2024年4月のWindows Updateで先月と同様にWindows Serverで問題が発生している模様。
先月と直接関係はないようですが、今月も内容を記録しておこうと思います。
ドメインコントローラで問題が発生
先月と同じ見出しになっていますが、先月とはまったく関係ない動作に不具合を起こしているようです。
ドメインコントローラに4月の更新プログラムの適用するため、調査をしていたところで、以下の記述を発見しました。
■April 9, 2024—KB5036896 (OS Build 17763.5696)
<https://support.microsoft.com/en-us/topic/april-9-2024-kb5036896-os-build-17763-5696-efb580f1-2ce4-4695-b76c-d2068a00fb92>
※日本語ページでも同じ記述が更新されています。
■2024 年 4 月 9 日 — KB5036896 (OS ビルド 17763.5696)
<https://support.microsoft.com/ja-jp/topic/2024-%E5%B9%B4-4-%E6%9C%88-9-%E6%97%A5-kb5036896-os-%E3%83%93%E3%83%AB%E3%83%89-17763-5696-efb580f1-2ce4-4695-b76c-d2068a00fb92>
このページの「Known issues in this update(この更新プログラムに関する既知の問題)」に記載があります。以下抜粋です。
■Symptom(現象)
--------------------------------------------------------------
After installing the April 9, 2024 security update on domain controllers (DCs), you might notice a significant increase in NTLM authentication traffic. This issue is likely to affect organizations that have a very small percentage of primary domain controllers in their environment and high NTLM traffic.
--------------------------------------------------------------
ドメイン コントローラー (DC) に 2024 年 4 月 9 日のセキュリティ更新プログラムをインストールすると、 NTLM 認証トラフィックが大幅に増加する可能性があります。 この問題は、環境内のプライマリ ドメイン コントローラーの割合が非常に少なく、NTLM トラフィックが多い組織に影響を与える可能性があります。
--------------------------------------------------------------
Workaround(回避策)
--------------------------------------------------------------
Windows support:(Windows サポート:)
Enterprise devices: Request help for your organization through Support for business.
エンタープライズ デバイス: ビジネス向けサポートを通じて、organizationのヘルプを要求します。
We are working on a resolution and will provide an update in an upcoming release
解決に取り組んでおり、今後のリリースで更新プログラムを提供します
--------------------------------------------------------------
ページはWindows Server 2019に適用する更新プログラムKB5036896のページですが、他のWindows Serverの更新プログラムページでも同様の記載がありました。
不具合の内容
不具合としてはNTLM認証の失敗と高負荷状態を生み出す可能性がある、という内容です。
既知の問題はNTLMトラフィックが多く、プライマリドメインコントローラがほとんどないActive Directory環境のWindows ドメインコントローラ(ADDC)にのみ影響するようです。でもプライマリドメインコントローラって…。
2024年4月の更新プログラムをドメインコントローラ(DC)に対してインストールすることで、NTLM認証トラフィックが大幅に増加することがあって、その増加したトラフィックによって高負荷状態が生み出される、という感じでしょうか。
対象となる更新プログラム
対象となるのは2024年4月の月例更新プログラムで、各OS向けにリリースした更新プログラムをインストールする環境がドメインコントローラならどのOSでもこの不具合の対象になるようです。
前述したWindows Server 2019のKB5036896以外にも、以下にある更新プログラムのページで同様の記述が確認出来ました。
■Windows Server 2022 : KB5036909
https://support.microsoft.com/ja-jp/topic/2024-%E5%B9%B4-4-%E6%9C%88-9-%E6%97%A5-kb5036909-os-%E3%83%93%E3%83%AB%E3%83%89-20348-2402-36062ce9-f426-40c6-9fb9-ee5ab428da8c
■Windows Server 2016 : KB5036899
https://support.microsoft.com/ja-jp/topic/2024-%E5%B9%B4-4-%E6%9C%88-9-%E6%97%A5-kb5036899-os-%E3%83%93%E3%83%AB%E3%83%89-14393-6897-6a0b7cdd-dd67-4ef8-8c38-8a936b2f952c
サポートが終了してESUとなっているWindows Server 2012 R2でも同じ記述があるため、OSを問わずドメインコントローラであれば発生する不具合のようです。
■Windows Server 2012(R2含) : KB5036960/KB5036969
https://support.microsoft.com/ja-jp/topic/2024-%E5%B9%B4-4-%E6%9C%88-9-%E6%97%A5-kb5036960-%E6%9C%88%E6%AC%A1%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%A2%E3%83%83%E3%83%97-0fa3b006-31dc-415c-a721-f1f4fb33c8d0
https://support.microsoft.com/ja-jp/topic/2024-%E5%B9%B4-4-%E6%9C%88-9-%E6%97%A5-kb5036969-%E6%9C%88%E6%AC%A1%E3%83%AD%E3%83%BC%E3%83%AB%E3%82%A2%E3%83%83%E3%83%97-5468aa7b-10ff-43d0-a704-e99fdfeeb604
NTLM認証
通常ならワークグループ環境で使われていて、Active DirectoryではKerberos認証なのでNTLMの不具合は関係ないだろう、という感じもするのですが、ドメインコントローラではNTLM認証の記録が(まれに)出てきます。
例えばイベントビューアに以下のような記録がドメインコントローラに出てきます。
LSAでイベントID:6038、ワーニングですが「Microsoft Windows Server とクライアントの間で、現在 NTLM 認証が使用されていることが検出されました。このイベントは、クライアントの起動時に初めて NTLM を使用してこのサーバーに認証するときに 1 回発生します。」と記録されています。Active Directory内の認証だけでなくアプリケーションを含めた認証という可能性もありますが、NTLM認証が意図せず使われているというケースはありそうです。
なお、文中のURL<http://go.microsoft.com/fwlink/?LinkId=225699>にアクセスすると、「Assessing NTLM usage(NTLM の使用を評価する)」ページが開きます。
どの認証がNTLM認証で、影響範囲がどれくらいなのか、という点がはっきりしないのであれば、まずは調査から始めたほうがいいのかもしません。
現状:更新プログラムのアンインストールしかない
前述の「Workaround(回避策)」の記載には、「We are working on a resolution and will provide an update in an upcoming release(解決に取り組んでおり、今後のリリースで更新プログラムを提供します)」と記載があるので、現状は発生してしまったとするとそれに対処するためには、インストールした月例更新プログラムをアンインストールする、という対処方法しかないということになります。
ドメインコントローラにインストールした更新プログラムのうち、月例更新プログラムのほうをアンインストールすることで、不具合が発生していた環境が影響を受けなくなるようです。つまり、ドメインコントローラに対しては2024年4月のセキュリティアップデートはもうしばらく適用ができないようです。
サイトの記述にある「We are working on a resolution and will provide an update in an upcoming release(解決に取り組んでおり、今後のリリースで更新プログラムを提供します)」の記載通り、もうしばらくドメインコントローラ向けの更新プログラム適用は待ちとなりそうです。