特定のアカウントで実行されているスケジュールされたタスクは Windows XP の共有ネットワーク リソースにアクセスできません。

現象

Microsoft Windows XP ベースのコンピューターでは、[特定のアカウントで実行されているスケジュールされたタスクは、共有ネットワーク リソースにアクセスできません。この現象は、次の条件に該当する場合に発生します。
  • 特定のアカウントでは、スマート カードを使用して開かれている対話型のセッションを持っています。具体的には、ユーザーは、対話型セッションを開始するのにはパスワードの代わりに暗証番号 (PIN) を使用します。
  • Kerberos チケット (TGT) の有効期限が切れています。
スケジュールされたタスクは、共有ネットワーク リソースにアクセスできません後、に、次のようなイベントがアプリケーション イベント ログに記録されます。
イベントの種類: 警告
イベント ソース: LSASRV
イベント カテゴリ: SPNEGO (交渉)
イベント ID: 40960
日付: 2004 年 5 月 19 日
時間: 午前 9時 25分: 51
ユーザー: N/A
コンピューター: DEVXPVMWARE

説明:
セキュリティ システムは、cifs と secur012 のサーバーのダウン グレードを実行しようとした攻撃を検出しました。SECURDOM2.com。 認証プロトコル Kerberos からのエラー コード「暗証番号 (pin) に提示されませんでした、スマート カード (0xc0000382)」でした。

原因

タスク スケジューラ サービスは、特定のアカウントを使用してジョブを実行、タスク スケジューラ サービスはこのアカウントは、現在ログオンしているユーザーのアカウントもあるかどうかを判断しようとします。アカウントが現在ログオンしているユーザーのスケジュールされたタスクのセキュリティ コンテキストはそのユーザーのセキュリティ コンテキストにマップされて場合。このプロセスは、ユーザーのデスクトップにスケジュールされたジョブを指示します。

さらに、スケジュールされたタスクのユーザー アカウントが現在ログオンしているユーザーのアカウントである場合、およびそのユーザーのログオンにスマート カードを使用する場合は、タスクによってネットワーク アクセスが失敗する可能性があります。このネットワーク アクセスの失敗は、TGT チケットの有効期限が切れている場合に発生します。このシナリオでは、TGT の更新処理が失敗します。スマート カード ログオンを通じてセキュリティ コンテキスト取得されて、TGT が更新されるため、ユーザーが PIN を提供するプロセスが必要です。の詳細については、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします:
323931を長期間にスマート カードを使用してログオン時にユーザーのトークンの有効期限します。

注: ユーザーが PIN を入力していないために、TGT の更新処理が失敗することを想定しています。このシナリオでは、NTLM 認証プロトコルは使用されません、単純な保護された GSS-API ネゴシエーション (SPNEGO) セキュリティ パッケージを使用する場合でも。SPNEGO の詳細については、次の IETF の Web サイトを参照してください。.

解決策

サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この問題が発生しているシステムにのみ適用してください。この修正プログラムは、今後さらにテストを行う場合があります。したがって、この問題の影響が深刻でない場合は、この修正プログラムが含まれる次のソフトウェア更新プログラムがリリースされるまで待つことをお勧めします。

修正プログラムをダウンロードできる場合は、このサポート技術情報の資料の上部に「修正プログラムのダウンロード」セクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにお問い合わせのうえ、修正プログラムを入手してください。

注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。一覧マイクロソフト カスタマー サービス & サポートの電話番号または別のサービス リクエストを作成する、次のマイクロソフト Web サイトを参照してください。注: [修正プログラムのダウンロード] フォームには、修正プログラムが提供されている言語が表示されます。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。

必要条件

前提条件が必要ではありません。

再起動の必要性

この修正プログラムを適用した後、コンピューターを再起動する必要があります。

修正プログラムの置き換えに関する情報

この修正プログラムによって他の修正プログラムが置き換わることはありません。

ファイル情報

修正プログラム (英語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との差を検索するには、コントロール パネルの [日付と時刻]の[タイム ゾーン] タブを使用します。
Windows XP Service Pack 1 (SP1)
   Date         Time   Version            Size    File name
--------------------------------------------------------------
30-Apr-2005 01:43 5.1.2600.1677 258,560 Mstask.dll
29-Apr-2005 23:40 5.1.2600.1677 10,752 Mstinit.exe
30-Apr-2005 01:43 5.1.2600.1677 173,568 Schedsvc.dll
29-Apr-2005 23:47 5.1.2600.1677 594,432 Xpsp2res.dll

Windows XP Service Pack 2 (SP2)
   Date         Time   Version            Size    File name
--------------------------------------------------------------
30-Apr-2005 01:07 5.1.2600.2667 192,000 Schedsvc.dll

この修正プログラムには、次の新しいレジストリ サブキーが作成されます。
HKEY_LOCAL_MACHINE\Software\Microsoft\SchedulingAgent\DisableUSeOfTokenFromSession
このサブキーでは、次の 2 つの項目間の相関を無効にすることができます。
  • パスワードでセキュリティ プリンシパルが指定されている、タスク スケジューラのセキュリティ コンテキスト
  • セキュリティ プリンシパルがスマート カードと PIN により指定されている既存のユーザー セッションに関連するセキュリティ コンテキスト
修正プログラムを有効にするには、DisableUSeOfTokenFromSession レジストリ エントリの値を設定します
1.
注: 新しい UseOfSessionTokenDisabled レジストリ エントリは、Windows XP Service Pack 2 (SP2) でログオンしている場合にのみを実行する] オプションは相互に排他的で同時には使えません。

状況

マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
プロパティ

文書番号:887572 - 最終更新日: 2017/02/01 - リビジョン: 1

Microsoft Windows XP Professional, Microsoft Windows XP Home Edition

フィードバック