Windows NT ドメインと Active Directory ドメイン間の信頼を確立できないか、期待どおりに機能しない

  • [アーティクル]

この記事では、Windows NT 4.0 ベースのドメインと Active Directory ベースのドメインの間の信頼構成の問題について説明します。

適用対象: Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号: 889030

現象

Microsoft Windows NT 4.0 ベースのドメインと Active Directory ベースのドメインの間で信頼を設定しようとすると、次のいずれかの現象が発生する可能性があります。

  • 信頼が確立されていません。
  • 信頼は確立されますが、信頼は期待どおりに機能しません。

さらに、次のいずれかのエラー メッセージが表示される場合があります。

ドメイン "Domain_Name" に参加しようとすると、次のエラーが発生しました。アカウントはこのステーションからログインする権限がありません。

アクセスが拒否されました。

ドメイン コントローラーに接続できませんでした。

ログオンエラー: 不明なユーザー名または不適切なパスワード。

Active Directory ユーザーとコンピューターのオブジェクト ピッカーを使用して NT 4.0 ドメインから Active Directory ドメインにユーザーを追加すると、次のエラー メッセージが表示されることがあります。

現在の検索と一致する項目はありません。 検索パラメーターを確認し、もう一度やり直してください。

原因

この問題は、次のいずれかの領域で構成の問題が発生したために発生します。

  • 名前の解決
  • セキュリティの設定
  • ユーザー権限
  • Microsoft Windows 2000 または Microsoft Windows Server 2003 のグループ メンバーシップ

問題の原因を正しく特定するには、信頼構成のトラブルシューティングを行う必要があります。

解決方法

Active Directory ユーザーとコンピューターでオブジェクト ピッカーを使用するときに "現在の検索と一致する項目がありません" というエラー メッセージが表示される場合は、NT 4.0 ドメイン内のドメイン コントローラーに[ネットワーク ユーザーからこのコンピューターにアクセスする] 権限に Everyone が含まれていることを確認します。 このシナリオでは、オブジェクト ピッカーは信頼を介して匿名で接続しようとします。 これらの設定を確認するには、「方法 3: ユーザー権限を確認する」セクションの手順に従います。

Windows NT 4.0 ベースのドメインと Active Directory の間の信頼構成の問題をトラブルシューティングするには、次の領域の正しい構成を確認する必要があります。

  • 名前の解決
  • セキュリティの設定
  • ユーザー権限
  • Microsoft Windows 2000 または Microsoft Windows Server 2003 のグループ メンバーシップ

これを行うには、次のメソッドを使用します。

方法 1: 名前解決の正しい構成を確認する

手順 1: LMHOSTS ファイルを作成する

ドメイン間の名前解決機能を提供するために、プライマリ ドメイン コントローラーに LMHOSTS ファイルを作成します。 LMHOSTS ファイルは、メモ帳などの任意のテキスト エディターで編集できるテキスト ファイルです。 各ドメイン コントローラーの LMHOSTS ファイルには、TCP/IP アドレス、ドメイン名、および他のドメイン コントローラーの \0x1b エントリが含まれている必要があります。

LMHOSTS ファイルを作成した後、次の手順に従います。

  1. 次のテキストのようなテキストが含まれるようにファイルを変更します。

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name> #PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name> #PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    注:

    \0x1b エントリの引用符 (" ") の間には、合計 20 文字とスペースが必要です。 ドメイン名の後にスペースを追加して、15 文字を使用します。 16 文字目は円記号で、その後に "0x1b" の値が続き、合計 20 文字になります。

  2. LMHOSTS ファイルの変更が完了したら、ドメイン コントローラーの %SystemRoot% \System32 \Drivers\Etc フォルダーにファイルを保存します。 LMHOSTS ファイルの詳細については、 %SystemRoot% \System32 \Drivers\Etc フォルダーにある Lmhosts.sam サンプル ファイルを参照してください。

