Quando un computer basato su Windows NT 4.0 tenta di utilizzare il servizio NETLOGON per stabilire un canale sicuro per un controller di dominio basato su Windows Server 2008, l'operazione potrebbe non andare a buon fine

Traduzione articoli Traduzione articoli
Identificativo articolo: 942564 - Visualizza i prodotti a cui si riferisce l?articolo.
Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Prima di modificare il Registro di sistema, assicurarsi di eseguirne una copia di backup e di sapere come ripristinarlo qualora si verifichino dei problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322756 HOW TO: Eseguire il backup, modificare e ripristinare il Registro di sistema in Windows XP
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Quando un computer basato su Windows NT 4.0 tenta di utilizzare il servizio NETLOGON per stabilire un canale sicuro per un controller di dominio basato su Windows Server 2008, l'operazione potrebbe non andare a buon fine. Potrebbe essere impossibile stabilire un canale sicuro per un controller di dominio basato su Windows Server 2008, se il componente hardware o software utilizza gli algoritmi di crittografia impiegati in Windows NT 4.0.

In uno scenario di questo tipo potrebbero verificarsi i seguenti sintomi.

Sintomo 1

Impossibile accedere a un dominio da un computer basato su Windows NT 4.0 gestito da un controller di dominio basato su Windows Server 2008. In base al fatto che le credenziali dell'account di accesso del dominio siano memorizzate nella cache nel computer basato su Windows NT 4.0, č possibile che venga visualizzato un messaggio di errore analogo a uno dei seguenti:

Messaggio di errore 1
Impossibile accedere adesso. Il dominio Nomedominio non č disponibile.
Messaggio di errore 2
Impossibile contattare un controller di dominio per il dominio. Accesso effettuato con informazioni sull'account memorizzate nella cache. Le modifiche apportate al profilo dall'ultimo accesso potrebbero non essere disponibili.

Sintomo 2

I trust presenti tra i domini di Windows NT 4.0 e i domini di Windows Server 2008 potrebbero non funzionare. Potrebbe essere possibile creare il trust iniziale, ma quando si tenta di convalidarlo mediante lo snap-in di MMC (Microsoft Management Console) Domain.msc, la convalida potrebbe non andare a buon fine. Viene inoltre visualizzato un messaggio di errore analogo al seguente:
L'operazione non č riuscita. Il codice di errore č 317 (0x0000013d).

Sintomo 3

Un client SAMBA SMB non č in grado di eseguire un'operazione di aggiunta a un dominio in un controller di dominio basato su Windows Server 2008 oppure un client SAMBA SMB (Server Message Block) non č in grado di stabilire un canale sicuro per un controller di dominio basato su Windows Server 2008.

Inoltre, il controller di dominio basato su Windows Server 2008 che elabora la richiesta relativa al canale sicuro restituisce il seguente codice di errore:
Esadecimale: 0x4F1h
Decimale: 1265
Errore simbolico: ERROR_DOWNGRADE_DETECTED
Errore abbreviato: "STATUS_DOWNGRADE_DETECTED"
Descrizione errore: Il sistema ha rilevato un possibile tentativo di compromissione della protezione. Accertarsi di poter contattare il server di autenticazione.
Nota L'errore "STATUS_DOWNGRADE_DETECTED" ha pių cause principali. Di conseguenza questo errore non indica necessariamente che si stia verificando il sintomo 3.

Sintomo 4

Un dispositivo di archiviazione SMB potrebbe non essere in grado di utilizzare algoritmi di crittografia vulnerabili per stabilire un canale sicuro per un controller di dominio basato su Windows Server 2008.

Nota I dispositivi di archiviazione SMB sono anche noti come dispositivi di archiviazione IP.

Nel controller di dominio di autenticazione gli errori riportati di seguito vengono registrati nel Registro eventi sistema:

Errore 1
Nome registro: Sistema
Origine: NETLOGON
Data: Data: Ora
ID evento: 5805
Categoria attivitā: Nessuna
Livello: Errore
Utente: N/D
Computer: Nomedominioau
Descrizione: Autenticazione dell'installazione della sessione dal computer <computer client> non riuscita. Si č verificato il seguente errore: Accesso negato.
Nota Nomedominioau rappresenta il nome del controller di dominio di autenticazione.

