[NT] ドメインの信頼関係を確立できない

文書翻訳 文書翻訳
文書番号: 178640 - 対象製品
この記事は、以前は次の ID で公開されていました: JP178640
すべて展開する | すべて折りたたむ

現象

  重要: この資料には、レジストリを編集するような情報が含まれています。
        レジストリを編集する前に、レジストリを編集したために問題が発生した場合の
        ために、レジストリの復元方法を理解しておく必要があります。
        復元方法については、Regedt32.exe の「レジストリ キーを復元する」
        というオンライン ヘルプのトピックを参照してください。

使用しているプロトコルの種類に関係なく、次のエラー メッセージを受け取る場合があります。

このドメインのドメイン コントローラが見つかりません。

LMHOSTS ファイルおよび WINS データベースが正常な場合でも、同じエラーが起こる場合があります。ネットワークには、接続の問題はありません。

原因

Windows NT 4.0 Service Pack 3 および Windows NT 3.51 用 HOTFIX では、管理者は、匿名ログオン ユーザー (NULL セッション接続ともいう) によるアカウント名の一覧表示および共有名の列挙の機能を制限できるようになっています。

これに関するレジストリの設定では、また信頼する側のドメインが、信頼される側のプライマリ ドメイン コントローラで接続を確立するのを制限して、信頼関係を確立することができます。

解決方法

レジストリにある RestrictAnonymous の値を 0 に設定するか、またはその値を削除すると、信頼関係を確立できるようになります。
  注意: レジストリは Windows NT システムの非常に重要なファイルです。レジストリの
        編集を誤ると、Windows NT が起動しなくなるなど、再セットアップを余儀なくさ
        れるような事態が発生する恐れがあります。弊社ではレジストリ エディタの編
        集の結果によるいかなる問題に対しても保証はいたしかねます。レジストリはお
        客様の責任範囲でお使いください。

        レジストリの編集についての詳細は、レジストリ エディタ (Regedit.exe) の
        トピックの検索で「キーと値を変える」を参照するか、または Regedt32.exe の
        ヘルプ トピック「レジストリの情報の追加と削除」および「レジストリ
        を編集する」を参照してください。レジストリを編集する前には必ずバックアッ
        プを行ってください。
  1. レジストリ エディタ (Regedt32.exe) を実行します。
  2. レジストリ中の次のキーに移動します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. 次の値を選択します。
    RestrictAnonymous
  4. [編集] メニューの [DWORD] をクリックし、次の情報にしたがってデータ (値) を 0 に変更します。
    データ: RestrictAnonymous データの種類: REG_DWORD 値: 0
  5. レジストリ エディタを終了し、変更を有効にするためにコンピュータを再起動します。

状況

弊社では、これを Windows NT Version 3.51 および 4.0 の問題として認識しており、現在調査中です。詳細がわかりしだい、サポート技術情報にてお知らせする予定です。

詳細

このレジストリの値は、共通の列挙機能を実行する場合の認証の必要性についてのローカル システム ポリシーを設定することを目的としています。オプション機能の 1 つには、アカウント名の一覧を表示する場合の認証の要求があります。RestrictAnonymous の値が 1 に設定されている場合、セキュリティ管理用の GUI (Graphical User Interface) ツールから匿名接続をしたときに、アカウント名の一覧を表示させようとすると、アクセス拒否エラーを受け取ります。RestrictAnonymous の値が 0 に設定されている、または値が定義されていない場合は、匿名接続でアカウント名の一覧表示や共有名の列挙をすることができます。ただし、RestrictAnonymous の値が 1 に設定されている場合でも、そのシステムのユーザー インターフェイス ツールではアカウント名の一覧表示はできないものの、匿名接続を制限しない個人名参照機能をサポートする Win32 プログラミング インターフェイスがあります。

さまざまなドメイン モデルを使用する Windows NT のネットワークでは、機能を損なわずに匿名接続を制限することができます。匿名接続を無効にするには、まずリソース ドメインの管理者が、特定のローカル グループに信頼される側のアカウント ドメインのメンバーを追加します。これは、LSA RestrictAnonymous レジストリ エントリの値を変更する前に必要です。信頼される側のアカウント ドメインからのアカウントでログオンされたユーザーは、認証された接続を使用し続けることにより、セキュリティ アクセス コントロールの管理に必要なアカウント名の一覧表示をすることができます。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 178640 (最終更新日 1998-06-01) をもとに作成したものです。



プロパティ

文書番号: 178640 - 最終更新日: 2003年1月22日 - リビジョン: 2.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
キーワード:?
kbbug ntdomain ntsrvwkst kbbug3.51 kbbug4.00 KB178640
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com