Ask CORE

Microsoft Japan Windows Technology Support

2010 年 2 月末頃から、ターミナル ライセンス サーバーにて ID 17 の証明書破損のイベントが記録される。

NEW! 2010/6/21 追記:  本現象についての修正プログラムがリリースされました。

Windows Server 2003 SP2Windows Server 2008、または Windows Server 2008 R2 では TS ライセンス サーバーまたは RD ライセンス サーバーのシステム ログにイベント ID 17 が記録される

http://support.microsoft.com/kb/983385/ja

注意事項は以下となります。

1.        適用にあたっては、ライセンス サーバーの再起動が必要です。このため、再起動の間は新規クライアントからはターミナル サーバーへの接続が行えない状況となります。(既に接続済みのクライアントへの切断などはございません。) 従いまして、ユーザー様のアクセスが無い時間帯等に適用をスケジュールいただきますようお願いします。

 

2.        当該修正プログラム適用によって、自動的に証明書の期限を更新する動作となるわけではありません。ライセンスサーバーが証明書の異常を検知した場合、ライセンス サーバーの画面上でエラー: c0010020 のポップアップ メッセージが出てしまい、管理操作ができない状況が発生することがありますが、当該修正プログラムにより、本ブログにもご紹介しておりましたレジストリを自動で編集して回避し、操作可能な状態に修復します。

 

しかしながら、証明書自体は期限が切れているままですので、引き続き手動にて再アクティブ化行う必要があります。(自動接続での再アクティブ化であれば、再アクティブ化はものの数秒で完了します。)

 

Ø  KB 983385 より抜粋: この修正プログラムをインストールした後、イベント ID 46 を持つ警告イベントがイベント ログに記録されます。このイベントでは、管理者が TS ライセンスサーバーまたは RD ライセンス サーバーを再アクティブ化するように指示されます。

 

再アクティブ化の方法は、上記 KB の回避策セクションからリンクされている、以下の KB の手順となります。(本ブログの回避策の手順 4,5 と同様です。)

 

ターミナル サーバー ライセンスサーバー/リモート デスクトップ ライセンス サーバーは一時ライセンスのみを発行し、イベント ID 17 をログに記録する

http://support.microsoft.com/kb/2021885/

※ 5/25 追記: 

本件につきまして、複数のご質問をいただきましたので補足いたします。

[ターミナル サーバー ライセンス] 管理画面において、ポップアップが表示され編集が出来ないという現象を確認いただいているお客様はご一読下さい。

当該現象発生時、環境によっては [ターミナル サーバー ライセンス] 管理画面において、以下のポップアップが発生して UI の操作ができない状況となります。これにより、回避策である、サーバーの再アクティブ化が行えない状況となります。 

 

ライセンスサーバのアクティブ化ウィザード:ライセンスサーバより内部エラーが発生しました。メッセージ番号:0xc0110011

(また、当該ログと併せて、イベント ログに ID 38 が記録される場合がございます。)

 

当該状況が発生した場合も、本ポストの回避策のセクションの手順 1 3 のレジストリ削除と Terminal Server Licensing サービス再起動にてポップアップを回避し、回避策である再アクティブ化を正常に実行可能です。

尚、CAL の追加インストールを行っていない限り、本ポップアップが出た場合でもユーザーは正常に接続可能であることが確認出来ておりますが、可能な限り早急に回避策を実施いただくことをお奨めいたします。

 

—————————- 

こんにちは。Windows テクノロジー サポート部門の石井です。

 今年、2 月末のあたりから、ターミナルライセンス サーバーにて ID 17 の証明書破損のイベントが記録されるといったお問い合せが多数寄せられております。Windows 2000 Server から、最新の Windows Server 2008 R2 までの全 OS にて、発生し得る事を確認しております。

 

本ブログ記事においては、イベント ID: 17 の原因と回避策をお知らせいたします。

 

(以下手順や画像はWindows Server 2003 を例としております。)

 

 

 

原因について

弊社サポート部門において調査を行ったところ、ライセンスサーバーの証明書が 2010/02/26 に失効するために本現象が発生することが確認出来ました。ライセンス サーバーの証明書は、ライセンス サーバーのアクティブ化の際に作成されますが、自動接続によるアクティブ化を行った場合は弊社ライセンス クリアリング ハウスが発行する証明書を取得します。

この証明書の失効日が、2010/02/26 であることから、今年の 2/26 以降に失効し、証明書破損を示すエラーが発生いたします。(電話、もしくは Web によりアクティブ化した場合には、ライセンス サーバー自身が自己署名証明書を発行しますが、この期限は 2049 年のため、本現象は発生しません。)

 

 

 

影響について

 

本警告イベントが記録されたとしても、ライセンス サーバーとしては正常に CAL を発行することが可能です。

 

しかしながら、ライセンス サーバーにおいて CAL の新規追加作業などを行った瞬間、ライセンス サーバーは異常を検知し、自分自身を非アクティブ化します。この場合、ライセンス サーバーとしての機能を失う為、ユーザーが CAL の発行を受けられなくなり、ターミナル サーバーに接続出来ない状態となりますので、早急に回避策を実施いただく必要がございます。

 

(※ 今回の問題を放置したまま、CAL の追加を行うことによりライセンス サーバーが非アクティブ化された場合については、内部エラー コード 0xc0110011  を示すポップアップが表示されます。)

 

