• 会員限定
  • 2020/03/20 掲載

セルフサポートが困難に、マイクロソフトの古いサポート情報にどう対応すべきか?

山市良のマイクロソフトEYE

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
いいね!でマイページに保存して見返すことができます。
マイクロソフトはこれまで何度か、自社の公式サイトやオンラインドキュメントの刷新、公式ブログのプラットフォームの変更を繰り返してきました。一方で、これまで公開されてきた膨大なサポート技術情報へのアクセスは、製品のサポート終了後も継続的に利用可能です(一部、削除されてしまったものもあります)。しかし、その内容にはサイトの変更は反映されていないことがあり、セルフサポートを難しくする場合があります。

マイクロソフト公式サイトやサポート技術情報の変遷

 マイクロソフトのWebサイトは、数年前に完全に常時SSL/TLS化され、HTTPSでなければアクセスできなくなりました。また、マイクロソフトのオンラインドキュメントや公式ブログは、ここ数年で次のように変更されています。

【旧】 technet.microsot.com、msdn.microsoft.com
 ↓
【現在】 docs.microsoft.com
【旧】 blogs.technet.com、blogs.technet.microsoft.com
 ↓
【現在】 techcommunity.microsoft.com
【旧】 blogs.msdn.com、blogs.msdn.microsoft.com
 ↓
【現在】 devblogs.microsoft.com

 そして、オンラインセルフサポートの1つとして誰もが無料アクセスできる「サポート技術情報(Knowledge Base、KB)」と呼ばれていたものは、「Microsoftサポート(Microsoft Support)」のヘルプになり、URLは以下のように変更されました(ja-jp/やen-us/など<言語/>の指定部分は省略できます)。以降では、このヘルプのドキュメントのことを、便宜上「Microsoftサポート情報」と表現します。

【旧】 support.microsoft.com/kb/文書番号/<言語/>
 ↓
【現在】 support.microsoft.com/<言語>/help/文書番号/

2019年8月のセキュリティアドバイザリへの影響

 Microsoftサポート情報は、製品のサポートポリシー上、サポート終了後も最低12か月利用可能(固定ライフサイクルポリシーに明記)とされていますが、実際にはそれ以上の長い期間利用可能になっています。古い製品対象にしたものについては削除されている場合がありますが、Windows NTやWindows XPを対象としたものでも今もなおアクセス可能なものは多くあります。

 2019年8月、セキュリティ強化を目的とした「Active Directoryドメインサービス(AD DS)」のドメインコントローラーや「Active Directoryライトウェイトディレクトリサービス(AD LDS)」の既定の挙動の変更を案内する以下のセキュリティアドバイザリADV190023が公開され、公式ブログを通じて周知が行われました(2020年2月末にAD LDSは対象から除外されました)。

 思うように周知されなかったのか、2020年3月に予定されていたWidows Updateのセキュリティ更新プログラムを用いた既定の挙動の変更の実施措置は、2020年後半に延期されました。

2019年8月のセキュリティアドバイザリADV190023

 このセキュリティアドバイザリはActive Directoryドメインのシステム管理者が対処すればよいもので、一般の利用者には関係ありません。影響を受ける可能性がある場合も、延期されたため時間的な猶予があるので、上記のセキュリティアドバイザリに従って必要なアクションを行ってください。

 今回、このセキュリティアドバイザリを取り上げたのは、セキュリティアドバイザリの「推奨される操作」で案内されている参照先のMicrosoftサポート情報に10年前のものがあり、マイクロソフトがその後行ってきたさまざまな変更がもろに影響し、読み解くのに一苦労するだろうと感じたからです。

 問題のMicrosoftサポート情報は、Windows Server 2008を対象におそらく2009年に初めて公開された以下のものです。“おそらく”と断ったのは、Microsoftサポート情報は最終更新日(この例の場合は2019年11月16日)は記載されていますが、公開日の情報はないからです。公開日が最終更新日で上書きされてしまうことも問題だと思いますが、内容にも各所に問題があります。

WINDOWS Server 2008 で LDAP 署名を有効にする方法(自動翻訳) https://support.microsoft.com/ja-jp/help/935834/
How to enable LDAP signing in Windows Server 2008
https://support.microsoft.com/en-us/help/935834/

 このMicrosoftサポート情報の問題を例に、正しく読み解くための留意点や、失われた情報にアクセスするためのヒントを紹介します。

 その前に、自動翻訳されたMicrosoftサポート情報には誤訳やミスが含まれるので、なるべくオリジナルの英語情報で確認することをおすすめします。たとえば、上記のMicrosoftサポート情報の日本語版で「desk.cpl」となっているものは、オリジナルでは「ldp.exe」です。「desk.cpl」はディスプレイの設定を呼び出すものなので、なぜこの文字列が入り込んだのか、なんとも不思議な自動翻訳システムです。

適用対象がWindows Server 2008/2008 R2だけどいいの?

 セキュリティアドバイザリADV190023が対象としているのは、Wndows Server 2008 SP2以降のAD DSのドメインコントローラー(LDAPサーバー)、およびWndows Server 2008 SP2およびWindows 7 SP1以降のクライアント(LDAPクライアント)です。

 しかし、問題となっているMicrosoftサポート情報は、Windows Server 2008/2008 R2のドメインコントローラーやAD LDSのLDAPサーバー向けに10年前に作成された内容であり(AD LDSはセキュリティアドバイザリの対象外です)、Windows Server 2012以降のドメインコントローラーやLDAPサーバーにも適用されるものか、ページトップの「適用対象(Applies to)」を参照しても判断できません(画面1)。

画像
画面1:2020年に行われるLDAPの既定のセキュリティ強化の影響範囲と、LDAP署名を事前にテストする方法を説明するMicrosoftサポート情報の適用範囲(Applies to)が異なる

 そこで筆者は、Windows Server 2016のテスト環境を構築して実際にこのMicrosoftサポート情報の内容を実施しました。レジストリのパスに一部ミスはありましたが、Windows Server 2012以降にも適用できるようです。

【次ページ】リンクをクリックするとMicrosoft DocsのトップにリダイレクトまたはHTTP403
関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます