Windows Server 2025の2026年6月アップデートで不具合【6/10更新】

Windows Server 2025の2026年6月アップデートで不具合 Winodws Server 2025
Windows Server 2025の2026年6月アップデートで不具合

2026年6月9日(日本時間)に配信されたWindows Server 2025の月例アップデート(Patch Tuesday)で、複数の不具合・注意事項が報告されています。本記事では確認されている症状・原因・対処法をIT管理者向けにまとめます。

🚨 重要:セキュアブート証明書が2026年6月から順次失効中

Windows Server 2025を含むほとんどのWindowsデバイスで使用されているセキュアブート証明書(Microsoft Corporation KEK CA 2011 など)が、2026年6月以降に順次失効します。KB5094125では新証明書(Windows UEFI CA 2023)への移行処理が継続的に展開されています。

  • サーバーは引き続き通常通り起動・動作します(突然起動しなくなることはありません)
  • ブートレベルのセキュリティ更新が停止します(DBXのマルウェアブラックリストが更新されなくなる)
  • ⚠️ 対処法:Windows Updateを最新の状態に保つことで自動更新されます。手動でのEFI操作は不要です
  • 📌 IT管理者はBitLockerポリシー・PCR7バインド状態・回復キーエスクローの確認を事前に実施してください

📋 今月(2026年6月)のWindows Server 更新プログラム

対象バージョン KB番号 ビルド番号 配信日
Windows Server 2025 KB5094125 26100.32995 2026年6月9日
Windows Server 2022 KB5094128 20348.5256 2026年6月9日
Windows Server 2019 KB5094123 17763.8880 2026年6月9日
Windows Server 2016 KB5094122 14393.9234 2026年6月9日

✅ KB5094125 の主な新機能・修正(参考情報)

  • 🌐 DNSサーバーのDNS over HTTPS(DoH)正式対応:Windows Server 2025のDNSサーバーがDoHに対応。サーバーとクライアント間のDNS通信を暗号化し、DNSクエリの盗聴・改ざんを防止。※サーバー間通信には非対応
  • 🔒 BitLocker回復ループの修正(PCR7問題):4月更新(KB5082063)適用後に一部デバイスで発生していたBitLocker回復モード問題を正式修正
  • 🔧 WUSA「ERROR_BAD_PATHNAME」エラーの修正:ネットワーク共有上の複数の.msuファイルをWUSAでインストールした際に失敗する問題を修正
  • 🔍 ファイルエクスプローラーの検索改善:中国語テキストおよびBOMなしUTF-8エンコードファイルへの対応向上。検索結果・コンテンツビュー・ツールチップの表示一貫性を改善
  • 🔐 セキュアブート証明書の段階的展開を継続拡大:高信頼デバイスへの新証明書(Windows UEFI CA 2023)配信カバレッジをさらに拡大
  • ⚙️ 新グループポリシー「LimitSecureBootRequiredServiceData」追加:Microsoftへのセキュアブートサービスデータ送信を制限するポリシー設定を追加
  • 👤 ユーザープロファイル読み込みの信頼性向上:システムリソースをより効率的に管理することでプロファイル読み込み時の安定性を改善
  • 🛡️ 200件のセキュリティ脆弱性を修正(ゼロデイ3件含む。Active Directory・RDP・DNS・Hyper-V・HTTPSysなど)

✅ 不具合①:BitLocker回復ループ(PCR7設定との競合)【KB5094125で公式修正済み】

✅ KB5094125で公式修正済み 4月更新KB5082063適用後に発生していた問題 Microsoft公式・既知の問題として認定済み

症状(修正前)

4月更新(KB5082063)適用後、特定のTPM検証設定(無効なPCR7構成)を持つWindows Server 2025デバイスで、起動時にBitLockerの回復モードに入るケースが発生していました。今月のKB5094125でこの問題が公式に修正されました。

影響を受けた条件(5条件すべてを満たす場合のみ)

💡 以下の5条件をすべて満たすサーバーのみで発生しました

  1. OSドライブでBitLockerが有効になっている
  2. グループポリシー「ネイティブUEFIファームウェア構成のTPMプラットフォーム検証プロファイルを構成する」が設定されており、PCR7が検証プロファイルに含まれている
  3. システム情報(msinfo32.exe)で「セキュアブート状態 PCR7バインド」が「不可能」と表示されている
  4. セキュアブート署名データベース(DB)にWindows UEFI CA 2023証明書が存在する
  5. デバイスがまだ2023年署名のWindowsブートマネージャーで起動していない

🔧 対処法

根本解決:KB5094125を適用する

KB5094125の適用により、この問題は公式に修正されます。まだKB5082063のみを適用している環境では、KB5094125へのアップデートで解消されます。

KB5094125適用前の一時回避策(アップデート前に実施推奨)