Errore 2
Nome registro: Sistema
Origine: NETLOGON
Data: Data: Ora
ID evento: 5722
Categoria attivitā: Nessuna
Livello: Errore
Parole chiave: Classica
Utente: N/D
Computer: Nomedominioau
Descrizione: Autenticazione non riuscita dell'impostazione della sessione dal computer Nomecomputerclient. Nome dell'account o degli account riportati nel database di protezione: Nomecomputerclient$. Si č verificato il seguente errore: Il sistema ha rilevato un possibile tentativo di compromissione della protezione. Accertarsi di poter contattare il server di autenticazione.

Attualmente il sintomo 4 si verifica in corrispondenza del seguente dispositivo di archiviazione SMB:
  • EMC Celerra
Contattare il fornitore del dispositivo per verificare se č disponibile un aggiornamento per questo problema.

Potrebbe inoltre essere impossibile stabilire un canale sicuro da Hewlett-Packard (HP) Advanced Server per OpenVMS per un controller di dominio basato su Windows Server 2008. In modo specifico il controller di dominio basato su Windows Server 2008 restituisce il codice di errore riportato di seguito alla richiesta NetrServerAuthenticate di OpenVMS:
Esadecimale: 0x4F1h
Decimale: 1265
Errore simbolico: ERROR_DOWNGRADE_DETECTED
Errore abbreviato: "STATUS_DOWNGRADE_DETECTED"
Descrizione errore: Il sistema ha rilevato un possibile tentativo di compromissione della protezione. Accertarsi di poter contattare il server di autenticazione.
Nota L'errore "STATUS_DOWNGRADE_DETECTED" ha pių cause principali. Di conseguenza questo errore non indica necessariamente che si stia verificando il sintomo 4.

Cause

Questo problema si verifica a causa del comportamento predefinito del criterio Consenti algoritmi di crittografia compatibili con Windows NT 4.0 nei controller di dominio basati su Windows Server 2008. Questo criterio viene configurato per evitare che i sistemi operativi Windows e i client di terze parti utilizzino algoritmi di crittografia vulnerabili per stabilire canali sicuri NETLOGON per i controller di dominio basati su Windows Server 2008.

Workaround

Per risolvere questo problema, assicurarsi che i computer client utilizzino gli algoritmi di crittografia compatibili con Windows Server 2008. Potrebbe essere necessario richiedere aggiornamenti software ai fornitori dei prodotti.

Se č impossibile installare gli aggiornamenti software perché si verifica un'interruzione del servizio, attenersi alla seguente procedura:
  1. Accedere a un controller di dominio basato su Windows Server 2008.
  2. Fare clic sul pulsante Start, scegliere Esegui, digitare gpmc.msc, quindi scegliere OK.
  3. Nella console Gestione criteri di gruppo, espandere Foresta: Nomedominio, Nomedominio e Controller di dominio, fare clic con il pulsante destro del mouse su Criteri predefiniti controller di dominio e scegliere Modifica.
  4. Nella console Editor Gestione Criteri di gruppo espandere Configurazione computer, Criteri, Modelli amministrativi e Sistema, fare clic su Accesso rete, quindi doppio clic su Consenti algoritmi di crittografia compatibili con Windows NT 4.0.
  5. Nella finestra di dialogo Proprietā fare clic sull'opzione Abilitato, quindi scegliere OK.

