Un computer non riesce a identificare la rete quando il computer esegue Windows Vista, Windows Server 2008, Windows 7 o Windows Server 2008 R2 ed è membro di un dominio figlio

Questo articolo fornisce una soluzione a un problema per cui un computer non è in grado di identificare la rete quando il computer è membro di un dominio figlio.

Si applica a: Windows Server 7 Service Pack 1, Windows Server 2012 R2
Numero KB originale: 980873

Sintomi

Si dispone di un computer che esegue Windows Vista, Windows Server 2008, Windows 7 o Windows Server 2008 R2. Quando il computer è membro di un dominio figlio, il computer non è in grado di identificare la rete. Il firewall nel computer può essere impostato sul profilo pubblico.

Inoltre, gli eventi simili all'esempio seguente vengono registrati nei log eventi delle applicazioni:

Causa

Questo problema si verifica perché il computer non è in grado di connettersi al controller di dominio primario (PDC) nel dominio della foresta dopo che il computer è stato aggiunto al dominio figlio. Il servizio Network Location Awareness (NLA) prevede di poter enumerare il nome della foresta del dominio per scegliere il profilo di rete corretto per la connessione. A tale scopo, il servizio chiama DsGetDcName sul nome radice della foresta ed esegue una query LDAP (Lightweight Directory Access Protocol) sulla porta UDP (User Datagram Protocol) 389 a un controller di dominio radice. Il servizio prevede di essere in grado di connettersi al controller di dominio primario nel dominio della foresta per popolare la sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache\IntranetForests

Se qualcosa ostacola la risoluzione dei nomi DNS o il tentativo di connessione al controller di dominio, NLA non è in grado di impostare il profilo di rete appropriato nella connessione.

Risoluzione

Per risolvere questo problema, utilizzare uno dei seguenti metodi.

Metodo 1

Configurare i dispositivi firewall per non bloccare le comunicazioni sulla porta UDP/TCP 389. Per altre informazioni su come eseguire questa operazione, vedere Panoramica del servizio e requisiti delle porte di rete per Windows.

Metodo 2

1. Configurare un computer nel dominio figlio per connettersi al controller di dominio primario dal dominio radice.

2. Riavviare il computer. Il computer dovrebbe ora essere in grado di identificare la rete. Inoltre, il profilo nel firewall verrà impostato sul profilo di dominio.

3. Esportare la sottochiave del Registro di sistema seguente come file in un percorso condiviso nel dominio:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache\IntranetForests

4. Importare la sottochiave del Registro di sistema esportata nel passaggio 3 negli altri computer che non possono connettersi al controller di dominio primario dalla foresta di dominio.

5. Riavviare il computer. Il computer dovrebbe ora essere in grado di identificare la rete e il profilo nel firewall verrà impostato sul profilo di dominio.

Metodo 3

Se è sufficiente identificare il profilo di rete in base al nome di dominio figlio, ridurre il tempo impiegato da NLA durante i tentativi aggressivi potrebbe essere l'approccio corretto.

Per distribuire un'impostazione del Registro di sistema che modifica il numero di tentativi usato da NLA, seguire questa procedura:

1. Creare una nuova chiave del Registro di sistema che corrisponda al dominio radice della foresta nel percorso:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache\Intranet\

2. Nella chiave del Registro di sistema appena creata per il nome del dominio radice della foresta aggiungere i due valori del Registro di sistema seguenti:

   • Errori REG_DWORD con valore 1

   • Successi REG_DWORD con valore 0

   L'nla passerà al numero di tentativi più basso e l'identificazione dovrebbe durare solo un paio di minuti.