1. はじめに
こんにちは。@minotechです。
Azure 上で Windows Server 2025 をデプロイし、Windows Update や日本語化(Language Pack)の適用が失敗する という事象に遭遇しました。
本記事では、実際に発生した事象と原因、回避策などを備忘録としてまとめています。
必ずしも同じ構成で再現するとは限りませんが、どなたかの参考になれば幸いです。
本記事の内容は 2025 年 12 月 10 日時点の情報に基づいています。
以降の仕様変更やアップデートにより、最新の状況とは異なる可能性がありますのでご注意ください。
2. 前提および環境構成
- Azure 内のリソースは Azure Firewall を通じて通信を制御
- Azure VM(Windows Server2025)のインターネット向け Outbound通信はすべて Azure Firewall 経由となるように構成
- Windows Update/言語変更 の通信は Azure Firewall の FQDNタグ「WindowsUpdate」 のみを許可している環境
Azure VMを利用し通信制御する場合では、割とよくある一般的な構成かと思います。
✔ 構成イメージ図
・このような構成で、Azure VMからのインターネット通信をAzure Firewallで管理
3. AzureFirewallにおけるFQDNタグの概要
Azure Firewall には、特定サービスの必要な通信先を “FQDNタグ” としてまとめて許可できる機能があります。
これは Microsoft がサービスごとに必要なエンドポイントを管理・更新してくれる仕組みで、管理者はタグを指定するだけで通信制御が可能になる便利な機能です。
✔ FQDNタグのイメージ図
- FQDNタグの中のURLの登録・削除はMicrosoftが管理
4. FQDNタグを採用するメリットとデメリット
FQDNタグを採用する最大の理由は、カスタムURLを個別管理するより運用負荷が圧倒的に低い点です。
通信先が増減し得るサービスを自前で管理するのは非常に大変です。
◎ メリット
利用できるFQDNタグは活用したい。
| メリット | 説明 |
|---|---|
| Microsoftが自動で更新 | 必要なURLは Microsoft側で勝手にタグに追加してくれる |
| URL管理が不要 | OS更新で通信先が追加されても、ルールの手動更新が不要になる |
| ルールがシンプルになる | 個別URLを大量に登録する必要がないので可読性が高い |
⚠ デメリット
FQDNタグは便利ですが、以下のような罠も潜んでいます。
| デメリット | 説明 |
|---|---|
| タグ更新の遅延 | タグ更新は即時ではなく、数か月遅れるケースもある |
| タグの中身を確認できない | どのURLが含まれているかユーザー視点では“ブラックボックス” |
| 原因特定が難しい | Windows Updateが失敗して初めて“足りていない”ことが判明すること |
FQDNタグを活用して楽をしようと思いきや・・・
今回はまさにこの タグ更新の遅延 が原因でエラーが発生しました。
(詳細は次の項目以降で説明いたします。)
5. 発生した事象の概要
Windows Server2025のWindows Update/言語変更した際に以下のエラーが発生しました。
※環境や利用状況に応じて、エラーコードが異なる可能性はございます。
| 内容 | エラーコード | 主な発生原因 |
|---|---|---|
| Windows Updateエラー |
0x800F0905 CBS_E_INVALID_WINDOWS_UPDATE_COUNT** |
- 必要な通信が不足している - 更新パッケージ取得に失敗 |
| 言語変更エラー |
0x80072EFD ERROR_WINHTTP_CANNOT_CONNECT |
- 必要なエンドポイントへ接続できない - プロキシや Firewall等 による通信ブロック |
これらのエラーは、必要な通信先へのアクセスが失敗した際に発生する可能性が高いものです。
今回の Azure Firewall(FQDN タグ)設定では、一部の通信先が許可されていなかった可能性が考えられました。
6. 原因
Microsoftサポートへの問い合わせや通信ログ調査の結果、Windows Server 2025では以下のような新規エンドポイントが利用されていることが分かりました。
WindowsUpdate タグに含まれていない新規エンドポイントへアクセスが発生していたため、通信がAzure Firewallによりブロックされ、更新が失敗していました。
Windows Server 2025 で追加された Windows Update のエンドポイント9つ
| No | エンドポイント |
|---|---|
| 1 | definitionupdates.microsoft.com |
| 2 | *.prod.do.dsp.mp.microsoft.com |
| 3 | *.dl.delivery.mp.microsoft.com |
| 4 | *.windowsupdate.com |
| 5 | *.delivery.mp.microsoft.com |
| 6 | *.update.microsoft.com |
| 7 | adl.windows.com |
| 8 | tsfe.trafficshaping.dsp.mp.microsoft.com |
| 9 | *.api.cdp.microsoft.com |
FQDNタグに不足していたWindows Update のエンドポイント3つ
| No | エンドポイント |
|---|---|
| 1 | definitionupdates.microsoft.com |
| 2 | adl.windows.com |
| 3 | *.api.cdp.microsoft.com |
上記 3 つのエンドポイントが、Azure Firewall の WindowsUpdateのFQDNタグに含まれていない ことが判明しました。
そのため、
- Azure Firewall により通信がブロック(Deny)され、
- Windows Update / 言語変更(Language Packのダウンロード、インストール)が失敗する
という事象が発生していました。
7. 回避策
不足していたWindwos Updateのエンドポイントを Azure Firewall の Application Rule で個別に許可することで解決しました。
Azure PortalでのApplication Ruleの設定例
- 登録ルール
- Rule type:Application
- Source:Azure VM のサブネット/IP など
- Protocol:https:443
- Destination Type:FQDN
-
Target FQDN:不足していた通信先を個別に登録
- definitionupdates.microsoft.com
- adl.windows.com
- *.api.cdp.microsoft.com
✔ Application Ruleの設定画面の参考
(ターゲットに個別でFQDNを登録)
画像はテスト環境で取得したものになります。
個別の許可設定を登録後、私の環境では Windows Update/言語変更(Language Pack のダウンロード等)が正常完了することを確認しました。
8. まとめ
- Windows Server2025 の Windows Update では 従来より通信先が増えていた
- Azure Firewall の WindowsUpdate FQDNタグだけでは不足するケースが発生した
- 結果として、Windows Update や言語変更の処理でエラーが発生した
- 不足エンドポイントを Application Rule に個別で追加すれば解決可能
- FQDNタグは便利だが、FQDNタグの更新はタイムラグがあるため要注意!
9. 参考情報
-
Windows 11 Enterprise(Windows Server2025) の接続エンドポイントの管理
https://learn.microsoft.com/ja-jp/windows/privacy/manage-windows-11-endpoints -
FQDN タグの概要
https://learn.microsoft.com/azure/firewall/fqdn-tags
「FQDNタグで楽できるはずが…まさかの落とし穴」という経験でしたが、
今回のような事例が少しでも誰かの時間削減につながれば本望です。
この情報がどなたかのお役に立てば幸いです!