Se “Active Directory Users and Computers” non si apre sul Domain Controller e appare l’errore “The specified domain either does not exist or could not be contacted”, questa guida pratica ti accompagna dalla diagnosi rapida alla correzione, con check, comandi e accortezze per evitare ulteriori disservizi.

Panoramica del problema

Su un Domain Controller unico operativo, l’avvio della console Active Directory Users and Computers (ADUC) fallisce con l’errore “The specified domain either does not exist or could not be contacted”. Riavvii “alla cieca” del server o dei servizi non risolvono. In questi scenari la causa principale è quasi sempre una catena di problemi tra DNS, servizi AD e replica, aggravata dall’assenza di ridondanza.

Sintomi correlati da osservare

• ADUC, GPMC o altre console AD si aprono in ritardo o con errori di connettività di dominio.
• Accessi lenti o falliti su server e client, gpupdate /force che restituisce errori di localizzazione del DC.
• Condivisioni di SYSVOL e NETLOGON non visibili o non montate.
• Eventi ricorrenti in Event Viewer: DNS (4000, 4015, 4013), Netlogon (5719), Directory‑Service (2087, 1865), DFS Replication (2213, 4012).
• Risoluzione nomi per il dominio intermittente o assente (nslookup fallisce o risponde server errato).

Cause più comuni da verificare

Area	Sintomo tipico	Che cosa controllare
Connettività di rete	Ping verso altri dispositivi fallisce o latenza anomala	Cavi, switch, interfacce, VLAN, regole firewall
DNS	nslookup sul nome di dominio non restituisce indirizzo	Forward lookup zone, SRV records, ordine dei DNS in ipconfig /all
Servizi AD	Servizi Netlogon, NTDS o DFS Replication non avviati	services.msc, errori in Event Viewer
Ruoli FSMO / Global Catalog	Il DC non è più detentore dei ruoli attesi	netdom query fsmo, flag GC in Active Directory Sites & Services
Replica	“Last attempt @ replication failed” in Event Viewer	repadmin /replsummary, stato del DC secondario
Registro di sistema	Valore SysvolReady = 0	HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Configurazione siti	DC collocato nel sito sbagliato	Active Directory Sites & Services

Verifiche rapide in cinque minuti

1. DNS locale: su DC, in ipconfig /all, il primo DNS deve essere l’IP del DC stesso. Rimuovi eventuali DNS pubblici.
2. Risoluzione dominio: nslookup <dominio.local> e nslookup -type=SRV ldap.tcp.dc._msdcs.<dominio.local> devono rispondere dal DNS del DC.
3. Servizi chiave: assicurati che DNS Server, Active Directory Domain Services, Netlogon, DFS Replication siano Running.
4. Condivisioni AD: verifica la presenza di \<DC>\SYSVOL e \<DC>\NETLOGON.
5. Eventi critici: apri Event Viewer e filtra per Directory‑Service, DNS Server, File Replication Service o DFS Replication.

Procedura di risoluzione consigliata

Verifica rete di base

Un DC isolato dalla rete o con VLAN errata non può contattare sé stesso o altri membri di dominio in modo coerente.

ping <gateway>
ping <ipdiunaltroserver>
ping -a &lt;ipdelDC&gt;     <!-- reverse lookup -->
tracert &lt;iponome&gt;
arp -a

• Se i ping falliscono: controlla cavi, switch, bonding/teaming, configurazioni VLAN e firewall.
• Interfacce multiple: evita DNS e Netlogon su NIC non principali; disabilita temporaneamente NIC ridondanti per prova.
• Verifica MTU/fragmentation con percorsi VPN o appliance di sicurezza.

Controllo DNS

Active Directory si appoggia a DNS. Un ordering errato dei DNS o record SRV assenti spegne l’intero dominio.

