Windows Server 2016の製品ライフサイクルとサポート終了日(End of LifeCycle《EOL》、End of Support《EOS》)である2027年1月12日までまだ1年以上ありますが、対策に着手するには遅すぎるくらいです。前回は、非推奨になった機能と削除された機能を1つにまとめたUTF-8(BOM付き)CSVファイルを作成したことをお伝えしました。
FeturesDepricatedOrRemoved.csv のダウンロード (.txt形式はこちら)
この一覧の上から移行プロジェクトに影響するであろう項目についてピックアップしながら説明します。影響を受ける機能が多いため、複数回に分けて説明します。
SMBv1は今は使われなくなった“はず”のレガシプロトコル
一覧のトップは「Computer Browser」サービスの非推奨化です。これに関連する項目として「SMB version 1(SMBv1)」「SMB 2 and later over NetBT」「Windows Internet Name Service (WINS)」があります。
SMBv1は初期のWindows(Windows XPおよびWindows Server 2003 R2以前)のファイルとプリンターの共有の標準プロトコルでした。SMB 1.0/CIFSやMS-SMBと表現される場合もあります。Windows VistaおよびWindows Server 2008でSMB 2.0が登場し、Windows 8およびWindows Server 2008 R2でSMB 3.0が登場しました。現在のSMBバージョンは、Windows 10およびWindows Server 2016以降のSMB 3.1.1です。SMBv1は、Windows Server 2016の時点で既に非推奨のプロトコルです。
現在、製品ライフサイクルが有効なWindowsのすべてのバージョンで3.1.1が利用可能です。Windows Server 2012/2012 R2の拡張セキュリティ更新プログラム(ESU)を利用している場合でも、SMB 3.0.2を利用可能です。ちなみに、SMB 2.0以降はSMB 3.xを含めてSMB2(MS-SMB2)という同じプロトコルファミリです。かつては、LinuxやmacOS、NAS(ネットワーク接続型ストレージ)との共存環境でSMBバージョンの互換性が問題になることがありましたが、現在ではすべてのプラットフォームでSMB2(MS-SMB2)を利用可能になっています。そして、Windows 10バージョン1709以降およびWindows Server 2019から既定ではインストールされなくなりました。
SMBv1はもう不要なプロトコルというわけです。SMBはアプリケーションプロトコルですが、その下のトランスポートにも影響します。SMBv1は、NetBIOS over TCP/IP(NBT)(137/UDP・TCP、138/UDP、139/TCP)を使用します。一方、SMB2はDirectHost SMB(445/TCP)が必須となり、NBTも引き続き利用できます。NBTにおいて、Computer BrowserサービスやWINSはNetBIOS名の名前解決に使用されます。非推奨のSMBv1が使用する、これらのトランスポートおよびサービスも非推奨というわけです。一方、DirectHost SMBではDNS(ドメインネームシステム)やmDNS(Multicast DNS)、LLMNR(Link-Local Multicast Name Resolution)などのTCP/IPで一般的な名前解決方法を使用します。
何らかの理由があってSMBv1を引き続き利用したい場合は、明示的に有効化する必要があります。詳しくは、以下のドキュメントを参照してください。
Windows で SMBv1、SMBv2、および SMBv3 を検出、有効化、無効化する|Windows Server(Microsoft Learn)
Windows Server 2016では、ファイルサービスの役割を構成すると(共有の作成など)、Windowsファイアウォールの送受信規則の「ファイルとプリンターの共有」グループが有効化されました。Windows Server 2025からは、NBTの許可を含まない「ファイルとプリンターの共有(制限付き)」グループが有効されるように変更されました*1。既定でSMBv1が無効なことに加えて、WindowsファイアウォールでもSMBv1の使用がブロックされるようになっています(画面1)。
*1 「ファイルとプリンターの共有(制限付き)」グループでは、DirectHost SMB、Microsoft RPC、ICMPv4/v6エコー、およびLLMNRが許可されます。DNSとmDNSの許可は、「コア ネットワーク」と「mDNS」グループに含まれます。
画面1 Windows Server 2025で共有フォルダーを作成すると、従来の「ファイルとプリンターの共有」グループではなく、NBTの許可を含まない「ファイルとプリンターの共有(制限付き)」グループが有効化される
ネットワーク負荷分散(NLB)は非推奨に、将来の削除に備えて
