Windows NT ドメインと Active Directory ドメインとの間の信頼関係が確立されない、または正常に機能しない

文書翻訳 文書翻訳
文書番号: 889030 - 対象製品
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

現象

Microsoft Windows NT 4.0 ベースのドメインと Active Directory ベースのドメインとの間で信頼関係を設定しようとすると、以下のいずれかの現象が発生することがあります。
  • 信頼関係が確立されない。
  • 信頼関係は確立されるが、正常に機能しない。
また、以下のいずれかのエラー メッセージが表示されることがあります。
ドメイン "Domain_Name" に参加中に次のエラーが発生しました: そのアカウントは、このワークステーションからのログインを許可されていません。
アクセスは拒否されました。
No domain controller could be contacted.
ログオン失敗: ユーザー名を認識できないか、またはパスワードが間違っています。

原因

この問題は、次のいずれかの機能の構成が原因で発生します。
  • 名前解決
  • セキュリティの設定
  • ユーザー権利
  • Microsoft Windows 2000 または Microsoft Windows Server 2003 のグループ メンバシップ
問題の原因を明確に識別するには、信頼関係のトラブルシューティングを行う必要があります。

解決方法

Windows NT 4.0 ベースのドメインと Active Directory との間の信頼関係の構成に関する問題についてトラブルシューティングを行うには、以下の機能の構成が正しいことを確認する必要があります。
  • 名前解決
  • セキュリティの設定
  • ユーザー権利
  • Microsoft Windows 2000 または Microsoft Windows Server 2003 のグループ メンバシップ
確認するには、以下の方法を実行します。

方法 1 : 名前解決の構成が正しいことを確認する

手順 1 : LMHOSTS ファイルを作成する

プライマリ ドメイン コントローラ上で LMHOSTS ファイルを作成して、ドメイン間の名前解決機能を設定します。LMHOSTS ファイルはテキスト ファイルであり、メモ帳などのテキスト エディタで編集できます。各ドメイン コントローラ上の LMHOSTS ファイルには、他のドメイン コントローラの TCP/IP アドレス、ドメイン名、および \0x1b エントリが含まれている必要があります。 LMHOSTS ファイルを作成する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
180094 ドメインの検証およびその他の名前解決に関する問題のために LMHOSTS ファイルを作成する方法
LMHOSTS ファイルを作成した後、次の手順を実行します。
  1. ファイルを変更して、以下のようなテキストを含めます。
    1.1.1.1	 <NT_4_PDC_Name>		 #DOM:<NT_4_Domain_Name>	#PRE
    1.1.1.1	 "<NT_4_Domain>  \0x1b"			#PRE
    2.2.2.2	 <Windows_2000_PDC_Name>		 #DOM:<Windows_2000_Domain_Name>	#PRE
    2.2.2.2	 "<2000_Domain>  \0x1b"			#PRE
    
    : \0x1b エントリでは、2 つの引用符 (" ") の間に合計 20 の文字とスペースが存在する必要があります。ドメイン名の後ろにスペースを追加して、15 文字になるようにします。16 番目の文字はバックスラッシュであり、その後ろに "0x1b" が続きます。これで、合計 20 文字になります。
  2. LMHOSTS ファイルの変更が終了したら、ドメイン コントローラ上の %SystemRoot%\System32\Drivers\Etc フォルダに保存します。
LMHOSTS ファイルの詳細については、%SystemRoot%\System32\Drivers\Etc フォルダにある Lmhosts.sam サンプル ファイルを参照してください。

手順 2 : LMHOSTS ファイルをキャッシュに読み込む

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに cmd と入力し、[OK] をクリックします。
  2. コマンド プロンプトで NBTSTAT -R と入力し、Enter キーを押します。このコマンドにより、LMHOSTS ファイルがキャッシュに読み込まれます。
  3. コマンド プロンプトで NBTSTAT -c と入力し、Enter キーを押します。このコマンドにより、キャッシュが表示されます。ファイルが正しく記述されている場合は、キャッシュは次のようになります。
    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    ファイルの内容でキャッシュが正しく設定されない場合は、次の手順に進みます。

