Netlogon o Workstation non si avvia in Windows: dipendenza mrxsmb10 SMB 1.0 e soluzione sicura

Su alcune installazioni Windows i servizi Netlogon o Workstation non partono all’avvio perché il driver mrxsmb10 (SMB 1.0) è disabilitato ma rimane tra le dipendenze. In questa guida trovi diagnosi, causa radice e due percorsi risolutivi: rimuovere SMB1 in sicurezza oppure riattivarlo solo in via temporanea.

Indice

Panoramica del problema

Quando il servizio Workstation (lanmanworkstation) non si avvia, anche Netlogon può fallire perché ne dipende per stabilire il canale sicuro con il controller di dominio. L’analisi delle dipendenze con sc.exe qc <servizio> mette spesso in evidenza il driver MRxSmb10 tra i prerequisiti: si tratta del client SMB 1.0, ormai deprecato e, sulle versioni moderne di Windows, disinstallato o disabilitato per impostazione predefinita. Se una dipendenza “orfana” da SMB1 resta configurata, il servizio principale non parte.

Sintomi tipici

Errore all’avvio di Workstation (lanmanworkstation) o Netlogon (stato Stopped o Failed to start).
Registro eventi → Service Control Manager con ID comuni 7000 o 7001 (servizio non avviato per dipendenza non soddisfatta).
Impossibilità di accedere a condivisioni SMB, disconnessione unità di rete mappate, fallimento del logon al dominio o di operazioni \\server\share.
sc.exe qc lanmanworkstation mostra MRxSmb10 in DEPENDENCIES mentre sc.exe qc mrxsmb10 riporta DISABLED o “servizio inesistente”.

Perché accade

SMB 1.0 (mrxsmb10) è un protocollo storico, fragile e bersaglio di campagne malware (es. ransomware). Da Windows 8/Server 2012 in poi il client SMB 2/3 (mrxsmb20) è lo standard e copre tutte le necessità comuni. Tuttavia, a seguito di upgrade in place, immagini datate o software legacy, può rimanere impostata la dipendenza dal vecchio driver SMB1, impedendo il corretto avvio del servizio Workstation.

Diagnosi rapida: comandi chiave

Esegui da Prompt dei comandi amministrativo o da PowerShell elevata:

:: Stato e dipendenze dei servizi/driver rilevanti
sc.exe qc lanmanworkstation
sc.exe qc netlogon
sc.exe qc mrxsmb10
sc.exe qc mrxsmb20
sc.exe qc nsi
sc.exe qc bowser

\:: Facoltativo in PowerShell (stato Feature)
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

\:: Configurazione client SMB
Get-SmbClientConfiguration | Select-Object EnableSMB1Protocol, EnableSMB2Protocol

Interpreta i risultati:

Se lanmanworkstation elenca MRxSmb10 tra le DEPENDENCIES e mrxsmb10 è DISABLED o assente, il blocco è confermato.
NSI (Network Store Interface) e MRxSmb20 devono risultare presenti e avviabili.
bowser (Computer Browser) è storico: sui Windows recenti può non esistere; la sua assenza non è un problema.

Strategia di risoluzione

Ci sono due percorsi. Il percorso consigliato elimina la dipendenza da SMB1 e mantiene soltanto SMB 2/3. Il percorso alternativo riattiva temporaneamente SMB1 per far ripartire il servizio in ambienti con dispositivi legacy.

Passo	Azione	Perché
1	Apri un prompt o PowerShell come amministratore.	Servono privilegi elevati per modificare servizi, driver e registro.
2	Verifica dipendenze con `sc.exe qc` (vedi sopra).	Conferma che `MRxSmb10` sia la causa bloccante.
3A	Rimuovi SMB 1.0 e la relativa dipendenza (consigliato).	Riduci la superficie d’attacco e allinei il sistema a SMB 2/3.
3B	Riattiva SMB 1.0 in modo temporaneo (sconsigliato).	Consente un ripristino rapido su sistemi che richiedono ancora SMB1.

Percorso A — Rimozione definitiva di SMB 1.0 (consigliato)

Obiettivo: mantenere come dipendenze soltanto MRxSmb20 e NSI, disinstallare la feature SMB 1.0 e riavviare.

Imposta le dipendenze corrette del servizio Workstation

Hai due strade equivalenti. Opzione 1 con sc.exe:

sc.exe config lanmanworkstation depend= MRxSmb20/NSI

Nota: dopo depend= c’è uno spazio; separa più dipendenze con /. Verifica l’esito con sc.exe qc lanmanworkstation.

Opzione 2 tramite Registro di sistema (multi-stringa REGMULTISZ):

reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation" ^
  /v DependOnService /t REGMULTISZ /d "MRxSmb20\0NSI" /f

Controlla nuovamente:

reg query "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation" /v DependOnService

Disinstalla o disabilita SMB 1.0

Su Windows 10/11 e Server moderni:

PowerShell (client e server):
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart

DISM (alternativa):
dism /online /Disable-Feature /FeatureName\:SMB1Protocol

Su edizioni Server puoi incontrare ruoli/feature dedicate:

# Solo Windows Server
Uninstall-WindowsFeature FS-SMB1
E come best practice lato server:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

Importante: disinstallare SMB1 non impedisce l’uso di SMB 2/3. Non toccare MRxSmb20 né NSI.

Riavvia e verifica

shutdown /r /t 0

Dopo il riavvio:

sc.exe query lanmanworkstation
sc.exe query netlogon
Get-SmbConnection
nltest /sc_query:DOMINIO                :: se la macchina è in dominio

Se lanmanworkstation e netlogon risultano RUNNING e gli accessi SMB funzionano, la correzione è completa.

Percorso B — Riattivazione temporanea di SMB 1.0 (solo per legacy)

Usa questo percorso soltanto se devi ripristinare subito l’operatività e hai ancora device o software che parlano solo SMB1 (NAS molto datati, sistemi embedded, vecchie stampanti).

Imposta l’avvio del driver SMB1 (riattivazione).

sc.exe config mrxsmb10 start= auto
:: in alternativa:
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart
shutdown /r /t 0

Conferma il ripristino e pianifica la migrazione a SMB 2/3.

Avvertenze di sicurezza:

SMB1 espone a vulnerabilità note (ransomware, worm). Mantienilo attivo il minimo indispensabile.
Nei client Windows recenti, se SMB1 non viene usato, il sistema può rimuoverlo automaticamente dopo un periodo di inattività.
Proteggi la rete: limita la porta 445 alle reti fidate e segmenta i dispositivi legacy.

Verifiche post-intervento

Servizi: lanmanworkstation e netlogon in stato RUNNING.
Event Viewer: assenza di nuovi errori 7000/7001 su Service Control Manager.
Connettività SMB: Test-NetConnection nomeServer -Port 445 net use * \\nomeServer\share /USER:DOMINIO\utente Get-SmbConnection
Dominio (se applicabile): nltest /dsgetdc:DOMINIO nltest /sc_verify:DOMINIO

Casi particolari e errori comuni

NSI disabilitato o corrotto

Il servizio NSI è critico per lo stack di rete. Se risulta disabilitato o non avviabile, reimposta l’avvio su Automatic e considera un controllo integrità:

sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth

MRxSmb20 disabilitato

Verifica lo Start del driver:

sc.exe qc mrxsmb20
sc.exe config mrxsmb20 start= auto

Bowser mancante

Su Windows 10/11 bowser può non esistere: è normale e non blocca Workstation o Netlogon.

“The specified service does not exist as an installed service”

Se sc.exe qc mrxsmb10 restituisce 1060, il driver SMB1 non è presente: concentrati sul rimuovere la dipendenza da lanmanworkstation (Percorso A).

Servizi ancora in errore dopo il riavvio

Controlla antivirus/EDR che bloccano svchost, policy di hardening, o GPO che reimpostano dipendenze e feature. Esegui un clean boot per escludere conflitti di terze parti.

Considerazioni di sicurezza e conformità

Elimina SMB1 dove possibile: riduci i rischi senza impatto sulle funzionalità moderne.
Segmentazione: isola i dispositivi legacy su VLAN dedicate; filtra l’accesso alla porta 445.
Inventario: individua NAS, stampanti e applicazioni che usano ancora SMB1 e pianifica patch/firmware o upgrade con supporto SMB 2/3.
Audit periodico: usa script per verificare che lanmanworkstation dipenda solo da MRxSmb20 e NSI.

