| [不具合情報] |
| |
| HotFix Alert: |
| − |
| |
| セキュリティ番号: |
| − |
| |
| サポート技術情報: |
| 833754(不具合)
|
|
| Outlook起動時に1回のパスワード入力ミスでアカウント・ロックが発生する不具合 |
| 情報ソース |
マイクロソフト |
| 不具合の内容 |
認証の仕様 |
| 発生条件 |
Outlook起動時のパスワードの入力ミス |
| 報告日 |
2003年12月18日 |
|
|
Outlook 2000/2002をExchange 2000 Server/Exchange Server 2003に接続して利用している場合、Outlook起動時に1回パスワード入力をミスしただけでアカウントがロックアウトされてしまう不具合が明らかになりました。この不具合が発生するのは、以下の全条件を満たす場合です。
- Outlook 2000 SP2(9.0.0.4527)以降のバージョンのOutlook 2000または Outlook 2002を利用している(Outlook
2003は含まない)
- Outlookプロファイル内の[ログオン ネットワーク セキュリティ]を「なし」に設定している
- Exchange 2000 Server/Exchange Server 2003側でRFR Interfaceを「使用する」に設定している(デフォルトは「使用する」)
- Active Directory上で該当アカウントのロックアウトのしきい値を「5回以下」に設定している
- RPCバインディング・オーダー(RPC接続を確立する際に使用されるプロトコルと各プロトコルの優先順位)で、TCP/IPと名前付きパイプを使用可能に設定している(デフォルトは「使用可能」)
つまり、Exchange 2000 Server/Exchange Server 2003をデフォルトの状態で使用しており、Outlookのプロファイル内の[ログオン
ネットワーク セキュリティ]を「なし」としている場合、この不具合が発生する可能性があります。
アカウントがロックアウトされてしまうと、ロックアウトを解除するまで、メールの送受信が行えなくなります。またロックアウトの解除は、管理者が行う必要があり、管理の手間が増えることにつながります。ロックアウトが簡単に発生しないように設定を変更しておくとよいでしょう。ただし、ロックアウトのしきい値を大きくしすぎると、パスワードが解析されやすくなるなどの危険性が増しますのでご注意ください。
|
不具合の対象:
Outlook 2000
Outlook 2002 |
|
詳細:
OutlookはExchange Serverとの接続に際して、RPC接続の確立に使用するプロトコルと各プロトコルの優先順位情報を基に、利用可能なすべてのプロトコルを使用して、RPC接続の確立を試み、Active
Directoryの情報を要求します。このとき、パスワードが誤っていると、すべてのプロトコルで認証が失敗します。また、これらの認証時には、サーバ名のみ/ドメイン名まで含めた完全修飾ドメイン名(FQDN)がそれぞれ試行されるため、RPCバインディング・オーダーで、TCP/IPと名前付きパイプが使用可能であれば、この時点で合計4回の認証に失敗することになります。その次にOutlookは、NSPI(Name
Service Provider Interface)プロキシを用いた認証を試行しますが、パスワードが間違っているために5回目の認証失敗が発生します。Active
Directory上で、該当アカウントのロックアウトのしきい値を5回以下に設定している場合、1回のパスワード入力ミスでも結果的に合計5回の認証に失敗するため、アカウントのロックアウトが発生します。
この不具合を解消するには、以下の方法があります。
■名前付きパイプを使用したRPC接続を無効化する
名前付きパイプを使用したRPC接続を無効化することで、1回のパスワード入力ミスで発生する認証要求を4回から2回に変更します。
以下の作業は、Outlookを起動するクライアントで実行してください。
- レジストリ エディタを起動します。
- 以下のレジストリ・キーの値を確認し、データから「ncacn_np」を削除します。
| キー |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange\Exchange Provider |
