次の方法で共有

Windows NT ドメインと Active Directory ドメインの間の信頼を確立できないか、想定どおりに動作しない

  • [アーティクル]

この記事では、Windows NT 4.0 ベースのドメインと Active Directory ベースのドメインの間の信頼構成の問題について説明します。

元の KB 番号: 889030

現象

Microsoft Windows NT 4.0 ベースのドメインと Active Directory ベースのドメインの間で信頼を設定しようとすると、次のいずれかの現象が発生する可能性があります。

  • 信頼が確立されていません。
  • 信頼は確立されますが、信頼は期待どおりに機能しません。

さらに、次のいずれかのエラー メッセージが表示される場合があります。

ドメイン "Domain_Name" への参加中に次のエラーが発生しました:このステーションからのログインがアカウントに許可されていません。

アクセスが拒否されました。

ドメイン コントローラーに接続できませんでした。

ログオンエラー: 不明なユーザー名または無効なパスワード。

Active Directory ユーザーとコンピューターのオブジェクト ピッカーを使用して NT 4.0 ドメインから Active Directory ドメインにユーザーを追加すると、次のエラー メッセージが表示されることがあります。

現在の検索と一致する項目はありません。 検索パラメーターを確認し、もう一度やり直してください。

原因

この問題は、次のいずれかの領域で構成の問題が発生したために発生します。

  • 名前解決
  • セキュリティの設定
  • ユーザー権限
  • Microsoft Windows 2000 または Microsoft Windows Server 2003 のグループ メンバーシップ

問題の原因を正しく特定するには、信頼構成のトラブルシューティングを行う必要があります。

解決方法

Active Directory ユーザーとコンピューターでオブジェクト ピッカーを使用するときに "アイテムが現在の検索と一致しない" というエラー メッセージが表示される場合は、NT 4.0 ドメインのドメイン コントローラーに、ネットワーク ユーザー権限からこのコンピューターにアクセスするユーザー全員が含まれていることを確認します。 このシナリオでは、オブジェクト ピッカーは信頼を介して匿名で接続しようとします。 これらの設定を確認するには、「方法 3: ユーザー権限を確認する」セクションの手順に従います。

Windows NT 4.0 ベースのドメインと Active Directory の間の信頼構成の問題をトラブルシューティングするには、次の領域の正しい構成を確認する必要があります。

  • 名前解決
  • セキュリティの設定
  • ユーザー権限
  • Microsoft Windows 2000 または Microsoft Windows Server 2003 のグループ メンバーシップ

これを行うには、次の方法を使用します。

方法 1: 名前解決の正しい構成を確認する

手順 1: LMHOSTS ファイルを作成する

ドメイン間の名前解決機能を提供するために、プライマリ ドメイン コントローラーに LMHOSTS ファイルを作成します。 LMHOSTS ファイルは、メモ帳などの任意のテキスト エディターで編集できるテキスト ファイルです。 各ドメイン コントローラーの LMHOSTS ファイルには、TCP/IP アドレス、ドメイン名、および他のドメイン コントローラーの \0x1b エントリが含まれている必要があります。

LMHOSTS ファイルを作成したら、次の手順に従います。

  1. 次のテキストのようなテキストが含まれるようにファイルを変更します。

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    Note

    \0x1b エントリの引用符 (" ") の間には、合計 20 文字とスペースが必要です。 ドメイン名の後にスペースを追加して、15 文字を使用します。 16 番目の文字はバックスラッシュで、その後に "0x1b" 値が続き、合計で 20 文字になります。

  2. LMHOSTS ファイルへの変更が完了したら、ドメイン コントローラーの %SystemRoot% \System32\Drivers\Etc フォルダーにファイルを保存します。 LMHOSTS ファイルの詳細については、 %SystemRoot% \System32\Drivers\Etc フォルダーにある Lmhosts.sam サンプル ファイルを参照してください。

手順 2: LMHOSTS ファイルをキャッシュに読み込む

  1. [スタート]ボタン、 [ファイル名を指定して実行]の順にクリックし、「 cmd」と入力して、 [OK]をクリックします。

  2. コマンド プロンプトで、「 NBTSTAT -R」と入力し、Enter キーを押します。 このコマンドは、LMHOSTS ファイルをキャッシュに読み込みます。

  3. コマンド プロンプトで、「 NBTSTAT -c」と入力し、Enter キーを押します。 このコマンドはキャッシュを表示します。 ファイルが正しく書き込まれている場合、キャッシュは次のようになります。