手順 3 : Windows NT 4.0 ベースのコンピュータ上で、LMHOSTS の参照が有効になっていることを確認する

ファイルの内容でキャッシュが正しく設定されない場合は、Windows NT 4.0 ベースのコンピュータ上で、LMHOSTS の参照が有効になっていることを確認します。これを行うには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[設定] をポイントして [コントロール パネル] をクリックします。
  2. [ネットワーク] をダブルクリックし、[プロトコル] タブをクリックして、[TCP/IP プロトコル] をダブルクリックします。
  3. [WINS アドレス] タブをクリックし、[LMHOSTS 参照を行う] チェック ボックスをオンにします。
  4. コンピュータを再起動します。
  5. 「手順 2 : LMHOSTS ファイルをキャッシュに読み込む」の手順を繰り返します。
  6. ファイルの内容でキャッシュが正しく設定されない場合は、LMHOSTS ファイルが %SystemRoot%\System32\Drivers\Etc フォルダに存在し、正しい形式であることを確認します。

    たとえば、ファイルは次のような形式になっている必要があります。
    1.1.1.1	 NT4PDCName		 #DOM:NT4DomainName	#PRE
    1.1.1.1	 "NT4DomainName  \0x1b"			#PRE
    2.2.2.2	 W2KPDCName		 #DOM:W2KDomainName	#PRE
    2.2.2.2	 "W2KDomainName  \0x1b"			#PRE
    
    : ドメイン名と \0x1b エントリでは、2 つの引用符 (" ") の間に、合計 20 の文字とスペースが存在する必要があります。

手順 4 : Ping コマンドを使用して接続をテストする

各サーバー上で、ファイルの内容でキャッシュが正しく設定されたら、各サーバー上で Ping コマンドを使用して、サーバー間の接続をテストします。これを行うには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに cmd と入力し、[OK] をクリックします。
  2. コマンド プロンプトで、Ping Name_Of_Domain_Controller_You_Want_To_Connect_To と入力し、Enter キーを押します。Ping コマンドが機能しない場合は、正しい IP アドレスが LMHOSTS ファイルに記載されていることを確認します。
  3. コマンド プロンプトで、net view Name_Of_Domain_Controller_You_Want_To_Connect_To と入力し、Enter キーを押します。次のエラー メッセージが表示されます。
    システム エラー 5 が発生しました。アクセスが拒否されました。
    net view コマンドで次のエラー メッセージまたは他の関連するエラー メッセージが表示される場合は、正しい IP アドレスが LMHOSTS ファイルに記載されていることを確認します。
    システム エラー 53 が発生しました。ネットワーク パスが見つかりません。
また、LMHOSTS ファイルの代わりに Windows インターネット ネーム サービス (WINS) を構成して、名前解決の機能を有効にすることもできます。 名前解決に WINS を使用する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
185786 WINS の推奨される実施方法

方法 2 : セキュリティの設定を表示する

一般的に、接続問題の原因となるセキュリティの設定は、信頼関係の Active Directory 側にありますが、信頼関係の両側でセキュリティの設定を確認する必要があります。

手順 1 : Windows 2000 Server および Windows Server 2003 上でセキュリティの設定を表示する

Windows 2000 Server および Windows Server 2003 では、セキュリティの設定は、グループ ポリシー、ローカル ポリシー、または適用されているセキュリティ テンプレートを使用して、適用または構成されます。

正しいツールを使用してセキュリティの設定の現在の値を判断し、誤った解釈を防ぎます。

現在のセキュリティの設定を正確に解釈するには、以下の方法を使用します。
  • Windows 2000 Server では、セキュリティの構成と分析スナップインを使用します。 Windows 2000 ベースのコンピュータで現在のセキュリティ ポリシーを特定する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    258595 [NT]Gpresult がコンピュータ セキュリティ ポリシーの結果を列挙しない
  • Windows Server 2003 では、セキュリティの構成と分析スナップインまたはポリシーの結果セット (RSoP) スナップインを使用します。 ポリシーの結果セット スナップインの使用方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    323276 Windows Server 2003 での RSoP のインストール方法および使用方法
現在の設定を確認した後、設定を適用しているポリシーを特定する必要があります。たとえば、Active Directory でグループ ポリシーを特定するか、またはセキュリティ ポリシーを設定しているローカル設定を特定する必要があります。

Windows Server 2003 では、RSoP ツールを使用して、セキュリティ値を設定するポリシーを見つけることができます。ただし、Windows 2000 では、グループ ポリシーおよびローカル ポリシーを参照して、セキュリティの設定を含むポリシーを特定する必要があります。
  • グループ ポリシーの設定を参照するには、グループ ポリシーの処理中に、Microsoft Windows 2000 でセキュリティ構成のクライアントのログ出力を有効にする必要があります。 グループ ポリシーの処理中に Microsoft Windows 2000 でセキュリティ構成のクライアントのログ出力を有効にする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    245422 Windows 2000 でセキュリティ構成のクライアント処理のログを有効にする方法
  • イベント ビューアでアプリケーション ログを参照し、イベント ID 1000 およびイベント ID 1202 を見つけます。 イベント ID 1000 およびイベント ID 1202 の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    319352 Windows 2000 Server で、イベント ID 1000 および 1202 が 5 分おきにイベント ログに出力される
収集した情報の中で検証する必要があるセキュリティの設定を、3 つのオペレーティング システムごとに以下に記載します。
Windows 2000
次の設定が、以下に示すように設定されていることを確認します。

RestrictAnonymous :
元に戻す全体を表示する
匿名接続の追加を制限する なし (既定のアクセス権に依存)
LM 互換性 :
元に戻す全体を表示する
LAN Manager 認証レベル [LM と NTLM 応答の送信] または [ネゴシエートされた場合 LM & NTLM を送信 - NTLMv2 セッション セキュリティを使用する]
SMB 署名、SMB 暗号化、または両方 :
元に戻す全体を表示する
常にクライアント側の通信にデジタル署名を行う 無効
可能な場合、クライアントの通信にデジタル署名を行う 有効
常にサーバーの通信にデジタル署名を行う 無効
可能な場合、サーバーの通信にデジタル署名を行う 有効
セキュリティで保護されたチャネル: 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する 無効
セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化または署名する 無効
セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する 無効
セキュリティで保護されたチャネル: 強力な (Windows 2000 かそれ以降のバージョン) セッション キーを必要とする 無効
Windows Server 2003
次の設定が、以下に示すように設定されていることを確認します。

RestrictAnonymous および RestrictAnonymousSam :
元に戻す全体を表示する
ネットワーク アクセス: 匿名の SID と名前の変換を許可する 有効
ネットワーク アクセス: SAM アカウントの匿名の列挙を許可しない 無効
ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない 無効
ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する 有効
ネットワーク アクセス: リモートからアクセスできる名前付きパイプ 有効
ネットワーク アクセス: 名前付きパイプと共有への匿名のアクセスを制限する 無効
LM 互換性 :
元に戻す全体を表示する
ネットワーク セキュリティ: LAN Manager 認証レベル [LM と NTLM 応答の送信] または [ネゴシエートされた場合 LM & NTLM を送信 - NTLMv2 セッション セキュリティを使用する]
SMB 署名、SMB 暗号化、または両方 :
元に戻す全体を表示する
Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う 無効
Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う 有効
Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う 無効
Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う 有効
ドメイン メンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する 無効
ドメイン メンバ: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する 有効
ドメイン メンバ: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する 有効
ドメイン メンバ: 強力な (Windows 2000 か、それ以降のバージョン) セッション キーを必要とする 無効

設定を正しく構成した後、コンピュータを再起動する必要があります。セキュリティの設定は、コンピュータを再起動するまで適用されません。

コンピュータを再起動した後 10 分間待機して、すべてのセキュリティ ポリシーが適用され、有効な設定が構成されることを確認します。ドメイン コントローラでは Active Directory のポリシー更新が 5 分ごとに実行され、更新によりセキュリティの設定が変更されることがあるため、10 分間待機することをお勧めします。10 分待機した後、セキュリティの構成と分析、または別のツールを使用して、Windows 2000 および Windows Server 2003 上でセキュリティの設定を確認します。

Windows NT 4.0

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

Windows NT 4.0 では、Regedt32 ツールを使用してレジストリを参照することにより、現在のセキュリティの設定を確認する必要があります。これを行うには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。regedt32 と入力し、[OK] をクリックします。
  2. 次のレジストリ サブキーを展開し、RestrictAnonymous エントリに設定されている値を確認します。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
  3. 次のレジストリ サブキーを展開し、LM 互換性エントリに設定されている値を確認します。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. 次のレジストリ サブキーを展開し、EnableSecuritySignature (server) エントリに設定されている値を確認します。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. 次のレジストリ サブキーを展開し、RequireSecuritySignature (server) エントリに設定されている値を確認します。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. 次のレジストリ サブキーを展開し、RequireSignOrSeal エントリに設定されている値を確認します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. 次のレジストリ サブキーを展開し、SealSecureChannel エントリに設定されている値を確認します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. 次のレジストリ サブキーを展開し、SignSecureChannel エントリに設定されている値を確認します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  9. 次のレジストリ サブキーを展開し、RequireStrongKey エントリに設定されている値を確認します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

方法 3 : ユーザー権利を確認する

Windows 2000 ベースのコンピュータ上で必要なユーザー権利を確認するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[プログラム]、[管理ツール] を順にポイントし、[ローカル セキュリティ ポリシー] をクリックします。
  2. [セキュリティの設定]、[ローカル ポリシー] の順に展開し、[ユーザー権利の割り当て] をクリックします。
  3. 右側のウィンドウで、[ネットワーク経由でコンピュータへアクセス] をダブルクリックします。
  4. [適用先] ボックスの一覧の Everyone グループの横にある [ローカル ポリシーの設定] チェック ボックスをオンにして、[OK] をクリックします。
  5. [ネットワーク経由でコンピュータへアクセスを拒否する] をダブルクリックします。
  6. [適用先] ボックスの一覧にプリンシパル グループが存在しないことを確認して、[OK] をクリックします。たとえば、Everyone、Authenticated Users、および他のグループが表示されていないことを確認します。
  7. [OK] をクリックし、[ローカル セキュリティ ポリシー] を終了します。
Windows Server 2003 ベースのコンピュータ上で必要なユーザー権利を確認するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[管理ツール] をポイントし、[ドメイン コントローラ セキュリティ ポリシー] をクリックします。
  2. [セキュリティの設定]、[ローカル ポリシー] の順に展開し、[ユーザー権利の割り当て] をクリックします。
  3. 右側のウィンドウで、[ネットワーク経由でコンピュータへアクセス] をダブルクリックします。
  4. [ネットワーク経由でコンピュータへアクセス] ボックスの一覧に、Everyone グループが含まれていることを確認します。Everyone グループが含まれていない場合、次の手順を実行します。
    1. [ユーザーまたはグループの追加] をクリックします。
    2. [ユーザーとグループ名] ボックスで Everyone と入力して、[OK] をクリックします。
  5. [ネットワーク経由でコンピュータへアクセスを拒否する] をダブルクリックします。
  6. [ネットワーク経由でコンピュータへアクセスを拒否する] ボックスの一覧にプリンシパル グループが存在しないことを確認して、[OK] をクリックします。たとえば、Everyone、Authenticated Users、および他のグループが表示されていないことを確認します。
  7. [OK] をクリックして、[ドメイン コントローラ セキュリティ ポリシー] を終了します。
Windows NT Server 4.0 ベースのコンピュータ上で必要なユーザーの権利を確認するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[プログラム]、[管理ツール] を順にポイントし、[ドメイン ユーザー マネージャ] をクリックします。
  2. [原則] メニューの [ユーザーの権利] をクリックします。
  3. [権利] ボックスの一覧で、[ネットワーク経由でコンピュータにアクセス] をクリックします。
  4. [この権利を与えられたアカウント] ボックスの一覧で、Everyone グループが追加されていることを確認します。Everyone グループが追加されていない場合は、次の手順を実行します。
    1. [追加] をクリックします。
    2. [名前] ボックスの一覧で [Everyone] をクリックし、[追加] をクリックして [OK] をクリックします。
  5. [OK] をクリックして、ドメイン ユーザー マネージャを終了します。

方法 4 : グループ メンバシップを確認する

信頼関係がドメイン間で設定されているにもかかわらず、ダイアログ ボックスで他のドメイン オブジェクトが見つからないために、プリンシパル ユーザー グループを 1 つのドメインから他のドメインに追加できない場合は、"Pre-Windows 2000 compatible access" グループに正しいメンバシップが割り当てられていない場合があります。