1. Ordine dei DNS ipconfig /all Il primo DNS deve essere l'IP del DC. Evita DNS pubblici (8.8.8.8 ecc.).
2. Flush e re‑registrazione ipconfig /flushdns ipconfig /registerdns net stop netlogon && net start netlogon # rigenera i record SRV nel DNS
3. Diagnosi approfondita dcdiag /test:dns /v nslookup -type=SRV ldap.tcp.dc._msdcs.<dominio.local> Correggi errori relativi a zone mancanti o non integrate in AD. Verifica la Forward Lookup Zone del dominio e la zona _msdcs.<dominio.local>, assicurandoti che siano AD‑Integrated e con aggiornamenti dinamici consentiti.
4. Forwarders Imposta eventuali Forwarders verso DNS esterni solo nel ruolo di risoluzione Internet, mai come server DNS client del DC.
5. File hosts Assicurati che non vi siano righe obsolete in C:\Windows\System32\drivers\etc\hosts che interferiscono con la risoluzione.

Esame dei servizi di dominio

Verifica lo stato dei servizi e i relativi log.

services.msc
Oppure PowerShell
Get-Service NTDS, DNS, Netlogon, DFSR | Format-Table Name, Status, StartType
Restart-Service Netlogon -Force
Restart-Service DNS -Force
Restart-Service DFSR -Force

• DNS Server: errori 4000/4015 indicano problemi di dipendenza da AD o da replica; l’evento 4013 segnala attesa dell’avvio di AD.
• DFS Replication: l’evento 2213 sospende la replica dopo uno shutdown non pulito; non forzare la ripresa se non hai verificato l’integrità (vedi sezione su SYSVOL).
• Netlogon: l’evento 5719 indica impossibilità di contattare un controller; torna al DNS e alla rete.

Convalida ruoli FSMO e Global Catalog

In foreste e domini piccoli, spesso tutti i ruoli FSMO sono sul DC unico. Devi confermare che quel DC sia effettivamente detentore o che i ruoli non puntino a un DC irraggiungibile.

netdom query fsmo
Schema Master, Domain Naming Master, RID, PDC Emulator, Infrastructure Master

Se i ruoli puntano a un DC non più disponibile:

• Se il DC remoto è recuperabile: ripristina con replica.
• Se è definitivamente perso: valuta il seize dei ruoli con ntdsutil solo dopo aver escluso problemi di rete/DNS/replica e dopo un backup dello stato del sistema.

Verifica inoltre che il DC sia Global Catalog:

1. Apri Active Directory Sites & Services → Sito → Server → NTDS Settings.
2. Apri le proprietà e assicurati che la casella Global Catalog sia spuntata.

Replica e salute generale

Se un DC secondario esiste ma è fuori sincronizzazione, la replica difettosa provoca SRV non aggiornati, USN incoerenti e SYSVOL non allineato.

repadmin /replsummary
repadmin /showrepl * /csv > C:\Temp\showrepl.csv
repadmin /queue
repadmin /showutdvec * dc=<dominio.local> /csv > C:\Temp\utd.csv

• Latenze elevate: identifica i collegamenti o i siti AD con errori.
• Accesso negato: verifica password del KRBTGT non scaduta e canali sicuri (vedi nltest sotto).
• DC morto: se il secondario è irrecuperabile, esegui metadata cleanup e rimuovi i riferimenti del vecchio DC dalla configurazione.

Controllo registro Netlogon e stato di SYSVOL

SYSVOL non pronto impedisce il corretto avvio dei servizi di dominio.

