treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

2024年4月のWindows Update(Windows Server)

WindowsUpdate 運用管理

2024年4月のWindows Updateで先月と同様にWindows Serverで問題が発生している模様。
先月と直接関係はないようですが、今月も内容を記録しておこうと思います。

ドメインコントローラで問題が発生

先月と同じ見出しになっていますが、先月とはまったく関係ない動作に不具合を起こしているようです。

ドメインコントローラに4月の更新プログラムの適用するため、調査をしていたところで、以下の記述を発見しました。

■April 9, 2024—KB5036896 (OS Build 17763.5696)
<https://support.microsoft.com/en-us/topic/april-9-2024-kb5036896-os-build-17763-5696-efb580f1-2ce4-4695-b76c-d2068a00fb92>

※日本語ページでも同じ記述が更新されています。

■2024 年 4 月 9 日 — KB5036896 (OS ビルド 17763.5696)
<https://support.microsoft.com/ja-jp/topic/2024-%E5%B9%B4-4-%E6%9C%88-9-%E6%97%A5-kb5036896-os-%E3%83%93%E3%83%AB%E3%83%89-17763-5696-efb580f1-2ce4-4695-b76c-d2068a00fb92>

このページの「Known issues in this update(この更新プログラムに関する既知の問題)」に記載があります。以下抜粋です。

■Symptom(現象)
--------------------------------------------------------------
After installing the April 9, 2024 security update on domain controllers (DCs), you might notice a significant increase in NTLM authentication traffic. This issue is likely to affect organizations that have a very small percentage of primary domain controllers in their environment and high NTLM traffic.
--------------------------------------------------------------
ドメイン コントローラー (DC) に 2024 年 4 月 9 日のセキュリティ更新プログラムをインストールすると、 NTLM 認証トラフィックが大幅に増加する可能性があります。 この問題は、環境内のプライマリ ドメイン コントローラーの割合が非常に少なく、NTLM トラフィックが多い組織に影響を与える可能性があります。
--------------------------------------------------------------

Workaround(回避策)
--------------------------------------------------------------
Windows support:(Windows サポート:)

Enterprise devices: Request help for your organization through Support for business.
エンタープライズ デバイス: ビジネス向けサポートを通じて、organizationのヘルプを要求します。

We are working on a resolution and will provide an update in an upcoming release
解決に取り組んでおり、今後のリリースで更新プログラムを提供します
--------------------------------------------------------------

ページはWindows Server 2019に適用する更新プログラムKB5036896のページですが、他のWindows Serverの更新プログラムページでも同様の記載がありました。

不具合の内容

不具合としてはNTLM認証の失敗と高負荷状態を生み出す可能性がある、という内容です。

既知の問題はNTLMトラフィックが多く、プライマリドメインコントローラがほとんどないActive Directory環境のWindows ドメインコントローラ(ADDC)にのみ影響するようです。でもプライマリドメインコントローラって…。

2024年4月の更新プログラムをドメインコントローラ(DC)に対してインストールすることで、NTLM認証トラフィックが大幅に増加することがあって、その増加したトラフィックによって高負荷状態が生み出される、という感じでしょうか。

対象となる更新プログラム

対象となるのは2024年4月の月例更新プログラムで、各OS向けにリリースした更新プログラムをインストールする環境がドメインコントローラならどのOSでもこの不具合の対象になるようです。

前述したWindows Server 2019のKB5036896以外にも、以下にある更新プログラムのページで同様の記述が確認出来ました。

■Windows Server 2022 : KB5036909
https://support.microsoft.com/ja-jp/topic/2024-%E5%B9%B4-4-%E6%9C%88-9-%E6%97%A5-kb5036909-os-%E3%83%93%E3%83%AB%E3%83%89-20348-2402-36062ce9-f426-40c6-9fb9-ee5ab428da8c

■Windows Server 2016 : KB5036899
https://support.microsoft.com/ja-jp/topic/2024-%E5%B9%B4-4-%E6%9C%88-9-%E6%97%A5-kb5036899-os-%E3%83%93%E3%83%AB%E3%83%89-14393-6897-6a0b7cdd-dd67-4ef8-8c38-8a936b2f952c

サポートが終了してESUとなっているWindows Server 2012 R2でも同じ記述があるため、OSを問わずドメインコントローラであれば発生する不具合のようです。

■Windows Server 2012(R2含) : KB5036960/KB5036969
https://support.microsoft.com/ja-jp/topic/2024-%E5%B9%B4-4-%E6%9C%88-9-%E6%97%A5-kb5036960-%E6%9C%88%E6%AC%A1%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%A2%E3%83%83%E3%83%97-0fa3b006-31dc-415c-a721-f1f4fb33c8d0

https://support.microsoft.com/ja-jp/topic/2024-%E5%B9%B4-4-%E6%9C%88-9-%E6%97%A5-kb5036969-%E6%9C%88%E6%AC%A1%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%A2%E3%83%83%E3%83%97-5468aa7b-10ff-43d0-a704-e99fdfeeb604

NTLM認証

通常ならワークグループ環境で使われていて、Active DirectoryではKerberos認証なのでNTLMの不具合は関係ないだろう、という感じもするのですが、ドメインコントローラではNTLM認証の記録が(まれに)出てきます。

例えばイベントビューアに以下のような記録がドメインコントローラに出てきます。

LSAでイベントID:6038、ワーニングですが「Microsoft Windows Server とクライアントの間で、現在 NTLM 認証が使用されていることが検出されました。このイベントは、クライアントの起動時に初めて NTLM を使用してこのサーバーに認証するときに 1 回発生します。」と記録されています。Active Directory内の認証だけでなくアプリケーションを含めた認証という可能性もありますが、NTLM認証が意図せず使われているというケースはありそうです。

なお、文中のURL<http://go.microsoft.com/fwlink/?LinkId=225699>にアクセスすると、「Assessing NTLM usage(NTLM の使用を評価する)」ページが開きます。

どの認証がNTLM認証で、影響範囲がどれくらいなのか、という点がはっきりしないのであれば、まずは調査から始めたほうがいいのかもしません。

現状:更新プログラムのアンインストールしかない

前述の「Workaround(回避策)」の記載には、「We are working on a resolution and will provide an update in an upcoming release(解決に取り組んでおり、今後のリリースで更新プログラムを提供します)」と記載があるので、現状は発生してしまったとするとそれに対処するためには、インストールした月例更新プログラムをアンインストールする、という対処方法しかないということになります。

ドメインコントローラにインストールした更新プログラムのうち、月例更新プログラムのほうをアンインストールすることで、不具合が発生していた環境が影響を受けなくなるようです。つまり、ドメインコントローラに対しては2024年4月のセキュリティアップデートはもうしばらく適用ができないようです。

サイトの記述にある「We are working on a resolution and will provide an update in an upcoming release(解決に取り組んでおり、今後のリリースで更新プログラムを提供します)」の記載通り、もうしばらくドメインコントローラ向けの更新プログラム適用は待ちとなりそうです。