Con l’implementazione di Windows 11 24H2, potrebbero verificarsi problemi con l’applicazione dei criteri di gruppo, visibili eseguendo il comando gpupdate.
Messaggio di errore:
Non è stato possibile aggiornare correttamente la policy IT. Sono stati riscontrati i seguenti errori:
Elaborazione dei Criteri di gruppo non riuscita. Windows non è riuscito a risolvere il nome del computer. Ciò potrebbe essere dovuto a uno dei seguenti motivi:
a) Risoluzione del nome non riuscita sul controller di dominio corrente.
b) Latenza di replicazione di Active Directory (un account creato su un altro controller di dominio non è stato replicato sul controller di dominio corrente).
Non è stato possibile aggiornare correttamente la policy utente. Sono stati riscontrati i seguenti errori:
Elaborazione dei Criteri di gruppo non riuscita. Windows non è riuscito ad autenticarsi con il servizio Active Directory su un controller di dominio. (Chiamata alla funzione LDAP Bind non riuscita). Per il codice di errore e la descrizione, consultare la scheda Dettagli.
Per diagnosticare l'errore, controllare il registro eventi o eseguire GPRESULT /H GPReport.htm
Come spesso accade, quando si riceve questo messaggio, si pensa subito a un problema DNS che non risolve il nome di dominio di Active Directory.
Con Windows 11 24H2 il problema non deriva da lì, ma dal tipo di crittografia dei ticket Kerberos: con questa nuova versione di Windows 11, la crittografia AES (AES128_HMAC_SHA1 e AES256_HMAC_SHA1) deve essere abilitata nei tipi di crittografia Kerberos.
Negli ambienti Active Directory presenti da diversi anni, non è raro trovare un Criterio di gruppo che configura i tipi di crittografia per Kerberos ed è configurato con i cifrari AES disabilitati.
Per risolvere questo problema, è necessario abilitare il supporto per la crittografia AES128_HMAC_SHA1 e AES256_HMAC_SHA1.
Prima di configurare Criteri di gruppo per i computer e i server nel tuo ambiente, devi assicurarti che anche i controller di dominio supportino questi tipi di crittografia.
Una volta effettuata questa verifica, potrai attivare questi tipi di crittografia per l’intera flotta.
È possibile trovare l’impostazione: Sicurezza di rete: configura i tipi di crittografia consentiti per Kerberos nel seguente percorso: Configurazione computer / Criteri / Impostazioni di Windows / Impostazioni di sicurezza / Criteri locali / Opzioni di sicurezza.
Configurare l’impostazione per abilitare il supporto per i tipi di crittografia AES128_HMAC_SHA1, AES256_HMAC_SHA1 e Future.
Se disponi anche di vecchi tipi di crittografia, dovresti valutare di disattivarli, se possibile.
Questa manipolazione può avere effetti collaterali, perché una volta applicata a livello di computer, potrebbero verificarsi problemi di autenticazione, in particolare a livello di utente quando blocca la sessione, quando tentano di sbloccare i loro computer, riceveranno un messaggio che la loro password è errata , per risolvere il problema è necessario riavviare il computer.
Da parte mia, ecco come ho proceduto:
- Messaggio a tutti gli utenti per chiedere loro di non spegnere il computer la sera.
- Distribuzione dei criteri di gruppo alle 19:00.
- 1° riavvio dei computer alle 4:30 del mattino.
- 2° riavvio dei computer alle 6 del mattino.
Con questo metodo non abbiamo avuto praticamente effetti collaterali.
Per pianificare un riavvio, puoi utilizzare uno strumento di terze parti, se ne hai uno, oppure distribuire attività pianificate tramite criteri di gruppo.