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    ファイルがキャッシュに正しく設定されない場合は、次の手順に進みます。

手順 3: Windows NT 4.0 ベースのコンピューターで LMHOSTS 参照が有効になっていることを確認する

ファイルがキャッシュに正しく設定されない場合は、Windows NT 4.0 ベースのコンピューターで LMHOSTS 参照が有効になっていることを確認してください。 これを行うには、次の手順を実行します。

  1. Startをクリックし、Settings をポイントして、[コントロール パネル] をクリックします。
  2. Networks をダブルクリックし、Protocols タブをクリックし、TCP/IP プロトコルをダブルクリックします。
  3. [WINS アドレス] タブをクリックし、[有効な LMHOSTS 参照] チェック ボックスをオンにします。
  4. コンピューターを再起動します。
  5. 「LMHOSTS ファイルをキャッシュに読み込む」セクションの手順を繰り返します。
  6. ファイルがキャッシュに正しく設定されない場合は、LMHOSTS ファイルが %SystemRoot%\System32\Drivers\Etc フォルダーにあり、ファイルが正しく書式設定されていることを確認します。

たとえば、ファイルは次の書式設定の例のように書式設定する必要があります。

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

Note

ドメイン名と \0x1b エントリの引用符 (" ") の中には、合計 20 文字とスペースが必要です。

手順 4: Ping コマンドを使用して接続をテストする

各サーバーでファイルがキャッシュに正しく設定されたら、各サーバーで Ping コマンドを使用して、サーバー間の接続をテストします。 これを行うには、次の手順を実行します。

  1. [スタート]ボタン、 [ファイル名を指定して実行]の順にクリックし、「 cmd」と入力して、 [OK]をクリックします。

  2. コマンド プロンプトで、「 Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>」と入力し、Enter キーを押します。 Ping コマンドが機能しない場合は、LMHOSTS ファイルに正しい IP アドレスが一覧表示されていることを確認してください。

  3. コマンド プロンプトで、「 net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>」と入力し、Enter キーを押します。 次のエラー メッセージが表示されます。

    システム エラー 5 が発生しました。 アクセスが拒否されました

    net view コマンドが次のエラー メッセージまたはその他の関連するエラー メッセージを返す場合は、LMHOSTS ファイルに正しい IP アドレスが一覧表示されていることを確認します。

    システム エラー 53 が発生しました。 ネットワーク パスが見つからない

または、LMHOSTS ファイルを使用せずに名前解決機能を有効にするように Windows インターネット ネーム サービス (WINS) を構成することもできます。

方法 2: セキュリティ設定を表示する

通常、信頼構成の Active Directory 側には、接続の問題を引き起こすセキュリティ設定があります。 ただし、セキュリティ設定は信頼の両側で検査する必要があります。

手順 1: Windows 2000 Server と Windows Server 2003 でセキュリティ設定を表示する

Windows 2000 Server および Windows Server 2003 では、セキュリティ設定は、グループ ポリシー、ローカル ポリシー、または適用されたセキュリティ テンプレートによって適用または構成できます。

正しいツールを使用して、不正確な読み取りを回避するために、セキュリティ設定の現在の値を決定する必要があります。

現在のセキュリティ設定の正確な読み取りを取得するには、次の方法を使用します。

  • Windows 2000 Server では、セキュリティ構成と分析スナップインを使用します。

  • Windows Server 2003 では、セキュリティ構成と分析スナップイン、またはポリシーの結果セット (RSoP) スナップインを使用します。

現在の設定を決定したら、設定を適用しているポリシーを特定する必要があります。 たとえば、Active Directory のグループ ポリシーや、セキュリティ ポリシーを設定するローカル設定を決定する必要があります。

Windows Server 2003 では、セキュリティ値を設定するポリシーは RSoP ツールによって識別されます。 ただし、Windows 2000 では、グループ ポリシーとローカル ポリシーを表示して、セキュリティ設定を含むポリシーを決定する必要があります。

  • グループ ポリシー設定を表示するには、グループ ポリシーの処理中に Microsoft Windows 2000 セキュリティ構成クライアントのログ出力を有効にする必要があります。

  • アプリケーション ログイン イベント ビューアーを表示し、イベント ID 1000 とイベント ID 1202 を見つけます。

次の 3 つのセクションでは、オペレーティング システムを特定し、収集した情報でオペレーティング システムに対して確認する必要があるセキュリティ設定を一覧表示します。

