2022 年 5 月 10 日 — KB5013963 (OS ビルド 10240.19297) - EXPIRED

最終更新日 2022 年 5 月 27 日

ドメイン コントローラーに 2022 年 5 月 10 日にリリースされた更新プログラムをインストールすると、ネットワーク ポリシー サーバー (NPS)、ルーティングとリモート アクセス サービス (RRAS)、Radius、拡張可能認証プロトコル (EAP)、保護された拡張認証プロトコル (PEAP) などのサービスに対して、サーバーまたはクライアントでマシン証明書認証エラーが発生することがあります。 マシン アカウントへの証明書のマッピングがドメイン コントローラーによってどのように処理されているかに関連する問題が見つかりました。

注意2022 年 5 月 10 日にリリースされた更新プログラムをクライアントの Windows デバイスおよび非ドメイン コントローラーの Windows サーバーにインストールしても、この問題は発生しません。 この問題は、2022 年 5 月 10 日のインストール、ドメイン コントローラーとして使用されるサーバーにインストールされた更新プログラムにのみ影響します。

最終更新日 2022 年 5 月 27 日

この問題の望ましい軽減策は、Active Directory のマシン アカウントに証明書を手動でマップすることです。 手順については、「証明書のマッピング」を参照してください。

メモ 証明書を Active Directory のユーザー アカウントまたはマシン アカウントにマッピングする場合も手順は同じです。 推奨される軽減策がお使いの環境で機能しない場合は、「SChannel レジストリ キー」セクションの「KB5014754— Windows ドメイン コントローラーでの証明書ベースの認証の変更」で他の可能な軽減策を参照してください。

メモ 推奨されるものを除く軽減策は、セキュリティの強化を低下させたり無効にしたりする可能性があります。

この問題は、2022 年 5 月 19 日にリリースされた帯域外更新プログラムで対処され、環境内のすべてのドメイン コントローラー、および、認証対象のクライアントから認証 DC に認証証明書を渡すネットワーク ポリシー サーバー (NPS)、RADIUS、証明機関 (CA)、Web サーバーなどのすべての中間アプリケーション サーバーにインストールされます。 この問題の回避策または軽減策を使用した場合、それらは不要になったため、削除することをお勧めします。 これには、KB5014754 の SChannel レジストリ キー セクションに記載されているレジストリ キー (CertificateMappingMethods = 0x1F) の削除が含まれます。 この認証の問題を解決するために、クライアント側で必要な操作はありません。

これらの帯域外更新プログラムのスタンドアロン パッケージを取得するには、Microsoft Update カタログで KB 番号を検索します。 これらの更新プログラムは、Windows Server Update Services (WSUS) と Microsoft Endpoint Configuration Manager に手動でインポートできます。 WSUS の手順については、WSUS およびカタログ サイトを参照してください。 構成管理の手順については、「Microsoft Update Catalog から更新プログラムをインポートする」を参照してください。 注: 以下の更新プログラムは Windows Update からは利用できず、自動的にインストールされません。

累積的な更新プログラム:

• Windows Server 2022: KB5015013

• Windows Server バージョン 20H2: KB5015020

• Windows Server 2019: KB5015018

• Windows Server 2016: KB5015019

メモ これらの累積的な更新プログラムをインストールする前に、以前の更新プログラムを適用する必要はありません。 2022 年 5 月 10 日にリリースされた更新プログラムを既にインストールしている場合は、上記の更新プログラムを含む以降の更新プログラムをインストールする前に、影響を受ける更新プログラムをアンインストールする必要はありません。