初めまして。 Windows サポート チームの矢澤です。

今回は Windows Server 2016  において WINS サーバーの機能を利用する場合の注意点についてご案内いたします。

WINS を利用することが必須要件でない場合には、DNS への移行をお願いいたします。

WINS を利用することが必須要件の場合には、Windows Server 2012 R2 の利用をご検討ください。

事象1: 状態が停止と表示される

Windows Server 2016 に WINS サーバーを構築すると、自身の状態が [停止] と表示されます。

事象1 の対処策: なし

本事象は現時点では対処策がございませんが、WINS サーバー自体の動作には影響いたしません。

事象2: 自身のレコードが動的登録されない

WINS サーバーとして構築したサーバー上の Primary WINS サーバーの設定に自分自身を登録しても動的に自身のレコードが登録されません。

事象2 の対処策: 静的レコードの登録

静的に自身のレコードを登録いただき運用回避をご検討ください。

事象3: WINS Lookup が利用されない

DNS マネージャーに WINS Lookup (DNS にレコードが存在しない場合、WINS サーバーに問い合わせをする機能) を利用している場合、事象1 の影響で WINS サーバーとして稼働していないと認識されてしまうため、WINS Lookup を設定しているにも関わらず WINS Lookup が利用されません。

事象3 の対処策: 他 WINS サーバーの登録

WINS サーバーを 2 台以上構成している場合には、自身以外の WINS サーバーへの参照が可能となりますので、WINS Lookup レコードに自身以外の WINS サーバーの IP アドレスを追加していただき運用回避をご検討ください。

事象4: WINS Lookup が編集できない

DNS マネージャーにて、WINS Lookup のレコードを変更して [適用] もしくは [OK] をクリックすると、「WINS 解決情報を更新されませんでした。」というエラーが出力され編集できません。

事象4 の対処策: ADSI エディターによるレコードの編集

対処策として、GUI の DNS マネージャーからではなく、直接 Active Directory のデータベースを参照することにより WINS Lookup レコードを編集することができます。
以下に手順をご紹介させていただきますので、運用回避が可能かをご検討ください。

(1) WINS Lookup レコードが登録されているゾーンの記憶域のタイプを dnscmd /enumzonesコマンドにて確認します。

記憶域のタイプによって、AD 上の以下のデータベースに DNS の情報が保存されます。

(2) ADSI エディターを開き、WINS Lookup が格納されている記憶域に接続し、[CN=MicrosoftDNS] – [DC=@] のプロパティを開き、[dnsRecord] 属性を編集します。

(3) 第 3 第 4 オクテットに「\01\FF\」が格納されている値が WINS Lookup レコードになりますので、選択し、[編集] をクリックします。

(4) [値の形式] を 10 進数に変更します。

 (5) 値を編集します。

(5-1) WINS Lookup レコードを追加する場合は、以下の箇所を変更します。

(5-2) WINS Lookup レコードを削除する場合は、上記の逆のことを実施します。

(5-3) WINS Lookup レコードを編集する場合には、赤色枠の箇所のみ変更します。

(6) DNS マネージャーからゾーンを [再読み込み] することで、上記の編集した結果が反映されます。

// 参考情報
Title: WINS registration fails if a Windows Server 2016 server points to itself for WINS name resolution
URL:https://support.microsoft.com/en-us/help/4032719/wins-registration-fails-if-a-windows-server-2016-server-points-to-itse

特記事項
本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。

Windows Server 2012 の Active Directory で導入された Resource SID Compression の機能の影響により、AD を移行後にサードパーティー製の NAS へアクセスできなくる事象について解説します。

- 現象

ドメインに Windows Server 2012 以降のドメイン コントローラーを追加した後に、クライアントからサードパーティー製の NAS の共有フォルダーへアクセスを行うと、下記のようなアクセス許可がないことを示すメッセージが表示される場合があります。

\\FileServer\Share にアクセスできません

\\FileServer\Share に対するアクセス許可がありません。ネットワーク管理者にアクセス許可を要求してください。

本事象はサポート技術情報 2774190 で公開しています。

 Resource SID Compression in Windows Server 2012 may cause authentication problems on NAS devices

 サポート技術情報: 2774190

 http://support.microsoft.com/kb/2774190

ユーザーが所属するグループの数が数百と多い環境では、Kerberos のトークンサイズが大きくなり、認証に失敗する場合があります。

そのような背景から、追加で SID を圧縮する機能 (Resource SID Compression) がWindows Server 2012 以降のドメイン コントローラーからサポートされました。

Windows Server 2012 以降の KDC はチケット発行時、使用されるリソースに関する SID 情報を圧縮しますが、NAS デバイスでこの圧縮機能を理解できない場合、アクセス拒否が発生します。

- 対処方法

NAS デバイスが Resource SID Compression をサポートしてない場合、上記のサポート技術情報の Resolution に記載の通り、下記のいずれかの方法で Resource SID Compression を無効化することで対処を行うことができます。

----------------------------

- 対処方法 1 (推奨)

----------------------------

以下の手順をご実施いただくことにより、NAS のコンピューター オブジェクトを指定して Resource SID Compression を無効化できます。

- 手順

1. 任意のドメイン コントローラー 1 台に、管理者権限を持つユーザーでログオンします。

2. 後述のサポート技術情報 2774190 に記載されているスクリプトをコピーし、以下のファイル名で保存します。

DisableKerbGroupCompression.ps1

-- ここから --

#

# Script to Disable Kerberos Group SID Compression #

～～(中略)～～

else

{ Write-Host "Resource group compression did not change."}

-- ここまで --

3. コマンド プロンプトを起動して、以下のコマンドを実行します。

  Powershell.exe -ExecutionPolicy Unrestricted -File C:\Work\DisableKerbGroupCompression.ps1 <NAS のコンピューター オブジェクト名>

上記手順を実行することで、指定したコンピューター オブジェクトの msDS-SupportedEncryptionTypes 属性にフラグ 0x80000 が付与されます。

これにより指定したコンピューター オブジェクトに対する Resource SID Compression が無効化されます。

対処方法1 はスクリプトを実行すると即時反映されます。

----------------------------

- 対処方法 2

----------------------------

方法 1 が指定したコンピューター オブジェクトに対する無効化であるのに対し、方法 2 はドメイン コントローラー単位でこの機能を無効化します。

ドメイン コントローラー上で以下のレジストリ キーを設定する事で、Resource SID Compression を無効化します。

キー: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kdc\Parameters

値の名前: DisableResourceGroupsFields

値の種類: REG_DWORD

値のデータ: 1

※ レジストリ値が存在しない場合は、新たに作成します。

この方法はドメイン コントローラー単位での構成となるため、環境内で KDC として稼働する Windows Server 2012 のドメイン コントローラー全台に対して同じ設定をする必要があります。この解決方法を用いた場合、設定を行った Windows Server 2012 の KDC で、すべての Kerberos チケットの発行においてこの機能が無効化されます。

対処方法2 は反映のため、設定を変更したドメイン コントローラーにて OS や KDC サービスの再起動を行う必要ありません。

- 対処方法1 の値の場所

---------------------------------------------------------------

対処方法1 のスクリプトでは、NAS のオブジェクトに含まれる msDS-SupportedEncryptionTypes という属性に Resource SID Compression が無効となっていることを示すフラグ 0x0080000 を追加しています。

msDS-SupportedEncryptionTypes 属性の値は下記の手順で確認することができます。

<確認方法>

1) いずれか 1 台のドメイン コントローラーにログオンします。

2) [スタート] - [管理ツール] - [Active Directory ユーザーとコンピューター] を起動します。

3) [表示] メニューの中の [拡張機能] の左側にチェックが付いていない場合は、選択してチェックを付けます。

4) NAS のオブジェクトが格納された OU を開き、その中から NAS のオブジェクトを右クリックして [プロパティ] を開きます。

5) 属性から msDS-SupportedEncryptionTypes の値を確認します。

※ "<未設定>" と表示されている場合は、値が設定されていないことを示します。

- Resource SID Compression を無効にした場合の影響

---------------------------------------------------------------

Resource SID Compression の無効化は Windows Server 2012 以降の設定であり、Windows Server 2008 R2 以前のドメイン コントローラーに影響を及ぼすことはありません。 

ドメインのユーザーは NAS へアクセスするための Kerberos サービス チケットを KDC (ドメイン コントローラー) から取得して、そのチケットを NAS へ提示することで認証が行われます。

Windows Server 2012 以降のドメイン コントローラーでは、Resource SID Compression が既定で有効となっているため、SID を圧縮してチケットを発行します。一方、Windows Server 2008 R2 の DC では圧縮せずにチケットを発行します。

Resource SID Compression を無効にすると、Windows Server 2008 R2 以前と同様の動作になり、サービス チケット発行時に SID が圧縮されなくなります。

つまり、既存の Windows Server 2008 R2 のドメイン コントローラーと同様の動作となるため、無効にすることで既存の環境に対して影響が及ぶことはありません。

また、NAS のオブジェクトの 「msDS-SupportedEncryptionTypes」 の値を設定した場合は、NAS のサービス チケットを払い出すときのみ、Resource SID Compression が無効化されます。無効化による影響は NAS のみとなり、現行の運用に影響を及ぼすことは想定されません。

- msDS-SupportedEncryptionTypes について

---------------------------------------------------------------

「msDS-SupportedEncryptionTypes」 はユーザーやコンピューター アカウントでサポートされる暗号化アルゴリズムを定義するため値であり、KDC (ドメイン コントローラー) がサービスチケットを生成するときにこの値が参照されます。

この値に 「0x0080000」 が設定されているオブジェクトは Resource SID Compression が無効となっていることを示し、SID を圧縮せずにサービス チケットが生成されます。

- 参考資料

2.464 Attribute msDS-SupportedEncryptionTypes

https://msdn.microsoft.com/ja-jp/library/cc220375.aspx

----------------------

This attribute specifies the encryption algorithms supported by user, computer, or trust accounts. The Key Distribution Center (KDC) uses this information while generating a service ticket for this account. Services and computers can automatically update this attribute on their respective accounts in Active Directory, and therefore need write access to this attribute.