手順 2: LMHOSTS ファイルをキャッシュに読み込む

  1. [ スタート] をクリックし、[ 実行] をクリックし、「 cmd」と入力して、[OK] をクリック します

  2. コマンド プロンプトで、「」と入力 NBTSTAT -Rし、Enter キーを押します。 このコマンドは、LMHOSTS ファイルをキャッシュに読み込みます。

  3. コマンド プロンプトで、「」と入力 NBTSTAT -cし、Enter キーを押します。 このコマンドはキャッシュを表示します。 ファイルが正しく書き込まれている場合、キャッシュは次のようになります。

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    ファイルがキャッシュに正しく設定されない場合は、次の手順に進みます。

手順 3: WINDOWS NT 4.0 ベースのコンピューターで LMHOSTS 参照が有効になっていることを確認する

ファイルがキャッシュに正しく設定されない場合は、Windows NT 4.0 ベースのコンピューターで LMHOSTS 参照が有効になっていることを確認します。 これを行うには、次の手順を実行します。

  1. [スタート] ボタンをクリックし、[設定] をポイントして、[コントロール パネル] をクリックします。
  2. [ネットワーク] をダブルクリックし、[プロトコル] タブをクリックし、[TCP/IP プロトコル] をダブルクリックします。
  3. [WINS アドレス] タブをクリックし、[LMHOSTS 参照チェックを有効にする] ボックスをクリックして選択します。
  4. コンピューターを再起動します。
  5. 「LMHOSTS ファイルをキャッシュに読み込む」セクションの手順を繰り返します。
  6. ファイルがキャッシュに正しく設定されない場合は、LMHOSTS ファイルが %SystemRoot%\System32\Drivers\Etc フォルダーにあり、ファイルの形式が正しいことを確認します。

たとえば、ファイルは次の書式設定の例のように書式設定する必要があります。

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

注:

ドメイン名と \0x1b エントリの引用符 (" ") 内には、合計 20 文字とスペースが必要です。

手順 4: Ping コマンドを使用して接続をテストする

ファイルが各サーバーでキャッシュに正しく設定されたら、各サーバーのコマンドを Ping 使用してサーバー間の接続をテストします。 これを行うには、次の手順を実行します。

  1. [ スタート] をクリックし、[ 実行] をクリックし、「 cmd」と入力して、[OK] をクリック します

  2. コマンド プロンプトで、「」と入力 Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>し、Enter キーを押します。 コマンドが Ping 機能しない場合は、LMHOSTS ファイルに正しい IP アドレスが一覧表示されていることを確認します。

  3. コマンド プロンプトで、「」と入力 net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>し、Enter キーを押します。 次のエラー メッセージが表示されることが予想されます。

    システム エラー 5 が発生しました。 アクセスが拒否される

    net view コマンドが次のエラー メッセージまたはその他の関連するエラー メッセージを返す場合は、LMHOSTS ファイルに正しい IP アドレスが一覧表示されていることを確認します。

    システム エラー 53 が発生しました。 要求されたヘッダーは見つかりませんでした

または、LMHOSTS ファイルを使用せずに名前解決機能を有効にするように Windows Internet Name Service (WINS) を構成することもできます。

方法 2: セキュリティ設定を表示する

通常、信頼構成の Active Directory 側には、接続の問題を引き起こすセキュリティ設定があります。 ただし、セキュリティ設定は信頼の両側で検査する必要があります。

手順 1: Windows 2000 Server と Windows Server 2003 のセキュリティ設定を表示する

Windows 2000 Server および Windows Server 2003 では、セキュリティ設定は、グループ ポリシー、ローカル ポリシー、または適用されたセキュリティ テンプレートによって適用または構成できます。