| 値の名前 |
RPC_Binding_Order |
| データ型 |
REG_SZ |
| データ |
ncalrpc,ncacn_ip_tcp,ncacn_np,ncacn_spx,netbios,ncacn_vns_spp |
■アカウント・ロックアウトのしきい値を変更する
グループ・ポリシーを利用して、アカウントのロックアウトのしきい値を6回以上に変更します。1回の入力ミスで、5回の認証要求が必要となるため、6回に設定することで1回の入力ミスまで対応可能となります。実用上は2回程度のミスに対応できるように11回程度に設定しておくとよいでしょう。しきい値をさらに増加させることで、3回以上の入力ミスにも対応できるようになります。ただし前述したとおり、しきい値を増加させると、パスワード攻撃に対する防御が低下しますのでご注意ください。
■ログオン・ネットワーク・セキュリティの認証方法を変更
Outlookを起動するクライアントで、Outlookプロファイル内の[ログオン ネットワーク セキュリティ]を「NT パスワード認証」に変更します。
|
|
| |
|
| [不具合情報] |
| |
| HotFix Alert: |
| − |
| |
| セキュリティ番号: |
| − |
| |
| サポート技術情報: |
| 822820(不具合)
|
|
| サーバの利用頻度が高い時間帯にWindows Server 2003が無応答になる不具合 |
| 情報ソース |
マイクロソフト |
| 不具合の内容 |
パフォーマンス低下 |
| 発生条件 |
監査プロセスの実行 |
| 報告日 |
2003年12月17日 |
|
|
サーバの利用頻度が高い時間帯にWindows Server 2003ベースのコンピュータが無応答になる不具合があることが明らかになりました。この不具合は、Windows
Server 2003上でExchange Server 2003を実行し、監査機能を有効にしている場合に多く発生する傾向にあります。監査機能とは、Active
Directory内でのユーザーの操作やシステム全体のイベント発生状況などをログに記録する機能です。これにより、不正なアクセスや異常なイベントの発生などが検知可能となり、システムの信頼性を向上させることができます。
サーバの利用頻度が高い時間帯に、監査機能のプロセスがイベント・ログに対してリモート・プロシージャ・コール(RPC)を発行するときの負荷が、システムのパフォーマンスに影響を与え、これが原因でサーバが無応答になります。
この不具合を修正する修正プログラムは、マイクロソフトの「Microsoft Product Support Services」に問い合わせることで入手可能です。ただしマイクロソフトは、「修正プログラムはこの資料に記載された問題のみを修正することを目的としており、障害があったコンピュータに対してのみ適用することを推奨します」としています。提供方法とこの文面からみて、十分にテストされたものとはいえないようです。
|
不具合の対象:
Windows Server 2003 |
|
詳細:
監査プロセスがイベント・ログ・サービスに対してRPCを発行するときの負荷により、Windows Server 2003ベースのコンピュータが無応答になることがあります。これは、利用頻度が高い時間帯(監査するイベントも大量に発生する)において、監査プロセスがアカウント・ログオンなどのイベントの記録を行うためのRPCが大量に発生し、処理しきれなくなるために発生します。
この修正プログラムは、サーバがバッチで監査イベントをログに記録できるように変更します。これにより、イベント・ログに対するRPCの合計回数が減るため、監査機能がWindows
Server 2003のパフォーマンスに与える影響も小さくなります。
|
|
| |
|
|
|
| MS03-045を適用後、フィルタ・キーを起動するとシフトロックが有効になる不具合 |
| 情報ソース |
マイクロソフト |
| 不具合の内容 |
機能不全 |
| 発生条件 |
Windows XPにMS03-045を適用 |
| 報告日 |
2003年12月17日 |
|
|
Windows XPに「TechNetセキュリティ情報:MS03-045(リストボックス/コンボボックス・コントロールの未チェック・バッファの脆弱性により、任意のコードが実行される可能性)」の修正プログラムを適用後、フィルタ・キーを起動すると、シフトロック状態が有効になる不具合があることが明らかになりました。