----------------------

2.2.7 Supported Encryption Types Bit Flags

https://msdn.microsoft.com/ja-jp/library/ee808210.aspx

2.2.7 Supported Encryption Types Bit Flags

https://technet.microsoft.com/ja-jp/ee808210

こんにちは。Windows Platform サポート チームの加山です。

今回は Windows Vista、 Windows Server 2008 に新しい管理用テンプレートを適用し、”グループ ポリシーの管理エディター” を開いた際に、以下の解析エラーが発生した場合の対処方法についてご案内いたします。

エラー メッセージ
解析中にエラーが発生しました。
予期された要素は <text>, <decimalTextBox>, <textBox>, <checkBox>, <comboBox>, <dropdownList>, <listBox> のいずれかでしたが、代わりに <multiTextBox> が見つかりました。

原因
本エラーは、Windows Vista, Windows Server 2008 が <multiTextBox> 要素に対応していないために発生します。
<multiTextBox> 要素は、複数行の文字列表記に対応するための XML の要素の一つです。
Windows 7, Windows Server 2008 R2 から <multiTextBox> 要素が利用可能になったため、Windows 7, Windows Server 2008 R2 以降の管理用テンプレート (admx ファイル、および adml ファイル) では、<multiTextBox> 要素が利用されています。
しかし、<multiTextBox> 要素は Windows Vista, Windows Server 2008 には対応していないため、本エラーが発生します。
なお、本エラーは Windows 7, Windows Server 2008 R2 以降の OS では発生しません。

対処方法
[1] ドメイン内に Windows Server 2008 R2 以降のドメイン コントローラーが存在すれば、当該ドメイン コントローラーでグループ ポリシーを編集する。
[2] Windows Server 2008 R2 以降のドメイン メンバーのサーバーに "グループ ポリシーの管理 (gpmc.msc)" 機能を追加し、グループ ポリシーを編集する。

<参考情報>
----------------------------------------------------------------
Windows 7, Windows Server 2008 R2 and the Group Policy Central Store
https://blogs.technet.microsoft.com/askds/2009/12/09/windows-7-windows-server-2008-r2-and-the-group-policy-central-store/
----------------------------------------------------------------

Active Directory 証明書サービスを日々ご利用いただいている皆様

こんにちは。Windows サポート チームの工藤です。
今回は 「証明書の登録 Web サービス」の URL を、追加/変更する際の手順および注意事項についてご案内いたします。

これを機に、まず「証明書の登録 Web サービス」を簡単にご紹介したいと思います。


証明書の登録 Web サービスとは

「証明書の登録 Web サービス」では、HTTPS プロトコルにて、ネットワークのクライアント コンピューターから、証明書の要求を受け入れて、発行された証明書を返すことができます。
具体的には、証明書の登録 Web サービスが代わりとなって、DCOM プロトコルを使用して証明機関 (CA) と通信を行い、依頼元クライアントの証明書の要求および発行、証明書ストアへの登録を行います。

「証明書の登録 Web サービス」は、「証明書の登録ポリシー Web サービス」と一緒に利用することで、クライアント コンピューターがドメインのメンバーでない場合や、ドメイン メンバーが自身のドメインに接続していない場合でも、ポリシー ベースの証明書の登録を可能にする、Active Directory 証明書サービスの役割サービスのひとつになります。

具体的な通信のシーケンスはこのようになります。

※「証明書の登録 Web サービス」を CES (Certificate Enrollment Web Service)、「証明書の登録ポリシー Web サービス」を CEP (Certificate Enrollment Policy Web Service) と表記します。

Step1. CEP サーバーに https でアクセスをします。
Step2. CEP サーバーは、DC より ldap 検索で得た CES サーバーの URL を、証明書要求元クライアントに返します。
Step3. 証明書要求元クライアントは、CEP サーバーより得た情報を元に、CES サーバーに https でアクセスします。
Step4. CES サーバーは、RPC/DCOM 通信にて証明機関 (CA) に証明書の発行要求を行います。
Step5. CES サーバーは、証明機関 (CA) が発行した証明書を、証明書要求元クライアントに返します。

証明書の登録 Web サービス (CES) のURL変更方法

続いて、「証明書の登録 Web サービス」で利用する URL の設定 (変更) 方法ですが、本ブログでは、ブログ タイトルにも冠した注意事項よりご説明のうえで、Certutil コマンドを利用した手順をご案内いたします.

!! 注意事項 !!
CES の URL を、追加/変更する際に、ADSI エディタ上で直接 ” ms-PKIEnrollmentService” の属性を変更すると、正しく反映されない場合がありますので、必ず Certutil コマンドをご利用くださいますようお願いいたします。

// CES の URL を追加する
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. CA サーバーに管理者権限を持つアカウントでログオンします。

2. コマンド プロンプトを管理者権限で起動し、以下コマンドを実行します。

Certutil -config "[CAサーバーFQDN]\[CA 名]" -enrollmentServerURL [追加したい CES の URL] [認証タイプ]

※ 例えば、ユーザー名とパスワードを利用した認証による、URL を追加したい場合は、以下のようになります)

例:

※ 登録済みの URL を指定した場合は、以下のようにエラーが返されます。

※ 認証タイプは UserName の他にも、以下のタイプを指定することが可能です。

Kerberos (Kerberos 認証)
ClientCertificate (クライアント証明書認証)

// CES の URL を削除する
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
コマンド プロンプトで実行するコマンドを以下のように指定します。

Certutil -config "[CAサーバーFQDN]\[CA 名]" -enrollmentServerURL [削除したい CES の URL] delete

例:

// CES の URL を確認する
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
コマンド プロンプトで実行するコマンドを以下のように指定します。

certutil -config "[CAサーバーFQDN]\[CA 名]" -enrollmentServerURL

例:

※ ADSI エディタでは、CN=Enrollment Services,CN=Public Key Services,cn=Services,CN=Configuration, DC=[domain name] の右ペインに表示される CA 名オブジェクトから確認できます。
CA 名オブジェクトの ​"msPKI-Enrollment-Servers" 属性に CES の URL が格納されていますが、上述しました通り、ADSI エディタ上からの値の変更は行わないでください。

- 参考情報

Certificate Enrollment Web Services in Active Directory Certificate Services
https://social.technet.microsoft.com/wiki/contents/articles/7734.certificate-enrollment-web-services-in-active-directory-certificate-services.aspx

証明書の登録 Web サービスの概要
https://technet.microsoft.com/ja-jp/library/dd759209(v=ws.11).aspx

証明書の登録ポリシー Web サービスの概要
https://technet.microsoft.com/ja-jp/library/dd759230(v=ws.11).aspx


本記事は、お客様のお問合せを契機に掲載に至りました。
貴重なご指摘をくださいましたお客様には、深くお礼を申し上げます。


なお、コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。

こんにちは。Windows プラットフォームサポートの進藤です。

Windows Server 2003 のフォレストとドメインの機能レベルは既に廃止予定となっており、将来リリースされる Windows Server ではサポートされない可能性があります。そのため、今後機能レベルを上げることをご検討されるお客様も多くいらっしゃるのではないかと思いますので、今回は、Active Directory のフォレストやドメインの機能レベルを上げる際の影響について纏めました。

1. 機能レベルを上げることで何が変わるのか
2. 機能レベルを上げる際の前提条件と準備事項
3. 機能レベルを上げる際に注意するべき点

1.  機能レベルを上げることで何が変わるのか

フォレストやドメインの機能レベルを上げることにより、Active Directory で新しい機能を利用できるようになります。利用できる機能が拡張されますが、既存の設定が変更されることはありません。また、機能レベルを上げることで Exchange Server や SharePoint、Lync Server などのアプリケーションの機能を変更することもありません。

各機能レベルで利用できるようになる機能は、下記の技術情報で説明しています。

フォレストとドメインの機能レベル
https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/active-directory-functional-levels

2. 機能レベルを上げる際の前提条件と準備事項

機能レベルを上げる際の前提条件および準備事項は次の通りです。

前提条件

・ドメインの機能レベルを上げるには、Domain Admins グループのメンバーで作業を行う必要があります。また、フォレストの機能レベルを上げるには、Enterprise Admins グループのメンバで作業を行う必要があります。

・ドメインの機能レベルを、フォレストの機能レベルよりも低い値に設定することはできません。フォレストの機能レベルを上げる前に各ドメインの機能レベルをフォレストの機能レベルよりも上げておく必要があります。

・過去にネットワークから切り離した、もしくは、強制降格を行ったような、古いドメイン コントローラーの情報がドメインに残っている場合は、事前に、Metadata Cleanup によりメタデータを削除することをお奨めします。ドメイン コントローラーの情報が残っていることにより、機能レベルの昇格に失敗する場合があります。

