Windows Server 2003 ドメイン コントローラーまたは Windows 2000 Server ドメイン コントローラーで、ファイル共有またはグループ ポリシー スナップインを開くことができません。ドメイン コントローラーにローカルでログオンし、ドメイン コントローラー上の共有を開こうとすると、パスワードの入力を何度も要求され、共有を開くことができません。この問題は、レジストリを変更することで解決できます。
警告 レジストリ エディターまたは別の方法を使用してレジストリを誤って編集すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、このような問題の解決に関して、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。
この問題を解決するには、以下の手順を実行します。
重要 このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリをバックアップおよび復元する方法の詳細については、「
Windows XP でレジストリをバックアップおよび復元する方法
(http://support.microsoft.com/kb/322756/ja)
」を参照してください。
手順 1 - レジストリを変更する
enablesecuritysignature レジストリ エントリの値を変更します。この作業は、以下の手順で実行します。
- ドメイン コントローラーで [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
- [名前] ボックスに、次のコマンドをコピーして貼り付けるか、または入力し、Enter キーを押します。
regedit
- 次のレジストリ サブキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
- 右側のウィンドウの [enablesecuritysignature] をダブルクリックし、[値のデータ] ボックスに「1」と入力し、[OK] をクリックします。
- [requiresecuritysignature] をダブルクリックし、[値のデータ] ボックスに「1」と入力し、[OK] をクリックします。
- 次のレジストリ サブキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
- 右側のウィンドウの [enablesecuritysignature] をダブルクリックし、[値のデータ] ボックスに「1」と入力し、[OK] をクリックします。
- [requiresecuritysignature] をダブルクリックし、[値のデータ] ボックスに「0」と入力し、[OK] をクリックします。
レジストリの値を変更した後、Server サービスと Workstation サービスを再開します。
重要 ドメイン コントローラーを再起動すると、グループ ポリシーによってレジストリの値が以前の値に戻ることがあるため、ドメイン コントローラーは再起動しないでください。
Server サービスと Workstation サービスを再開するには、以下の手順を実行します。
- [スタート] ボタンをクリックし、[管理ツール] をポイントして、[サービス] をクリックします。
- [Server] を右クリックし、[再起動] をクリックします。
- [Workstation] を右クリックし、[再起動] をクリックします。
注: 他のサービスの再起動を確認するメッセージが表示されたら、[はい] をクリックします。
ドメイン コントローラーの Sysvol 共有を更新します。この作業は、以下の手順で実行します。
- ドメイン コントローラーの Sysvol 共有を開きます。これを行うには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「\\サーバー名\Sysvol」と入力し、Enter キーを押します。
- Sysvol 共有が表示されない場合は、「手順 1 - レジストリを変更する」と「手順 2 - Server サービスと Workstation サービスを再開する」を繰り返します。
- それぞれのドメイン コントローラーが自分の Sysvol 共有にアクセスできるようにするには、問題が発生している各ドメイン コントローラーで、「手順 1 - レジストリを変更する」と「手順 2 - Server サービスと Workstation サービスを再開する」を繰り返します。
各ドメイン コントローラーで Sysvol 共有に接続した後、ドメイン コントローラー セキュリティ ポリシー スナップインを開き、SMB 署名ポリシーの設定をセットアップします。この作業は、以下の手順で実行します。
- [スタート] ボタンをクリックし、[プログラム]、[管理ツール] の順にポイントし、[ドメイン コントローラー セキュリティ ポリシー] をクリックします。
- 左側のウィンドウで [ローカル ポリシー] を展開し、[セキュリティ オプション] をクリックします。
- 右側のウィンドウで [Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う] をダブルクリックします。
注: Windows 2000 Server の場合、これに相当するポリシー設定は [常にサーバーの通信にデジタル署名を行う] です。
重要 SMB 署名をサポートしないネットワーク上にクライアント コンピューターがある場合は、"Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う" のポリシー設定を有効にしないでください。この設定を有効にした場合、すべてのクライアント通信に SMB 署名が必要になり、SMB 署名をサポートしないクライアント コンピューターが他のコンピューターに接続できなくなります。たとえば、Apple Macintosh OS X や Microsoft Windows 95 は SMB 署名をサポートしていません。ネットワーク上に SMB 署名をサポートしないクライアントがある場合は、このポリシーを無効に設定します。
- [このポリシーの設定を定義する] チェック ボックスをオンにし、[有効] をクリックして、[OK] をクリックします。
- [Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う] をダブルクリックします。
