Condividi tramite

Non è possibile stabilire un trust tra un dominio Di Windows NT e un dominio di Active Directory o non funziona come previsto

Questo articolo descrive i problemi di configurazione dell'attendibilità tra un dominio basato su Windows NT 4.0 e un dominio basato su Active Directory.

Numero KB originale: 889030

Sintomi

Se si tenta di configurare un trust tra un dominio basato su Microsoft Windows NT 4.0 e un dominio basato su Active Directory, è possibile che si verifichi uno dei sintomi seguenti:

  • L'attendibilità non viene stabilita.
  • Il trust viene stabilito, ma la relazione di trust non funziona come previsto.

Inoltre, è possibile ricevere uno dei messaggi di errore seguenti:

Si è verificato l'errore seguente durante il tentativo di aggiunta al dominio "Domain_Name": l'account non è autorizzato ad accedere da questa stazione.

Accesso negato.

Non è stato possibile contattare alcun controller di dominio.

Errore di accesso: nome utente sconosciuto o password non valida.

Quando si utilizza la selezione oggetti in Utenti e computer di Active Directory per aggiungere utenti dal dominio NT 4.0 al dominio di Active Directory, è possibile che venga visualizzato il messaggio di errore seguente:

Nessun elemento corrispondente alla ricerca corrente. Controllare i parametri di ricerca e riprovare.

Causa

Questo problema si verifica a causa di un problema di configurazione in una delle aree seguenti:

  • Risoluzione dei nomi
  • impostazioni di sicurezza
  • Diritti utente
  • Appartenenza a gruppi per Microsoft Windows 2000 o Microsoft Windows Server 2003

Per identificare correttamente la causa del problema, è necessario risolvere la configurazione dell'attendibilità.

Risoluzione

Se viene visualizzato il messaggio di errore "Nessun elemento corrispondente alla ricerca corrente" quando si utilizza la selezione oggetti in Utenti e computer di Active Directory, assicurarsi che i controller di dominio nel dominio NT 4.0 includano Tutti nel diritto Accesso al computer dal diritto utente di rete. In questo scenario, la selezione oggetti tenta di connettersi in modo anonimo attraverso l'attendibilità. Per verificare queste impostazioni, seguire la procedura descritta nella sezione "Metodo tre: Verificare i diritti utente".

Per risolvere i problemi di configurazione dell'attendibilità tra un dominio basato su Windows NT 4.0 e Active Directory, è necessario verificare la configurazione corretta delle aree seguenti:

  • Risoluzione dei nomi
  • impostazioni di sicurezza
  • Diritti utente
  • Appartenenza a gruppi per Microsoft Windows 2000 o Microsoft Windows Server 2003

A tale scopo, usare i metodi seguenti.

Metodo 1: verificare la configurazione corretta della risoluzione dei nomi

Passaggio 1: Creare un file LMHOSTS

Creare un file LMHOSTS nei controller di dominio primari per fornire funzionalità di risoluzione dei nomi tra domini. Il file LMHOSTS è un file di testo che è possibile modificare con qualsiasi editor di testo, ad esempio Blocco note. Il file LMHOSTS in ogni controller di dominio deve contenere l'indirizzo TCP/IP, il nome di dominio e la voce \0x1b dell'altro controller di dominio.

Dopo aver creato il file LMHOSTS, seguire questa procedura:

  1. Modificare il file in modo che contenga testo simile al testo seguente:

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    Note

    Per la voce \0x1b deve essere presente un totale di 20 caratteri e spazi tra le virgolette (" "). Aggiungere spazi dopo il nome di dominio in modo che usi 15 caratteri. Il 16° carattere è la barra rovesciata seguita dal valore "0x1b" e questo rende un totale di 20 caratteri.

  2. Al termine delle modifiche apportate al file LMHOSTS, salvare il file nella cartella %SystemRoot% \System32\Drivers\Etc nei controller di dominio. Per altre informazioni sul file LMHOSTS, visualizzare il file di esempio Lmhosts.sam che si trova nella cartella %SystemRoot% \System32\Drivers\Etc.

Passaggio 2: Caricare il file LMHOSTS nella cache

  1. Fare clic su Start, scegliere Esegui, digitare cmd, quindi fare clic su OK.

  2. Al prompt dei comandi digitare NBTSTAT -Re quindi premere INVIO. Questo comando carica il file LMHOSTS nella cache.

  3. Al prompt dei comandi digitare NBTSTAT -ce quindi premere INVIO. Questo comando visualizza la cache. Se il file viene scritto correttamente, la cache è simile alla seguente:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    Se il file non popola correttamente la cache, continuare con il passaggio successivo.

