この資料では、Microsoft Windows NT 4.0 ベースのドメインと Windows Server 2003 ベースのドメイン間の信頼関係を確立する方法を手順を追って説明します。
Windows NT ベースのドメインとの信頼を作成するには、Windows Server 2003 ベースの環境で、Windows NT 信頼モデルを使用します。Windows NT の信頼は、"信頼する側" のドメインと "信頼される側" のドメイン間での一方向の信頼です。たとえば、Windows Server 2003 ベースのドメインがあり、そのドメインのユーザーが Windows NT ベースのドメインに格納されているリソースにアクセスするためには、Windows NT ベースのドメインが Windows Server 2003 ベースのドメインのユーザーを信頼する信頼関係を作成する必要があります。この場合、Windows NT ベースのドメインは信頼する側のドメインで、Windows Server 2003 ベースのドメインは信頼される側のドメインです。
注 : 2 つのドメイン間の信頼を有効にするには、NetBIOS 名前解決を有効にする必要があります。
先頭へ戻る
信頼関係を作成する方法
Windows NT ベースのドメインと Windows Server 2003 ベースのドメイン間で、以下のいずれかの一方向の信頼関係を作成できます。
| ? |
Windows NT から Windows Server 2003 への信頼
|
| ? |
Windows Server 2003 から Windows NT への信頼
|
または、両方のドメインが互いに信頼する双方向の信頼を作成できます。
信頼関係を作成するには、管理者アカウントを使用して両方のドメインのドメイン コントローラにログオンする必要があります。一方向の信頼を作成する場合、まず信頼する側のドメインで信頼を作成し、次に信頼される側のドメインで信頼を作成します。
Windows NT から Windows Server 2003 への信頼
Windows NT ベースのドメインが Windows Server 2003 ベースのドメインを信頼する信頼関係を作成するには、以下の手順を実行します。
| 1. |
Windows NT ベースのプライマリ ドメイン コントローラ (PDC) で、以下の手順を実行します。
| a. |
[スタート] ボタンをクリックし、[プログラム]、[管理ツール (共通)] を順にポイントし、[ドメイン ユーザー マネージャ] をクリックします。
| | b. |
[原則] メニューの [信頼関係] をクリックします。
| | c. |
[信頼される側のドメイン] ボックスに対応する [追加] をクリックします。[信頼される側のドメインの追加] ダイアログ ボックスが表示されます。
| | d. |
[ドメイン] ボックスに、.com 部分を除いた Windows Server 2003 ベースのドメイン名を入力します。たとえば、Windows Server 2003 ベースのドメインが Example.com の場合、Example と入力します。
| | e. |
[パスワード] ボックスに、信頼のパスワードを入力します。
注 : 信頼される側と信頼する側の両方のドメイン コントローラで同じ信頼パスワードを使用する必要があります。
| | f. |
[OK] をクリックします。以下のメッセージが表示されます。Windows Server 2003-based domain name は Windows Server 2003 ベースのドメインの名前を示し、Windows NT-based domain name は Windows NT ドメインの名前を示します。
信頼関係の確認を行うことができませんでした。信頼関係が確立されていない場合は、Windows Server 2003-based domain name ドメインの管理者に相談し、Windows NT-based domain name が [信頼する側のドメイン] ボックスの一覧に含まれているかどうかを調べてください。
| | g. |
[OK] をクリックします。Windows Server 2003 ベースのドメインが [信頼される側のドメイン] ボックスの一覧に表示されていることを確認してください。
| | h. |
[信頼関係] ダイアログ ボックスで、[閉じる] をクリックします。
|
|
| 2. |
Windows Server 2003 ベースのドメイン コントローラで、以下の手順を実行します。
| a. |
[スタート] ボタンをクリックし、[管理ツール] をポイントし、[Active Directory ドメインと信頼関係] をクリックします。
| | b. |
Active Directory ドメインと信頼関係スナップインで、対象のドメインを右クリックし、[プロパティ] をクリックします。
| | c. |
[次へ] をクリックし、[信頼パスワード] ボックスに Windows NT ベースのドメイン コントローラで使用した信頼パスワードと同じパスワードを入力します。[信頼パスワードの確認入力] ボックスに、パスワードを再度入力します。