Windows 2000 ベースのドメイン コントローラおよび Windows Server 2003 ベースのドメイン コントローラ上で、必要なグループ メンバシップが構成されていることを確認します。

Windows 2000 ベースのドメイン コントローラでこれを行うには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[プログラム]、[管理ツール] を順にポイントして、[Active Directory ユーザーとコンピュータ] をクリックします。
  2. [Built in] をクリックし、[Pre-Windows 2000 compatible access] グループをダブルクリックします。
  3. [メンバ] タブをクリックし、Everyone グループが [所属するメンバ] ボックスの一覧に表示されていることを確認します。
  4. Everyone グループが [メンバ] ボックスの一覧にない場合は、次の手順を実行します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに cmd と入力し、[OK] をクリックします。
    2. コマンド プロンプトで net localgroup "Pre-Windows 2000 Compatible Access" everyone /add と入力し、Enter キーを押します。
必要なグループ メンバシップが Windows Server 2003 ベースのドメイン コントローラ上で構成されていることを確認するには、"ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する" ポリシー設定が無効になっているかどうかを知っておく必要があります。この設定が不明な場合には、グループ ポリシー オブジェクト エディタを使用して、"ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する" ポリシー設定の状態を確認します。これを行うには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。gpedit.msc と入力し、[OK] をクリックします。
  2. 次のフォルダを展開します。
    ローカル コンピュータ ポリシー
    コンピュータの構成
    Windows の設定
    セキュリティの設定
    ローカル ポリシー
  3. [セキュリティ オプション] をクリックし、右側のウィンドウで [ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する] をクリックします。
  4. [セキュリティの設定] 列が、[無効] または [有効] のどちらになっているかをメモします。
必要なグループ メンバシップが Windows Server 2003 ベースのドメイン コントローラ上で構成されていることを確認するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[プログラム]、[管理ツール] を順にポイントして、[Active Directory ユーザーとコンピュータ] をクリックします。
  2. [Built in] をクリックし、[Pre-Windows 2000 compatible access] グループをダブルクリックします。
  3. [メンバ] タブをクリックします。
  4. [ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する] ポリシーの設定が無効になっている場合、Everyone と ANONYMOUS LOGON グループが [メンバ] ボックスの一覧に表示されていることを確認します。[ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する] ポリシーの設定が有効になっている場合、Everyone グループが [メンバ] ボックスの一覧に表示されていることを確認します。
  5. Everyone グループが [メンバ] ボックスの一覧にない場合は、次の手順を実行します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに cmd と入力し、[OK] をクリックします。
    2. コマンド プロンプトで net localgroup "Pre-Windows 2000 Compatible Access" everyone /add と入力し、Enter キーを押します。

方法 5 : ファイアウォール、スイッチ、またはルーターなどのネットワーク デバイス経由での接続を確認する

次のようなエラー メッセージが表示され、LMHOST ファイルが正しいことが確認された場合、ドメイン コントローラ間のポートをブロックしているファイアウォール、スイッチ、またはルーターが原因で問題が発生していることがあります。
No domain controller could be contacted
ネットワーク デバイスのトラブルシューティングを行うには、PortQry Command Line Port Scanner 2.0 を使用して、ドメイン コントローラ間のポートをテストします。 PortQry 2.0 の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
832919 PortQry 2.0 の新機能
ポートの構成方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
179442 ドメインの信頼関係を使用するためのファイアウォールの構成方法

方法 6 : さらに情報を収集して、問題のトラブルシューティングに役立てる

これまでの方法で問題を解決できなかった場合は、さらに情報を収集して、問題のトラブルシューティングに役立てます。
  • 両方のドメイン コントローラで Netlogon ログを有効にする。 Netlogon ログを有効にする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    109626 Netlogon サービスのデバッグ ログを有効にする
  • 問題が発生している際に、両方のドメイン コントローラで同時にトレースをキャプチャする。 ネットワーク トラフィックをキャプチャする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    812953 ネットワーク モニタを使用してネットワーク トラフィックをキャプチャする方法

