2025 年 12 月的月度“补丁星期二”更新(Windows 10 对应编号 KB5071546)发布后,微软于上周确认该更新意外破坏了系统的 MSMQ(消息队列)功能,引发一系列企业级故障,随后紧急发布 KB5074976、KB5074975、KB5074974 三项带外更新,针对性修复相关缺陷。
问题根源与影响范围
此次 MSMQ 故障源于 12 月 9 日发布的 KB5071546 累积更新,其对 MSMQ 安全模型及 C:\Windows\System32\msmq\storage 目录的 NTFS 权限进行了调整,导致非管理员服务账户(如 IIS_IUSRS、LocalService)无法正常写入消息文件,进而触发连锁故障。
该问题主要影响 Windows 10 企业/受管理 IT 环境,尤其是高负载集群 MSMQ 部署场景;个人设备(家庭版/专业版)受影响概率极低。同时,Windows Server 2016/2019 对应的 12 月更新(KB5071543/KB5071544)也存在相同问题。
故障具体表现
安装 KB5071546 后,依赖 MSMQ 的系统会出现以下典型症状:
- MSMQ 队列变为不活动状态,无法接收或转发消息;
- IIS 站点因“资源不足,无法执行操作”报错而崩溃;
- 应用程序调用 MSMQ API 写入队列时失败;
- 创建消息文件时提示“无法创建‘C:\Windows\System32\msmq\storage*.mq’”;
- 系统日志误报“磁盘空间或内存不足”,干扰问题排查方向。
紧急修复方案:KB5074976/KB5074975/KB5074974
微软于 12 月 18 日推出三项带外更新,适配 Windows 10 不同版本(如 22H2、LTSC 2021),核心修复内容一致:
[消息队列 (MSMQ)(已知问题)] 已修复:在安装 2025 年 12 月 9 日发布的 Windows 更新后,用户遇到了消息队列功能问题。此问题在负载下的集群 MSMQ 环境中也会造成影响。这可能导致消息队列变为不活动状态、出现资源不足的消息、应用程序无法写入消息队列、出现无法创建消息的错误消息,或显示磁盘空间或内存不足的消息。
关键说明
- 修复原理:还原 MSMQ 存储目录的 NTFS 权限配置,确保非管理员服务账户可正常写入,同时保留原更新的安全加固效果;
- 部署建议:企业 IT 管理员需优先通过 WSUS 或 Microsoft Update Catalog 下载并部署对应更新,避免业务中断;
- 临时规避(未安装修复前):可手动为应用服务账户授予
storage目录的“修改/写入”权限,缓解故障。
后续建议
- 优先更新:受影响的企业环境应立即部署 KB5074976 等修复更新,恢复 MSMQ 服务可用性;
- 测试验证:更新前建议在非生产环境测试,确认应用兼容性;
- 监控告警:配置 MSMQ 队列状态、IIS 运行日志的监控规则,快速响应类似问题。
此次事件再次提醒,企业在部署月度累积更新时,需预留测试窗口,避免因补丁引入的意外问题影响核心业务。微软后续也会持续优化更新的兼容性测试流程,降低同类故障概率。
评论