・フォレストおよびドメインの機能レベルを上げる作業は、フォレスト間の信頼関係で結んでいるドメインの機能レベルやドメイン コントローラーの OS のバージョンの影響は受けません。

準備事項 (バックアップ)

一部のパターンを除き、基本的にドメインやフォレストの機能レベルを上げると元に戻すことはできません。通常は機能レベルを上げることで影響がでることはありませんが、不測の事態に備えて、作業前にドメイン コントローラーでシステム状態のバックアップを取得することを推奨します。

機能レベルの変更はフォレスト全体で情報が更新されるため、機能レベルを上げる前の状態に戻すためには、全てのドメイン コントローラーをバックアップからリストアする必要があります。すべてのドメイン コントローラーでバックアップを取得することが理想的ですが、台数が多い場合などの理由から全台での対応が難しい場合には、FSMO および、各ドメインのドメイン コントローラー最低 1 台でバックアップを取得するなどの対応をお願いします。

機能レベルをロールバックバックできるパターンは、下記の資料の文末にある一覧をご覧ください。

Understanding Active Directory Domain Services (AD DS) Functional Levels
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/understanding-active-directory-domain-services--ad-ds--functional-levels

3. 機能レベルを上げる際に注意するべき点

最後に機能レベルを上げるときに注意していただくべき事項を説明します。機能レベルを上げる際は、下記の 3 点についてご注意ください。

・ドメインの機能レベルを Windows Server 2008 以降に上げる際の影響

・ドメインの機能レベルを Windows Server 2008 R2 以降に上げる際の影響

・FRS のサポート終了

※ フォレストの機能レベルを上げたことで問題が生じた報告は確認していません。

※ ドメインの機能レベルを Windows Server 2016 へ上げることで問題が生じた報告は確認していません。

・ドメインの機能レベルを Windows Server 2008 以降に上げる際の影響

ドメインの機能レベルを Windows Server 2008 以降に上げることにより、稀に認証に失敗する場合があることを確認しています。(すでにドメインの機能レベルが Windows  Server 2008 以上となっている環境では、本影響を受けることはありません。今後、Windows Server 2008 以降に上げることを計画されている場合に該当します)

ドメインの機能レベルを Windows Server 2008 以降に上げることにより、Kerberos 認証において AES 暗号化方式が利用されるようになります。各ドメイン コントローラーでは複製によりドメインの機能レベルが上がったことを受信すると、Kerberos 認証で AES に対応する変更処理が行われます。しかしながら、認証処理を行っているコンポーネントである LSASS が重要な処理を行っている場合には変更処理を受け付けないため、一部のドメイン コントローラーではパスワードが変更されないといった現象が稀に発生する場合があります。その結果、そのドメイン コントローラーへ Kerberos 認証が行わると認証に失敗する現象が発生することがあります。

問題が発生した場合、対象のドメイン コントローラーの OS を再起動する、もしくは、"Kerberos Key Distribution Center" サービスを再起動することで本現象を解消させることができます。

[予防策]

ドメインの機能レベルを Windows Server 2008 以降に昇格した後に以下の作業を実施していただくことで、上記の問題を未然に防ぐことができます。

Step 1.  機能レベルのレプリケート

FSMO の役割を持つドメイン コントローラーにて、コマンド プロンプトで以下のコマンドを実行し、機能レベルが変更された情報をフォレスト内の全てのドメイン コントローラーに複製させます。

repadmin /syncall /eAP

Step 2. KDC サービスの再起動

FSMO から機能レベルの変更情報が複製された後、 全てのドメイン コントローラー (FSMO を含む) にて、コマンド プロンプトで以下のコマンドを実行し、"Kerberos Key Distribution Center" サービスの再起動を行います。

net stop kdc && net start kdc

- 参考資料

下記の技術情報に上記の機能レベルを Windows Server 2008 以降に変更した場合に生じる問題について記載しています。

Understanding Active Directory Domain Services (AD DS) Functional Levels
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/understanding-active-directory-domain-services--ad-ds--functional-levels

--------------------------

(抜粋)

Authentication errors may occur on a domain controller after the domain functional level is raised to Windows Server 2008 or higher if the domain controller has already replicated the DFL change but has not yet refreshed the krbtgt password. In this case, a restart of the KDC service on the domain controller will trigger an in-memory refresh of the new krbtgt password and resolve related authentication errors.

--------------------------

ドメインの機能レベルを Windows 2003 から引き上げる場合の注意点
https://blogs.technet.microsoft.com/exchangeteamjp/2015/03/04/windows-2003/

・ドメインの機能レベルを Windows Server 2008 R2 以降に上げる際の影響

独自開発されたアプリケーションで .Net Framework 3.5 SP1 およびそれ以前のバージョンで Domain.DomainMode プロパティを使用している場合に、DomainMode 列挙体の定義 に Windows2008R2Domain が無いためにエラーが発生します。ドメインの機能レベルを参照するような独自開発されたアプリケーションがある場合は、本条件に合致するものがないかご確認ください。Hotfix が必要な場合は弊社サポート サービスへお問い合わせください。

本現象は下記の技術情報で掲載しています。

FIX: "The requested mode is invalid" error message when you run a managed application that uses the .NET Framework 3.5 SP1 or an earlier version to access a Windows Server 2008 R2 domain or forest
http://support.microsoft.com/kb/2260240/en-us

- 参考資料

DomainMode 列挙体
http://msdn.microsoft.com/ja-jp/library/system.directoryservices.activedirectory.domainmode(v=vs.90).aspx

Raising the functional level to Windows 2012 or Windows 2012 R2… Will I break anything?
https://blogs.technet.microsoft.com/pie/2014/10/29/raising-the-functional-level-to-windows-2012-or-windows-2012-r2-will-i-break-anything/

・FRS のサポート終了

現行の Windows Server 2016 は SYSVOL 複製方式として FRS がサポートされていますが、次期リリースの Windows Server 2016 RS3 では FRS を利用しているドメインに Active Directory のドメイン コントローラーとして追加することができません。

そのため、将来的に Windows Server 2016 RS3 をドメイン コントローラーとして追加するためには、事前にドメインの機能レベルを Windows Server 2008 以上に上げて、SYSVOL 複製方式を FRS から DFSR へ移行する必要があります。

FRS から DRSR への移行方法は、下記のブログ記事にて詳細に説明しています。

FRS から DFSR への移行 (SYSVOL)
http://blogs.technet.com/b/jpntsblog/archive/2009/12/04/frs-dfsr-sysvol.aspx

- 参考資料

Windows Server 2016 RS3 no longer supports FRS
https://support.microsoft.com/en-us/help/4025991/windows-server-2016-rs3-no-longer-supports-frs

NTFRS の廃止は、Windows Server 2016 RS3 レプリカ ドメイン コント ローラーのインストールを意図的にブロックします。
https://support.microsoft.com/ja-jp/help/4023141/ntfrs-deprecation-intentionally-blocks-the-installation-of-windows-ser

Windows プラットフォーム サポートの望月です。

 
Federal Information Processing Standard (FIPS) を有効にしている場合に発生する現象についてご報告致します。
FIPS は、暗号化ソフトウェアを認定するために設計されたセキュリティの実装標準を定めたものとなり、Windows にはこれを強制するポリシーが存在致します。このポリシーを有効化した場合に発生する現象として、以下のような情報が公開されております。

 
・ OAB generation fails if FIPS is used in an Exchange Server 2013 environment

・ FIX: You cannot run an ASP.NET 3.5-based application that uses a ScriptManager control

・ You may receive an error message when you access ASP.NET Web pages ...

・ "System cryptography: Use FIPS compliant algorithms for encryption, ...

 
これらは FIPS の制限により発生する事象ですが、今回ご報告する内容は、セキュリティが強化された Windows ファイアウォール機能において、同様の設定を起因として発生する製品不具合に該当致します。
当該事象に合致する問題が確認されました際には、大変恐れ入りますが以下の内容をご確認のうえ、対処の実施をご検討くださいますようお願い致します。

- 現象

セキュリティが強化された Windows ファイアウォール管理コンソールからファイアウォール ポリシー ファイル (.wfw) のインポートしようとすると、「エラー: アクセスが拒否されました。」 というダイアログ ボックスがポップアップし処理が失敗します。
受信の規則と送信の規則の設定が空になるため、既定の状態では受信方向の通信が全てブロックされます。
 

- 原因

以下のレジストリが設定されていることにより、ファイアウォール ポリシーのインポート処理において不正に権限不足と判断され処理が失敗します。

- キー：HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
- 値：Enabled
- 種類：REG_DWORD
- 設定値：1 (初期値: 0)
 
※ レジストリ エディター (regedit.exe) より、以下の設定をご確認下さい。

上記設定はグループ ポリシーからも設定が可能です。
 
- 場所: コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
- ポリシー: [システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う]
 
※ ローカル グループ ポリシー エディター (gpedit.msc) の設定箇所は以下の通りです。
※ ドメイン コントローラー上のグループ ポリシー エディター (gpmc.msc) より設定を配布している場合もございます。

- 対処方法

後継 OS バージョンにおいて修正を検討しております。
暫定回避策として、レジストリを以下の通り設定しファイアウォール ポリシーのインポートを実行下さい。

キー：HKLM\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
値：Enabled
種類：REG_DWORD
設定値：0