| | d. |
[信頼] タブをクリックし、[新しい信頼] をクリックします。
| | e. |
新しい信頼ウィザードが表示されます。[次へ] をクリックして続行します。
| | f. |
この信頼に対する Windows NT ドメインの NetBIOS 名を入力します。たとえば、supplier01-int と入力し、[次へ] をクリックします。
| | g. |
[信頼の方向] ウィンドウで、[一方向: 入力方向
このドメインのユーザーは指定のドメイン、領域、またはフォレストで認証できます] をクリックします。
| | h. |
[次へ] をクリックして設定を確認し、[次へ] をクリックします。
| | i. |
次のようなメッセージが表示されます。
信頼関係が作成されました。
指定されたドメイン: supplier01-int
方向:
入力方向: ローカル ドメインのユーザーは、指定されたドメインで認証することができます。
信頼の種類: 外部
出力方向の信頼認証レベル: ドメイン全体の認証をします。
推移性: いいえ
信頼の方向: このドメイン用のみに信頼を作成しました。
supplier01-int は、この信頼の Windows NT ドメインの NetBIOS 名です。[次へ] をクリックし、[確認する] をクリックします。
| | j. |
指定されたドメインの管理者特権を持つアカウントのユーザー名とパスワードを入力して、[次へ] をクリックします。次のようなメッセージが表示されます。
新しい信頼ウィザードの完了
新しい信頼ウィザードを完了しました。
変更の状態:
信頼関係が作成され、確認されました。
| | k. |
[完了] をクリックしてウィザードを閉じます。[OK] をクリックして、ドメインのプロパティが表示されているダイアログ ボックスを閉じます。
| | l. |
Active Directory ドメインと信頼関係を終了します。
|
|
信頼が作成されます。Windows NT ベースのドメインが、Windows Server 2003 ベースのドメインからのアカウントを信頼します。ただし、この信頼は一方向の信頼です。Windows Server 2003 ベースのドメインは、Windows NT ベースのドメイン アカウントを信頼しません。
Windows Server 2003 から Windows NT への信頼
Windows Server 2003 ベースのドメインが Windows NT ベースのドメインを信頼する信頼関係を作成するには、以下の手順を実行します。
| 1. |
Windows Server 2003 ベースのドメイン コントローラで、以下の手順を実行します。
| a. |
[スタート] ボタンをクリックし、[管理ツール] をポイントし、[Active Directory ドメインと信頼関係] をクリックします。
| | b. |
Active Directory ドメインと信頼関係スナップインで、対象のドメインを右クリックし、[プロパティ] をクリックします。
| | c. |
[信頼] タブをクリックし、[新しい信頼] をクリックします。
| | d. |
新しい信頼ウィザードが表示されます。[次へ] をクリックして続行します。
| | e. |
この信頼に対する Windows NT ドメインの NetBIOS 名を入力します。たとえば、supplier01-int と入力し、[次へ] をクリックします。
| | f. |
[信頼の方向] ウィンドウで、[一方向: 出力方向
指定のドメイン、領域またはフォレストのユーザーは、このドメインで認証できます] をクリックします。
| | g. |
[次へ] をクリックし、以下のいずれかをクリックして、Windows NT ドメインからのユーザーの認証の範囲を選択します。
| ? |
ドメイン全体の認証
指定のドメインのユーザーは、ローカル ドメインのすべてのリソースについて自動的に認証されます。このオプションは両方のドメインが同じ組織に属している場合に推奨されます。
| | ? |
認証の選択
指定のドメインのユーザーは、ローカル ドメインのすべてのリソースについて自動的に認証されません。このウィザードの終了後、指定のドメインのユーザーが利用できるようにする各サーバーについて個々のアクセス権を許可してください。このオプションはドメインがそれぞれ別の組織に属している場合に推奨されます。
|
| | h. |
[次へ] をクリックし、[信頼パスワード] ボックスにこの信頼のパスワードを入力します。指定したドメインでこの信頼関係を作成するときには同じパスワードを使用する必要があります。信頼が作成されると、セキュリティのため、信頼パスワードは Active Directory によって定期的に更新されます。[信頼パスワードの確認入力] ボックスにパスワードを再度入力し、[次へ] を入力します。
| | i. |
設定を確認して、[次へ] をクリックします。
| | j. |
次のようなメッセージが表示されます。
信頼関係が作成されました。
指定されたドメイン: supplier01-int
方向:
出力方向: 指定されたドメインのユーザーは、ローカル ドメインで認証することができます。
