ADDSとADCSのローリングアップグレード_ADDS and ADCS Rolling Upgrade

AD DSとAD CSのローリングアップグレード wSCUGJ Microsoft MVP Cloud and Datacenter Management 指崎 則夫, Norio Sashizaki 2025年12月06日

ご注意  本セッションの内容は、所属社の見解ではありません。  本セッションの内容で、正式リリースや、正式情報に見当たらない情報をあつかうことがあります。  本セッションの内容は、発表時点の情報に基づくこと、ご了承ください。  略称は下記のとおりです。 用語定義 略称 Active Directory AD Active Directory Domain Service AD DS Active Directory Domain Controller AD DC Active Directory Certificate Service AD CS Public Key Infrastructure PKI Certificate Authority CA Internet Information Service IIS Baseboard Management Controller BMC Out-of-Band Management、帯域外管理 OOB 2025/12/06 2

自己紹介  指崎則夫（さしざきのりお） http://sashiz.seesaa.net → http://sashiz.wordpress.com → http:// sshzk.blogspot.com http://www.slideshare.net/noriosashizaki/ https://www.docswell.com/user/sshzk https://speakerdeck.com/sashizaki https://www.facebook.com/norio.sashizaki https://mstdn.jp/web/@sshzknr @sshzk https://www.linkedin.com/in/norio-sashizaki-a4208a89/ SCUGJ運営スタッフ  Microsoft MVP Cloud and Datacenter Management 2014/01～2026/06  Windows Server 2016、Windows Server 2019、 Windows Server 2022、Windows Server 2025、 System Center 2025、Azure Local/Azure Stack HCI /S2D 、 Azure Stack Hub、Windows Admin Centerなど  写真撮影  ガンプラ… 2025/12/06 3

• http://sashiz.seesaa.net
• http://www.slideshare.net/noriosashizaki/
• https://www.docswell.com/user/sshzk
• https://speakerdeck.com/sashizaki
• https://www.facebook.com/norio.sashizaki
• https://mstdn.jp/web/@sshzknr
• https://www.linkedin.com/in/norio-sashizaki-a4208a89/

アジェンダ  べし・べからず  標準的な移行パターンのおさらい  マルチホーム構成になっていた  AD DSのローリングアップグレード  パッチ適用が塩漬けだった  AD CSのローリングアップグレード  特定イベントIDが未対応だった  サイトが孤立した   留意事項 想定外事例  AD フォレストおよびドメイン機能レベル  特定のイベントIDが断続的に記録された  マルチホーム構成   IPv6 AD CSの証明書Web登録URLにアクセ スできなくなった  AD DS以外との同居  既知の問題と通知  パッチ適用の塩漬け  特定イベントIDの対応  まとめ  参考情報 2025/12/06 4

べし・べからず 2025/12/06 5

べし・べからず (1/2)   べし・べからずについては、とても良いコンテンツがあるのでご紹介します。  ドメイン コントローラーの構築時に言われないと気付かないこと https://jpwinsup.github.io/blog /2023/10/23/ActiveDirectory/Authentication/designconsideration/  上記に対して、NTTデータ先端技術 小鮒氏がコメントを記載したものが下記です。  AD DS Do's and don'ts（べしべからず）- 1 https://www.intellilink.co.jp/column/ms/2024/010900.aspx  AD DS Do's and don'ts（べしべからず）- 2 https://www.intellilink.co.jp/column/ms/2024/052400.aspx それ以外に下記のコンテンツからもご紹介します。  Azure Local のクラウド デプロイに関するネットワークに関する考慮事項 - DNS サーバーに関する考慮事項 https://learn.microsoft.com/ja-jp/azure/azure-local/plan/cloud-deployment-networkconsiderations#dns-server-considerations より下記を引用します。   Azure Local に使用される DNS サーバーは、デプロイ前に外部であり、運用可能である必要があります。 Azure ローカ ル仮想マシンとして実行することはサポートされていません。 以上について、次ページに引用・抜粋します。 2025/12/06 6

• https://jpwinsup.github.io/blog/2023/10/23/ActiveDirectory/Authentication/design-consideration/
• https://www.intellilink.co.jp/column/ms/2024/010900.aspx
• https://www.intellilink.co.jp/column/ms/2024/052400.aspx
• https://learn.microsoft.com/ja-jp/azure/azure-local/plan/cloud-deployment-network-considerations#dns-server-considerations

