デバイスを新しいバージョンの Windows 10 に更新した後に証明書が見つからない

この記事では、オペレーティング システムの更新後にデバイスのシステム証明書とユーザー証明書が失われる問題の回避策について説明します。

適用対象: Windows 10 バージョン 20H2;Windows 10 バージョン 2004;Windows 10 バージョン 1909;Windows 10 バージョン 1903

現象

Windows 10 バージョン 1809 以降を実行するデバイスがあります。 デバイスには、2020 年 9 月 16 日またはそれ以降の LCU でリリースされた最新の累積的な更新プログラム (LCU) もあります。 デバイスを新しいバージョンの Windows に更新すると、デバイスのシステム証明書とユーザー証明書が失われます。

原因

この動作は、デバイスの更新に使用されたインストール ソースまたはメディアが古い場合に発生する可能性があります。 この更新プログラムには、2020 年 10 月 13 日以降にリリースされた LCU は含まれません。 通常、この動作は、Windows Server Update Services (WSUS) や Microsoft Endpoint Configuration Manager などの更新管理ツールが更新プログラムをダウンロードしてデバイスに配布する環境のマネージド デバイスに影響します。 また、古い物理メディアまたは ISO イメージを使用して更新されたデバイスにも影響します。

この動作は、Windows Update for Business を使用するデバイスや Windows Update に直接接続するデバイスには影響しません。 Windows Update に接続するすべてのデバイスは、追加の手順なしで、最新バージョンの機能更新プログラム (最新の LCU を含む) を常に受け取る必要があります。

回避策

この問題を緩和するには、次のいずれかを実行します。

• Microsoft Update カタログまたはボリューム ライセンス サービス センターから新しいソース イメージをダウンロードして、前のソース イメージを置き換えます。 次に、そのイメージを使用してデバイスを更新します。
• デバイスを以前の Windows バージョンにロールバックし、不足している LCU を更新プログラムに追加してから、更新プログラムを再インストールします。

重要

• ロールバック プロセスは個人用ファイルには影響しませんが、更新プログラムをインストールした後にインストールしたアプリとドライバーは削除されます。 また、更新プログラムをインストールした後に行った設定の変更も元に戻します。

• 既定では、更新プログラムはインストールから 10 日以内にのみロールバックできます。 コマンド プロンプト ウィンドウでこの時間制限を変更するには、次のコマンドを実行します。

  Dism /Online /Set-OSUninstallWindow /Value:<days>
  

  このコマンドでは、 <days> は 2 ~ 60 の整数です。

ロールバックするには、次の手順に従います。

1. Start>Settings>Update & Security>Recovery を選択します。
2. [ 以前のバージョンの Windows 10 に戻るで、 Get started を選択します。

最新の LCU を更新ソースに追加するには、次の手順に従います。

1. ソース ISO イメージをマウントし、 Install.wim ファイルを書き込み可能な場所にコピーします。

   Note

   イメージに Install.wim ファイルではなく Install.esd ファイルがある場合は、Dism /Export-Image コマンドを使用して .esd ファイルを .wim ファイルに変換します。

2. Windows 10 の更新履歴に移動して、システム バージョンの正しい LCU 番号を検索します。

3. Microsoft Update Catalog に移動し、LCU をダウンロードします。

   Note

   • WSUS を使用して更新プログラムを管理する場合は、 WSUS とカタログ サイトを参照してください。 この記事では、WSUS を使用して Microsoft Update カタログから更新プログラムをダウンロードする方法について説明します。
   • Microsoft Intune を使用して更新プログラムを管理する場合は、 Software 更新プログラムの管理に関するドキュメントを参照してください。

4. イメージに LCU を追加するには、管理コマンド プロンプト ウィンドウを開き、次のコマンドを実行します。

   Dism /Add-Package /Image:"C:\Mount\Windows" /PackagePath="windows10.0-kb4586781-x64_bd543ce012ec1695201cdb2d324a2206bd445132.msu" /LogPath=C:\Mount\Dism.log
   

5. Dism コマンドによって生成されたパッケージの一覧を確認し、その一覧にパッケージが含まれていることを確認します。 一覧を表示するには、次のコマンドを実行します。

   Dism /Get-Packages /Image:<Path_to_Image>
   

   Note

   このコマンドでは、 <Path_to_Image> はイメージ ファイルのパスとファイル名です。

6. イメージをコミットしてマウント解除します。 そのためには、次のコマンドを実行します。

   Dism /Unmount-Image /MountDir:<Path_to_Mount_Directory> /Commit
   

   Note

   このコマンドでは、 <Path_to_Mount_Directory> はマウントされたイメージへのパスです。

7. (省略可能)更新されたファイルを使用してイメージを再作成します。 そのためには、次のコマンドを実行します。

   Oscdimg –n –d –m "<Source>" "<Target.iso>"
   

   Note

   このコマンドでは、 <Source> はイメージにビルドするファイルの場所であり、 <Target.iso> は ISO イメージ ファイルの名前です。

データ収集

Microsoft サポートの支援が必要な場合は、「展開関連の問題について TSS を使用して情報を収集する」に記載している手順に従って情報を収集することをお勧めします。

リファレンス

• Windows イメージへの更新の追加
• Add-WindowsPackage
• DISM を使用して Windows イメージを変更する
• Oscdimg のコマンド ライン オプション