公開日: 2026年6月1日
カテゴリ: Security News
対象読者: 一人情シス・情シス担当者
概要
Microsoft は 2026年5月12日に公開した Windows Server 2016 向けセキュリティアップデート(KB5087537)に、ドメインコントローラー(DC)の検索・検出が失敗するバグが含まれていることを確認しました。このバグはホスト名がちょうど15文字のサーバーのみに発生し、Active Directory の認証・DFS 名前空間管理・各種管理ツールが機能しなくなります。現時点で公式の修正プログラムはなく、Microsoft が調査中です。
目次
何が起きたか
Microsoft は 2026年5月12日(いわゆる「パッチチューズデー」)に、Windows Server 2016 向けの月例セキュリティアップデート KB5087537(OS ビルド 14393.9140)を公開しました。
しかしこのアップデートを適用した環境で、ドメインコントローラー(DC)の検索・検出(DC ロケーション)が失敗するバグが確認されました。Microsoft は公式サポートページ上で既知の問題として認め、調査中であることを発表しています。
技術的な詳細
発生条件
このバグが発生する条件は非常に限定的です。
ホスト名(コンピューター名)がちょうど15文字の Windows Server 2016 に KB5087537 を適用した場合のみ発生する
14文字以下・16文字以上のサーバーでは問題は発生しません。
エラーの内容
DCLocator(ドメインコントローラーを検索する Windows の内部メカニズム)の呼び出しが ERROR_INVALID_PARAMETER を返します。
たとえば、以下のコマンドを実行するとエラーが発生します:
nltest /dsgetdc: /pdc
通常であれば対象の DC 情報が返されるはずのこのコマンドが、ホスト名15文字のサーバーでは ERROR_INVALID_PARAMETER(パラメーターが無効)となり、DC を特定できません。
Microsoft は次のように説明しています:
「ホスト名が15文字の場合、DCLocator の呼び出し(例:
nltest /dsgetdc: /pdc)が ERROR_INVALID_PARAMETER を返し、アプリケーションや管理ツールがドメインコントローラーを特定できなくなります」— Microsoft サポートページ(KB5087537 既知の問題)
影響範囲
このバグによって、ドメインコントローラーを検索できなくなるため、AD 環境で動作するさまざまな機能・ツールが影響を受けます。
| 影響を受ける機能・領域 | 具体的な症状 |
|---|---|
| Active Directory 認証 | ユーザーのログイン・リソースアクセスが失敗する |
| DFS 名前空間管理 | 分散ファイルシステムの参照・管理ができなくなる |
| 管理ツール・スクリプト | nltest、PowerShell の AD コマンドレット、RSAT ツールなどが正常に動作しない |
| AD に依存するサービス | グループポリシーの適用、Kerberos 認証を使うシステム全般 |
特に**小規模な Active Directory 環境(1台の DC に依存している構成)**では、DC が見つからないだけでドメイン全体の認証が停止する恐れがあります。
影響を受けるバージョン
| OS | 適用したアップデート | 影響 |
|---|---|---|
| Windows Server 2016 | KB5087537(2026年5月12日) | ホスト名15文字の場合に発生 |
| Windows Server 2019 以降 | — | 影響なし(本バグは2016のみ) |
回避策と対応方法
現時点の公式回避策
Microsoft は現時点で公式修正プログラムを提供していません。公表されている唯一の対処方法は以下のとおりです:
サーバーのホスト名(コンピューター名)を15文字以外に変更する
ただし、サーバー名の変更は再起動が必要であり、Active Directory に参加している DC や重要なサーバーの名前変更は多くの依存関係に影響します。本番環境での実施は十分な事前調査と計画が必要です。
推奨する確認・対応手順
影響を受けるサーバーの特定
環境内のすべての Windows Server 2016 マシンのホスト名の文字数を確認する。# ドメイン内の Windows Server 2016 端末のホスト名文字数を確認 Get-ADComputer -Filter {OperatingSystem -like "*2016*"} -Properties Name | Select-Object Name, @{N="文字数";E={$_.Name.Length}} | Where-Object { $_.文字数 -eq 15 }KB5087537 の適用有無を確認
Get-HotFix -Id KB5087537KB5087537 のアンインストール(緊急回避)
影響が確認された場合、アップデートを一時的にアンインストールして旧ビルドに戻すことも選択肢です。ただし、このアップデートにはセキュリティ修正も含まれるため、ネットワーク境界での対策を強化した上で実施してください。# アップデートのアンインストール(要管理者権限・再起動が必要) wusa /uninstall /kb:5087537Microsoft の修正を待つ
Microsoft が公式修正を公開した際には速やかに適用する。Microsoft Update カタログや公式サポートページを定期的に確認してください。
注意: 本番ドメインコントローラーへのアップデートアンインストールやサーバー名変更は、必ずメンテナンスウィンドウを設けてスナップショット/バックアップを取得してから実施してください。
Windows Server 2016 のサポート状況
このバグが注目される背景として、Windows Server 2016 のサポート期間も確認しておく必要があります。
| サポート段階 | 期限 |
|---|---|
| メインストリームサポート終了 | 2022年1月11日(終了済み) |
| 延長サポート終了 | 2027年1月12日 |
| ESU(延長セキュリティアップデート) | 延長サポート終了後、最大3年間 |
現在は延長サポートフェーズにあり、セキュリティアップデートは継続して提供されています。しかし今回のバグが示すように、古い OS バージョンではパッチ品質のリスクも上がります。
Windows Server 2016 を継続利用する組織は、遅くとも2027年1月の延長サポート終了前に Windows Server 2022 または 2025 への移行計画を立てることを強く推奨します。
まとめ
今回の Windows Server 2016 バグのポイントを整理します。
- KB5087537(2026年5月12日リリース)を適用した Windows Server 2016 で、DC 検索(DCLocator)が失敗するバグが確認された
- 発生条件は「ホスト名がちょうど15文字」という非常に限定的なもの
- DCLocator が
ERROR_INVALID_PARAMETERを返し、AD 認証・DFS・各種管理ツールが機能しなくなる - 公式修正プログラムは未提供。Microsoft が調査中
- 現時点の回避策は「サーバー名を15文字以外に変更する」または「KB5087537 をアンインストールする」
- Windows Server 2016 の延長サポートは 2027年1月12日まで。移行計画の検討を推奨
YJK からのコメント
今回のバグは「ホスト名がちょうど15文字」という極めて特殊な条件でのみ発生しますが、見過ごしてしまうとAD 全体の認証が停止する深刻なインシデントにつながります。
特に一人情シス・少人数での IT 運用環境では、DC が 1〜2台しかない構成も珍しくありません。このような環境で DC が突然検索不能になると、社内の全ユーザーがログインできなくなる事態も考えられます。
まず 「ホスト名が15文字の Windows Server 2016 が存在しないか」 を今すぐ確認してください。該当するサーバーが見つかった場合は、修正プログラムの公開を待ちながら、KB5087537 のアンインストールを検討してください(セキュリティリスクとのトレードオフに注意)。
弊社では Active Directory 環境の棚卸しや移行支援も承っています。Windows Server 2016 の移行についてお悩みの場合はお気軽にご相談ください。
出典
- Petri: Windows Server 2016 Bug Affects Domain Controller Lookup(2026年5月29日)
- Microsoft Support: May 12, 2026 — KB5087537 (OS Build 14393.9140)
- Microsoft Learn: Windows Server 2016 のライフサイクル