対象 OS

・ Windows Vista
・ Windows 7
・ Windows 8.1
・ Windows 10 (TH1/TH2/RS1/RS2/RS3)
・ Windows Server 2008
・ Windows Server 2008 R2
・ Windows Server 2012
・ Windows Server 2012 R2
・ Windows Server 2016 (RS1/RS2/RS3)

こんにちは。Windows サポート チームの依田です。

今回は、Windows 10 Fall Creators Update 用の管理用テンプレートを導入した後、グループ ポリシー管理エディターにて以下の警告メッセージが出力された場合の対処策をご案内いたします。

<警告メッセージ>

<原因>

警告メッセージの出力がある各 admx ファイルに対応した日本語の言語ファイル (.adml) が、Windows 10 Fall Creators Update 用の管理用テンプレート (2017/10/18 公開 バージョン 1.0) で欠損していることが原因です。

- Administrative Templates (.admx) for Windows 10 Fall Creators Update (1709) - 日本語

https://www.microsoft.com/ja-JP/download/details.aspx?id=56121

管理用テンプレートの仕組みとして、各 admx ファイルに対応する日本語の言語ファイルがない場合は、自動的に英語の言語ファイルが使用されます。

英語版の言語ファイルに関しましては、全ての admx ファイルに対応した言語ファイルが揃っている為、PolicyDefinitions フォルダ内の en-us フォルダを同時にコピーしている場合は、冒頭の警告メッセージは出力されません。

ただし、英語の言語ファイルが使われることによって、グループ ポリシー管理エディター上にて、対象の項目が英語になってしまいます。

冒頭の警告メッセージを抑制し、且つグループ ポリシー管理エディター上の全ての項目を日本語で表示させる為には、以下の対処方法を実施します。

<対処方法>

GroupPolicyPreferences.admx に関する警告メッセージ以外は、Windows 10 Anniversary Update 用の管理用テンプレートの言語ファイルを、既存の PolicyDefenisions\ ja-jp フォルダにコピーすることで対処が可能です。

# 事前準備

1. Windows 10 Anniversary Update の管理用テンプレートを以下の URL よりダウンロードします。

- Administrative Templates (.admx) for Windows 10 (1607) and Windows Server 2016 - 日本語

https://www.microsoft.com/ja-JP/download/details.aspx?id=53430

2. 警告メッセージが出力される端末に、ドメインの Administrator でログオンします。

■ GroupPolicyPreferences.admx 以外 (GroupPolicy-Server.admx / MMCSnapIns2.admx / TerminalServer-Server.admx / WindowsServer.admx) に関する警告メッセージの解消方法

1. 警告メッセージが出力される端末にて、事前準備でダウンロードした msi ファイルを実行し、新たに生成された PolicyDefenisions\ ja-jp フォルダを開きます。

2. 以下のファイルを既存の PolicyDefenisions\ ja-jp フォルダにコピーします。

- GroupPolicy-Server.adml

- MMCSnapIns2.adml

- TerminalServer-Server.adml

- WindowsServer.adml

■ GroupPolicyPreferences.admx に関する警告メッセージの解消方法

GroupPolicyPreferences.admx に関しましては、Windows 10 Anniversary Update から Windows 10 Fall Creators Update にかけて admx ファイル内のフォーマットに若干の変更が加わっております。

その為、単純に Windows 10 Anniversary Update 用の adml ファイルを既存のフォルダに追加しただけでは、admx ファイルと adml ファイルの不整合を示す以下の警告メッセージが出力されてしまいます。

GroupPolicyPreferences.admx に関する警告メッセージを解消させるには、Windows 10 Anniversary Update 用の adml ファイルを既存フォルダに追加することに加え、Windows 10 Anniversary Update 用の GroupPolicyPreferences.admx も、既存のものと差し替える必要があります。

※ Windows 10 Anniversary Update から Windows 10 Fall Creators Update にかけて admx ファイル内のフォーマットに若干の変更が加わっておりますが、ポリシーの項目や設定可能な内容は全て同一でございます。

具体的には以下の手順です。

1. 警告メッセージが出力される端末にて、事前準備でダウンロードした msi ファイルを実行し、新たに生成された PolicyDefenisions\ ja-jp フォルダを開きます。

2. 以下のファイルを既存の PolicyDefenisions\ ja-jp フォルダ内にコピーします。

- GroupPolicyPreferences.adml

3. 既存の PolicyDefenisions フォルダ内の GroupPolicyPreferences.admx を削除します。

※ ここで、権限の問題で GroupPolicyPreferences.admx の削除が出来なかった場合は、<admx ファイルの所有者の変更方法> をご参照ください。

4. 新たに生成された PolicyDefenisions フォルダに戻り、GroupPolicyPreferences.admx を既存の PolicyDefenisions フォルダ内にコピーします。

5. グループ ポリシー管理エディターを開き直し、警告メッセージが出力されなくなったことをご確認ください。

<admx ファイルの所有者の変更方法>

既存の PolicyDefenisions フォルダ内の GroupPolicyPreferences.admx を削除できなかった場合は、ファイルの所有者が別のアカウントで設定されている可能性がございます。

その場合、以下の手順にてファイルの所有者を変更することで、admx ファイルの削除が可能となります。

1. 既存の PolicyDefinitions フォルダ内の GroupPolicyPreferences.admx を右クリックし、[プロパティ] をクリックします。

2. [セキュリティ] タブにて、[詳細設定] をクリックします。

3. [所有者] の欄にて [編集] をクリックします。

4. [所有者の変更] にて、"Administrator" を選択し、[OK] をクリックします。

※ その後、警告がでましたら [OK] をクリックします。

5. 詳細設定の画面にて [OK] をクリックし、画面を閉じます。

6. [プロパティ] の [セキュリティ] タブの、[グループ名またはユーザー名] にて [編集] をクリックします。

※ その後、警告がでましたら [OK] をクリックします。

7. [グループ名またはユーザー名] にて、"Administrators" を選択した状態にします。

8. [アクセス許可] にて [フルコントロール] を選択し、[適用] をクリックします。

9. その後、GroupPolicyPreferences.admx を削除します。

以上です。

特記事項

本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

こんにちは。Windows プラットフォームサポートの扇谷です。

今回は、LSA (Local Security Authority) の保護を有効化した場合に、OS が起動できなくなる不具合の情報についてご案内します。

LSA は、ユーザーのパスワードハッシュ等の資格情報を管理しております。
Windows 8.1/Windows Server 2012 R2 以降では、こちらの情報が盗まれないように LSA の保護を有効化することができます。
LSA の保護を有効化するには、以下のレジストリを設定して、OS を再起動することで行います。

キー：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
値：RunAsPPL
種類：REG_DWORD
設定値：1

しかしながら、Windows 10 のビルド 10240 においては不具合により、上記設定により LSA の保護を有効化して、
OS を再起動した場合、OS の起動が行えなくなり、以下のように自動修復モードの画面となります。
事象が発生してしまった場合には、OS の再インストールが必要となります。

こちらの不具合は、Windows 10 のビルド 10240 (Windows 10 TH1/Windows 10 2015 LTSB) のみで発生し、
次にリリースされた Windows 10 のビルド 10586 (Windows 10 TH2) 以降では修正されております。
弊社製品の不具合によりご迷惑をお掛けして申し訳ございません。

どのビルドを利用しているかは winver コマンドを実行して、表示された画面にて確認可能です。

- 参考資料

Configuring Additional LSA Protection
https://msdn.microsoft.com/en-us/library/dn408187

こんにちは。Windows プラットフォームサポートの鈴木です。

今回は、更新プログラム適用後、IC カードリーダーが認識しなくなる事象について案内します。

“2018-01 マンスリー ロールアップのプレビュー (KB4057400)”  、または  “2018-02 マンスリー ロールアップ (KB4074598) ”  を適用することで、Windows7 環境に接続した IC カードリーダーが認識しなくなる事象を確認しております。

この事象について、現在マイクロソフトでは原因究明にむけた調査を実施しております。

問題となる事象

KB4057400 および KB4074598 に含まれる品質向上プログラム（セキュリティ更新プログラムを除く）の影響により、コンピューター起動時には正常に認識していた IC カードリーダーが、認識できない状態となります。

この状態はコンピューターを再起動するか、ICカードリーダーを制御しているアプリケーションを再起動するまで継続します。

回避策

本事象を回避するための対応策は以下のとおりになります

・本事象の原因となる更新プログラム、“2018-01 マンスリー ロールアップのプレビュー (KB4057400)”  または  “2018-02 マンスリー ロールアップ (KB4074598) ”　をアンインストールします。

その後に、品質向上プログラムを含まない “2018-02 セキュリティ更新プログラム（KB4074587）” のみを適用いたします。

2018 年 2 月 14 日 - KB4074598 (マンスリー ロールアップ)

https://support.microsoft.com/ja-jp/help/4074598/windows-7-update-kb4074598

2018 年 1 月 19 日 - KB4057400 (マンスリー ロールアップのプレビュー)

https://support.microsoft.com/ja-jp/help/4057400/windows-7-update-kb4057400

2018 年 2 月 14 日 - KB4074587 (セキュリティのみの更新プログラム)

https://support.microsoft.com/ja-jp/help/4074587/windows-7-update-kb4074587

1. Windows Update 設定を確認します。

1-1. [スタート] – [すべてのプログラム] – [Windows Update] をクリックします。

1-2. 左ペインで [設定の変更] をクリックします。

1-3. 重要な更新プログラムの設定が “更新プログラムを自動的にインストールする (推奨)” となっている場合は “更新プログラムを確認するが、ダウンロードとインストールを行うかどうかは選択する” に変更して [OK] をクリックします。

