本記事はマイクロソフト社員によって公開されております。
こんにちは。Windows Commercial Support Directory Services チームです。
一部の管理用テンプレートを使用しているコンピューターで、 [SSL 暗号の順位] ポリシーの初期値が全角カンマ区切りになる事象についてご案内いたします。
発生環境
以下 OS バージョンの日本語版管理用テンプレートを使用している環境
Windows Server 2019
Windows 10 v1703 以降
※ Windows 10 v1607 以前、Windows Server 2016 以前の管理用テンプレートでは発生しません
発生事象
グループ ポリシーの [SSL 暗号の順位] を有効に設定した際、デフォルトの設定値が全角カンマ区切りになる事象が発生いたします。
ポリシー パス : [コンピューターの構成] – [管理用テンプレート] – [ネットワーク] – [SSL 構成設定] - [SSL 暗号の順位]
設定値が全角カンマ区切りになったまま SSL 暗号の順位を設定してしまうと、OS が設定値を識別することができなくなり、本設定に依存するSSL / TLS 通信が失敗するという事象が発生いたします。(例: Internet Explorer を使用して外部の Web サーバーへアクセスできなくなる、等)
なお、本事象は Windows 10 v1607 以前の管理用テンプレート (日本語) を使用している環境では発生いたしません。
発生原因
この事象は Windows 10 v1703 以降の日本語版の管理用テンプレートの問題です。管理用テンプレート (adml) ファイルに含まれる初期設定値が全角カンマ区切りで記載されてしまっているために発生いたします。
// adml ファイル抜粋
対処方法
[SSL 暗号の順位] ポリシーの区切り文字は全角カンマではなく、半角カンマを使用していただきますようお願い申し上げます。
# 参考情報
# トランスポート層セキュリティ (TLS) を管理する
抜粋)
TLS 暗号スイートの順序一覧は、厳密なコンマ区切り形式である必要があります。
各暗号スイート文字列は、右側のコンマ (,) で終わります。
本問題については、回避方法が明確かつ容易であること、問題発覚当時のお客様において業務影響が限定的であったなどの理由より、現行バージョンでの修正は見送りとなりました。そのため、本問題は次期 OS のバージョンで修正する方針となっております。問題が修正されましたら、本ブログをアップデートいたします。