L'attendibilità tra un dominio Windows NT e un dominio di Active Directory non può essere stabilita o non funziona come previsto

  • Articolo

Questo articolo descrive i problemi di configurazione dell'attendibilità tra un dominio basato su Windows NT 4.0 e un dominio basato su Active Directory.

Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 889030

Sintomi

Se si tenta di configurare un trust tra un dominio basato su Microsoft Windows NT 4.0 e un dominio basato su Active Directory, è possibile che si verifichi uno dei sintomi seguenti:

  • Il trust non viene stabilito.
  • Il trust viene stabilito, ma il trust non funziona come previsto.

Inoltre, è possibile ricevere uno dei messaggi di errore seguenti:

Si è verificato l'errore seguente durante il tentativo di aggiunta al dominio "Domain_Name": l'account non è autorizzato ad accedere da questa stazione.

Accesso negato.

Non è stato possibile contattare alcun controller di dominio.

Errore di accesso: nome utente sconosciuto o password non valida.

Quando si usa la selezione oggetti in Utenti e computer di Active Directory per aggiungere utenti dal dominio NT 4.0 al dominio di Active Directory, è possibile che venga visualizzato il messaggio di errore seguente:

Nessun elemento corrispondente alla ricerca corrente. Controllare i parametri di ricerca e riprovare.

Causa

Questo problema si verifica a causa di un problema di configurazione in una delle aree seguenti:

  • Risoluzione dei nomi
  • Impostazioni di protezione
  • Diritti utente
  • Appartenenza a gruppi per Microsoft Windows 2000 o Microsoft Windows Server 2003

Per identificare correttamente la causa del problema, è necessario risolvere i problemi relativi alla configurazione dell'attendibilità.

Risoluzione

Se viene visualizzato il messaggio di errore "Nessun elemento corrispondente alla ricerca corrente" quando si usa la selezione oggetti in Utenti e computer di Active Directory, assicurarsi che i controller di dominio nel dominio NT 4.0 includano Tutti nel diritto Accedi al computer dall'utente di rete. In questo scenario, la selezione oggetti tenta di connettersi in modo anonimo attraverso l'attendibilità. Per verificare queste impostazioni, seguire la procedura descritta nella sezione "Metodo tre: Verificare i diritti utente".

Per risolvere i problemi di configurazione dell'attendibilità tra un dominio basato su Windows NT 4.0 e Active Directory, è necessario verificare la configurazione corretta delle aree seguenti:

  • Risoluzione dei nomi
  • Impostazioni di protezione
  • Diritti utente
  • Appartenenza a gruppi per Microsoft Windows 2000 o Microsoft Windows Server 2003

A tale scopo, usare i metodi seguenti.

Metodo 1: Verificare la configurazione corretta della risoluzione dei nomi

Passaggio 1: Creare un file LMHOSTS

Creare un file LMHOSTS nei controller di dominio primari per fornire la funzionalità di risoluzione dei nomi tra domini. Il file LMHOSTS è un file di testo che è possibile modificare con qualsiasi editor di testo, ad esempio blocco note. Il file LMHOSTS in ogni controller di dominio deve contenere l'indirizzo TCP/IP, il nome di dominio e la voce \0x1b dell'altro controller di dominio.

Dopo aver creato il file LMHOSTS, seguire questa procedura:

  1. Modificare il file in modo che contenga testo simile al testo seguente:

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    Nota

    Devono essere presenti un totale di 20 caratteri e spazi tra le virgolette (" ") per la voce \0x1b. Aggiungere spazi dopo il nome di dominio in modo che usi 15 caratteri. Il sedicesimo carattere è la barra rovesciata seguita dal valore "0x1b" e il totale è di 20 caratteri.

  2. Al termine delle modifiche apportate al file LMHOSTS, salvare il file nella cartella %SystemRoot% \System32\Drivers\Etc nei controller di dominio. Per altre informazioni sul file LMHOSTS, vedere il file di esempio Lmhosts.sam che si trova nella cartella %SystemRoot% \System32\Drivers\Etc.

Passaggio 2: Caricare il file LMHOSTS nella cache

  1. Fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.

  2. Al prompt dei comandi digitare NBTSTAT -Re quindi premere INVIO. Questo comando carica il file LMHOSTS nella cache.

  3. Al prompt dei comandi digitare NBTSTAT -ce quindi premere INVIO. Questo comando visualizza la cache. Se il file è scritto correttamente, la cache è simile alla seguente:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    Se il file non popola correttamente la cache, continuare con il passaggio successivo.