2. 対象の更新プログラムをアンインストールします。

2-1. [スタート] – [コントロール パネル] をクリックします。

2-2. コントロール パネルの画面から [プログラムのアンインストール] をクリックします。

2-3. 左ペインの [インストールされた更新プログラムを表示] をクリックします。

2-4. インストールされた更新プログラムの一覧から対象の更新プログラムを選択して、[アンインストール] をクリックします。

2-5. “コンピューターからこの更新プログラムをアンインストールしますか?” という警告画面が表示されたら [はい] をクリックします。

2-6. アンインストールが完了し、再起動を促すメッセージが表示されたら、[今すぐ再起動する] をクリックして OS 再起動を行います。

皆様、こんにちは。Windows プラットフォーム サポート担当の永谷です。

今回は Windows 8 以降の OS に実装されております

"無線 LAN 接続に利用されるコンピューター証明書のフィルタリング設定" を紹介します。

- 対象の環境

・ 無線 LAN 接続に、Windows 標準の無線 LAN サプリカントを利用している

・ クライアント PC にて社内無線 LAN に接続する為にコンピューター証明書を利用している

・ コンピューター証明書は以下の公開情報にございます "クライアント証明書の最小要件" を満たしている証明書を複数所持している。

タイトル : PEAP および EAP の証明書の要件

URL : https://technet.microsoft.com/ja-jp/library/cc731363(v=ws.11).aspx

今回の Blog 情報の関連情報となる無線 LAN のコンピューター証明書の選択基準については以下のブログを参照ください。

タイトル : 無線 LAN 接続に利用されるコンピューター証明書の選択基準について

URL : https://blogs.technet.microsoft.com/jpntsblog/2018/01/30/wlan_computer_cert/

- 機能詳細について

無線 LAN 接続に利用されるコンピューター証明書のフィルタリング設定を利用する事で

"証明書発行者" や "拡張キー使用法 (EKU)" を明示的に指定して、

それぞれの無線 LAN プロファイルにて無線 LAN 接続に利用するコンピューター証明書の絞り込みを行う事が可能となります。

今回の記事では認証方式については [EAP-TLS] を利用し、特定の証明機関 (以後 CA と表記) から発行されたコンピューター証明書を無線 LAN 認証に

利用する (その他の CA より発行された証明書は利用しない) 場合の設定方法をご案内致します。

=======================

EAP-TLS を利用の際に無線 LAN 接続に利用する証明書フィルター手順

=======================

-手順

1) [Windows キー + r] を同時に入力し、[ファイル名を指定して実行] を

呼び出し "control.exe /name Microsoft.NetworkAndSharingCenter" と入力し [OK] をクリックします。

2) [ネットワークと共有センター] より、[新しい接続またはネットワークのセットアップ] をクリックし、

[ワイヤレスのプロパティ] をクリックします。

3) 続けて [ワイヤレス ネットワークに手動で接続します] をクリックし [次へ] をクリックします。

4) [ネットワーク名] 等必要な設定を環境に応じて入力ください。

** [セキュリティの種類] については "WPA2-エンタープライズ" を選択します。

5) [接続の設定を変更します] をクリックします。

6) [セキュリティ] タブをクリックします。

7) [ネットワークの認証方法の選択] にて [Microsoft: スマート カードまたはその他証明書] を選択し、[設定] をクリックします。

** 上記設定が認証方法について "EAP-TLS" を利用する設定となります。

8) [詳細設定] をクリックします。

当項目が Windows 8 以降より実装された "無線 LAN 接続に利用されるコンピューター証明書のフィルタリング機能" となります。

9) [証明書発行者] にチェックを入れて、無線 LAN 証明書の発行元のルート証明書を選択下さい。

** ルート証明書は、ローカル コンピューターの [信頼された証明機関] ストアを参照しておりますので、

    予めインストールを実施頂く必要がございます。

10) コンピューター証明書に利用する証明書のルート証明書を [Microsoft Root Certificate Authority] に指定する場合は下記の通りです。

11) [OK] を 3 回クリックし設定を完了します。

// 参考

------------------

タイトル : 証明書ベースの認証の機能向上

URL : https://technet.microsoft.com/ja-jp/library/jj200227.aspx

特記事項

本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

皆様、こんにちは。Windows プラットフォーム サポート担当の永谷です。

今回は ネットワーク ポリシー サーバー (以後 NPS と表記) で利用されるサーバー証明書の選択動作について紹介します。

- 対象の環境
NPS を利用して無線 LAN や有線 LAN 802.1x 認証を利用している環境

- 機能詳細について
802.1x 認証を利用する環境において、NPS では PEAP や EAP と呼ばれる認証方式を利用することが可能です。
通常、上述の PEAP と EAP のどちらの認証方式を利用する場合においてもサーバーがクライアントを
信頼できるかどうかを確認するのと同様に、クライアントがサーバーを信頼できるかどうかを判断する為、

サーバー証明書を利用する必要があります。
サーバー証明書につきましては、それぞれの "ネットワーク ポリシー毎に" バインドされており、
証明書のバインド方法は 2 種類（手動バインド、自動バインド）ございます。
バインド方法の違いによって、後述しますようにサーバー証明書の選択動作が異なりますため、
バインドの種類についてご説明させていただきます。

=======================
自動バインド
=======================

下記  “手動バインド” の手順を実施していない場合には、自動バインドとなります。
自動バインドの場合、NPS は OS 再起動後の初回認証時に、複数の利用可能な証明書の中から、

”有効期限の開始日が最も新しい" サーバー証明書を自動的に選択します。
なお、一度自動バインドされたサーバー証明書は、OS が起動している間は、新しいサーバー証明書が発行された場合であっても、

継続して利用され続けます。
また、サーバー証明書が削除された場合には、次の認証時に、再度、自動バインドを行います。

=======================
手動バインド
=======================

手動バインドの場合、NPS は OS 再起動後の初回認証時に、複数の利用可能な証明書の中から、

同一の証明書を利用し続ける動作となります。
また、手動バインドされたサーバー証明書が削除された場合には、次の認証時に、自動バインドを行います。

すなわち、”有効期限の開始日が新しい” 別のサーバー証明書が混在していたとしても、

下記手順で手動バインドした証明書が利用され続けます。

** 手動バインド手順

-------------------------

1. NPS サーバーに、管理者ユーザーでログオンします。

2. [スタート] - [管理ツール] - [ネットワーク ポリシー サーバー] をクリックします。
3. [NPS (ローカル)] - [ポリシー] - [ネットワーク ポリシー] にて、[RADIUS] ポリシーを右クリックし、[プロパティ] をクリックします。
4. 無線 LAN 認証でご利用のネットワーク ポリシーについて、[制約] タブをクリックし、[認証方法] をクリックします。
5. [ご利用頂いている認証の種類] を選択し、[編集] ボタンをクリックします。
6. [証明書の発行先] にて、使用する RADIUS サーバー証明書 (表示された有効期限を基に判断してください) を選択し、

"[OK]" ボタンをクリックします。
(当該動作が手動にて利用する証明書を明示的に指定する設定となります。当設定画面を開き、内容を確認し、

[OK] ではなく [キャンセル] を押下した場合、未設定の状態のままですのでご注意ください。)

- 手動バインドしているかどうか確認できるのか
NPS サーバーの GUI の管理画面では、個々のポリシーに対して、NPS サーバー証明書が手動バインドの設定がなされているか

どうかの判断ができません。
そのため、NPS 構成情報をエクスポートし、バインドされた NPS サーバー証明書の "拇印" が含まれているかどうかを確認します。
以下に、具体的な確認手順をご案内します。

** NPS サーバー証明書のバインド確認手順
-------------------------
1. NPS サーバーに、管理者ユーザーでログオンします。
2. [ネットワーク ポリシー サーバー] の管理画面を開きます。
3. [NPS (ローカル)] を右クリックし、[構成のエクスポート] をクリックします。
4. [すべての共有シークレットをエクスポートします] のチェックを ON にして、[OK] をクリックします。
5. 任意のファイル名で、ファイルを保存します。
6. 保存したファイルをメモ帳等のテキスト エディターで開き、

該当のポリシーの <msEAPConfiguration></msEAPConfiguration> タグを確認します。

============================
<RadiusProfiles name="RadiusProfiles">
…
<<ポリシー名> name="<ポリシー名>">
<Properties>
…
<msEAPConfiguration xmlns:dt="urn:schemas-microsoft-com:datatypes" dt:dt="bin.hex">19000000000000000000000000000000380000000200000038000000010000001400000057b85123adac49acc10ed5b420801b591e2563560100000001000000100000001a00000000000000</msEAPConfiguration>
…
</Properties>
</<ポリシー名>></Children>
…
</RadiusProfiles>
============================

上記例では、データの内容に、57b85123adac49acc10ed5b420801b591e256356 という文字列が含まれており、

これが手動バインドした証明書の拇印に該当します。
手動バインドされていない場合には、NPS 構成情報に拇印は表示されません。また、証明書の拇印は、

証明書をダブルクリックし、[詳細] タブの [拇印] の項目から確認することができます。

- 終わりに
証明書の自動登録機能を利用している場合や複数の役割を同一のサーバーに混在されており、
複数のコンピューター証明書を所持するような環境下におかれましては、
サーバー証明書が自動的にバインドされる動作は好ましくない状況も想定されます。
そのような場合においては本 blog 記事の手順を参考に全てのネットワーク ポリシーにて "手動バインド" の設定をご検討ください。

