はじめに

Windows 10のサポートは2025年10月14日に終了いたしました。
諸々条件を満たせば、　「拡張セキュリティ更新プログラム（Extended Security Update：ESU）」の適用で、1年間の延命が可能です。

とある業務で、これが適用できず四苦八苦しましたので、メモしておきます。

事象

https://learn.microsoft.com/ja-jp/windows/whats-new/enable-extended-security-updates
公式URLに記載されている下記コマンドで、適用が可能なので、
一連のコマンドをbatファイル化して実行したところ、

slmgr.vbs /ipk <ESU MAK>
slmgr.vbs /ato <Activation ID>

エラーコード：0x80072F8F が出力され、適用できませんでした。
複数台端末に適用し、ある特定の端末のみ上記のエラーが出ている状況でした。

環境

適用に成功・失敗した環境はいずれも同一ドメインに参加しています。
ライセンスは購入しています。

切り分け

諸々調べて、以下の内容を確認しました。
※さすがに問題ないことばかり…。

１.時刻同期確認
→問題無し

２．前提となるWin10のバージョン、更新プログラムが適用されているか確認
https://learn.microsoft.com/ja-jp/windows/whats-new/enable-extended-security-updates
公式サイトの「前提条件」より
Windows10、バージョン22H2(OSビルド 19044.5131 および 19045.5131)、
KB5046613以降の累積更新プログラムが適用されていることが前提とのこと
→問題無し

３．名前解決
→問題無し

結論

失敗する端末に、ESU適用のために接続するURLで利用されている中間証明書がない
→なぜそうなっていたのか理由は不明ですが、
端末で保持している中間証明書のリストの中に、
「Microsoft Secure Server CA 2011」がありませんでした。
この証明書をインポートして再適用したところ、うまくいきました。

おわりに

余裕で終わるだろ～って思っていたら、思わぬところで苦戦してしまいました。