Trust tra un dominio Windows NT e la possibile stabilire un dominio Active Directory o la non funziona come previsto

Traduzione articoli Traduzione articoli
Identificativo articolo: 889030 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Se si tenta di impostare una relazione di trust tra un dominio basato su Microsoft Windows NT 4.0 e un dominio basato su Active Directory, č possibile che si verifichi uno dei seguenti sintomi:
  • Non viene stabilita la relazione di trust.
  • La relazione di trust viene stabilita, ma la relazione di trust non funziona come previsto.
Inoltre, potrebbe essere visualizzato uno dei seguenti messaggi di errore:
Si č verificato l'errore seguente durante il tentativo di unirsi al dominio "Domain_Name": l'account non č autorizzato per accedere da questa workstation.
Accesso negato.
Non Impossibile contattare alcun controller di dominio.
Errore durante l'accesso: nome utente sconosciuto o password non valida.
Quando si utilizza il selettore oggetti in Active Directory Users and Computers per aggiungere gli utenti dal dominio NT 4.0 ad Active Directory dominio, č possibile ricevere il seguente messaggio di errore:
Nessun elemento trovato. Controllare i parametri di ricerca e riprovare.

Cause

Questo problema si verifica a causa di un problema di configurazione in una delle seguenti aree:
  • Risoluzione dei nomi
  • Impostazioni di protezione
  • Diritti utente
  • Appartenenza al gruppo per Microsoft Windows 2000 o Microsoft Windows Server 2003
Per identificare correttamente la causa del problema, č necessario risolvere la configurazione di trust.

Risoluzione

Se viene visualizzato il messaggio di errore "Nessun elemento corrispondente la ricerca corrente" quando si utilizza il selettore oggetti in Active Directory Users and Computers, assicurarsi che il controller di dominio nel dominio NT 4.0 includere tutti sulla destra di accesso al computer dell'utente di rete . In questo scenario, il selettore oggetti tenta di connettersi in modo anonimo attraverso la relazione di trust. Per verificare queste ssettings, attenersi alla procedura descritta nel "metodo 3: verificare i diritti utente" sezione.

Trust di risoluzione dei problemi di configurazione tra un dominio basato su Windows NT 4.0 e Active Directory, č necessario verificare la corretta configurazione delle seguenti aree:
  • Risoluzione dei nomi
  • Impostazioni di protezione
  • Diritti utente
  • Appartenenza al gruppo per Microsoft Windows 2000 o Microsoft Windows Server 2003
Per effettuare questa operazione, utilizzare i metodi seguenti.

Metodo uno: verificare la corretta configurazione della risoluzione dei nomi

Passaggio 1: creare un file LMHOSTS

Creare un file LMHOSTS sui controller di dominio primario per fornire capacitā di risoluzione nome tra domini. Il file LMHOSTS č un file di testo che č possibile modificare con qualsiasi editor di testo, ad esempio il blocco note. Il file LMHOSTS su ciascun controller di dominio deve contenere l'indirizzo TCP/IP, il nome di dominio e la voce \0x1b del controller di dominio. Per ulteriori informazioni su come creare il file LMHOSTS, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
180094Come scrivere un file LMHOSTS per la convalida di dominio
Dopo aver creato il file LMHOSTS, attenersi alla seguente procedura:
  1. Modificare il file in modo che contenga testo analogo al seguente testo:
    1.1.1.1	 <NT_4_PDC_Name>		 #DOM:<NT_4_Domain_Name>	#PRE
    1.1.1.1	 "<NT_4_Domain>  \0x1b"			#PRE
    2.2.2.2	 <Windows_2000_PDC_Name>		 #DOM:<Windows_2000_Domain_Name>	#PRE
    2.2.2.2	 "<2000_Domain>  \0x1b"			#PRE
    
    Nota deve essere un totale di 20 caratteri e spazi tra le virgolette ("") per la voce \0x1b. Consente di aggiungere spazi dopo il nome dominio in modo che utilizzi 15 caratteri. Il sedicesimo carattere č la barra rovesciata seguita dal valore "0x1b" e in questo modo un totale di 20 caratteri.
  2. Al termine della modifica al file LMHOSTS, salvare il file alla cartella %SystemRoot% \System32\Drivers\Etc sui controller di dominio.
Per ulteriori informazioni sul file LMHOSTS, vedere il file di esempio Lmhosts.SAM che si trova nella cartella %SystemRoot% \System32\Drivers\Etc.