Passaggio 3: Assicurarsi che la ricerca LMHOSTS sia abilitata nel computer basato su Windows NT 4.0

Se il file non popola correttamente la cache, assicurarsi che la ricerca LMHOSTS sia abilitata nel computer basato su Windows NT 4.0. A tale scopo, effettuare i passaggi seguenti:

  1. Fare clic su Start, scegliere Impostazioni e quindi fare clic su Pannello di controllo.
  2. Fare doppio clic su Reti, fare clic sulla scheda Protocolli e quindi fare doppio clic su Protocollo TCP/IP.
  3. Fare clic sulla scheda Wins Address (Indirizzo WINS) e quindi fare clic per selezionare la casella di controllo Enable LMHOSTS Lookup (Abilita ricerca LMHOSTS).
  4. Riavviare il computer.
  5. Ripetere i passaggi nella sezione "Caricare il file LMHOSTS nella cache".
  6. Se il file non popola correttamente la cache, assicurarsi che il file LMHOSTS si trova nella cartella %SystemRoot%\System32\Drivers\Etc e che il file sia formattato correttamente.

Ad esempio, il file deve essere formattato in modo simile all'esempio di formattazione seguente:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

Note

Deve essere presente un totale di 20 caratteri e spazi all'interno delle virgolette (" ") per la voce Nome di dominio e \0x1b.

Passaggio 4: Usare il comando Ping per testare la connettività

Quando il file popola correttamente la cache in ogni server, usare il Ping comando in ogni server per testare la connettività tra i server. A tale scopo, effettuare i passaggi seguenti:

  1. Fare clic su Start, scegliere Esegui, digitare cmd, quindi fare clic su OK.

  2. Al prompt dei comandi digitare Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>e quindi premere INVIO. Se il Ping comando non funziona, assicurarsi che gli indirizzi IP corretti siano elencati nel file LMHOSTS.

  3. Al prompt dei comandi digitare net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>e quindi premere INVIO. È previsto che venga visualizzato il messaggio di errore seguente:

    Errore di sistema 5. Accesso negato

    Se il comando net view restituisce il messaggio di errore seguente o qualsiasi altro messaggio di errore correlato, assicurarsi che gli indirizzi IP corretti siano elencati nel file LMHOSTS:

    Si è verificato l'errore di sistema 53. Il percorso di rete non è stato trovato

In alternativa, Windows Internet Name Service (WINS) può essere configurato per abilitare la funzionalità di risoluzione dei nomi senza usare un file LMHOSTS.

Metodo due: Visualizzare le impostazioni di sicurezza

In genere, il lato Active Directory della configurazione trust ha impostazioni di sicurezza che causano problemi di connettività. Tuttavia, le impostazioni di sicurezza devono essere esaminate su entrambi i lati dell'attendibilità.

Passaggio 1: Visualizzare le impostazioni di sicurezza in Windows 2000 Server e Windows Server 2003

In Windows 2000 Server e Windows Server 2003 le impostazioni di sicurezza possono essere applicate o configurate da Criteri di gruppo, criteri locali o un modello di sicurezza applicato.

È necessario utilizzare gli strumenti corretti per determinare i valori correnti delle impostazioni di sicurezza per evitare letture imprecise.

Per ottenere una lettura accurata delle impostazioni di sicurezza correnti, utilizzare i metodi seguenti:

  • In Windows 2000 Server usare lo snap-in Configurazione di sicurezza e analisi.

  • In Windows Server 2003 usare lo snap-in Configurazione di sicurezza e analisi oppure lo snap-in Set di criteri risultante (RSoP).

Dopo aver determinato le impostazioni correnti, è necessario identificare i criteri che applicano le impostazioni. Ad esempio, è necessario determinare i Criteri di gruppo in Active Directory o le impostazioni locali che impostano i criteri di sicurezza.

In Windows Server 2003 i criteri che impostano i valori di sicurezza vengono identificati dallo strumento RSoP. Tuttavia, in Windows 2000 è necessario visualizzare i Criteri di gruppo e i criteri locali per determinare i criteri che contengono le impostazioni di sicurezza:

  • Per visualizzare le impostazioni di Criteri di gruppo, è necessario abilitare l'output di registrazione per il client di configurazione della sicurezza di Microsoft Windows 2000 durante l'elaborazione di Criteri di gruppo.

