どうも皆様ぐーてんもるげん。日々のトラブルには事欠かない私です。
今回のネタはWindows11の再インストール。
普段なら何のことはない「ハズ」だったんだけど、まぁまぁ酷い目にあったんだこれが。
事の発端は検証機の動作不良
この検証機、データベースの動作チェックやクエリの試験なんかに使用してます。当然ながら、頻繁に環境の作り直しや、検証に必要なソフトのインストール、アンインストール作業を繰り返しているんだけど、アンインストールしたソフトの残骸が何故か残っている、削除したはずのサービスが動いているといった問題が発生。
こういうトラブルの場合、原因を追究するよりはサクッとOSをインストールし直した方が早い。ただ、普段使用しているソフトや環境の再導入作業という、くそだる作業が発生してしまいます。
しかーし!今回の環境はさっきも書いた通り検証機!元々ぶっ飛ばすことを前提にしていたのでローカル保存しているファイルはもとんどなく、また特別導入が面倒なソフトも入れてません。まぁ、必要ならまた入れればいいのです。
というわけで、Windows11の再インストール作業を始める事に。
無論Windows11のインストールメディアは手元にありますが、古いものを使ってやるなんてことはしません。インストール自体は問題なく出来るかもしれませんが、その後大型アップデートをWindowsUpdateで大量に適用する悪夢が待っているからです。なので、面倒でも毎回インストールメディアを作成しなおします。
今回もサクサクとWindows11のブータルメディアを作成します。
インストーラが起動しない
明らかにおかしい。BIOS上でもきちんとブータルメディアは認識しているし、起動優先順位も問題ない。手動でブートデバイスをブータルメディアにしても動かない。何だこれ??
BIOSの設定がおかしくなっちゃったのかなーと思い、色々とチェックするも問題なし。
・UEFIモードは有効
・Secure Bootも有効
とどめにUSBのブータルメディアを2度作り直してみても駄目。インストールに使うメディアを変えても駄目。なんだこれ??
突破口はまさかのBIOSの誤操作
ここまでいくとあれこれ弄ってトライアンドエラーを繰り返すしかありません。この時点でも「第8世代プロセッサだぞ?Windows11サポートしてるだろうに・・・」という考えは一ミリも動いていなかった訳で。
で、何を思ったのかセキュアブートを無効にしてみました。
ええ、起動する訳が無いんです。Windows11の導入必須条件はTPM2.0とセキュアブートが有効であること、ですから。
ほーらやっぱりね、動いてる。え?動いてる??
目の前で起きてることに軽く衝撃を受ける私。何でなのさ、Windows11の必須要件を満たせない設定に意図的に変えたんだよ!?動かなくなる筈なんだよ!?なのに何で動かない設定にしたら動き出したのよ!?誰かボクに説明してよ!?わけがわからないよ!! (CVキュウべえ)
まぁ当然ながら、セキュアブートが無効であること、TPM2.0に対応出来ていないメッセージを出してWindows11のインストーラは止まった訳ですが、さっきまでの枕画面でno boot device を大量に表示していた所からすると確実に前進。加えて、Windows11のインストール環境チェック機能が、「正しく」エラーメッセージを返した事実により、ブータルメディアの作成にしくじっている可能性もここで消えます。
念のためセキュアブートを再度有効にすると、やっぱり「no boot device・・・」のメッセージ。どういうことなの??
モノは試しに、セキュアブートを無効にした状態でWindows11をインストールする為に、レジストリの変更で無理やりWindows11をインストールする方法を実行します。前にブログでネタにしたアレですね。
※ココでインストールウィザードの解像度がおかしくなっていたんですが、特に疑問に思わず先に進めてしまいます。
博識な方はお気づきでしょう、これが後の大失態に繋がります。。。
でまぁ、この程度の対応で完了できるわけが無いとタカを括っていたんですが
まさかのインストール完了。ええ?
そんでいつものように再起動!すると
OSが起動しなくなりました。はぁ!?
インストールはエラー無く完了していたので軽く狼狽。違うと言ったらレジストリでセキュアブートとTPM2.0の回避を行ったことと、画面の解像度がおかしかったくらいで。。。
うん??画面の解像度がおかしい?それじゃあまるでUEFIモードじゃなくて、レガシーモードでインストールしたみたいな。。。
※Windows11はUEFIモードでないと起動しません。
ここまで考えを巡らせて過ちに気付き、まさかと思いBIOSを確認。
あああ!!やっぱりUEFIモードからレガシーモードに切り替わってる!?
どうもセキュアブートを無効にした際、モード設定もUEFIモードからレガシーモードに切り替えられてたみたい。
Winodws11のインストールウィザードの解像度がおかしかった時点で気付くべきでした。
※というか、GPTパーティション以外からWindows11は起動出来ないんだから、レガシーモードでインストーラが動作すること自体、問題じゃないのか??
