2025年10月15日公開
Microsoft(マイクロソフト)が、2025年9月のWindows Server更新プログラム適用後にActive Directory(アクティブディレクトリ)同期エラーが発生していることを正式に認めました。
特に企業ネットワークでActive Directory Domain Services(AD DS)やMicrosoft Entra Connect Syncを利用している管理者の方にとっては、組織全体のユーザー管理やグループポリシーに影響する可能性があります。
この記事では、エラーの原因・影響範囲・Microsoft公式の回避策・今後の対応見通しをわかりやすく整理します。
同様の問題に直面している管理者たちの声や、フォーラム上で議論されている実例も交えて解説していきます。
- 発生している現象と対象環境
- エラーが発生した場合の具体的な症状
- Microsoftの公式見解と現状のステータス
- 一時的な回避策の内容と注意点
- 不具合の原因(推定)
- 影響を受けるユーザー層
- フォーラムでの反応とユーザーの実体験
- Known Issue Rollback(KIR)による対応との違い
- Microsoftの今後の対応予定
- 管理者が今すぐ確認すべきポイント
- 過去にもあったServer 2025関連の不具合
- まとめと今後の見通し
発生している現象と対象環境
2025年9月に配信されたWindows Serverのセキュリティ更新プログラム(KB5065426)を適用した一部の環境で、Active Directory Domain Services(AD DS)とMicrosoft Entra Connect Syncの同期が正常に完了しない不具合が確認されています。
この問題は特に、メンバー数が1万を超える大規模なセキュリティグループを扱う組織で顕著に発生しており、グループ全体の同期が途中で止まる、または一部のユーザー情報がクラウド側に反映されないといった報告が寄せられています。
対象となるのは、Windows Server 2025を運用している環境です。過去バージョン(2022以前)では同様の不具合は確認されていません。
Microsoftによると、2025年9月のセキュリティ更新プログラム以降、またはそれを含む以後の更新を適用した環境で発生することが確認されています。
この問題は、Active Directoryのディレクトリ同期制御機構(DirSync control)を使用するアプリケーションで特に影響を受けます。つまり、Microsoft Entra(旧Azure AD)との連携を行っている企業では、クラウドアカウントの整合性に直接影響が出る可能性があるのです。
エラーが発生した場合の具体的な症状
問題が発生すると、同期ログには明確なエラーコードが出ない場合もありますが、**「同期が完了しない」「一部のグループメンバーが反映されない」「更新が途切れる」**といった現象が確認されています。
特に、メンバー数が10,000を超えるセキュリティグループで同期が不完全になる傾向が強く、運用規模の大きい企業ほど影響を受けやすい状況です。
RedditやMicrosoftフォーラムでは、以下のような報告が複数見られます。
「Entra Connectで同期を試みると、一部のグループが反映されず、エラーも出ないまま処理が終わる」
「更新プログラムをアンインストールすると正常に戻るが、セキュリティ上それは避けたい」
「同期対象グループを小分けにすれば動くが、運用上現実的ではない」
こうした声が急増しており、Microsoftも問題を再現・確認済みとしています。
Microsoftの公式見解と現状のステータス
Microsoftは、2025年10月15日付で「Windows release health dashboard」を更新し、この不具合を「既知の問題(Known Issue)」として正式に認めました。
また、開発チームが修正を進めている最中であり、恒久的な解決策はまだ提供されていません。
現時点で提供されているのは「一時的な回避策」のみで、管理者がレジストリを手動で編集する方法です。
ただし、この方法にはリスクがあるため、実施する際には十分な注意が必要とされています。
一時的な回避策の内容と注意点
Microsoftは、レジストリエントリを追加することで同期の中断を防げる可能性があるとしています。
公式に案内されている手順は以下の通りです。
(1) Windows Server 2025上で「レジストリエディター(Registry Editor)」を開きます。
(2) 次のパスに移動します。
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides
(3) 新しいDWORD値を作成します。
名前:2362988687
種類:REG_DWORD
値:0
(4) 変更を保存して再起動します。
これにより、Microsoft Entra Connect Syncの同期処理が停止せず、一時的に問題を回避できる可能性があります。
しかしMicrosoftは、「レジストリの変更を誤ると深刻な障害が発生する可能性がある」と強く警告しています。最悪の場合、OSの再インストールが必要になることもあるため、慎重に扱う必要があります。
不具合の原因(推定)
Microsoftは現時点で具体的な技術的原因を公表していませんが、同社が公開しているサポートドキュメントには興味深い記述があります。
そこには、「Windows Server 2025のMicrosoft Entra Cloud Sync対応は今後のリリースで追加予定」と書かれています。
つまり、Server 2025版ではまだEntra Cloud Syncの完全サポートが実装されていない段階であり、今回のセキュリティ更新によって同期関連モジュールに想定外の影響が出た可能性が考えられます。
また、DirSyncの仕様変更やメモリ制限の影響など、大規模グループ同期の処理部分で新しい制御が加えられたことも要因のひとつとみられています。
このため、単に更新プログラムを削除しても根本的な解決には至らず、Microsoft側の修正版提供を待つしかない状況です。
影響を受けるユーザー層
今回の不具合は、家庭向けユーザーにはほぼ影響しません。