  1. グループポリシーエディター(gpedit.msc)で「ネイティブUEFIファームウェア構成のTPMプラットフォーム検証プロファイルを構成する」を「未構成」に設定
  2. 変更を保存後、BitLockerを一時停止してから再開し、PCRバインドを再生成
  3. BitLocker回復キーを事前に account.microsoft.com/devices/recoverykey またはAzure ADで確認・保存

✅ 不具合②:WUSAでの.msuインストール失敗「ERROR_BAD_PATHNAME」【KB5094125で修正済み】

✅ KB5094125で公式修正済み 企業IT管理者向け Windows Server 2025 / Windows 11 24H2

症状(修正前)

Windows Update Standalone Installer(WUSA / wusa.exe)を使用して、複数の.msuファイルが存在するネットワーク共有からアップデートをインストールしようとした際に、ERROR_BAD_PATHNAME エラーが発生してインストールに失敗するケースが、2025年5月以降の更新を適用した環境で継続的に報告されていました。今月のKB5094125でこの問題が公式に修正されました。

影響を受けた条件

  • ネットワーク共有フォルダ上に複数の.msuファイルが存在する状態でWUSAを実行
  • WUSAで.msuファイルをダブルクリックして実行
  • ネットワーク共有上の.msuファイルを単独で実行した場合や、ローカルドライブに保存してから実行した場合は影響なし

原因

2025年5月28日(KB5058499以降)にリリースされた更新により導入された変更が、ネットワーク共有に複数の.msuファイルが存在する場合のパス処理に問題を引き起こしていました。KB5094125でこの根本原因が修正されています。

🔧 対処法(KB5094125適用前の暫定回避策)

方法1:.msuファイルをローカルドライブにコピーしてから実行(最も確実)

インストール対象の.msuファイルをサーバーのローカルドライブ(例:C:\Updates\)にコピーしてから、WUSAまたはダブルクリックで実行してください。

方法2:ネットワーク共有に.msuファイルを1ファイルのみ配置する

共有フォルダに存在する.msuファイルが1つだけの場合は問題が発生しないため、インストール対象以外の.msuファイルを別フォルダへ移動してから実行してください。

方法3:WSUS / SCCM / Intune経由での展開(企業IT向け推奨)

WUSAを経由しないWSUS・SCCM・Intuneを使った通常の展開方法を使用することでこの問題を回避できます。

⚡ なお、WUSAでのインストール後に再起動を完了しても「更新履歴」ページに「再起動が必要」と表示が残る場合がありますが、これは表示上の問題です。15分以上経過すれば自動的に解消されます。KB5094125の適用後は根本的に修正されています。

⚠️ 不具合③:WSUSの同期エラー詳細が表示されない(継続中・既知の問題)

対象:Windows Server 2025(WSUS利用環境) KB5070881以降の更新適用環境で継続中 Microsoft公式・既知の問題として認定済み

症状

KB5070881以降の更新プログラムをインストール後、Windows Server Update Services(WSUS)の管理コンソールにおいて、同期エラーの詳細情報が表示されなくなる問題が継続して発生しています。エラーレポートの詳細表示機能が一時的に無効化されています。

原因

この変更は意図的な仕様変更です。WSUSに影響するリモートコード実行の脆弱性(CVE-2025-59287)への対応として、エラー詳細のレポート機能が一時的に削除されました。現在Microsoftは恒久的な修正を開発中です。

🔧 対処法・確認方法

方法1:代替ログソースでWSUS同期エラーを確認する

WSUSの管理コンソール上でエラー詳細が表示されない場合は、以下の代替手段でエラー情報を確認してください。

  • Windowsイベントビューアー:「アプリケーションとサービスのログ」→「Microsoft」→「Windows」→「WindowsServerUpdateServices」
  • WSUSログファイルC:\Program Files\Update Services\LogFiles\SoftwareDistribution.log
  • PowerShellによる確認Get-WsusUpdate -Status Failed | Select-Object -ExpandProperty Update

方法2:Microsoftの恒久修正を待つ

Microsoftは現在この問題の恒久的な修正を開発中です。今後の月例アップデートでの修正を引き続き確認してください。

この問題はKB5094125でも修正されておらず、継続中の既知の問題です。 WSUSを利用している環境では、イベントビューアーやログファイルでの代替確認を日常的な運用に組み込むことを推奨します。

⚠️ 不具合④:セキュアブート証明書更新に伴うOEM製サーバーのBitLocker回復ループ

対象:Windows Server 2025(特定OEM製サーバー) KB5094125 適用後 HP ProLiant / Dell PowerEdge / Lenovo ThinkSystem 要注意

症状

新しいセキュアブート証明書(Windows UEFI CA 2023)へのブートマネージャー移行処理と、HP・Dell・LenovoなどのOEMメーカーが配信したBIOS/UEFIファームウェアとの競合により、起動時にBitLockerの回復キー入力を求められる「回復ループ」に陥るケースが一部のサーバーで報告されています。

