none
IA64 または x64 の EFI ブートの Windows 7 および Windows Server 2008 R2 環境に 8 月に公開された更新プログラムを適用した場合、Windows OS が正常に立ち上がらない場合がある RRS feed

  • Question

  • (本記事はマイクロソフト社員によって公開されております。)

    こんにちは、Windows Commercial Device チームです。

    8月および 9 月に公開された更新プログラムを適用後に、Windows OS が正常に立ち上がらない事象が報告されています。
    以下、その現象の詳細や回避方法についてご説明させていただきます。

    現象:

    次のいずれかの更新プログラムをインストールしてOSを再起動すると、正常に OS が起動しない場合があります。

        August 17, 2019—KB4512514 (Preview of Monthly Rollup)
        https://support.microsoft.com/en-us/help/4512514/

        August 13, 2019—KB4512486 (Security-only update)
        https://support.microsoft.com/en-us/help/4512486/

        August 13, 2019—KB4512506 (Monthly Rollup)
        https://support.microsoft.com/en-us/help/4512506/

        Update for Windows 7 SP1 and Windows Server 2008 R2 SP1: August 16, 2019
        https://support.microsoft.com/en-us/help/4517297/

        September 24, 2019—KB4516048 (Preview of Monthly Rollup)
       
    https://support.microsoft.com/en-us/help/4516048/

        September 10, 2019—KB4516033 (Security-only update)
        https://support.microsoft.com/en-us/help/4516033/

        September 10, 2019—KB4516065 (Monthly Rollup)
        https://support.microsoft.com/en-us/help/4516065/


    今回の問題は、技術情報 (KB) の既知の問題として次のように公開されています。ファイル winload.efi に関するエラー (Status: 0xc0000428) で起動が失敗する旨が記載されていますが、本エラーが表示されずに [システム回復オプション] へ遷移する場合もございます。

    現象 回避策

    7 月 10 日の更新プログラム後にプロビジョニングした、または推奨される更新プログラム (KB3133977) をスキップした、EFI ブートを使用する IA64 デバイス (任意の構成) と x64 デバイスは、次のエラーで起動に失敗する場合があります。

    "ファイル: \Windows\system32\winload.efi

    状態: 0xc0000428

    情報: このファイルのデジタル署名を検証できません。"

    この問題を解決するには、SHA-2 のサポート FAQ の記事に記載されているエラー コード 0xc0000428 に関する手順に従ってください。



    発生条件:

    次の 1) – 3) の条件をすべて満たす場合 (AND 条件)、今回の問題に該当します。

    1) OS バージョンが IA64 または x64 のWindows 7 SP1、または、Windows Server 2008 R2 SP1 
    2) EFI ブート構成
    3) 更新プログラム (KB3133977) が未適用

          BitLocker can't encrypt drives because of service crashes in svchost.exe process in Windows 7 or Windows Server 2008 R2
    https://support.microsoft.com/en-us/help/3133977/

    更新プログラム (KB4474419) は 9 月に更新 (*1) され、 SHA-2 に対応しているブートマネージャが含まれました。このため、9 月に更新された KB4474419 を利用している場合に限り、本現象は発生いたしません。

    (*1)
    Windows Server 2008 R2、Windows 7、Windows Server 2008 で SHA-2 コード署名をサポートするための更新プログラム: 2019 年 9 月 24 日
    https://support.microsoft.com/ja-jp/help/4474419/
    --------------------
    このセキュリティ更新プログラムは 2019 年 9 月 11 日に更新され、x64 ベース バージョンの Windows 7 SP1、Windows Server 2008 R2 SP1、および Windows Server 2008 SP2 でスタートアップ エラーを回避するためにブート マネージャー ファイルが追加されました。
    --------------------

    原因:


    2019 年 8 月 13 日以降にリリースされる OS の更新プログラム (サービシング スタックを含む) では、デュアル署名が廃止され、 SHA-2 のみの対応となりました。
    この対応に伴い、起動処理に関連するモジュール winload.efi も SHA-2 のみの署名へと変更されておりますが、 winload.efi の署名検証を行うブートマネージャーが、公開されている更新プログラムに含まれていないため、署名検証に失敗し、OS を起動に失敗します。


    回避策:
    A) 事前回避、および、B) 現象発生後の観点に分けて回避策をご案内いたします。

    A) 事前回避

     
    以下の順序にて適用をお願いいたします。3 つ適用が完了したら再起動ください。その後、目的の更新プログラムを適用ください。
    1. KB4490628
    2. KB4474419 (9 月に更新 (*1) された更新プログラムを利用した場合、3 は不要)
    3. KB3133977

    補足) KB4490628 及び KB4474419 は SHA-2 署名への変更に伴い、8月以降にリリースされる OS の更新プログラムの適用の前提条件となっております。詳細につきましては以下のサポート要件をご確認ください。
    Windows および WSUS の 2019 SHA-2 コード署名サポートの要件
    https://support.microsoft.com/ja-jp/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus
    なお、上記 1-3 の更新プログラムにて既に適用済の更新プログラムが存在する場合、その更新プログラムを再度適用いただく必要はございません。

