SINTOMI
A volte si possono verificare problemi di autenticazione quando si tenta di accedere a un server locale utilizzando il nome di dominio completo (FQDN) o il relativo alias CNAME nel seguente percorso Universal Naming Convention (UNC):
\\ servername\sharename
In questo scenario, si verifica uno dei seguenti sintomi:
Viene visualizzato windows di accesso ripetute.
Viene visualizzato un messaggio di errore “Accesso negato”.
Viene visualizzato un “Nessun provider di rete accettato il percorso di rete specificato” messaggio di errore.
ID evento 537 viene registrato nel registro eventi di protezione.
Nota È possibile accedere al server utilizzando il nome completo di dominio o il relativo alias CNAME da un altro computer nella rete il computer su cui è installato Windows Server 2003 SP1. Inoltre, è possibile accedere al server sul computer locale utilizzando i seguenti percorsi:
\\ IPaddress del Server
\\ Netbiosname o \ \ComputerName
CAUSE
Questo problema si verifica perché Windows Server 2003 SP1 include una nuova funzionalità di protezione denominata funzionalità di controllo di loopback. Per impostazione predefinita, la funzionalità di controllo di loopback è attivato in Windows Server 2003 SP1 e il valore della voce del Registro di sistema DisableLoopbackCheck è impostato su 0 (zero).
Nota: La funzionalità di controllo di loopback è memorizzata nella seguente sottochiave del Registro di sistema:
0 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck |
RISOLUZIONE
Metodo 1 (scelta consigliata):
creare i nomi degli host di autorità di protezione locale è possibile fare riferimento in una richiesta di autenticazione NTLM
Per effettuare questa operazione, attenersi alla seguente procedura per tutti i nodi sul computer client:
Fare clic su Start, scegliere Esegui, digitare regedite quindi fare clic su OK.
Individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
Pulsante destro del mouse MSV1_0, scegliere Nuovoe quindi fare clic su Valore multistringa.
Nella colonna nome , digitare BackConnectionHostNamese quindi premere INVIO.
Il pulsante destro BackConnectionHostNamese quindi fare clic su Modifica.
Nella casella dati valore , digitare l’alias CNAME o DNS, che viene utilizzato per le condivisioni sul computer locale e quindi fare clic su OK.
Nota: Digitare il nome di ciascun host su una riga separata.
Nota: Se la voce del Registro di sistema BackConnectionHostNames esiste come tipo REG_DWORD, è necessario eliminare la voce del Registro di sistema BackConnectionHostNames.
Uscire dall’Editor del Registro di sistema e riavviare il computer.
Metodo 2: Disattivare la verifica di loopback autenticazione
Riabilitare il comportamento esistente in Windows Server 2003, impostare la voce del Registro di sistema DisableLoopbackCheck
0 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry |
sottochiave su 1. Per impostare la voce del Registro di sistema DisableLoopbackCheck su 1, attenersi alla seguente procedura sul computer client:
Fare clic su Start, scegliere Esegui, digitare regedite quindi fare clic su OK.
Individuare e selezionare la seguente sottochiave del Registro di sistema:
0 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa |
Pulsante destro del mouse Lsa, scegliere Nuovoe quindi fare clic su valore DWORD . .
Digitare DisableLoopbackChecke quindi premere INVIO.
Il pulsante destro DisableLoopbackChecke quindi fare clic su Modifica.
Nella casella dati valore digitare 1e quindi fare clic su OK.
Uscire dall’Editor del Registro di sistema.
Riavviare il computer.
Nota: È necessario riavviare il server per rendere effettiva questa modifica. Per impostazione predefinita, la funzionalità di controllo di loopback è attivato in Windows Server 2003 SP1 e la voce del Registro di sistema DisableLoopbackCheck è impostata su 0 (zero). La protezione viene ridotta quando si disattiva il controllo di loopback autenticazione e si apre il server di Windows Server 2003 per gli attacchi man-in-the-middle (MITM) a NTLM.
Sono Raffaele Chiatto, un appassionato di informatica a 360 gradi.
Tutto è iniziato nel 1996, quando ho scoperto il mondo dell'informatica grazie a Windows 95, e da quel momento non ho più smesso di esplorare e imparare.
Ogni giorno mi dedico con curiosità e passione a scoprire le nuove frontiere di questo settore in continua evoluzione.
0 commenti