注: Windows 2000 Server の場合、これに相当するポリシー設定は [可能な場合、サーバーの通信にデジタル署名を行う] です。 - [このポリシーの設定を定義する] チェック ボックスをオンにし、[有効] をクリックします。
- [OK] をクリックします。
- [Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う] をダブルクリックします。
- [このポリシーの設定を定義する] チェック ボックスをオフにし、[OK] をクリックします。
- [Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う] をダブルクリックします。
- [このポリシーの設定を定義する] チェック ボックスをオフにし、[OK] をクリックします。
force スイッチを指定して、グループ ポリシー更新ユーティリティ (Gpupdate.exe) を実行します。この作業は、以下の手順で実行します。
- [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
- [名前] ボックスに、次のコマンドをコピーして貼り付けるか入力し、Enter キーを押します。
cmd
- コマンド プロンプトで、「gpupdate /force」と入力し、Enter キーを押します。
グループ ポリシー更新ユーティリティの詳細については、「
グループ ポリシー更新ユーティリティの説明
(http://support.microsoft.com/kb/298444/ja)
」を参照してください。
注: グループ ポリシー更新ユーティリティは Windows 2000 Server には含まれていません。Windows 2000 Server の場合、これに相当するコマンドは
secedit /refreshpolicy machine_policy /enforce です。
Windows 2000 Server での secedit コマンドの使用法の詳細については、「
SECEDIT を使用して直ちにグループ ポリシーを強制的に更新する
(http://support.microsoft.com/kb/227302)
(リンク先は英語の場合があります)」を参照してください。
手順 6 - アプリケーション イベント ログを確認する
グループ ポリシー更新ユーティリティを実行した後、アプリケーション イベント ログを調べ、グループ ポリシーの設定が適切に更新されたことを確認します。グループ ポリシーが適切に更新されると、ドメイン コントローラーにイベント ID 1704 が記録されます。イベント ビューアーでアプリケーション ログを開くには、以下の手順を実行します。
- [スタート] ボタンをクリックし、[管理ツール] をポイントして、[イベント ビューアー] をクリックします。
- 左側のウィンドウで、[アプリケーション] をクリックします。
- イベント ID 1704 をダブルクリックして、グループ ポリシーの設定が正しく適用されたことを確認します。
注: イベントのソースは SceCli です。
「手順 1 - レジストリを変更する」で変更したレジストリの値を調べ、レジストリの値が変更されていないことを確認します。
注: この手順を実行すると、競合するポリシー設定が別のグループや組織単位 (OU) レベルで適用されていないことを確認できます。たとえば、"Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う" ポリシーがドメイン コントローラー セキュリティ ポリシーで "未定義" として構成されており、この同じポリシーがドメイン セキュリティ ポリシーで無効として構成されている場合、Workstation サービスに関しては SMB 署名が無効になります。
手順 8 - ポリシーの結果セット (RSoP) スナップインを使用して SMB 署名ポリシーの設定を確認する
グループ ポリシー更新ユーティリティを実行した後にレジストリの値が変更された場合は、Windows Server 2003 の RSoP スナップインを使用して SMB 署名ポリシーの設定を確認します。
この作業は、以下の手順で実行します。
- [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「rsop.msc」と入力し、[OK] をクリックします。
- RSoP スナップインでは、SMB 署名の設定は次のパスにあります。
コンピューターの構成/Windows の設定/セキュリティの設定/ローカル ポリシー/セキュリティ オプション
注: Windows 2000 Server を搭載している場合は、Windows 2000 Server Resource Kit からグループ ポリシー更新ユーティリティをインストールし、コマンド プロンプトで次のコマンドを入力します。gpresult /scope computer /v
- このコマンドを実行すると、[適用されたグループ ポリシー オブジェクト] の一覧が表示されます。この一覧には、コンピューター アカウントに適用されているすべてのグループ ポリシーオブジェクトが表示されます。これらのすべてのグループ ポリシーオブジェクトについて、SMB 署名ポリシーの設定を確認します。
この現象は、Workstation サービスと Server サービスの SMB 署名の設定が互いに矛盾する場合に発生します。このようにドメイン コントローラーを構成すると、ドメイン コントローラー上の Workstation サービスがドメイン コントローラーの Sysvol 共有に接続できません。そのため、グループ ポリシー スナップインを起動できません。また、SMB 署名ポリシーが既定のドメイン コントローラー セキュリティ ポリシーで設定されている場合、この問題はネットワーク上のすべてのドメイン コントローラーに影響します。そのため、Active Directory ディレクトリ サービスでグループ ポリシーのレプリケーションが失敗し、グループ ポリシーを編集して、これらの設定を元に戻すことができなくなります。
状況 1 - ドメイン コントローラー診断ツール (DcDiag.exe) を実行した場合、Windows 2000 Sever および Windows Server 2003 に次のようなエラーが表示されます。
Starting test: MachineAccount
Could not open pipe with [SERVERNAME]:failed with 5: Access is denied.