       Servicing stack update for Windows 7 SP1 and Windows Server 2008 R2 SP1: March 12, 2019
      
    https://support.microsoft.com/en-us/help/4490628/
       SHA-2 code signing support update for Windows Server 2008 R2, Windows 7, and Windows Server 2008: August 13, 2019
      
    https://support.microsoft.com/en-us/help/4474419/
       BitLocker can't encrypt drives because of service crashes in svchost.exe process in Windows 7 or Windows Server 2008 R2
      
    https://support.microsoft.com/en-us/help/3133977/


            B) 現象発生後の回避について

    すでに事象が発生して回復オプションが表示されている状況からの復旧手順です。
    恐れ入りますが、以下の手順を実行いただき、Windows OS が正常に起動するかご確認ください。
    もし、回復オプションが表示されていない場合は、後述の [メディアブートを行う方法] をご確認ください。

    [復旧手順]
    1. [システム回復オプション] にて、言語 及び キーボード入力方式を選択して、[次へ] をクリックします。
    2. [システム回復オプション] にて、管理者アカウントのパスワードを入力し、[OK] をクリックします。
    3. [システム回復オプション] にて、[コマンド プロンプト] をクリックします。
    4. notepad コマンドを実行し、[メモ帳] を起動します。
    5. [ファイル] - [開く] をクリックします。
    6. [開く] ダイアログより、[コンピューター] を開き、現在認識しているドライブのうち、
        OS がインストールされいてるドライブ (Windows フォルダーや Program Files フォルダーがあるドライブ) を確認します。
        以降の手順では、OS がインストールされているドライブが D ドライブである状況を前提として記述します。
    7. 以下のコマンドを実行し、インストールの保留状態を解除します。
       dism /image:D:\ /cleanup-image /revertpendingactions

       * "操作は正常に完了しました。" が表示された後に、以下のエラーが表示される場合がありますが、このエラーは無視して次の手順に進んでください。
       ---------------
       エラー: 5
       イメージのサービス コンポーネントを閉じるときにエラーが発生しました。
       数分間待ってからコマンドを再実行してください。
       ---------------

    8. コマンドプロンプトを終了させ、[システム回復オプション] の [再起動] をクリックします。正常に OS が起動するかご確認ください。
    9. OS が再起動した場合は、以下の 3 つの更新プログラムをインストールします。
       (既にインストールされている場合もありますので、その場合はスキップください)
      
    (9 月に更新 (*1) された4474419 を適用す場合、3133977はインストール不要です)          

       BitLocker can't encrypt drives because of service crashes in svchost.exe process in Windows 7 or Windows Server 2008 R2
    https://support.microsoft.com/en-us/help/3133977/

       SHA-2 code signing support update for Windows Server 2008 R2, Windows 7, and Windows Server 2008: August 13, 2019
    https://support.microsoft.com/en-us/help/4474419/

            Servicing stack update for Windows 7 SP1 and Windows Server 2008 R2 SP1: March 12, 2019
    https://support.microsoft.com/en-us/help/4490628/

    10. OS を再起動します。
        *重要: 8 月 (または 9 月) の更新プログラムを適用する前に必ず再起動します。
    11. 8 月(または 9 月)の更新プログラムを適用し、再起動します。
            

    [メディアブートを行う方法]
    お手元に OS のインストールメディア または Windows PE メディアがある場合は、メディアから起動し、[コンピューターの修復] - [コマンド プロンプト] を起動します。
    お手元にない場合は、以下の手順で メディアを作成することができます。

    1. 以下の URL にアクセスします。
       Windows 10 のダウンロード
    https://www.microsoft.com/ja-jp/software-download/windows10
    2. 「ツールを今すぐダウンロード」 をクリックし、"MediaCreationTool1903.exe" をダウンロードします。
    3. "MediaCreationTool1903.exe" を実行します。
    4. [適用される通知とライセンス条項] にて、[同意する] をクリックします。
    5. [実行する操作を選んでください] にて、”別の PC のインストール メディアを作成する” にチェックを入れ、[次へ] をクリックします。
    6. 言語、アーキテクチャ、エディションにて、任意のオプションを選択します。(既定値の  日本語、Windows 10、64 ビット (x64) で問題ございません。) [次へ] をクリックします。
    7. OS をブートさせる USB フラッシュ ドライブ を作成するか、ISO ファイルをダウンロードするか選択し、[次へ] をクリックします。
       (ア) USB フラッシュドライブの場合は、任意の USB メモリを接続し、ウィザードに従って作成します。
       (イ) ISO ファイルダウンロードの場合は、ダウンロードフォルダーを選択し、ISO イメージをダウンロードします。ダウンロード完了後、DVD メディアへのコピーをお願いいたします。
    8. 作成したメディアを使って、事象発生端末をブートします。
    9. [Windows セットアップ] にて、[次へ] をクリックします。
    10. [Windows セットアップ] にて、ウィンドウ左下の [コンピューターを修復する] をクリックします。
    11. [トラブル シューティング] - [コマンド プロンプト] をクリックします。
    以降は、先述の [復旧手順] の 4. より作業を進めてください。

    本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。



    Friday, August 23, 2019 9:58 AM
    Owner