原因

BitLockerはTPMによってセキュアなブート状態が保護・測定されることで機能しますが、セキュアブート変数の変更とOEM提供の古いBIOS/UEFIファームウェアが競合することで、TPMがブート状態の不整合を検知し、BitLockerの暗号化ロックが掛かってしまいます。特にHPが2026年4月に配信したBIOSアップデートがEliteBook / ProBook / ProLiant 等で問題を引き起こすことが公式認定されています。

⚠️ HPサーバー(ProLiant)ユーザー向け注意

  • 問題:HPが2026年4月に配信したBIOSアップデートが、ProLiant等のサーバーでBitLockerの回復ループを引き起こすことをHPが公式認定
  • 確認方法:PowerShellで (Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\State").UEFICA2023Status を実行。「In Progress」のまま変わらない場合は証明書移行が失敗している可能性あり
  • 対処法:HPが公式サポートドキュメントで回避策を公開中。ファームウェア更新前にBitLockerを一時停止することを推奨

🔧 対処法

方法1:回復キーを取得してサインインする(緊急対応)

Azure AD・Active Directory・またはMicrosoftアカウントに保存されているBitLocker回復キー(48桁)を使用して起動してください。回復キーの保存場所:Azure ADポータル → デバイス → 対象サーバー → BitLocker回復キー

方法2:UEFI BIOSを最新バージョンに更新する(根本対処)

KB5094125を段階的に展開する前に、対象サーバーのUEFI BIOSを各ベンダー(HP/Dell/Lenovo)が提供する最新バージョンに更新することを優先してください。

方法3:イベントビューアーで証明書移行状況を監査する(企業IT向け)

Event ID 1808(正常移行)、Event ID 1801(未移行)、Event ID 6281(Secure Boot証明書ログ)を確認し、全サーバーの移行状況を精査してください。

⚠️ 不具合⑤:インストールエラー(0x800F0983 / 0x80073712)

対象:Windows Server 2025(特定ハードウェア) DVDメディアからインストールした環境・Dell製サーバー等

症状

特定の環境において、KB5094125のインストールが以下のエラーコードで失敗するケースが報告されています。

  • エラーコード 0x800F0983(PSFX_E_MATCHING_COMPONENT_NOT_FOUND):Windows Server 2025のDVDメディアからインストールしたシステムや、特定のDell製サーバー等の旧世代ハードウェアプラットフォームで発生
  • エラーコード 0x80073712(ERROR_SXS_ASSEMBLY_NOT_FOUND):コンポーネントストアの破損が原因で発生。標準のDISM修復手順では解消しないケースあり

🔧 対処法

方法1:コンポーネントストアの修復(0x80073712 エラー向け)

管理者権限でコマンドプロンプトを開き、以下を順番に実行してください:

sfc /scannow
DISM /Online /Cleanup-Image /CheckHealth
DISM /Online /Cleanup-Image /ScanHealth
DISM /Online /Cleanup-Image /RestoreHealth

方法2:サービシングスタック更新(SSU)の前提条件を確認する(0x800F0983 エラー向け)

KB5094125を適用する前に、最新のサービシングスタック更新(SSU)が適用されていることを確認してください。KB5094125にはSSUが統合されていますが、旧ビルドからのアップグレード時に不整合が生じる場合があります。

方法3:OOBアップデートKB5091157を先に適用する

4月の緊急OOBアップデート(KB5091157)をまだ適用していない場合は、先に適用してからKB5094125を再試行してください。

📢 注意事項⑥:Hotpatchとセキュリティ更新の関係(今月からの変更点)

対象:Windows Server 2025 Datacenter Azure Edition(Hotpatch加入済み) Hotpatch利用者は要確認

背景と今月の変更点

4月の緊急OOBアップデート(KB5091157)は、Hotpatchに加入しているWindows Server 2025 Datacenter Azure Editionのデバイスには通常のOOBホットパッチ(KB5091470)として別途提供されていましたが、このホットパッチの適用には再起動が必要であり、かつHotpatchが一時停止されていました。

⚠️ 重要:Hotpatch再開のタイミング

4月のOOBアップデート(KB5091157 または KB5091470)適用によりHotpatchが一時停止された環境では、7月2026年の次のベースラインアップデート後にHotpatchが自動再開される予定です。

時期 Hotpatch状態 備考
4月(KB5091157 / KB5091470適用後) ⏸ 一時停止 再起動が必要
5月・6月(KB5087539 / KB5094125) ⚠️ 要確認 Hotpatch一時停止中の場合あり
7月(次のベースラインアップデート後) ✅ 再開予定 通常のHotpatchサイクルに戻る

