2019 年 1 月 8 日の更新プログラムを適用すると、ファイル サーバーへの通信やリモート デスクトップ接続が不可能となる

こんにちは。Windows プラットフォーム サポートです。 2019 年 1 月 8 日の更新プログラムをファイル サーバーやリモート デスクトップ接続先のコンピューターへ適用すると、そのファイル サーバー、リモート デスクトップ接続先のコンピューターへのアクセスに失敗することがあるという問題が判明しましたので、本ブログで問題の内容と対応策をご案内します。   [問題の概要] 2019 年 1 月 8 日公開の以下の更新プログラムのいずれかをファイル サーバー (共有フォルダーを保持するコンピューター) もしくはリモート デスクトップ接続先のコンピューターに適用後、そのコンピューターに対して Administrators グループに所属しているローカル ユーザーを用いてアクセスすると、接続に失敗するという事象が発生します。 これにより、共有フォルダーへのアクセスできない、ネットワーク プリンターに接続できない、リモート デスクトップ接続ができないといった問題が発生します。   // Windows 7 SP1/Windows Server 2008 R2 SP1 向けの更新プログラム January 8, 2019—KB4480970 (Monthly Rollup) https://support.microsoft.com/en-us/help/4480970   January 8, 2019—KB4480960 (Security-only update) https://support.microsoft.com/en-us/help/4480960  …


証明機関の CA 証明書の書き換えについて

こんにちは。Windows プラットフォーム サポートの馬場です。 AD CS サービスで構築した CA サーバーの CA 証明書の更新の動作についてお問い合わせいただくことがございます。 そのため、今回はメッセージの意味と選択肢における動作の違いについて紹介いたします。   <目次> CA 証明書の書き換えについて CA 書き換え時のオプション 対処策後の動作     1 . CA 証明書の書き換えについて Windows OS で提供されている “Active Directory 証明機関サービス” で証明機関を構築すると、CA 証明書には有効期間が設定されます。 CA 証明書の有効期限を更新されたい場合は [証明機関] の管理コンソールより [CA 証明書の書き換え] から有効期限の延長を行うことができます。 また、CA 証明書を書き換えるシナリオとして、CA の証明書の有効期間を延長する以外に、CA 証明書のキーペアとなる秘密キーが漏洩する等、セキュリティ上の理由から行う場合もございます。 先ずは、CA 証明書の秘密キーが漏えいすることのリスクについてご説明をします。 秘密キーは、証明機関で発行する証明書に付与するデジタル署名に利用されます。 そのため、以下の図の通り、秘密キーが漏洩してしまうと悪意を持った第三者が証明書を偽造することができます。 証明書のデジタル署名の検証には信頼している CA 証明書が使用されますが、同じ秘密キーを用いて署名しているため、一般のユーザーは正規の証明書と偽造された証明書を見分けることができません。 そのため、偽造された証明書も正当な証明書として信頼してしまう恐れがあります。   偽造された証明書を使うと悪意を持った第三者は、社内ネットワークに不正に入りこんだり、不正な Web サーバーを構築して悪用することも可能です。…


Windows 10 version 1803 から version 1809 にアップグレードするとビルトイン Administrator が無効化される

Windows 10 version 1803 をご利用されている方で、version 1809 にアップグレードをご検討されている方がいらっしゃいましたら、意図せずビルトイン Administrator アカウントが無効化されてしまう問題が報告されていますので、ご注意いただけますようお願い申し上げます。   この問題は以下の条件がともに成り立つ時に、Windows 10 version 1803 から version 1809 にアップグレードすると発生することが分かっています。   // 本問題の発生条件 (以下の条件の両方ともに合致する場合に本事象が発生します) * ビルトイン Administrator アカウントが有効である。 * 他にも Administrators 権限を持っているローカルのアカウントが存在している。 つまり、AdministratorsグループにビルトインAdministrator 以外に、ローカル ユーザのアカウントが存在する場合のみ、この問題が発生します。     現在、Windows 10 version 1803 から version 1809 にアップグレードする時に、自動的に修正が適用され、本不具合の発生を回避できます。 2019 年 1月 22 日以降、Windows Updateを使用する場合1809にアップグレードする過程で本問題を修正する処理が行われるようになっており、事象は発生いたしません。 留意点といたしましては、この修正は、アップグレードの際のみ適用可能であり、通常の更新プログラムのように事前に Windows Update から適用することはできません。 SCCMやWSUSを利用して1809にアップグレードするお客様は事象が発生してしまい、事前予防の解決策はありません。 もし、事象が発生した場合は、事象発生後にその他の管理者ユーザーでログオンし、必要に応じてビルトインのAdministratorを有効化する必要があります。…


