2005年4月度の月例修正として4月13日に公開されたMS05-019（TCP/IPの脆弱性により、リモートでコードが実行され、サービス拒否が起こる）の修正プログラムを適用すると、VPNなどのターミナル・サービスが利用不可になる、WAN経由のドメイン・コントローラのレプリケーションが失敗するなどの複数の重大な不具合が発生することがマイクロソフトから報告されている。MS05-019の脆弱性（CAN-2005-0048）については、すでに攻撃用の実証コードが公開されており、攻撃に悪用される危険は高まっている。しかし適用による不具合も多発していることから、適用にあたっては、広範な展開前の十分な検証と、バックアップなどシステムのロールバック準備などしっかり行ってから作業を開始した方がよいだろう。

■［不具合］Windows 2000に適用するとネットワークの処理速度が大幅に低下する
　このMS05-019については、4月19日付けのHotFix Briefings Alertにおいて紹介する際に、一部の不具合（Windows 2000への修正適用により、ネットワークの処理速度が大幅に低下する可能性）についてお知らせした。

• HotFix Briefings Alert（2005/04/19付け記事）
  MS05-019／893066 TCP/IPの脆弱性により、リモートでコードが実行され、サービス拒否が起こる

• セキュリティ更新プログラム893066はWindows 2000でTCP受信ウィンドウの既定のサイズをSP3以前の既定のサイズ 17,520 バイトに戻す（MSKB 890345）
  

　この問題はWindows 2000でのみ発生する不具合だった。しかし次から述べる2つの不具合については、Windows XPやWindows Server 2003にも影響が及ぶ。

■［不具合］Windows XP SP1に適用するとRAW IPソケットを使用するプログラムが機能しなくなる
　Windows XP SP1でICF（Internet Connection Firewall）を無効化しているコンピュータにMS05-019の修正プログラムを適用すると、RAW IPソケットを使用してTCP／UDPパケットを送信するアプリケーションが正しく機能しなくなる場合がある。

• Windows XP Service Pack 1が実行されているコンピュータにセキュリティ更新プログラムMS05-019を適用すると、TCPパケットまたはUDPパケットをRAW IPソケット経由で送信するネットワーク プログラムが機能しなくなることがある（MSKB897656）
  

　この不具合は、MS05-019の適用により、ICF無効時のRAW IPソケットの処理が変更されるために発生するとしている。上記サポート技術情報によれば、ICFを有効化することで問題を回避できる。

■［不具合］ターミナル・サーバや共有ファイルへのアクセスが不可になる

• Network connectivity between clients and servers may not work after the installation of security update MS05-019 or Windows Server 2003 Service Pack 1［英文］（MSKB898060）

　Windows 2000／Windows XP／Windows Server 2003にMS05-019の修正プログラムを適用すると、次のような不具合が発生する場合がある。

1. ターミナル・サーバや共有ファイルへのアクセスが不可になる。

2. WANリンクを利用したドメイン・コントローラのレプリケーションに失敗する。

3. Exchange Serverがドメイン・コントローラに接続できなくなる。

　なおこれらと同じ不具合は、MS05-019だけでなく、Windows Server 2003に対して先頃公開されたService Pack 1をインストールした場合にも発生する。MS05-019やWindows Server 2003 SP1の適用によって上記のような現象が発生した場合は、これらの影響による不具合を疑う必要がある。

　この問題を解決するパッチはマイクロソフトから提供されているが、テストが不十分だとして一般には公開されていない。入手にはマイクロソフトのサポート・サービスへの問い合わせが必要だ。

　MS05-019の修正適用に関する障害情報などは、以下のHotFix Report BBSの関連スレッドが詳しい。

• MS05-019［緊急］：TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる（HotFix Report BBS）

　2005年4月19日より、Windows Server 2003 Service Pack 1（以下SP1）の提供が開始された。Windows Server 2003 SP1の詳細については、関連記事を参照されたい。

　このWindows Server 2003 SP1について、インストールによって発生する不具合や互換性問題に関する情報が公開され始めた。マイクロソフトは、自社製品を始めとする各種アプリケーションとWindows Server 2003 SP1との互換性について、以下のページにまとめている。

