Windows Server 2016 における Windows ファイアウォール ルールの肥大化について

こんにちは。Windows プラットフォーム サポート担当の沖です。

今回は、Windows Server 2016にて UWP アプリケーションに関する Windows ファイアウォールのルールが肥大化する問題について、本 Blog でご紹介します。

Symptom
—————————————————

RDS 環境で以下のような事象が発生している場合には、RDS 環境の Windows ファイアウォールのルールが本 Blog でご紹介するような状態となっていないか確認ください。

・ログオン遅延
・サーバーハング
・パフォーマンスの劣化
・ログイン時の黒い画面表示 (デスクトップの表示までに時間がかかる)
・スタートメニューまたはCortanaを起動できない
・Internet Explorer を起動できない

また、本問題の発生時に、以下のようなイベントが記録されることがあります。
————————————
Source: Microsoft-Windows-AppModel-Runtime
Date:
Event ID: 21
Task Category: None
Level: Error
Keywords: (70368744177664),AppContainer
Description: CreateAppContainerProfile failed for AppContainer Microsoft.Windows.ShellExperienceHost_cw5n1h2txyewy with error 0x800705AA.
————————————
Source: Microsoft-Windows-AppModel-Runtime
Date:
Event ID: 21
Task Category: None
Level: Error
Keywords: (70368744177664),AppContainer
Description: CreateAppContainerProfile failed for AppContainer Microsoft.Windows.Cortana_cw5n1h2txyewy with error 0x800705AA.
————————————

Condition
—————————————————

ユーザーがログオフするタイミングでユーザープロファイルが削除され、次回ログオン時にユーザープロファイルが新規で作成される環境で発生し得ます。
例えば、以下のような場合です。

パターン 1: 移動ユーザー プロファイルを使用し、且つ以下のポリシーを設定している場合
[コンピューターの管理]
– [管理用テンプレート]
– [システム]
– [ユーザー プロファイル]
– [一時記憶された移動プロファイルのコピーを削除する]

パターン 2 : RDS 環境にて、User Profile Disk を使用している場合

Cause
—————————————————

ユーザープロファイルの新規作成時に UWP アプリケーションに関する Windows ファイアウォール ルールが作成されますが、ユーザープロファイルの削除時にはそれらの Windows ファイアウォール ルールが削除されません。
これにより、ログオフ時にユーザープロファイルが削除される環境では、UWP アプリケーションに関する Windows ファイアウォール ルールがログオンの度に重複して追加され、以下のレジストリが肥大化していきます。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System

以下は Windows Server 2016 で、Cortana、アカウント、職場または学校のアカウントに関するルールが重複して追加された場合の例です。

Workaround
—————————————————

Windows Server 2016 で、ユーザープロファイルの削除時にそのユーザーに関する Windows ファイアウォール ルールを削除する動作に変更するための更新プログラムの公開を予定しています。
更新プログラムを公開次第、本ブログを更新する予定です。

また、Windows Server 2012 R2 でも、UWP アプリケーションを利用している環境では、本問題が発生する可能性があります。
もし問題が発生した場合には、以下のようにレジストリのバックアップ後、レジストリを削除して改善するか確認ください。

– レジストリのエクスポート
reg export “HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System” fw.reg

– レジストリの削除
reg delete HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System /va

Update History
—————————————————

2018/10/24 : 本 Blog の公開

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。