Automazione: correzione su più PC

Uno script PowerShell eseguibile tramite gestione remota/Intune/GPO può standardizzare la correzione:

$computers = @("PC01","PC02","PC03")  # elenco target
$script = {
  # Imposta dipendenze corrette
  sc.exe config lanmanworkstation depend= MRxSmb20/NSI | Out-Null
  # Disabilita feature SMB1 (client)
  Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart -ErrorAction SilentlyContinue
  # Conferme sintetiche
  $w = sc.exe qc lanmanworkstation
  $f = Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  [PSCustomObject]@{
    ComputerName = $env:COMPUTERNAME
    WorkstationDependencies = ($w -join " ") -match "DEPENDENCIES" 
    SMB1State = $f.State
  }
}
Invoke-Command -ComputerName $computers -ScriptBlock $script

Tip: programma un riavvio fuori orario di lavoro per applicare le modifiche senza interrompere gli utenti.

Domande frequenti

Devo riattivare SMB1 per accedere a un NAS molto vecchio?

Meglio di no: verifica se il produttore offre un aggiornamento che abilita SMB 2/3. In mancanza, valuta un gateway intermedio aggiornato o una migrazione dei dati. Se proprio necessario, riattiva SMB1 solo su una macchina di transito, isolata e monitorata.

Come capisco se un’app richiede davvero SMB1?

Osserva i log del client SMB (Event Viewer → Microsoft → Windows → SMBClient → Connectivity), esegui Get-SmbConnection e cattura tentativi di handshake con strumenti come netsh trace. Se la destinazione non accetta SMB 2/3, vedrai negoziazioni fallite o downgrade.

Posso usare solo PowerShell senza toccare il Registro?

Sì: il comando sc.exe config lanmanworkstation depend= MRxSmb20/NSI è sufficiente per aggiornare le dipendenze, e Disable-WindowsOptionalFeature rimuove SMB1.

Vale anche per Windows Server?

Sì. Su Server usa preferibilmente Uninstall-WindowsFeature FS-SMB1 per eliminare la feature lato server. Il principio per lanmanworkstation comunque resta lo stesso.

Checklist rapida

Apri una console elevata.
Esegui sc.exe qc lanmanworkstation e conferma la presenza di MRxSmb10 tra le dipendenze.
Imposta depend= MRxSmb20/NSI per lanmanworkstation.
Disinstalla/disabilita la feature SMB1Protocol.
Riavvia il sistema.
Verifica servizi, share SMB e (se in dominio) il canale sicuro di Netlogon.

Appendice: comandi riassuntivi da copiare

Percorso A — Sicuro e consigliato

:: Dipendenze corrette
sc.exe config lanmanworkstation depend= MRxSmb20/NSI

\:: Disabilita SMB1 (client)
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart
\:: oppure
dism /online /Disable-Feature /FeatureName\:SMB1Protocol

\:: Riavvio
shutdown /r /t 0

\:: Verifica
sc.exe query lanmanworkstation
sc.exe query netlogon
Get-SmbConnection

Percorso B — Temporaneo (legacy)

:: Riattiva SMB1 (sconsigliato)
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart
sc.exe config mrxsmb10 start= auto
shutdown /r /t 0

\:: Verifica e pianifica migrazione a SMB 2/3
Get-SmbClientConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

In sintesi

Il blocco di Netlogon o Workstation nasce quasi sempre da una dipendenza obsoleta verso mrxsmb10. La soluzione più solida è eliminare tale dipendenza e standardizzare su SMB 2/3 (MRxSmb20 + NSI). Solo dove vincoli legacy lo impongono, puoi riattivare temporaneamente SMB 1.0, proteggendo però il perimetro e pianificando rapidamente la dismissione.

Osservazioni chiave

SMB 1.0 è insicuro: abilitalo soltanto come ultima risorsa e per il tempo strettamente necessario.
Dalle versioni moderne di Windows, Netlogon e Workstation funzionano nativamente con SMB 2/3.
Dopo la rimozione di SMB1, testa i dispositivi legacy (NAS, stampanti, sistemi embedded) e valuta patch o aggiornamenti che abilitino SMB 2/3.

Con questa procedura hai una traccia completa: diagnosi, correzione e sicurezza, pronta per essere applicata sia su singole macchine che in ambienti enterprise.