  • Visualizzare l'account di accesso dell'applicazione Visualizzatore eventi e trovare l'ID evento 1000 e l'ID evento 1202.

Le tre sezioni seguenti identificano il sistema operativo ed elencano le impostazioni di sicurezza che è necessario verificare per il sistema operativo nelle informazioni raccolte:

Windows 2000

Assicurarsi che le impostazioni seguenti siano configurate come illustrato.

RestrictAnonymous:

Restrizioni aggiuntive per le connessioni anonime
 "Nessuno. Fare affidamento sulle autorizzazioni predefinite"

Compatibilità LM:

Livello di autenticazione di LAN Manager "Invia solo risposta NTLM"

Firma SMB, crittografia SMB o entrambi:

Firmare digitalmente le comunicazioni client (sempre) DISABLED
Firmare digitalmente le comunicazioni client (quando possibile) ENABLED
Firma digitale delle comunicazioni server (sempre) DISABLED
Firmare digitalmente le comunicazioni server (quando possibile) ENABLED
Canale sicuro: crittografare o firmare digitalmente i dati del canale sicuro (sempre) DISABLED
Canale sicuro: crittografare digitalmente i dati del canale sicuro (quando possibile) DISABLED
Canale sicuro: firmare digitalmente i dati del canale sicuro (quando possibile) DISABLED
Canale sicuro: richiedi chiave di sessione avanzata (Windows 2000 o versione successiva) DISABLED
Windows Server 2003

Assicurarsi che le impostazioni seguenti siano configurate come illustrato.

RestrictAnonymous e RestrictAnonymousSam:

Accesso di rete: consenti conversione anonima SID/nome ENABLED
Accesso di rete: non consentire l'enumerazione anonima degli account SAM DISABLED
Accesso di rete: non consentire l'enumerazione anonima di account e condivisioni SAM DISABLED
Accesso di rete: applica autorizzazioni account Everyone agli utenti anonimi ENABLED
Accesso alla rete: è possibile accedere alle named pipe in modo anonimo ENABLED
Accesso alla rete: limitare l'accesso anonimo alle named pipe e alle condivisioni DISABLED

Note

Per impostazione predefinita, il valore dell'impostazione Accesso alla rete: Consenti conversione SID/Nome anonimo è DISABILITATo in Windows Server 2008.

Compatibilità LM:

Sicurezza di rete: livello di autenticazione di LAN Manager "Invia solo risposta NTLM"

Firma SMB, crittografia SMB o entrambi:

Client di rete Microsoft: Aggiungere la firma digitale alle comunicazioni (sempre) DISABLED
Client di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal server) ENABLED
Server di rete Microsoft: Aggiungere la firma digitale alle comunicazioni (sempre) DISABLED
Server di rete Microsoft: aggiungi firma digitale alle comunicazioni (se autorizzato dal client) ENABLED
Membro di dominio: aggiunta crittografia o firma digitale ai dati del canale sicuro (sempre) DISABLED
Membro del dominio: crittografare digitalmente i dati del canale sicuro (quando possibile) ENABLED
Membro del dominio: firmare digitalmente i dati del canale sicuro (quando possibile) ENABLED
Membro di dominio: richiedi chiave di sessione avanzata (Windows 2000 o versioni successive) DISABLED

Dopo aver configurato correttamente le impostazioni, è necessario riavviare il computer. Le impostazioni di sicurezza non vengono applicate fino al riavvio del computer.

Dopo il riavvio del computer, attendere 10 minuti per assicurarsi che vengano applicati tutti i criteri di sicurezza e che siano configurate le impostazioni effettive. È consigliabile attendere 10 minuti perché gli aggiornamenti dei criteri di Active Directory vengono eseguiti ogni 5 minuti in un controller di dominio e l'aggiornamento può modificare i valori delle impostazioni di sicurezza. Dopo 10 minuti, usare Configurazione e analisi della sicurezza o un altro strumento per esaminare le impostazioni di sicurezza in Windows 2000 e Windows Server 2003.

