2020/11/02

Windows 10 ver 1903 以降に 10/30 PT に追加された既知の問題がやばいかもしれない件(ver 1809~2004 からの機能更新に影響する場合あり)

2020-10-30 17:16 PT に Windows 10 ver 1903 ~ 20H2 のリリース情報に既知の問題が追加されてます。影響する場合はやばそう。影響しちゃった場合は「前のバージョンの Windows 10 に戻す」でロールバックするしかないらしい。

Windows Update や Microsoft ダウンロード センターからのアップグレードには影響しないです。有効化パッケージ(Windows Update or WSUS)による ver 2004 から 20H2 への更新(切り替え)にも影響しません。

説明を読んでも複雑で、影響するのかしないのか分かり難いですが、再現させてみました。

Certificates may not be present after updating to a newer version of Windows 10
Devices in a managed environment using update management tools or ISO images might lose certificates when updating.(更新管理ツールや ISO イメージで Windows 10 の新しいバージョンに更新すると、証明書が失われちゃうかもしれん)

https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-20h2#1513msgdesc
https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-2004#1513msgdesc
https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-1909#1513msgdesc
https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-1903#1513msgdesc

Windows 10 ver 1809(2020-10 B に更新済み)を Windows 10 ver 20H2 の Visual Studio サブスクライバーに 10/21 JST に公開された ISO メディア(19402.508 ベース、11/2 時点でダウンロードできるやつ)でアップグレードしてみた。確認のため、証明書を使用する Windows Admin Center 2009 をインストールしてから。

「個人」と「信頼されたルート証明機関」に「Windows Admin Center」という証明書があることに注目。


ネットワークを切断した状態(更新プログラムをダウンロードさせないため)で ISO イメージからアップグレード(※ オンラインにしておけばWindows Update から更新プログラムをダウンロードしてくるのでこの問題は発生しない)。

「個人」と「信頼されたルート証明機関」に「Windows Admin Center」の証明書が消失。Windows Admin Center は証明書がなくなってしまい、起動しなくなる(だって HTTPS バインドできなくなるもん)。証明書の消失の他の影響を想像するなら、コンピューター証明書やユーザー証明書に依存する認証とか接続(VPN 接続、SSH 接続とか)がことごとく不能になるかもしれない(リモートワーク環境だと最悪っすね)。

この問題に運悪く遭遇してしまった場合、「前のバージョンの Windows 10 に戻す」しかない。けど、戻せる期限はアップグレード後 10 日以内だから、10 日以内に気付かないと手遅れ(フルバックアップがあれば別ですが)。DISM コマンドで期限を延ばせるけど、期限切れになってたらそれも手遅れ。


既知の問題の説明と、再現してみての発生条件を想像するに、

影響を受ける可能性のある対象は

● Windows 10 ver 1809、2020-09 B 以降に更新済み(OS Build 17763.1457+)

● Windows 10 ver 1903、2020-09 B 以降に更新済み(OS Build 18362.1082+)

● Windows 10 ver 1909、2020-09 B 以降に更新済み(OS Build 18363.1082+)

● Windows 10 ver 2004、2020-09 B 以降に更新済み(OS Build 19042.508+)

で、

● 2020-10 B の品質更新プログラムが統合されていない ISO イメージやインストール ソースを使用した、Windows 10 ver 1903 または ver 1909 または ver 2004 または ver 20H2 へのアップグレード

を、

● Windows Update に接続できない環境で実施した場合。

WSUS で最新の Dynamic Update を承認せずに機能更新プログラムを承認して配布した場合、Microsoft Endpoint Configuration Manager で機能更新プログラムを配布する場合に影響するかも。個人の方でも、手元にある ISO イメージ(問題が解消された ISO イメージは準備中↓)を使って、ネットに接続せずにアップグレードを実施した場合は影響を受けます(再現したとおり)。

企業さんは、"Next steps: We are working on a resolution and will provide updated bundles and refreshed media in the coming weeks." ということです。Windows 10 ver 1903、1909、2004、20H2 の 2020-10 B の品質更新プログラムが統合された新しいインストール メディアの提供を待つ。

もう少し検証(ロールバックなど)して、近日中にメディア記事にするつもり。 

→[緊急報告]Windows 10 バージョン1903以降へのアップグレードで突如判明した「証明書消失問題」とは @IT
https://www.atmarkit.co.jp/ait/articles/2011/11/news008.html

(ver 2004 の問題ありの新 IME は、変換確定だけじゃなく、矢印←↑→↓の入力にも難あり?な気がする→「設定」の「Microsoft IME」の「全般」にある「以前のバージョンの Microsoft IME を使う」をオンで解消 )

11/16 追記)11/16 JST 現在、Windows 10 のダウンロード(https://www.microsoft.com/ja-jp/software-download/windows10)から作成した ver 20H2 のインストールメディア(USB or ISO)は、OS ビルド 19042.572(2020-10 B 込み、以前のメディアは .508 だった)。この問題は解消済み(たぶん)。VS サブスクに更新された ISO は未提供。

11/19 追記)この問題が解決されている更新済み機能更新プログラムと ISO の状況。

WSUS は ver 1909、ver 2004、ver 20H2 の更新済み機能更新プログラム(リリース日:2020年11月10日)が提供済み。

Visual Studio サブスクは ver 1909 と ver 2004 向けの更新メディア提供される(リリース日:19/Nov/2020、説明では”Refreshed media was released November 3, 2020 on Volume Licensing Service Center (VLSC) and Visual Studio Subscriptions” となってますが...数日前まではなかったような...)。ver 20H2 の ISO はまだ。