特記事項
本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

こんにちは。Windows プラットフォームサポートの鈴木です。

以前お伝えしました "更新プログラム適用後、IC カードリーダーが認識しなくなる事象について" の問題を修正するロールアップの配信が Windows Update で開始しましたので、お知らせいたします。

以下の更新プログラム を適用することで、Windows7 環境に接続した IC カードリーダーが認識しなくなる事象を確認しております。

"2018-01 マンスリー ロールアップのプレビュー (KB4057400)"

"2018-02 マンスリー ロールアップ (KB4074598)"

"2018-02 マンスリー ロールアップのプレビュー (KB4075211)"

問題となる事象

前述の更新プログラム（KB4057400、KB4074598、KB4075211） に含まれる品質向上プログラム（セキュリティ更新プログラムを除く）の影響により、コンピューター起動時には正常に認識していた IC カードリーダーが、認識できない状態となります。

この状態はコンピューターを再起動することで一時的に回避できますが、利用を継続することで再び同事象が発生する場合があります。

回避策

"2018-03 マンスリー ロールアップ (KB4088875)" を適用することで、問題を回避できます。

(a) Windows Update 経由でインストールする場合の手順

1. まずは Windows Update の設定を確認します。スタートメニューをクリックして [コントロール パネル] をクリックします。

2. [システムとセキュリティ] をクリックします。

※同じような画面が表示されていない場合、表示方法が "アイコン" になっている可能性があります。

画面右上の [表示方法:] から "カテゴリ" を選択して同様の画面が表示されるか確認してください。

3. Windows Update のセクションから [自動更新の有効化または無効化] をクリックします。

4. 「重要な更新プログラム」のプルダウンメニューから、 [更新プログラムを確認しない (推奨されません)] の設定になっている場合、その他の設定に変更します。

5. 手順4. の設定が「更新プログラムを自動的にインストールする（推奨）」の場合、設定したスケジュールで自動的に修正プログラムのダウンロード、 　および、インストールが実行されます。手順 12. を確認し、KB4088875 がインストールされているかどうか確認してください。 　まだKB4088875がインストールされていない場合、手順 6. 以降を実施します。

手順4. の設定が次のいずれかの設定の場合、手順 6. に移ります。

「更新プログラムをダウンロードするが、インストールを行うかどうかは選択する」

「更新プログラムを確認するが、ダウンロードとインストールを行うかどうかは選択する」

6. 手順 1. および 2. を参考に [コントロール パネル] - [システムとセキュリティ] に移動し、[更新プログラムの確認] をクリックします。

7. 更新プログラムの確認の完了後、次のような画面が表示されます。[N 個の重要な更新プログラム が利用可能です] をクリックします。

8. 一覧から次の修正プログラムが表示、および、選択されていることを確認後、[OK] をクリックします。

「2018-03 x86 (またはx64) ベースシステム用 Windows 7 向けセキュリティ マンスリー品質ロールアップ (KB4088875)」

9. 手順 7. の画面に戻ります。[更新プログラムのインストール] をクリックします。

10. 更新プログラムのインストールが開始されます。

11. 更新プログラムのインストールが完了すると次の画面が表示されます。[今すぐ再起動] をクリックして OS を再起動します。

12. 該当の更新プログラム (KB400875) が適用されているかどうか確認するには、[コントロール パネル] - [システムとセキュリティ] から 、 　[インストールされた更新プログラムを表示] をクリックします。

一覧に 「Microsoft Windows (KB4088875)のセキュリティ更新プログラム」が表示されていれば、インストールされていると判断されます。

(b) カタログサイトからダウンロードする場合の手順

1. 更新プログラムを入手するため、以下の URL を開きます。

https://catalog.update.microsoft.com/v7/site/Search.aspx?q=4088875

2. アドオンのインストールや許可を要求された場合、インストールを行ないます。

更新プログラムの一覧が表示されるので、ご利用の製品に該当する更新プログラムの右にある [追加] をクリックします。

例えば、Windows 7 x86 版をご利用の場合、次のタイトルの更新プログラムを追加します。

「2018-03 x86 ベース システム用 Windows Embedded Standard 7 向けセキュリティ マンスリー品質ロールアップ (KB4088875)」

3. 画面上部の [バスケットの表示] をクリックします。

4. 次の画面で [ダウンロード] をクリックします。

5. 更新プログラムのインストーラーを一時的に保管するためのフォルダーを選択するため、[参照] をクリックします。

6. Microsoft Update Catalog にコンピューターへの変更を許可することを求めるポップアップが表示された場合、[はい] をクリックします。

次のウィンドウが表示されるので、任意のフォルダーを選択して [OK] をクリックします。

7. さきほど選択したダウンロード先のフォルダーが表示されていることを確認して [続行] ボタンを押下します。

8. 更新プログラムのダウンロードが開始され、進行状況が表示されます。進行状況が完了になったことを確認して [閉じる] をクリックします。

9. エクスプローラーを起動して、手順 6. で選択したフォルダーに移動します。次のようなフォルダーが作成されていますので、フォルダー内に移動します。

10. 次のような .msu ファイルをダブルクリックします。

11. 更新のインストールを確認するためのダイアログが表示されるので、[はい] をクリックします。

12. 更新プログラムのインストールが開始されます。

13. 更新のインストールが完了したら、[今すぐ再起動] をクリックして再起動します。

こんにちは。Windows プラットフォーム サポートの吉原です。

2018 年 3 月 14 日に公開されました、以下の更新プログラムのどちらかを適用すると、無線 LAN および有線 LAN 利用時において下記の問題が発生することが報告されています。

・March 13, 2018―KB4088875 (Monthly Rollup)

https://support.microsoft.com/en-us/help/4088875

・March 13, 2018―KB4088878 (Security-only update)

https://support.microsoft.com/en-us/help/4088878

[ 問題の概要 ]

Windows 7 に上記の更新プログラムを適用すると、無線 LAN 利用時に下記の問題が発生することが報告されています。

<現象1-1>

・ステルスモードの SSID への接続用の無線プロファイルが表示されなくなる

<現象1-2>

・無線 LAN アダプターが無効化される、利用できなくなる

VMWare 環境上の仮想 OS (Windows Server 2008 R2) に、上記の更新プログラムを適用すると下記の問題が発生することが報告されています。

<現象2>

・ネットワーク インターフェースに静的に設定した IP アドレス情報が失われ、DHCP などのデフォルト設定に置き換わる。

[ 対象 OS ]

Windows 7 SP1

Windows Server 2008 R2 SP1

その他の OS への影響については現在調査中で、判明次第、本 Blog で情報を更新予定です。

[ 原因 ]

マイクロソフトでは、この問題について調査をしています。

進展があり次第、本 Blog を更新予定です。

既に問題を確認されている場合は後述の対処をお試し頂きつつ、本 Blog の更新をお待ちください。

[ 対処方法 ]

それぞれの現象ごとに、下記の手順で解決できることがあります。

<現象1-1>

手動で無線プロファイルを構成し直します。

また、更新プログラムをアンインストールすると、表示されなくなっていた SSID が再度表示されるという報告も確認しております。

<現象1-2>

無線 LAN が利用できない場合は、下記手順を実施します。

1．コントロールパネルを表示します。

2．[システムとセキュリティ] － [ハードウェアとサウンド] - [デバイス マネージャー] を選択します。

3．[コンピュータ名]－[ネットワークアダプター]－[利用中の無線 LAN デバイス] を右クリックし、[有効] を選択します。

[有効] と表示されない場合、[削除] を選択します。

4．OS を再起動します。

<現象2>

新たに生成されたネットワークアダプターに必要なネットワーク設定を行います。

問題発生後に、後述のスクリプトを実行することでも回避できる可能性があります。

今後、更新プログラムを適用される場合は、事前に KB3125574 の Known Issue1 に記載のあるスクリプトを実行します。

https://support.microsoft.com/en-us/help/3125574

- 事前のレジストリのバックアップ手順

まず、次の手順でレジストリのバックアップを保存します。

1. レジストリ エディターを管理者として起動します。

2. 次のキーを展開します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCI

3.「PCI」レジストリ キーを右クリックして [エクスポート] を押します。

4. ファイルの種類に "登録ファイル (*.reg)" を選択して、ファイル名を PCI.reg として保存します。

5. 同様に、ファイルの種類に "レジストリ ハイブ ファイル (*.*)" を選択して、ファイル名を PCI.hiv として保存します。

- 回避手順

1. 次の KB3125574 の Known issue1 セクションにある "Following is the script" 以下のスクリプト内容をコピーし、

テキストファイルに貼り付けて、例えば Script.vbs などの拡張子 .vbs を持つファイルとして保存します。

Convenience rollup update for Windows 7 SP1 and Windows Server 2008 R2 SP1

https://support.microsoft.com/en-us/help/3125574/convenience-rollup-update-for-windows-7-sp1-and-windows-server-2008-r2

