Microsoftが、Windows 11の最新アップデート(25H2および24H2)において、セキュリティ識別子(SID)の重複を許容しないという新方針を静かに導入したことがわかりました(Neowin)。これは企業やIT管理者にとって重要な変更で、OSのクローンや展開時に注意が必要となります。
Microsoftはサポートドキュメント「Kerberos and NTLM authentication failures due to duplicate SIDs」でこの変更を詳しく説明しています。
NTLMおよびKerberos認証において、重複SIDを持つデバイスは認証に失敗するようになり、以下のような問題が発生する可能性があるとのこと。
- 繰り返し資格情報の入力を求められるようになる。
- 有効な資格情報を使用しても、以下のような画面上のエラーによりアクセス要求が失敗。
- ログイン試行に失敗しました。
- ログインに失敗しました/資格情報が正しくありません。
- マシンIDに部分的な不一致があります。
- ユーザー名またはパスワードが間違っています。
- IPアドレスまたはホスト名経由で共有ネットワークフォルダーにアクセスできない。
- リモートデスクトップ接続が確立できない(Privileged Access Management[PAM]ソリューションやサードパーティーツール経由のRDPセッションも含む)
- フェールオーバークラスタリングが「アクセス拒否」エラーで失敗する
- イベントビューアーには、Windowsログに以下のようなエラーが表示される可能性がある:
- セキュリティログに「SEC_E_NO_CREDENTIALS」エラーが記録される
- システムログに「Local Security Authority Server Service(lsasrv.dll)」のイベントID: 6167が記録され、メッセージには「マシンIDに部分的な不一致があります。このチケットは改ざんされたか、別の起動セッションに属している可能性があります」と表示される
この変更はWindows 11 Version 25H2/24H2、Windows Server 2025でKB5064081またはKB5065426以降の更新プログラムを適用した環境で有効となっています。
目次
対策: Sysprepの活用が必須
Microsoftは、OSの複製や展開時にはSysprepツールを使用してSIDの一意性を確保するよう推奨しています。SysprepはWindowsイメージを「一般化」し、SIDやPC固有情報を削除することで、認証エラーをふせぐことができます。
この変更は、セキュリティ強化の一環として、従来のSID使い回しによるリスクを排除するものとなっています。企業環境でWindowsを展開する際は、今後この要件を前提に設計する必要があります。
