Windows 10 Version 1511 用の累積的な更新プログラム2016年8月9日

このセキュリティ更新プログラムの既知の問題

• 既知の問題 1
  
  MS16-101 以降のセキュリティ更新では、Kerberos 認証でのパスワード変更に失敗し、STATUS_NO_LOGON_SERVERS (0xc000005e) エラー コードが表示された場合、NTLM に頼るために Negotiate プロセスが無効になっています。このとき、次のいずれかのエラー コードが表示される場合があります。
  
  

  16 進	10 進	記号	フレンドリ
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	システムがセキュリティを損なう可能性のある試みを検出しました。認証したサーバと交信できることを確認してください。
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	システムがセキュリティを損なう可能性のある試みを検出しました。認証したサーバと交信できることを確認してください。

  
  
  回避策
  
  MS16-101 のインストール後に、以前は成功したパスワード変更に失敗する場合、前回は Kerberos が失敗したため NTLM フォールバックによってパスワード変更を行っていた可能性が高いです。Kerberos プロトコルを使用してパスワードを変更するには、次の手順に従ってください。
  
  
  

  1. インストールした MS16-101 とパスワードのリセットを行うドメイン コントローラを持つクライアントとの間に、TCP ポート 464 上でオープン通信を設定します。
     
     ユーザが RODCs パスワード レプリケーション ポリシーで許可されている場合は、読み取り専用ドメイン コントローラ (RODCs) は、セルフサービス パスワード リセットを提供することができます。RODCs パスワード ポリシーで許可されていないユーザは、ユーザ アカウント ドメインで、リード/ライト ドメイン コントローラ (RWDC) へのネットワーク接続性が必要です。
     
     注 TCP ポート 464 が開いているかどうかを確認するには、次の手順に従ってください。
     
     
     

     1. ネットワーク モニター パーサーに、同等のディスプレイ フィルタを作成します。次に例を示します。
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. 結果の中に、"TCP:[SynReTransmit" フレームを探します。
        
        

  2. 目的の Kerberos 名が有効になっていることを確かめます。(Kerberos プロトコルでは、IP アドレスは有効ではありません。Kerberos は、短い名前と完全修飾ドメイン名をサポートします。)

  3. サービス プリンシパル名 (SPNs) が正しく登録されていることを確認します。
     
     詳細は、Kerberos and Self-Service Password Reset を参照してください。

• 既知の問題 2
  
  ドメイン ユーザ アカウントのプログラマティック パスワード リセットが失敗し、予想される失敗が次のうちの一つの場合、STATUS_DOWNGRADE_DETECTED (0x800704F1) エラー コードを表示する問題があります。
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (表示されることは少ない)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  次の表は、完全なエラー マッピングを示しています。
  
  

  16 進	10 進	記号	フレンドリ
  0x56	86	ERROR_INVALID_PASSWORD	指定されたネットワーク パスワードが間違っています。
  0x267	615	ERROR_PWD_TOO_SHORT	入力されたパスワードは、ユーザ アカウントのポリシーに対して短すぎます。これよりも長いパスワードを入力してください。
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	パスワードの更新時、このリターン状態は、現在のパスワードとして指定した値が正しくないことを示します。
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	パスワードの更新時、このリターン状態は、なんらかのパスワード更新ルールが違反していることを示します。例えば、パスワードが長さの基準を満たしていないかもしれません。
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	システムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	システムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。

  
  
  解決方法
  
  この問題に対応するために MS16-101 が再リリースされました。この問題を解決するには、このセキュリティ情報の最新バージョンをインストールしてください。
  
  

• 既知の問題 3
  
  ローカル ユーザ アカウント パスワード変更のプログラマティック リセットに失敗し、 STATUS_DOWNGRADE_DETECTED (0x800704F1) エラーコードが表示される問題があります。
  
  次の表は、完全なエラー マッピングを示しています。
  
  

  16 進	10 進	記号	フレンドリ
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	システムがドメイン コントローラと交信できず、認証要求に応えられません。後でもう一度やり直してください。

  
  
  解決方法
  
  この問題に対応するために MS16-101 が再リリースされました。この問題を解決するには、このセキュリティ情報の最新バージョンをインストールしてください。
  
  

• 既知の問題 4
  
  無効でロックアウトされたユーザ アカウントのパスワードは、ネゴシエート パッケージを使用して変更できません。
  
  
  無効でロックアウトされたアカウントのパスワードの変更は、LDAP Modify 操作を直接使用するなど、他の方法でも実行できます。たとえば、PowerShell コマンドレット Set-ADAccountPassword で "LDAP Modify" 操作を使用してパスワードを変更し、影響を受けません。
  