シフトロック状態とは、Shiftキーが押し続けられた状態です。この不具合により、Shiftキーを押していないにもかかわらず、内部的には押しているものとしてキー入力が扱われます。このため、英小文字や数字を入力するつもりが大文字や記号になってしまうなど、意図した文字の入力が行えなくなります。
フィルタ・キー機能とは、身体の障害などによりキーボードを素早く操作できないユーザーが、キーボードのキーを押し続けてもキー・リピートが発生しないようにする入力補助機能です。この機能は、右Shiftキーを8秒以上押し続けることで起動します(ダイアログが表示されます)。誤ってフィルタ・キー機能を起動してダイアログが表示されても、ダイアログの[キャンセル]ボタンをクリックすることで、本来は起動をキャンセルできます。しかしMS03-045の修正プログラムを適用していると、キャンセルしてもシフトロック状態が有効な状態になる場合があります。
DA Labで確認したところ、MS03-045の修正プログラム適用後のWindows XPにのみこの不具合が発生することが分かりました(Windows
2000では発生しません)。この不具合が発生した場合、左Shiftキーを押すことで、シフトロック状態を解除することができます。なお現在のところマイクロソフトは、この不具合に関する修正プログラムなどは提供していません。
|
不具合の対象:
Windows XP SP未適用/SP1/SP1a |
|
詳細:
フィルタ・キーは、ユーザー補助機能の1つです。Windowsは、身体の障害などにより素早いキー入力などが行えないユーザーのために、キー入力を補助する機能を標準で装備しています。ShiftキーやCtrlキーなどほかのキーと同時に押す必要があるキーでも、キーをロックすることで1キーずつの入力が可能な「固定キー機能」や(Ctrlキーを押してから、別のキーを押すと、それらを組み合わせて押したものとして処理する)、キー入力の間隔を長くしたり同じキーが繰り返し入力された場合は無視したりする「フィルタ・キー機能」、CapsLockキーやNumLockキーを押したときに音を鳴らす「切り替えキー機能」などがあります。
このうちのフィルタ・キー機能に不具合が発生します。Windows XPに対してMS03-045の修正プログラムを適用し、フィルタ・キー機能を起動(右Shiftキーを8秒以上押す)すると、シフトロック状態になり、目的のキー入力が行えなくなってしまいます。シフトロック状態となった場合、左Shiftキーを押して、シフトロックを解除してください。
|
|
| |
|
| [不具合情報] |
| |
| HotFix Alert: |
| − |
| |
| セキュリティ番号: |
| − |
| |
| サポート技術情報: |
| 830680(不具合) |
|
| パスワード・ディスクの作成ウィザードでディスクをC:ドライブに挿入するように要求される |
| 情報ソース |
マイクロソフト |
| 不具合の内容 |
機能不全 |
| 発生条件 |
パスワード・ディスクの作成ウィザードの実行 |
| 報告日 |
2003年12月17日 |
|
|
ノートPCなどのフロッピードライブを搭載していないコンピュータにおいて、Windows XPのパスワード・ディスクの作成ウィザードを実行すると、フォーマット済みのディスクをC:ドライブに挿入するように要求されるという不具合が明らかになりました。通常、C:ドライブは起動ドライブとして、ハードディスクに割り当てられているため、パスワード・ディスクの作成ウィザードを完了することができません。この不具合は、フロッピードライブを接続してから、パスワード・ディスクの作成ウィザードを実行することで回避可能です。
なお、この不具合を修正する修正プログラムは、マイクロソフトの「Microsoft Product Support Services」に問い合わせることで入手可能です。ただしマイクロソフトは、「修正プログラムはこの資料に記載された問題のみを修正することを目的としており、障害があったコンピュータに対してのみ適用することを推奨します」としています。提供方法とこの文面からみて、十分にテストされたものとはいえないようです。
|
不具合の対象:
Windows XP SP未適用/SP1/SP1a |
|
詳細:
従来、ユーザーが自身のアカウントに付けたパスワードを忘れてしまった場合、管理者がユーザーのパスワードを手動でリセットするしかありませんでした。しかし、この場合、パスワードの再設定に伴い、以下の情報が失われてしまいます。
- ユーザーの公開キーで暗号化された電子メール
- コンピュータに保存されたインターネット・パスワード
- ユーザーが暗号化したファイル
これに対しWindows XPでは、パスワード・リセット・ディスクを作成することで、上記の情報を失うことなく、パスワードの再設定を可能する機能が用意されています。ドメインに参加しているコンピュータの場合、パスワード・リセット・ディスクは以下の手順で作成します。
- ローカル・アカウントでログオンした状態でCtrl+Alt+Delキーを押し、表示されたダイアログで[パスワードの変更]ボタンをクリックします。
- [ユーザー名]にパスワード・リセット・ディスクを作成するアカウントのユーザー名を入力します。
- [ログオン先]で、[<ローカル・コンピュータ名>] をクリックします。
- [バックアップ]をクリックします。
- [パスワード ディスクの作成ウィザード]の指示に従って、フロッピーディスクを挿入してパスワード・リセット・ディスクを作成します。
ノートPCなどのフロッピードライブを搭載していないコンピュータに対しても、手順5において空のフロッピーディスクをC:ドライブに挿入することが求められます。DA
Labでも、この不具合を確認しました。
通常、C:ドライブは起動ドライブとしてハードディスクが割り当てられているため、フロッピーディスクが挿入できず、パスワード・リセット・ディスクが作成できません。この不具合を運用で回避するには、フロッピードライブを接続してから、パスワード・ディスクの作成ウィザードを実行するようにします。
|
|
| |
|
|
|
| Windows 2000にSP4を適用すると、リモート・アクセス接続ができなくなる不具合 |
| 情報ソース |
マイクロソフト |
| 不具合の内容 |
接続エラー |
| 発生条件 |
Windows 2000にSP4を適用 |
| 報告日 |
2003年12月17日 |
|
|
Windows 2000にService Pack 4(SP4)を適用すると、ダイヤルアップによるリモート・アクセスでサーバに接続できなくなるという不具合が明らかになりました。接続時に「スクリプト
エラー」または「ダイアログを読み込めません。エラー0xc000007a:」のどちらかのエラーが発生し、サーバへの接続が拒否されます。これらの不具合が発生した場合、「詳細」に示した回避策を実行してください。
なお、この不具合を修正する修正プログラムは、マイクロソフトの「Microsoft Product Support Services」に問い合わせることで入手可能です。ただしマイクロソフトは、「修正プログラムはこの資料に記載された問題のみを修正することを目的としており、障害があったコンピュータに対してのみ適用することを推奨します」としています。提供方法とこの文面からみて、十分にテストされたものとはいえないようです。
|
不具合の対象:
Windows 2000 SP4 |
|
詳細:
この不具合は、以下の原因によって発生します。原因別の回避方法を併せて示します。
■「スクリプト エラー」の場合
リモート・アクセス電話帳内のエントリがリモート・アクセス・スクリプト・ファイルを指している場合に、この不具合が発生します。これは、Rasscrpt.dllファイルの依存関係により、Windows
2000 SP4へのアップグレード後、Win32 APIのRasDial関数が正しく動作しなくなることが原因です。なお、[ネットワークとダイヤルアップ接続]のダイヤルアップ接続のエントリを使用している場合には、この不具合は発生しません。「スクリプト
エラー」が発生する場合、[ネットワークとダイヤルアップ接続]のダイヤルアップ接続のエントリを使用するように設定を変更してください。
■「ダイアログを読み込めません。エラー 0xc000007a:」の場合
Windows 2000リモート・アクセスのプロパティか、ダイヤルアップ・ネットワーク接続のプロパティの[セキュリティ]タブで[ターミナル ウィンドウを表示する]オプションのチェックがオンになっている場合に、この不具合が発生することがあります。「ダイアログを読み込めません。エラー
0xc000007a:」が発生する場合、[ターミナル ウィンドウを表示する]オプションのチェックを外してください。
|
|