信頼の種類: 外部
出力方向の信頼認証レベル: ドメイン全体の認証をします。
推移性: いいえ
信頼の方向: このドメイン用のみに信頼を作成しました。
supplier01-int は、この信頼の Windows NT ドメインの NetBIOS 名です。[次へ] をクリックし、[確認する] をクリックします。
| | k. |
[完了] をクリックしてウィザードを閉じます。[OK] をクリックして、ドメインのプロパティが表示されているダイアログ ボックスを閉じます。
| | l. |
Active Directory ドメインと信頼関係を終了します。
|
|
| 2. |
Windows NT ベースの PDC で、以下の手順を実行します。
| a. |
[スタート] ボタンをクリックし、[プログラム]、[管理ツール (共通)] を順にポイントし、[ドメイン ユーザー マネージャ] をクリックします。
| | b. |
[原則] メニューの [信頼関係] をクリックします。
| | c. |
[信頼する側のドメイン] ボックスに対応する [追加] をクリックします。[信頼する側のドメインの追加] ダイアログ ボックスが表示されます。
| | d. |
[信頼する側のドメイン] ボックスに、.com 部分を除いた Windows Server 2003 ベースのドメイン名を入力します。たとえば、Windows Server 2003 ベースのドメインが Example.com の場合、Example と入力します。
| | e. |
[パスワード] ボックスに、Windows Server 2003 ベースのドメイン コントローラでの信頼に使用したパスワードと同じパスワードを入力します。
注 : 信頼する側と信頼される側の両方のドメイン コントローラで同じ信頼パスワードを使用する必要があります。
| | f. |
[パスワードの確認入力] ボックスにパスワードを再度入力し、現在、Windows NT ベースのドメイン コントローラと Windows Server 2003 ベースのドメイン コントローラの両方に管理者としてログオンしていることを確認して、[OK] をクリックします。Windows Server 2003 ベースのドメインが、[信頼する側のドメイン] ボックスの一覧に表示されます。
| | g. |
[信頼関係] ダイアログ ボックスで、[閉じる] をクリックします。
|
|
信頼が作成されます。Windows Server 2003 ベースのドメインは、Windows NT ベースのドメインのアカウントを信頼します。
先頭へ戻る
双方向の信頼関係を作成する
両方のドメインが互いに信頼するように双方向の信頼を作成するには、以下の手順を実行します。
| 1. |
Windows Server 2003 ベースのドメイン コントローラで、以下の手順を実行します。
| a. |
[スタート] ボタンをクリックし、[管理ツール] をポイントし、[Active Directory ドメインと信頼関係] をクリックします。
| | b. |
Active Directory ドメインと信頼関係スナップインで、対象のドメインを右クリックし、[プロパティ] をクリックします。
| | c. |
[信頼] タブをクリックし、[新しい信頼] をクリックします。
| | d. |
新しい信頼ウィザードが表示されます。[次へ] をクリックして続行します。
| | e. |
この信頼に対する Windows NT ドメインの NetBIOS 名を入力します。たとえば、supplier01-int と入力し、[次へ] をクリックします。
| | f. |
[信頼の方向] ウィンドウで、[双方向
このドメインのユーザーは指定のドメイン、領域、またはフォレストで認証できます。指定のドメイン、領域、またはフォレストのユーザーは、このドメインで認証できます] をクリックします。
| | g. |
[次へ] をクリックし、以下のいずれかをクリックして、Windows NT ドメインからのユーザーの認証の範囲を選択します。
| ? |
ドメイン全体の認証
指定のドメインのユーザーは、ローカル ドメインのすべてのリソースについて自動的に認証されます。このオプションは両方のドメインが同じ組織に属している場合に推奨されます。
| | ? |
認証の選択
指定のドメインのユーザーは、ローカル ドメインのすべてのリソースについて自動的に認証されません。このウィザードの終了後、指定のドメインのユーザーが利用できるようにする各サーバーについて個々のアクセス権を許可してください。このオプションはドメインがそれぞれ別の組織に属している場合に推奨されます。
|
| | h. |
[次へ] をクリックし、[信頼パスワード] ボックスにこの信頼のパスワードを入力します。指定したドメインでこの信頼関係を作成するときには、同じパスワードを使用する必要があります。信頼が作成されると、セキュリティのため、信頼パスワードは Active Directory によって定期的に更新されます。[信頼パスワードの確認入力] ボックスにパスワードを再度入力し、[次へ] を入力します。
| | i. |
