Windows 2003 SP1 以降では、FQDN または DNS の CNAME 名でサーバーにアクセスしようとすると、ほかのサーバーからはログインできるのに、そのサーバー自身からログオンしようとすると、認証ダイアログが表示され続けて、ログインできなくなることがあります。
これは、Windows Server 2003 のローカル ループバック チェック機能によるものです。
ループバック チェックは反射攻撃 (Reflection Attack) を防止するための機能で、自身のコンピューター名以外の名前 (FQDN、カスタム ホスト ヘッダー等) を使用したローカルからのアクセスは拒否され、認証が失敗します。
(1) サーバー側で、ループ バック チェック機能を無効にするには
サーバー側でループ バック チェック機能を無効にするには、対象のコンピュータに以下のレジストリを追加します。
キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
値の名前: DisableLoopbackCheck
値の種類: DWORD
値: 1 (既定値:0)
(2) 特定のホスト名に対して、ループ バック チェック機能を無効にするには
特定のホスト名に対してループ バック チェック機能を無効にするには、対象のコンピュータに以下のレジストリを追加します。
キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
値の名前: BackConnectionHostNames
値の種類: REG_MULTI_SZ (複数行文字列値)
値: サーバーの FQDN を追加してください
(1) (2) いずれもコンピューターの再起動が必要です。
コメント