    Note
    • Per impostazione predefinita l'impostazione Non configurato č impostata per il criterio Consenti algoritmi di crittografia compatibili con Windows NT 4.0 nei seguenti oggetti Criteri di gruppo:
      • Criterio dominio predefinito
      • Criterio controller di dominio predefinito
      • Criteri del computer locale
      Per impostazione predefinita, il comportamento per il criterio Consenti algoritmi di crittografia compatibili con Windows NT 4.0 nei controller di dominio basati su Windows Server 2008 č di impedire, a livello di programmazione, alle connessioni di utilizzare gli algoritmi di crittografia impiegati in Windows NT 4.0. Di conseguenza, gli strumenti che enumerano impostazioni dei criteri efficaci in un computer membro o in un controller di dominio non rileveranno il criterio Consenti algoritmi di crittografia compatibili con Windows NT 4.0 a meno che tale criterio non venga abilitato o disabilitato in modo esplicito.
    • I controller di dominio basati su Windows 2000 e quelli basati su Windows Server 2003 non dispongono del criterio Consenti algoritmi di crittografia compatibili con Windows NT 4.0. Di conseguenza i controller di dominio basati sulle versioni precedenti a Windows Server 2008 accettano richieste di canali sicuri dai computer client anche se tali computer utilizzano i vecchi algoritmi di crittografia impiegati in Windows NT 4.0. Se le richieste di canali sicuri vengono elaborate in modo intermittente dai controller di dominio basati su Windows Server 2008, si verificheranno risultati incoerenti.
  6. Installare aggiornamenti software di terze parti che correggano il problema o rimuovere i computer client che utilizzano algoritmi di crittografia incompatibili.
  7. Ripetere i passaggi da 1 a 4.
  8. Nella finestra di dialogo Proprietā fare clic sull'opzione Disabilitato, quindi scegliere OK.

    Importante Per motivi di protezione, č necessario impostare di nuovo l'opzione per questo criterio su Disabilitato.

Status

Si tratta di un comportamento legato alla progettazione del prodotto.

Informazioni

Un problema correlato in computer in cui č in esecuzione Windows 2000 o versioni successive di Windows

La capacitā dei computer client in cui č in esecuzione Windows 2000 o versioni successive di Windows di stabilire canali sicuri nei controller di dominio basati su Windows Server 2008 non verrā influenzata dal criterio Consenti algoritmi di crittografia compatibili con Windows NT 4.0. Tuttavia quando questi computer client utilizzano la funzione NetJoinDomain con l'opzione di aggiunta NETSETUP_JOIN_UNSECURE in relazione a un controller di dominio basato su Windows Server 2008, il controller di dominio restituisce il seguente codice di errore:
Esadecimale: 0x4F1h
Decimale: 1265
Errore simbolico: ERROR_DOWNGRADE_DETECTED
Errore abbreviato: "STATUS_DOWNGRADE_DETECTED"
Descrizione errore: Il sistema ha rilevato un possibile tentativo di compromissione della protezione. Accertarsi di poter contattare il server di autenticazione.
Questo problema si verifica quando l'impostazione del criterio č Disabilitato o Non configurato.

Nota L'errore "STATUS_DOWNGRADE_DETECTED" ha pių cause principali. Di conseguenza questo errore non indica necessariamente che si stia verificando questo problema.

Questo problema potrebbe verificarsi in computer in cui sono in esecuzione i seguenti sistemi operativi:
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • La versione finale di Windows Vista
Nota I computer in cui č in esecuzione Windows Vista con il Service Pack 1 (SP1) o versioni successive di Windows Vista non sono interessati da questo problema.

La funzione NetJoinDomain viene utilizzata con l'opzione NETSETUP_JOIN_UNSECURE nei seguenti scenari. Questa funzione č utilizzata anche in altri scenari.
  • Si utilizzano i Servizi di distribuzione Windows o i Servizi di installazione remota per installare un sistema operativo Windows.
  • Si utilizza l'Utilitā di migrazione ad Active Directory per eseguire la migrazione degli account del computer di un sistema operativo Windows.
Microsoft si sta occupando del problema e pubblicherā ulteriori informazioni in questo articolo, non appena disponibili.