べし・べからず (2/2)  べし     構成 べからず  非推奨  バックアップの取得  AD DCの前にNATを使わない  必要なポートの開放  AD DCの前にロードバランサーを使わない  PDCエミュレータの機能を持つAD DCへの外部 NTP設定  マルチホーム構成にしない  AD CS、DHCPと同居しない  Exchange Server、SQL Serverと同居しな い  フェールオーバー クラスター環境でドメイン コント ローラーをノードとして追加しない  Azure Localクラスター内に仮想マシンとして AD DCを置かない 仮想環境  ホストOS/仮想化基盤との時刻同期を切る  バックアップとしてスナップショットを使わない  差分仮想ハードディスクを使わない  長期にわたる一時停止をしない  Azure DNSでは、仮想ネットワークにカスタムの DNSを設定  Azure仮想マシンで日本語の言語パックを適用 後に、Windows Updateを適用 個人の私見  NTTデータ先端技術 小鮒氏の書かれている意 見に賛成で、当方もAD DCは単独利用とすべ しです  個人の私見  Windows Server 2012 R2 以降では発生 しませんが、優先DNSサーバーに127.0.0.1を 設定すること  IPv6の併用も避けた方が無難 2025/12/06 7

標準的な移行パターンのおさらい 2025/12/06 8

凡例） AD DSのローリングアップグレード (1/2)  AD DCが2台かつ、認証が常に2台で行われるよう一時的なAD DCを配置した例です。 物理マシン AD DC 仮想マシン 臨時 新規 追加 臨時の仮想マシンをAD DCへ昇格します。 仮想マシンのAD DCを降格し、別のホスト名/IP アドレスを付与します。必要に応じてドメインからの 脱退までを実施します。 新規仮想マシンのホスト名/IPアドレスを降格した AD DCのホスト名/IPアドレスへ変更します。その 後AD DCへ昇格します。 新規仮想マシンにFSMOを移行します。 物理マシンのAD DCを降格し、別のホスト名/IPア ドレスを付与します。必要に応じてドメインからの脱退 までを実施します。 新規物理マシンのホスト名/IPアドレスを降格した AD DCのホスト名/IPアドレスへ変更します。その 後AD DCへ昇格します。 新規物理マシンにFSMOを移行します。臨時の仮想 マシンをAD DCを降格します。必要に応じて機能レ ベルをアップグレードします。 2025/12/06 臨時の仮想マシン、新規仮想マシン、新規物理マシ ンを構築します。なお今回構築するAD DCとは別の ホスト名/IPアドレスを付与します。 9

凡例） AD DSのローリングアップグレード (2/2)  物理マシン AD DC 仮想マシン 臨時 別ホスト名にて、AD DCが2台かつ、認証が常に2台で行われるよう一時的なAD DCを配置した例です。 新規 追加 臨時の仮想マシンをAD DCへ昇格します。 DNSの自動起動を無効化後に、仮想マシンのAD DCを降格し、別のIPアドレスを付与します。必要 に応じてドメインからの脱退までを実施します。 新規仮想マシンのIPアドレスを降格したAD DCの IPアドレスへ変更します。その後AD DCへ昇格しま す。 新規仮想マシンにFSMOを移行します。 DNSの自動起動を無効化後に、物理マシンのAD DCを降格し、別のIPアドレスを付与します。必要に 応じてドメインからの脱退までを実施します。 新規物理マシンのIPアドレスを降格したAD DCの IPアドレスへ変更します。その後AD DCへ昇格しま す。 新規物理マシンにFSMOを移行します。臨時の仮想 マシンをAD DCを降格します。必要に応じて機能レ ベルをアップグレードします。 2025/12/06 臨時の仮想マシン、新規仮想マシン、新規物理マシ ンを構築します。なお今回構築するAD DCとは別の ホスト名/IPアドレスを付与します。 10

AD CSのローリングアップグレード (1/2)  公式情報は、下記のとおりです。  証明機関を別のサーバーに移動する方法 https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/certificates-and-publickey-infrastructure-pki/move-certification-authority-to-another-server  べし・べからずに記載いる非推奨構成である「AD DCとの同居」の場合は、先に設定保全の上でAD CSを削除 します。 2025/12/06 11

• https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/certificates-and-public-key-infrastructure-pki/move-certification-authority-to-another-server

