Dopo l’aggiornamento a Windows 11 24H2, i PC appaiono “Offline” nel Dashboard di Windows Server 2016 Essentials: un problema noto che si risolve correggendo i tipi di cifratura Kerberos tramite GPO e riallineando i client. In questa guida trovi diagnosi, fix e procedure operative.
Scenario e sintomi
In ambienti con Windows Server 2016 Essentials (o Windows Server 2016 Standard con ruolo Essentials), l’aggiornamento automatico dei client a Windows 11 24H2 può innescare una serie di anomalie:
- I PC risultano Offline nel riquadro Devices del Dashboard Essentials.
- Su ciascun client la connettività SMB verso il server appare funzionante e le cartelle condivise sono raggiungibili, ma in Esplora file ▸ Rete non compaiono più gli altri computer.
- Nuovi dispositivi già su 24H2 non riescono a unirsi al dominio tramite il connettore Essentials (join incompleto o fallito).
- Il rollback manuale dei client a 23H2 ripristina la situazione, ma non è sostenibile a lungo.
Perché succede: la radice Kerberos
Il comportamento è riconducibile a una policy di sicurezza Kerberos non applicata (o applicata con valori incompatibili) lato client. Con Windows 11 24H2 la negoziazione delle cifrature Kerberos diventa più stringente: se i client non dichiarano esplicitamente il set di algoritmi supportati, l’autenticazione con il dominio può degradare o fallire. Risultato pratico:
- Essentials non “vede” più correttamente i PC, quindi li marca Offline nel Dashboard.
- Il connettore Essentials non riesce a completare il join, innescando errori o mezze configurazioni.
- La scoperta in rete diventa intermittente perché varie operazioni (enumerazioni, condivisioni, servizi pubblicati) si appoggiano a sessioni autenticate che non si stabiliscono in modo affidabile.
Diagnosi rapida
Prima di intervenire, verifica che il problema sia effettivamente Kerberos/GPO.
Controlli lato client
- Registro – Il valore non è sempre presente se nessuna policy è mai stata applicata:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters DWORD SupportedEncryptionTypes = 0x7FFFFFFC
- Event Viewer – Cerca eventi Kerberos indicativi:
- Event ID 16, 27 (Kerberos-Key-Distribution-Center / Kerberos-Client): negoziazioni e fallimenti.
- Event ID 4768 (Authentication Ticket Request): verifica gli algoritmi negoziati dopo la correzione.
- Comandi utili:
klist tickets klist get krbtgt gpresult /r /scope:computer nltest /sc_verify:<dominio> Test-NetConnection -ComputerName <DC o server Essentials> -Port 88 reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v SupportedEncryptionTypes
Controlli lato server
- Dashboard Essentials: stato dei Devices, errori durante l’assegnazione dei criteri o backup.
- Eventi su DC/Essentials relativi a Kerberos, autenticazioni e accessi di rete dai client 24H2.
La soluzione definitiva (GPO + riallineamento client)
La correzione consiste nel dichiarare e forzare i tipi di cifratura Kerberos ammessi sui client Windows 11 24H2, quindi riallineare il connettore Essentials quando necessario.
Impostazione della GPO
- Apri la Group Policy Management Console (
gpmc.msc
) sul domain controller. - Crea (o modifica) una GPO destinata ai Computer Windows 11.
- Vai in:
Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options. - Apri la voce Network Security: Configure encryption types allowed for Kerberos e impostala su Enabled selezionando:
- RC4HMACMD5
- AES128HMACSHA1
- AES256HMACSHA1
- Future encryption types
- Collega la GPO all’OU che contiene i computer interessati (non solo gli utenti).
- Assicurati che non ci siano GPO conflittuali con valore diverso o “Not Defined”.
Verifica/forzatura del registro sul client
La policy applicata deve riflettersi in questo valore. In sua assenza, puoi impostarlo in modo controllato (ad es. durante un test pilota):
Chiave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Valore: SupportedEncryptionTypes (DWORD)
Dati: 0x7FFFFFFC (tutte le cifrature moderne, esclusi DES/legacy)
Perché 0x7FFFFFFC? È una maschera che abilita i tipi moderni (RC4, AES128, AES256 e futuri) e esclude i vecchi DES insicuri. Così eviti regressioni, garantendo compatibilità con vari ruoli/servizi, incluso Essentials.
Procedura lato client (join + connettore)
- Disinstalla il connettore Essentials dal Pannello di controllo.
- Esci dal dominio e torna temporaneamente in Workgroup.
- Applica/aggiorna la GPO (o imposta il registro come sopra), quindi riavvia.