尚、本イベント発生後もライセンス サーバーとしての機能を失うわけではありませんので、影響度としては低い点は上述いたしました通りですが、弊社において当該 ID 17 の警告が出たままでのライセンス サーバーにおいて詳細な運用テストを行ったわけではございませんので、当該状況において恒久的にライセンス サーバーをご利用いただくことの安全性を保証するものではございません。

従いまして、後述する回避策を可能な限りお早めに実施いただきますようお願いします。

 

対処方法について

 

 

 以下の対処方法により、自動接続により発行を受けた署名を削除し、2049 年を期限とする自己署名を発行することで本現象を回避することが可能です。

 

 

 

手順としては、以下となります。

 

1. [管理ツール] – [サービス] より “Terminal Server Licensing” サービスを停止します。

 

2. ライセンス サーバー上のレジストリ エディタを開き、以下の 3 つのレジストリ キーが存在する場合には、それぞれを削除します。(本レジストリ キーに失効した証明書が保持されております。)

 

HKLM\Software\Microsoft\TermServLicensing\Certificates

HKLM\System\CurrentControlSet\services\TermservLicensing\Parameters\Certificates.000

HKLM\System\CurrentControlSet\services\TermservLicensing\Parameters\Certificates.001

 

3. [管理ツール] – [サービス] より “Terminal Server Licensing” サービスを開始します。

 

4. 上記レジストリ キー削除後、[ターミナル サーバー ライセンス] のコンソールを開き、

ライセンスサーバーを右クリックし、[拡張] – [サーバーの再アクティブ化] を選択します。

 

 

 

5. 再アクティブ化のウィザードに従い、再アクティブ化を完了することで上記の証明書が再作成されます。

 

※ 再アクティブ化の方法として、電話、Web、自動接続等を切り替えたい場合は、[ターミナル サーバー ライセンス] のコンソールにて、[プロパティ] を選択し、”インストールの方法” を切り替えて下さい。(下図参照)

 

 

 

 

お電話いただく場合には、予め、担当者様名、会社名、およびライセンスの種類 (Per User Per Device、ボリューム ライセンスや市販のライセンス等) を控えていただけますと、スムーズです。

その他、アクティブ化にあたって用意すべき情報等、詳細をご確認いただきたい場合については、画面に表示されるライセンス クリアリング窓口にお電話いただき、ご質問いただければと存じます。

 

参考:

再アクティブ化の手順については、以下の技術情報をご参考下さい。

 

– Windows 2000 Server

[HOW TO] ターミナル サービス ライセンスを使用して、ライセンス サーバーをアクティブ化する方法

http://support.microsoft.com/kb/306622/ja

 

– Windows Server 2003
[HOWTO] ターミナル サーバー ライセンスを使用してライセンス サーバーを非アクティブ化または再アクティブ化する方法
http://support.microsoft.com/kb/814593/

 

ターミナル サーバー ライセンス サーバーを再アクティブ化する
http://technet.microsoft.com/ja-jp/library/cc787541(WS.10).aspx

 

– Windows Server 2008 および Windows Server 2008 R2
リモート デスクトップ ライセンス サーバーを再アクティブ化する
http://technet.microsoft.com/ja-jp/library/cc754189.aspx

 

上記対応における注意事項について

上記の再アクティブ化手順を実施中は、ライセンスサーバーが不在の状態となります。従いまして、その間のみは、クライアントからターミナル サーバーへのアクセスを行った場合に接続が出来ない状態が続きます。既に接続済みのクライアントが切断されることはありませんが、ユーザーからのターミナルサーバーへの接続が頻繁に行われる時間帯を避けて上記を実施いただきますようお願いいたします。(ライセンス クリアリング窓口は、24 時間、休日も対応しております。詳細については、ライセンス クリアリング窓口に予めお電話いただくことをお奨めいたします。)

 

弊社における今後の対応について

現在、開発部門においては上記問題についての修正プログラムの作成について検討しております。しかしながら、修正案と、修正後のテストの日程などを考慮いたしますと、具体的な修正のリリース日時はまだ未定の状態となっております。

修正プログラムがリリースされ次第、詳細を弊社技術情報 (Knowledge Base) に公開させていただきますが、当面の対処としては上記をご検討いただければ幸いです。

 

皆様には、本現象によりご不便をおかけしてしまい、大変申し訳ありませんが、よろしくお願いいたします。

 

参考情報:

同一の現象につきまして、弊社開発部門のブログからも情報がリリースされております。(記事は英語となります。)

 

Remote Desktop Services (Terminal Services) Team Blog

http://blogs.msdn.com/rds/archive/2010/03/30/event-17-certificate-corruption-on-terminal-services-remote-desktop-license-servers.aspx

 

補足:

上記以外のID 17 の発生理由として、ライセンス サーバーのデータベースが破損している可能性が考えられます。(破損の理由はファイル システムの異常やディスクの不具合など、様々です。) そういった場合、上記のライセンスサーバーの再アクティブ化のみでは現象が改善しない場合があり、ライセンス サーバーのコンポーネントの再構築が必要となります。

上記の回避策だけでは現象が改善しなかった場合については、下記技術情報をご参考下さい。

 

Event 17 is recorded in the System log on a Windows 2000 Server-based computer that is running Terminal Services Licensing Server

英語版: http://support.microsoft.com/kb/887443/en-us

日本語機械翻訳版: http://support.microsoft.com/kb/887443/ja

 

Event ID 17 Terminal Services License Server Activation

http://technet.microsoft.com/en-us/library/cc775254(WS.10).aspx

(恐れ入りますが、英語ドキュメントのみとなっております。)