サービスの認証に失敗する不具合。2022年5月11日のWindowsUpdateが原因

WindowsUpdate

Windows Server

Microsoftは、2022年5月11日に公開されたWindowsUpdateの更新プログラムをドメインコントローラーにインストールすると、サービスの認証に失敗する不具合が発生することを発表しました。

不具合概要

2022年5月11日に公開されたセキュリティ更新プログラムをドメインコントローラーにインストールすると、Network Policy Server (NPS)、Routing and Remote access Service (RRAS)、Radius、Extensible Authentication Protocol (EAP)、Protected Extensible Authentication Protocol (PEAP)などのサービスに対して、サーバーまたはクライアント上で認証に失敗する場合があります。

影響を受けるプラットフォームは以下。

  • クライアント: Windows11 バージョン21H2、Windows10 バージョン21H2、Windows10 バージョン21H1、Windows10 バージョン20H2、Windows10 バージョン1909、Windows10 バージョン1809、Windows10 Enterprise LTSC 2019、Windows10 Enterprise LTSC 2016、Windows10 バージョン1607、Windows10 Enterprise 2015 LTSB、Windows8.1、Windows7 SP1
  • サーバー: Windows Server 2022、Windows Server バージョン20H2、Windows Server バージョン1909、Windows Server バージョン1809、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 SP1、Windows Server 2008 SP2

この不具合は、ドメインコントローラーとして使用されるサーバーに2022年5月11日の更新プログラムインストールした場合にのみ発生します。ドメインコントローラー以外のWindows Serverや、クライアント向けWindowsに2022年5月11日の更新プログラムをインストールしてもこの不具合は発生しません。

この不具合を内包する更新プログラムは以下。

  • Windows10 バージョン21H2 / 21H1 / 20H2、Windows Server バージョン20H2
    KB5013942 (2022年5月11日公開 セキュリティ更新プログラム)
  • Windows11 21H2
    KB5013943 (2022年5月11日公開 セキュリティ更新プログラム)
  • Windows10 バージョン1909、Windows Server バージョン1909
    KB5013945 (2022年5月11日公開 セキュリティ更新プログラム)
  • Windows10 バージョン1809、Windows Server バージョン1809、Windows Server 2019
    KB5013941 (2022年5月11日公開 セキュリティ更新プログラム)
  • Windows10 バージョン1607、Windows Server 2016
    KB5013952 (2022年5月11日公開 セキュリティ更新プログラム)
  • Windows Server 2022
    KB5013944 (2022年5月11日公開 セキュリティ更新プログラム)
  • Windows8.1、Windows Server 2012 R2
    KB5014011 (2022年5月11日公開 ロールアップ)
  • Windows Server 2012
    KB5014017 (2022年5月11日公開 ロールアップ)
  • Windows7、Windows Server 2008 R2 SP1
    KB5014012 (2022年5月11日公開 ロールアップ)
  • Windows Server 2008 SP2
    KB5014010 (2022年5月11日公開 ロールアップ)

対処方法・回避策

この不具合に対する推奨される緩和策は、Active Directoryのマシンアカウントに証明書を手動でマッピングすることです。手順については、Certificate mappingsのページをご覧ください。

もし、上記緩和策がお使いの環境で上手く機能しない場合は、KB5014754—Certificate-based authentication changes on Windows domain controllersのページのSChannel registry keyセクションにあるほかの緩和策をご検討ください。なお、推奨される緩和策以外の緩和策は、セキュリティの堅牢性を低下させたり無効にしたりする恐れがあります。

修正予定

Microsoftは不具合を調査しており、今後のアップデートで修正を予定しています。