現在オフラインです。再接続するためにインターネットの接続を待っています

[NT] ドメインの信頼関係を確立できない

この記事は、以前は次の ID で公開されていました: JP178640
現象
  重要: この資料には、レジストリを編集するような情報が含まれています。        レジストリを編集する前に、レジストリを編集したために問題が発生した場合の        ために、レジストリの復元方法を理解しておく必要があります。        復元方法については、Regedt32.exe の「レジストリ キーを復元する」        というオンライン ヘルプのトピックを参照してください。

使用しているプロトコルの種類に関係なく、次のエラー メッセージを受け取る場合があります。

このドメインのドメイン コントローラが見つかりません。

LMHOSTS ファイルおよび WINS データベースが正常な場合でも、同じエラーが起こる場合があります。ネットワークには、接続の問題はありません。
原因
Windows NT 4.0 Service Pack 3 および Windows NT 3.51 用 HOTFIX では、管理者は、匿名ログオン ユーザー (NULL セッション接続ともいう) によるアカウント名の一覧表示および共有名の列挙の機能を制限できるようになっています。

これに関するレジストリの設定では、また信頼する側のドメインが、信頼される側のプライマリ ドメイン コントローラで接続を確立するのを制限して、信頼関係を確立することができます。
解決方法
レジストリにある RestrictAnonymous の値を 0 に設定するか、またはその値を削除すると、信頼関係を確立できるようになります。
  注意: レジストリは Windows NT システムの非常に重要なファイルです。レジストリの        編集を誤ると、Windows NT が起動しなくなるなど、再セットアップを余儀なくさ        れるような事態が発生する恐れがあります。弊社ではレジストリ エディタの編        集の結果によるいかなる問題に対しても保証はいたしかねます。レジストリはお        客様の責任範囲でお使いください。        レジストリの編集についての詳細は、レジストリ エディタ (Regedit.exe) の        トピックの検索で「キーと値を変える」を参照するか、または Regedt32.exe の        ヘルプ トピック「レジストリの情報の追加と削除」および「レジストリ        を編集する」を参照してください。レジストリを編集する前には必ずバックアッ        プを行ってください。
  1. レジストリ エディタ (Regedt32.exe) を実行します。
  2. レジストリ中の次のキーに移動します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  3. 次の値を選択します。
    RestrictAnonymous
  4. [編集] メニューの [DWORD] をクリックし、次の情報にしたがってデータ (値) を 0 に変更します。
    データ: RestrictAnonymous データの種類: REG_DWORD 値: 0
  5. レジストリ エディタを終了し、変更を有効にするためにコンピュータを再起動します。
状況
弊社では、これを Windows NT Version 3.51 および 4.0 の問題として認識しており、現在調査中です。詳細がわかりしだい、サポート技術情報にてお知らせする予定です。
詳細
このレジストリの値は、共通の列挙機能を実行する場合の認証の必要性についてのローカル システム ポリシーを設定することを目的としています。オプション機能の 1 つには、アカウント名の一覧を表示する場合の認証の要求があります。RestrictAnonymous の値が 1 に設定されている場合、セキュリティ管理用の GUI (Graphical User Interface) ツールから匿名接続をしたときに、アカウント名の一覧を表示させようとすると、アクセス拒否エラーを受け取ります。RestrictAnonymous の値が 0 に設定されている、または値が定義されていない場合は、匿名接続でアカウント名の一覧表示や共有名の列挙をすることができます。ただし、RestrictAnonymous の値が 1 に設定されている場合でも、そのシステムのユーザー インターフェイス ツールではアカウント名の一覧表示はできないものの、匿名接続を制限しない個人名参照機能をサポートする Win32 プログラミング インターフェイスがあります。

さまざまなドメイン モデルを使用する Windows NT のネットワークでは、機能を損なわずに匿名接続を制限することができます。匿名接続を無効にするには、まずリソース ドメインの管理者が、特定のローカル グループに信頼される側のアカウント ドメインのメンバーを追加します。これは、LSA RestrictAnonymous レジストリ エントリの値を変更する前に必要です。信頼される側のアカウント ドメインからのアカウントでログオンされたユーザーは、認証された接続を使用し続けることにより、セキュリティ アクセス コントロールの管理に必要なアカウント名の一覧表示をすることができます。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 178640 (最終更新日 1998-06-01) をもとに作成したものです。



restrict anonymous security
プロパティ

文書番号:178640 - 最終更新日: 01/22/2003 06:40:00 - リビジョン: 2.0

  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • kbbug ntdomain ntsrvwkst kbbug3.51 kbbug4.00 KB178640
フィードバック