外部の信頼されたドメインに Windows Server への分離の名前の検索を制限する方法

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響します。 この変更の意味および保護された状態を維持する方法について説明します。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:818024
重要: この資料には、レジストリの変更方法が記載されています。変更を加える前に、必ずレジストリをバックアップしてください。問題が発生した場合に備え、レジストリを復元する方法も必ず確認しておいてください。レジストリをバックアップ、復元、および変更する方法の詳細については、以下の資料番号をクリックして、該当するマイクロソフト サポート技術情報資料を参照してください。
322756 Windows でレジストリをバックアップおよび復元する方法
概要
既定では、LookupAccountName関数またはLsaLookupNames関数は、Windows Server では、分離 namesto のセキュリティ識別子 (Sid) を解決するときに、リモート プロシージャ コール (RPC) は外部の信頼される側のドメインのドメイン コント ローラーに行われました。(、分離された名前は、あいまいな、非ドメイン-修飾ユーザー アカウント) です。プライマリ ドメインに他のドメインとの外部の信頼関係の多くの状況でまたはに、同時に多くの参照を実行するには、パフォーマンスが低下する可能性があります。ドメイン コント ローラー上増加メモリ使用量と CPU 使用率の向上を参照して可能性があります。

LookupAccountName関数とLsaLookupNames関数呼び出すこともできますでセキュリティ設定を編集するスクリプトまたはツール。アカウント名を Sid にマップされなければなりません。セキュリティ設定を編集するのに使用できるツールの例としては、Cacls.exe を Xcacls.exe、icacls、Dsacls.exe、Subinacl.exe です。

この資料では分離の名前の検索は、Windows server の外部の信頼されるドメインで実行するかどうかを制御するには、レジストリを編集する方法について説明します。
詳細
ルックアップ関数は、次の形式を使用する名前を受け入れます。
  • 開く] ダイアログ\アカウント名
  • とります\アカウント名
  • (UPN) アカウント名@とります
  • (分離プロセス) アカウント名
一覧で最初の 3 つの名前の形式、ルックアップ関数直接ターゲットにできます、適切なドメインのドメイン コント ローラーこれらの名前の形式には、セキュリティ プリンシパルに対して権限のあるドメインが含まれているため。

4 番目の名前の形式、(分離プロセス) アカウント名、があいまいです。RPC をすべて信頼される側のドメインに SID に名前を解決するために体系的に、lookup 関数では、する必要がありますしてみてください。多くの外部の信頼が存在する環境ではこの操作を各ドメインのドメイン コント ローラーに RPC では、信頼される側のドメインのシリアル列挙を必要があります。このシナリオでは、パフォーマンスが低下と信頼される側のドメインの数が増加します。

スクリプトまたはプログラム、分離された名前を解決しようとすると、パフォーマンスが低下する可能性があります。たとえば、ログオン時に実行するスクリプトまたはプログラムが構成されている場合にこの問題が発生する可能性があります。問題のスクリプトまたはプログラム、同時に多数のクライアントで実行する場合もあります。環境でこのようなプログラムを使用して多くの外部信頼されているドメインでは、参照と外部の信頼される側のドメインの Sid に分離の名前の解決を無効にする可能性があります。

信頼される側の外部ドメインの分離の名前のルックアップを無効 (または有効にする) には、レジストリを編集します。

重要Windows 2000 Server を実行している場合は、まずこのプロシージャを使用する前に、この資料の後半の「Windows 2000 Server の修正プログラム情報」セクションに記載されている修正プログラムをインストールする必要が。

分離の名前の参照が外部の信頼されるドメインで実行するかどうかを制御するレジストリを編集するには、次のレジストリ エントリを作成します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • このエントリが存在しない場合または値が 0 に設定されている場合は、外部の信頼される側のドメインの間の分離の名前のルックアップが実行されます。
  • 場合は、このレジストリ エントリが 1 に設定して、外部の信頼される側のドメインの間で分離の名前のルックアップは実行されません。
既定では、外部の信頼されるドメイン間での分離の名前の検索を実行し、
LsaLookupRestrictIsolatedNameLevel
エントリがレジストリに存在しません。

作成するのには
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
レジストリ エントリを無効にするまたは信頼される側の外部ドメインの分離の名前の検索を有効にするには、これらの手順に従います。

メモ ドメイン コント ローラー上でのみこのレジストリ エントリを作成します。

警告レジストリ エディター、または別の方法を使用してレジストリを不適切に変更すると、深刻な問題が発生する可能性があります。こうした問題により、オペレーティング システムの再インストールが必要になる場合があります。マイクロソフトはこれらの問題の解決を保証できません。自己責任においてレジストリを変更してください。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに次のように入力します。 regedit、し [ OK] をクリックします。
  3. 見つけるには、次のレジストリ サブキーをクリック。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
  4. [編集] メニューで、新規作成をポイントし、[ DWORD 値] をクリックします。
  5. タイプ LsaLookupRestrictIsolatedNameLevel、し、ENTER キーを押します。
  6. [編集] メニューの [変更を] をクリックします。
  7. 自分の状況に応じて、次のいずれかの操作を行います。
    • 信頼される側の外部ドメインの分離の名前のルックアップを無効にするのには次のように入力します。 1値のデータ] ボックスにします。
    • 信頼される側の外部ドメインの分離の名前の検索を有効にするのには次のように入力します。 0値のデータ] ボックスにします。
  8. [Ok]をクリックし、レジストリ エディターを終了します。