Appidcertstorecheck.exe が大量に起動する問題について

こんにちは。Windows サポート チームの依田です。 今回は、ある特定の条件下で、Appidcertstorecheck.exe というプロセスが大量に起動してしまう問題についての原因と対処策についてご案内します。     ============================== ■ 事象概要と事象が発生した時の影響 ============================== Windows 10 / Windows Server 2016 端末にて、ある特定の条件下で、上の図の様に Appidcertstorecheck.exe というプロセスが大量に起動してしまう事象が発生することがあります。 このプロセスが大量に起動することで、対象端末のメモリが逼迫し、システムに影響を及ぼす可能性があります。   ============================== ■ 事象発生原因と対処策の概要 ============================== Appidcertstorecheck.exe は、Applocker と呼ばれるアプリケーションの実行を制御する為の OS の機能が、証明書のチェックを行う際に呼び出される実行ファイルです。 今回の Appidcertstorecheck.exe が大量に起動してしまう事象は、後述の “事象の発生条件” に合致している環境下で、証明書の検証時にクライアントからインターネット上のサイト “http://ctldl.windowsupdate.com” に公開されている ”Pinrulesstl.cab” という名前のファイルにアクセスが出来ないことが原因で発生します。 その為、結論としては、”Pinrulesstl.cab” をクライアントが参照できるようにすることで事象は解消されます。   ============================== ■ 事象の発生条件 ============================== ・ OS バージョンが Windows 10 / Windows Server…


Windows 10 のバージョンアップを行った際にファイアウォールの許可規則が削除されてしまう

皆様、こんにちは。Windows プラットフォーム サポートです。 今回は Windows 10 のバージョン アップを行った際にファイアウォールの許可規則が削除されてしまうという事例を紹介します。 [現象] Windows 10 のバージョンアップを行った際にファイアウォールの許可規則が削除されてしまう場合があります。 [原因] アプリケーション パッケージに対するファイアウォールの規則をカスタマイズし、その規則がアプリケーション パッケージの通信を許可するうえで不完全な規則と判断した場合に削除されます。この動作は想定された動作です。 例としてリモート デスクトップを取り上げます。リモート デスクトップ アプリケーション パッケージへのファイアウォール許可規則は下図のように “リモート デスクトップ – シャドウ (TCP 受信)”, “リモートデスクトップ – ユーザー モード (TCP 受信)”, “リモート デスクトップ – ユーザー モード (UDP 受信)” の 3 個のファイアウォール規則にて構成されます。一部の規則を無効化していても使い方によっては問題なくリモート デスクトップ接続が可能ですが、リモート デスクトップ アプリケーション パッケージに対する通信許可規則としては 3 個すべての規則が有効化されている必要があり、一部が無効化されていた場合には不完全と判断されます。     不完全と判断されていることは [許可されたアプリ] から確認することが出来ます。下図はリモート デスクトップ アプリケーション…


モバイル ブロードバンド接続 (LTE 等) の ”自動接続を抑止する” 手順について

皆様、こんにちは。Windows プラットフォーム サポート担当の永谷です。 今回はモバイル ブロードバンド接続 (LTE 等) の “自動接続を抑止する” 手順を紹介します。   – 対象の環境 Windows 10 v1607 (RS 1) 以降の OS にてモバイル ブロードバンド接続をご利用頂いている環境 今回の Blog では、弊社サポート部門へのお問合せも数多くお寄せいただいておりますモバイル ブロードバンド接続の自動接続設定を [無効] にする設定をご案内致します。 自動的にモバイル ブロードバンド接続が行われてしまう動作を抑止したいお客様は是非お役立てください。   =============================== 設定方法 =============================== 下記レジストリ値を端末に設定いただくことでモバイル ブロードバンド接続が “自動的に接続すること” を抑止することが可能です。 – レジストリ: キー : HKLM\Software\Policies\Microsoft\Windows\WwanSvc\GroupPolicy 名前 : DisableWwanAutoConnect 種類 : REG_DWORD 値 : 1   (補足) ・レジストリ…


2018 年 9 月 11 日の更新プログラムを Hyper-V ホストに適用すると、NLB ユニキャストモードの仮想マシンが通信不可となる

こんにちは。Windows プラットフォーム サポートです。 2018 年 9 月 11 日公開の更新プログラムを適用すると、以下の問題が発生することが判明しましたので、本 Blog で問題の内容と対応策をご案内します。   [ 問題の概要 ] 2018 年 9 月 11 日公開の更新プログラムを Hyper-V ホストに適用後、NLB ユニキャストモードを構成している仮想マシンを再起動すると、その仮想マシンへの通信ができなくなります。 ※ NLB マルチキャストモードまたは IGMP マルチキャストモードを利用している仮想マシンは影響ありません。 ※ Hyper-V 以外の仮想化環境は影響ありません。   [ 対象 OS ] この現象は、現在サポートしているすべての OS バージョンで発生します。   [ 原因 ] Hyper-V ホストで MAC アドレス スプーフィング機能が動作しなくなることで発生します。   仮想マシンで NLB をユニキャストモードで構成している場合、本来は仮想マシン上のネットワークアダプタの MAC アドレスが…


Windows Hello における多要素のロック解除について

こんにちは。Windows サポートチームの矢澤です。 今回は RS3 (1709) から新しく実装された Windows Hello の多要素認証についてご紹介します。 詳細は以下の公開情報に記載されておりますが、わかりにくい点もありますのでこちらの blog にて補足します。