Windows Server 2022 — トラブルシュート¶
Windows Server 2022 — トラブルシュート(既知の問題と対処)
| 症状 | 原因 | 対処手順 | 関連ログ・コマンド | 出典 |
|---|---|---|---|---|
| Group Policy が想定どおり適用されない | 適用順序(LSDOU: Local→Site→Domain→OU)、リンク順、継承ブロック、Security Filtering / WMI フィルタ、CSE 障害 | 1) gpresult /h report.html で実適用 GPO とフィルタ結果確認 2) Group Policy 操作ログ Event Viewer: Applications and Services Logs > Microsoft > Windows > GroupPolicy / Operational 3) gpupdate /force でクライアント側強制更新 4) SYSVOL レプリケーション健全性を dfsrdiag で確認(DFSR 環境) |
gpresult, gpupdate, dfsrdiag, Get-GPInheritance, Event Viewer (GroupPolicy/Operational) | S61 |
| ドメインコントローラ間レプリケーション失敗 | DNS 解決失敗、Kerberos / time skew、レプリケーション パートナー喪失、SYSVOL DFSR 障害 | 1) repadmin /replsummary でフォレスト全体の状況把握 2) repadmin /showrepl 3) dcdiag /v /c で総合診断(DNS, Replication, RIDManager 等) 4) w32tm /query /status で時刻同期確認(5 分以内ずれ要件) 5) DFSR 健全性は dfsrdiag pollad / dfsrdiag backlog で確認 |
repadmin /replsummary, repadmin /showrepl, dcdiag, w32tm, dfsrdiag, Event Viewer (Directory Service) | S13 |
| Failover Cluster ノードがクラスタから離脱 | ハートビート失敗(ネットワーク/NIC タイミング、QoS)、Quorum 喪失、ストレージ I/O タイムアウト | 1) Failover Cluster Manager で「Validate Cluster」実行(Test-Cluster でも可) 2) クラスタイベント Event Viewer: Microsoft-Windows-FailoverClustering/Operational を時系列確認 3) Get-ClusterNode -State Down / Get-ClusterNetwork でハートビートネットワーク状態確認 4) Quorum 設定を再評価(Cloud witness 等の追加検討) 5) Storage はクラスタ共有ボリュームの SCSI Reservation を Test-StorageHealth 等で診断 |
Test-Cluster, Get-ClusterNode, Get-ClusterNetwork, Get-ClusterLog, Test-StorageHealth | S58, S60 |
| Storage Spaces Direct ボリュームが Detached / Degraded | ドライブ抜去、ストレージプール容量不足、リバランス進行中、ノード障害、ドライブのファームウェア不一致 | 1) Get-VirtualDisk / Get-PhysicalDisk -Health で異常デバイス特定 2) Get-StorageJob でリバランス・再構築ジョブ確認(自動進行を待つ) 3) Reset-PhysicalDisk / Add-PhysicalDisk で交換手順 4) ストレージプールの空き容量が足らない場合は容量追加 5) ドライブ ファームウェアの一括更新(CAU の S2D 用拡張) |
Get-VirtualDisk, Get-PhysicalDisk, Get-StorageJob, Reset-PhysicalDisk, Get-StoragePool | S37 |
| Hyper-V VM の起動失敗・Live Migration 失敗 | SLAT 非対応 CPU / 仮想化拡張無効、メモリ不足、SecondLevelAddressTranslation 必須機能不一致、ストレージ ACL 不足、SMB Direct/Multichannel 構成不整合 | 1) BIOS / UEFI で Intel VT-x / AMD-V 有効、SLAT 確認(Coreinfo) 2) Get-VMHost / Get-VMHostSupportedVersion で互換性確認 3) ストレージへのコンピュータアカウント (Hyper-V Host$) 権限確認(SMB 共有時) 4) Live Migration 認証方式(CredSSP / Kerberos)と Constrained Delegation 構成見直し 5) Hyper-V イベントログ: Microsoft-Windows-Hyper-V-VMMS-Admin / Microsoft-Windows-Hyper-V-Worker |
Coreinfo, Get-VMHost, Move-VM, Compare-VM, Event Viewer (Hyper-V-VMMS), winrm | S55, S56 |
