Assicurarsi che i gruppi di protezione e i gruppi gestiti dal Gateway Servizi terminal siano configurati correttamente

Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TSGateway.EventCollection.563.564.565 (Rule)

Knowledge Base article:

Soluzioni

Per risolvere questo problema, effettuare le operazioni seguenti:

Assicurarsi che i gruppi di protezione ed eventualmente i gruppi gestiti da Gateway Servizi terminal siano configurati correttamente controllando le impostazioni dei gruppi di protezione e dei gruppi di computer gestiti da Gateway Servizi terminal nel criterio di autorizzazione risorse Servizi terminal.
Se il problema persiste, assicurarsi che le autorizzazioni necessarie siano concesse al file rap.xml.
Se il problema persiste, assicurarsi che sia stato impostato il valore corretto e che le autorizzazioni necessarie siano concesse per la chiave del Registro di sistema RAPStore.

Controllare le impostazioni dei gruppi di protezione e dei gruppi di computer gestiti da Gateway Servizi terminal nel criterio di autorizzazione risorse Servizi terminal

Nota: oltre a soddisfare i requisiti del criterio di autorizzazione risorse Servizi terminal, è necessario che gli utenti client dispongano del diritto di accesso in locale al computer al quale tentano di connettersi.

Per eseguire questa procedura, è necessario appartenere al gruppo Administrators locale oppure avere ricevuto in delega l'autorità appropriata.

Per controllare le impostazioni dei gruppi di protezione e dei gruppi di computer gestiti da Gateway Servizi terminal nel criterio di autorizzazione risorse Servizi terminal:

Aprire Gestione Gateway Servizi terminal. Per aprire Gestione Gateway Servizi terminal, fare clic sul pulsante Start, scegliere Strumenti di amministrazione, Servizi terminal, quindi fare clic su Gestione gateway di Servizi terminal.
Nell'albero della console di Gestione Gateway Servizi terminal selezionare il nodo che rappresenta il server Gateway Servizi terminal locale, il cui nome è basato sul computer che esegue il server Gateway Servizi terminal.
Nell'albero della console espandere Criteri, quindi fare clic su Criteri di autorizzazione delle risorse.
Nel riquadro dei risultati, fare clic con il pulsante destro del mouse sul criterio di autorizzazione risorse Servizi Terminal da controllare nell'apposito elenco, quindi scegliere Proprietà.
Nella scheda Gruppo di computer verificare se l'opzione Consenti agli utenti di connettersi a qualsiasi risorsa di rete è selezionata. In tal caso, passare alla procedura "Assicurarsi che le autorizzazioni necessarie siano concesse al file rap.xml" più avanti in questo argomento. In caso contrario, effettuare una delle operazioni seguenti:
Se l'opzione Seleziona gruppo di protezione di Active Directory esistente è selezionata, annotare il nome del gruppo di protezione per poter verificare che il gruppo di protezione specificato sia presente nei Servizi di dominio Active Directory o in Utenti e computer locali. Controllare quindi che l'account computer al quale tenta di connettersi il client sia membro di tale gruppo.
Se l'opzione Seleziona gruppo di computer gestito dal gateway di Servizi terminal esistente o crearne uno nuovo è selezionata, assicurarsi che il nome del gruppo di computer gestito da Gateway Servizi terminal sia corretto e che i computer di questo gruppo esistano e possano essere contattati sulla rete.
Scegliere OK per chiudere la finestra di dialogo Proprietà per il criterio di autorizzazione risorse di Servizi terminal.
Se viene specificato un gruppo di protezione errato o se il gruppo di computer gestito da Gateway Servizi terminal non è configurato correttamente, modificare le impostazioni del criterio di autorizzazione risorse Servizi terminal esistente o crearne uno nuovo. Per informazioni sulla creazione di un criterio di autorizzazione risorse Servizi terminal, vedere "Creare un criterio di autorizzazione delle risorse di Servizi terminal" nella Guida di Gestione Gateway Servizi terminal nella Raccolta di documentazione tecnica su Windows Server 2008 all'indirizzo http://go.microsoft.com/fwlink/?LinkId=102170 (le informazioni potrebbero essere in lingua inglese).

L'esecuzione di queste procedure non richiede l'appartenenza al gruppo Administrators locale. Come procedura consigliata per la protezione eseguire queste attività come utente senza credenziali amministrative.

Verificare che il gruppo di protezione di Active Directory specificato nel criterio di autorizzazione risorse Servizi terminal esista e controllare l'appartenenza dell'account client a tale gruppo

Per verificare che il gruppo di protezione di Active Directory specificato nei criteri di autorizzazione risorse Servizi terminal esista:

In un computer che esegue Utenti e computer di Active Directory, fare clic sul pulsante Start, scegliere Esegui, digitare dsa.msc, quindi scegliere OK.
Nell'albero della console espandere Utenti e computer di Active Directory/NodoDominio/, dove NodoDominio è il dominio al quale appartiene il gruppo di protezione.
Fare clic con il pulsante destro del mouse sul dominio, quindi scegliere Trova. Nella finestra di dialogo Trovare utenti, contatti e gruppi, digitare il nome del gruppo di protezione specificato nei criteri di autorizzazione risorse Servizi terminal, quindi fare clic su Trova.
Se il gruppo esiste, verrà visualizzato nei risultati della ricerca.
Chiudere la finestra di dialogo Trovare utenti, contatti e gruppi.

