L'autenticazione ha esito negativo quando un client esterno tenta di accedere a un server Windows Server 2008 utilizzando un controller di dominio di sola lettura in una rete perimetrale

Traduzione articoli Traduzione articoli
Identificativo articolo: 977510 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Un client esterno tenta di accedere a un server che esegue Windows Server 2008 in una rete perimetrale (detta anche DMZ, zona demilitarizzata e subnet schermata). Quando il server tenta di autenticare il client esterno utilizzando un controller di dominio di sola lettura (RODC) nella rete perimetrale, l'autenticazione ha esito negativo.

Nota Se il server per autenticare il client esterno utilizzando un controller di dominio interno, l'autenticazione ha esito positivo.

Cause

Questo problema si verifica quando il client esterno non sa quale sito innanzitutto entra nella rete perimetrale. In questo caso, il client esterno esegue una query generica Domain Name System (DNS) per il record di risorse SRV _msdcs.domain.com per un controller di dominio a cui il client può connettersi. Per impostazione predefinita, il RODC non registrano tutte le informazioni DNS generiche. I RODC, invece, registrare solo le informazioni DNS del sito. Pertanto, la funzione DsGetDCName non restituisce mai un controller di dominio di sola lettura nell'elenco dei controller di dominio per il dominio.

Nota Se nessun risultato generato dalla query DNS, la funzione DCLocator chiamata dalla funzione DSGetDCName ricorre a NetBIOS nome funzionalità di risoluzione (broadcast e WINS). Tuttavia, se WINS non è configurato e broadcast sono bloccati, quindi questo meccanismo di fallback anche grado.

Se le regole del firewall consentono client esterni di connettersi ad almeno un controller di dominio di lettura/scrittura (RWDC), il RODC viene reindirizzato il client esterno. Questo comportamento si verifica non appena il RWDC determina che il client esterno è nel sito del controller di dominio di sola lettura.

NotaIn questo caso dovrebbero essere entrambi i computer nella rete perimetrale.

Risoluzione

Per risolvere il problema, è necessario effettuare il RODC rilevabile da una query DNS generica.

Nota È possibile ridurre al minimo l'effetto di protezione di registrando i record DNS generici modificando il valore LDAPSrvPriority del controller di dominio di sola lettura nel sito delle contromisure per assicurarsi che gli altri controller di dominio disponibili e di sola lettura o controller di dominio di lettura/scrittura sono preferite. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
306602Come ottimizzare la posizione di un controller di dominio o di un catalogo globale si trova di fuori del sito del client
Per rendere visibile il RODC, specificare il valore DWORD RegisterSiteSpecificDnsRecordsOnly nel Registro di sistema. Questo valore DWORD determina se QUEST'ULTIMO tenta di registrare record DNS generico.
Riduci questa tabellaEspandi questa tabella
Posizione del Registro di sistema:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Nome valore:RegisterSiteSpecificDnsRecordsOnly
Tipo valore:VALORE DWORD

RegisterSiteSpecificDnsRecordsOnly

Questo valore DWORD specifica di registro del sito e solo i record alias (CName). Il valore predefinito per un RODC è 1 (VERO). Se si imposta questo valore su 0 (FALSO), QUEST'ULTIMO tenta di registrare tutti i record DNS. Record specifici di sito non sono inclusi.

Nota Se si imposta questo valore DWORD su 0, il RODC necessario concedere l'autorizzazione di scrittura necessarie nelle zone DNS pertinenti per essere in grado di registrare tutti i record DNS.

Informazioni

Per ulteriori informazioni su come determinare RODC percorsi nella rete perimetrale, visitare il seguente sito Microsoft TechNet Blog:
http://blogs.technet.com/instan/archive/2009/03/24/troubleshooting-rodc-s-troubleshooting-rodc-location-in-the-dmz.aspx

Proprietà

Identificativo articolo: 977510 - Ultima modifica: martedì 24 novembre 2009 - Revisione: 1.1
Le informazioni in questo articolo si applicano a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008 R2
  • Windows Web Server 2008
Chiavi: 
kbmt kbtshoot kbexpertiseinter kbsurveynew kbprb KB977510 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 977510
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com