 番号が異なります。Windows Server 2022 の 4月14日更新は KB5082142、Windows Server, version 23H2 は KB5082060 です。自社 DC に入った更新を確認するときに、版違いの KB 番号で迷わないよう頭に入れておくと切り分けが速くなります。

実務では、次の 3 点を先に確認すると切り分けが進みます。

1. 該当サーバーの OS が Windows Server 2025 / 2022 / version 23H2 のどれか
2. 4月14日の月例更新(版に応じた KB5082063 / KB5082142 / KB5082060)をすでに適用したか
3. PAM と複数ドメイン フォレスト構成に該当するか

PAM を使っているか不明な場合は、AD 設計資料、MIM PAM や bastion forest の構成書、特権管理の導入記録を確認してください。Microsoft Learn の Privileged Access Management の説明 を見ると、一般的な小規模 AD より、権限分離を強く意識した環境向けの技術だとわかります。

まず何をすべきかを版別に整理する

対象条件に近ければ、版に合った OOB を Microsoft Update Catalog から入手するのが基本方針です。

対象条件に近い環境なら、次は「どの KB を、どの配布経路で入れるか」を確認します。今回の OOB は版ごとに分かれており、通常環境では Microsoft Update Catalog 配布が基本です。

KB5091575 の案内 では、Windows Update / 一般法人向け / Microsoft Update Catalog / WSUS の各チャネルごとの入手可否が整理されており、この OOB は Microsoft Update Catalog からのみ入手可能 と明記されています。2025 と 23H2 の OOB も同じ考え方で見ておくと混乱しにくいです。

つまり、通常の DC 環境では「Windows Update を待つ」より、対象版の KB ページを確認し、必要であれば Catalog パッケージを使って展開する運用が基本になります。WSUS で緊急更新をさばく考え方は、既存記事の WSUSで緊急パッチを扱うときの基本方針 もあわせて読むと整理しやすいはずです。

なお、Windows Server 2025 の KB5091157 には、今回の DC 再起動ループ修正に加えて、KB5082063 のインストール失敗(0x800F0983 / 0x80073712)を解消する役割もあります。2025 環境で 4月更新がうまく入らなかったケースも、この OOB を確認する価値があります。

すでに再起動ループに入った場合の復旧手順

復旧はいきなり OOB を適用するのではなく、まず Windows RE から最新の品質更新を外して起動を回復させる順序が基本です。

すでに DC が再起動を繰り返している場合は、まず通常起動にこだわらず、回復環境から「直近の品質更新を外して起動可能な状態に戻す」ことを優先します。Microsoft の Windows Update をアンインストールする方法 では、Windows に入れない場合は Windows RE から更新を外す流れが案内されています。

この流れのポイントは、いきなり OOB を当てるより前に、まず障害を起こしている月例更新の影響を切り離してサーバーを安定起動させることです。Windows RE 自体の役割は Windows 回復環境の公式説明 にまとまっています。

起動が回復した後は、再発防止のために対象版の OOB を入れます。2025 なら KB5091157、2022 なら KB5091575、23H2 なら KB5091571 です。ここを飛ばしてしまうと、更新の戻しだけで運用を再開した形になり、後で差分管理が複雑になります。

セーフモード/DSRMを使う場面と注意点

DSRM(ディレクトリ サービス復元モード)は全ケースで必須ではなく、Windows RE での更新アンインストールで足りない場合の次の選択肢と位置づけると判断がブレません。

再起動ループが強く、通常の Windows RE だけでは十分に切り分けられない場合や、AD DS 起動そのものを回避してメンテナンスしたい場合は、DSRM(Directory Services Restore Mode:ディレクトリ サービス復元モード)を検討します。ただし、すべてのケースで最初から DSRM が必要とは限りません。まずは Windows RE から最新の品質更新をアンインストールし、それでも切り分けが必要なときに DSRM を使う順序が現実的です。