• Windows Server 2003 Service Pack 1 のアプリケーションの互換性

Windows Server 2003 SP1の概要 リモート・アクセス検疫機能

　以下では、Windows Server 2003 SP1の適用前の準備用として、これまでに分かっている不具合情報、互換性情報についてまとめる。マイクロソフトのサポート技術情報を中心に紹介するが、情報によってはWindows Server 2003 SP1の開発途中版（ベータ版など）を対象にしているものもあり、最終版での影響が不明なものもある。これらについても、参考のため併せてご紹介する。情報を参照するときには、情報の対象バージョンに注意してほしい。また正式な日本語ページ（機械翻訳ではないページ）が公開されているものについてはそちらを掲載するが、そうでないページについては英語ページを掲載した。

　なおこれらWindows Server 2003 SP1のインストールに関する不具合情報は、以下のセキュリティ関連情報の掲示板（HotFix Report BBS）にまとまっており、順次最新情報が追加されているので定期的にチェックするとよいだろう。

• Windows Server 2003 SP1適用に関する互換性情報、不具合報告スレッド（HotFix Report BBS）
  

■リモート・アクセス接続不可／共有ファイル使用不可／WANでのドメイン・コントローラのレプリケーションに失敗する
　MS05-019の修正適用による不具合情報として前述したとおり、Windows Server 2003にSP1を適用すると、ネットワークに重大な不具合が発生する場合がある。

• Network connectivity between clients and servers may not work after the installation of security update MS05-019 or Windows Server 2003 Service Pack 1［英文］（MSKB898060）

■クラスタ構成のExchange 2003に適用するとOutlook Web Accessがエラーを発生する
　Windows Server 2003＋Exchange Server 2003のシステムをクラスタ構成にしている場合、Windows Server 2003 SP1を適用すると、SP1で強化されたセキュリティ機能の影響によりOutlook Web Accessがエラー（500 - 内部サーバーエラー）を発生する。具体的には、SP1によってリモート・レジストリ・アクセスを実行するAPIのセキュリティ制限が変更され、ログオンが失敗する。詳細は次のサポート技術情報を参照のこと。すでに、この問題を解消するパッチが公開されており、以下のページからダウンロードできる。

• クラスタ化された Exchange Server 2003 のバックエンド サーバーにユーザーが Outlook Web Access を使用してアクセスするとき、"500 - 内部サーバー エラー" というエラー メッセージが表示される（MSKB841561）
  

■Exchange Server 2003でOutlookユーザーがアクセス不能になる
　Windows Server 2003ベースのExchange Server 2003システムにWindows Server 2003 SP1をインストールし、Windows Server 2003 SP1の設定ウィザードを実行すると、Windowsファイアウォールの影響でExchange Server 2003が以下のような不具合を発生する。

1. Outlookユーザーが自分のアカウントに接続できない。
2. サービスは正常稼働しているのに、Exchange Server 2003ポートへのリクエストに応答しなくなる。

• After you run the Security Configuration Wizard in Windows Server 2003 SP1, Outlook users may not be able to connect to their accounts［英文］（MSKB896742）

■Exchange Serverデプロイメント・ツールを共有フォルダからインストールできない
　Windows Server 2003 SP1をインストールすると、セキュリティ強化の影響で、Exchange Serverデプロイメント・ツールをネットワーク上の共有フォルダから実行できなくなる。

• You cannot successfully run the Exchange Server Deployment Tools from a network share after you install Windows Server 2003 SP1［英文］（MSKB897340）

■ActiveDirectoryのレプリケーションを実行しようとすると、Windows Server 2003ベースのドメイン・コントローラで「アクセス拒否」エラーが発生する
　Windows Server 2003 SP1（およびx64ベースのWindows Server 2003）では、RPCトラフィックに認証が必要になっており、この影響でActiveDirectoryのレプリケーションでエラーを発生する。

• You receive an "access is denied" error message on a Windows Server 2003-based domain controller when you try to replicate the Active Directory directory service［英文］（MSKB895085）

■ICFを有効化するとクラスタ・サービスが有効に機能しない
　Windows Server 2003 SP1をインストールしたコンピュータでICFを有効化すると、クラスタ・サービスが有効に機能しなくなる。この問題はセキュリティ構成ウィザードでの設定変更で回避可能である。