🔧 確認・対処法

Hotpatch状態の確認方法

# Hotpatch対応状態の確認
Get-HotFix | Where-Object {$_.HotFixID -like “KB509*”}

# Windows Updateの保留状態を確認
Get-WindowsUpdateLog

Hotpatchが停止している場合、7月のベースラインアップデートまでは通常の再起動を伴う月例更新が適用されます。メンテナンスウィンドウを設定して計画的な再起動を実施してください。

⚠️ 不具合⑦:展開メディアへの boot.stl ファイルの組み込み漏れ(0xc0430001エラー)

対象:Windows Server 2025(動的更新展開環境) IT管理者向け(イメージ展開・OSインストール担当)

症状

既存のWindowsイメージに動的更新(Dynamic Update)として本アップデートを展開する際、boot.stl ファイルがインストールメディアに含まれていない場合、インストールメディアからのデバイス起動に失敗し、エラーコード 0xc0430001 が表示されます。

原因

KB5094125はセキュアブート証明書の移行に関わるブートファイルを更新します。既存のWindowsイメージに動的更新を適用する際は、C:\Windows\Boot\EFI\boot.stl ファイルを展開メディアに含めることが必須となっています。

🔧 対処法(IT管理者向け)

手順1:boot.stlファイルを展開メディアに追加する

KB5094125を適用済みのWindows Server 2025デバイスから、C:\Windows\Boot\EFI\boot.stl を取得し、展開に使用するインストールメディアの同等のパスに組み込んでください。

手順2:最新のADK(Windows Assessment and Deployment Kit)を使用する

WindowsイメージのカスタマイズやWinPE作成に使用しているADKのバージョンを最新版に更新し、最新のブートファイルセットを使用してください。

手順3:展開後の動作確認

インストールメディアを更新後、テスト環境での展開を実施してエラーが解消されていることを確認してから本番環境への適用を行ってください。

📊 まとめ・対処法一覧

不具合・注意事項 対象 深刻度・状態 対処法
BitLocker回復ループ(PCR7)
April KB5082063適用後に発生		 WS2025
管理環境のDC等		 ✅ 修正済み
(KB5094125で対応)		 KB5094125を適用で解消
暫定:PCR7グループポリシーを「未構成」に設定
WUSA ERROR_BAD_PATHNAME
ネットワーク共有からのインストール失敗		 WS2025
企業展開環境		 ✅ 修正済み
(KB5094125で対応)		 KB5094125で根本修正
暫定:.msuをローカルドライブにコピーして実行
WSUSエラー詳細が非表示
CVE-2025-59287対応による仕様変更		 WS2025
WSUS利用環境		 ⚠️ 継続中
(修正開発中)		 イベントビューアーまたはWSUSログファイルで代替確認
恒久修正は今後の更新で提供予定
OEM製サーバーBitLocker回復ループ
OEM BIOSとの競合		 WS2025
HP/Dell/Lenovo等		 ①回復キーを取得して起動
②UEFI BIOSを最新版に更新
③イベントID 1808/1801/6281を監査
インストールエラー
0x800F0983 / 0x80073712		 WS2025
一部ハードウェア		 ①sfc /scannow + DISM修復を実行
②KB5091157を先に適用してから再試行
Hotpatch一時停止
4月OOB更新後に停止中		 WS2025 Datacenter AE
Hotpatch加入済み		 要確認
(7月に再開予定)		 7月ベースラインアップデート後に自動再開
それまでは通常の再起動ありアップデートを適用
boot.stlファイル欠落
展開メディアの0xc0430001エラー		 WS2025
動的更新展開環境
(IT管理者向け)		 インストールメディアにboot.stlを追加
最新ADKで展開イメージを再構成

📝 IT管理者向け 展開前チェックリスト

  • □ 対象サーバーのBitLockeyポリシーを確認。PCR7を含む「ネイティブUEFIファームウェア構成のTPMプラットフォーム検証プロファイル」グループポリシーが設定されていないか確認
  • □ BitLocker回復キーがAzure AD / Active DirectoryまたはMicrosoftアカウントにエスクローされていることを確認
  • □ 対象サーバーのUEFI BIOSバージョンを確認し、各ベンダー(HP/Dell/Lenovo)の最新BIOSに更新
  • □ WSUS展開環境の場合は、製品カタログで「Windows Server 2025」が正しく選択されていることを確認
  • □ 動的更新展開を使用している場合は、展開メディアに boot.stl が含まれていることを確認
  • □ Hotpatch加入済みの場合は、Hotpatchの現在の状態(一時停止中かどうか)を確認し、メンテナンスウィンドウを計画
  • □ ドメインコントローラーはステージング環境での検証後に本番環境へ展開する

🔗 参考・公式情報

最終更新:2026年6月10日(v1.0)/ 情報は記事公開時点のものです。今後の公式発表により内容が変わる場合があります。

コメント

タイトルとURLをコピーしました