対象となるのは、オンプレミスでActive Directoryを運用し、クラウド側のMicrosoft Entra(旧Azure AD)と同期している企業・団体です。
特に以下のような環境では注意が必要です。
- 大規模なユーザー・グループ構成を持つ企業
- 複数のドメインやフォレストを運用している組織
- AD同期を自動化している環境(Entra ConnectやCloud Syncを利用中)
もしあなたの環境がこれに該当する場合、更新プログラム適用後に同期結果を必ず確認しておくべきです。
見た目上は成功していても、実際には一部のユーザーやグループがクラウド側に存在しないといった事例も確認されています。
フォーラムでの反応とユーザーの実体験
今回のActive Directory同期不具合は、発生直後から世界中の管理者フォーラムやReddit(レディット)、X(旧Twitter)などで大きな話題となりました。
とくに注目を集めたのは、「毎月のWindowsアップデートが何かしらを壊す」という管理者たちの嘆きの声です。
あるユーザーはこう投稿しています。
「Every month, every update, breaks anything.(毎月、更新のたびに何かしら壊れる)」
別の投稿では、AIによるコード生成の影響を揶揄するコメントもありました。
「Nothing is more prone to mistakes than AI writing code.(AIが書いたコードほどミスを誘発するものはない)」
また別の管理者は、より現実的な視点でこう指摘しています。
「幸い、ほとんどのセキュリティグループは1万メンバーに満たない。だから全滅ではない」
つまり、今回の不具合は企業によって影響の度合いが大きく異なり、大規模環境に限って深刻化しているということがわかります。
しかし一方で、「ドメイングループ(Domain UsersやDomain Adminsなど)にまで影響が及ぶのではないか」という懸念も共有されており、注意を要します。
Known Issue Rollback(KIR)による対応との違い
Microsoftは近年、Windows Updateによって生じた問題を自動的に巻き戻す「Known Issue Rollback(KIR)」という仕組みを導入しています。
実際、Windows 11やServer 2025の他の更新トラブルでは、すでにKIRによって自動修正が適用された事例もあります。
しかし今回のAD同期不具合については、KIRの対象外です。
理由は、この問題がActive Directoryというサーバーコンポーネントに関係しており、家庭用や小規模ビジネス環境には影響しないため、自動ロールバックの範囲外となっているからです。
つまり、管理者自身が手動で回避策を設定する以外に現時点での対処法はないということになります。
Microsoftの今後の対応予定
Microsoftは、すでに開発チームが問題の再現と検証を完了し、修正版の準備に入っていると説明しています。
恒久的な修正パッチは、**2025年11月の月例アップデート(Patch Tuesday)**での提供が有力視されていますが、公式の発表はまだありません。
一方で、Redmond(マイクロソフト本社所在地)からは「修正が完了するまでの間、レジストリによる回避策を推奨」との声明が続いており、修正版のリリースまでは少なくとも数週間を要する見込みです。
企業のIT部門にとっては、パッチ適用を控えるか、それともリスクを承知で更新を進めるかという判断が迫られる状況になっています。
管理者が今すぐ確認すべきポイント
同様の問題を回避・監視するためには、以下の手順で状況を点検しておくことが推奨されます。
(1) Entra Connect Syncのログを確認する。
同期エラーや処理時間の異常延長がないかをチェックします。
(2) グループメンバー数を確認する。
1万名を超えるグループが存在する場合は、一時的に分割運用を検討します。
(3) 更新履歴を見直す。
KB5065426または以後の更新が適用されているかを確認します。
(4) レジストリ回避策を適用した場合はバックアップを取る。
不具合が再発した場合にすぐ元に戻せるよう、エクスポートしておくと安心です。
このように、今の段階では“症状を最小化する管理”が最優先となります。
特にクラウド連携が停止したまま放置されると、認証トークンの有効期限切れや、アクセス制御の不整合が起こるリスクもあります。
過去にもあったServer 2025関連の不具合
実は、Windows Server 2025では過去にも複数の深刻なトラブルが確認されています。
たとえば2025年7月には、Virtualization-Based Security(VBS)が有効かつTrusted Launch設定が無効の状態でAzure VMが起動できなくなる問題が発生し、緊急パッチが配信されました。
また、6月にはドメインコントローラーが再起動後に応答しなくなる事例も報告されており、Microsoftは毎月のように修正対応を迫られています。
このような背景もあり、今回のAD同期エラーについても「またか」という声が多く聞かれました。
つまり、Server 2025はまだ成熟期に達しておらず、エンタープライズ環境では慎重な運用が必要というのが多くの専門家の見解です。
まとめと今後の見通し
今回の不具合は、企業のアイデンティティ管理(Identity Management)に直接関わる重要な問題です。
特に1万人を超える大規模グループを扱う企業では、同期ミスがシステム全体の運用停止につながるリスクがあるため、軽視できません。
現時点での最適な対応は、
- KB5065426の適用を保留する、または
- すでに適用済みの場合はレジストリ回避策を慎重に実施し、
- Microsoftの修正版がリリースされた際に速やかに更新する、
という三段構えです。
フォーラムでは今も活発な議論が続いており、他の管理者が発見した臨時の回避方法なども共有されています。
こうしたコミュニティの声を参考にしながら、**「更新=危険」ではなく、「更新を理解したうえで安全に使う」**という姿勢が求められています。
あなたの環境では、この不具合、影響がありましたか?
コメント欄では、実際に試した回避策や同期成功・失敗の事例を共有してもらえると助かります。
同じ悩みを持つ管理者同士で情報を交換しながら、少しでも安全な運用を続けていきましょう。