Passaggio due: carica il file LMHOSTS nella cache

  1. Fare clic su Start , scegliere Esegui , digitare cmd e quindi fare clic su OK .
  2. Al prompt di comando, digitare NBTSTAT -R , quindi premere INVIO. Questo comando Carica il file LMHOSTS nella cache.
  3. Al prompt di comando, digitare NBTSTAT - c , quindi premere INVIO. Questo comando Visualizza la cache. Se il file č stato scritto correttamente, la cache č analoga al seguente:
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 
    NT4PDCName <00> UNIQUE 1.1.1.1 -1 
    NT4PDCName <20> UNIQUE 1.1.1.1 -1 
    NT4DomainName <1C> GROUP 1.1.1.1 -1 
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1 
    W2KPDCName <00> UNIQUE 2.2.2.2 -1 
    W2KPDCName <20> UNIQUE 2.2.2.2 -1 
    W2KDomainName <1C> GROUP 2.2.2.2 -1 
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    se il file non popolato correttamente la cache, continuare con il passaggio successivo.

Passaggio 3: verificare che la ricerca LMHOSTS č attivata sul computer basato su Windows NT 4.0

Se il file non popolato correttamente la cache, assicurarsi che tale ricerca LMHOSTS č attivato sul computer basato su Windows NT 4.0. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere Impostazioni e quindi fare clic su Pannello di controllo .
  2. Fare doppio clic su reti , fare clic sulla scheda protocolli e quindi fare doppio clic su Protocollo TCP/IP .
  3. Fare clic sulla scheda Indirizzo WINS e quindi fare clic su per selezionare la casella di controllo Abilita ricerca LMHOSTS .
  4. Riavviare il computer.
  5. Ripetere i passaggi nella sezione "Per caricare il file LMHOSTS nella cache".
  6. Se il file non popolato correttamente la cache, assicurarsi che il file LMHOSTS si trova nella cartella %SystemRoot% \System32\Drivers\Etc e che il file č formattato correttamente.

    Ad esempio, il file deve essere formattato simile al seguente esempio di formattazione:
    1.1.1.1	 NT4PDCName		 #DOM:NT4DomainName	#PRE
    1.1.1.1	 "NT4DomainName  \0x1b"			#PRE
    2.2.2.2	 W2KPDCName		 #DOM:W2KDomainName	#PRE
    2.2.2.2	 "W2KDomainName  \0x1b"			#PRE
    
    Nota deve essere un totale di 20 caratteri e spazi all'interno di virgolette ("") per la voce nome e \0x1b di dominio.

Passaggio 4: utilizzare il comando ping per verificare la connettivitā

Quando il file popola la cache correttamente su ciascun server, č possibile utilizzare il comando ping su ciascun server per verificare la connettivitā tra i server. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere Esegui , digitare cmd e quindi fare clic su OK .
  2. Al prompt di comando, digitare Ping Name_Of_Domain_Controller_You_Want_To_Connect_To, quindi premere INVIO. Se il comando ping non funziona, assicurarsi che che gli indirizzi IP corretti siano elencati nel file LMHOSTS.
  3. Al prompt di comando, digitare net visualizzare Name_Of_Domain_Controller_You_Want_To_Connect_To, quindi premere INVIO. Č previsto che č visualizzato il seguente messaggio di errore:
    Errore di sistema 5. Accesso negato
    Se il comando net view restituisce il seguente messaggio di errore o qualsiasi altro messaggio di errore correlati, assicurarsi che che gli indirizzi IP corretti siano elencati nel file LMHOSTS:
    Errore di sistema 53. Impossibile trovare il percorso di rete
In alternativa, č possibile configurare WINS (Windows Internet Name Service) per attivare funzionalitā di risoluzione dei nomi senza utilizzare un LMHOSTS file.Per ulteriori informazioni sull'utilizzo di WINS per la risoluzione dei nomi, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
185786Procedure consigliate per WINS