- Esegui
gpupdate /force
eklist purge
(facoltativo) per assicurarti che i criteri siano attivi e i ticket rigenerati. - Aggiorna a Windows 11 24H2 (se non lo hai già fatto).
- Reinstalla il connettore Essentials ed esegui nuovamente il join al dominio.
- Verifica: il client torna Online nel Dashboard, la scoperta rete ricompare e i servizi Essentials riprendono a funzionare.
Workaround temporanei (e perché non bastano)
- IP statici / reset rete / aggiornamento driver NIC / tweaks DHCP: possono attenuare sintomi isolati, ma non affrontano la negoziazione Kerberos e non stabilizzano l’ambiente.
- Abilitare gli “insecure guest logons”: sconsigliato. Espone i client a rischi e non risolve la radice del problema.
- Rollback a 23H2: ripristina il funzionamento ma è una toppa costosa e non scalabile.
- Livello funzionale: con Domain Functional Level Windows Server 2016 non servono modifiche.
Checklist operativa di distribuzione
Fase | Attività | Strumento/Comando | Esito atteso |
---|---|---|---|
Pre | Inventario client 24H2/23H2 | AD, CMDB, PowerShell | Elenco target accurato |
Pre | Creazione GPO Kerberos | gpmc.msc | Policy linkata alle OU dei computer |
Pre | Test pilota (2‑3 PC) | gpresult, klist, Event Viewer | Negoziati AES/RC4 stabili |
Change | Rollout GPO a tutto il parco | GPMC, forzatura GP | Valore registro 0x7FFFFFFC presente |
Change | Riallineo connettore Essentials | Unjoin/Join + reinstall connettore | Client Online nel Dashboard |
Post | Monitoraggio eventi Kerberos | Event ID 16/27/4768 | Ticket con cifrature corrette |
Script e comandi pronti all’uso
Impostare il registro localmente (PowerShell, eseguito come amministratore)
$key = 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters'
New-Item -Path $key -Force | Out-Null
New-ItemProperty -Path $key -Name 'SupportedEncryptionTypes' -PropertyType DWord -Value 0x7FFFFFFC -Force | Out-Null
Write-Host 'SupportedEncryptionTypes impostato a 0x7FFFFFFC. Riavvia il PC e applica gpupdate /force.'
Verifica rapida su più PC (remoting abilitato)
$computers = @('PC01','PC02','PC03') # sostituisci
Invoke-Command -ComputerName $computers -ScriptBlock {
$p = 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters'
$v = (Get-ItemProperty -Path $p -Name 'SupportedEncryptionTypes' -ErrorAction SilentlyContinue).SupportedEncryptionTypes
[pscustomobject]@{
Computer = $env:COMPUTERNAME
SupportedEncryptionTypes = ('0x{0:X8}' -f ($v -as [int]))
}
}
Conferma applicazione GPO e ticket Kerberos
gpresult /r /scope:computer
gpupdate /force
klist purge
klist get krbtgt
klist tickets
Domande frequenti
Perché con 23H2 funzionava?
Perché la combinazione di default, patch e policy pregresse tollerava più scenari di negoziazione. Con 24H2 serve una dichiarazione chiara dei tipi di cifratura ammessi sul client, altrimenti il flusso Kerberos può interrompersi o degradare.
È sicuro abilitare anche RC4?
RC4 è meno robusto di AES, ma in ambienti misti (ruoli e software legacy) mantiene compatibilità connessa a Essentials. Non abilitare DES. Se la tua infrastruttura è pienamente moderna, potrai valutare in seguito di disabilitare RC4 dopo un assessment completo.
Serve toccare il livello funzionale del dominio?
No: con Windows Server 2016 come Domain Functional Level non sono richieste modifiche. Il problema è lato client/policy.
Il problema riguarda solo Essentials?
La casistica si manifesta in modo evidente con il Dashboard Essentials (che espone lo stato Online/Offline), ma la causa è la negoziazione Kerberos: può riflettersi anche su join dominio e découverte rete in altri contesti.
La rete è ok, perché “Rete” di Esplora file è vuota?
Molte operazioni di enumerazione e accesso alle risorse di rete richiedono sessioni autenticate; se Kerberos non negozia correttamente, la risoluzione/scoperta può apparire vuota o “a scatti”. Sistemando la policy Kerberos, la visibilità torna stabile.