1. Verifica il valore di registro: reg query HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters /v SysvolReady 1 = pronto, 0 = non pronto
2. Se SysvolReady=0, dopo aver verificato lo stato di DFSR: reg add HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters /v SysvolReady /t REG_DWORD /d 1 /f net stop netlogon && net start netlogon Importante: se DFSR ha sospeso la replica (evento 2213), riprendi la replica solo dopo aver escluso conflitti o USN rollback. In PowerShell: # Esempio non distruttivo: verifica stato replica Get-WinEvent -LogName "DFS Replication" | Select-Object -First 25 -Property TimeCreated, Id, LevelDisplayName, Message Ripresa controllata (usare con cautela, validare prima!) wmic /namespace:\root\microsoftdfs path dfsrreplicatedfolderinfo get ReplicationGroupName,State wmic /namespace:\root\microsoftdfs path dfsrreplicatedfolderinfo where "ReplicationGroupName='Domain System Volume'" call ResumeReplication
3. Conferma che \<DC>\SYSVOL e \<DC>\NETLOGON siano accessibili.

Comandi diagnostici aggiuntivi

dcdiag /c /v /f:C:\Temp\dcdiag.log
nltest /dsgetdc:<dominio.local>
nltest /dclist:<dominio.local>
nltest /sc_verify:<dominio.local>
Tempo e NTP
w32tm /query /status
w32tm /query /configuration

Se la time sync è incoerente (PDC Emulator non allineato con l’NTP di riferimento), Kerberos fallisce e l’errore di dominio non raggiungibile si manifesta anche con rete e DNS a posto. Riallinea il tempo prima di ritentare.

Riavvio del Domain Controller

Esegui il riavvio solo dopo aver applicato le correzioni sopra. Riavvii ripetuti senza correggere DNS e replica tendono a peggiorare la situazione (es. sospensione DFSR).

Pianificazione di ridondanza

• Ripristina o promuovi un secondo DC in un host differente (anche virtuale) con DNS installato.
• Configura i client con due DNS interni, in ordine preferenziale.
• Monitora replica, SRV e latenze con strumenti nativi e report pianificati.

Runbook operativo pronto all’uso

1) Su DC: ipconfig /all
   - Primo DNS = IP del DC
   - Nessun DNS pubblico in lista

2. Pulizia e registrazione DNS:
   ipconfig /flushdns
   ipconfig /registerdns
   net stop netlogon && net start netlogon

3. Verifica SRV:
   nslookup -type=SRV ldap.tcp.dc._msdcs.

4. Servizi:
   Get-Service NTDS, DNS, Netlogon, DFSR | ft -a
   Restart-Service DNS, Netlogon

5. DCDIAG:
   dcdiag /test:dns /v
   dcdiag /c /v /f:C:\Temp\dcdiag.log

6. Replica:
   repadmin /replsummary
   repadmin /showrepl * /csv > C:\Temp\showrepl.csv

7. SYSVOL:
   reg query HKLM...\Netlogon\Parameters /v SysvolReady
   Testa \\SYSVOL e \\NETLOGON

8. FSMO e GC:
   netdom query fsmo
   Verifica flag GC in Sites & Services

9. Tempo:
   w32tm /query /status

10. Solo se necessario: riavvia il DC. 

Eventi tipici e interpretazione rapida

Log	ID Evento	Significato	Azione consigliata
DNS Server	4013	DNS in attesa di AD	Controlla avvio NTDS, replica, SRV; non forzare riavvio in loop
DNS Server	4000, 4015	Dipendenza AD o errori interni	Verifica integrazione AD, SRV, forwarders, coerenza zone
System	5719	Netlogon non trova un DC	Rete e DNS del DC stesso; canali sicuri
Directory‑Service	2087, 1865	Impossibile contattare DNS/GC	Controlla SRV GC, flag GC, DNS
DFS Replication	2213	Replica sospesa dopo crash	Convalida integrità, poi riprendi replica con cautela
DFS Replication	4012	Backlog o incongruenze	Analizza repadmin, allinea partner

Analisi DNS dettagliata

Controlla che le zone integrate in AD abbiano ambito di replica coerente:

• To all DNS servers in this domain per la zona del dominio.
• To all DNS servers in the forest per _msdcs.