Metodo 2: visualizzare le impostazioni di protezione

Lato della configurazione di trust Active Directory dispone in genere, le impostazioni di protezione causare problemi di connettivitā. Tuttavia, le impostazioni di protezione devono essere esaminate su entrambi i lati della relazione di trust.

Passaggio 1: visualizzare le impostazioni di protezione in Windows 2000 Server e Windows Server 2003

In Windows 2000 Server e Windows Server 2003, le impostazioni di protezione possono essere applicate o configurate da criteri di gruppo, un criterio locale o un modello di protezione applicato.

Č necessario utilizzare gli strumenti adeguati per determinare i valori correnti delle impostazioni di protezione per evitare letture non accurate.

Per ottenere una lettura accurata delle impostazioni di protezione corrente, utilizzare i metodi seguenti:
  • In Windows 2000 Server, č necessario utilizzare lo snap-in analisi e configurazione della protezione.Per ulteriori informazioni su come determinare il criterio di protezione corrente in un computer basato su Windows 2000, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    258595Gpresult non enumera i criteri di protezione computer risultante
  • In Windows Server 2003, utilizzare uno dei due l'analisi e configurazione della protezione snap-in, o il gruppo di criteri risultante (RSoP) snap-in. Per ulteriori informazioni su come utilizzare lo snap-in gruppo di criteri, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    323276Come installare e utilizzare RSoP in Windows Server 2003
Dopo aver determinato le impostazioni correnti, č necessario identificare il criterio č applicare le impostazioni. Ad esempio, č necessario determinare i criteri di gruppo in Active Directory o le impostazioni locali che impostare il criterio di protezione.

In Windows Server 2003, il criterio che imposta i valori di protezione viene identificato dallo strumento RSoP. Tuttavia, in Windows 2000 č necessario visualizzare i criteri di gruppo e il criterio locale per determinare il criterio che contiene le impostazioni di protezione:
  • Per visualizzare le impostazioni di criteri di gruppo, č necessario attivare l'output di registrazione per il client di Microsoft Windows 2000 Security Configuration durante l'elaborazione dei criteri di gruppo. Per ulteriori informazioni sull'attivazione di output di registrazione per il client di Microsoft Windows 2000 Security Configuration durante l'elaborazione dei criteri di gruppo, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    245422Come attivare la registrazione per client di configurazione di protezione l'elaborazione in Windows 2000
  • Visualizzare il registro applicazione nel Visualizzatore eventi e individuare ID evento 1000 e 1202 ID evento. Per ulteriori informazioni sull'ID evento 1000 e 1202 ID evento, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    319352ID evento 1000 e 1202 ID di evento vengono registrati il registro eventi ogni cinque minuti in Windows 2000 Server
Le seguenti tre sezioni identificano il sistema operativo ed elencare le impostazioni di protezione č necessario verificare per il sistema operativo le informazioni che sono stati raccolti:
Windows 2000
Assicurarsi che le seguenti impostazioni sono configurate come illustrato.