凡例） 現マシン AD CSのローリングアップグレード (2/2)  AD CS 新マシン AD CSのローリングアップグレード概要は、下記の通りです。 現マシンの証明機関より、証 明書テンプレートをメモします。 （エンタープライズCAのみ） 現マシンより、CAデータベース と秘密キーをバックアップします。 現マシンより、AD CSの役割 を削除します。 AD CS削除後、サーバー名を 変更、ADドメインから脱退後 ネットワークから切り離します。 レジストリをインポートします。 CAデータベースを復元します。 現マシンより、CAのレジストロ イ設定をエクスポートします。 新マシンにAD CSをインストー ルします。 ※サーバー名を引き継ぐ場合とそうでな い場合で若干手順が異なります。 メモした証明書テンプレートの設定 を複製するため、証明書テンプレー トを手動で追加または削除します。 （エンタープライズCAのみ） 2025/12/06 現マシンより、CRL配布ポイン ト構成をエクスポートします。 新マシンで、Certificate Serviceサービスを停止します。 12

留意事項 2025/12/06 13

AD フォレストおよびドメイン機能レベル  最新のAD フォレストおよびドメイン機能レベルは、Windows Server 2025です。  その下位バージョンは、 Windows Server 2016です。  このフォレストおよび機能レベルをサポートする最小バージョンとなるWindows Server 2016は、2027年1月 12日にサポート終了となります。   Windows Server 2016 https://learn.microsoft.com/ja-jp/lifecycle/products/windows-server-2016 以上のことから、AD フォレストおよびドメイン機能レベルがWindows Server 2012 R2以下かつ、 Windows Server 2016以下の場合、2026年内の移行が必要です。 2025/12/06 14

• https://learn.microsoft.com/ja-jp/lifecycle/products/windows-server-2016

マルチホーム構成   べからずに記載しましたが、マルチホーム構成は非推奨です。  ADの負荷分散は、DNSラウンドロビンに依存しており、マルチホーム構成下で到達不可能なIPアドレスが返却さ れる可能性があります。  このため、名前解決の失敗、それに伴う認証失敗が想定されます。 マルチホーム構成でなくても、下記に加えて、DNSサーバーがリッスンするネットワークインタフェースを認証 を行うIPセグメント一つに絞る方がトラブルを避けられると考えます。  マルチホーム ドメイン コントローラー上の DNS に不要な NIC を登録しないようにする手順 https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/networking/unwantednic-registered-dns-mulithomed-dc  BMCもしくはOOBコントローラーが、USB NICを追加する設定においても注意が必要です。 つまり意図せず、マルチホーム構成になることがあるとご理解ください。 2025/12/06 15

• https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/networking/unwanted-nic-registered-dns-mulithomed-dc

IPv6  IPv6を使用しないのであれば、IPv6の無効化を検討します。 2025/12/06 16

AD DS以外との同居    AD CSと同居しない  ドメイン コントローラーの構築時に言われないと気付かないこと https://jpwinsup.github.io/blog/2023/10/23/ActiveDirectory/Authentication/design-consideration/  上記に記載されている非推奨の理由を下記に抜粋します。  AD CSとAD DSが同居していると、ADの昇格や降格に支障をきたします。  バックアップからの復元に伴い、失効したはずの証明書が失効できなくなります。  切り分けの難易度が上がります。 DHCPと同居しない  ドメイン コントローラーにインストールされている動的ホスト設定プロトコル (DHCP) サーバーのサービスをオフにするか削除する https://learn.microsoft.com/ja-jp/services-hub/unified/health/remediation-steps-ad/disable-or-remove-the-dhcpserver-service-installed-on-any-domain-controllers  上記には、AD DSの動作にDHCPは必要ないこと、セキュリティ上の理由からDHCPをインストールしないことを推奨とあります。 Exchange Server、SQL Serverと同居しない  ドメイン コントローラーの構築時に言われないと気付かないこと https://jpwinsup.github.io/blog/2023/10/23/ActiveDirectory/Authentication/design-consideration/  上記には、同居は非推奨とあります。  Exchange Serverについては、公式資料に同居を非推奨とする記載があります。  ドメイン コントローラーへの Exchange のインストールはお勧めしません https://learn.microsoft.com/ja-jp/exchange/plan-and-deploy/deployment-ref/ms-exch-setupreadinesswarninginstallexchangerolesondomaincontroller?view=exchserver-2019 2025/12/06 17

• https://jpwinsup.github.io/blog/2023/10/23/ActiveDirectory/Authentication/design-consideration/
• https://learn.microsoft.com/ja-jp/services-hub/unified/health/remediation-steps-ad/disable-or-remove-the-dhcp-server-service-installed-on-any-domain-controllers
• https://learn.microsoft.com/ja-jp/exchange/plan-and-deploy/deployment-ref/ms-exch-setupreadiness-warninginstallexchangerolesondomaincontroller?view=exchserver-2019