設定を確認して、[次へ] をクリックします。
| | j. |
次のようなメッセージが表示されます。
信頼関係が作成されました。
指定されたドメイン: supplier01-int
方向:
双方向: ローカル ドメインのユーザーは指定されたドメインで認証することができます。指定されたドメインのユーザーはローカル ドメインで認証することができます。
信頼の種類: 外部
出力方向の信頼認証レベル: ドメイン全体の認証をします。
推移性: いいえ
信頼の方向: このドメイン用のみに信頼を作成しました。
supplier01-int は、この信頼の Windows NT ドメインの NetBIOS 名です。
| | k. |
[次へ] をクリックし、[確認する] をクリックします。
| | l. |
[確認する] をクリックし、指定したドメインの管理者特権を持つアカウントのユーザー名とパスワードを入力し、[次へ] をクリックします。次のようなメッセージが表示されます。
新しい信頼ウィザードの完了
新しい信頼ウィザードを完了しましたが、新しく作成された信頼関係は次の理由により確認できませんでした:
次のエラーにより、入力方向の信頼の検証に失敗しました:
相手のシステム supplier01-int で、NetLogon 信頼パスワードの検証がサポートされていません。
セキュリティで保護されたチャネルのリセットを試みます。
セキュリティで保護されたチャネルのリセットが次のエラーにより失敗しました。1355: 指定されたドメインがないか、またはアクセスできません。
次のエラーにより、出力方向の信頼の検証に失敗しました:
信頼パスワードの検証が次のエラーにより失敗しました 1787: サーバーのセキュリティ データベースにこのワークステーションの信頼関係に対するコンピュータ アカウントがありません。
セキュリティで保護されたチャネルのリセットを試みます。
セキュリティで保護されたチャネルのリセットが次のエラーにより失敗しました。1787: サーバーのセキュリティ データベースにこのワークステーションの信頼関係に対するコンピュータ アカウントがありません。
他方のドメインでも信頼が作成されないと、この信頼は機能しません。双方のドメインで同じ信頼パスワードが使用されていることを確認してください。
supplier01-int は、この信頼の Windows NT ドメインの NetBIOS 名です。
| | m. |
[完了] をクリックしてウィザードを閉じます。[OK] をクリックして、ドメインのプロパティが表示されているダイアログ ボックスを閉じます。
| | n. |
Active Directory ドメインと信頼関係を終了します。
|
|
| 2. |
Windows NT ベースの PDC で、以下の手順を実行します。
| a. |
[スタート] ボタンをクリックし、[プログラム]、[管理ツール (共通)] を順にポイントし、[ドメイン ユーザー マネージャ] をクリックします。
| | b. |
[原則] メニューの [信頼関係] をクリックします。
| | c. |
[信頼される側のドメイン] ボックスに対応する [追加] をクリックします。[信頼される側のドメインの追加] ダイアログ ボックスが表示されます。
| | d. |
[ドメイン] ボックスに、.com 部分を除いた Windows Server 2003 ベースのドメイン名を入力します。たとえば、Windows Server 2003 ベースのドメインが Example.com の場合、Example と入力します。
| | e. |
[パスワード] ボックスに、信頼のパスワードを入力します。
注 : 両方の信頼される側のドメイン コントローラで、同じ信頼パスワードを使用する必要があります。
| | f. |
[OK] をクリックします。Windows Server 2003 ベースのドメインが [信頼される側のドメイン] ボックスの一覧に表示されていることを確認してください。
| | g. |
[信頼する側のドメイン] ボックスに対応する [追加] をクリックします。[信頼する側のドメインの追加] ダイアログ ボックスが表示されます。
| | h. |
[信頼する側のドメイン] ボックスに、.com 部分を除いた Windows Server 2003 ベースのドメイン名を入力します。
| | i. |
[パスワード] ボックスに、Windows Server 2003 ベースのドメイン コントローラでの信頼に使用したパスワードと同じパスワードを入力して、[OK] をクリックします。Windows Server 2003 ベースのドメインが、[信頼する側のドメイン] ボックスの一覧に表示されます。
| | j. |
[信頼関係] ダイアログ ボックスで、[閉じる] をクリックします。
|
|
双方向の信頼が作成されます。Windows NT ベースのドメインは、Windows Server 2003 ベースのドメインのアカウントを信頼し、Windows Server 2003 ベースのドメインは、Windows NT ベースのドメイン アカウントを信頼します。
先頭へ戻る
信頼関係を検証する