正しいツールを使用して、不正確な読み取りを回避するために、セキュリティ設定の現在の値を決定する必要があります。

現在のセキュリティ設定の正確な読み取りを取得するには、次の方法を使用します。

  • Windows 2000 Server で、セキュリティ構成と分析スナップインを使用します。

  • Windows Server 2003 では、セキュリティ構成と分析スナップイン、またはポリシーの結果セット (RSoP) スナップインを使用します。

現在の設定を決定したら、設定を適用しているポリシーを特定する必要があります。 たとえば、Active Directory のグループ ポリシー、またはセキュリティ ポリシーを設定するローカル設定を決定する必要があります。

Windows Server 2003 では、セキュリティ値を設定するポリシーが RSoP ツールによって識別されます。 ただし、Windows 2000 では、グループ ポリシーとローカル ポリシーを表示して、セキュリティ設定を含むポリシーを決定する必要があります。

  • グループ ポリシー設定を表示するには、グループ ポリシー処理中に Microsoft Windows 2000 セキュリティ構成クライアントのログ出力を有効にする必要があります。

  • アプリケーション ログイン イベント ビューアーを表示し、イベント ID 1000 とイベント ID 1202 を見つけます。

次の 3 つのセクションでは、オペレーティング システムを識別し、収集した情報でオペレーティング システムについて確認する必要があるセキュリティ設定を一覧表示します。

Windows 2000

次の設定が次のように構成されていることを確認します。

RestrictAnonymous:

匿名接続に関する追加の制限
 "なし。 既定のアクセス許可に依存する"

LM 互換性:

LAN Manager 認証レベル "NTLM 応答のみを送信する"

SMB 署名、SMB 暗号化、またはその両方:

クライアント通信にデジタル署名する (常に) 無効
クライアント通信にデジタル署名する (可能な場合) 有効
サーバー通信にデジタル署名する (常に) 無効
サーバー通信にデジタル署名する (可能な場合) 有効
セキュリティで保護されたチャネル: セキュリティで保護されたチャネル データをデジタル暗号化または署名する (常に) 無効
セキュリティで保護されたチャネル: セキュリティで保護されたチャネル データをデジタル暗号化する (可能な場合) 無効
セキュリティで保護されたチャネル: セキュリティで保護されたチャネル データにデジタル署名する (可能な場合) 無効
セキュリティで保護されたチャネル: 強力な (Windows 2000 以降) セッション キーが必要 無効
Windows Server 2003

次の設定が次のように構成されていることを確認します。

RestrictAnonymous と RestrictAnonymousSam:

ネットワーク アクセス: 匿名 SID/名前変換を許可する 有効
ネットワーク アクセス: SAM アカウントの匿名列挙を許可しない 無効
ネットワーク アクセス: SAM アカウントと共有の匿名列挙を許可しない 無効
ネットワーク アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用させる 有効
ネットワーク アクセス: 名前付きパイプに匿名でアクセスできます 有効
ネットワーク アクセス: 名前付きパイプと共有への匿名アクセスを制限する 無効

注:

既定では、[ネットワーク アクセス: 匿名 SID/名前変換を許可する] 設定の値は、Windows Server 2008 では無効になっています。

LM 互換性:

ネットワーク セキュリティ: LAN Manager 認証レベル "NTLM 応答のみを送信する"

SMB 署名、SMB 暗号化、またはその両方:

Microsoft ネットワーク クライアント: 通信にデジタル署名する (常に) 無効
Microsoft ネットワーク クライアント: 通信にデジタル署名する (サーバーが同意する場合) 有効
Microsoft ネットワーク サーバー: 通信にデジタル署名する (常に) 無効
Microsoft ネットワーク サーバー: 通信にデジタル署名する (クライアントが同意した場合) 有効
ドメイン メンバー: セキュリティで保護されたチャネル データをデジタル暗号化または署名する (常に) 無効
ドメイン メンバー: セキュリティで保護されたチャネル データをデジタル暗号化する (可能な場合) 有効
ドメイン メンバー: セキュリティで保護されたチャネル データにデジタル署名する (可能な場合) 有効
ドメイン メンバー: 強力な (Windows 2000 以降) セッション キーが必要 無効

