Insider's Eye

Windows XP SP2の展開に失敗しないために(2)

デジタルアドバンテージ
2004/08/24

XP SP2適用による不具合情報

 英語、日本語を含め、XP SP2の適用によって生じる互換性問題などの情報公開が進みつつある。今後も順次拡大していくと思われるが、現時点で公開されている情報を以下にまとめよう。

 ハードウェア/ソフトウェア・ベンダ各社は、XP SP2との互換性を独自に調査し、結果の公表や、障害回避の方法などを解説したXP SP2関連情報ページを公開している。これらは、以下のマイクロソフトのページに一覧されている。自分が使っている製品に関する情報がないかどうか、調べる必要があるだろう。

大幅に強化されたグループ・ポリシーと、GPEditでの問題

 XP SP2では、グループ・ポリシーが大幅に強化され、600を超える新しいポリシー設定が追加された。これらを管理する方法、XP SP2に付属する.ADM(Administrative Template)ファイルの全リスト情報が公開されている。

 ただしマイクロソフトのサポート技術情報によれば、XP SP2の新しい.admファイルは、古いGPEdit(グループ・ポリシー・エディタ)ではエラーが発生して正しくロードできないので対処が必要とのことだ。

 これについては、Windows 2000 SP4向け、Windows Server 2003向けの修正プログラム(日本語対応版)が公開されている。

Windowsファイアウォールに関連する問題

 関連記事にもあるとおり、XP SP2では、Windowsファイアウォールがデフォルトで有効化される。これによりリモート攻撃に対する安全性は高まるが、一方で既存アプリケーションとの互換性問題が懸念されていた。

 予想どおり、XP SP2の適用で不具合を起こすソフトウェアは少なくなかった。これらについては、すでにマイクロソフト自身からも情報が提供されている。OfficeやVisual Studioなどのマイクロソフト製品を始め、他社製品を含めて多数のアプリケーションがリストアップされている。

 基本的な傾向としては、ネットワーク管理ツールなど、リモートからクライアントに接続して制御する「リモート管理系ソフト」、クライアント向けにサービスを提供する「サーバ系ソフト」で問題が起こっている。業務アプリケーションの中で、これらの機能を使っているものがある場合は入念なテストが必要である。

 これ以外にも、WindowsファイアウォールによりTCP 445番ポートがブロックされることから、リモート制御機能が使えなくなるWindows付属のMMCツール一覧の情報が公開されている。

 Windowsファイアウォールのトラブルに対処するには、次のドキュメントが役立つだろう。

 マイクロソフト社以外の製品における、ファイアウォール関連のトラブルとその対策については、先の「各メーカー別 Windows XP Service Pack 2 関連情報」などを参照していただきたい。それらの情報によると、以下のような対策が必要とされている。

■ファイル共有などへのアクセスの拒否
 ファイル共有が禁止されている場合は、Windowsファイアウォールの「ファイルとプリンタの共有」を許可する。

■RPCが利用できない
 WindowsファイアウォールでMS-RPCのポート(TCPの135番)を許可するように設定する。

■SQL ServerやMSDEなどのデータベースへ接続できない
 WindowsファイアウォールでSQL ServerやMSDEが使用しているポート(TCPの1433番)へのアクセスを許可する。

■特定のアプリケーションで使用するポートへアクセスできない
 Windowsファイアウォールの[プログラムの追加]で、アプリケーションの実行ファイルを登録し、そのプログラムの実行中は外部からのアクセスを許可するように設定する。

■DCOMのアクセスが拒否される
 XP SP2ではDCOM関連のセキュリティ機能が強化されているので(リモートからのDCOMサービスへのアクセスに制限が加えられている)、必要ならば制限が緩くなるように設定する。

MBSA 1.2で互換性問題

 XP SP2をコンピュータに適用すると、パッチ適用状況モニタのMBSA 1.2(Microsoft Baseline Security Analyzer V1.2)が正しく機能しなくなる互換性問題がある。この問題を回避するには、マイナー・バージョンアップ版のMBSA 1.2.1を以下から入手する必要がある。

 ヘルプによれば、MBSA 1.2.1では次の点が改善、拡張されているという。

  • XP SP2のWindowsファイアウォール設定チェック

  • XP SP2使用時、レポート印刷または[結果の詳細情報]のクリックで表示されていた不必要な確認への対処

  • XP SP2での新しい送信接続に対する制限

  • ベースライン・スキャン・コマンドライン・オプションに、MBSAでサポートされるすべてのセキュリティ更新が表示されないという問題への対処

  • Service Pack のスキャン結果レポートの改善

BizTalk Server 2004で重大な障害

 マイクロソフトのBLOG情報によれば、XP SP2を適用すると、BizTalk Server 2004が不具合を起こすという。

 発生する問題は以下の2つである。

1.XP SP2適用によってDCOMのセキュリティ・モデルが変更され、BizTalkの機能が停止してしまう。問題を回避するには、以下のドキュメントを読んでレジストリを修正する。修正を実施するまでBizTalk Serverは機能しない。これはかなり重大な問題だ。

2.XP SP2に含まれる.NET Framework 1.1 SP1が引き起こす障害。詳細は不明だが、BizTalk Server 2004のビジネス・ルール・エンジンに影響があるもよう(ビジネス・ルール・エンジンを使っていなければ障害は発生しない)。

ループバック・アドレスに接続するソフトウェアで障害

 XP SP2を適用すると、本来は127.0.0.0/8が利用できるはずのローカル・ループバックIPアドレスが127.0.0.1しか認識されなくなるという問題がある。

 この問題により、WebブラウザのSSL通信を使って社外から会社に接続して、社内のWebアプリを利用可能にするSSL-VPN製品などで障害が発生しているもようである。

ベンダ独自の問題

 ベンダ独自の互換性問題などもすでにいくつか報告されており、かなり重大な問題もある。すでにマイクロソフトが公式に情報を公開しているいくつかをご紹介しよう。

 Toshiba Bluetooth Stackのバージョンが3.00.11以前のWindows XP SP1コンピュータに対してXP SP2を適用すると、コンピュータが自動的に再起動してしまうなど重大な問題である。

 XP SP2を実行している東芝製PCでIP電話プログラムを使用している場合、接続終了時に通話が切断されない場合があり、繰り返し切断しようとすると、コンピュータが予期せず終了する場合があるという。

 ここではたまたま先に情報が公開された東芝製品の問題ばかりをご紹介したが、他ベンダの製品でも、独自ドライバ/独自アプリケーションなどとの互換性問題により、同じような障害が発生する可能性がある。Windowsファイアウォールなどとは異なり、これらは予想が難しい。また特にドライバの互換性問題では、ひとたび障害が起こると重大な問題になりやすいのでやっかいである。情報収集は欠かせないが、最終的には手元の環境に対する独自のテストが不可欠だろう。

 XP SP2の組織的な適用には慎重を期すべきである。管理者としては、続々と公開される情報に目を光らせながら、自社への展開計画を練る必要があるだろう。End of Article

  関連リンク
  HotFix Report BBS
 
 

 INDEX
  Insider's Eye
    Windows XP SP2の展開に失敗しないために(1)
  Windows XP SP2の展開に失敗しないために(2)

更新履歴
【2004/08/24】「大幅に強化されたグループ・ポリシーと、GPEditでの問題」の見出し部分で、対応修正プログラムはWindows 2000 SP4向けだけを表記していましたが、Windows Server 2003向けの修正プログラムもすでに公開されていました。本文中にこの情報も追加しました。

 「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT