Messaggio di errore quando si tenta di accedere a un server in locale usando il nome di dominio completo o il relativo alias CNAME dopo l'installazione di Windows Server 2003 Service Pack 1: Accesso negato o Nessun provider di rete ha accettato il percorso di rete specificato

Questo articolo fornisce una soluzione a un errore che si verifica quando si tenta di accedere a un server in locale usando il nome di dominio completo o il relativo alias CNAME.

Numero KB originale: 926642

Note

Questo articolo contiene informazioni che illustrano come ridurre le impostazioni di sicurezza o come disattivare le funzionalità di sicurezza in un computer. È possibile apportare queste modifiche per risolvere un problema specifico. Prima di apportare queste modifiche, è consigliabile valutare i rischi associati all'implementazione di questa soluzione alternativa nell'ambiente specifico. Se si implementa questa soluzione alternativa, eseguire eventuali passaggi aggiuntivi appropriati per proteggere il sistema.

Sintomi

Si consideri il seguente scenario. Installare Microsoft Windows Server 2003 Service Pack 1 (SP1) in un computer basato su Windows Server 2003. Dopo aver eseguito questa operazione, si verificano problemi di autenticazione quando si tenta di accedere a un server in locale usando il nome di dominio completo (FQDN) o il relativo alias CNAME nel percorso UNC (Universal Naming Convention): \\servername\sharename.

In questo scenario si verifica uno dei sintomi seguenti:

• Si ricevono finestre di accesso ripetute.
• Viene visualizzato un messaggio di errore "Accesso negato".
• Viene visualizzato un messaggio di errore "Nessun provider di rete ha accettato il percorso di rete specificato".
• L'ID evento 537 viene registrato nel registro eventi di sicurezza.

Note

È possibile accedere al server usando il nome di dominio completo o il relativo alias CNAME da un altro computer nella rete diversa da questo computer in cui è stato installato Windows Server 2003 SP1. Inoltre, è possibile accedere al server nel computer locale usando i percorsi seguenti:

• \\IPaddress-of-local-computer
• \\Netbiosname o \\ComputerName

Causa

Questo problema si verifica perché Windows Server 2003 SP1 include una nuova funzionalità di sicurezza denominata loopback check. Per impostazione predefinita, la funzionalità di controllo del loopback è attivata in Windows Server 2003 SP1 e il valore della voce del Registro di sistema DisableLoopbackCheck è impostato su 0 (zero).

Note

La funzionalità di controllo del loopback viene archiviata nella sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck.

Risoluzione

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedi Come eseguire il backup e il ripristino del Registro di sistema in Windows.

Note

Questa soluzione alternativa può rendere il computer o la rete più vulnerabile agli attacchi da parte di utenti malintenzionati o da software dannoso, ad esempio virus. Questa soluzione alternativa non è consigliata, ma fornisce queste informazioni in modo da poter implementare questa soluzione alternativa a propria discrezione. L'utilizzo di questa soluzione avviene pertanto a rischio esclusivo dell'utente.

Per risolvere questo problema, impostare la voce del Registro di sistema DisableStrictNameChecking su 1. Usare quindi uno dei metodi seguenti, come appropriato per la situazione.

Metodo 1 (scelta consigliata): creare i nomi host dell'autorità di sicurezza locale a cui è possibile fare riferimento in una richiesta di autenticazione NTLM

A tale scopo, seguire questa procedura per tutti i nodi nel computer client:

1. Fare clic su Avvio, fare clic su Esegui, digitareregedit, quindi fare clic suOK. Fare clic su Start, scegliere Esegui, digitare regedit e quindi fare clic su OK.

2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

3. Fare clic con il pulsante destro del mouse MSV1_0, scegliere Nuovo e quindi fare clic su Valore multistrido.

4. Nella colonna Nome digitare BackConnectionHostNames e quindi premere INVIO.

5. Fare clic con il pulsante destro del mouse su BackConnectionHostNames e quindi scegliere Modifica.

6. Nella casella Dati valore digitare il CNAME o l'alias DNS, usato per le condivisioni locali nel computer e quindi fare clic su OK.

   Note

   • Digitare ogni nome host in una riga separata.
   • Se la voce del Registro di sistema BackConnectionHostNames esiste come tipo di REG_DWORD, è necessario eliminare la voce del Registro di sistema BackConnectionHostNames.

7. Chiudere l'editor del Registro di sistema e riavviare il computer.

Metodo 2: Disabilitare il controllo del loopback di autenticazione

Riabilitare il comportamento esistente in Windows Server 2003 impostando la voce del Registro di sistema DisableLoopbackCheck nella HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry sottochiave su 1. Per impostare la voce del Registro di sistema DisableLoopbackCheck su 1, seguire questa procedura nel computer client:

1. Fare clic su Avvio, fare clic su Esegui, digitareregedit, quindi fare clic suOK. Fare clic su Start, scegliere Esegui, digitare regedit e quindi fare clic su OK.

2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. Fare clic con il pulsante destro del mouse su Lsa, scegliere Nuovo e quindi fare clic su Valore DWORD .

4. Digitare DisableLoopbackCheck e quindi premere INVIO.

5. Fare clic con il pulsante destro del mouse su DisableLoopbackCheck e quindi scegliere Modifica.

6. Nella casella Dati valore, digitare 1, quindi fare clic su OK.

7. Uscire dall'editor del Registro di sistema.

8. Riavviare il computer.

Note

Per rendere effettiva questa modifica, è necessario riavviare il server. Per impostazione predefinita, la funzionalità di controllo del loopback è attivata in Windows Server 2003 SP1 e la voce del Registro di sistema DisableLoopbackCheck è impostata su 0 (zero). La sicurezza viene ridotta quando si disabilita il controllo del loopback di autenticazione e si apre il server Windows Server 2003 per attacchi man-in-the-middle (MITM) su NTLM.

Stato

Microsoft ha confermato che si tratta di un problema nei prodotti Microsoft elencati all'inizio di questo articolo.

Ulteriori informazioni

Dopo aver installato l'aggiornamento della sicurezza 957097, le applicazioni come SQL Server o Internet Information Services (IIS) potrebbero non riuscire durante l'esecuzione di richieste di autenticazione NTLM locali.

Per altre informazioni su come risolvere questo problema, vedere la sezione "Problemi noti con questo aggiornamento della sicurezza" dell'articolo della Knowledge Base 957097.