設定が正しく構成されたら、コンピューターを再起動する必要があります。 コンピューターが再起動されるまで、セキュリティ設定は適用されません。

コンピューターの再起動後、10 分待ってから、すべてのセキュリティ ポリシーが適用され、有効な設定が構成されていることを確認します。 Active Directory ポリシーの更新はドメイン コントローラーで 5 分ごとに行われ、更新によってセキュリティ設定の値が変更される可能性があるため、10 分待つことをおすすめします。 10 分後に、セキュリティ構成と分析または別のツールを使用して、Windows 2000 および Windows Server 2003 のセキュリティ設定を確認します。

Windows NT 4.0

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、次の記事番号をクリックして、「Microsoft サポート技術情報: Windows でレジストリをバックアップおよび復元する方法 」322756 の記事を参照してください

Windows NT 4.0 では、レジストリを表示するには、Regedt32 ツールを使用して現在のセキュリティ設定を確認する必要があります。 これを行うには、次の手順を実行します。

  1. [ スタート] をクリックし、[ 実行] をクリックし、「 regedt32」と入力して、[OK] をクリック します

  2. 次のレジストリ サブキーを展開し、RestrictAnonymous エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. 次のレジストリ サブキーを展開し、LM 互換性エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. 次のレジストリ サブキーを展開し、EnableSecuritySignature (サーバー) エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. 次のレジストリ サブキーを展開し、RequireSecuritySignature (サーバー) エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. 次のレジストリ サブキーを展開し、RequireSignOrSeal エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. 次のレジストリ サブキーを展開し、SealSecureChannel エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. 次のレジストリ サブキーを展開し、SignSecureChannel エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. 次のレジストリ サブキーを展開し、RequireStrongKey エントリに割り当てられている値を表示します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

方法 3: ユーザー権限を確認する

Windows 2000 ベースのコンピューターで必要なユーザー権限を確認するには、次の手順に従います。

  1. [ スタート] をクリックし、[ プログラム] をポイントし、[ 管理ツール] をポイントして、[ ローカル セキュリティ ポリシー] をクリックします。
  2. [ ローカル ポリシー] を展開し、[ ユーザー権利の割り当て] をクリックします。
  3. 右側のウィンドウで、[ ネットワークからこのコンピューターにアクセスする] をダブルクリックします。
  4. [割り当て先] リストの [すべてのユーザー] グループの横にある [ローカル ポリシー設定] チェック ボックスをクリックして選択し、[OK] をクリックします
  5. [ネットワークからこのコンピューターへのアクセスを拒否する] をダブルクリックします。
  6. [ 割り当て 先] リストに原則グループがないことを確認し、[OK] をクリック します。 たとえば、すべてのユーザー、認証済みユーザー、その他のグループが一覧に表示されていないことを確認します。
  7. [ OK] をクリックし、ローカル セキュリティ ポリシーを終了します。

Windows Server 2003 ベースのコンピューターで必要なユーザー権限を確認するには、次の手順に従います。

  1. [ スタート] をクリックし、[ 管理ツール] をポイントし、[ ドメイン コントローラー セキュリティ ポリシー] をクリックします。

  2. [ ローカル ポリシー] を展開し、[ ユーザー権利の割り当て] をクリックします。

  3. 右側のウィンドウで、[ ネットワークからこのコンピューターにアクセスする] をダブルクリックします。

  4. [すべてのユーザー] グループが [ネットワークからこのコンピューターにアクセス する] ボックスの一覧にあることを確認します。

    [すべてのユーザー] グループが表示されない場合は、次の手順に従います。

    1. [ ユーザーまたはグループの追加] をクリックします。
    2. [ ユーザー名とグループ名 ] ボックスに「 Everyone」と入力し、[OK] をクリック します

  5. [ネットワークからこのコンピューターへのアクセスを拒否する] をダブルクリックします。

  6. [ネットワークからこのコンピューターへのアクセスを拒否する] ボックスの一覧に原則グループがないことを確認し、[OK] をクリックします。 たとえば、すべてのユーザー、認証済みユーザー、およびその他のグループが一覧に表示されていないことを確認します。