RestrictAnonymous:
Riduci questa tabellaEspandi questa tabella
Restrizioni addizionali per connessioni anonime "None. Si basano su autorizzazioni predefinito"
Compatibilitā LM:
Riduci questa tabellaEspandi questa tabella
Livello di autenticazione di LAN Manager"Invia solo risposta NTLM"
LA firma SMB, SMB crittografia o entrambe:
Riduci questa tabellaEspandi questa tabella
Firma digitale di comunicazione client (sempre)DISATTIVATO
Firma digitale di comunicazione client (quando č possibile)ATTIVATO
Aggiungi firma digitale alle server comunicazioni (sempre)DISATTIVATO
Firma digitale di comunicazione server (quando č possibile)ATTIVATO
Canale protetto: aggiunta crittografia o dati del canale protetto (sempre) di firma digitale aiDISATTIVATO
Canale protetto: crittografia digitale dati del canale protetto (quando č possibile)DISATTIVATO
Canale protetto: inserimento firma dati del canale protetto (quando č possibile)DISATTIVATO
Canale protetto: richiesta avanzata (Windows 2000 o versioni successive) chiave di sessioneDISATTIVATO
Windows Server 2003
Assicurarsi che le seguenti impostazioni sono configurate come illustrato.

RestrictAnonymous e RestrictAnonymousSam:
Riduci questa tabellaEspandi questa tabella
Accesso di rete: Consenti SID/nome anonimo conversioneATTIVATO
Accesso di rete: non consentire anonimo enumerazione SAM account DISATTIVATO
Accesso di rete: non consentire l'enumerazione anonima di SAM account e condivisioniDISATTIVATO
Accesso di rete: Consenti libero agli utenti anonimiATTIVATO
Accesso di rete: named pipe č possibile accedere in modo anonimoATTIVATO
Accesso di rete: limita accesso anonimo a named pipe e condivisioniDISATTIVATO
Nota Per impostazione predefinita, il valore dei accesso di rete: Consenti conversione anonima SID/nome impostazione č DISABLED in Windows Server 2008.Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
942428Controller di dominio di Windows Server 2003 consentono agli utenti anonimi che risolvere un identificatore di protezione (SID) in un nome di utente
Compatibilitā LM:
Riduci questa tabellaEspandi questa tabella
Protezione di rete: livello di autenticazione di LAN Manager"Invia solo risposta NTLM"
LA firma SMB, SMB crittografia o entrambe:
Riduci questa tabellaEspandi questa tabella
Client di rete Microsoft: firma firma digitale alle comunicazioni (sempre)DISATTIVATO
Client di rete Microsoft: Aggiungi firma digitale alle comunicazioni (se autorizzato dal server)ATTIVATO
Server di rete Microsoft: firma firma digitale alle comunicazioni (sempre)DISATTIVATO
Server di rete Microsoft: Aggiungi firma digitale alle comunicazioni (se autorizzato dal client)ATTIVATO
Membro di dominio: aggiunta crittografia o dati del canale protetto (sempre) di firma digitale ai DISATTIVATO
Membro di dominio: crittografia digitale dati del canale protetto (quando č possibile) ATTIVATO
Membro di dominio: Aggiungi firma digitale ai canale dati protetto (quando č possibile)ATTIVATO
Membro di dominio: Richiedi chiave di sessione avanzata (Windows 2000 o versioni successive)DISATTIVATO
Dopo che le impostazioni sono state configurate correttamente, č necessario riavviare il computer. Le impostazioni di protezione non vengono applicate fino al riavvio del computer.

Dopo il riavvio del computer, č necessario attendere 10 minuti per assicurarsi che tutti i criteri di protezione vengono applicati e le impostazioni valide sono configurate. Si consiglia di attendere 10 minuti dato che gli aggiornamenti di criteri si verificano ogni 5 minuti su un controller di dominio e l'aggiornamento di Active Directory potrebbe cambiare i valori di impostazione di protezione. Dopo 10 minuti, utilizzare lo strumento Configurazione della protezione, analisi e un altro strumento per esaminare le impostazioni di protezione Windows 2000 e Windows Server 2003.