Could not get NetBIOSDomainName
Failed cannot test for HOST SPN
Failed cannot test for HOST SPN
* Missing SPN :(null)
* Missing SPN :(null)
......................... SERVERNAME failed test MachineAccount
Starting test: Services
Could not open Remote ipc to [SERVERNAME]:failed with 5: Access is denied.
......................... SERVERNAME failed test Services
Starting test: ObjectsReplicated
......................... SERVERNAME passed test ObjectsReplicated
Starting test: frssysvol
[SERVERNAME] An net use or LsaPolicy operation failed with error 5, Access is denied..
......................... SERVERNAME failed test frssysvol
Starting test: frsevent
......................... SERVERNAME failed test frsevent
Starting test: kccevent
Failed to enumerate event log records, error Access is denied.
......................... SERVERNAME failed test kccevent
Starting test: systemlog
Failed to enumerate event log records, error Access is denied.
......................... SERVERNAME failed test systemlog
状況 2 - ドメイン コントローラー診断ツールを実行した場合、Windows 2000 Sever および Windows Server 2003 に次のようなエラーが表示されます。
Testing server: Default-First-Site-Name\SERVERNAME
Starting test: Replications
......................... SERVERNAME passed test Replications
Starting test: NCSecDesc
......................... SERVERNAME passed test NCSecDesc
Starting test: NetLogons
[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station..
......................... SERVERNAME failed test NetLogons
Starting test: Advertising
......................... SERVERNAME passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SERVERNAME passed test KnowsOfRoleHoldersStarting test:
RidManager
......................... SERVERNAME passed test RidManager
Starting test: MachineAccount
Could not open pipe with [SERVERNAME]:failed with 1240:The account is not authorized to log in from this station.
Could not get NetBIOSDomainName
Failed cannot test for HOST SPN
Failed cannot test for HOST SPN
* Missing SPN :(null)
* Missing SPN :(null)
......................... SERVERNAME failed test MachineAccount
Starting test: Services
Could not open Remote ipc to [SERVERNAME]:failed with 1240:The account is not authorized to log in from this station.
......................... SERVERNAME failed test Services
Starting test: ObjectsReplicated
......................... SERVERNAME passed test ObjectsReplicated
Starting test: frssysvol
[SERVERNAME] An net use or LsaPolicy operation failed with error 1240, The account is not authorized to log in from this station..
......................... SERVERNAME failed test frssysvol
Starting test: frsevent
......................... SERVERNAME failed test frsevent
Starting test: kccevent
Failed to enumerate event log records, error The account is not authorized to log in from this station.......................... SERVERNAME failed test kccevent
Starting test: systemlog
Failed to enumerate event log records, error The account is not authorized to log in from this station.......................... SERVERNAME failed test systemlog
文書番号: 839499 - 最終更新日: 2012年5月16日 - リビジョン: 5.0
この資料は以下の製品について記述したものです。
- Microsoft Windows Small Business Server 2003 Premium Edition
- Microsoft Windows Small Business Server 2003 Standard Edition
- Microsoft Windows Server 2003, Enterprise x64 Edition
- Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
- Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
- Microsoft Windows Server 2003, Standard Edition (32-bit x86)
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Server
| kbmgmtservices kbfileprintservices kbgrppolicyprob kbregistry kbtshoot kbprb kbsmbportal KB839499 |
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る
