Windows Server 2025で「グループポリシーのファイアウォール設定が勝手に戻る」「Firewallタブが開けない」原因と直し方

「GPOから外したはずのWindows Defender Firewallが、なぜかまた有効化される」「GPO編集画面で“Windows Defender Firewall with Advanced Security”のタブ（スナップイン）が開けない」。さらにGPMCのステータスで“Detect Now（検出）”を実行すると、別DCが“Inaccessible（アクセス不可）”扱いになる——。
こうした症状は、単発の不具合というより (1) GPOの適用経路が複数ある／優先順位が負けている、(2) 管理端末側のMMCスナップイン不調、(3) DC間の名前解決・SYSVOL/複製・権限・到達性のどれかが揺れている、の“合わせ技”で起きがちです。この記事では、 inherited（引き継ぎ）ドメインでありがちな地雷も含めて、切り分けと復旧の手順を実務目線でまとめます。

• Windows Server 2025で「グループポリシーのファイアウォール設定が勝手に戻る」「Firewallタブが開けない」原因と直し方
  • 1. 「FirewallをGPOから外しても勝手にONに戻る」ありがちな原因
    • 原因A：別のGPOが上書きしている（リンク・優先度・継承・強制）
    • 原因B：「未構成」に戻しただけで、別経路（ローカル/スクリプト/製品）が有効化している
  • 2. 「GPO編集でWindows Defender Firewallタブ（スナップイン）が開けない」切り分け
    • よくある直接原因：Firewall関連サービスが止まっている／依存サービス不調（0x6D9系）
    • もう一つの定番：MMCスナップイン/ポリシー系コンソールの初期化不良
  • 3. GPMCのステータスで「Detect Now後に別DCがInaccessible」になる理由
    • パターンA：権限/アクセスの問題（GPMCは見に行けないがAD自体は見える）
    • パターンB：SYSVOL複製の遅延/途中（“Replication in progress”系）
    • パターンC：DNS/ファイアウォール/到達性（RPC・SMB）が欠けて“状態取得だけ”失敗
  • 4. 失敗しない復旧手順（現場でのおすすめ順）
  • 5. 継承ドメインで特に気をつけたい「見えない地雷」
  • まとめ

1. 「FirewallをGPOから外しても勝手にONに戻る」ありがちな原因

原因A：別のGPOが上書きしている（リンク・優先度・継承・強制）

一番多いのはこれです。GPOから設定を消しても、別のGPO（上位OU、ドメイン直下、サイト、セキュリティベースライン等）が同等のポリシーを再適用します。特に「継承されたドメイン」だと、過去のセキュリティ強化GPOやテンプレが残っていて、気づかないうちに勝ち続けていることがあります。
Windows Defender FirewallのGPOパスはここが本丸です。 Microsoft Learn

• Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security

やること（最短コース）

• 対象サーバーで gpresult /h c:\temp\gp.html を取り、Firewall関連の勝者GPOを特定

• そのGPOが「どこにリンクされているか」「Enforced（強制）」「Block Inheritance（継承のブロック）」の有無を確認

• “設定を削除したGPO”ではなく、実際に勝っているGPO側で意図通りに直す

原因B：「未構成」に戻しただけで、別経路（ローカル/スクリプト/製品）が有効化している

GPOを外しても、以下が残っているとFirewallが復活します。

• ローカルセキュリティ/ローカルGPOで有効

• 起動時スクリプト、構成管理（例：過去の運用スクリプト）で netsh advfirewall set allprofiles state on 等が走る

• セキュリティ製品がポリシーを再注入する

やること

• ローカルで Get-NetFirewallProfile（PowerShell）で各プロファイルの状態と管理元を確認

• タスクスケジューラ、起動/シャットダウンスクリプト、構成管理ログ（SCCM等）がある環境は“設定復活の実行者”を探す

2. 「GPO編集でWindows Defender Firewallタブ（スナップイン）が開けない」切り分け

これは“対象サーバー”の問題ではなく、GPOを編集している端末（DC/管理端末）側のMMCスナップイン不調で起きることが多いです。Microsoftの案内でも、Firewallの高度な設定はGPO編集で該当ノードを開く運用が前提になっています。 Microsoft Learn

よくある直接原因：Firewall関連サービスが止まっている／依存サービス不調（0x6D9系）

「Windows Defender Firewall with Advanced Security スナップインを開けない」「スナップインがロードできない」系では、Firewallサービスが止まっているなどでエラーが出る事例が報告されています（エラーコード 0x6D9 など）。 Microsoft Learn

やること（管理端末/編集しているDCで）

• Windows Defender Firewall（MpsSvc） と Base Filtering Engine（BFE） が動いているか確認

• 停止しているなら起動、起動できないならイベントログ（System、WFP/Firewall）を確認

もう一つの定番：MMCスナップイン/ポリシー系コンソールの初期化不良

MMC系で「Snap-in failed to initialize」類の問題が出ると、GPOやセキュリティ系スナップインが開けなくなります。 Microsoft サポート

