Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce una soluzione a un problema a causa del quale l'innalzamento di livello del controller di dominio smette di rispondere quando vengono usate credenziali brevi in un ambiente con NetBIOS su TCPIP disabilitato.
Numero KB originale: 2948052
Sintomi
Quando si usa Dominio di Active Directory Configurazione guidata servizi per alzare di livello un computer al controller di dominio in Windows Server 2012 R2, la procedura guidata smette di rispondere. Quando si verifica il problema, Dominio di Active Directory Configurazione guidata servizi indica che l'innalzamento di livello è in corso e visualizza il testo seguente:
I controller di dominio di Windows Server 2012 R2 hanno un valore predefinito per l'impostazione di sicurezza denominata "Consenti algoritmi di crittografia compatibili con Windows NT 4.0" che impedisce algoritmi di crittografia più deboli quando si stabiliscono sessioni del canale di sicurezza.
Quando si verifica il problema, il file Dcpromo.log indica correttamente che l'operazione di promozione è stata arrestata:
[INFO] DnsDomainName chilld contoso.local
[INFO] FlatDomainName figlio
[INFO] SiteName Default-First-Site-Name
[INFO] SystemVolumeRootPath C:\Windows\SYSVOL
INFO] DsDatabasePath C:\Windows\NTDS, DsLogPath C:\Windows\NTDS
[INFO] ParentDnsDomainName contoso.local
[INFO] Helper ParentServer <DC.contoso.local>
[INFO] Account contoso\administrator
[INFO] Opzioni 5243072
[INFO] Convalidare i percorsi forniti
....
[INFO] EVENTLOG (Errore): Replica NTDS/Client RPC DS: 1963
Evento interno: il servizio directory locale seguente ha ricevuto un'eccezione da una connessione RPC (Remote Procedure Call). Sono state richieste informazioni RPC estese. Si tratta di informazioni intermedie e potrebbe non contenere una possibile causa[INFO] EVENTLOG (errore): Replica NTDS/Client RPC DS: 1962
Evento interno: il servizio directory locale ha ricevuto un'eccezione da una connessione RPC (Remote Procedure Call). Le informazioni estese sugli errori non sono disponibili.
.... Valore errore:
Si è verificato un errore specifico del pacchetto di sicurezza. Servizio 1825directory:
<hostname> Dati aggiuntiviValore errore:
Impossibile trovare il controller di dominio per questo dominio. (1908)[INFO] EVENTLOG (errore): replica NTDS/programma di installazione: 1125
L'installazione guidata Dominio di Active Directory Servizi (Dcpromo) non è riuscita a stabilire una connessione con il controller di dominio seguente.
Controller di dominio: <nome> del controller di dominio.<Nome> di dominio DNS.<nome di dominio di primo livello>
Dati aggiuntivi
Valore errore:
1908 Impossibile trovare il controller di dominio per questo dominio.
Questo problema si verifica quando le condizioni seguenti sono vere:
NetBIOS su TCP/IP è disabilitato. Ciò si verifica nelle situazioni seguenti:
L'opzione Disabilita NetBIOS su TCP/IP non è selezionata nel pannello Reti, la scheda WINS nelle impostazioni TCP/IP avanzate delle proprietà IPv4.
NetBIOS su TCP/IP è disabilitato nel server DHCP.
I computer usano solo la configurazione IPv6.I nomi delle credenziali "brevi" vengono usati nell'interfaccia utente delle credenziali o nel file di risposte per l'innalzamento di livello del controller di dominio.
LaDcpromo.logsezione precedente indica che viene restituito un errore di ERROR_DOMAIN_CONTROLLER_NOT_FOUND dalla chiamata di associazione DRS quando il processo di promozione viene configurato per replicare il primo contesto di denominazione.In questo caso, Kerberos non è in grado di individuare un controller di dominio con cui eseguire l'autenticazione usando le credenziali specificate. Ad esempio, le credenziali specificate sono "wolf\administrator" anziché credenziali DNS "long" come wolf.com\administrator. Nella credenziale "wolf" è il nome NetBIOS del dominio che ospita l'account amministratore.
Note
Se il problema si verifica quando si alza di livello un nuovo controller di dominio in un nuovo dominio figlio. Si verificano anche i problemi seguenti:
- Il computer considera che sia aggiunto al dominio.
- Sarà possibile accedere al dominio figlio, ma l'accesso avrà esito negativo.
- Se si accede al computer in locale, i servizi ADDS e AWDS sono disabilitati. Il processo Netlogon.exe non viene avviato e il valore di avvio è impostato su manuale identico, ad esempio l'impostazione predefinita per una workstation membro.
Causa
Quando si esegue Dominio di Active Directory Configurazione guidata servizi in un ambiente senza NETBIOS\WINS, vengono introdotte alcune limitazioni del localizzatore DC per tenere presenti nomi di dominio brevi. Ciò è particolarmente vero in un computer non aggiunto a un dominio. DC-locator tenta di eseguire il mapping dei nomi di dominio brevi ai nomi di dominio completi (FQDN) usando l'elenco di domini attendibili, che implica l'uso del DNS per la maggior parte del tempo. Se non è possibile usare DNS, il localizzatore deve usare WINS\NetBIOS. Wins\NetBIOS non è tuttavia disponibile quando NetBIOS su TCP/IP è disabilitato. Questo problema può essere in parte risolto dalla funzionalità di suffisso DNS aggiunta al localizzatore dc in Windows Server 2012 R2 e Windows 8.1, ma non è sempre una soluzione affidabile al 100%.
Risoluzione
Per ovviare a questo problema, esegui la procedura seguente:
Terminare il processo di Server Manager in Gestione attività.
Note
Questo passaggio chiude la configurazione guidata dei servizi di Dominio di Active Directory. Quando si verifica il problema, il pulsante Annulla nell'interfaccia utente non funziona. Inoltre, la fine della configurazione guidata dei servizi di Dominio di Active Directory in Gestione attività non funziona.
Quando si alza nuovamente di livello il computer come controller di dominio, usare una delle soluzioni alternative seguenti:
Credenziali specifiche "long", ad esempio domain<>\administrator, nella procedura guidata per la promozione o nei file di risposte per promozioni.
Nei computer Windows 8.1 e Windows Server 2012 R2 configurare i suffissi di ricerca DNS, in modo che quando i suffissi di ricerca DNS vengono concatenati con il nome di dominio NetBIOS specificato, possono essere risolti nel nome DNS completo del dominio Active Directory che ospita l'account utente usato per eseguire l'operazione autenticata.
Note
Ciò presuppone che il nome NetBIOS specificato nella credenziale "UI" corrisponda alla parte più a sinistra del nome di dominio DNS degli account di destinazione.
Aggiungere il computer richiesto come computer membro nel dominio di destinazione e quindi ripetere l'innalzamento di livello.
Abilitare temporaneamente NetBIOS su TCP/IP per completare la promozione.