Windows NT 4.0

importante Questa sezione, metodo o l'attivitā sono contenute procedure viene illustrato come modificare il Registro di sistema. Tuttavia, possono causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi che questa procedura con attenzione. Per maggiore protezione, č eseguire il backup del Registro di sistema prima di modificarlo. Č quindi possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756Come eseguire il backup e il ripristino del Registro di sistema in Windows
In Windows NT 4.0, č necessario verificare le impostazioni di protezione correnti utilizzando lo strumento di Regedt32 per visualizzare il Registro di sistema. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere Esegui , digitare regedt32 e quindi fare clic su OK .
  2. Espandere le seguenti sottochiavi del Registro di sistema e quindi visualizzare il valore assegnato alla voce RestrictAnonymous:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
  3. Espandere le seguenti sottochiavi del Registro di sistema e quindi visualizzare il valore assegnato al movimento di compatibilitā LM:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. Espandere le seguenti sottochiavi del Registro di sistema e quindi visualizzare il valore assegnato alla voce EnableSecuritySignature (server):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. Espandere le seguenti sottochiavi del Registro di sistema e quindi visualizzare il valore assegnato alla voce RequireSecuritySignature (server):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. Espandere le seguenti sottochiavi del Registro di sistema e quindi visualizzare il valore assegnato alla voce RequireSignOrSeal:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. Espandere le seguenti sottochiavi del Registro di sistema e quindi visualizzare il valore assegnato alla voce SealSecureChannel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. Espandere le seguenti sottochiavi del Registro di sistema e quindi visualizzare il valore assegnato alla voce SignSecureChannel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  9. Espandere le seguenti sottochiavi del Registro di sistema e quindi visualizzare il valore assegnato alla voce RequireStrongKey:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Metodo 3: verificare i diritti utente

Per verificare dei diritti utente necessari in un computer basato su Windows 2000, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere programmi , Strumenti di amministrazione, quindi Criteri di protezione locali .
  2. Espandere Criteri locali e quindi fare clic su Assegnazione diritti utente .
  3. Nel riquadro di destra, fare doppio clic su Accedi al computer dalla rete .
  4. Fare clic per selezionare il Criterio locale gruppo elenco assegnato a casella di controllo accanto a tutti e quindi fare clic su OK .
  5. Fare doppio clic su Nega accesso al computer dalla rete .
  6. Verificare che non esistono gruppi principio nell'elenco assegnata a e quindi fare clic su OK . Ad esempio, verificare che Everyone, Authenticated Users e altri gruppi non sono elencati.
  7. Fare clic su OK e chiudere protezione locale criteri.
Per verificare dei diritti utente necessari in un computer basato su Windows Server 2003, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere Strumenti di amministrazione , quindi Criterio di protezione del controller di dominio .
  2. Espandere Criteri locali e quindi fare clic su Assegnazione diritti utente .
  3. Nel riquadro di destra, fare doppio clic su Accedi al computer dalla rete .
  4. Assicurarsi che il gruppo Everyone sia nell'elenco di accesso al computer dalla rete . Se non č elencato il gruppo Everyone, attenersi alla seguente procedura:
    1. Fare clic su Aggiungi utente o gruppo .
    2. Nella casella utenti e i nomi di gruppo digitare Everyone e quindi fare clic su OK .
  5. Fare doppio clic su Nega accesso al computer dalla rete .
  6. Verificare che non vi sono gruppi principio nell'elenco di Nega accesso al computer dalla rete e quindi fare clic su OK . Ad esempio, verificare che Everyone, Authenticated Users e altri gruppi non sono elencati.
  7. Fare clic su OK e chiudere il dominio criterio di protezione del controller.
Per verificare i diritti utente necessari in un computer che esegue Windows NT Server computer basato su 4.0, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere programmi , Strumenti di amministrazione, quindi User Manager per domini .
  2. Scegliere dal menu criteri , utente diritti .
  3. Nell'elenco a destra , fare clic su Accedi al computer dalla rete .
  4. Nella casella Consenti per assicurarsi che il gruppo Everyone viene aggiunto. Se non viene aggiunto al gruppo Everyone, attenersi alla seguente procedura:
    1. Fare clic su Aggiungi .
    2. Nell'elenco di nomi , fare clic su Everyone , fare clic su Aggiungi e scegliere OK .
  5. Fare clic su OK e uscire da User Manager.