  7. [ OK] をクリックし、ドメイン コントローラー セキュリティ ポリシーを閉じます。

Windows NT Server 4.0 ベースのコンピューターで必要なユーザー権限を確認するには、次の手順に従います。

  1. [ スタート] をクリックし、[ プログラム] をポイントし、[ 管理ツール] をポイントして、[ ドメインのユーザー マネージャー] をクリックします。

  2. [ポリシー] メニュー [ ユーザー権限] をクリックします。

  3. [ ] ボックスの一覧 で、[ネットワークからこのコンピューターにアクセスする] をクリックします。

  4. [ 許可する ] ボックスで、[すべてのユーザー] グループが追加されていることを確認します。

    Everyone グループが追加されていない場合は、次の手順に従います。

    1. [追加] をクリックします。
    2. [ 名前 ] ボックスの一覧 で [すべてのユーザー] をクリックし、[ 追加] をクリックし、[OK] をクリック します

  5. [ OK] をクリックし、ユーザー マネージャーを終了します。

方法 4: グループ メンバーシップを確認する

ドメイン間で信頼が設定されていても、ダイアログ ボックスで他のドメイン オブジェクトが見つからないため、あるドメインから他方のドメインにプリンシパル ユーザー グループを追加できない場合は、"Pre-Windows 2000 互換アクセス" グループに正しいメンバーシップがない可能性があります。

Windows 2000 ベースのドメイン コントローラーと Windows Server 2003 ベースのドメイン コントローラーで、必要なグループ メンバーシップが構成されていることを確認します。

Windows 2000 ベースのドメイン コントローラーでこれを行うには、次の手順に従います。

  1. [スタート] ボタンをクリックして、[プログラム]、[管理ツール] の順にポイントし、[Active Directory ユーザーとコンピューター] をクリックします。

  2. [ 組み込み] をクリックし、[ Pre-Windows 2000 互換アクセス グループ] をダブルクリックします。

  3. [ メンバー ] タブをクリックし、[すべてのユーザー] グループが [メンバー ] リストに含まれていることを確認します。

  4. [Everyone] グループが [メンバー ] リストにない場合は、次の手順に従います。

    1. [ スタート] をクリックし、[ 実行] をクリックし、「 cmd」と入力して、[OK] をクリック します
    2. コマンド プロンプトで、「」と入力 net localgroup "Pre-Windows 2000 Compatible Access" everyone /addし、Enter キーを押します。

Windows Server 2003 ベースのドメイン コントローラーで必要なグループ メンバーシップが構成されていることを確認するには、[ネットワーク アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用する] ポリシー設定が無効になっているかどうかを確認する必要があります。 不明な場合は、グループ ポリシー オブジェクト エディターを使用して、"ネットワーク アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用する" ポリシー設定の状態を判断します。 これを行うには、次の手順を実行します。

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「gpedit.msc」と入力し、[OK] をクリックします。

  2. 次のフォルダーを展開します。

    ローカル コンピューター ポリシー
    コンピューターの構成
    Windows の設定
    セキュリティ設定
    ローカル ポリシー

  3. [ セキュリティ オプション] をクリックし、右側のウィンドウで [ ネットワーク アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用する ] をクリックします。

  4. [セキュリティ設定] 列の値が [無効] または [有効] になっている場合に注意してください。

Windows Server 2003 ベースのドメイン コントローラーで必要なグループ メンバーシップが構成されていることを確認するには、次の手順に従います。

  1. [スタート] ボタンをクリックして、[プログラム]、[管理ツール] の順にポイントし、[Active Directory ユーザーとコンピューター] をクリックします。