Passaggio 3: Assicurarsi che la ricerca LMHOSTS sia abilitata nel computer basato su Windows NT 4.0

Se il file non popola correttamente la cache, verificare che la ricerca LMHOSTS sia abilitata nel computer basato su Windows NT 4.0. A tal fine, attenersi alla seguente procedura:

  1. Fare clic su Start, scegliere Impostazioni e quindi fare clic su Pannello di controllo.
  2. Fare doppio clic su Reti, fare clic sulla scheda Protocolli e quindi fare doppio clic su Protocollo TCP/IP.
  3. Fare clic sulla scheda Indirizzo WINS e quindi selezionare la casella di controllo Abilita ricerca LMHOSTS .
  4. Riavviare il computer.
  5. Ripetere i passaggi nella sezione "Caricare il file LMHOSTS nella cache".
  6. Se il file non popola correttamente la cache, assicurarsi che il file LMHOSTS si trova nella cartella %SystemRoot%\System32\Drivers\Etc e che il file sia formattato correttamente.

Ad esempio, il file deve essere formattato in modo simile alla formattazione di esempio seguente:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

Nota

Devono essere presenti un totale di 20 caratteri e spazi all'interno delle virgolette (" ") per il nome di dominio e la voce \0x1b.

Passaggio 4: Usare il comando Ping per testare la connettività

Quando il file popola correttamente la cache in ogni server, usare il Ping comando in ogni server per testare la connettività tra i server. A tal fine, attenersi alla seguente procedura:

  1. Fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.

  2. Al prompt dei comandi digitare Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>e quindi premere INVIO. Se il Ping comando non funziona, assicurarsi che gli indirizzi IP corretti siano elencati nel file LMHOSTS.

  3. Al prompt dei comandi digitare net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>e quindi premere INVIO. Si prevede che venga visualizzato il messaggio di errore seguente:

    Si è verificato l'errore di sistema 5. Accesso negato

    Se il comando net view restituisce il messaggio di errore seguente o qualsiasi altro messaggio di errore correlato, assicurarsi che gli indirizzi IP corretti siano elencati nel file LMHOSTS:

    Si è verificato l'errore di sistema 53. Impossibile trovare il percorso di rete

In alternativa, Windows Internet Name Service (WINS) può essere configurato per abilitare la funzionalità di risoluzione dei nomi senza usare un file LMHOSTS.

Metodo 2: Visualizzare le impostazioni di sicurezza

In genere, il lato Active Directory della configurazione dell'attendibilità include impostazioni di sicurezza che causano problemi di connettività. Tuttavia, le impostazioni di sicurezza devono essere controllate su entrambi i lati del trust.

Passaggio 1: Visualizzare le impostazioni di sicurezza in Windows 2000 Server e Windows Server 2003

In Windows 2000 Server e Windows Server 2003 le impostazioni di sicurezza possono essere applicate o configurate da Criteri di gruppo, un criterio locale o un modello di sicurezza applicato.

È necessario usare gli strumenti corretti per determinare i valori correnti delle impostazioni di sicurezza per evitare letture imprecise.

Per ottenere una lettura accurata delle impostazioni di sicurezza correnti, usare i metodi seguenti:

  • In Windows 2000 Server usare lo snap-in Configurazione e analisi della sicurezza.

  • In Windows Server 2003 usare lo snap-in Configurazione e analisi della sicurezza o lo snap-in Set di criteri risultante (RSoP).

Dopo aver determinato le impostazioni correnti, è necessario identificare i criteri che applicano le impostazioni. Ad esempio, è necessario determinare il Criteri di gruppo in Active Directory o le impostazioni locali che impostano i criteri di sicurezza.

In Windows Server 2003 i criteri che impostano i valori di sicurezza sono identificati dallo strumento RSoP. Tuttavia, in Windows 2000 è necessario visualizzare la Criteri di gruppo e i criteri locali per determinare i criteri che contengono le impostazioni di sicurezza:

  • Per visualizzare le impostazioni Criteri di gruppo, è necessario abilitare l'output di registrazione per il client di configurazione della sicurezza di Microsoft Windows 2000 durante l'elaborazione Criteri di gruppo.