やること

• 管理端末で 管理者として GPMC/GPMEを実行

• MMCキャッシュ破損を疑い、プロファイル側のMMC関連キャッシュ整理（運用ルールに従って実施）

• 可能なら 別の管理端末（別ユーザー） で同じGPOを開けるか試し、端末依存か切り分け

3. GPMCのステータスで「Detect Now後に別DCがInaccessible」になる理由

GPMCには「Group Policy Infrastructure Status（インフラ状態）」という、GPO配布・SYSVOL・複製などを俯瞰する機能があります。 Microsoft Learn
ここで“Detect Now”を叩いたときに 片方のDCがInaccessibleになるのは、次のどれかが揺れているサインです。

パターンA：権限/アクセスの問題（GPMCは見に行けないがAD自体は見える）

「ADUCでは見えるのに、GPMCの状態だけNG」というケースは、SYSVOLやポリシーフォルダへのアクセス権、あるいはGPMCが参照する一部パスへの権限・到達性が絡むことがあります。Microsoft Q&Aでも“Inaccessible”表示に関する議論があり、権限や環境要因が原因になり得ます。 Microsoft Learn+1

やること

• \\ドメイン\SYSVOL と \\ドメイン\Policies を、両DC・管理端末から参照できるか

• 当該GPOのGUIDフォルダ配下（gpt.ini等）にアクセスできるか

パターンB：SYSVOL複製の遅延/途中（“Replication in progress”系）

GPO変更直後など、複製が完了していないタイミングでGPMCが警告や不整合を出すのは、運用現場でよくあります（一定時間後に自然解消することも）。 Server Fault

やること

• repadmin /replsummary で複製の失敗がないか確認

• repadmin /syncall などで同期を促し、GPMCを更新

パターンC：DNS/ファイアウォール/到達性（RPC・SMB）が欠けて“状態取得だけ”失敗

「Firewallが勝手にONになる」事象と同時に起きるなら、DC間や管理端末→DCの通信が、Firewallルールやネットワークで部分的に欠けている可能性があります。GPMCの状態取得は、ADの参照だけでなくSYSVOL（SMB）やRPC等の到達性に依存するため、**“片方向だけ見えない”**が起こり得ます（古い環境からの継承ドメインで特に）。関連の切り分け話はコミュニティでも繰り返し出ています。 Server Fault

やること

• DC間で名前解決（A/AAAA、SRV）と疎通（SMB/RPC）が成立しているか

• DCのFirewallで ファイル共有、RPC、リモート管理 などの基本ルールが意図せずブロックされていないか

4. 失敗しない復旧手順（現場でのおすすめ順）

1. gpresultで“勝っているGPO”を特定
   　「削除したGPO」ではなく、勝者を叩かない限り直りません。

2. GPOのFirewall設定は“1つの方針に集約”
   　複数GPOにFirewall設定が散ると、継承・強制・優先度で事故が増えます。Microsoftの手順どおり、該当ノード配下にまとめるのが安定します。 Microsoft Learn

3. スナップインが開けない問題は“編集端末側”を疑う
   　サービス（MpsSvc/BFE）、MMC初期化、端末依存の切り分け。該当エラーの考え方は事例として参照できます。 Microsoft Learn+1

4. GPMCのInaccessibleは“SYSVOL/複製/DNS/到達性”を順に潰す
   　GPMCのインフラ状態ビューが何を見ているかを理解し、repadminとSYSVOL参照で裏取り。 Microsoft Learn+1

5. 継承ドメインで特に気をつけたい「見えない地雷」

• “昔のセキュリティGPO”がドメイン直下にあり、OU側で何をしても負ける

• DC用OU/コンテナにだけ強制リンクがあり、DC関連の状態取得が崩れる

• SYSVOL複製方式の移行痕跡（FRS→DFSR）や、アクセス権のカスタムが残っている

• Firewall設定が「複数GPO」「スクリプト」「手動変更」で三重管理になっている

これらは、一度きれいに棚卸しして“誰が最終決定権を持つのか”を一つにするだけで、驚くほど安定します。

まとめ

今回の症状は、単に「Firewallが言うことを聞かない」のではなく、GPOの勝敗（優先順位）、管理端末のMMC/サービス不調、**DC間のインフラ健全性（SYSVOL・複製・到達性）**が絡んで発生している可能性が高いです。
まずは gpresult で勝者GPOを確定し、次にスナップイン問題を“編集端末側”で切り分け、最後にGPMCのInaccessibleをrepadminとSYSVOL参照で裏取りする。この順で進めると、遠回りせずに原因へ到達できます。