Windows Server の外部の信頼されるドメインに分離された名前の検索を制限する方法

重要 この資料には、レジストリを変更する方法に関する情報が含まれています。変更する前に、レジストリをバックアップすることを確認します。問題が発生した場合にレジストリを復元する方法を必ず知っておいてください。バックアップ、復元、およびレジストリを変更する方法の詳細については、次の文書番号をクリックして、マイクロソフト サポート技術資料を参照してください。
322756の方法をバックアップし、Windows のレジストリを復元するには

概要

既定では、 LookupAccountName関数またはLsaLookupNames関数は、Windows server は、セキュリティ識別子 (Sid) に分離された名前を解決すると、外部の信頼されたドメインのドメイン コント ローラーにリモート プロシージャ コール (RPC) が行った。(、分離された名前は、あいまいな、ドメイン修飾された以外のユーザー アカウントです)。プライマリ ドメインには他のドメインと外部の信頼関係が多くの状況で、またはに同時に検索が多くを実行するには、パフォーマンスが低下する可能性があります。ドメイン コント ローラーでは、増加のメモリ使用量と CPU 使用率の向上を表示ことがあります。

LookupAccountName関数とLsaLookupNames関数呼び出すこともできますでセキュリティ設定を編集するスクリプトまたはツール。Sid にアカウント名を割り当てる必要があります。セキュリティの設定を編集するのには使用できるツールの例としては、Cacls.exe、Xcacls.exe、icacls、Dsacls.exe、Subinacl.exe です。

この資料では、Windows Server の外部の信頼されたドメインの分離の名前のルックアップが実行されるかどうか制御するレジストリを編集する方法について説明します。

詳細

ルックアップ関数は、次の形式を使用する名前を受け入れます。
  • NetBIOSDomainName\AccountName
  • DnsDomainName\AccountName
  • (UPN)とります@アカウント名
  • (分離プロセス)アカウント名
一覧で最初の 3 つの名前形式の lookup 関数直接ターゲットにできます、適切なドメインのドメイン コント ローラーこれらの名前の形式には、セキュリティ プリンシパルの権限のあるドメインが含まれているため。

4 名の形式、(分離プロセス) のアカウント名は、不適切です。検索機能は必要がある RPC をすべて信頼される側のドメインにすることにより、SID に名前を解決するのには体系的にしてみてください。多くの外部の信頼が存在する環境では、この操作は各ドメインのドメイン コント ローラーに RPC を作成するには、信頼されたドメインのシリアル列挙を必要があります。このシナリオでは、パフォーマンスが低下として信頼されているドメインの数が増加します。

スクリプトまたはプログラムは、分離の名前を解決するのにはしようとすると、パフォーマンスが低下する可能性があります。たとえば、ログオン時に実行するスクリプトまたはプログラムが構成されている場合に、この問題が発生する可能性があります。スクリプトまたはプログラムを同時に多数のクライアントで実行する場合にも発生する可能性があります。このようなプログラムを使用して、多数の外部信頼されているドメイン環境では、参照と外部の信頼されたドメインの Sid に分離の名前の解決を無効にする可能性があります。

レジストリを編集する外部の信頼されたドメインの分離の名前のルックアップを無効 (または有効)

重要 Windows 2000 Server を実行している場合は、まずこの手順を使用する前に、この資料の「Windows 2000 サーバーの修正プログラム情報」セクションに記載されている修正プログラムをインストールするにはあります。

外部の信頼されたドメインの分離の名前のルックアップが実行されるかどうか制御するレジストリを編集するには、次のレジストリ エントリを作成します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • このエントリが存在しない場合、または値が 0 に設定されている場合は、外部の信頼されるドメイン間で分離された名前のルックアップが実行されます。
  • このレジストリ エントリが 1 に設定されている場合、外部の信頼されるドメイン間で分離された名前のルックアップは実行されません。
既定では、外部の信頼されたドメイン間で分離された名前のルックアップが実行され、 LsaLookupRestrictIsolatedNameLevelエントリがレジストリに存在ではありません。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevelレジストリ エントリを作成するを無効にすると外部の信頼されたドメインの分離の名前のルックアップを有効にするのには、以下の手順を実行します。