  • Visualizzare la Visualizzatore eventi di accesso dell'applicazione e trovare l'ID evento 1000 e l'ID evento 1202.

Le tre sezioni seguenti identificano il sistema operativo ed elencano le impostazioni di sicurezza che è necessario verificare per il sistema operativo nelle informazioni raccolte:

Windows 2000

Assicurarsi che le impostazioni seguenti siano configurate come illustrato.

Restrictanonymous:

Restrizioni aggiuntive per le connessioni anonime
 "Nessuno. Fare affidamento sulle autorizzazioni predefinite"

Compatibilità LM:

Livello di autenticazione LAN Manager "Invia solo risposta NTLM"

Firma SMB, crittografia SMB o entrambi:

Firma digitale delle comunicazioni client (sempre) DISABILI
Firma digitale delle comunicazioni client (quando possibile) ABILITATO
Firma digitale delle comunicazioni del server (sempre) DISABILI
Firmare digitalmente le comunicazioni del server (quando possibile) ABILITATO
Canale sicuro: crittografare o firmare digitalmente i dati del canale sicuro (sempre) DISABILI
Canale sicuro: crittografare digitalmente i dati del canale sicuro (quando possibile) DISABILI
Canale sicuro: firma digitale dei dati del canale sicuro (quando possibile) DISABILI
Canale sicuro: richiedere una chiave di sessione avanzata (Windows 2000 o versione successiva) DISABILI
Windows Server 2003

Assicurarsi che le impostazioni seguenti siano configurate come illustrato.

RestrictAnonymous e RestrictAnonymousSam:

Accesso alla rete: consentire la conversione anonima di SID/nome ABILITATO
Accesso alla rete: non consentire l'enumerazione anonima degli account SAM DISABILI
Accesso alla rete: non consentire l'enumerazione anonima di account e condivisioni SAM DISABILI
Accesso alla rete: consenti l'applicazione delle autorizzazioni Everyone agli utenti anonimi ABILITATO
Accesso alla rete: le named pipe sono accessibili in modo anonimo ABILITATO
Accesso alla rete: limitare l'accesso anonimo a named pipe e condivisioni DISABILI

Nota

Per impostazione predefinita, il valore dell'impostazione Accesso alla rete: Consenti conversione sid/nome anonimo è DISABILITATO in Windows Server 2008.

Compatibilità LM:

Sicurezza di rete: livello di autenticazione LAN Manager "Invia solo risposta NTLM"

Firma SMB, crittografia SMB o entrambi:

Client di rete Microsoft: firma digitale delle comunicazioni (sempre) DISABILI
Client di rete Microsoft: firma digitalmente le comunicazioni (se il server è d'accordo) ABILITATO
Server di rete Microsoft: firma digitale delle comunicazioni (sempre) DISABILI
Server di rete Microsoft: firmare digitalmente le comunicazioni (se il client è d'accordo) ABILITATO
Membro di dominio: crittografare o firmare digitalmente i dati del canale sicuro (sempre) DISABILI
Membro di dominio: crittografare digitalmente i dati del canale sicuro (quando possibile) ABILITATO
Membro di dominio: firma digitale dei dati del canale sicuro (quando possibile) ABILITATO
Membro di dominio: richiedere una chiave di sessione avanzata (Windows 2000 o versione successiva) DISABILI

Dopo aver configurato correttamente le impostazioni, è necessario riavviare il computer. Le impostazioni di sicurezza non vengono applicate fino al riavvio del computer.

Dopo il riavvio del computer, attendere 10 minuti per assicurarsi che vengano applicati tutti i criteri di sicurezza e che siano configurate le impostazioni valide. È consigliabile attendere 10 minuti perché gli aggiornamenti dei criteri di Active Directory si verificano ogni 5 minuti in un controller di dominio e l'aggiornamento può modificare i valori delle impostazioni di sicurezza. Dopo 10 minuti, usare Configurazione e analisi della sicurezza o un altro strumento per esaminare le impostazioni di sicurezza in Windows 2000 e Windows Server 2003.

