Messaggio di errore quando si tenta di accedere a un server in locale usando il relativo nome di dominio completo o il relativo alias CNAME dopo l'installazione di Windows Server 2003 Service Pack 1: Accesso negato o Nessun provider di rete ha accettato il percorso di rete specificato
Questo articolo fornisce una soluzione a un errore che si verifica quando si tenta di accedere a un server in locale usando il relativo nome di dominio completo o il relativo alias CNAME.
Si applica a: Windows Server 7 Service Pack 1, Windows Server 2012 R2
Numero KB originale: 926642
Nota
Questo articolo contiene informazioni che illustrano come ridurre le impostazioni di sicurezza o come disattivare le funzionalità di sicurezza in un computer. È possibile apportare queste modifiche per risolvere un problema specifico. Prima di apportare queste modifiche, è consigliabile valutare i rischi associati all'implementazione di questa soluzione alternativa nel proprio ambiente specifico. Se si implementa questa soluzione alternativa, seguire i passaggi aggiuntivi appropriati per proteggere il sistema.
Sintomi
Considerate il seguente scenario: Installare Microsoft Windows Server 2003 Service Pack 1 (SP1) in un computer basato su Windows Server 2003. Dopo aver eseguito questa operazione, si verificano problemi di autenticazione quando si tenta di accedere a un server in locale usando il nome di dominio completo (FQDN) o l'alias CNAME nel percorso UNC (Universal Naming Convention): \\nomeserver\nomecondizione.
In questo scenario si verifica uno dei sintomi seguenti:
- Si ricevono finestre di accesso ripetute.
- Viene visualizzato un messaggio di errore "Accesso negato".
- Viene visualizzato un messaggio di errore "Nessun provider di rete ha accettato il percorso di rete specificato".
- L'ID evento 537 viene registrato nel registro eventi di sicurezza.
Nota
È possibile accedere al server usando il relativo nome di dominio completo o il relativo alias CNAME da un altro computer nella rete diversa da questo computer in cui è stato installato Windows Server 2003 SP1. Inoltre, è possibile accedere al server nel computer locale usando i percorsi seguenti:
- \\IPaddress-of-local-computer
- \\Netbiosname o \\ComputerName
Causa
Questo problema si verifica perché Windows Server 2003 SP1 include una nuova funzionalità di sicurezza denominata funzionalità di controllo del loopback. Per impostazione predefinita, la funzionalità di controllo del loopback è attivata in Windows Server 2003 SP1 e il valore della voce del Registro di sistema DisableLoopbackCheck è impostato su 0 (zero).
Nota
La funzionalità di controllo del loopback viene archiviata nella sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck.
Risoluzione
Importante
In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire backup e ripristino del Registro di sistema, vedere Backup e ripristino del Registro di sistema in Windows.
Nota
L'esecuzione di questa procedura potrebbe rendere il computer o la rete più vulnerabile agli attacchi di utenti malintenzionati o di programmi software dannosi, quali i virus. Questa soluzione alternativa non è consigliata, ma fornisce queste informazioni in modo che sia possibile implementare questa soluzione alternativa a propria discrezione. L'utilizzo di questa soluzione avviene pertanto a rischio esclusivo dell'utente.
Per risolvere il problema, impostare la voce del Registro di sistema DisableStrictNameChecking su 1. Usare quindi uno dei metodi seguenti, in base alla situazione.
Metodo 1 (consigliato): creare i nomi host dell'autorità di sicurezza locale a cui è possibile fare riferimento in una richiesta di autenticazione NTLM
A tale scopo, seguire questa procedura per tutti i nodi nel computer client:
Fare clic sul pulsante Start, scegliere Esegui, digitare regedit e quindi fare clic su OK.
Individuare e selezionare la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0Fare clic con il pulsante destro del mouse su MSV1_0, scegliere Nuovo e quindi fare clic su Valore multistringa.
Nella colonna Nome digitare BackConnectionHostNames e quindi premere INVIO.
Fare clic con il pulsante destro del mouse su BackConnectionHostNames e quindi scegliere Modifica.
Nella casella Dati valore digitare il nome CNAME o l'alias DNS usato per le condivisioni locali nel computer e quindi fare clic su OK.
Nota
- Digitare ogni nome host in una riga separata.
- Se la voce del Registro di sistema BackConnectionHostNames esiste come tipo REG_DWORD, è necessario eliminare la voce del Registro di sistema BackConnectionHostNames.
Chiudere l'editor del Registro di sistema e riavviare il computer.
Metodo 2: Disabilitare il controllo del loopback di autenticazione
Riabilitare il comportamento esistente in Windows Server 2003 impostando la voce del Registro di sistema DisableLoopbackCheck nella HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry sottochiave su 1. Per impostare la voce del Registro di sistema DisableLoopbackCheck su 1, seguire questa procedura nel computer client:
Fare clic sul pulsante Start, scegliere Esegui, digitare regedit e quindi fare clic su OK.
Individuare e selezionare la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaFare clic con il pulsante destro del mouse su Lsa, scegliere Nuovo e quindi fare clic su Valore DWORD .
Digitare DisableLoopbackCheck e quindi premere INVIO.
Fare clic con il pulsante destro del mouse su DisableLoopbackCheck e quindi scegliere Modifica.
Nella casella Valore dati digitare 1, quindi fare clic su OK.
Uscire dall'editor del Registro di sistema.
Riavviare il computer.
Nota
Per rendere effettiva questa modifica, è necessario riavviare il server. Per impostazione predefinita, la funzionalità di controllo del loopback è attivata in Windows Server 2003 SP1 e la voce del Registro di sistema DisableLoopbackCheck è impostata su 0 (zero). La sicurezza viene ridotta quando si disabilita il controllo del loopback di autenticazione e si apre il server Windows Server 2003 per gli attacchi man-in-the-middle (MITM) su NTLM.
Stato
Microsoft ha confermato che si tratta di un problema nei prodotti Microsoft elencati all'inizio di questo articolo.
Ulteriori informazioni
Dopo aver installato l'aggiornamento della sicurezza 957097, le applicazioni come SQL Server o Internet Information Services (IIS) potrebbero non riuscire quando si effettuano richieste di autenticazione NTLM locali.
Per altre informazioni su come risolvere questo problema, vedere la sezione "Problemi noti con questo aggiornamento della sicurezza" dell'articolo della Knowledge Base 957097.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per