Metodo 4: verificare l'appartenenza al gruppo

Se č impostata una relazione di trust tra i domini, ma č Impossibile aggiungere gruppi di utenti principio da un dominio a altro perché la finestra di dialogo non individua gli altri oggetti di dominio, il gruppo "Accesso compatibile precedente a Windows 2000" non dispone l'appartenenza corretta.

Nei controller di dominio basato su Windows 2000 e il controller di dominio Windows Server 2003, assicurarsi che l'appartenenza ai gruppi necessari sta configurati.

Per effettuare questa operazione nei controller di dominio basato su Windows 2000, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere programmi , Strumenti di amministrazione e quindi fare clic su utenti e computer .
  2. Fare clic su predefinito in e quindi fare doppio clic su gruppo Accesso compatibile precedente a Windows 2000 .
  3. Scegliere la scheda membri e assicurarsi che il gruppo Everyone č nell'elenco membri .
  4. Se il gruppo Everyone non č nell'elenco membri , attenersi alla seguente procedura:
    1. Fare clic su Start , scegliere Esegui , digitare cmd e quindi fare clic su OK .
    2. Al prompt di comando, digitare net localgroup "Pre-Windows 2000 Compatible Access" everyone /add , e quindi premere INVIO.
Per assicurarsi che l'appartenenza ai gruppi necessari sta configurati sui controller di dominio basato su Windows Server 2003, č necessario conoscere se il "accesso di rete: Consenti libero agli utenti anonimi" criterio č disattivato. Se non si conosce, č possibile utilizzare l'Editor oggetti Criteri di gruppo per determinare di stato del "accesso di rete: Consenti libero agli utenti anonimi" impostazione del criterio. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere Esegui , digitare gpedit.msc e scegliere OK .
  2. Espandere le seguenti cartelle:
    criteri del computer locale
    Configurazione computer
    impostazioni di Windows
    impostazioni di protezione
    criteri locali
  3. Fare clic su Opzioni di protezione e quindi su accesso di rete: Let Everyone autorizzazioni applicano agli utenti anonimi nel riquadro di destra.
  4. Nota Se il valore nell'Impostazione della colonna č disattivato o attivato .
Per assicurarsi che l'appartenenza ai gruppi necessari sta configurati sui controller di dominio basato su Windows Server 2003, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere programmi , Strumenti di amministrazione e quindi fare clic su utenti e computer .
  2. Fare clic su predefinito in e quindi fare doppio clic su gruppo Accesso compatibile precedente a Windows 2000 .
  3. Fare clic sulla scheda membri .
  4. Se il accesso di rete: Let Everyone autorizzazioni applicano agli utenti anonimi criterio č disattivato, assicurarsi che tutti, gruppo accesso anonimo sia nell'elenco membri . Se il "accesso di rete: Consenti libero agli utenti anonimi" č attivata l'impostazione dei criteri, assicurarsi che il gruppo Everyone sia nell'elenco membri .
  5. Se il gruppo Everyone non č nell'elenco membri , attenersi alla seguente procedura:
    1. Fare clic su Start , scegliere Esegui , digitare cmd e quindi fare clic su OK .
    2. Al prompt di comando, digitare net localgroup "Pre-Windows 2000 Compatible Access" everyone /add , e quindi premere INVIO.

Metodo 5: verifica la connettivitā tramite periferiche di rete, ad esempio i firewall, switch o router

Se hai ricevuto messaggi di errore analogo al seguente e avere verificato che i file LMHOST siano corretti, il problema potrebbe essere causato da un firewall, router o un parametro che ha bloccato alcune porte tra i controller di dominio:
Non Impossibile contattare alcun controller di dominio
Per risolvere le periferiche di rete, č necessario utilizzare PortQry riga di comando porta scanner versione 2.0 per verificare le porte tra i controller di dominio. Per ulteriori informazioni sulla versione 2 di PortQry, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
832919Nuove caratteristiche e funzionalitā di PortQry versione 2.0
Per ulteriori informazioni su come č necessario configurare le porte, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
179442Come configurare un firewall per domini e trust