Windows NT 4.0

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente: 322756 Come eseguire il backup e ripristinare il Registro di sistema in Windows

In Windows NT 4.0 è necessario verificare le impostazioni di sicurezza correnti usando lo strumento Regedt32 per visualizzare il Registro di sistema. A tal fine, attenersi alla seguente procedura:

  1. Fare clic su Start, fare clic su Esegui, digitare regedt32 e quindi fare clic su OK.

  2. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce RestrictAnonymous:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce Compatibilità LM:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce EnableSecuritySignature (server):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce RequireSecuritySignature (server):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce RequireSignOrSeal:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce SealSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce SignSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce RequireStrongKey:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Metodo tre: Verificare i diritti utente

Per verificare i diritti utente necessari in un computer basato su Windows 2000, seguire questa procedura:

  1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e quindi Criteri di sicurezza locali.
  2. Espandere Criteri locali e quindi fare clic su Assegnazione diritti utente.
  3. Nel riquadro destro fare doppio clic su Accedi al computer dalla rete.
  4. Fare clic per selezionare la casella di controllo Impostazione criteri locali accanto al gruppo Tutti nell'elenco Assegnato a e quindi fare clic su OK.
  5. Fare doppio clic su Nega accesso al computer dalla rete.
  6. Verificare che nell'elenco Assegnato a non siano presenti gruppi di principi e quindi fare clic su OK. Ad esempio, assicurarsi che Tutti, Utenti autenticati e altri gruppi non siano elencati.
  7. Fare clic su OK e quindi chiudere Criteri di sicurezza locali.

Per verificare i diritti utente necessari in un computer basato su Windows Server 2003, seguire questa procedura:

  1. Fare clic su Start, scegliere Strumenti di amministrazione e quindi criteri di sicurezza del controller di dominio.

  2. Espandere Criteri locali e quindi fare clic su Assegnazione diritti utente.

  3. Nel riquadro destro fare doppio clic su Accedi al computer dalla rete.

  4. Assicurarsi che il gruppo Everyone sia incluso nell'elenco Accedi al computer dall'elenco di rete .

    Se il gruppo Everyone non è elencato, seguire questa procedura:

    1. Fare clic su Aggiungi utente o gruppo.
    2. Nella casella Nomi utente e gruppo digitare Tutti e quindi fare clic su OK.

  5. Fare doppio clic su Nega accesso al computer dalla rete.

  6. Verificare che non siano presenti gruppi di principi nell'elenco Nega accesso al computer dall'elenco di rete e quindi fare clic su OK. Ad esempio, assicurarsi che Tutti, Utenti autenticati e altri gruppi non siano elencati.

  7. Fare clic su OK e quindi chiudere i criteri di sicurezza del controller di dominio.

Per verificare i diritti utente necessari in un computer basato su Windows NT Server 4.0, seguire questa procedura:

  1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e quindi fare clic su User Manager for Domains.Click Start, point to Programs, point to Administrative Tools, then click User Manager for Domains.

  2. Scegliere Diritti utente dal menu Criteri.

  3. Nell'elenco A destra fare clic su Accedi al computer dalla rete.

  4. Nella casella Concedi a verificare che il gruppo Everyone sia stato aggiunto.

    Se il gruppo Everyone non viene aggiunto, seguire questa procedura:

    1. Fare clic su Aggiungi.
    2. Nell'elenco Nomi fare clic su Tutti, fare clic su Aggiungi e quindi su OK.

  5. Fare clic su OK e quindi chiudere Gestione utenti.

Metodo quattro: Verificare l'appartenenza ai gruppi

Se viene configurato un trust tra i domini, ma non è possibile aggiungere gruppi di utenti principali da un dominio all'altro perché la finestra di dialogo non individua gli altri oggetti di dominio, il gruppo "Accesso compatibile con Pre-Windows 2000" potrebbe non avere l'appartenenza corretta.

Nei controller di dominio basati su Windows 2000 e nei controller di dominio basati su Windows Server 2003, verificare che siano configurate le appartenenze ai gruppi richieste.

Per eseguire questa operazione nei controller di dominio basati su Windows 2000, seguire questa procedura:

  1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Utenti e computer di Active Directory.

  2. Fare clic su Predefinito e quindi fare doppio clic su Gruppo di accesso compatibile con Pre-Windows 2000.

  3. Fare clic sulla scheda Membri e quindi assicurarsi che il gruppo Everyone sia incluso nell'elenco Membri .

  4. Se il gruppo Everyone non è incluso nell'elenco Membri , seguire questa procedura:

    1. Fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.
    2. Al prompt dei comandi digitare net localgroup "Pre-Windows 2000 Compatible Access" everyone /adde quindi premere INVIO.

