Windowsアップデートが認証障害を引き起こす:重複SIDが原因
マイクロソフトは、2025年8月29日以降にリリースされたWindowsアップデートが、セキュリティ識別子(SID)を共有するシステムで認証を妨害していることを確認しました。この問題は、KerberosおよびNew Technology LAN Manager(NTLM)認証の失敗につながり、広範囲にわたる影響を及ぼしています。
問題の詳細と影響
Windowsは、ユーザーアカウント、グループ、コンピューターアカウントを追跡および管理するために、一意の英数字文字列であるセキュリティ識別子(SID)を使用します。オペレーティングシステムは、アカウント名に依存する代わりに、アクセス制御、権限管理、セキュリティ監査のために内部的にSIDを使用します。
マイクロソフトが火曜日に公開したサポートドキュメントによると、「2025年8月29日以降にリリースされたWindowsアップデートには、SIDのチェックを強制するセキュリティ保護が追加されており、デバイスが重複するSIDを持っている場合に認証が失敗する原因となっています。この設計変更により、そのようなデバイス間の認証ハンドシェイクがブロックされます。」
影響を受けるシステムと具体的な症状
この認証障害は、Windows 11 24H2、Windows 11 25H2、およびWindows Server 2025システムで発生し、以下のような幅広い問題を引き起こす可能性があります。
- リモートデスクトップ接続の失敗
- ネットワーク上のリソースへのアクセス時に「アクセス拒否」エラー
- 有効な資格情報を使用してもログイン試行が失敗
ログイン失敗時には、以下のエラーメッセージが表示されることがあります。
- Login attempt failed.
- Login failed/your credentials didn’t work.
- There is a partial mismatch in the machine ID.
- The username or password is incorrect.
影響を受けるデバイスでは、イベントビューアにSEC_E_NO_CREDENTIALSエラーが記録され、ローカルセキュリティ機関サーバーサービスのエラーとして「There is a partial mismatch in the machine ID. This indicates that the ticket has either been manipulated or it belongs to a different boot session.」という警告が表示されます。
問題の根本原因:Sysprepの不使用
マイクロソフトは、この重複SIDの問題が、Sysprep(システム準備)ツールを使用してイメージング用に準備されていないWindowsインストールをクローンまたは複製した場合に発生すると説明しています。Sysprepによって有効になるSIDの一意性は、2025年8月29日以降のWindowsアップデートをインストールしたWindows 11バージョン24H2および25H2、ならびにWindows Server 2025でのOS複製に必要です。
マイクロソフトの推奨する解決策
マイクロソフトは、IT管理者に、重複するSIDを持つシステムを、Windowsインストールのクローン作成または複製のためのサポートされている方法を使用して再構築するよう助言しています。これにより、認証の問題を解決できます。
また、一時的な対処法として、特別なグループポリシーをインストールおよび構成することも可能です。ただし、このグループポリシーは、マイクロソフトのビジネス向けサポートに連絡することでしか入手できません。