Windows 2000

次の設定が次のように構成されていることを確認します。

RestrictAnonymous:

匿名接続の追加の制限
 "なし。 既定のアクセス許可に依存する"

LM 互換性:

LAN Manager 認証レベル "NTLM 応答のみを送信する"

SMB 署名、SMB 暗号化、またはその両方:

クライアント通信にデジタル署名する (常に) DISABLED
クライアント通信にデジタル署名する (可能な場合) ENABLED
サーバー通信にデジタル署名する (常に) DISABLED
サーバー通信にデジタル署名する (可能な場合) ENABLED
セキュリティで保護されたチャネル: セキュリティで保護されたチャネル データをデジタル暗号化または署名する (常に) DISABLED
セキュリティで保護されたチャネル: セキュリティで保護されたチャネル データをデジタル暗号化する (可能な場合) DISABLED
セキュリティで保護されたチャネル: セキュリティで保護されたチャネル データにデジタル署名する (可能な場合) DISABLED
セキュリティで保護されたチャネル: 強力な (Windows 2000 以降) セッション キーが必要 DISABLED
Windows Server 2003

次の設定が次のように構成されていることを確認します。

RestrictAnonymous と RestrictAnonymousSam:

ネットワーク アクセス: 匿名の SID と名前の変換を許可する ENABLED
ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない DISABLED
ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない DISABLED
ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する ENABLED
ネットワーク アクセス: 名前付きパイプに匿名でアクセスできる ENABLED
ネットワーク アクセス: 名前付きパイプと共有への匿名アクセスを制限する DISABLED

Note

既定では、Windows Server 2008 では、[ネットワーク アクセス: 匿名 SID/名前変換を許可する] 設定の値が無効になっています。

LM 互換性:

ネットワーク セキュリティ: LAN Manager 認証レベル "NTLM 応答のみを送信する"

SMB 署名、SMB 暗号化、またはその両方:

Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う DISABLED
Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う ENABLED
Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う DISABLED
Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う ENABLED
ドメイン メンバー: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する DISABLED
ドメイン メンバー: セキュリティで保護されたチャネル データをデジタル暗号化する (可能な場合) ENABLED
ドメイン メンバー: セキュリティで保護されたチャネル データにデジタル署名する (可能な場合) ENABLED
ドメイン メンバー: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする DISABLED

設定が正しく構成されたら、コンピューターを再起動する必要があります。 セキュリティ設定は、コンピューターが再起動されるまで適用されません。

コンピューターが再起動したら、10 分待って、すべてのセキュリティ ポリシーが適用され、有効な設定が構成されていることを確認します。 Active Directory ポリシーの更新はドメイン コントローラーで 5 分ごとに行われ、更新によってセキュリティ設定値が変更される可能性があるため、10 分待つことをお勧めします。 10 分後、セキュリティ構成と分析または別のツールを使用して、Windows 2000 および Windows Server 2003 のセキュリティ設定を確認します。

Windows NT 4.0

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前に、バックアップします。 その後、問題が起こった場合は、レジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、マイクロソフト サポート技術情報の記事を表示するには、次の資料番号をクリックします。 322756 Windows でレジストリをバックアップおよび復元する方法

Windows NT 4.0 では、レジストリを表示するには、Regedt32 ツールを使用して現在のセキュリティ設定を確認する必要があります。 これを行うには、次の手順を実行します。

  1. [開始をクリックし、Run をクリックし、「regedt32」と入力して、[OK] をクリック

  2. 次のレジストリ サブキーを展開し、RestrictAnonymous エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. 次のレジストリ サブキーを展開し、LM 互換性エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. 次のレジストリ サブキーを展開し、EnableSecuritySignature (サーバー) エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. 次のレジストリ サブキーを展開し、RequireSecuritySignature (サーバー) エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. 次のレジストリ サブキーを展開し、RequireSignOrSeal エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. 次のレジストリ サブキーを展開し、SealSecureChannel エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. 次のレジストリ サブキーを展開し、SignSecureChannel エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. 次のレジストリ サブキーを展開し、RequireStrongKey エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