Metodo sei: raccolta di informazioni aggiuntive per risolvere il problema

Se i metodi precedenti non risulta utile risolvere il problema, raccogliere le seguenti ulteriori informazioni che consentono di risolvere la causa del problema:
  • Attivare la registrazione di Netlogon su entrambi i domain controller. Per ulteriori informazioni sulla registrazione di Netlogon completa, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    109626Attivazione della registrazione di debug per il servizio Accesso rete
  • Acquisire una traccia di entrambi i domain controller nello stesso momento che il problema si verifica. Per ulteriori informazioni sull'acquisizione del traffico di rete, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    812953L'utilizzo di Network Monitor per acquisire il traffico di rete

Informazioni

Il seguente elenco di oggetti Criteri di gruppo (GPO) fornisce la posizione della voce del Registro di sistema corrispondente e i criteri di gruppo nei sistemi operativi applicabili:
  • L'oggetto Criteri di gruppo RestrictAnonymous:
    • Percorso di Windows NT del Registro di sistema:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 e Windows Server 2003 il percorso del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Criteri di gruppo di Windows 2000: Configurazione Computer \ impostazioni Windows \ Impostazioni protezione \ restrizioni addizionali di opzioni di protezione per le connessioni anonime
    • Criteri di gruppo di Windows Server 2003: Computer configurazione \ impostazioni Windows \ Impostazioni protezione \ accesso di rete di opzioni di protezione: non consentire l'enumerazione anonima di SAM account e condivisioni
  • L'oggetto Criteri di gruppo RestrictAnonymousSAM:
    • Percorso del Registro di sistema Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Criteri di gruppo di Windows Server 2003: computer configurazione \ impostazioni Windows \ Impostazioni protezione \ accesso di rete di opzioni di protezione: non consentire l'enumerazione anonima di SAM account e condivisioni
  • L'oggetto Criteri di gruppo EveryoneIncludesAnonymous:
    • Percorso del Registro di sistema Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Criteri di gruppo di Windows Server 2003: computer configurazione \ impostazioni Windows \ impostazioni di protezione \ accesso di rete di opzioni di protezione: autorizzazioni Let Everyone applicano agli utenti anonimi
  • La compatibilitā LM GPO:
    • Percorso di registro di sistema 2003 di Windows NT, Windows 2000 e Windows Server:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • Criteri di gruppo di Windows 2000: Configurazione Computer \ impostazioni Windows \ Impostazioni protezione \ opzioni di protezione: livello di autenticazione di LAN Manager
    • Criteri di gruppo di Windows Server 2003: computer configurazione \ impostazioni Windows \ Impostazioni protezione \ protezione Options\Network protezione: livello di autenticazione di LAN Manager
  • (Client) GPO di EnableSecuritySignature:
    • Windows 2000 e Windows Server 2003 il percorso del Registro di sistema: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Criteri di gruppo di Windows 2000: Configurazione Computer \ impostazioni Windows \ Impostazioni protezione \ opzioni di protezione: Aggiungi firma digitale alla comunicazione client (quando possibile)
    • Criteri di gruppo di Windows Server 2003: computer configurazione \ impostazioni Windows \ Impostazioni protezione \ opzioni di protezione \ client di rete Microsoft: Aggiungi firma digitale alle comunicazioni (se autorizzato dal server)
  • (Client) GPO di RequireSecuritySignature:
    • Windows 2000 e Windows Server 2003 il percorso del Registro di sistema:
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Criteri di gruppo di Windows 2000: Configurazione Computer \ impostazioni Windows \ Impostazioni protezione \ opzioni di protezione: Digitally sign client communication (sempre)
    • Windows Server 2003: Configurazione Computer \ impostazioni Windows \ Impostazioni protezione \ client di rete Microsoft Options\ protezione: firma firma digitale alle comunicazioni (sempre)
  • (Server) GPO di EnableSecuritySignature:
    • Percorso di Windows NT del Registro di sistema:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 e Windows Server 2003 il percorso del Registro di sistema:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Criteri di gruppo di Windows 2000: Aggiungi firma digitale alla comunicazione server (quando possibile)
    • Criteri di gruppo di Windows Server 2003: server di rete Microsoft: Aggiungi firma digitale alle comunicazioni (se autorizzato dal client)
  • (Server) GPO di RequireSecuritySignature:
    • Percorso di Windows NT del Registro di sistema:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 e Windows Server 2003 il percorso del Registro di sistema:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Criteri di gruppo di Windows 2000: Aggiungi firma digitale alla comunicazione server (sempre)
    • Criteri di gruppo di Windows Server 2003: server di rete Microsoft: firma firma digitale alle comunicazioni (sempre)
  • L'oggetto Criteri di gruppo RequireSignOrSeal:
    • Windows NT, Windows 2000 e Windows Server 2003 il percorso del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Criteri di gruppo di Windows 2000: aggiunta crittografia o dati del canale protetto (sempre) di firma digitale ai
    • Criteri di gruppo di Windows Server 2003: membro di dominio: aggiunta crittografia o dati del canale protetto (sempre) di firma digitale ai
  • L'oggetto Criteri di gruppo SealSecureChannel:
    • Windows NT, Windows 2000 e Windows Server 2003 il percorso del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Criteri di gruppo di Windows 2000: canale protetto: crittografia digitale di dati del canale protetto (quando possibile)
    • Criteri di gruppo di Windows Server 2003: dominio membro: crittografia digitale di dati del canale protetto (quando possibile)
  • L'oggetto Criteri di gruppo SignSecureChannel:
    • Percorso di registro di sistema 2003 di Windows NT, Windows 2000 e Windows Server:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Criteri di gruppo di Windows 2000: canale protetto: Aggiungi firma digitale ai canale dati (quando possibile) protetto
    • Criteri di gruppo di Windows Server 2003: dominio membro: Aggiungi firma digitale ai canale dati (quando possibile) protetto
  • L'oggetto Criteri di gruppo RequireStrongKey:
    • Percorso di registro di sistema 2003 di Windows NT, Windows 2000 e Windows Server:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Criteri di gruppo di Windows 2000: canale protetto: Richiedi chiave di sessione avanzata (Windows 2000 o versioni successive)
    • Criteri di gruppo di Windows Server 2003: dominio membro: Richiedi chiave di sessione avanzata (Windows 2000 o versioni successive)