既知の問題と通知   Windows Server 2022とWindows Server 2025は、既知の問題と通知が公開されています。  Windows Server 2025 の既知の問題と通知 https://learn.microsoft.com/ja-jp/windows/release-health/status-windows-server-2025  Windows Server 2022 既知の問題と通知 https://learn.microsoft.com/ja-jp/windows/release-health/status-windows-server-2022 適宜、チェックされてはいかがでしょうか。 2025/12/06 18

• https://learn.microsoft.com/ja-jp/windows/release-health/status-windows-server-2025
• https://learn.microsoft.com/ja-jp/windows/release-health/status-windows-server-2022

パッチ適用の塩漬け (1/3)  近年、脆弱性対策に伴い、複数フェーズのパッチ適用となる場合があります。   具体例を次に提示いたします。 想定外事例は、別途でご紹介します。 2025/12/06 19

パッチ適用の塩漬け (2/3) 補足）下記URLに記載されている記事から、特に認証に影響があるものをピックアップしました。なお複数の適用フェーズを持つ更新プログラムの有無も合わせて確認いたしました。 https://jpwinsup.github.io/blog/categories/Active-Directory/Authentication/ 出典元）複数フェーズで成り立つ「Active Directoryの脆弱性対策」とは――その意図は？ 詳細は？ https://atmarkit.itmedia.co.jp/ait/articles/2411/19/news004.html 2025/12/06 20

• https://jpwinsup.github.io/blog/categories/Active-Directory/Authentication/
• https://atmarkit.itmedia.co.jp/ait/articles/2411/19/news004.html

パッチ適用の塩漬け (3/3) 出典元）新たに見つかったActive Directoryの脆弱性対策と認証問題、その対処方法は？ https://atmarkit.itmedia.co.jp/ait/articles/2507/28/news006.html 2025/12/06 21

• https://atmarkit.itmedia.co.jp/ait/articles/2507/28/news006.html

特定イベントIDの対応  前述した CVE-2022-37966 への対応とその影響について https://jpwinsup.github.io/blog/2022/12/29/ActiveDirectory/Authentication/kerbe ros-protocol-changes-related-to-cve-2022-37966/  上記に関連して、イベントソース Microsoft-Windows-Kerberos-Key-Distribution-Center、イベントID 42への対応が必要となる場合があります。    具体的には、「通常 krbtgt アカウントに AES のキーが存在しないケースとしてはドメイン機能レベル 2003 以前より運用 されてきた環境である可能性がございます。」との記載が上記URLにあります。 上記URLに記載されている対応策は、ドメイン機能レベルとして2008以降になっていれば、krbtgtアカウントの パスワードリセットです。 特定イベントIDの対応が未実施だったことによる想定外事例は、別途でご紹介します。 2025/12/06 22

• https://jpwinsup.github.io/blog/2022/12/29/ActiveDirectory/Authentication/kerberos-protocol-changes-related-to-cve-2022-37966/

想定外事例 2025/12/06 23

マルチホーム構成になっていた  BMCもしくはOOBコントローラーが、USB NICを追加していたため意図せずマルチホーム構成 となっていた。  解決策として、下記を実施した。  DNSサーバーがリッスンするネットワークインタフェースも認証を行うIPセグメント一つに絞った。  BMCもしくはOOBコントローラーが追加したUSB NICを無効化した。   ホストOS上からの無効化を実施した。  別の方法として、 BMCもしくはOOBコントローラーのUSB NICを無効化も考えられます。 マルチホーム構成と、IPv6有効化に伴うIPv6 DNSサーバー自動設定により、想定外事象と なった可能性が別件で見受けられた。  解決策として、下記を実施した。  各NICにおいて、IPv6を無効化した。 2025/12/06 24

パッチ適用が塩漬けだった  パッチ適用が最新の状態である新マシンをAD DCに昇格したところ、認証失敗が発生した。  この時点で直ちに切り戻しを発動した。  新マシンのAD DCを降格し、ホスト名/IPアドレスを昇格前に戻した。  別のホスト名/IPアドレスになっていた現マシンを元のホスト名/IPアドレスに戻してから、AD DCへ再昇格した。  18ページに記載されている、直ちに認証拒否となるパッチが新マシンに適用された状態となっていた。  解決策として、下記を実施した。  現AD DCマシンに対して、複数回のパッチ適用を実施いただいた。   Kerberosの脆弱性に対するパッチ適用においては、次の更新プログラムまで7日+10時間の間隔を設けることを推奨とした。 上記を確認ののち、改めて旧マシンからAD DCを降格後、新マシンをAD DCに再昇格した。 2025/12/06 25