次は、Windows Server 2025から新たに非推奨一覧に加わった「Network Load Balancing (ネットワーク負荷分散、NLB)」について。NLBはWindows 2000 Serverで正式に組み込まれたWindows Serverの標準機能であり、複数のサーバー(フロントエンドのWebサーバーなど)に対するネットワークアクセスを負荷分散することができます(画面2)。
画面2 NLBはWindows Serverの初期バージョンから利用可能なネットワーク負荷分散機能。Windows Server 2025で非推奨に
NLBはWindows Server 2025でも引き続き利用可能ですが、非推奨化されたため、将来のバージョンで削除される可能性に備えておきべきです。Windows Serverのソフトウェア定義のネットワーク(Microsoft SDNv2)機能の一部である「ソフトウェアロードバランサー(SLB)」に移行することを検討することをお勧めします。Microsoft SDNv2の一部であるため、これまでのNLBのようにGUIツールで簡単に構成することはできません。
SDN に対するソフトウェア ロード バランサー (SLB) の概要|Azure(Microsoft Learn)
NTLMのすべてのバージョンは近い将来廃止予定
Windows Server 2025で非推奨になった認証プロトコル「NTLM」、関連するものとして、Windows Server 2025から削除された「NTMv1」について。以下のMicrosoft Japan Windows Technology Support Blogの記事で説明されているように、MicrosoftはNTLMを非推奨とし、廃止までのスケジュールを発表しています。
NTLM の廃止に向けた対応について|Microsoft Japan Windows Technology Support Blog(日本マイクロソフト)
The evolution of Windows authentication|Windows IT Pro Blog(Microsoft Community Hub)
その第一弾として、Windows Server 2025およびWindows 11バージョン24H2からは、NTLMの初期のバージョンであるNTLMv1のサポートを削除しました。また、これらのOSではNTLMをブロックするポリシー設定が新たに利用可能になりました。
SMB で NTLM 接続をブロックする|Windows Server(Microsoft Learn)
Active Directoryドメイン環境ではよりセキュリティの高いKerberos認証が使用できますが、非ドメイン環境やIPアドレス指定など、NTLMが使用されるシナリオは多数存在します。MicrosoftはKerberos認証が利用できない環境における対応策(IAKERBおよびLocal KDC)を導入予定ということですが、その後、状況に変化はありません。現時点では、NTLM認証を使用しなくてもよい環境を整備することが重要です。
TLS 1.0/TLS 1.1は既定で無効
Windows Server 2025では「TLS 1.0/TLS 1.1」が非推奨となり、既定で無効になりました。
インターネット標準ではTLS 1.0/1.1は、セキュリティ問題を理由に数年前から非推奨または禁止されています。主要なWebブラウザーやインターネットサイト、サービスのほとんどは、TLS 1.2以降に移行済みです。Microsoftは2023年8月に非推奨とし、以降のWindowsでは既定でTLS 1.0/1.1を無効にしました。また、製品ライフサイクルとして、TLS 1.0/1.1のサポートを2024年10月31日に終了しました。
2024 年 10 月 31 日までに終了する TLS 1.0 と TLS 1.1 のサポート|ライフサイクル(Microsoft Learn)
TLS 1.0/1.1のサポートが必要な場合、以下のドキュメントの手順でWindowsでTLS 1.0/1.1の使用を再有効化することで利用できますが、これは推奨されない方法です。TLS 1.0/1.1のサポートが必要な状況を排除するべきです(TLS 1.2以降への移行など)。
Windows での TLS 1.0 と TLS 1.1 の廃止|Windowsアプリ開発(Microsoft Learn)
Windows Server 2016は、TLS 1.0/1.1からTLS 1.2以降への移行期にありました。そのため、Windows Server 2016ではアプリケーションやスクリプトが、通信先のサイトやサービスのTLS 1.0/1.1廃止の影響を受けて、突然エラーになることがありました。この問題を回避するためにOSレベルで、あるいはスクリプトでTLS 1.2を強制(PowerShellスクリプトで最初に[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12を追加するなど)しなければならないことがありましたが、最新OSではそのような対応は必要ありません。
