Windows 11 24H2: client Offline nel Dashboard di Windows Server 2016 Essentials – fix Kerberos via GPO

Dopo l’aggiornamento a Windows 11 24H2, i PC appaiono “Offline” nel Dashboard di Windows Server 2016 Essentials: un problema noto che si risolve correggendo i tipi di cifratura Kerberos tramite GPO e riallineando i client. In questa guida trovi diagnosi, fix e procedure operative.

Indice

Scenario e sintomi

In ambienti con Windows Server 2016 Essentials (o Windows Server 2016 Standard con ruolo Essentials), l’aggiornamento automatico dei client a Windows 11 24H2 può innescare una serie di anomalie:

  • I PC risultano Offline nel riquadro Devices del Dashboard Essentials.
  • Su ciascun client la connettività SMB verso il server appare funzionante e le cartelle condivise sono raggiungibili, ma in Esplora file ▸ Rete non compaiono più gli altri computer.
  • Nuovi dispositivi già su 24H2 non riescono a unirsi al dominio tramite il connettore Essentials (join incompleto o fallito).
  • Il rollback manuale dei client a 23H2 ripristina la situazione, ma non è sostenibile a lungo.

Perché succede: la radice Kerberos

Il comportamento è riconducibile a una policy di sicurezza Kerberos non applicata (o applicata con valori incompatibili) lato client. Con Windows 11 24H2 la negoziazione delle cifrature Kerberos diventa più stringente: se i client non dichiarano esplicitamente il set di algoritmi supportati, l’autenticazione con il dominio può degradare o fallire. Risultato pratico:

  • Essentials non “vede” più correttamente i PC, quindi li marca Offline nel Dashboard.
  • Il connettore Essentials non riesce a completare il join, innescando errori o mezze configurazioni.
  • La scoperta in rete diventa intermittente perché varie operazioni (enumerazioni, condivisioni, servizi pubblicati) si appoggiano a sessioni autenticate che non si stabiliscono in modo affidabile.

Diagnosi rapida

Prima di intervenire, verifica che il problema sia effettivamente Kerberos/GPO.

Controlli lato client

  • Registro – Il valore non è sempre presente se nessuna policy è mai stata applicata: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters DWORD SupportedEncryptionTypes = 0x7FFFFFFC
  • Event Viewer – Cerca eventi Kerberos indicativi:
    • Event ID 16, 27 (Kerberos-Key-Distribution-Center / Kerberos-Client): negoziazioni e fallimenti.
    • Event ID 4768 (Authentication Ticket Request): verifica gli algoritmi negoziati dopo la correzione.
  • Comandi utili: klist tickets klist get krbtgt gpresult /r /scope:computer nltest /sc_verify:<dominio> Test-NetConnection -ComputerName <DC o server Essentials> -Port 88 reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v SupportedEncryptionTypes

Controlli lato server

  • Dashboard Essentials: stato dei Devices, errori durante l’assegnazione dei criteri o backup.
  • Eventi su DC/Essentials relativi a Kerberos, autenticazioni e accessi di rete dai client 24H2.

La soluzione definitiva (GPO + riallineamento client)

La correzione consiste nel dichiarare e forzare i tipi di cifratura Kerberos ammessi sui client Windows 11 24H2, quindi riallineare il connettore Essentials quando necessario.

Impostazione della GPO

  1. Apri la Group Policy Management Console (gpmc.msc) sul domain controller.
  2. Crea (o modifica) una GPO destinata ai Computer Windows 11.
  3. Vai in:
    Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options.
  4. Apri la voce Network Security: Configure encryption types allowed for Kerberos e impostala su Enabled selezionando:
    • RC4HMACMD5
    • AES128HMACSHA1
    • AES256HMACSHA1
    • Future encryption types
  5. Collega la GPO all’OU che contiene i computer interessati (non solo gli utenti).
  6. Assicurati che non ci siano GPO conflittuali con valore diverso o “Not Defined”.

Verifica/forzatura del registro sul client

La policy applicata deve riflettersi in questo valore. In sua assenza, puoi impostarlo in modo controllato (ad es. durante un test pilota):

Chiave:   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Valore:   SupportedEncryptionTypes (DWORD)
Dati:     0x7FFFFFFC  (tutte le cifrature moderne, esclusi DES/legacy)

Perché 0x7FFFFFFC? È una maschera che abilita i tipi moderni (RC4, AES128, AES256 e futuri) e esclude i vecchi DES insicuri. Così eviti regressioni, garantendo compatibilità con vari ruoli/servizi, incluso Essentials.