Per assicurarsi che le appartenenze ai gruppi necessarie siano configurate nei controller di dominio basati su Windows Server 2003, è necessario sapere se l'impostazione dei criteri "Accesso alla rete: Consenti autorizzazioni a tutti gli utenti anonimi" è disabilitata. Se non si conosce, usare l'Editor oggetto Criteri di gruppo per determinare lo stato dell'impostazione dei criteri "Accesso alla rete: Consenti a tutti di applicare le autorizzazioni agli utenti anonimi". A tal fine, attenersi alla seguente procedura:

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare gpedit.msc e quindi fare clic su OK.

  2. Espandere le cartelle seguenti:

    Criteri computer locale
    Configurazione computer
    Impostazioni di Windows
    Impostazioni di sicurezza
    Criteri locali

  3. Fare clic su Opzioni di sicurezza e quindi su Accesso alla rete: Consenti a tutti di applicare le autorizzazioni agli utenti anonimi nel riquadro destro.

  4. Si noti che il valore nella colonna Impostazioni di sicurezza è Disabilitato o Abilitato.

Per assicurarsi che le appartenenze ai gruppi necessarie siano configurate nei controller di dominio basati su Windows Server 2003, seguire questa procedura:

  1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Utenti e computer di Active Directory.

  2. Fare clic su Predefinito e quindi fare doppio clic su Gruppo di accesso compatibile con Pre-Windows 2000.

  3. Fare clic sulla scheda Members.

  4. Se l'impostazione dei criteri Accesso alla rete: Consenti a tutti gli utenti di applicare le autorizzazioni agli utenti anonimi è disabilitata, assicurarsi che il gruppo Everyone, Anonymous Logon sia incluso nell'elenco Membri . Se l'impostazione del criterio "Accesso alla rete: consenti a tutti di applicare le autorizzazioni agli utenti anonimi" è abilitata, assicurarsi che il gruppo Everyone sia incluso nell'elenco Membri .

  5. Se il gruppo Everyone non è incluso nell'elenco Membri , seguire questa procedura:

    1. Fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.
    2. Al prompt dei comandi digitare net localgroup "Pre-Windows 2000 Compatible Access" everyone /adde quindi premere INVIO.

Metodo cinque: Verificare la connettività tramite dispositivi di rete, ad esempio firewall, commutatori o router

Se sono stati ricevuti messaggi di errore simili al seguente e si è verificato che i file LMHOST sono corretti, il problema potrebbe essere causato da un firewall, un router o un commutatore che ha bloccato le porte tra i controller di dominio:

Non è stato possibile contattare alcun controller di dominio

Per risolvere i problemi relativi ai dispositivi di rete, usare PortQry Command Line Port Scanner versione 2.0 per testare le porte tra i controller di dominio.

Per altre informazioni su PortQry versione 2, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente:

832919 Nuove funzionalità e funzionalità in PortQry versione 2.0

Per altre informazioni sulla configurazione delle porte, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente:

179442 Come configurare un firewall per domini e trust

Metodo 6: Raccogliere informazioni aggiuntive per risolvere il problema

Se i metodi precedenti non consentono di risolvere il problema, raccogliere le informazioni aggiuntive seguenti per risolvere la causa del problema:

  • Abilitare la registrazione Netlogon in entrambi i controller di dominio. Per altre informazioni su come completare la registrazione netlogon, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente: 109626 Abilitazione della registrazione di debug per il servizio Accesso rete

  • Acquisire una traccia in entrambi i controller di dominio nello stesso momento in cui si verifica il problema.