• Cluster Services does not work correctly in a Windows Server 2003 SP1-based cluster that has the Internet Connection Firewall enabled［英文］（MSKB883398）

■Small Business Server 2003にWindows Server 2003 SP1をインストールすると、複数の不具合が発生する
　中小事業者向けにWindows Server 2003やExchange Server 2003などを安価なパッケージにまとめたSmall Business Server 2003（SBS 2003）には、現在のWindows Server 2003 SP1を慌てて適用しない方がよい。

• Known issues that may occur if you install Windows Server 2003 SP1 on Windows Small Business Server 2003［英文］（MSKB897342）

　マイクロソフトによれば、SBS 2003にWindows Server 2003 SP1をインストールすると、次のような複数の不具合が発生することが確認されている。

1. リモート・アクセス・ウィザードが接続マネージャの設定パッケージを生成しなくなる。

2. サーバIPアドレスの変更ツールがエラーを発生する。

3. FAXサービスが起動しなくなり、FAX設定ウィザードが終了不可になる。

　マイクロソフトは現在、SBS 2003用のSP1を準備しており、まもなく発表予定である。SBS 2003を利用しているなら、このSP1が登場するまでWindows Server 2003 SP1のインストールは控えた方がよいだろう。

■ISA Server 2004を利用するにはISA Server 2004 SP1の適用が必要
　Windows Server 2003上でISA Server 2004を利用している場合、Windows Server 2003 SP1をインストールするときには、必ずISA Server SP1もインストールする必要がある。ISA Server SP1は以下からダウンロードできる。

• ISA Server 2004 Standard SP1
  

■Virtual Server 2005の管理Webサイトへのアクセスがエラー
　Windows Server 2003 SP1またはWindows XP SP2をインストールすると、セキュリティ強化によりVirtual Server 2005 管理WebサイトにアクセスするためのDCOMパーミッションが不足する。当該DCOMのセキュリティ設定を変更することで問題を回避できる。

• You receive a "Could not connect to Virtual Server. Access was denied" error message when you open the Virtual Server Administration Website in Virtual Server 2005［英文］（MSKB891609）

■Application Center 2000実行中のサーバにインストールすると不具合が発生する
　アプリケーション負荷分散システムのApplication Center 2000を実行しているWindows Server 2003サーバに対し、SP1を適用すると、次のような複数の不具合が発生する。

1. localhostにアクセスしようとするとブラウザにエラーが表示される。

2. クラスタにメンバを追加しようとすると、ウィザードでエラーが発生する。

3. Application Center管理コンソールで、メンバの［状態］列やヘルス・モニタの［状態］列に「不明」と表示される。

4. アプリケーション・ログにエラーが出力される場合がある。

5. 新しいクラスタ・コントローラを指定しようとすると、操作が失敗する。

　マイクロソフトは、「コンポーネント負荷分散（CLB）を使用している環境にはWindows Server 2003 SP1 はインストールしないように」と述べている。詳細は以下のサポート技術情報を参照のこと。

• Application Center 2000 を実行するサーバーにWindows Server 2003 SP1をインストールした後、追加の手順を実行する必要がある（MSKB891330）

■Windows TimeサービスがイベントID 7023を発生させて起動しなくなる
　Windows Server 2003ベースのドメイン・コントローラにSP1をインストールすると、セキュリティ強化のためにWindows Timeサービスが起動しなくなる場合がある。この際イベントログには、ID 7023のエラーが記録される。

• The Windows Time service may generate event ID 7023 after you upgrade to Windows Server 2003 Service Pack 1［英文］（MSKB892501）

■Windows Server 2003 SP1のインストール時に「コピー エラー：Atapi.sys をコピーできません」が発生する

• Windows XP Service Pack 2 のインストール時にエラー メッセージ "コピー エラー：Atapi.sys をコピーできません" が表示される（MSKB884675）

仮想CD-ROMイメージをマウントする（DAEMON Tools編）

　ISOイメージファイルをCD-ROMドライブとしてマウントするツールとして広く普及しているDAEMON Tools（またはAlcohol 120%）をインストールしたコンピュータにWindows Server 2003 SP1をインストールしようとすると、ファイルのコピー・エラーが発生する。DAEMON Toolsなどは一部のシステム・ファイルをロックしており、インストーラが既存ファイルをバックアップできないためにこのエラーが発生する。

