[不具合]10月累積更新プログラムの修正パッチによりAD参加に失敗する

Windows
[不具合]10月累積更新プログラムの修正パッチによりAD参加ができなくなる

10月11日(現地時間)にリリースされた更新プログラムで、「ユーザーに適切な書き込み権限が無い場合、WindowsクライアントのActive Directoryドメイン参加ができなくなる不具合」が確認されています。

この不具合には、10月の更新プログラムに含まれるCVE-2022-38042のセキュリティ機能強化が影響している可能性が高く、Microsoftはこの不具合について言及しています。

情報ソース

Windows Oktober 2022 Patchday: Fix for Domain Join Hardening (CVE-2022-38042) prevents domain join| Born’s Tech and Windows World

不具合が確認された累積更新プログラム

アーザスBlog
 
https://a-zs.net/windowsupdate-202210-b
2022.10.12
[Windows 10・11/Server]2022年10月累積更新プログラム公開!KB5018427、KB5018410...
2022年10月11日(現地時間)、MicrosoftからWindowsの2022年10月の累積更新プログラム(セキュリティ更新プログラム・月例パッチ・「B」リリース・Patch Tuesday・.NET Framework)が公開されました。Windows 11 22H2「KB5018427」、Windows 11 21H2「KB5018418」、Windows 10 21H2/21H1「KB5018410」、Windows Server 2022「KB5018421」、Windows Server 2019「KB5018419」、Windows Server 2016「KB5018411」、Windows Server 2012 R2「KB5018474」、Windows Server 2012「KB5018457」などが含まれています。解決したCriticalな脆弱性...

対象OS

クライアント

  • Windows 11 Version 21H2/22H2
  • Windows 10, Version 21H1/21H2
  • Windows 10 auf Surface Hub
  • Windows 10 IoT Enterprise, version 20H2
  • Windows 10 Enterprise und Education, version 20H2
  • Windows 10 Enterprise Multi-Session, version 20H2

サーバー

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows 10 IoT Core 2019 LTSC
  • Windows 10 IoT Enterprise 2019 LTSC
  • Windows 10 Enterprise 2019 LTSC
  • Windows 10 Windows 10, version 1607
  • Windows RT 8.1
  • Windows 8.1
  • Windows Embedded 8.1
  • Windows Embedded 8 Standard
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Embedded POSReady 7 (ESU)
  • Windows Server 2008 R2 (ESU)
  • Windows 7 (ESU)
  • Windows Server 2008 (ESU)

不具合の症状

症状

10月11日(現地時間)にリリースされた更新プログラムをクライアントにインストールすると、ユーザーが適切な書き込み権限を持っていない場合、クライアントのAD参加に失敗する可能性があります。

不具合の原因は10月の更新プログラムに含まれるCVE-2022-38042によるセキュリティ強化で有効になった変更が原因だと示唆されています。

実際にMicrosoftのセキュリティ強化の記事内で、このドメイン参加が失敗する可能性について記載があります。

[2022 年 10 月 11 日以降の更新プログラムをインストールする前のレガシ動作]
クライアントは同じ名前の既存のアカウントに対してActive Directoryにクエリを実行します。

このクエリはドメインへの参加とコンピューターアカウントのプロビジョニング中に発生します。

このようなアカウントが存在する場合、クライアントは自動的に再利用を試みます。

注:ドメイン参加操作を試行しているユーザーに適切な書き込みアクセス許可がない場合、再利用の試行は失敗します。

ただし、ユーザーが十分なアクセス許可を持っている場合、ドメイン参加は成功します。

KB5020276 – Netjoin: ドメイン参加のセキュリティ強化の変更

回避策

解決方法

【更新プログラム未適用の場合】AD参加後に更新プログラムを適用する

クライアントにまだこの更新プログラムをインストールしていない場合、AD参加後に更新プログラムを適用することでこの不具合は回避可能です。

【更新プログラム適用後の場合1】更新プログラムをアンインストール

10月の累積更新プログラムをアンインストールするとこの不具合が解消する場合があります。

※この更新プログラムをアンインストールすると脆弱性・不具合の修正パッチが全て未適用の状態になります。

▼更新プログラムによって修正される脆弱性・不具合についてはこちらを参照して下さい。

アーザスBlog
 
https://a-zs.net/windowsupdate-202210-b
2022.10.12
[Windows 10・11/Server]2022年10月累積更新プログラム公開!KB5018427、KB5018410...
2022年10月11日(現地時間)、MicrosoftからWindowsの2022年10月の累積更新プログラム(セキュリティ更新プログラム・月例パッチ・「B」リリース・Patch Tuesday・.NET Framework)が公開されました。Windows 11 22H2「KB5018427」、Windows 11 21H2「KB5018418」、Windows 10 21H2/21H1「KB5018410」、Windows Server 2022「KB5018421」、Windows Server 2019「KB5018419」、Windows Server 2016「KB5018411」、Windows Server 2012 R2「KB5018474」、Windows Server 2012「KB5018457」などが含まれています。解決したCriticalな脆弱性...

▼アンインストール方法はこちらの記事を参照して下さい。

アーザスBlog
 
https://a-zs.net/howto-uninstall-kb
2021.03.08
Windows 10/11の更新プログラムをアンインストールする方法
Windows 10の更新プログラムで不具合が発生した場合、更新プログラムをアンインストールすることが直ることがあります。意外に分かりづらい更新プログラムをアンインストールする手順を説明します。Windows 10の更新プログラムをアンインストールする手順▼ボタン > ボタン▼「更新とセキュリティ」▼「更新の履歴を表示する」▼「更新プログラムをアンインストールする」▼更新プログラムの一覧からアンインストールする更新プログラムを探す▼アンインストールする更新プログラムを右クリック > これでアンインストールされます。場合に...

【更新プログラム適用後の場合2】レジストリを編集する

「Born’s Tech and Windows World」のあるユーザーによると、クライアントのレジストリを以下の手順で編集すると不具合が解消したとのことです。

※企業で管理しているPCの場合、必ずIT部門に相談してからレジストリを操作して下さい。

1.レジストリエディタを開き、以下の場所に移動します。

HKLM\System\CurrentControlSet\Control\Lsa

1

2.「NetJoinLegacyAccountReuse」の値を「1」に編集します。

2

NetJoinLegacyAccountReuseが確認できない場合は「DWORD値」で新規作成して下さい。

3.クライアントを再起動して完了です。

MECM(SCCM)を使えば更新プログラム適用がもっと効率的に!

毎月リリースされる更新プログラムの適用をもっと効率化しませんか?

MECMの機能を使えば、1万台もの大量のPCにも同時に更新プログラムを配布、適用させることが可能です。弊社アーザスではMECMの構築から運用までサポートしています。お気軽にご相談下さい!