特定イベントIDが未対応だった   Windows Server 2025をAD DCに昇格後、下記の事象が発生した。  昇格したAD DCにログオン/サインインできない。  他AD DCのサイトとサービスにおいて、昇格したAD DCのオブジェクトが作成されない。  昇格したAD DCのSRVレコードが他AD DCのDNSに作成されない。 1時間ほど経過しても状況が改善しないため、切り戻しを実施した。  該当AD DCのシャットダウンした。  昇格したAD DC情報に関して、他AD DCよりメタデータクリーンアップと同様の設定切り戻し、DNSレコードの削除を実施した。  降格していたサーバーを再ドメイン参加し、AD DCへ再昇格した。  切り戻し後も事象が続いたが、 30分ほどログオン/サインイン可能となり、AD DCとしての動作確認できた。  検証の再現ならびにサポートへの問合せを行い、イベントソース Microsoft-Windows-Kerberos-KeyDistribution-Center ID、イベントID 42への対応が必要と判断した。  ドメイン機能レベルとして2008以降であったことから、krbtgtアカウントのパスワードリセットを実施した。 2025/12/06 26

凡例） サイトが孤立した  マルチサイト構成のADドメインで、ハブアンドスポークのネット ワーク接続を有した状態。  スポークサイトにあるAD DC 2台を順次ローリングアップグレー ド中、最後の2台目を降格した時点で孤立した。   旧マシン AD DC 新マシン 新規 追加 サイト A スポークサイト内のAD DCにおけるプライマリDNSサーバー設定は、 スポークサイト内AD DCのみで襷掛け、セカンダリDNSサーバー 設定はハブサイトの片方のみを指定していた。 右図のホストAを想定ください。 B ハブサイト 解決策として、下記を実施した。  ターシャリ（第３）DNSサーバーとして、ハブサイトのもう片方を 指定します。 右図のホストBを想定ください。  スポークサイトのAD DCが孤立したと判断される場合に限り、接 続オブジェクトを手動作成します。  接続オブジェクトが自動作成された場合、 手動作成した接続オブジェクトは削除する方法も 併用しました。 ②孤立 ① 降 格 スポークサイト 2025/12/06 スポークサイト 27

特定のイベントIDが断続的に記録された  イベントソース Microsoft-Windows-Kerberos-Key-Distribution-Center、イベントID 7がAD DC上で断続的に記録された。  調査の結果、下記の公式情報に行き当たった。  Windows Server 2025 ベースのドメイン コントローラーでイベント ID 7 が断続的に記録される https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/windowssecurity/event-id-7-on-domain-controllers  上記URLに下記の記載あり。 アカウント名が空白の場合、これらのイベントは無視しても問題ありません。 2025/12/06 28

• https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/windows-security/event-id-7-on-domain-controllers

AD CSの証明書Web登録URLにアクセスできなくなった  http://CAServerName/Certsrvにアクセスできない。  Windows Server 2025 IISにて、SSLを要求する設定となっていた。  下記に基づき、SSLを要求する設定を無効化した。   IIS 7 以降で SSL を設定する方法 - SSL の設定を構成する https://learn.microsoft.com/ja-jp/iis/manage/configuring-security/how-to-set-up-sslon-iis#configure-ssl-settings-2 HTTP通信ではなく、別途、証明書を関連づけてHTTPS通信とする方法もあります。 2025/12/06 29

• http://CAServerName/Certsrv
• https://learn.microsoft.com/ja-jp/iis/manage/configuring-security/how-to-set-up-ssl-on-iis#configure-ssl-settings-2

まとめ 2025/12/06 30

まとめ  他にも観点があると思いますが、下記を一例としてローリングアップグレード前に確認してはいかがでしょうか。  問題を引き起こすようなイベント、既知の問題と通知を確認し、必要に応じて対策を実施。  パッチ適用状況が最新なのかを確認し、必要に応じて対策を実施。  AD DS  新しい AD DC を昇格可能な AD フォレストおよびドメイン機能レベルか否か。  マルチホーム構成ではないこと。  IPv6は有効化されているか否か。  AD DS以外と同居しているか否か。  AD CS  SHA 256  証明書の有効期限、失効リストはどうか。  証明書の登録方法はどうなっているか。  エンタープライズCAを廃止する場合は少ないと思いますが、廃止する場合は手順があります。  Windows エンタープライズ証明機関の使用を停止し、関連するすべてのオブジェクトを削除する方法 https://learn.microsoft.com /ja-jp/troubleshoot/windows-server/certificates-and-public-keyinfrastructure-pki/decommission-enterprise-certification-authority-and-remove-objects 2025/12/06 31