Ulteriori informazioni

L'elenco seguente di oggetti Criteri di gruppo (OGGETTI Criteri di gruppo) fornisce la posizione della voce del Registro di sistema corrispondente e il Criteri di gruppo nei sistemi operativi applicabili:

  • Oggetto Criteri di gruppo RestrictAnonymous:

    • Percorso del Registro di sistema di Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Percorso del Registro di sistema di Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\ Opzioni di sicurezza Restrizioni aggiuntive per le connessioni anonime
    • Windows Server 2003 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza Accesso alla rete: non consentire l'enumerazione anonima di condivisioni e account SAM

  • Oggetto Criteri di gruppo RestrictAnonymousSAM:

    • Percorso del Registro di sistema di Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza Opzioni di sicurezza Accesso alla rete: non consentire l'enumerazione anonima di condivisioni e account SAM

  • Oggetto Criteri di gruppo EveryoneIncludesAnonymous:

    • Percorso del Registro di sistema di Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza Accesso alla rete: Consenti a tutti di applicare le autorizzazioni a utenti anonimi

  • Oggetto Criteri di gruppo di compatibilità LM:

    • Percorso del Registro di sistema di Windows NT, Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Windows 2000 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza: livello di autenticazione LAN Manager

    • Windows Server 2003 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza\Sicurezza di rete: livello di autenticazione LAN Manager

  • Oggetto Criteri di gruppo EnableSecuritySignature (client):

    • Percorso del Registro di sistema di Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza \Opzioni di sicurezza: firma digitale della comunicazione client (quando possibile)
    • Windows Server 2003 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza\Client di rete Microsoft: Firma digitale delle comunicazioni (se il server è d'accordo)

  • Oggetto Criteri di gruppo RequireSecuritySignature (client):

    • Percorso del Registro di sistema di Windows 2000 e Windows Server 2003: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza: firma digitale della comunicazione client (sempre)
    • Windows Server 2003: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza\Client di rete Microsoft: Firmare digitalmente le comunicazioni (sempre)

  • Oggetto Criteri di gruppo EnableSecuritySignature (server):

    • Percorso del Registro di sistema di Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Percorso del Registro di sistema di Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 Criteri di gruppo: firma digitale della comunicazione del server (quando possibile)
    • Windows Server 2003 Criteri di gruppo: Server di rete Microsoft: Firma digitale delle comunicazioni (se il client è d'accordo)

  • Oggetto Criteri di gruppo RequireSecuritySignature (server):

    • Percorso del Registro di sistema di Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Percorso del Registro di sistema di Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 Criteri di gruppo: firma digitale della comunicazione del server (sempre)
    • Windows Server 2003 Criteri di gruppo: Server di rete Microsoft: Firma digitale delle comunicazioni (sempre)

  • Oggetto Criteri di gruppo RequireSignOrSeal:

    • Percorso del Registro di sistema di Windows NT, Windows 2000 e Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 Criteri di gruppo: crittografare o firmare digitalmente i dati del canale sicuro (sempre)
    • Windows Server2003 Criteri di gruppo: membro del dominio: crittografare o firmare digitalmente i dati del canale sicuro (sempre)

  • Oggetto Criteri di gruppo SealSecureChannel:

    • Percorso del Registro di sistema di Windows NT, Windows 2000 e Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 Criteri di gruppo: Canale sicuro: crittografare digitalmente i dati del canale sicuro (quando possibile)
    • Windows Server 2003 Criteri di gruppo: membro del dominio: crittografare digitalmente i dati del canale sicuro (quando possibile)

  • Oggetto Criteri di gruppo SignSecureChannel:

    • Percorso del Registro di sistema di Windows NT, Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 Criteri di gruppo: Canale sicuro: firma digitale dei dati del canale sicuro (quando possibile)
    • Windows Server 2003 Criteri di gruppo: Membro del dominio: Firma digitale dei dati del canale sicuro (quando possibile)

  • Oggetto Criteri di gruppo RequireStrongKey:

    • Percorso del Registro di sistema di Windows NT, Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 Criteri di gruppo: Canale sicuro: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva)
    • Windows Server 2003 Criteri di gruppo: Membro di dominio: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva)

Windows Server 2008

In un controller di dominio che esegue Windows Server 2008, il comportamento predefinito dell'impostazione dei criteri Consenti algoritmi di crittografia compatibili con Windows NT 4.0 può causare un problema. Questa impostazione impedisce ai sistemi operativi Windows e ai client di terze parti di usare algoritmi di crittografia deboli per stabilire canali di sicurezza NETLOGON per i controller di dominio basati su Windows Server 2008.

Riferimenti

Per altre informazioni, fare clic sui numeri degli articoli seguenti per visualizzare gli articoli della Microsoft Knowledge Base:

823659 incompatibilità di client, servizi e programmi che possono verificarsi quando si modificano le impostazioni di sicurezza e le assegnazioni dei diritti utente