Windows Server 2008

In un controller di dominio che esegue Windows Server 2008, il comportamento predefinito dell'impostazione del criterio Consenti algoritmi di crittografia compatibile con Windows NT 4.0 potrebbe causare un problema. Questa impostazione impedisce sia sistemi operativi Windows e i client di terze parti di utilizzare algoritmi di crittografia vulnerabili per stabilire canali di protezione NETLOGON per su controller di dominio basati su Windows Server 2008. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
942564Quando un computer basato su Windows NT 4.0 tenta di utilizzare il servizio NETLOGON per stabilire un canale di protezione per un controller di dominio basato su Windows Server 2008, l'operazione potrebbe non riuscire

Riferimenti

Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
257942Messaggio di errore: Impossibile scorrere il dominio selezionato poiché si č verificato il seguente errore...
246261Come utilizzare il valore del Registro di sistema RestrictAnonymous in Windows 2000
258595Gpresult non enumera i criteri di protezione computer risultante
823659Client, servizio e le incompatibilitā di programma che possono verificarsi quando si modificano le impostazioni di protezione e le assegnazioni di diritti utente
278259Gruppo Everyone non include l'identificatore di protezione anonimo

Proprietā

Identificativo articolo: 889030 - Ultima modifica: sabato 21 febbraio 2009 - Revisione: 8.2
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
Chiavi: 
kbmt kbnetwork kbactivedirectory kbtshoot KB889030 KbMtit
Traduzione automatica articoli
Il presente articolo č stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non č sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pių o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non č la sua. Microsoft non č responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 889030
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com