【24H2】Windows 11 メジャーアップデート後のエラーログ地獄と対応方法（た～くさん）

Atom | RSS

このサイトを検索 | Search this site

【24H2】Windows 11 メジャーアップデート後のエラーログ地獄と対応方法（た～くさん）

AI Translation

Windows メジャーアップデートの恐怖

Windows 11の22H2にアップデートして以降、イベントログに多数のエントリが記録されるようになりました。中には見覚えのあるものや、初めて見るものも含まれています。

具体的なイベントIDは、200、201、202、10016、6155、1108、28などです。

200～202については過去に調べましたが、未だに解決できていません。10016はDCOMエラーで、解決可能な可能性があります。6155はLSA（LsaSrv）に関連するもので、意味がよく分かっていません。

ローカルユーザーとしてPCを使う分には、これらのログは無視しても大きな問題にはならないようなので、特に積極的に修復するつもりはありません。ただし、200番台のエラーは大量に記録されていて煩わしいため、ログの記録を停止しました。

今後、気が向いたら修復方法を探すかもしれないので、念のためログの記録をメモとして残しておきます。

先ずは、DISM / SFC

Windows 11/10 付属のシステムファイルチェッカーを実行すると、いくつかのイベントログは消える可能性がある。

システムファイルチェッカーは2種類あり、両方を実行するとよい。

DISM/SFC
DISM	Deployment Image Servicing and Management
SFC	System File Checker

ID:6155, 28, 1108 は DISM/SFC 実行後に消えた。

使い方はこちらです。

【Windows 11】24H2 アップデート後のトラブルシューティング（DISM, SFC, コンポーネントサービス）

ID: 200, 201, 202

外出先でテザリングしているのが理由なら気にすることはないが、どうなんでしょうか？

イベントログ 200～202
ID	メッセージ
200	Windows Update サービスへの接続を確立できませんでした。
201	Windows Metadata and Internet Services (WMIS) への接続を確立できませんでした。
202	ネットワークリストマネージャーは、インターネットに接続していないことをレポートしています。

根本的な解決ではないが...

とりあえず、ログに記録されないよう対処した。

以下を探して、Enabled=0 に変更するとログの記録が止まります。（既定値：1）

※レジストリの操作は自己責任です。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System\{fcbb06bb-6a2a-46e3-abaa-246cb4e508b2}

詳しい手順は以下の記事でまとめています。

[EventId 200] Windows Update サービスへの接続を確立できませんでした

[EventId 200,201,202] DeviceSetupManager の警告 | SC2

ID: 10016

DCOMエラーは、Windowsを22H1から22H2のようにメジャーアップデートする際に再発することがあります。この現象は、既定値を変更したDCOMコンポーネントがメジャーアップデートによって初期状態にリセットされるために発生します。そのため、メジャーアップデートだけでなく、毎月のマンスリーアップデートでもDCOM設定が初期化される可能性があります。

エラーログを基にした対処方法

エラーログに記載されている「APPID」と「ユーザー: xxx」の情報を確認することで、適切な対処方法を推測することが可能です。また、ログメッセージには「コンポーネントサービスを使用して修復できる可能性がある」と記載されています。

今回記録されたユーザーは、PC\User(ローカルユーザー)、LOCAL SERVICE の2種類。

PC\User

PerAppRuntimeBroker がアクセス権を要求したことを示唆するログです。

イベントログ
メッセージ	アプリケーション固有のアクセス許可の設定では、CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} および APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} の COM サーバーアプリケーションに対するローカルアクティブ化のアクセス許可を、アプリケーションコンテナー利用不可 SID (利用不可) で実行中のアドレス LocalHost (LRPC 使用) のユーザー xxx\yyy SID (S-1-5-21-zzz) に与えることはできません。このセキュリティアクセス許可は、コンポーネントサービス管理ツールを使って変更できます。
ログの名前	システム
ソース	DistributedCOM (DCOM)
イベントID	10016
レベル	エラー
ユーザー	Local User（pcName\UserAccount）

修復方法

Re[EventId 10016] PerAppRuntimeBroker、20H2アップデートで復活

LOCAL SERVICE

ShellServiceHost がアクセス権を要求したことを示唆するログです。

イベントログ
メッセージ	アプリケーション固有のアクセス許可の設定では、CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} および APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} の COM サーバーアプリケーションに対するローカルアクティブ化のアクセス許可を、アプリケーションコンテナー利用不可 SID (利用不可) で実行中のアドレス LocalHost (LRPC 使用) のユーザー NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) に与えることはできません。このセキュリティアクセス許可は、コンポーネントサービス管理ツールを使って変更できます。
ログの名前	システム
ソース	DistributedCOM (DCOM)
イベントID	10016
レベル	警告
ユーザー	LOCAL SERVICE

修復方法

re:[EventId 10016] ShellServiceHost にアクセス権を付与する方法

ID: 6155

このログは、Windows 11 22H2 にアップデート以降記録されるようになった。

警告なので深刻そうだが放置でかまいません。

イベントログ
メッセージ	LSA パッケージは予期した通りに署名されていません。これにより、Credential Guard で予期しない動作が発生する可能性があります。パッケージ名: msv1_0
ログの名前	システム
ソース	LSA (LsaSrv)
イベントID	6155
レベル	警告
ユーザー	SYSTEM

ID: 1108

このログは単独で記録されるのではなく、直前のエラーに対応して記録されるらしい。直前に記録されたエラーは次項の ID28です。

イベントログ
メッセージ	Microsoft-Windows-Security-Auditing から発行された受信イベントの処理中に、イベントログサービスでエラーが発生しました。
ログの名前	セキュリティ
ソース	Eventlog
イベントID	1108
レベル	エラー
ユーザー	N/A

ID: 28

カーネルエラーは、深刻なエラーだと思いますよ。...＿|￣|○

イベントログ
メッセージ	プロバイダー {77811378-e885-4ac2-a580-bc86e4f1bc93} の特長の設定でエラーが発生しました。エラー: 0xC0000005
ログの名前	Microsoft-Windows-Kernel-EventTracing/Admin
ソース	Kernel-EventTracing
イベントID	28
レベル	エラー
ユーザー	SYSTEM