注: ドメイン コント ローラー上でのみこのレジストリ エントリを作成します。

警告: [レジストリ エディタ] または別の方法を使用してレジストリを誤って修正すると、深刻な問題が発生することがあります。これらの問題は、オペレーティング システムを再インストールする必要があります。マイクロソフトは、これらの問題を解決できることを保証することはできません。自己の責任においてレジストリを変更してください。
  1. [スタート] をクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに regedit と入力し、[OK] をクリックします。
  3. 見つけて次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
  4. [編集] メニューで、[新規] をポイントし、[DWORD 値] をクリックします。
  5. LsaLookupRestrictIsolatedNameLevelを入力し、ENTER キーを押します。
  6. [編集] メニューの [修正] をクリックします。
  7. 状況に応じて、次のいずれかの操作を行います。
    • 外部の信頼されたドメインの分離の名前のルックアップを無効にするには、値のデータ] ボックスに1を入力します。
    • 外部の信頼されたドメインの分離の名前のルックアップを有効にするには、値のデータ] ボックスに0を入力します。
  8. [Ok]をクリックし、レジストリ エディターを終了します。

Windows 2000 Server の修正プログラム情報

サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この問題が発生しているシステムにのみ適用してください。

修正プログラムをダウンロードできる場合は、このサポート技術情報の資料の上部に「修正プログラムのダウンロード」セクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにリクエストを送信し、修正プログラムを入手してください。

注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。一覧マイクロソフト カスタマー サービス & サポートの電話番号または別のサービス リクエストを作成する、次のマイクロソフト Web サイトを参照してください。注: [修正プログラムのダウンロード] フォームには、修正プログラムが提供されている言語が表示されます。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。

必要条件

この修正プログラムには、Microsoft Windows 2000 Service Pack 3 (SP3) が必要です。

再起動の必要性

この修正プログラムを適用した後コンピューターを再起動する必要があります。

修正プログラムの置き換えに関する情報

この修正プログラムによって他の修正プログラムが置き換わることはありません。

ファイル情報

修正プログラム (英語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との時差を確認するには、コントロール パネルの [日付と時刻] の [タイム ゾーン] タブを使用してください。
Date         Time   Version        Size     File name --------------------------------------------------------
25-Sep-2003 12:11 5.0.2195.6824 124,688 Adsldp.dll
25-Sep-2003 12:11 5.0.2195.6824 132,368 Adsldpc.dll
25-Sep-2003 12:11 5.0.2195.6824 63,760 Adsmsext.dll
25-Sep-2003 12:11 5.0.2195.6824 381,712 Advapi32.dll
25-Sep-2003 12:11 5.0.2195.6824 69,904 Browser.dll
25-Sep-2003 12:11 5.0.2195.6824 136,464 Dnsapi.dll
25-Sep-2003 12:11 5.0.2195.6824 96,016 Dnsrslvr.dll
25-Sep-2003 12:11 5.0.2195.6824 47,376 Eventlog.dll
25-Sep-2003 12:11 5.0.2195.6824 148,240 Kdcsvc.dll
20-Sep-2003 15:32 5.0.2195.6824 205,584 Kerberos.dll
20-Sep-2003 15:32 5.0.2195.6824 71,888 Ksecdd.sys
25-Sep-2003 08:58 5.0.2195.6826 510,224 Lsasrv.dll
25-Sep-2003 08:58 5.0.2195.6826 33,552 Lsass.exe
20-Sep-2003 15:32 5.0.2195.6824 109,840 Msv1_0.dll
25-Sep-2003 12:11 5.0.2195.6824 307,984 Netapi32.dll
25-Sep-2003 12:11 5.0.2195.6824 361,232 Netlogon.dll
25-Sep-2003 12:11 5.0.2195.6826 931,600 Ntdsa.dll
25-Sep-2003 12:11 5.0.2195.6824 392,464 Samsrv.dll
25-Sep-2003 12:11 5.0.2195.6824 113,936 Scecli.dll
25-Sep-2003 12:11 5.0.2195.6824 259,856 Scesrv.dll
25-Sep-2003 12:11 5.0.2195.6824 48,912 W32time.dll
20-Sep-2003 15:32 5.0.2195.6824 57,104 W32tm.exe
25-Sep-2003 12:11 5.0.2195.6824 126,224 Wldap32.dll

プロパティ

文書番号:818024 - 最終更新日: 2017/02/01 - リビジョン: 1

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

フィードバック