記事の概要
Microsoftは、2025年9月にリリースされたセキュリティ更新プログラムが、Windows Server 2025システム上でActive Directory (AD) に問題を引き起こしていることを確認しました。この既知の問題は、Active Directory Domain Services (AD DS) の同期、特にMicrosoft Entra Connect Syncに影響を与えています。
具体的には、10,000を超えるメンバーを持つ大規模なADセキュリティグループの同期が不完全になる可能性があります。
問題の詳細
この同期問題は、Windows Server 2025に2025年9月のWindowsセキュリティ更新プログラム (KB5065426) またはそれ以降の更新プログラムをインストールした後にのみ発生します。Microsoftは、オンプレミスのActive Directory Domain Services (AD DS) のActive Directoryディレクトリ同期 (DirSync) コントロールを使用するアプリケーション、例えばMicrosoft Entra Connect Syncを使用している場合に、大規模なADセキュリティグループの同期が不完全になる可能性があると説明しています。
一時的な回避策と警告
Microsoftのエンジニアリングチームは現在、これらのAD同期問題の解決に取り組んでおり、修正プログラムが利用可能になるまでの一時的な回避策を共有しました。IT管理者は、Microsoft Entra Connect Syncの中断を避けるために、以下のレジストリキーをできるだけ早く追加する必要があります。
- パス:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides - 名前:
2362988687 - 種類:
REG_DWORD - 値:
0
しかし、同社は「レジストリエディターまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合がある」と警告しています。また、これらの問題が解決できる保証はなく、管理者は自己責任でレジストリを変更するよう促しています。
関連する問題と過去の修正
Microsoftは、Windows Server 2025のサポートがMicrosoft Entra Cloud Syncの将来のリリースで計画されていると述べています。また、同社は現在、Windows 11 24H2およびWindows Server 2025デバイスに影響を与える別の既知の問題にも取り組んでいます。この問題は、Windows Update Standalone Installer (WUSA) を使用してネットワーク共有から更新プログラムをインストールする際に、Windows Updateの失敗を引き起こすものです。このバグの修正プログラムはまだすべての顧客にリリースされていませんが、家庭用および非管理対象のビジネスデバイスでは、Known Issue Rollback (KIR) を介して自動的に軽減されています。
過去には、7月に仮想化ベースのセキュリティ (VBS) が有効で信頼できる起動設定が無効になっている場合にAzure VMが起動しないバグを修正するための緊急更新プログラムをリリースしました。その1ヶ月前には、再起動後にWindows Server 2025ドメインコントローラーが到達不能になる原因となっていた既知の問題を解決しています。
今後の展望
Microsoftは、これらのActive Directory同期問題に対する恒久的な修正プログラムの提供に向けて作業を進めています。ユーザーは、公式のWindowsリリースヘルスダッシュボードで最新情報を確認することが推奨されます。