2. 以下のタイミングのいずれかで、スクリプトを実行します。

// 実行するタイミング

・3 月の更新プログラム (KB4088875 又は KB4088878) を適用する直前

・3 月の更新プログラム (KB4088875 又は KB4088878) を適用後、OS 再起動する前

// 実行するコマンド

cscript <スクリプトファイルの名前>

例) cscript Script.vbs

3. OS を再起動します。

[ 参考情報 ]

・Security update deployment information: March 13, 2018

https://support.microsoft.com/en-us/help/20180313

・March 13, 2018―KB4088875 (Monthly Rollup)

https://support.microsoft.com/en-us/help/4088875

・March 13, 2018―KB4088878 (Security-only update)

https://support.microsoft.com/en-us/help/4088878

[ 更新履歴 ]

2018/03/19 : 本 Blog の公開

[ 補足 ]

本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

こんにちは。Windows プラットフォーム サポートです。

Windows Server 2008 で 2018 年 3 月 14 日公開の更新プログラム (KB4089229) を適用すると、有線 LAN 利用時において後述の問題が発生することが判明しましたので、本 Blog でご案内します。

・Description of the security update for the Windows Kernel vulnerabilities in Windows Server 2008: March 13, 2018

https://support.microsoft.com/en-us/help/4089229

[ 問題の概要 ]

Windows Server 2008 に KB4089229 を適用すると、ネットワーク インターフェースに静的に設定した IP アドレス情報が失われ、DHCP 設定に置き換わる問題が発生することがあります。

[ 対象 OS ]

Windows Server 2008 SP2

[ 原因 ]

３ 月の更新プログラムを適用すると、OS の pci.sys ドライバーが更新され、pci.sys の過去の修正が累積して適用されます。

pci.sys の過去の修正のうち、本問題は KB2487376 の更新プログラムが契機となって発生します。

(KB2487376 以降のバージョンの pci.sys が既に適用されている場合は、本問題は発生しません)

・FIX: Stop error when you replace an iSCSI network adapter or a motherboard by using an identical device on a Windows Server 2008-based or Windows Vista-based computer: "0x0000007B"

https://support.microsoft.com/en-us/help/2487376

KB2487376 では、デバイス インスタンス パスを生成する際の Serial Number の扱いを DWORD (32 ビット) から QWORD (64 ビット) に変更しています。

この修正を適用することで、NIC のデバイス インスタンス パスが変化し、新しい NIC として認識されることで、本問題が発生します。

(デバイス インスタンス パスの例)

// KB2487376 適用前

PCI\VEN_8086&DEV_109A&SUBSYS_207E17AA&REV_00\FF3BD28D00

// KB2487376 適用後

PCI\VEN_8086&DEV_109A&SUBSYS_207E17AA&REV_00\0016D3FFFF3BD28D00

[ 発生条件 ]

以下の 2 つの条件を両方満たす場合に、本問題が発生します。

a. pci.sys のバージョンが GDR 版 (6.0.6002.1xxxx) であること

b. NIC が PCI Express で Device Serial Number をサポートしていること

上記いずれかの条件を満たさない場合には、本問題は発生しません。

また、Hyper-V の仮想マシンでは、“ネットワーク アダプター”、”レガシ ネットワーク アダプター” とも上記 b に該当しないため、本問題は発生しません。

[ 対処方法 ]

これから KB4089229 を適用される場合は、以下の手順で対処を実施ください。

(1) pci.sys のバージョンを確認します。

コマンドで確認する場合、以下を実行します。

wmic datafile where name="C:\\Windows\\system32\\drivers\\pci.sys" get version /value

以下の例のように、pci.sys のバージョンが 6.0.6002.2xxxx (LDR 版) である場合、本問題は発生しませんので、KB4089229 適用前に事前の対処は必要ありません。

以下の例のように、pci.sys のバージョンが 6.0.6002.1xxxx (GDR 版) である場合、本問題が発生し得ますので、(2) の確認に進みます。

(2) NIC が PCI Express Serial Number に対応しているか、確認します。

(2-1) コマンドで確認する場合、以下を実行します。

wmic path win32_pnpentity where ClassGUID="{4d36e972-e325-11ce-bfc1-08002be10318}" get DeviceID | find /i "PCI"

以下の例では、NIC のデバイス インスタンス パスで最後の “\” の後に “&” を含む形式となっています。

この場合、Serial Number に非対応の NIC であり、本問題は発生しませんので、KB4089229 適用前に事前の対処は必要ありません。

以下の例では、NIC のデバイス インスタンス パスで最後の “\” の後に “&” を含まず、Serial Number が付加される形式となります。

この場合、Serial Number に対応している NIC であり、本問題が発生しますので、(3) の対処を実施します。

(2-2) デバイス マネージャーで確認する場合、NIC のデバイス インスタンス パスを確認します。

以下の例では、NIC のデバイス インスタンス パスで最後の “\” の後に “&” を含む形式となっています。

この場合、Serial Number に非対応の NIC であり、本問題は発生しませんので、KB4089229 適用前に事前の対処は必要ありません。

以下の例では、NIC のデバイス インスタンス パスで最後の “\” の後に “&” を含まず、Serial Number が付加される形式となっています。

この場合、Serial Number に対応している NIC であり、本問題が発生しますので、(3) の対処を実施します。

(3) 以下のレジストリを設定します。

KB4089229 適用前に以下のレジストリを追加設定しておき、KB4089229 適用と OS 再起動を行います。

キー : HKLM\System\CurrentControlSet\Control\PnP\Pci

名前 : HackFlags

種類 : REG_DWORD

設定値 : 0x00040000  (既に HackFlags が存在する場合、既存の値に +0x00040000 した値を設定ください)

この設定により、KB4089229 適用後も、デバイス インスタンス パスの Serial Number が DWORD のまま扱われます。

[ 参考情報 ]

・Description of the security update for the Windows Kernel vulnerabilities in Windows Server 2008: March 13, 2018

https://support.microsoft.com/en-us/help/4089229

[ 関連情報 ]

3月の更新プログラムを適用すると無線 LAN,有線 LAN 利用時に問題が発生する (Windows 7 / Windows Server 2008 R2)

https://blogs.technet.microsoft.com/jpntsblog/2018/03/19/lan_problem_after_update_3b/

[ 更新履歴 ]

2018/03/26 : 本 Blog の公開

[ 補足 ]

本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

こんにちは。Windows Platform サポート チームの加山です。
今回は、既存ドメイン環境のドメイン コントローラーを、Windows Server Essentials に移行する方法について、公開情報の一部を補足させていただきます。
なお、Windows Server Essentials  は、Windows Server Essentials エクスペリエンスの役割がインストールされた Windows Server OS (Standard エディションまたは Datacenter エディション) の端末、または Windows Server OS の Essentials エディションの端末です。

[ 本記事の目的 ]
ドメイン コントローラーを Windows Server Essentials に移行する方法につきましては、以下の公開情報で手順をご案内しておりますが、手順 2 については一部を補足させていただきたい点がございましたので、本記事にてご案内いたします。

// 公開情報
タイトル: 以前のバージョンから Windows Server Essentials または Windows Server Essentials エクスペリエンスに移行します。
URL: https://docs.microsoft.com/ja-jp/windows-server-essentials/migrate/migrate-from-previous-versions-to-windows-server-essentials-or-windows-server-essentials-experience

上記の公開情報の手順 2では、Windows Server Essentials を新しいレプリカ ドメイン コントローラーとしてインストールする方法を、以下の順にご案内しております。

- 手順2 の項目
※ 以下では、機械翻訳された手順を、適切な日本語になるよう修正いたしましたので、公開情報内の手順とは異なる文言となっております。
1. [Windows Server Essentialsのインストールと構成] の手順に従って、Windows Server Essentials または Windows Server Essentials エクスペリエンスの役割を有効にした Windows Server 2012 R2 (Standard エディションまたは Datacenter エディション) をインストールします。
2. 移行元サーバーからの FSMO 役割を転送します。
3. サーバー マネージャーを開き、[役割と機能の追加] ウィザードを実行します。
4. Windows Server Essentials エクスペリエンスの役割がインストールされていない場合はインストールします。
5. Windows Server Essentials エクスペリエンス の役割をインストールすると、通知領域に [Windows Server Essentials の構成] タスクが表示されます。タスクをクリックして、Windows Server Essentials の構成ウィザードを起動します。
6. 手順に従って、Windows Server Essentialsの構成を完了します。
7. 次のように、インストールを確認します。
a. ダッシュ ボードを開きます。
b. Users タブをクリックし、Active Directory 内のユーザー アカウントが一覧表示されていることを確認します。

上記のうち、1. については具体的な操作内容、および 2. については転送手順を説明している技術情報をご紹介させていただきます。

(1) Windows Server Essentials の構成とインストールの方法 (1. について補足させていただきます)
(2) FSMO 役割の転送方法 (2. について補足させていただきます)

以下に各項目ごとに詳細をご案内いたします。

(1) Windows Server Essentials の構成とインストールの方法

Windows Server Essentials の構成とインストールの方法の詳細につきましては、手順 2 の公開情報で "Windows Server Essentials の構成とインストール" を参照いただくようにリンクをご案内しておりますが、リンク先の公開情報では詳細な手順については記載されておりません。
ドメイン コントローラーの構築方法についての前知識がない場合には、別途ドメイン コントローラーの構築方法についての具体的な手順を調べる必要がございますため補足させていただきます。