詳細

以下のグループ ポリシー オブジェクト (GPO) の一覧は、各オペレーティング システムで対応するレジストリ エントリとグループ ポリシーの場所を示しています。
  • RestrictAnonymous GPO :
    • Windows NT のレジストリの場所 :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 および Windows Server 2003 のレジストリの場所 :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\匿名接続の追加を制限する
    • Windows Server 2003 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない
  • RestrictAnonymousSAM GPO :
    • Windows Server 2003 のレジストリの場所 :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\ネットワーク アクセス: SAM アカウントおよび共有の匿名の列挙を許可しない
  • EveryoneIncludesAnonymous GPO :
    • Windows Server 2003 のレジストリの場所 :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカルポリシー\セキュリティ オプション\ネットワーク アクセス: Everyone のアクセス許可を匿名ユーザーに適用する
  • LM Compatibility GPO :
    • Windows NT、Windows 2000、および Windows Server 2003 のレジストリの場所 :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • Windows 2000 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカルポリシー\セキュリティ オプション\LAN Manager 認証レベル
    • Windows Server 2003 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\ネットワーク セキュリティ: LAN Manager 認証レベル
  • EnableSecuritySignature (client) GPO :
    • Windows 2000 および Windows Server 2003 のレジストリの場所 : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\可能な場合、クライアントの通信にデジタル署名を行う
    • Windows Server 2003 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\Microsoft ネットワーク クライアント: サーバーが同意すれば、通信にデジタル署名を行う
  • RequireSecuritySignature (client) GPO :
    • Windows 2000 および Windows Server 2003 のレジストリの場所 :
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\常にクライアント側の通信にデジタル署名を行う
    • Windows Server 2003 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\Microsoft ネットワーク クライアント: 常に通信にデジタル署名を行う
  • EnableSecuritySignature (server) GPO :
    • Windows NT のレジストリの場所 :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 および Windows Server 2003 のレジストリの場所 :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\可能な場合、クライアントの通信にデジタル署名を行う
    • Windows Server 2003 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\Microsoft ネットワーク サーバー: クライアントが同意すれば、通信にデジタル署名を行う
  • RequireSecuritySignature (server) GPO :
    • Windows NT のレジストリの場所 :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 および Windows Server 2003 のレジストリの場所 :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\常にサーバーの通信にデジタル署名を行う
    • Windows Server 2003 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う
  • RequireSignOrSeal GPO :
    • Windows NT、Windows 2000、および Windows Server 2003 のレジストリの場所 :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\セキュリティで保護されたチャネル: 常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する
    • Windows Server 2003 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\ドメイン メンバ: 常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する
  • SealSecureChannel GPO :
    • Windows NT、Windows 2000、および Windows Server 2003 のレジストリの場所 :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に暗号化または署名する
    • Windows Server 2003 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\ドメイン メンバ: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に暗号化する
  • SignSecureChannel GPO :
    • Windows NT、Windows 2000、および Windows Server 2003 のレジストリの場所 :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\セキュリティで保護されたチャネル: 可能な場合、セキュリティ チャネルのデータをデジタル的に署名する
    • Windows Server 2003 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\ドメイン メンバ: 可能な場合、セキュリティで保護されたチャネルのデータをデジタル的に署名する
  • RequireStrongKey GPO :
    • Windows NT、Windows 2000、および Windows Server 2003 のレジストリの場所 :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\セキュリティで保護されたチャネル: 強力な (Windows 2000 か、それ以降のバージョン) セッション キーを必要とする
    • Windows Server 2003 のグループ ポリシー : コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\ドメイン メンバ: 強力な (Windows 2000 か、それ以降のバージョン) セッション キーを必要とする

関連情報

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
257942 [NT] エラー: 選択したドメインを参照できない
246261 Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法
258595 [NT]Gpresult がコンピュータ セキュリティ ポリシーの結果を列挙しない
823659 セキュリティ設定およびユーザー権利の割り当てを変更すると、クライアント、サービス、およびプログラムの互換性がなくなる
278259 Everyone グループに匿名のセキュリティ識別子は含まれない

プロパティ

文書番号: 889030 - 最終更新日: 2006年12月11日 - リビジョン: 5.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
キーワード:?
kbtshoot kbactivedirectory kbnetwork KB889030
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com