treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

2022年5月定例外の更新プログラムがリリース

Windows Server向けの定例外となる更新プログラムがリリースしたので、調べたことをご報告です。
Windows Server向けなのでWindows10/11には全く絡まない話。

定例外の更新プログラムの情報

情報の出処は、
■Microsoft Build:Windows 10, version 20H2 and Windows Server, version 20H2
https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-20h2#2826msgdesc

※日本語のページ(https://docs.microsoft.com/ja-jp/windows/release-health/status-windows-10-20h2#2826msgdesc)はリリースした5月20日現在では内容が更新されていませんでした。英語ページで確認する必要がありそうです。

内容を確認してみる

英文をちょっとづつ読みながら、前回の<2022年5月のADDCのWindows Updateに注意しようと思ったこと - treedown’s Report>で気になっていたドメインコントローラ向けの更新プログラムとちょっと関係しているようなしていないような感じを受けながら読み進めていきます。

2022年5月の月例更新プログラムをドメインコントローラにインストールした後で、

--------------------------------------------------------------
you might see authentication failures on the server or client for services such as Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP), and Protected Extensible Authentication Protocol (PEAP). 
--------------------------------------------------------------
サーバないしクライアントでネットワーク ポリシー サーバー (NPS)、ルーティングとリモート アクセス サービス (RRAS)、RADIUS、拡張可能認証プロトコル (EAP)、保護された拡張認証プロトコル (PEAP) などのサービスのサーバーまたはクライアントで認証エラーが発生
--------------------------------------------------------------

と記載があります。前回の<2022年5月のADDCのWindows Updateに注意しようと思ったこと - treedown’s Report>で調べた証明書のマッピングも関連してドメインコントローラでの処理が原因で起きているようです。このため、Windows10/11やスタンドアロン(メンバーサーバ)のWindows Serverの月例更新では問題が発生しない、と記載があります。

新たな更新内容=解決策

回避策(Workaround)までは日本語ページにあるのですが、5月20日現在で英語ページに解決策(Resolution)が追記されていました。

https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-20h2#2826msgdesc

より
--------------------------------------------------------------
Resolution: This issue was resolved in out-of-band updates released May 19, 2022 for installation on Domain Controllers in your environment. There is no action needed on the client side to resolve this authentication issue. If you used any workaround or mitigations for this issue, they are no longer needed, and we recommend you remove them. To get the standalone package for these out-of-band updates, search for the KB number in the Microsoft Update Catalog. You can manually import these updates into Windows Server Update Services (WSUS) and Microsoft Endpoint Configuration Manager. For WSUS instructions, see WSUS and the Catalog Site. For Configuration Manger instructions, see Import updates from the Microsoft Update Catalog. Note The below updates are not available from Windows Update and will not install automatically.
--------------------------------------------------------------

5月19日の定例外リリースの更新プログラムでドメインコントローラ用の更新プログラムがリリースし問題を解消することが出来る、と言う点と、この認証の問題はクライアント側(Windows10/11やスタンドアロン(メンバーサーバ)のWindows Server)ではアクションの実施は不要であることが記載されています。

加えて、回避策(Workaround)は更新プログラムの適用で不要となるため、回避策(Workaround)で実施した内容は元に戻して更新プログラムの適用で解消させることが推奨されています。

更新プログラムを入手するには、MicrosoftUpdateカタログでKB番号を検索する、と記載があるので、Windows Updateの自動更新や手動更新では適用されないようです。手動でダウンロードしてインストールが必要になる、ということのよう。(ただしWSUSへの手動インポートは可能)

更新プログラム

更新プログラムは累積的更新プログラムが配信されるOSかそれ以前のOSかによってちょっと違うようです。

  • Windows Server 2022:KB5015013
  • Windows Serverバージョン20H2:KB5015020
  • Windows Server 2019:KB5015018
  • Windows Server 2016:KB5015019

それぞれのOSに対応するKB番号をMicrosoft Update Catalogサイトで検索するとダウンロードできます。

CatalogサイトでKB5015019を検索

これらのOSは累積的な更新プログラムなので、月例更新の適用有無に関係なく適用できるようです。

いっぽうで、

  • Windows Server 2012 R2:KB5014986
  • Windows Server 2012:KB5014991

Windows Server 2012世代は、累積的更新プログラムではないので、2022年5月の月例更新適用後に別途KB5014991(R2ではKB5014986)を適用する必要があるようです。
「セキュリティのみの品質更新プログラム」だけを適用しているか、「セキュリティマンスリー品質ロールアップ」を適用しているかによって、更新プログラムの適用方法が変わってくる、ということのよう。


以下のようにセキュリティマンスリー品質ロールアップだけを適用している環境もあります。


サイトの解説によれば、

「If you are using Monthly rollup updates, you will need to install both the standalone updates listed above to resolve this issue, 」
月次ロールアップ更新を使用している場合は、この問題を解決するために上記のスタンドアロン更新をインストールする必要があります。

に続けて、

「 and install the Monthly rollups released May 10, 2022 to receive the quality updates for May 2022.」
また、2022年5月10日にリリースされた月次ロールアップをインストールして2022年5月の品質更新を受け取る必要があります。

と記載がありました。