■HTML Help機能を使う一部のWebアプリケーションが使用不能になる
　Windows Server 2003 SP1の適用により、HTML Helpの仕様が一部変更されるため、HTML Help機能を使う一部のWebアプリケーションが使用不能になったり、UNCパスで共有フォルダ上のCHMファイル（Compiled Help Module）を開いたときに、トピックが開けなかったりする場合がある。

• You cannot use certain Web applications that use the Infotech protocol after you install Windows Server 2003 Service Pack 1 or the MS04-023 security update in Windows Server 2003［英文］（MSKB896054）

■DCOMを使用するプログラムが正しく機能しない
　Windows Server 2003 SP1では、デフォルトのCOMパーミッションが変更されており、DCOMを使用するアプリケーションで不具合が発生する可能性がある。例えばバックアップソリューションのVeritas Backup Exec 8.6は、これが理由でバックアップ・タスクを起動できなくなるとのこと。

• Programs that use DCOM do not work correctly after you install Microsoft Windows Server 2003 Service Pack 1［英文］（MSKB892500）

■MOM 2005でアクセス権違反が発生する
　Windows Server 2003＋Microsoft Operations Manager 2005（MOM 2005）にWindows Server 2003 SP1をインストールすると、一部のアクセス権設定が変更になり、MOMの処理によってはエラーが発生する。

• You receive an "UnauthorizedAccessException" error message when the MOM-to-MOM Product Connector tries to forward alert and discovery information in Microsoft Operations Manager 2005［英文］（MSKB895951）

■MOM2005レポート機能のインストールでエラー
　HotFix Report BBSへの報告によれば、Windows Server 2003 SP1のコンピュータにSQL Server 2000とSQL Server 2000 Reporting Servicesをインストールしたのち、MOM 2005をインストールしようとすると、MOM 2005本体はインストールできるが、レポート機能（SQL Server 2000 Reporting Servicesを使用）は途中でエラーになる。

• MOM2005 レポート機能のインストールでエラー（SP1とSQL Reporting Services）（HotFix Report BBS）
  

　この問題は、ループバック・チェックを無効化すると問題を回避できる。具体的な方法は次のページで紹介されているものと同じだ。

• You receive error 401.1 when you browse a Web site that uses Integrated Authentication and is hosted on IIS 5.1 or IIS 6［英文］（MSKB896861）

■Windows Server 2003 SP1環境にWindows SharePoint Servicesをインストールするとエラーが発生する
　Windows Server 2003 SP1をインストールした環境にWindows SharePoint Servicesをインストールすると、エラーが発生し、インストールを完了できない。

• "Could Not Load Type System.Int32 from Assembly Microsoft.SharePoint" Error Message When You Install Windows SharePoint Services［英文］（MSKB828773）

■IIS 5.1／6.0の統合認証ページを参照すると401.1エラーが発生する
　Windows Server 2003 SP1（IIS 6.0）やWindows XP SP2（IIS 5.1）では、コンピュータへのリフレクション・アタックを防止するため、ローカル・ループバックの検査が変更された。この影響で、統合認証が設定されたページを参照しようとすると、HTTP 401.1エラー（ログオンの失敗）が発生する場合がある。

• You receive error 401.1 when you browse a Web site that uses Integrated Authentication and is hosted on IIS 5.1 or IIS 6［英文］（MSKB896861）

■そのほかの不具合情報

• Windows Server 2003 SP1を利用しているユーザーをリモート・アシスタンスに招待できない
  You cannot offer remote assistance to a user whose computer is running Windows Server 2003 with Service Pack 1［英文］（MSKB889248）

• AppleTalkポート設定ダイアログでヘルプを参照しようとするとエラーが発生する
  You receive an "Unable to start help" error message when you click Help in the AppleTalk Port Configuration dialog box in Windows Server 2003 Service Pack 1 or in an x64-based version of Windows Server 2003［英文］（MSKB892410）

• SFU 3.5／3.0のインストール時にエラーが発生する
  "Common UI elements not found" error message when you try to install Windows Services for UNIX on a computer that is running Windows XP Service Pack 2 or Windows Server 2003 Service Pack 1［英文］（MSKB891769）