  2. [ 組み込み] をクリックし、[ Pre-Windows 2000 互換アクセス グループ] をダブルクリックします。

  3. [メンバー] タブをクリックします。

  4. [ネットワーク アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用する] ポリシー設定が無効になっている場合は、[すべてのユーザー]、[匿名ログオン] グループが [メンバー] の一覧にあることを確認します。 [ネットワーク アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用する] ポリシー設定が有効になっている場合は、[すべてのユーザー] グループが [メンバー ] の一覧にあることを確認します。

  5. [Everyone] グループが [メンバー ] リストにない場合は、次の手順に従います。

    1. [ スタート] をクリックし、[ 実行] をクリックし、「 cmd」と入力して、[OK] をクリック します
    2. コマンド プロンプトで、「」と入力 net localgroup "Pre-Windows 2000 Compatible Access" everyone /addし、Enter キーを押します。

方法 5: ファイアウォール、スイッチ、ルーターなどのネットワーク デバイス経由の接続を確認する

次のようなエラー メッセージを受け取り、LMHOST ファイルが正しいことを確認した場合、ドメイン コントローラー間のポートがブロックされているファイアウォール、ルーター、またはスイッチによって問題が発生する可能性があります。

ドメイン コントローラーに接続できませんでした

ネットワーク デバイスのトラブルシューティングを行うには、PortQry コマンド ライン ポート スキャナー バージョン 2.0 を使用して、ドメイン コントローラー間のポートをテストします。

PortQry バージョン 2 の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を参照してください。

832919 PortQry バージョン 2.0 の新機能

ポートの構成方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を参照してください。

179442 ドメインと信頼のファイアウォールを構成する方法

方法 6: 問題のトラブルシューティングに役立つ追加情報を収集する

上記の方法で問題の解決に役立たない場合は、次の追加情報を収集して、問題の原因のトラブルシューティングに役立ちます。

  • 両方のドメイン コントローラーで Netlogon ログ記録を有効にします。 Netlogon ログ記録を完了する方法の詳細については、「Microsoft サポート技術情報: Net Logon サービスのデバッグ ログの有効化 」109626 の記事を表示するには、次の記事番号をクリックしてください。

  • 両方のドメイン コントローラーで、問題が発生したと同時にトレースをキャプチャします。

詳細

次のグループ ポリシー オブジェクト (GPO) の一覧には、該当するオペレーティング システム内の対応するレジストリ エントリとグループ ポリシーの場所が示されています。

  • The RestrictAnonymous GPO:

    • Windows NTレジストリの場所:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 と Windows Server 2003 のレジストリの場所: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 グループ ポリシー: コンピューターの構成\Windows 設定\セキュリティ設定\ セキュリティ オプション 匿名接続の追加の制限
    • Windows Server 2003 グループ ポリシー: コンピューターの構成\Windows 設定\セキュリティ設定\セキュリティ オプション ネットワーク アクセス: SAM アカウントと共有の匿名列挙を許可しない

  • The RestrictAnonymousSAM GPO:

    • Windows Server 2003 レジストリの場所: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 グループ ポリシー: コンピューターの構成\Windows 設定\セキュリティ設定セキュリティ オプション ネットワーク アクセス: SAM アカウントと共有の匿名列挙を許可しない

  • The EveryoneIncludesAnonymous GPO:

    • Windows Server 2003 レジストリの場所: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 グループ ポリシー: コンピューターの構成\Windows 設定\セキュリティ設定\セキュリティ オプション ネットワーク アクセス: すべてのユーザーのアクセス許可を匿名ユーザーに適用させる

  • LM 互換性 GPO:

    • Windows NT、Windows 2000、および Windows Server 2003 のレジストリの場所:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Windows 2000 グループ ポリシー: コンピューターの構成\Windows 設定\セキュリティ設定\セキュリティ オプション: LAN Manager 認証レベル

    • Windows Server 2003 グループ ポリシー: コンピューターの構成\Windows 設定\セキュリティ設定\セキュリティ オプション\ネットワーク セキュリティ: LAN Manager 認証レベル