Per verificare l'appartenenza dell'account client a questo gruppo di protezione:

In un computer che esegue Utenti e computer di Active Directory, fare clic sul pulsante Start, scegliere Esegui, digitare dsa.msc, quindi scegliere OK.
Nell'albero della console espandere Utenti e computer di Active Directory/NodoDominio/Computers, dove NodoDominio è il dominio al quale appartiene il computer a cui il client tenta di connettersi.
Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul nome del computer, quindi scegliere Proprietà.
Nella scheda Membro di verificare che uno dei gruppi elencati corrisponda a uno dei gruppi specificati nei criteri di autorizzazione risorse Servizi terminal.

Verificare che il gruppo di protezione locale specificato nei criteri di autorizzazione risorse Servizi terminal esista e controllare l'appartenenza dell'account client a tale gruppo

Per verificare che il gruppo di protezione locale specificato nei criteri di autorizzazione risorse Servizi terminal esista e controllare l'appartenenza dell'account client a tale gruppo:

Nel server Gateway Servizi terminal aprire Gestione computer. Per aprire Gestione computer fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi Gestione computer.
Nell'albero della console espandere Utenti e gruppi locali, quindi fare clic su Gruppi.
Nel riquadro dei risultati individuare il gruppo di protezione locale che contiene i computer ai quali il client può accedere tramite il server Gateway Servizi terminal (nel nome del gruppo o nella descrizione deve essere indicato se il gruppo è stato creato a tale scopo).
Fare clic con il pulsante destro del mouse sul nome del gruppo, quindi scegliere Proprietà.
Nella scheda Generale della finestra di dialogo Proprietà per il gruppo, verificare che l'account utente sia membro di questo gruppo e che il gruppo sia presente tra i gruppi specificati nei criteri di autorizzazione risorse Servizi terminal.
Scegliere OK.

Se questa operazione non consente di risolvere il problema, assicurarsi che le autorizzazioni corrette siano concesse al file rap.xml.

Assicurarsi che le autorizzazioni necessarie siano concesse al file rap.xml

Per eseguire questa procedura, è necessario appartenere al gruppo Administrators locale oppure avere ricevuto in delega l'autorità appropriata.

Per assicurarsi che le autorizzazioni necessarie siano concesse al file rap.xml:

Nel server Gateway Servizi terminal, passare a %Windir%\System32\tsgateway\rap.xml, dove% Windir% è l'unità nella quale viene installato il sistema operativo.
Fare clic con il pulsante destro del mouse su rap.xml.
Nella finestra di dialogo Proprietà di rap.xml fare clic sulla scheda Protezione.
Fare clic su Modifica, quindi effettuare le operazioni seguenti:
Nella finestra di dialogo Autorizzazioni per rap, in Utenti e gruppi fare clic su SYSTEM. In Autorizzazioni per SYSTEM, se l'autorizzazione Controllo completo non è consentita, selezionare la casella di controllo Consenti accanto a Controllo completo.
In Utenti e gruppi fare clic su Administrators. In Autorizzazioni per Administrators, se l'autorizzazione Controllo completo non è consentita, selezionare la casella di controllo Consenti accanto a Controllo completo.
In Utenti e gruppi fare clic su Users. In Autorizzazioni per Users, se le autorizzazioni Lettura/esecuzione e Lettura non sono consentite, selezionare la casella di controllo Consenti accanto a queste due autorizzazioni.
In Utenti e gruppi fare clic su Servizio di rete. In Autorizzazioni per Servizio di rete, se l'autorizzazione Lettura non è consentita, selezionare la casella di controllo Consenti accanto a Lettura.
Scegliere OK.

Element properties:

Target

Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TSGateway

Category

EventCollection

Enabled

True

Event Source

Microsoft-Windows-TerminalServices-Gateway

Alert Generate

True

Alert Severity

Error

Alert Priority

Normal

Remotable

True

Alert Message

Assicurarsi che i gruppi di protezione e i gruppi gestiti dal Gateway Servizi terminal siano configurati correttamente

{0}

Event Log

Microsoft-Windows-TerminalServices-Gateway/Admin

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default

Source Code:

<Rule ID="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TSGateway.EventCollection.563.564.565" Enabled="onStandardMonitoring" Target="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TSGateway" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Microsoft-Windows-TerminalServices-Gateway/Admin</LogName>

      <Expression>

        <And>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>MatchesRegularExpression</Operator>

              <Pattern>^(563|564|565)$</Pattern>

            </RegExExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-TerminalServices-Gateway</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertName/>

      <AlertDescription/>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TSGateway.EventCollection.563.564.565.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>