　複数のセキュリティ情報サイトが公開した情報によれば、Windows 2000のエクスプローラにある「Webの表示」機能に脆弱性があり、ユーザーが攻撃用ファイルをクリックしただけで、ファイルに仕込まれた攻撃者のスクリプトが実行されてしまう。「Webの表示」はエクスプローラのデフォルト設定であり、すでに実証コードも公開されていることから攻撃リスクは非常に高まっている。

• Microsoft Windows Explorer Preview Pane Script Injection Vulnerability［英文］（SecurityFocus）

• Microsoft Windows Explorer Web View Script Insertion Vulnerability［英文］（Secunia）
  

　ただし、影響があるのはWindows 2000のみで、Windows XPやWindows Server 2003には影響はない。

　修正プログラムはまだ提供されていないが、エクスプローラの［フォルダ オプション］の「Webの表示」を「従来のWindowsフォルダを使う」に変更し、「Webの表示」を使わないようにすれば、とりあえず攻撃を回避できる。

　企業向け無償パッチ管理ツールとしてマイクロソフトが現在開発中のWindows Server Update Services（WSUS）の製品候補版（RC版）の公開が開始された。WSUSはSUS（Software Update Services）の後継であり、これにより企業内PCのパッチ適用を集中管理できる。WSUSでは、従来のSUSに比較し、対応ソフトウェアの拡充（SQL Server、Exchange Server、Office 2003、Office XPのサポートを追加）や、従来は弱かったレポート機能などが大幅に強化されている。

　WSUSのRC版は以下のページからダウンロードできる。

• Windows Server Update Services リリース候補版 (Release Candidate) の公開評価

　SQL Server 2000のアドオンとしてデータベースのレポート機能を提供する無償ソフトウェア、SQL Server 2000 Reporting Services向けのService Pack 2（以下SP2）が公開された。このSP2では、従来版SQL Server 2000 Reporting Servicesで見つかった不具合の修正に加え、レポートをIEから直接印刷する機能や、SharePoint Portal Serverサイトにレポートを表示可能にするSharePoint Webパーツなどの機能拡張も含まれる。SQL Server 2000 Reporting Services SP2は以下のページからダウンロードできる。

• SQL Server 2000 Reporting Services Service Pack 2（マイクロソフト）

　ただしこのSP2を適用すると、現在使用しているレポート・サーバのデータベースが変更され、SP2適用前のReporting Servicesからはアクセスできなくなるので注意が必要だ。またReporting Services SP2はアンインストール機能がない。以前のバージョンに戻すには、Reporting Servicesをいったん削除した後、旧バージョンを再インストールする必要がある。

• Outlook 2003 で POP3 電子メール サーバー アカウントから電子メール メッセージが重複してダウンロードされる（MSKB 885870）

• Windows XP 用の更新プログラムを Windows Update Web サイトからインストールするときにエラー メッセージ 0x80070643 が出力される（MSKB 836937）

• Windows XP Service Pack 2 ベースのコンピュータにログオンした後、ネットワーク リソースにアクセスできない（MSKB 885887）

• Windows XP Service Pack 2 ベースのコンピュータにログオンした後、ネットワーク リソースにアクセスできない（MSKB 823836）

• テキストサービスが有効になっている際に発生する現象について（MSKB 898663）

• [バインダーの印刷] で [プロパティ] をクリックしてプリンタの設定を変更しても反映されない（MSKB 898661）

• サスペンド状態から復帰後にファイルのコピーを行うとデータ化けが発生する（MSKB 898572）

• スクリプトで表示・非表示を切り替えたドロップダウンリストが正しい位置に表示されない（MSKB 898138）

• セキュリティ更新プログラム 893066 は Windows 2000 で TCP 受信ウィンドウの既定のサイズを SP3 以前の既定のサイズ 17,520 バイトに戻す（MSKB 890345）

• セキュリティ更新プログラム 893066 により導入されるレジストリ エントリ MaxIcmpHostRoutes について（MSKB 896350）

• Web フォルダ用のソフトウェア更新プログラム (2005 年 1 月 25 日) について（MSKB 892211）

• SQL Server 2000 レポート サービスService Pack 2 で修正される不具合の一覧（MSKB 889640）［機械翻訳］