Risoluzione dei problemi

Quando non č possibile stabilire un canale sicuro da un computer client a un controller di dominio basato su Windows Server 2008, attenersi alla seguente procedura per risolvere il problema:
  1. Se nel computer client č in esecuzione Windows NT 4.0, aggiornare Windows NT 4.0 a Windows 2000 o versioni successive. Se non č possibile eseguire l'aggiornamento, attenersi alla procedura descritta nella sezione "Workaround".
  2. Se nel computer client č in esecuzione Windows 2000 o una versione successiva di Windows e il computer client esegue un'operazione di aggiunta al dominio non protetta, attenersi alla procedura descritta nella sezione "Workaround" come soluzione temporanea.
  3. Se nel computer client č in esecuzione Windows 2000 o una versione successiva di Windows e non si č certi se il computer client esegue un'operazione di aggiunta al dominio non protetta, esaminare il file %systemroot%\Debug\Netsetup.log. Se nel computer client viene eseguita un'operazione di aggiunta non protetta, vengono registrate informazioni analoghe alle seguenti:
    11/09 02.21.04 Impossibile convalidare l'account del computer per Nomecomputer in relazione a Nome_SPN: 0xc0000388
    11/09 02.21.04 NetpJoinDomain: w9x: stato di convalida dell'account: 0x4f1
    Nota Il servizio NETLOGON viene eseguito solo in un computer aggiunto a un dominio.
  4. Se nel computer client non č in esecuzione Windows, attenersi alla seguente procedura:
    1. Determinare quale controller di dominio sta elaborando le richieste di canali sicuri.

      Nota Č possibile utilizzare i registri eventi e i registri di traccia per determinare il controller di dominio.
    2. Assicurarsi che il servizio NETLOGON sia avviato. Per effettuare questa operazione, attenersi alla seguente procedura:
      • Fare clic sul pulsante Start, scegliere Esegui, digitare Services.msc, quindi scegliere OK.
      • Nella console Servizi assicurarsi che lo stato per il servizio NETLOGON sia Avviato.
      • Se lo stato non č Avviato, fare clic con il pulsante destro del mouse sul servizio NETLOGON e scegliere Avvia.
    3. Abilitare la registrazione debug per il servizio NETLOGON nel controller di dominio basato su Windows Server 2008 che elabora le richieste dei canali sicuri. A questo scopo, utilizzare uno dei seguenti metodi.

      Metodo 1
      1. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd, quindi scegliere OK.
      2. Al prompt dei comandi digitare il seguente comando:
        Nltest.exe /DBFLAG:2000FFFF
      Nota Se il servizio NETLOGON non č avviato, verrā visualizzato un messaggio di errore "RPC_S_UNKNOWN_IF".

      Metodo 2

      Avviso L'errata modifica del Registro di sistema tramite l'editor o un altro metodo puō causare seri problemi, che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non č in grado di garantire la soluzione di problemi derivanti dall'errato utilizzo dell'editor del Registro di sistema. La modifica del Registro di sistema č a rischio e pericolo dell'utente.
      1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK.
      2. Individuare e fare clic con il pulsante destro del mouse sulla sottochiave del Registro di sistema seguente:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Scegliere Nuovo, quindi Valore stringa.
      4. Digitare DBFLAG, quindi fare doppio clic sulla voce del Registro di sistema DBFLAG.
      5. Nella finestra di dialogo Modifica stringa digitare 2000FFFF nella casella Dati valore.
      6. Uscire dall'editor del Registro di sistema.
    4. Aprire il file %systemroot%\Debug\Netlogon.log nel Blocco note e cercare il seguente messaggio di errore:
      il client Nomecomputerclient$ č alla ricerca della crittografia NT4 e questo server lo impedisce.
    5. Se viene individuato questo errore, significa che il computer client utilizza vecchi algoritmi di crittografia impiegati in Windows NT 4.0 per stabilire un canale sicuro per il controller di dominio basato su Windows Server 2008.
    6. Disabilitare la registrazione debug per il servizio NETLOGON nel controller di dominio basato su Windows Server 2008. A questo scopo digitare il seguente comando al prompt dei comandi:
      Nltest.exe /DBFLAG:0

Riferimenti

Per ulteriori informazioni su come abilitare la registrazione debug per il servizio NETLOGON, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
109626 Abilitazione della registrazione di debug per il servizio Accesso rete

Per ulteriori informazioni sulla funzione NetJoinDomain, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://msdn2.microsoft.com/En-US/library/aa370433.aspx
I prodotti di terze parti citati in questo articolo sono forniti da produttori indipendenti. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilitā di tali prodotti.

Proprietā

Identificativo articolo: 942564 - Ultima modifica: martedė 22 aprile 2008 - Revisione: 1.3
Le informazioni in questo articolo si applicano a
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Chiavi: 
kbprb kbtshoot kbexpertiseadvanced KB942564
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com