Windows NT 4.0

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, fare clic sul numero di articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base: 322756 Come eseguire il backup e ripristinare il Registro di sistema in Windows

In Windows NT 4.0 le impostazioni di sicurezza correnti devono essere verificate utilizzando lo strumento Regedt32 per visualizzare il Registro di sistema. A tale scopo, effettuare i passaggi seguenti:

  1. Fare clic su Start, fare clic su Esegui, digitare regedt32 e quindi fare clic su OK.

  2. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce RestrictAnonymous:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce Compatibilità LM:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce EnableSecuritySignature (server):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce RequireSecuritySignature (server):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce RequireSignOrSeal:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce SealSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce SignSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce RequireStrongKey:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Metodo tre: Verificare i diritti utente

Per verificare i diritti utente necessari in un computer basato su Windows 2000, seguire questa procedura:

  1. Fare clic su Start, scegliere Programmi e quindi Strumenti di amministrazione e infine fare clic su Criteri di sicurezza locali.
  2. Espandere Criteri locali, quindi fare clic su Assegnazione diritti utente.
  3. Nel riquadro destro fare doppio clic su Accedi al computer dalla rete.
  4. Fare clic per selezionare la casella di controllo Impostazioni criteri locali accanto al gruppo Everyone nell'elenco Assegnato a e quindi fare clic su OK.
  5. Fare doppio clic su Nega accesso al computer dalla rete.
  6. Verificare che nell'elenco Assegnato a non siano presenti gruppi di principi e quindi fare clic su OK. Ad esempio, assicurarsi che Tutti, Utenti autenticati e altri gruppi non siano elencati.
  7. Fare clic su OK e quindi uscire da Criteri di sicurezza locali.

Per verificare i diritti utente necessari in un computer basato su Windows Server 2003, seguire questa procedura:

  1. Fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Criteri di sicurezza del controller di dominio.

  2. Espandere Criteri locali, quindi fare clic su Assegnazione diritti utente.

  3. Nel riquadro destro fare doppio clic su Accedi al computer dalla rete.

  4. Assicurarsi che il gruppo Everyone sia presente nell'elenco Accedi al computer dall'elenco di rete .

    Se il gruppo Everyone non è elencato, seguire questa procedura:

    1. Fare clic su Aggiungi utente o gruppo.
    2. Nella casella Nomi utente e gruppo digitare Everyone e quindi fare clic su OK.

  5. Fare doppio clic su Nega accesso al computer dalla rete.

  6. Verificare che non siano presenti gruppi di principi nell'elenco Nega accesso a questo computer dall'elenco di rete e quindi fare clic su OK. Ad esempio, assicurarsi che Tutti, Utenti autenticati e altri gruppi non siano elencati.

  7. Fare clic su OK e quindi chiudere i criteri di sicurezza del controller di dominio.

Per verificare i diritti utente necessari in un computer basato su Windows NT Server 4.0, seguire questa procedura:

  1. Fare clic su Start, scegliere Programmi, Strumenti di amministrazione e quindi fare clic su Gestione utenti per domini.

  2. Scegliere Diritti utente dal menu Criteri.

  3. Nell'elenco A destra fare clic su Accedi al computer dalla rete.

  4. Nella casella Concedi a verificare che il gruppo Everyone sia stato aggiunto.

    Se il gruppo Everyone non viene aggiunto, seguire questa procedura:

    1. Fare clic su Aggiungi.
    2. Nell'elenco Nomi fare clic su Tutti, fare clic su Aggiungi e quindi su OK.

  5. Fare clic su OK e quindi uscire da Gestione utenti.

Metodo quattro: Verificare l'appartenenza al gruppo

Se un trust è configurato tra i domini, ma non è possibile aggiungere gruppi di utenti di principio da un dominio all'altro perché la finestra di dialogo non individua gli altri oggetti di dominio, il gruppo "Accesso compatibile con Pre-Windows 2000" potrebbe non avere l'appartenenza corretta.

Nei controller di dominio basati su Windows 2000 e nei controller di dominio basati su Windows Server 2003, assicurarsi che siano configurate le appartenenze ai gruppi necessarie.

Per eseguire questa operazione nei controller di dominio basati su Windows 2000, seguire questa procedura:

  1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Utenti e computer di Active Directory.

  2. Fare clic su Built in (Predefinita) e quindi fare doppio clic su Pre-Windows 2000 compatible access group (Gruppo di accesso compatibile con Pre-Windows 2000).

  3. Fare clic sulla scheda Membri e quindi verificare che il gruppo Everyone sia presente nell'elenco Membri .

  4. Se il gruppo Everyone non è presente nell'elenco Membri , seguire questa procedura:

    1. Fare clic su Start, scegliere Esegui, digitare cmd, quindi fare clic su OK.
    2. Al prompt dei comandi digitare net localgroup "Pre-Windows 2000 Compatible Access" everyone /adde quindi premere INVIO.

