Windows Server（SAC）にも影響するアップグレード問題が“問題にならない”であろう理由：その知識、ホントに正しい？ Windowsにまつわる都市伝説（173）

Windows 10の機能更新プログラム、またはインストールメディアによる新バージョンへのアップグレードで、「バージョンのロールバック」による解決が必要な問題が立て続けに明らかになりました。それらの問題は、実はWindows Serverにも影響します。しかし、ほとんど問題になることはないでしょう。なぜなら……。

Windowsにまつわる都市伝説

Windows 10の問題はWindows Server（SAC）にも影響する可能性大

　「Windows 10 バージョン20H2（October 2020 Update）」が正式にリリースされてから1カ月もたたないうちに、Windows 10の新バージョンへのアップグレードに関して、複数の問題が明らかになり、一部の問題についてはセーフガードホールドの対象としてWindows Updateによる自動配布が一時停止される措置が講じられました（注：「ダウンロードしてインストール」による手動更新はブロックされないようです）。詳しくは、筆者の別連載で解説しています。

• ［緊急報告］Windows 10 バージョン1903以降へのアップグレードで突如判明した「証明書消失問題」とは（連載：山市良のうぃんどうず日記 第193回）
• ［緊急報告2］Windows 10 バージョン2004以降へのアップグレードで新たに2つの問題が判明（連載：山市良のうぃんどうず日記 第194回）

　Windows 10の新バージョンがリリースされると、同じタイミングでそのバージョンと同じコードベースのWindows Serverもリリースされます。それは、Windows 10と同じ「半期チャネル（Semi-Annual Channel、SAC）」のWindows Serverのことです。

　このServer Coreベース（「デスクトップエクスペリエンス」は含みません）のサーバOSは、有効なソフトウェアアシュアランス（SA）付きのボリュームライセンス契約を通じて提供されるものです。

　そして、Windows 10に存在する既知の問題の多くは、同じOSビルドのWindows Serverにも影響します。最近、Windows 10 バージョン2004とバージョン20H2で明らかになった新バージョンへのアップグレードに関する以下の2つの問題は、Windows Server SACのバージョン2004とバージョン20H2にも影響すると説明されています。

• You might receive an error when accessing the sign-in options or users MMC snap-in［英語］（Microsoft Docs）
• Certificates may not be present after updating to a newer version of Windows 10［英語］（Microsoft Docs）

　「Windows Server, version 2004」をインストールした仮想マシンで影響を受ける環境を構築して、ISOイメージから「Windows Server, version 20H2」にアップグレードしたところ、Windows 10と同じ問題が再現しました。

　1つ目の問題はビルトインアカウントの名前を変更していると、アップグレード後に「ローカルユーザーとグループ」スナップイン（lusrmgr.msc）などの使用でエラーが発生し、1分以内に自動的に再起動してしまうというものです（画面1）。

画面1　ビルトインAdministratorアカウントの名前を「MyAdmin」に変更後、アップグレードしたところ、「ローカルユーザーとグループ」スナップインで「ユーザー」を開こうとすると自動的に再起動してしまう

　Server CoreベースのWindows Server SACはGUI（グラフィカルユーザーインタフェース）を搭載していませんが、「Server Core アプリ互換性オンデマンド機能」をインストールすることで、「ローカルユーザーとグループ」スナップイン（lusrmgr.msc）を含む一部のGUIツールが利用可能になります。

　Windows 10とは異なり、サーバOSではビルトインAdministratorアカウントは“既定で有効”であり、セキュリティ対策として想像しにくい名前に変更するということは決して珍しいことではありません。この問題の影響を受けてしまった場合、ビルトインアカウントの名前を元に戻すこともできなくなります。

　2つ目の問題は、アップグレード時にセットアップ関連の最新の更新プログラムを利用できない場合、または今後提供予定の2020年10月の累積更新プログラムが統合された更新されたインストールメディアを使用しない場合、Windows 10 バージョン1809とWindows Server, version 1809以降で、2020年9月以降の累積更新プログラムがインストールされている環境を、新しいバージョンのインストールメディアを使用してアップグレードすると、「ローカルコンピューター」や「ユーザーの証明書」が失われてしまうというものです。

　問題が再現する要件は複雑ですが、サーバが提供するアプリやサービス、セキュリティ、管理機能の多くは証明書に依存します。この問題の影響を受けた場合、被害は甚大になる可能性があります。

　再現テストでは、Windows Server, version 2004を実行する仮想マシンに「インターネットインフォメーションサービス（IIS）」の「Webサーバー」と「管理サービス」をインストールして構成し、外部の「IISマネージャー」からのリモート管理を有効化して「Default Web Site」へのHTTPSのバインドを行いました。

　この仮想マシンをネットワークから切断し、ISOイメージを使用してWindows Server, version 20H2にアップグレードしたところ、「ローカルコンピューター（LocalMachine）」の「個人（My）」ストアにあった自己署名証明書は失われ、それを使用する管理サービスとWebサイトのHTTPSバインドは機能しなくなりました（画面2）。

画面2　HTTPSとリモート管理を有効にしたIISのOSを新バージョンにアップグレードしたところ、証明書が失われ、HTTPSサイトと管理サービスが機能しなくなった

残念なことは……

　1つ目の問題については現在、Windows 10 バージョン2004とバージョン20H2の機能更新プログラムを対象に、セーフガードホールドの措置が講じられており、問題が解決されるまで、影響を受けるPC（ビルトインアカウントの名前を変更しているPC）にはWindows Updateを通じて自動配布されることはありません（注：「ダウンロードしてインストール」のクリックによる手動更新はブロックされません）。