| TLS 接続失敗(クライアント/サーバが古い TLS のみ提供) | Windows Server 2022 で TLS 1.3 / 1.2 既定有効、対向側が SSL 3.0 / TLS 1.0 のみで合意できない | 1) Schannel Operational ログ確認(Event Viewer: Microsoft-Windows-Schannel/Operational, EventLogging=4 等で詳細化) 2) Test-NetConnection / openssl s_client で実プロトコル/暗号合意を確認 3) 一時的に旧 TLS を再有効化するか、対向アプリの TLS 1.2 アップグレード対応 4) Cipher suite の順序を Get-TlsCipherSuite / Set-TlsCipherSuite で調整 |
Event Viewer (Schannel), Get-TlsCipherSuite, Test-NetConnection, openssl, regedit (SCHANNEL) | S23, S24 |
| WSUS で Windows 11 22H2 クライアント更新が失敗 | WS2022 上の WSUS が Unified Update Platform (UUP) の MIME タイプを IIS で持っていない | 1) Microsoft 公式 KB に従い WSUS サーバの IIS へ UUP 関連 MIME を追加 2) IISReset 後、wsusutil checkhealth 3) クライアント側で wuauclt /resetauthorization /detectnow(または Restart-Service wuauserv) 4) WSUS は deprecated 製品なので、長期戦略として Microsoft Update / Intune / Azure Update Manager への移行も検討 |
wsusutil, IIS Manager, IISReset, wuauclt, sfc /scannow | S47, S11 |
| Hotpatch 更新が適用されない / 再起動を求められる | Hotpatch 非対応 SKU、ベースライン LCU 月、Container Base Image / Custom Image での実行、Hotpatch サブスク未契約 (WS2025 Arc) | 1) Get-HotFix で実適用パッチ確認、Get-ComputerInfo で OS SKU/Edition 確認 2) Hotpatch 対応 SKU か Microsoft 公式リストで照合(Datacenter Azure Edition / Hotpatch SKU) 3) ベースライン LCU 月は再起動が必要 — 保守窓を確保 4) Azure Arc 経由(WS2025)で Hotpatch を使う場合、月額サブスクが有効か確認 |
Get-HotFix, Get-ComputerInfo, Azure Update Manager, Azure Automanage status | S12 |
| BitLocker が起動時に Recovery Key を要求し続ける | TPM PCR 構成変更、UEFI Secure Boot 設定変更、ブート パーティション変更、BIOS / UEFI ファーム更新 | 1) manage-bde -protectors -get C: で現在のプロテクタ確認 2) manage-bde -unlock C: -RecoveryPassword 3) ファーム更新前に manage-bde -protectors -disable C: -RebootCount 1 で 1 回猶予 4) AD / Microsoft Entra ID にエスクロー済みの Recovery Key を確認 (Get-BitLockerRecoveryKey) |
manage-bde, Get-BitLockerVolume, Suspend-BitLocker, Backup-BitLockerKeyProtector | S25 |
| DNS-over-HTTPS (DoH) 解決でドメイン参加 / Kerberos 認証失敗 | DoH リゾルバが内部 AD DNS を解決せず、ドメインコントローラ・SPN レコードが引けない | 1) Get-DnsClientDohServerAddress で構成を確認 2) AD ドメイン環境では内部 DNS をプライマリにし DoH は使わない(Set-DnsClientDohServerAddress を Auto/Off に) 3) ipconfig /flushdns、ipconfig /registerdns で再登録 4) クライアント側 Group Policy で DoH ポリシーを統一 |
Get-DnsClientDohServerAddress, Resolve-DnsName, ipconfig, nltest /dsgetdc | S2, S27 |
| NTLMv1 認証が突然失敗するようになった | Windows Server 2022 以降、NTLMv1 は削除/無効化が進行(NTLMv2 も deprecated) | 1) Event Viewer: Security ログで監査結果から NTLM バージョン特定 2) Group Policy 'Network Security: LAN Manager authentication level' を Send NTLMv2 response only / refuse LM & NTLM へ 3) アプリを Negotiate(Kerberos 優先)に切替 4) どうしても NTLMv1 が必要な旧アプリは隔離 + 期限を区切った代替計画を立てる |
Event Viewer (Security), gpedit.msc, klist, nltest | S11, S21 |