Bug avec la synchronisation des groupes Active Directory : un correctif est disponible !
La mise à jour de sécurité de septembre 2025 (KB5065426) pour Windows Server 2025 est à l'origine d'un problème affectant la synchronisation des groupes Active Directory avec un environnement Cloud. Désormais, Microsoft propose une solution temporaire par l'intermédiaire de son mécanisme Known Issue Rollback (KIR). Faisons le point.
Un problème avec la synchronisation des grands groupes AD
Le 14 octobre 2025, Microsoft a reconnu l'existence d'un problème sur les contrôleurs de domaine Active Directory sous Windows Server 2025. En effet, la synchronisation des groupes Active Directory avec plus de 10 000 membres peut être incomplète. Ce problème est directement lié à la synchronisation entre un annuaire local et Microsoft Entra ID, via l'outil Microsoft Entra Connect Sync (Azure AD Connect).
Ce bug est apparu après l’installation de la mise à jour KB5065426 (ou toute mise à jour ultérieure), concerne exclusivement Windows Server 2025.
Les solutions proposées par Microsoft
Pour permettre aux administrateurs concernés de résoudre ce problème, Microsoft a créé un nouveau correctif Known Issue Rollback (KIR). Comme à chaque fois sur les environnements gérés, le déploiement du correctif KIR nécessite la création d'une stratégie de groupe spécifique.
Dans le cas présent, les administrateurs doivent télécharger le fichier "Windows 11 24H2, Windows 11 25H2 and Windows Server 2025 KB5066835 251016_21401 Known Issue Rollback" et activer le paramètre situé sous : Configuration ordinateur > Modèles d’administration. Une fois la stratégie installée et configurée, un redémarrage du serveur est nécessaire pour qu’elle prenne effet.
"Les clients concernés peuvent également appliquer la clé de registre suivante comme solution de contournement pour désactiver la modification de la fonctionnalité.", précise Microsoft. En effet, une seconde méthode manuelle à appliquer directement dans le Registre Windows est proposée par Microsoft.
Voici la valeur à créer :
Chemin : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides
Nom : 2362988687
Type : REG_DWORD
Valeur : 0Nul doute qu'un correctif sera intégré à la prochaine mise à jour cumulative pour Windows Server 2025, de façon à corriger ce bug pour tout le monde. En attendant, les entreprises affectées ont une solution à leur disposition.
Avez-vous constaté ce bug ?
Bonjour,
Merci pour cet article très utile. De notre côté, nous rencontrons un problème similaire sur une infrastructure Active Directory sous Windows Server 2025 Datacenter (24H2).
🔹 Environnement :
– Environ 250 utilisateurs
– Infrastructure simple : Active Directory + DNS + DHCP + GPO
– Deux contrôleurs de domaine
🔹 Symptômes :
– Erreurs 1726 / 1727 dans `repadmin`
– Canal sécurisé rompu (`Test-ComputerSecureChannel` échoue)
– Netlogon 5719
– DFS-R figé, SYSVOL non répliqué
– GPO non appliquées, sessions impossibles
Le problème est apparu après l’installation de mises à jour cumulatives (notamment KB5067360 et KB5070881), mais je ne peux pas confirmer à 100 % que ces KB sont responsables. KB5067360 est non désinstallable, et KB5070881, une fois retirée, a temporairement résolu le problème.
Nous avons restauré un snapshot post-rejonction, bloqué les mises à jour, mais après réinstallation automatique de celles-ci (même après blocage), le problème est revenu.
Avez-vous rencontré ce type de comportement ? Existe-t-il un correctif ou une recommandation officielle de Microsoft ?
Merci d’avance pour vos retours.