  回避策
  
  これらのアカウントは、管理者がパスワード リセットを行う必要があります。この挙動は、MS16-101 以降の更新プログラムのインストール後の設計によるものです。
  
  

• 既知の問題 5
  
  NetUserChangePassword API を使用し、ドメイン名パラメータ内のサーバ名をパスするアプリケーションは、MS16-101 以降の更新プログラムをインストールした後は機能しません。
  
  Microsoft のドキュメントには、NetUserChangePassword 関数の domainname パラメーターでリモート サーバー名を指定することがサポートされると記載されています。例えば、NetUserChangePassword function MSDN トピックは、以下のように述べています。
  
  ドメイン名 [in]
  

  機能を実行するリモート サーバまたはドメインの、DNS または NetBIOS 名を指定するコンスタント ストリングへのポインタ。このパラメータが NULL の場合、呼び出し元のログオン ドメインが使用されます。 ただし、パスワード リセットがローカル コンピュータのローカル アカウント用でない限り、このガイダンスはMS16-101 に置き換わっています。Post MS16-101、ドメイン ユーザー パスワードの変更を有効にするには、有効な DNS ドメイン名を NetUserChangePassword API にパスしなければなりません。

• 既知の問題 6
  
  
  
  このセキュリティ更新プログラムを適用した後に複数のドキュメントを連続して印刷すると、最初の 2 つのドキュメントは正常に印刷されます。しかし、３つ目以降のドキュメントについては印刷できない可能性があります。
  
  この問題をなおすには、更新プログラム 3186988を Microsoft Update カタログ ウェブサイトからダウンロードしてください。
  
  
  
  
  
  この問題は、マイクロソフト セキュリティ情報 MS16-106 でも解決されています。
  
  
  
  

• 既知の問題 7
  
  MS16-101 に記載されているセキュリティ更新プログラムをインストールした後に、ローカル ユーザー アカウントのパスワードをリモートからプログラムで変更する操作と、信頼されていないフォレスト全体のパスワードの変更は失敗します。
  
  
  この操作が失敗する理由は、この操作が NTLM フォールバックに依存しているためです。MS16-101 のインストール後、ローカル以外のアカウントでは NTLM フォールバックがサポートされなくなりました。
  
  
  この変更を無効にすることができるレジストリ エントリが用意されています。
  
  警告 この回避策によって、コンピューターやネットワークが、悪意のあるユーザーやウイルスなどの悪質なソフトウェアからの攻撃を受けやすくなる場合があります。この資料の情報は、記載されている回避策をユーザーが自己の判断で使用することを前提に提供されているものであり、この回避策をお勧めするものではありません。この回避策は、自己の責任において使用してください。
  
  重要このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。

  322756Windows でレジストリをバックアップおよび復元する方法
  
  この変更を無効にするには、NegoAllowNtlmPwdChangeFallback DWORD エントリの値を 1 に設定します。
  
  
  重要NegoAllowNtlmPwdChangeFallback レジストリ エントリの値を 1 に設定すると、このセキュリティ修正プログラムが無効になります。
  

  レジストリの値	説明
  0	既定値。フォールバックは回避されます。
  1	フォールバックは常に許可されます。このセキュリティ修正プログラムは無効になります。リモート ローカル アカウントまたは信頼されないフォレストのシナリオで問題が発生している場合、レジストリをこの値に設定することができます。

  これらのレジストリ値を追加するには、以下の手順を実行します。
  

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行]をクリックします。 [名前] ボックスに [regedit]と入力し、[OK] をクリックします。

  2. レジストリで次のサブキーを見つけてクリックします。
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。

  4. DWORD 値の名前として「NegoAllowNtlmPwdChangeFallback」と入力し、Enter キーを押します。

  5. [NegoAllowNtlmPwdChangeFallback]を右クリックし、[修正]をクリックします。

  6. [値のデータ]ボックスに「1」と入力し、[OK]をクリックします。
     
     
     注 既定値を復元するには、「0」と入力し、[OK]をクリックします。

  状態
  
  この問題の根本原因が分かりました。追加の情報が利用可能になった時点で、この資料は更新されます。

方法 1: Windows Update

この更新プログラムは自動的にダウンロードされ、インストールされます。

方法 2: Microsoft Update カタログ

この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトにアクセスします。

必要条件

この更新プログラムをインストールするための必要条件はありません。

再起動に関する情報

この更新プログラムの適用後に、コンピューターを再起動する必要があります。

更新プログラムの置き換えに関する情報

この更新プログラムを適用すると、以前にリリースされた更新プログラム 3172985 が置き換えられます。