Microsoft Learn のディレクトリ サービス初期化エラーの対処 では、オフラインで BCD を編集し、DSRM で起動するための `safeboot dsrepair` 設定が案内されています。LSASS やディレクトリサービス起動に絡む障害の切り分けでも参考になります。

また、DSRM に入る前提として、DSRM 管理者パスワードを把握しているか は非常に重要です。平時に確認できていないと、いざ障害が起きたときに復旧手段を持っていても詰まりやすくなります。Microsoft Learn の DSRM 管理者パスワードのリセット手順 も、運用資料に残しておくと安心です。

ログオン時は通常のドメイン資格情報ではなく、ローカルの DSRM 管理者資格情報を使う場面があります。復旧中に「普段の管理者アカウントで入れない」と焦らないよう、担当者間で事前共有しておくとトラブルが減ります。

ホットパッチ登録済みサーバーは通常環境と分けて考える

Hotpatch 登録済みサーバーは通常 OOB とは別の専用 OOB(Server 2025 は KB5091470、Server 2022 は KB5091576)が用意されている点が、通常環境との最大の違いです。

今回もっとも混乱しやすいのが、ホットパッチ登録済みサーバーの扱いです。通常 OOB と同じ感覚で KB を選ぶと、再起動要否や今後の更新運用に影響することがあります。

Windows Server 2025 では、Microsoft は KB5082063 の既知の問題欄で、ホットパッチ登録済みデバイスは通常の KB5091157 ではなく、Hotpatch KB5091470 を使うよう案内しています。このホットパッチ OOB は Windows Update 経由で提供され、再起動不要です。

一方で、同じ既知の問題欄では、ホットパッチ登録済みの Windows Server 2025 デバイスでも通常の KB5091157 を入れることは可能ですが、その場合は再起動が必要で、ホットパッチが一時停止し、2026年7月のベースライン更新後に再開されると説明されています。つまり、「今すぐ通常 OOB で確実にそろえるか」「ホットパッチ運用を崩さず専用 OOB を使うか」 の判断が必要です。

Windows Server 2022 のホットパッチ環境についても、Azure Edition 向けに OOB Hotpatch である KB5091576(OS Build 20348.5029) が別途提供されています。また、Windows Server 2022 Azure Automanage の Hotpatch リリースノート で、2026年4月がベースライン月であることを確認できます。2022 側も、通常 OOB(KB5091575)とホットパッチ専用 OOB(KB5091576)を混同せず、まず自社の適用方式を見てから展開判断をしてください。

なぜ今回の影響は一部のDCに限られるのか

LSASS クラッシュという症状は派手ですが、発生条件は PAM+複数ドメイン フォレストの non-GC DC という限定的なもので、一般的な単一ドメイン構成はそのまま対象にはなりません。

今回の事象が「すべての DC で即発生する障害」と受け取られがちなのは、LSASS クラッシュと再起動ループという症状の強さが目立つからです。ただし、Microsoft の説明はかなり条件付きです。

KB5082063 の既知の問題 では、PAM を使うフォレスト内の複数ドメイン環境が前提になっています。さらに Release Health では non-Global Catalog DC の条件も見えてきます。つまり、一般的な単一ドメイン構成の DC 管理者が、すぐに「自社も確実に対象だ」と結論づけるのは早すぎます。

読者としては、次のように考えると整理しやすいです。

1. PAM や特権分離の設計を導入しているなら優先度高く確認する
2. 複数ドメインのフォレストなら、該当 DC の役割を洗い出す
3. 単一ドメイン中心なら、一般化せず Microsoft の条件と照合する

この「条件付きで重い障害」という性格は、読者にとって実は重要です。過剰反応せずに済む一方、該当条件の環境では放置コストが大きいからです。更新をいったん保留するにせよ OOB を適用するにせよ、構成条件を先に押さえるだけで判断精度がかなり変わります。

よくある質問（FAQ）