Windows 2000 Server の修正プログラムの情報

サポートされている修正プログラムをマイクロソフトから入手することができます。ただし、この修正プログラムはこの資料に記載されている問題のみを修正するものです。この修正プログラムはこの問題が発生しているシステムにのみ適用して下さい。

修正プログラムがダウンロード可能な場合は、この記事の上部に「修正プログラムのダウンロード」セクションが表示されます。このセクションが表示されない場合は、マイクロソフト カスタマー サービスへリクエストを送信して、修正プログラムを入手してください。

メモ その他の問題が発生した場合、またはトラブルシューティングが必要な場合は、別のサービス リクエストを作成する必要があります。追加の質問およびこの特定の修正プログラムの対象とならない問題については、通常のサポート料金が適用されます。マイクロソフト カスタマー サービス & サポートの電話番号の一覧または別のサービス リクエストを作成するには、次のマイクロソフト Web サイトを参照してください。 メモ 「修正プログラムのダウンロード」フォームには、修正プログラムを利用可能な言語が表示されます。お使いの言語が見つからない場合は、修正プログラムがその言語で利用可能ではありません。

前提条件

この修正プログラムは、Microsoft Windows 2000 Service Pack 3 (SP3) が必要です。

再起動の必要性

この修正プログラムを適用後、コンピューターを再起動する必要があります。

修正プログラムの置き換えに関する情報

この修正プログラムが、他のいかなる修正プログラムも置き換えることはありません。

ファイル情報

この修正プログラムの英語版のファイル属性 (またはそれ以降のファイル属性) を、次の表に一覧表示します。これらのファイルの日付と時刻は世界協定時刻 (UTC) で表示されます。ファイル情報を表示する際に、ローカル時刻に変換されます。UTC とローカル時刻との時差を確認するには、コントロールパネルの日付と時刻の項目で、[タイム ゾーン] タブを使用します。
Date         Time   Version        Size     File name --------------------------------------------------------25-Sep-2003  12:11  5.0.2195.6824  124,688  Adsldp.dll 25-Sep-2003  12:11  5.0.2195.6824  132,368  Adsldpc.dll 25-Sep-2003  12:11  5.0.2195.6824  63,760   Adsmsext.dll 25-Sep-2003  12:11  5.0.2195.6824  381,712  Advapi32.dll 25-Sep-2003  12:11  5.0.2195.6824  69,904   Browser.dll 25-Sep-2003  12:11  5.0.2195.6824  136,464  Dnsapi.dll 25-Sep-2003  12:11  5.0.2195.6824  96,016   Dnsrslvr.dll 25-Sep-2003  12:11  5.0.2195.6824  47,376   Eventlog.dll 25-Sep-2003  12:11  5.0.2195.6824  148,240  Kdcsvc.dll 20-Sep-2003  15:32  5.0.2195.6824  205,584  Kerberos.dll 20-Sep-2003  15:32  5.0.2195.6824  71,888   Ksecdd.sys 25-Sep-2003  08:58  5.0.2195.6826  510,224  Lsasrv.dll 25-Sep-2003  08:58  5.0.2195.6826  33,552   Lsass.exe 20-Sep-2003  15:32  5.0.2195.6824  109,840  Msv1_0.dll 25-Sep-2003  12:11  5.0.2195.6824  307,984  Netapi32.dll 25-Sep-2003  12:11  5.0.2195.6824  361,232  Netlogon.dll 25-Sep-2003  12:11  5.0.2195.6826  931,600  Ntdsa.dll 25-Sep-2003  12:11  5.0.2195.6824  392,464  Samsrv.dll 25-Sep-2003  12:11  5.0.2195.6824  113,936  Scecli.dll 25-Sep-2003  12:11  5.0.2195.6824  259,856  Scesrv.dll 25-Sep-2003  12:11  5.0.2195.6824  48,912   W32time.dll 20-Sep-2003  15:32  5.0.2195.6824  57,104   W32tm.exe 25-Sep-2003  12:11  5.0.2195.6824  126,224  Wldap32.dll

警告: この記事は自動翻訳されています

プロパティ

文書番号:818024 - 最終更新日: 01/09/2014 22:47:00 - リビジョン: 10.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

  • kbautohotfix kbhotfixserver kbqfe kbwin2000presp5fix kbhowto kbmt KB818024 KbMtja
フィードバック