Percorso dettagliato della policy
Riepilogo preciso del percorso e della voce da configurare:
- Percorso: Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options
- Voce: Network Security: Configure encryption types allowed for Kerberos
- Impostazioni: Enabled con RC4HMACMD5, AES128HMACSHA1, AES256HMACSHA1, Future encryption types
Bitmask e valore di registro
Il valore SupportedEncryptionTypes
governa i bit di cifratura permessi. Con 0x7FFFFFFC
abiliti tutti i tipi moderni ed escludi i due bit meno significativi associati ai vecchi DES. È un’impostazione sana e compatibile nei domini attuali e mitiga differenze tra build di Windows 11.
Verifiche post-fix
- Il client compare come Online nel Dashboard Essentials entro pochi minuti.
klist tickets
mostra ticket TGT e TGS con cifratura AES/RC4.- Event ID 16/27/4768 cessano di segnalare negoziazioni fallite.
net view \<server>
e l’elenco Rete in Esplora file tornano a popolare stabilmente.
Strategia di rollout consigliata
- Pilota: applica la GPO a 2‑3 PC rappresentativi (modello, NIC, profilo utente) e monitora per 48 ore.
- Documenta il valore
SupportedEncryptionTypes
nel tuo baseline GPO (computer) e nelle checklist di onboarding. - Monitora i log Kerberos e lo stato dei dispositivi nel Dashboard per la prima settimana.
- Forma il service desk su sintomi, fix e comandi di verifica (la tabella in questa pagina è un buon “prontuario”).
Tabella “prontuario” comandi
Obiettivo | Comando | Note |
---|---|---|
Aggiornare criteri | gpupdate /force | Forza l’applicazione della GPO lato computer e utente |
Verificare GPO applicate | gpresult /r /scope:computer | Controlla che la GPO Kerberos sia elencata |
Azzerare e rinnovare ticket | klist purge → klist get krbtgt | Utile dopo aver cambiato la policy |
Controllo porta KDC | Test-NetConnection -ComputerName <DC> -Port 88 | Verifica raggiungibilità del KDC |
Valore registro | reg query ... SupportedEncryptionTypes | Conferma che sia impostato a 0x7FFFFFFC |
Rischi, compatibilità e buone pratiche
- Non abilitare DES: è obsoleto e insicuro; non serve per Essentials 2016.
- Non disattivare Kerberos né forzare l’uso guest/anonimo: riduce la sicurezza e non risolve l’origine.
- Ordine GPO: assicurati che nessuna policy successiva sovrascriva la voce Kerberos.
- Cache: talvolta è necessario sia un riavvio sia
gpupdate /force
per rendere effettive le modifiche. - Essentials Connector: quando il join è stato eseguito con parametri errati, il re‑join pulito è la via più rapida per stabilizzare.
Risultato finale atteso
Con la GPO corretta e i client riallineati:
- I dispositivi Windows 11 24H2 restano stabili e Online nel Dashboard di Windows Server 2016 Essentials.
- Il join di nuove macchine tramite connettore va a buon fine al primo colpo.
- La scoperta in rete e l’accesso alle risorse condivise tornano coerenti e prevedibili.
Appendice: procedura completa in sintesi
- Imposta la GPO: Network Security: Configure encryption types allowed for Kerberos → Enabled con RC4/AES128/AES256/Future.
- Verifica/forza
SupportedEncryptionTypes = 0x7FFFFFFC
sui client. - Su ogni PC problematico: disinstalla connettore → esci dal dominio → riavvia →
gpupdate /force
→ aggiorna a 24H2 (se serve) → reinstalla connettore e rifai il join. - Monitora Event Viewer (ID 16, 27, 4768) per confermare cifrature corrette.
- Documenta nei baseline GPO per prevenire regressioni in 25H1 e successivi.
Conclusioni
Il segnale “Offline” nel Dashboard Essentials dopo l’upgrade a Windows 11 24H2 non dipende da problemi di rete in senso stretto: è una questione di negoziazione Kerberos fra client e dominio. Allineando la GPO di sicurezza e, quando necessario, ricostruendo il join tramite il connettore Essentials, si ottiene un ripristino completo e duraturo senza dover ricorrere al rollback a 23H2. Integra la modifica nel tuo baseline, esegui un pilota controllato e monitora gli eventi Kerberos per garantire che le cifrature effettive siano AES/RC4. Con questo approccio, i client 24H2 restano pienamente integrati nel dominio e visibili nel Dashboard.
Riferimenti sintetici
- Policy: Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options → Network Security: Configure encryption types allowed for Kerberos
- Registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
→SupportedEncryptionTypes = 0x7FFFFFFC
- Eventi: Kerberos ID 16, 27, 4768
Seguendo questa guida potrai mantenere i client su Windows 11 24H2 e ripristinare la piena integrazione con Windows Server 2016 Essentials, eliminando lo stato Offline nel Dashboard.