• https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/certificates-and-public-key-infrastructure-pki/decommission-enterprise-certification-authority-and-remove-objects

参考情報 2025/12/06 32

参考情報(1/2)  ドメイン コントローラーの構築時に言われないと気付かないこと https://jpwinsup.github.io/blog/2023/10/23/ActiveDirectory/Authentication/design-consideration/  AD DS Do's and don'ts（べしべからず）- 1 https://www.intellilink.co.jp/column/ms/2024/010900.aspx  AD DS Do's and don'ts（べしべからず）- 2 https://www.intellilink.co.jp/column/ms/2024/052400.aspx  Azure Local のクラウド デプロイに関するネットワークに関する考慮事項 - DNS サーバーに関する考慮事項 https://learn.microsoft.com/ja-jp/azure/azure-local/plan/cloud-deployment-network-considerations#dns-serverconsiderations  証明機関を別のサーバーに移動する方法 https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/certificates-and-public-key-infrastructurepki/move-certification-authority-to-another-server  マルチホーム ドメイン コントローラー上の DNS に不要な NIC を登録しないようにする手順 https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/networking/unwanted-nic-registered-dnsmulithomed-dc  ドメイン コントローラーにインストールされている動的ホスト設定プロトコル (DHCP) サーバーのサービスをオフにするか削除する https://learn.microsoft.com/ja-jp/services-hub/unified/health/remediation-steps-ad/disable-or-remove-the-dhcpserver-service-installed-on-any-domain-controllers  ドメイン コントローラーへの Exchange のインストールはお勧めしません https://learn.microsoft.com/ja-jp/exchange /plan-and-deploy/deployment-ref/ms-exch-setupreadinesswarninginstallexchangerolesondomaincontroller?view=exchserver-2019 2025/12/06 33

• https://jpwinsup.github.io/blog/2023/10/23/ActiveDirectory/Authentication/design-consideration/
• https://www.intellilink.co.jp/column/ms/2024/010900.aspx
• https://www.intellilink.co.jp/column/ms/2024/052400.aspx
• https://learn.microsoft.com/ja-jp/azure/azure-local/plan/cloud-deployment-network-considerations#dns-server-considerations
• https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/certificates-and-public-key-infrastructure-pki/move-certification-authority-to-another-server
• https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/networking/unwanted-nic-registered-dns-mulithomed-dc
• https://learn.microsoft.com/ja-jp/services-hub/unified/health/remediation-steps-ad/disable-or-remove-the-dhcp-server-service-installed-on-any-domain-controllers
• https://learn.microsoft.com/ja-jp/exchange/plan-and-deploy/deployment-ref/ms-exch-setupreadiness-warninginstallexchangerolesondomaincontroller?view=exchserver-2019

参考情報(2/2)  Microsoft Japan Windows Technology Support Blog https://jpwinsup.github.io/blog/categories/Active-Directory/Authentication/  新たに見つかったActive Directoryの脆弱性対策と認証問題、その対処方法は？ https://atmarkit.itmedia.co.jp/ait/articles/2507/28/news006.html  CVE-2022-37966 への対応とその影響について https://jpwinsup.github.io/blog/2022/12/29/ActiveDirectory/Authentication/kerberos-protocol-changesrelated-to-cve-2022-37966/  IIS 7 以降で SSL を設定する方法 - SSL の設定を構成する https://learn.microsoft.com/ja-jp/iis/manage/configuring-security/how-to-set-up-ssl-on-iis#configuressl-settings-2 2025/12/06 34

• https://jpwinsup.github.io/blog/categories/Active-Directory/Authentication/
• https://atmarkit.itmedia.co.jp/ait/articles/2507/28/news006.html
• https://jpwinsup.github.io/blog/2022/12/29/ActiveDirectory/Authentication/kerberos-protocol-changes-related-to-cve-2022-37966/
• https://learn.microsoft.com/ja-jp/iis/manage/configuring-security/how-to-set-up-ssl-on-iis#configure-ssl-settings-2