Per assicurarsi che le appartenenze ai gruppi necessarie siano configurate nei controller di dominio basati su Windows Server 2003, è necessario sapere se l'impostazione dei criteri "Accesso alla rete: Consenti a tutti gli utenti anonimi di applicare le autorizzazioni a utenti anonimi" è disabilitata. Se non lo si sa, usare l'Editor oggetti Criteri di gruppo per determinare lo stato dell'impostazione dei criteri "Accesso alla rete: Consenti a tutti gli utenti anonimi di applicare le autorizzazioni a utenti anonimi". A tale scopo, effettuare i passaggi seguenti:

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare gpedit.msc e quindi fare clic su OK.

  2. Espandere le cartelle seguenti:

    Criteri computer locali
    Configurazione computer
    Impostazioni di Windows
    Impostazioni di sicurezza
    Criteri locali

  3. Fare clic su Opzioni di sicurezza e quindi su Accesso alla rete: consenti a tutti gli utenti anonimi di applicare gli utenti anonimi nel riquadro destro.

  4. Si noti se il valore nella colonna Impostazione di sicurezza è Disabilitato o Abilitato.

Per assicurarsi che le appartenenze ai gruppi necessarie siano configurate nei controller di dominio basati su Windows Server 2003, seguire questa procedura:

  1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Utenti e computer di Active Directory.

  2. Fare clic su Built in (Predefinita) e quindi fare doppio clic su Pre-Windows 2000 compatible access group (Gruppo di accesso compatibile con Pre-Windows 2000).

  3. Fare clic sulla scheda Membri .

  4. Se l'impostazione dei criteri Accesso alla rete: Consenti a tutti gli utenti di applicare l'impostazione dei criteri utenti anonimi è disabilitata, verificare che il gruppo Accesso anonimo sia incluso nell'elenco Membri . Se l'impostazione dei criteri "Accesso alla rete: Consenti a tutti gli utenti anonimi" è abilitata, assicurarsi che il gruppo Everyone sia incluso nell'elenco Membri .

  5. Se il gruppo Everyone non è presente nell'elenco Membri , seguire questa procedura:

    1. Fare clic su Start, scegliere Esegui, digitare cmd, quindi fare clic su OK.
    2. Al prompt dei comandi digitare net localgroup "Pre-Windows 2000 Compatible Access" everyone /adde quindi premere INVIO.

Metodo cinque: verificare la connettività tramite dispositivi di rete, ad esempio firewall, commutatori o router

Se sono stati ricevuti messaggi di errore simili al messaggio di errore seguente e si è verificato che i file LMHOST sono corretti, il problema potrebbe essere causato da un firewall, un router o un commutatore che ha bloccato le porte tra i controller di dominio:

Non è stato possibile contattare alcun controller di dominio

Per risolvere i problemi dei dispositivi di rete, usare PortQry Command Line Port Scanner versione 2.0 per testare le porte tra i controller di dominio.

Per altre informazioni su PortQry versione 2, fare clic sul numero di articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

832919 Nuove funzionalità e funzionalità in PortQry versione 2.0

Per altre informazioni sulla configurazione delle porte, fare clic sul numero di articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

179442 Come configurare un firewall per domini e trust

Metodo sei: raccogliere informazioni aggiuntive per risolvere il problema

Se i metodi precedenti non consentono di risolvere il problema, raccogliere le informazioni aggiuntive seguenti per risolvere la causa del problema:

  • Abilitare la registrazione Netlogon in entrambi i controller di dominio. Per altre informazioni su come completare la registrazione netlogon, fare clic sul numero di articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base: 109626 Abilitazione della registrazione di debug per il servizio Accesso rete

  • Acquisire una traccia in entrambi i controller di dominio nello stesso momento in cui si verifica il problema.

Ulteriori informazioni

L'elenco seguente di oggetti Criteri di gruppo fornisce il percorso della voce del Registro di sistema corrispondente e dei Criteri di gruppo nei sistemi operativi applicabili:

  • Oggetto Criteri di gruppo RestrictAnonymous:

    • Percorso del Registro di sistema di Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Percorso del Registro di sistema di Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Criteri di gruppo di Windows 2000: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\ Opzioni di sicurezza Restrizioni aggiuntive per le connessioni anonime
    • Criteri di gruppo di Windows Server 2003: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza Accesso alla rete: Non consentire l'enumerazione anonima di account e condivisioni SAM

  • Oggetto Criteri di gruppo RestrictAnonymousSAM:

    • Percorso del Registro di sistema di Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Criteri di gruppo di Windows Server 2003: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza Opzioni di sicurezza Accesso alla rete: Non consentire l'enumerazione anonima di account e condivisioni SAM

  • Oggetto Criteri di gruppo EveryoneIncludesAnonymous:

    • Percorso del Registro di sistema di Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Criteri di gruppo di Windows Server 2003: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza Accesso alla rete: Consenti a tutti gli utenti anonimi di applicare autorizzazioni a utenti anonimi

  • Oggetto Criteri di gruppo di compatibilità LM:

    • Posizione del Registro di sistema di Windows NT, Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Criteri di gruppo di Windows 2000: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza: livello di autenticazione LAN Manager

    • Criteri di gruppo di Windows Server 2003: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza\Sicurezza: livello di autenticazione LAN Manager

  • Oggetto Criteri di gruppo EnableSecuritySignature (client):

    • Percorso del Registro di sistema di Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Criteri di gruppo di Windows 2000: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza \Opzioni di sicurezza: Firma digitale delle comunicazioni client (quando possibile)
    • Criteri di gruppo di Windows Server 2003: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza\Client di rete Microsoft: Firma digitale delle comunicazioni (se il server accetta)

  • Oggetto Criteri di gruppo RequireSecuritySignature (client):

    • Percorso del Registro di sistema di Windows 2000 e Windows Server 2003: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Criteri di gruppo di Windows 2000: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza: Firma digitale delle comunicazioni client (sempre)
    • Windows Server 2003: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza\Client di rete Microsoft: Firma digitale delle comunicazioni (sempre)

  • Oggetto Criteri di gruppo EnableSecuritySignature (server):

    • Percorso del Registro di sistema di Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Percorso del Registro di sistema di Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Criteri di gruppo di Windows 2000: firma digitale delle comunicazioni server (quando possibile)
    • Criteri di gruppo di Windows Server 2003: Server di rete Microsoft: Firma digitale delle comunicazioni (se il client accetta)

  • Oggetto Criteri di gruppo RequireSecuritySignature (server):

    • Percorso del Registro di sistema di Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Percorso del Registro di sistema di Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Criteri di gruppo di Windows 2000: firma digitale delle comunicazioni server (sempre)
    • Criteri di gruppo di Windows Server 2003: Server di rete Microsoft: Firma digitale delle comunicazioni (sempre)

  • Oggetto Criteri di gruppo RequireSignOrSeal:

    • Posizione del Registro di sistema di Windows NT, Windows 2000 e Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Criteri di gruppo di Windows 2000: crittografare o firmare digitalmente i dati del canale sicuro (sempre)
    • Criteri di gruppo di Windows Server2003: Membro del dominio: Crittografare o firmare digitalmente i dati del canale sicuro (sempre)

  • Oggetto Criteri di gruppo SealSecureChannel:

    • Posizione del Registro di sistema di Windows NT, Windows 2000 e Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Criteri di gruppo di Windows 2000: canale sicuro: crittografare digitalmente i dati del canale sicuro (quando possibile)
    • Criteri di gruppo di Windows Server 2003: Membro del dominio: Crittografare digitalmente i dati del canale sicuro (quando possibile)

  • Oggetto Criteri di gruppo SignSecureChannel:

    • Posizione del Registro di sistema di Windows NT, Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Criteri di gruppo di Windows 2000: Canale protetto: Firma digitale dei dati del canale sicuro (quando possibile)
    • Criteri di gruppo di Windows Server 2003: Membro del dominio: Firma digitale dei dati del canale sicuro (quando possibile)

  • Oggetto Criteri di gruppo RequireStrongKey:

    • Posizione del Registro di sistema di Windows NT, Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Criteri di gruppo di Windows 2000: Canale sicuro: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva)
    • Criteri di gruppo di Windows Server 2003: Membro di dominio: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva)

Windows Server 2008

In un controller di dominio che esegue Windows Server 2008, il comportamento predefinito dell'impostazione dei criteri Consenti algoritmi di crittografia compatibili con Windows NT 4.0 può causare un problema. Questa impostazione impedisce ai sistemi operativi Windows e ai client di terze parti di usare algoritmi di crittografia deboli per stabilire canali di sicurezza NETLOGON ai controller di dominio basati su Windows Server 2008.

Riferimenti

Per altre informazioni, fare clic sui numeri di articolo seguenti per visualizzare gli articoli della Microsoft Knowledge Base:

823659 le incompatibilità tra client, servizi e programmi che possono verificarsi quando si modificano le impostazioni di sicurezza e le assegnazioni dei diritti utente