none
「無線LAN証明書がインストールされてる状態でsysprep」したイメージを展開すると無線LANが使用できないPCがある。 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    表題の通りなんですが
    「無線LAN証明書がインストールされてる状態でsysprep」したイメージを展開すると無線LANが使用できないPCがある。
    という現象に悩まされています。

    以下、拙い説明で申し訳ありません。

    証明書はPC固有ではなく、共通のものを使用。
    証明書ストアにはローカルコンピュータの「個人」と「信頼されたルート証明書」に配置しております。
    こちらを残したままsysprepして展開すると、無線LANに接続できません。
    ただし、しばらく放置すると繋がる端末も有り。挙動が読めない状態です。

    無線LAN証明書の知識もなく恐縮なんですが、
    sysprep前は証明書は削除する必要があるのでしょうか?イメージ展開後に証明書を入れるのが正しいのでしょうか?
    また、その場合は証明書すべて(「個人」と「信頼されたルート証明書」の両方)を削除しておく必要があるのでしょうか?

    何卒よろしくお願いいたします。

    2020年1月25日 2:27
    |

回答

  • Question
    サインインして投票
    2
    サインインして投票

    手動で無線LAN証明書を入れ替えることで、正常に無線LANが動作する状況に改善するのですかね。
    私が関わったことのあるプロジェクトでは、証明書などの配布/適用などは、sysprep前に実施するのではなく、sysprep後に実施していましたので、同様の現象にあたったことがないのですが、以下のURLを確認する限り、任意の証明書でなければ問題ないように読めますね。
    しかしながら、仮に sysprep後のイメージに手動で無線LAN証明書を入れ替えることで、正常に無線LANが動作する状況になるのであれば、運用として後から証明書を配布/適用することを検討しても良いかもしれません。

    Known issues that affect program deployment when you use Sysprep
    https://support.microsoft.com/en-us/help/814616/known-issues-that-affect-program-deployment-when-you-use-sysprep
    + Certificates or Digital Rights Management (DRM) information that is unique to each Windows installation.

    なお、私は使用したことがないのですが、Windowsプロビジョニングフレームワーク を使用することで、無線LAN設定、ルート証明書のインストールすることができるもようです。

    さらに進化したWindows 10の企業向け展開――Sysprepを代替/補完する「プロビジョニングパッケージ」と「Windows AutoPilot」 (1/2)
    https://www.atmarkit.co.jp/ait/articles/1801/24/news008.html
    例えば、「デスクトップデバイス」の場合は、コンピュータ名の命名規則、プロダクトID、プリインストールアプリの削除、無線LAN設定、Active Directoryドメイン参加設定またはAzure AD参加設定またはローカル管理者設定、アプリケーションのインストール(複数のインストーラーの指定)、ルート証明書のインストールを構成することができます。

    今後、sysprepの後に証明書の配布/適用をするのであれば、sysprep前に不必要な証明書は削除したほうが良いかとは思います。

    • 回答としてマーク k-i 2020年6月12日 23:25
    2020年1月25日 18:25
    |
  • Question
    サインインして投票
    2
    サインインして投票

    チャブーンです。

    この件ですが、Sysprepを行う端末では、「個人設定にかかわるもの」や「個別認証にかかわるもの」(プロファイルデータ)は、後付けで展開することをお奨めします。Sysprepが行う「初期化」がどの範囲に及ぶのか、正確にはわからないためです(参考資料はありますが)。

    企業で使用する「エンタープライズ環境」では、証明書など「個別認証にかかわるもの」については、グループポリシーで配布するデザインになっています。Sysprep時にはキッティングで「ドメイン参加」しなければならないため、グループポリシーは最低1度は適用されます。その際にカスタマイズ設定の一環として配布を行うわけです。AD CS(Windows証明機関)を使えば、個別証明書の自動配布は、簡単にできるからです。

    そういうデザインなので、Sysprep後の「プロファイルデータ(個別情報)」に含まれるデータは、依然と変更なく利用できることを保証していない、という理解です。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年1月27日 3:21
    |

すべての返信

  • Question
    サインインして投票
    2
    サインインして投票

    手動で無線LAN証明書を入れ替えることで、正常に無線LANが動作する状況に改善するのですかね。
    私が関わったことのあるプロジェクトでは、証明書などの配布/適用などは、sysprep前に実施するのではなく、sysprep後に実施していましたので、同様の現象にあたったことがないのですが、以下のURLを確認する限り、任意の証明書でなければ問題ないように読めますね。
    しかしながら、仮に sysprep後のイメージに手動で無線LAN証明書を入れ替えることで、正常に無線LANが動作する状況になるのであれば、運用として後から証明書を配布/適用することを検討しても良いかもしれません。

    Known issues that affect program deployment when you use Sysprep
    https://support.microsoft.com/en-us/help/814616/known-issues-that-affect-program-deployment-when-you-use-sysprep
    + Certificates or Digital Rights Management (DRM) information that is unique to each Windows installation.

    なお、私は使用したことがないのですが、Windowsプロビジョニングフレームワーク を使用することで、無線LAN設定、ルート証明書のインストールすることができるもようです。

    さらに進化したWindows 10の企業向け展開――Sysprepを代替/補完する「プロビジョニングパッケージ」と「Windows AutoPilot」 (1/2)
    https://www.atmarkit.co.jp/ait/articles/1801/24/news008.html
    例えば、「デスクトップデバイス」の場合は、コンピュータ名の命名規則、プロダクトID、プリインストールアプリの削除、無線LAN設定、Active Directoryドメイン参加設定またはAzure AD参加設定またはローカル管理者設定、アプリケーションのインストール(複数のインストーラーの指定)、ルート証明書のインストールを構成することができます。

    今後、sysprepの後に証明書の配布/適用をするのであれば、sysprep前に不必要な証明書は削除したほうが良いかとは思います。

    • 回答としてマーク k-i 2020年6月12日 23:25
    2020年1月25日 18:25
    |
  • Question
    サインインして投票
    2
    サインインして投票

    チャブーンです。

    この件ですが、Sysprepを行う端末では、「個人設定にかかわるもの」や「個別認証にかかわるもの」(プロファイルデータ)は、後付けで展開することをお奨めします。Sysprepが行う「初期化」がどの範囲に及ぶのか、正確にはわからないためです(参考資料はありますが)。

    企業で使用する「エンタープライズ環境」では、証明書など「個別認証にかかわるもの」については、グループポリシーで配布するデザインになっています。Sysprep時にはキッティングで「ドメイン参加」しなければならないため、グループポリシーは最低1度は適用されます。その際にカスタマイズ設定の一環として配布を行うわけです。AD CS(Windows証明機関)を使えば、個別証明書の自動配布は、簡単にできるからです。

    そういうデザインなので、Sysprep後の「プロファイルデータ(個別情報)」に含まれるデータは、依然と変更なく利用できることを保証していない、という理解です。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年1月27日 3:21
    |
  • Question
    サインインして投票
    0
    サインインして投票

    フォーラムにご投稿くださいましてありがとうございます。

    この後の状況はいかがでしょうか。

    皆さんから寄せられた投稿はお役に立ちましたか。

    参考になった投稿には「回答としてマーク」をご設定ください。

    ご不明な点がございましたら、お気軽にお問い合わせください

     

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年1月28日 5:55
    |
    モデレータ