方法 3: ユーザー権限を確認する

Windows 2000 ベースのコンピューターで必要なユーザー権限を確認するには、次の手順に従います。

  1. [スタート] ボタンをクリックし、[プログラム][管理ツール] の順にポイントして、[ローカル セキュリティ ポリシー] をクリックします。
  2. [ ローカル ポリシー] を展開し、[ユーザー権利の割り当て ] をクリック
  3. 右側のウィンドウで、[ネットワークからこのコンピューターにアクセス をダブルクリックします
  4. [割り当て先] リストの [Everyone グループの横にある [ローカル ポリシー設定] チェック ボックスをオンにし、[OK] をクリックします。
  5. ネットワークからこのコンピューターにアクセス をダブルクリックします
  6. [ 割り当て先 ] の一覧にプリンシパル グループがないことを確認し、[ OK] をクリック。 たとえば、Everyone、Authenticated Users、およびその他のグループが一覧に表示されていないことを確認します。
  7. [ OK をクリックし、ローカル セキュリティ ポリシーを終了します。

Windows Server 2003 ベースのコンピューターで必要なユーザー権限を確認するには、次の手順に従います。

  1. Startをクリックし、Administrative Toolsをポイントして、[ドメイン コントローラーのセキュリティ ポリシー] をクリック

  2. [ ローカル ポリシー] を展開し、[ユーザー権利の割り当て ] をクリック

  3. 右側のウィンドウで、[ネットワークからこのコンピューターにアクセス をダブルクリックします

  4. [すべてのユーザー] グループがネットワークからこのコンピューターにアクセス一覧に含まれていることを確認します。

    [Everyone] グループが一覧にない場合は、次の手順に従います。

    1. [ユーザーまたはグループの追加] をクリックします。
    2. [ユーザー名とグループ名 ボックスに「everyone」と入力し、[OK] をクリック

  5. ネットワークからこのコンピューターにアクセス をダブルクリックします

  6. ネットワークからこのコンピューターへのアクセス権プリンシパル グループがないことを確認し、OKをクリックします。 たとえば、Everyone、Authenticated Users、およびその他のグループが一覧に表示されていないことを確認します。

  7. [ OK をクリックし、ドメイン コントローラーのセキュリティ ポリシーを閉じます。

Windows NT Server 4.0 ベースのコンピューターで必要なユーザー権限を確認するには、次の手順に従います。

  1. Startをクリックし、Programs をポイントし、Administrative Tools をポイントして、[ドメインのユーザー マネージャー] をクリックします

  2. Policies メニューの [ユーザー権限] をクリック

  3. Right の一覧で、[ネットワークからこのコンピューターにアクセス] をクリックします

  4. [ Grant to ボックスで、[Everyone] グループが追加されていることを確認します。

    Everyone グループが追加されていない場合は、次の手順に従います。

    1. 追加をクリックします。
    2. Namesの一覧で、Everyoneをクリックし、追加をクリックし、 OKをクリックします。

  5. [ OK] をクリックし、[ユーザー マネージャー] を終了します。

方法 4: グループ メンバーシップを確認する

ドメイン間で信頼が設定されているが、ダイアログ ボックスで他のドメイン オブジェクトが見つからないため、あるドメインから別のドメインにプリンシパル ユーザー グループを追加できない場合は、"Pre-Windows 2000 互換アクセス" グループに正しいメンバーシップがない可能性があります。

Windows 2000 ベースのドメイン コントローラーと Windows Server 2003 ベースのドメイン コントローラーで、必要なグループ メンバーシップが構成されていることを確認します。

Windows 2000 ベースのドメイン コントローラーでこれを行うには、次の手順に従います。

  1. [スタート] ボタンをクリックして、[プログラム]、[管理ツール] の順にポイントし、[Active Directory ユーザーとコンピューター] をクリックします。

  2. [ 組み込み] をクリックし、[Pre-Windows 2000 互換アクセス グループ ダブルクリックします

  3. [メンバー] タブをクリックし、[すべてのユーザー] グループが Members リストにあることを確認します。

  4. Everyone グループが Members リストにない場合は、次の手順に従います。

    1. [スタート]ボタン、 [ファイル名を指定して実行]の順にクリックし、「 cmd」と入力して、 [OK]をクリックします。
    2. コマンド プロンプトで、「 net localgroup "Pre-Windows 2000 Compatible Access" everyone /add」と入力し、Enter キーを押します。