コメント欄にあるように ver 1903 は EOS もうすぐ(2020/12/8 PT)なので、更新済みメディアの提供はない模様。

12/14 追記) 20H2 用のメディアも公開。

"Refreshed media was released December 3, 2020 on Visual Studio Subscriptions (VSS, formerly MSDN Subscriptions) and December 7, 2020 on Volume Licensing Service Center (VLSC). "

投稿者 時刻:
ラベル:

4 件のコメント:

  1. 匿名2020/11/10 9:11:00

    いつも楽しく拝見しております。

    当該記事の問題、当方の環境でも再現しました。同じようにアップグレードを試したところ、とある証明書が消失しました。

    当面は、時間はかかりますがネット接続ありのアップグレードにて対処しようと思います。

    返信削除
  2. 匿名2020/11/17 6:18:00

    いつも拝見させて頂いております。

    こちらも検証にて同事象が発生しています。
    インターネットに抜けられない環境でWSUSから機能更新プログラムを撒こうとしていたため、もろに本事象の影響を受けており、配信計画の中断を余儀なくされています。

    Dynamic Updateですが、去年Microsoftのサポートに聞いたところ、1809以降からはインターネット接続でなければダウンロードされない(=WSUSからは撒けない)仕様になったのことでした。

    そのため、当方のようなオフライン環境でWSUSから撒きたい場合は、本事象の修正を含んだ新しい版の機能更新プログラムがMicrosoftからリリースされるのを待つしかないと思っています。

    返信削除
  3. 匿名2020/11/19 7:59:00

    2020/11/17にコメントした者です。
    2020/11/19現在のWindowsリリース正常性ダッシュボードの情報ですが、

    2004,1909については、Resolvedステータスになっていました。
    2020/11/9に修正版のWSUSおよびMicrosoft Endpoint Configuration Managerからの配信用の機能更新プログラムがリリースされ、
    2020/11/3に修正版のメディアがVLSCおよびVSSのダウンロードサイトに公開された
    とのことです。
    ーーーーー
    Certificates may not be present after updating to a newer version of Windows 10
    https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-2004#1513msgdesc

    Certificates may not be present after updating to a newer version of Windows 10
    https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-1909#1513msgdesc
    ーーーーー
    Resolution: This issue is now resolved when using the latest feature update bundles and refreshed media. Feature update bundles were released November 9, 2020 for Windows Server Update Services (WSUS) and Microsoft Endpoint Configuration Manager. Refreshed media was released November 3, 2020 on Volume Licensing Service Center (VLSC) and Visual Studio Subscriptions (VSS, formerly MSDN Subscriptions). For information on verifying you're using the refreshed media, see How to address feature update refreshes in your environment. If you are using or creating custom media, you will need to include an update released October 13, 2020 or later.
    ーーーーー

    20H2はMitigatedで、
    2020/11/9に修正版のWSUSおよびMicrosoft Endpoint Configuration Managerからの配信用の機能更新プログラムがリリースされたが、
    修正版のメディアは別の問題(LSASS.exeの不具合)の修正も行った上で、VLSCおよびVSSのダウンロードサイトに数週間以内に公開予定とのこと。
    ーーーーー
    Certificates may not be present after updating to a newer version of Windows 10
    https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-20h2#1513msgdesc
    ーーーーー
    Next Steps: This issue is now resolved when using the latest feature update bundles that were released November 9, 2020 for Windows Server Update Services (WSUS) and Microsoft Endpoint Configuration Manager. Refreshed media is not yet available for Windows 10, version 20H2 on on Volume Licensing Service Center (VLSC) and Visual Studio Subscriptions (VSS, formerly MSDN Subscriptions). Refreshed media for VLSC and VSS will be released in the coming weeks to address this issue and the known issue here that requires a media refresh is resolved. Please check the known issue here for the status of the remaining Windows 10, version 20H2 known issue. For information on verifying you're using the latest feature update bundles, see How to address feature update refreshes in your environment. If you are using or creating custom media, you will need to include an update released October 13, 2020 or later.
    ーーーーー


    1903はMitigatedで、
    2020/12/8にサポート切れるからもっと上のバージョンにしてね
    とのことでした。
    ーーーーー
    Certificates may not be present after updating to a newer version of Windows 10
    https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-20h2#1513msgdesc
    ーーーーー
    Next steps: Windows 10, version 1903 and Windows Server, version 1903 will reach end of service on December 8, 2020 and will no longer receive monthly security and quality updates after that date. We recommend you update the devices in your environment to a later version of Windows 10 or Windows Server, which have this issue resolved.
    ーーーーー

    返信削除
  4. 匿名2020/11/19 11:03:00

    最初のコメントを記入した者です。

    メディア作成ツールを用いてインストールメディアを作成し、ダイナミックアップデートなしで更新をかけてみました。

    以前のメディアではとある証明書が消失しましたが、新たに作成したメディアでは証明書が消えることなく、アップグレードを終えることができました。

    有用な情報、ありがとうございました。

    返信削除

注: コメントを投稿できるのは、このブログのメンバーだけです。

登録: コメントの投稿 (Atom)