// 補足させていただく部分を公開情報より抜粋
********************
a. このサーバーをドメイン コントローラーにする場合は、レプリカ ドメイン コントローラーとして、サーバーをセットアップします。
b. このサーバーをドメイン コントローラーにしたくない場合は、ドメインにこのサーバーを参加させ、Windows ネイティブ ツールを使用します。
********************

本記事では、既存ドメイン環境のドメイン コントローラーを Windows Server Essentials に移行する状況を想定しておりますので、a. の既存ドメインのレプリカ ドメイン コントローラーとして Windows Server Essentials をセットアップする方法についてご案内いたします。

------------------------------
a. 既存ドメインのレプリカ ドメイン コントローラーとして Windows Server Essentials をセットアップする方法
------------------------------
以下に手順をご案内いたします。

1. Windows Server Essentials エディションを端末にインストールした場合には、すでに Windows Server Essentials エクスペリエンスの役割がインストールされておりますので、端末にログオンすると自動で "Windows Server Essentials の構成" ウィザードが起動しますが、この段階では [キャンセル] をクリックして閉じます。
(Windows Server の Standard エディションまたは Datacenter エディションを端末にインストールした場合には、本手順は不要ですので次の手順に進みます)

2. 移行元ドメイン コントローラーのドメインに、一時的にドメインのメンバー サーバーとして参加します。
(※) 既存のドメイン コントローラーを Essentials エディションのドメイン コントローラーに移行する場合には、21 日間の猶予期間がございます。猶予期間中は、Essentials エディションを含む複数のドメイン コントローラーが同一ドメインに所属することが許されます。

2-1. キーボードの [Windows キー] を押しながら [R キー] を押し、[ファイル名を指定して実行] を起動します。
2-2. "sysdm.cpl" と入力して [OK] をクリックし、[システムのプロパティ] を起動します。
2-3. [コンピューター名] タブで [変更] をクリックします。
2-4. [コンピューター名/ドメイン名の変更] が起動しましたら、[所属するグループ] で "ドメイン" をチェックし、<既存のドメインのドメイン名> を入力して [OK] をクリックします。
2-5. Windows Server Essentials を再起動します。
(※) Windows Server Essentials エディションの場合には、再起動後にログオンすると再度 "Windows Server Essentials の構成" ウィザードが起動しますので、[キャンセル] をクリックして閉じます。
(※) Windows Server Essentials は、"Windows Server Essentials の構成"  ウィザードの完了後はコンピューター名を変更できないため、変更されたい場合にはこの段階で変更してください。

3. 移行先サーバーをドメイン コントローラーに昇格します。

ドメイン コントローラーへの昇格方法につきましては、以下の公開情報に詳細に説明されておりますので、ご参照ください。

タイトル: Active Directory ドメイン サービスをインストールする (レベル 100)
URL: https://technet.microsoft.com/ja-jp/library/hh472162.aspx#Anchor_2
項目: サーバー マネージャーを使用して AD DS をインストールする

なお、Windows Server Essentials エディションでは [サーバー マネージャー] のアイコンが既定ではタスクバーに表示されていないため、以下の手順で起動してください。

3-1. キーボードの [Windows キー] を押しながら [R キー] を押し、[ファイル名を指定して実行] を起動します。
3-2. "servermanager.exe" と入力して [OK] をクリックします。

// 昇格時の注意事項
昇格時のウィザードで [配置構成] (ドメイン コントローラーの追加方法) を選択する部分では、[既存のドメインにドメイン コントローラーを追加する] を選択してください。

以上で、" (1) Windows Server Essentials の構成とインストールの方法" の手順は完了です。

(2) FSMO 役割の転送方法
FSMO 役割の転送方法につきましては、公開情報の "操作マスターの役割を転送します。" で手順を記載しておりますが、日本語ページではコマンドが分かりにくくなっております。
FSMO 役割の転送方法につきましては、以下の公開情報にて分かりやすく手順をご案内しておりますので、ご参照いただけますようお願いいたします。

<FSMO 役割の転送方法の参考資料>
タイトル:手順 2:Windows Server 2012 R2 Essentials を新しいレプリカ ドメイン コントローラーとしてインストールする
URL: https://technet.microsoft.com/ja-jp/library/dn408637(v=ws.11).aspx
項目: "操作マスターの役割の転送" の項目を参照ください。

(※) FSMO 役割の転送方法につきましては、Windows Server Essentials と他の Windows Server は同じ手順となります。

[ 補足 ]
・本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

こんにちは。Windows サポート チームの矢澤です。
今回は CVE-2018-0886 にて公開された CredSSP の脆弱性対応の更新プログラムに関する注意事項についてご案内いたします。

1. 更新プログラムについて

3 月のセキュリティ更新プログラムを適用することで今回の脆弱性に対応することができます。しかしながら、更新プログラムを適用しただけでは脆弱性対応は有効とならず、後述する 5 月の更新プログラムを適用するまではグループ ポリシーの設定が別途、必要となります。また、以下の公開情報に記載されている通り段階的な変更が予定されており、対処なく修正プログラムを適用するとリモート デスクトップ接続ができなくなる場合がございます。

Link: CVE-2018-0886 の CredSSP の更新プログラム

2. 3 月の更新プログラムについて

3 月の更新プログラムを適用することで、脆弱性に対応するモジュールがインストールされると同時にグループ ポリシーの管理用テンプレートに [Encryption Oracle Remediation] が追加されます。3 月の更新プログラムにおける [未構成] 時の既定値が [Vulnerable] となりますので、サーバーに更新プログラムが適用されていない状態においてもクライアントからの接続が失敗することはございません。脆弱性に対応させるためには、クライアントおよびサーバーに更新プログラムを適用し、かつ、[Encryption Oracle Remediation] の設定を [Mitigated] もしくは [Force updated clients] に変更する必要がございます。

グループ ポリシーの詳細と設定値における動作マトリックスについては公開情報に記載がございます。

Link: CVE-2018-0886 の CredSSP の更新プログラム

3. 4 月の更新プログラムについて

4 月 18 日にリリースされた 5 月のロールアップのプレビュー版を適用し、グループ ポリシーにてクライアントに [Mitigated] もしくは [Force updated clients] が設定されており、かつ、サーバー側に更新プログラムが未適用の場合に、リモート デスクトップ接続に失敗した時にクライアント側に出力されるエラー メッセージが以下のように変更されます。なお、本修正プログラムの適用により、表示されるメッセージは変更されますが、リモート デスクトップ接続可否の動作に変更はございません。

4. 5 月の更新プログラムについて (予定)

本 blog の公開段階では 5 月 8 日にリリースされる更新プログラムの詳細については情報がございませんが、公開情報では [未構成] 時の既定値が [Vulnerable] から [Mitigated] に変更されることが予定されています。そのため、クライアントに 5 月の更新プログラムが適用された状態において、サーバー側に3 月以降の更新プログラムが適用されていない場合には、上記のエラーメッセージが出力され RDP 接続に失敗しますので、クライアントに 5 月の更新プログラムを適用いただく前に、サーバー側に 3 月以降の更新プログラムが適用されているかをご確認ください。

※事前に 3 月の更新プログラムを適用し、グループ ポリシーにて [未構成] ではなく [Vulnerable] を設定しておき、クライアントに 5 月の更新プログラムを適用した際にどのような動作となるかについては、今後のリリース状況を踏まえて本 blog を更新いたします。

5. 3 月の更新プログラムでの NIC の問題について

3 月の更新プログラムを適用すると、有線 LAN 利用時に問題が発生する事象が報告されております。4 月のロールアップ、もしくは事前適用の更新プログラムを適用することで事象が改善されますので、3 月の更新プログラムを適用される際には以下の記事をご参照いただき、更新をお願いいたします。

Link: 3 月の更新プログラムを適用すると無線 LAN,有線 LAN 利用時に問題が発生する (Windows 7 / Windows Server 2008 R2)

こんにちは。Windows プラットフォームサポートの鈴木です。

PC のシャットダウンや再起動を実行しようとすると、以下のメッセージが表示される場合があります。

（再起動を選択した場合はメッセージの シャットダウン の部分が 再起動 に変わります）

上記メッセージが表示された場合、タスク マネージャーを起動して 詳細 タブでプロセスの状態を確認してください。

＊タスク マネージャーの起動

検索ボックスに タスク マネージャーと入力して、検索結果から タスク マネージャー を選択します。

詳細 タブをクリックしてプロセスの状態を確認します。

（ハンドル が表示されていない場合は 名前 や PID を右クリックして 列の選択 から ハンドル にチェックを入れて OK ボタンをクリックします）

他のプロセスと比較して、ハンドル数が非常に大きな数字となっているプロセスが存在する場合、「作業内容が保存されない可能性があります。」とメッセージが表示される原因となっている可能性があります。

上記例では CL1 というユーザーが実行している Sample.exe と、SYSTEM で動作している svchost.exe の 1 つのハンドル数が極端に多くなっています。

Sample.exe のようにユーザーが実行しているアプリケーションについては、終了させることが可能な場合は終了させることで、該当のメッセージ表示を回避できます。
svchost.exe のように SYSTEM で稼働しているものは、ユーザーが操作することはできないため、対処の必要はありません。

上記のアプリケーションを終了させることができない場合、[強制的にシャットダウン] を実施する以外の方法はありません。
その場合、SYSTEM で稼働しているプロセスでは特に影響が出ることはありません。
また、アプリケーションについても、エディター等でなければ影響が出ることは稀だと考えられます。