  • EnableSecuritySignature (クライアント) GPO:

    • Windows 2000 と Windows Server 2003 のレジストリの場所: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 グループ ポリシー: コンピューターの構成\Windows 設定\セキュリティ設定 \セキュリティ オプション: クライアント通信にデジタル署名する (可能な場合)
    • Windows Server 2003 グループ ポリシー: コンピューターの構成\Windows 設定\セキュリティ設定\セキュリティ オプション\Microsoft ネットワーク クライアント: 通信にデジタル署名する (サーバーが同意した場合)

  • RequireSecuritySignature (クライアント) GPO:

    • Windows 2000 と Windows Server 2003 のレジストリの場所: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 グループ ポリシー: コンピューターの構成\Windows 設定\セキュリティ設定\セキュリティ オプション: クライアント通信にデジタル署名する (常に)
    • Windows Server 2003: コンピューターの構成\Windows 設定\セキュリティ設定\セキュリティ オプション\Microsoft ネットワーク クライアント: 通信にデジタル署名する (常に)

  • EnableSecuritySignature (サーバー) GPO:

    • Windows NTレジストリの場所:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 と Windows Server 2003 のレジストリの場所: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 グループ ポリシー: サーバー通信にデジタル署名する (可能な場合)
    • Windows Server 2003 グループ ポリシー: Microsoft ネットワーク サーバー: デジタル署名通信 (クライアントが同意した場合)

  • RequireSecuritySignature (サーバー) GPO:

    • Windows NTレジストリの場所:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 と Windows Server 2003 のレジストリの場所: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 グループ ポリシー: サーバー通信にデジタル署名する (常に)
    • Windows Server 2003 グループ ポリシー: Microsoft ネットワーク サーバー: デジタル署名通信 (常に)

  • The RequireSignOrSeal GPO:

    • Windows NT、Windows 2000、および Windows Server2003 のレジストリの場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 グループ ポリシー: セキュリティで保護されたチャネル データをデジタル暗号化または署名する (常に)
    • Windows Server2003 グループ ポリシー: ドメイン メンバー: セキュリティで保護されたチャネル データをデジタル暗号化または署名する (常に)

  • The SealSecureChannel GPO:

    • Windows NT、Windows 2000、および Windows Server2003 のレジストリの場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 グループ ポリシー: セキュリティで保護されたチャネル: セキュリティで保護されたチャネル データをデジタル暗号化する (可能な場合)
    • Windows Server 2003 グループ ポリシー: ドメイン メンバー: セキュリティで保護されたチャネル データをデジタル暗号化する (可能な場合)

  • The SignSecureChannel GPO:

    • Windows NT、Windows 2000、および Windows Server 2003 のレジストリの場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 グループ ポリシー: セキュリティで保護されたチャネル: セキュリティで保護されたチャネル データにデジタル署名する (可能な場合)
    • Windows Server 2003 グループ ポリシー: ドメイン メンバー: セキュリティで保護されたチャネル データにデジタル署名する (可能な場合)

  • The RequireStrongKey GPO:

    • Windows NT、Windows 2000、および Windows Server 2003 のレジストリの場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 グループ ポリシー: セキュリティで保護されたチャネル: 強力な (Windows 2000 以降) セッション キーが必要
    • Windows Server 2003 グループ ポリシー: ドメイン メンバー: Strong (Windows 2000 以降) セッション キーが必要

Windows Server 2008

Windows Server 2008 を実行しているドメイン コントローラーでは、[Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する] ポリシー設定の既定の動作で問題が発生する可能性があります。 この設定により、Windows オペレーティング システムとサードパーティクライアントの両方が脆弱な暗号化アルゴリズムを使用して、Windows Server 2008 ベースのドメイン コントローラーに NETLOGON セキュリティ チャネルを確立できなくなります。

関連情報

詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示します。

823659 セキュリティ設定とユーザー権利の割り当てを変更するときに発生する可能性があるクライアント、サービス、およびプログラムの非互換性