Windows Server 2003 管理ツールを使用する場合、Windows 2000 ドメイン コントローラは SP3 またはそれ以降の Service Pack が必要

文書翻訳 文書翻訳
文書番号: 325465 - 対象製品
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

概要

デフォルトで、Windows Server 2003 ファミリの Active Directory 管理ツールでは、すべての LDAP (Lightweight Directory Access Protocol) トラフィックが署名および暗号化されます。LDAP トラフィックに署名することで、パッケージ データが既知の送信元から送信されたものであること、手を加えられていないこと、ネットワーク モニタなどのネットワーク トレース ユーティリティで見られる可能性のある通信経路をクリア テキストで転送されないことが保証されます。Active Directory 管理ツールでは、LDAP 署名の代わりに NTLM 認証プロトコルを使用してネゴシエートが行われる場合もあります。NTLM 認証が使用されるのは、次の 2 つの場合などです。
  • 旧バージョンの信頼で接続されている外部フォレストにある Windows 2000 ドメイン コントローラを管理する場合
  • MMC スナップインで、特定のドメイン コントローラを IP アドレスを指定して表示する場合。たとえば、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックして、dsa.msc /server=x.x.x.x (x.x.x.x はドメイン コントローラの IP アドレス) と入力した場合
Microsoft Windows 2000 ベースのドメイン コントローラとの間で NTLM 認証がネゴシエートされる場合、これらの Windows Server 2003 Active Directory 管理ツールを使用するには、管理者は次のいずれかの処理を行う必要があります。
  • Windows 2000 Service Pack 3 (SP3) を Windows 2000 ベースのドメイン コントローラにインストールします。

    または
  • 管理ツールを実行しているクライアント コンピュータのレジストリで LDAP 署名および暗号化を無効にして、クライアント上のツールを再起動します。
ネットワーク上を流れる LDAP トラフィックを自動的にセキュリティ保護する Windows Server 2003 のスナップインおよびコマンド ライン ツールには、以下のものがあります。
  • Active Directory ドメインと信頼関係
  • Active Directory サイトとサービス
  • Active Directory スキーマ
  • Active Directory ユーザーとコンピュータ
  • ADSI Edit
  • Dsmove.exe
  • Dsrm.exe
  • Dsadd.exe
  • Dsget.exe
  • Dsmod.exe
  • Dsquery.exe
  • グループ ポリシー管理コンソール
  • オブジェクト ピッカー
セキュリティ保護されたネットワークを維持するために、マイクロソフトでは、Microsoft Windows XP と Windows Server 2003 のメンバ コンピュータ上、および Windows Server 2003 と Windows 2000 Service Pack 4 (SP4) のドメイン コントローラ上で、Windows Server 2003 の管理ツールのみを使用して、管理 LDAP トラフィックを署名および暗号化することをお勧めします。

Windows 2000 Service Pack 2 およびそれ以前のバージョンの場合

警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。 Windows Server 2003 の Active Directory 管理ツールを使用して、Windows 2000 Service Pack 2 (SP2) 以前のバージョンがインストールされている Windows 2000 ベースのドメイン コントローラを管理する際に、NTLM 認証のネゴシエーションが行われる場合、セキュリティ保護されていない LDAP トラフィックを使用して通信するように管理ツールを構成することができます。署名済みの LDAP トラフィックまたは暗号化された LDAP トラフィックを無効にするには、次の手順を実行します。
  1. レジストリ エディタを開きます。
  2. レジストリ エディタで、レジストリ キー
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
    を検索します。
  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  4. 表示されるテキスト ボックスに ADsOpenObjectFlags と入力して Enter キーを押します。
  5. 作成した [AdsOpenObjectFlags] をダブルクリックし、[値のデータ] を次の値のいずれかに変更します。

    元に戻す全体を表示する
    値のデータ (16 進数)無効にするもの
    1 署名
    2 暗号化
    3 暗号化と署名


注意 : この手順によって、いくつかの Active Directory 管理ツールで署名済みの LDAP トラフィックまたは暗号化された LDAP トラフィックが使用されなくなります。この機能を無効にすることは避けるようにお勧めします。

Windows Server 2003 の Active Directory ツールの LDAP トラフィックの署名と暗号化を無効にするには、クライアント コンピュータの次のレジストリ キーの ADsOpenObjectFlags 値を 0x03 にします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
ADsOpenObjectFlags
レジストリ キーを設定した後、管理ツールを再起動します。管理者は、Windows 2000 バージョンのツールを、Windows 2000 ベースのクライアントおよびサーバー上にある SP2 以前のバージョンの Windows 2000 ベースのドメイン コントローラに対して使用することもできます。クライアントで NTLM を使用した認証を試行する場合、クライアントと旧バージョンのサーバーとの接続のネゴシエーションが行われない場合があります。これはたとえば、信頼がフォレストをまたがっている場合や、クライアントからサーバーへの接続が IP アドレスを使用して行われる場合に発生することがあります。

ネットワーク経由の LDAP トラフィックを自動的にセキュリティ保護する Windows Server 2003 のスナップインおよびコマンド ライン ツールで発生する可能性のあるエラー メッセージには、以下のものが含まれます。
  • Active Directory ドメインと信頼関係 : このエンタープライズを説明する構成情報は利用できません。 The server is not operational, or the configuration information describing this enterprise in not available. The directory service is not available. Contact your system administrator to verify that you domain is properly configured and is currently online.
  • Active Directory サイトとサービス 名前付け情報を検索できません。理由: ディレクトリ サービスを利用できません。システム管理者に問い合わせ、ドメインが正しく構成されていて、現在オンラインであるかどうかを確認してください。
  • フォレストを変更できません。理由 : サーバーは使用可能ではありません。
  • Active Directory スキーマ : ドメイン コントローラを設定できませんでした。ディレクトリ サービスを利用できません。
  • Active Directory ユーザーとコンピュータ : ドメインを変更できません。理由 : サーバーは使用可能ではありません。
  • 名前付け情報を検索できません。理由 : ディレクトリ サービスを利用できません。システム管理者に問い合わせ、ドメインが正しく構成されていて、現在オンラインであるかどうかを確認してください。
  • ADSI Edit - Dsmove.exe dsmove failed: オブジェクトの dn: The directory service is unavailable .
  • Dsrm.exe dsrm 失敗: ディレクトリ サービスを利用できません。
  • Dsadd.exe dsadd 失敗: <オブジェクトの dn>: ディレクトリ サービスを利用できません。
  • Dsget.exe dsget 失敗: ディレクトリ サービスを利用できません。
  • Dsmod.exe dsmod 失敗: オブジェクトの dn :ディレクトリ サービスを利用できません。
  • Dsquery.exe dsquery 失敗: ディレクトリ サービスを利用できません。
  • グループ ポリシー管理コンソール : 指定されたネットワーク リソースまたはデバイスは利用できません。
  • オブジェクト ピッカー オブジェクトが見つかりません。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 325465 (最終更新日 2004-10-14) を基に作成したものです。

プロパティ

文書番号: 325465 - 最終更新日: 2007年10月29日 - リビジョン: 16.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
キーワード:?
kbinfo kbenv kbproductlink KB325465
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com