ここで再度、セキュアブートを無効にし、UEFIモードに設定してWindows11のインストールを実施。
途中でレジストリの設定のあれをやってね。
結果、インストールはすんなり成功、Windows11も問題なく起動します。
その挙動は、Windows11のサポート対象外となった第7世代プロセッサ環境に対し、無理やりWindows11のインストールを試みた時そのもの。
はっはっはっ!これじゃあまるで、第8世代プロセッサがWindows11のサポート対象外になったみたいじゃあないかw
原因はBIOSとDBXだった
そもそもの原因は、CPUの世代「だけ」でWindows11へのサポートの有無を判断したことですな。今回、問題になった「DBX」とは、「Secure Boot Forbidden Signature Database(セキュアブート不許可署名データベース)」のことで、本来ならば脆弱性の確認されたブートローダーの起動を許可しない、ブラックリストとして機能しています。
セキュアブートはその性質上、信頼できる署名が付与されたOS、もっと言うとブートローダーだけを起動許可しますが、過去に起動が許可されたブートローダであっても、何らかの脆弱性が発見された場合、WinodwsUpdateでブラックリストにブートローダーが登録されます。また、新たなブートローダがリリースされた場合、同様にDBXにブートローダの情報が追加されていきます。
WindowsUpdateが問題なく実行できて、DBXの更新も滞りなく実行出来ている間なら問題ないのでしょうが、今回のようにマザーボードのBIOS側の設計が古く、DBXの更新を正しく受け入れられない場合、ブートローダーのホワイトリスト・ブラックリストがうまく更新されなくなってしまいます。
Microsoftが公式にリリースしている、Windows11のインストールメディアクリエイションツールは最新版のビルドでインストールメディアを作成します。
結果、今回作成したインストールメディアに搭載されているブートローダーの情報がDBXに記載されていなかったため、セキュアブートが有効な環境下ではリカバリが実行出来なかったんですね。
で、第7世代プロセッサ端末にWindows11を無理やり導入作業した時と同様、セキュアブートとTPM2.0を無効化することで、Windows11のインストールが完了出来たわけです。やれやれ。
Windows11対応可否を、CPU世代だけで判断するとえらいことになる
もうね、総括としてはこれに尽きるでしょう。付け加えるなら、過去にWindows11が使えてた端末であっても、必ずしもWindows11の入れ直しが成功するとは限らないということでしょうな。今回はたまたま第8世代のプロセッサで問題が出ましたけど、第9世代、第10世代のプロセッサであっても、自社開発しているBIOSを搭載している端末や、小さい企業の作成したウェアラブルPCの類は、BIOSの設計が旧来のまま維持されている可能性も十分あり、こういった場合比較的短期間でBIOSの更新がストップしたり、更新版BIOSが全くリリースされないということも珍しくありません。
結果としてDBXの更新がうまく処理されなくなってしまい、購入後短期間で端末のシステム的な寿命を迎えてしまう訳です。ひっどいね。
相変わらずのアナウンスの雑さにうんざり
今回の件、本来ならばMicrosoftやIntel、端末の製造元から何らかのアナウンスがあって然りじゃないです?ユーザからすれば、本来Windows10が最終リリースのバージョンだと言われていたのにいきなりWindows11が現れて、しかもハードウェアの要求内容が、従来のWindowsと比較しても段違いでややこしくなり、トドメに今回の件。Microsoftが公開しているCPUの対応リストにしても、大型アップデートが適用される毎に更新される旨のお知らせがあるべきだし、ユーザに対しても対応リストは永久不変なものではないんですよーと、お知らせすべきなんじゃないですかね。
メーカーについては5年間のバージョンアップを完遂した時点で、製造者責任は果たしているとは思うけど、それでも「次バージョンからは適用出来なくなりますよー」みたいな一言、あってもいいんじゃあないの??
Microsoftとメーカ同士で、このあたりの情報共有されてないのかな。MicrosoftがSurfaceをリリースした時にPCベンダとMicrosoftとの関係が超険悪になったけど、あれが尾を引き続けてるのかな、と邪推してみたり。
まぁ仮にそうだとしても、エンドユーザが割を食うのは全くもって納得行かないけどね。
これって業務用PCではかなり厄介な問題で、個人用PCであれば、今回実施したようなセキュアブートの無効化処理で無理やりWinodows11を入れて延命させることはできると思うけど(公式サポート外の環境になるリスクを理解した上で、ね)、ある程度セキュリティが担保されていることを絶対とする、機密性の高い情報を扱う業務用PCではそうは行かない。もしかするとソフトによってはセキュリティ要件を満たせていないという理由で起動不可能になったり、業務提携している会社間で締結している情報取り扱いに関する契約違反なんてことになっても、全く不思議じゃあない。
つまるところ、昨日まで使えていた環境が、大型バージョンアップが行われたある日を境にパッチの適用が受けられなくなり、「動くんだけど使えない」という悪夢のような状況になる可能性も十分考えられる、ってことになるわけです。
うちのオフィスでは問題になっていないからへーきへーき!とタカを括っている、そこのあなた!あなたに言ってるんですよ~。
物を大切に使うことはもちろん大事だけど、延命はほどほどにして、適切なタイミングで環境のリプレースを計画的に実施する必要がある、ってことですな。
ちなみに、セキュアブートを無効にして無理やりWindows11を入れた端末ですが、問題なくWindowsUpdateも完了し、元気に動き出してしまいました。
これで晴れて、「いつWindowsUpdateで爆ぜるか分からない、最悪の爆弾の埋まった黒ひげ危機一髪マシン」と相なったわけです。
これさぁ、ヘンテコインストールしている環境だって絶対気づけないよね。やばいんじゃないかなぁ??
今回のお話はここまで!
ではまた!!(・ω・)ノシ
0 件のコメント:
コメントを投稿