Procedura lato client (join + connettore)

  1. Disinstalla il connettore Essentials dal Pannello di controllo.
  2. Esci dal dominio e torna temporaneamente in Workgroup.
  3. Applica/aggiorna la GPO (o imposta il registro come sopra), quindi riavvia.
  4. Esegui gpupdate /force e klist purge (facoltativo) per assicurarti che i criteri siano attivi e i ticket rigenerati.
  5. Aggiorna a Windows 11 24H2 (se non lo hai già fatto).
  6. Reinstalla il connettore Essentials ed esegui nuovamente il join al dominio.
  7. Verifica: il client torna Online nel Dashboard, la scoperta rete ricompare e i servizi Essentials riprendono a funzionare.

Workaround temporanei (e perché non bastano)

  • IP statici / reset rete / aggiornamento driver NIC / tweaks DHCP: possono attenuare sintomi isolati, ma non affrontano la negoziazione Kerberos e non stabilizzano l’ambiente.
  • Abilitare gli “insecure guest logons”: sconsigliato. Espone i client a rischi e non risolve la radice del problema.
  • Rollback a 23H2: ripristina il funzionamento ma è una toppa costosa e non scalabile.
  • Livello funzionale: con Domain Functional Level Windows Server 2016 non servono modifiche.

Checklist operativa di distribuzione

FaseAttivitàStrumento/ComandoEsito atteso
PreInventario client 24H2/23H2AD, CMDB, PowerShellElenco target accurato
PreCreazione GPO Kerberosgpmc.mscPolicy linkata alle OU dei computer
PreTest pilota (2‑3 PC)gpresult, klist, Event ViewerNegoziati AES/RC4 stabili
ChangeRollout GPO a tutto il parcoGPMC, forzatura GPValore registro 0x7FFFFFFC presente
ChangeRiallineo connettore EssentialsUnjoin/Join + reinstall connettoreClient Online nel Dashboard
PostMonitoraggio eventi KerberosEvent ID 16/27/4768Ticket con cifrature corrette

Script e comandi pronti all’uso

Impostare il registro localmente (PowerShell, eseguito come amministratore)

$key = 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters'
New-Item -Path $key -Force | Out-Null
New-ItemProperty -Path $key -Name 'SupportedEncryptionTypes' -PropertyType DWord -Value 0x7FFFFFFC -Force | Out-Null
Write-Host 'SupportedEncryptionTypes impostato a 0x7FFFFFFC. Riavvia il PC e applica gpupdate /force.'

Verifica rapida su più PC (remoting abilitato)

$computers = @('PC01','PC02','PC03')  # sostituisci
Invoke-Command -ComputerName $computers -ScriptBlock {
  $p = 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters'
  $v = (Get-ItemProperty -Path $p -Name 'SupportedEncryptionTypes' -ErrorAction SilentlyContinue).SupportedEncryptionTypes
  [pscustomobject]@{
    Computer = $env:COMPUTERNAME
    SupportedEncryptionTypes = ('0x{0:X8}' -f ($v -as [int]))
  }
}

Conferma applicazione GPO e ticket Kerberos

gpresult /r /scope:computer
gpupdate /force
klist purge
klist get krbtgt
klist tickets

Domande frequenti

Perché con 23H2 funzionava?

Perché la combinazione di default, patch e policy pregresse tollerava più scenari di negoziazione. Con 24H2 serve una dichiarazione chiara dei tipi di cifratura ammessi sul client, altrimenti il flusso Kerberos può interrompersi o degradare.

È sicuro abilitare anche RC4?

RC4 è meno robusto di AES, ma in ambienti misti (ruoli e software legacy) mantiene compatibilità connessa a Essentials. Non abilitare DES. Se la tua infrastruttura è pienamente moderna, potrai valutare in seguito di disabilitare RC4 dopo un assessment completo.

Serve toccare il livello funzionale del dominio?

No: con Windows Server 2016 come Domain Functional Level non sono richieste modifiche. Il problema è lato client/policy.

Il problema riguarda solo Essentials?

La casistica si manifesta in modo evidente con il Dashboard Essentials (che espone lo stato Online/Offline), ma la causa è la negoziazione Kerberos: può riflettersi anche su join dominio e découverte rete in altri contesti.

La rete è ok, perché “Rete” di Esplora file è vuota?

Molte operazioni di enumerazione e accesso alle risorse di rete richiedono sessioni autenticate; se Kerberos non negozia correttamente, la risoluzione/scoperta può apparire vuota o “a scatti”. Sistemando la policy Kerberos, la visibilità torna stabile.

Percorso dettagliato della policy

Riepilogo preciso del percorso e della voce da configurare:

  • Percorso: Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options
  • Voce: Network Security: Configure encryption types allowed for Kerberos
  • Impostazioni: Enabled con RC4HMACMD5, AES128HMACSHA1, AES256HMACSHA1, Future encryption types

Bitmask e valore di registro

Il valore SupportedEncryptionTypes governa i bit di cifratura permessi. Con 0x7FFFFFFC abiliti tutti i tipi moderni ed escludi i due bit meno significativi associati ai vecchi DES. È un’impostazione sana e compatibile nei domini attuali e mitiga differenze tra build di Windows 11.

Verifiche post-fix

  • Il client compare come Online nel Dashboard Essentials entro pochi minuti.
  • klist tickets mostra ticket TGT e TGS con cifratura AES/RC4.
  • Event ID 16/27/4768 cessano di segnalare negoziazioni fallite.
  • net view \<server> e l’elenco Rete in Esplora file tornano a popolare stabilmente.

Strategia di rollout consigliata

  1. Pilota: applica la GPO a 2‑3 PC rappresentativi (modello, NIC, profilo utente) e monitora per 48 ore.
  2. Documenta il valore SupportedEncryptionTypes nel tuo baseline GPO (computer) e nelle checklist di onboarding.
  3. Monitora i log Kerberos e lo stato dei dispositivi nel Dashboard per la prima settimana.
  4. Forma il service desk su sintomi, fix e comandi di verifica (la tabella in questa pagina è un buon “prontuario”).

Tabella “prontuario” comandi

ObiettivoComandoNote
Aggiornare criterigpupdate /forceForza l’applicazione della GPO lato computer e utente
Verificare GPO applicategpresult /r /scope:computerControlla che la GPO Kerberos sia elencata
Azzerare e rinnovare ticketklist purgeklist get krbtgtUtile dopo aver cambiato la policy
Controllo porta KDCTest-NetConnection -ComputerName <DC> -Port 88Verifica raggiungibilità del KDC
Valore registroreg query ... SupportedEncryptionTypesConferma che sia impostato a 0x7FFFFFFC

Rischi, compatibilità e buone pratiche

  • Non abilitare DES: è obsoleto e insicuro; non serve per Essentials 2016.
  • Non disattivare Kerberos né forzare l’uso guest/anonimo: riduce la sicurezza e non risolve l’origine.
  • Ordine GPO: assicurati che nessuna policy successiva sovrascriva la voce Kerberos.
  • Cache: talvolta è necessario sia un riavvio sia gpupdate /force per rendere effettive le modifiche.
  • Essentials Connector: quando il join è stato eseguito con parametri errati, il re‑join pulito è la via più rapida per stabilizzare.

Risultato finale atteso

Con la GPO corretta e i client riallineati:

  • I dispositivi Windows 11 24H2 restano stabili e Online nel Dashboard di Windows Server 2016 Essentials.
  • Il join di nuove macchine tramite connettore va a buon fine al primo colpo.
  • La scoperta in rete e l’accesso alle risorse condivise tornano coerenti e prevedibili.

Appendice: procedura completa in sintesi

  1. Imposta la GPO: Network Security: Configure encryption types allowed for KerberosEnabled con RC4/AES128/AES256/Future.
  2. Verifica/forza SupportedEncryptionTypes = 0x7FFFFFFC sui client.
  3. Su ogni PC problematico: disinstalla connettore → esci dal dominio → riavvia → gpupdate /force → aggiorna a 24H2 (se serve) → reinstalla connettore e rifai il join.
  4. Monitora Event Viewer (ID 16, 27, 4768) per confermare cifrature corrette.
  5. Documenta nei baseline GPO per prevenire regressioni in 25H1 e successivi.

Conclusioni

Il segnale “Offline” nel Dashboard Essentials dopo l’upgrade a Windows 11 24H2 non dipende da problemi di rete in senso stretto: è una questione di negoziazione Kerberos fra client e dominio. Allineando la GPO di sicurezza e, quando necessario, ricostruendo il join tramite il connettore Essentials, si ottiene un ripristino completo e duraturo senza dover ricorrere al rollback a 23H2. Integra la modifica nel tuo baseline, esegui un pilota controllato e monitora gli eventi Kerberos per garantire che le cifrature effettive siano AES/RC4. Con questo approccio, i client 24H2 restano pienamente integrati nel dominio e visibili nel Dashboard.


Riferimenti sintetici

  • Policy: Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options → Network Security: Configure encryption types allowed for Kerberos
  • Registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\ParametersSupportedEncryptionTypes = 0x7FFFFFFC
  • Eventi: Kerberos ID 16, 27, 4768

Seguendo questa guida potrai mantenere i client su Windows 11 24H2 e ripristinare la piena integrazione con Windows Server 2016 Essentials, eliminando lo stato Offline nel Dashboard.

Indice