信頼関係が機能していることを検証するには、Windows Server 2003 ベースのドメイン コントローラで以下の手順を実行します。
| 1. |
[スタート] ボタンをクリックし、[すべてのプログラム]、[管理ツール] を順にポイントして、[Active Directory ドメインと信頼関係] をクリックします。
|
| 2. |
コンソール ツリーで、検証する信頼が含まれているドメインを右クリックし、[プロパティ] をクリックします。
|
| 3. |
[信頼] タブをクリックし、[このドメインに信頼されるドメイン (出力方向の信頼)] ボックスまたは [このドメインを信頼するドメイン (入力方向の信頼)] ボックスのいずれかで、検証する信頼をクリックし、[プロパティ] をクリックします。
|
| 4. |
[検証] をクリックします。
|
先頭へ戻る
トラブルシューティング
ドメイン間の信頼を作成するときに、以下のエラー メッセージが表示されることがあります。
このドメインのドメイン コントローラが見つかりません。
このエラー メッセージが表示される場合、次のような原因が考えられます。
| ? | ネットワークの問題
両方のコンピュータが TCP/IP を使用していること、および Ping.exe などのネットワーク ユーティリティを使用して、他のコンピュータに接続できることを確認します。
|
| ? | 名前解決の問題
Windows NT ベースのドメイン コントローラが、Windows Server 2003 ベースのドメイン コントローラのホスト名を解決できること、および Windows Server 2003 ベースのドメイン コントローラが、Windows NT ベースのドメイン コントローラの NetBIOS 名を解決できることを確認します。NetBIOS 名とホスト名を解決できない場合、他のコントローラの場所を指定する各ドメイン コントローラで、Lmhosts ファイルにエントリを作成します。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
102725 (http://support.microsoft.com/kb/102725/)
LMHOSTS ファイルの概要と定義済みキーワード
|
| ? | 信頼関係の問題
Service Pack を適用していない Windows Server 2003 を実行しているコンピュータでは、RestrictAnonymous レジストリ サブキーの値を 0 (ゼロ) に設定して信頼関係を確立する必要がある場合があります。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
246261 (http://support.microsoft.com/kb/246261/)
Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法
Windows Server 2003 Service Pack 1 (SP1) を実行しているコンピュータでは、RestrictAnonymous レジストリ サブキーの値を 0 (ゼロ) に設定し、RestrictNullSessAccess レジストリ サブキーの値を FALSE に設定して、信頼関係を確立する必要がある場合があります。
RestrictNullSessAccess レジストリ サブキーの値を FALSE に設定するには、次の手順を実行します。
| 1. |
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、regedit と入力し、[OK] をクリックして、レジストリ エディタを開きます。
| | 2. |
次のレジストリ サブキーを見つけます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | | 3. |
このレジストリ サブキーを右クリックし、[新規] をポイントし、[DWORD 値] をクリックします。
| | 4. | RestrictNullSessAccess と入力し、Enter キーを押します。
| | 5. |
[RestrictNullSessAccess] をダブルクリックし、[値のデータ] ボックスに 0 と入力し、[OK] をクリックします。
| | 6. |
レジストリ エディタを終了します。
| | 7. |
コンピュータを再起動します。
|
|
先頭へ戻る
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
139410 (http://support.microsoft.com/kb/139410/)
エラー メッセージ : 現在ログオン要求をサービスするログオン サーバーがありません
175025 (http://support.microsoft.com/kb/175025/)
[NT] コマンド ラインから信頼関係を確立およびリセットする方法
255551 (http://support.microsoft.com/kb/255551/)
Windows NT 4.0 で Windows 2000 ドメインとの信頼関係を確立できない
先頭へ戻る