必要なグループ メンバーシップが Windows Server 2003 ベースのドメイン コントローラーで構成されていることを確認するには、[ネットワーク アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用する] ポリシー設定が無効になっているかどうかを確認する必要があります。 不明な場合は、グループ ポリシー オブジェクト エディターを使用して、[ネットワーク アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用する] ポリシー設定の状態を確認します。 これを行うには、次の手順を実行します。

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「gpedit.msc」と入力し、[OK] をクリックします。

  2. 次のフォルダーを展開します。

    ローカル コンピューター ポリシー
    コンピューターの構成
    Windows の設定
    Security Settings
    ローカル ポリシー

  3. [セキュリティ オプション] をクリックし、右側のウィンドウで [Network アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用する] をクリックします。

  4. Security Setting 列の値が Disabled または Enabled の場合に注意してください。

Windows Server 2003 ベースのドメイン コントローラーで必要なグループ メンバーシップが構成されていることを確認するには、次の手順に従います。

  1. [スタート] ボタンをクリックして、[プログラム]、[管理ツール] の順にポイントし、[Active Directory ユーザーとコンピューター] をクリックします。

  2. [ 組み込み] をクリックし、[Pre-Windows 2000 互換アクセス グループ ダブルクリックします

  3. [ Members タブをクリックします。

  4. Network アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用できるようにするポリシー設定が無効になっている場合は、Everyone、Anonymous Logon グループが Members リストにあることを確認します。 [ネットワーク アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用する] ポリシー設定が有効になっている場合は、Everyone グループが Members リストにあることを確認します。

  5. Everyone グループが Members リストにない場合は、次の手順に従います。

    1. [スタート]ボタン、 [ファイル名を指定して実行]の順にクリックし、「 cmd」と入力して、 [OK]をクリックします。
    2. コマンド プロンプトで、「 net localgroup "Pre-Windows 2000 Compatible Access" everyone /add」と入力し、Enter キーを押します。

方法 5: ファイアウォール、スイッチ、ルーターなどのネットワーク デバイス経由の接続を確認する

次のエラー メッセージのようなエラー メッセージを受信し、LMHOST ファイルが正しいことを確認した場合、ドメイン コントローラー間のポートがブロックされているファイアウォール、ルーター、またはスイッチが原因で問題が発生している可能性があります。

ドメイン コントローラーに接続できませんでした

ネットワーク デバイスのトラブルシューティングを行うには、PortQry コマンド ライン ポート スキャナー バージョン 2.0 を使用して、ドメイン コントローラー間のポートをテストします。

PortQry バージョン 2 の詳細については、次の資料番号をクリックして、Microsoft サポート技術情報の記事を表示します。

832919 PortQry バージョン 2.0 の新機能

ポートの構成方法の詳細については、次の資料番号をクリックして、Microsoft サポート技術情報の記事を表示します。

179442 ドメインと信頼関係のためのファイアウォールを構成する方法

方法 6: 問題のトラブルシューティングに役立つ追加情報を収集する

上記の方法で問題の解決に役立たない場合は、次の追加情報を収集して、問題の原因のトラブルシューティングに役立ててください。

  • 両方のドメイン コントローラーで Netlogon ログを有効にします。 Netlogon のログ記録を完了する方法の詳細については、次の資料番号をクリックして、マイクロソフト サポート技術情報の記事を表示します。 109626 Net Logon サービスのデバッグ ログを有効にする

  • 両方のドメイン コントローラーで、問題が発生した時点でトレースをキャプチャします。

詳細

次のグループ ポリシー オブジェクト (GPO) の一覧は、該当するオペレーティング システムの対応するレジストリ エントリとグループ ポリシーの場所を示しています。

  • The RestrictAnonymous GPO:

    • Windows NT レジストリの場所: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 と Windows Server 2003 のレジストリの場所: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 グループ ポリシー: Computer Configuration\Windows Settings\Security Settings\ Security Options 匿名接続の追加の制限
    • Windows Server 2003 グループ ポリシー: Computer Configuration\Windows Settings\Security Settings\Security Options Network access: Do not allow anonymous enumeration of SAM accounts and shares

  • The RestrictAnonymousSAM GPO:

    • Windows Server 2003 レジストリの場所: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 グループ ポリシー: Computer Configuration\Windows Settings\Security Settings Security Options Network access: Do not allow anonymous enumeration of SAM accounts and shares

  • The EveryoneIncludesAnonymous GPO:

    • Windows Server 2003 レジストリの場所: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 グループ ポリシー: Computer Configuration\Windows Settings\Security Settings\Security Options Network access: Let Everyone permissions apply to anonymous users

  • LM 互換性 GPO:

    • Windows NT、Windows 2000、および Windows Server 2003 のレジストリの場所: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Windows 2000 グループ ポリシー: Computer Configuration\Windows Settings\Security Settings\Security Options: LAN Manager 認証レベル

    • Windows Server 2003 グループ ポリシー: Computer Configuration\Windows Settings\Security Settings\Security Options\Network security: LAN Manager 認証レベル

  • EnableSecuritySignature (クライアント) GPO:

    • Windows 2000 と Windows Server 2003 のレジストリの場所: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 グループ ポリシー: Computer Configuration\Windows Settings\Security Settings \Security Options: Digitally sign client communication (可能な場合)
    • Windows Server 2003 グループ ポリシー: Computer Configuration\Windows Settings\Security Settings\Security Options\Microsoft network client: Digitally sign communications (サーバーが同意する場合)

  • RequireSecuritySignature (クライアント) GPO:

    • Windows 2000 と Windows Server 2003 のレジストリの場所: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 グループ ポリシー: Computer Configuration\Windows Settings\Security Settings\Security Options: Digitally sign client communication (always)
    • Windows Server 2003: Computer Configuration\Windows Settings\Security Settings\Security Options\Microsoft network client: Digitally sign communications (always)

  • EnableSecuritySignature (サーバー) GPO:

    • Windows NT レジストリの場所: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 と Windows Server 2003 のレジストリの場所: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 グループ ポリシー: サーバー通信にデジタル署名する (可能な場合)
    • Windows Server 2003 グループ ポリシー: Microsoft ネットワーク サーバー: 通信にデジタル署名する (クライアントが同意した場合)

  • RequireSecuritySignature (サーバー) GPO:

    • Windows NT レジストリの場所: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 と Windows Server 2003 のレジストリの場所: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 グループ ポリシー: サーバー通信にデジタル署名する (常に)
    • Windows Server 2003 グループ ポリシー: Microsoft ネットワーク サーバー: 通信にデジタル署名する (常に)

  • The RequireSignOrSeal GPO:

    • Windows NT、Windows 2000、および Windows Server2003 のレジストリの場所: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 グループ ポリシー: セキュリティで保護されたチャネル データを暗号化または署名する (常に)
    • Windows Server2003 グループ ポリシー: ドメイン メンバー: セキュリティで保護されたチャネル データをデジタル暗号化または署名する (常に)

  • The SealSecureChannel GPO:

    • Windows NT、Windows 2000、および Windows Server2003 のレジストリの場所: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 グループ ポリシー: セキュリティで保護されたチャネル: セキュリティで保護されたチャネル データをデジタル暗号化する (可能な場合)
    • Windows Server 2003 グループ ポリシー: ドメイン メンバー: セキュリティで保護されたチャネル データをデジタル暗号化する (可能な場合)

  • The SignSecureChannel GPO:

    • Windows NT、Windows 2000、および Windows Server 2003 のレジストリの場所: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 グループ ポリシー: セキュリティで保護されたチャネル: セキュリティで保護されたチャネル データにデジタル署名する (可能な場合)
    • Windows Server 2003 グループ ポリシー: ドメイン メンバー: セキュリティで保護されたチャネル データにデジタル署名する (可能な場合)

  • The RequireStrongKey GPO:

    • Windows NT、Windows 2000、および Windows Server 2003 のレジストリの場所: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 グループ ポリシー: セキュア チャネル: 強力な (Windows 2000 以降) セッション キーが必要
    • Windows Server 2003 グループ ポリシー: ドメイン メンバー: 強力な (Windows 2000 以降) セッション キーが必要

Windows Server 2008

Windows Server 2008 を実行しているドメイン コントローラーでは、Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可するポリシー設定の既定の動作で問題が発生する可能性があります。 この設定により、Windows オペレーティング システムとサード パーティのクライアントの両方が脆弱な暗号化アルゴリズムを使用して、Windows Server 2008 ベースのドメイン コントローラーに NETLOGON セキュリティ チャネルを確立できなくなります。

関連情報

詳細については、次の資料番号をクリックして、Microsoft サポート技術情報の記事を表示します。

823659 セキュリティ設定とユーザー権限の割り当てを変更するときに発生する可能性があるクライアント、サービス、およびプログラムの非互換性