Assicurati che i record SRV siano presenti:

ldap.tcp.dc._msdcs.<dominio.local>
kerberos.tcp.dc._msdcs.<dominio.local>
ldap.tcp.<sito>.sites.dc.msdcs.<dominio.local>

Se mancano, un riavvio di Netlogon li rigenera, purché il servizio DNS sia operativo e la zona consenta aggiornamenti dinamici.

Gestione dei ruoli FSMO in emergenza

In assenza del DC detentore e con impossibilità di recupero, si possono seize i ruoli sul DC sopravvissuto. Prima di procedere:

• Esegui backup dello stato del sistema del DC operativo.
• Accertati che il vecchio DC non torni online per evitare split‑brain.

Comandi indicativi (solo per amministratori esperti):

ntdsutil
roles
connections
connect to server <DC_operativo>
quit
seize schema master
seize naming master
seize rid master
seize pdc
seize infrastructure master
quit

Al termine, rimuovi metadata residui del vecchio DC ed elimina il relativo oggetto da Sites & Services e da Computers in AD.

Riparazione di SYSVOL con DFS Replication

Quando il DC è l’unico operativo, la cartella SYSVOL deve risultare Authoritative per garantire che GPO e script di logon siano disponibili. Se la replica era tra due DC e uno è perso, verifica lo stato DFSR e valuta una promozione Primary Member del DC rimasto, seguendo una procedura validata internamente e testata in lab. Evita azioni affrettate che possono causare perdita di GPO.

Controlli sull’orologio e Kerberos

L’asimmetria temporale oltre cinque minuti rompe Kerberos. Verifica che il PDC Emulator punti a una fonte NTP affidabile e che gli altri membri puntino al PDC.

w32tm /query /status
w32tm /query /peers
w32tm /config /manualpeerlist:"ntp1 ntp2" /syncfromflags:manual /reliable:yes /update
w32tm /resync

Strumenti grafici utili

• AD Replication Status Tool: lettura rapida degli errori di replica con evidenziazioni per sito e server.
• Microsoft DNS Diag: analisi dei record e della configurazione DNS lato server.

Checklist di uscita e validazione

• ADUC si apre senza errori e naviga OU e gruppi.
• dcdiag non riporta errori critici; test DNS e Netlogon superati.
• repadmin /replsummary senza fallimenti o backlog significativi.
• \<DC>\SYSVOL e \<DC>\NETLOGON accessibili.
• Event Viewer privo di eventi 4013, 5719, 2213 nelle ultime ore.
• Client eseguono gpupdate /force con esito positivo.

Domande frequenti

Posso usare DNS pubblici sui server? No. I membri di dominio e i DC devono usare solo DNS interni che risolvono il dominio AD.

Riavviare risolve? Non senza prima correggere DNS, replica e SYSVOL. Spesso peggiora.

Quando fare metadata cleanup? Solo se un DC è definitivamente non recuperabile e non potrà più rientrare nel dominio.

Serve sempre un secondo DC? Sì, è la misura principale contro il punto singolo di guasto; anche in contesti piccoli può essere una VM leggera.

Script PowerShell per raccolta rapida evidenze

Puoi usare questo script non distruttivo per generare un pacchetto di log utili all’analisi.

$out = "C:\Temp\ADHealth$(Get-Date -Format yyyyMMdd_HHmmss)"
New-Item -Path $out -ItemType Directory -Force | Out-Null

ipconfig /all > "$out\ipconfig_all.txt"
dcdiag /c /v /f:"$out\dcdiag.log"
repadmin /replsummary > "$out\repadmin_replsummary.txt"
repadmin /showrepl * /csv > "$out\repadmin_showrepl.csv"
nltest /dsgetdc: > "$out\nltest_dsgetdc.txt"
w32tm /query /status > "$out\time_status.txt"

Get-Service NTDS, DNS, Netlogon, DFSR | Out-File "$out\services.txt"
Get-WinEvent -LogName "Directory Service" -MaxEvents 200 | Export-Csv "$out\dirsvc_events.csv" -NoTypeInformation
Get-WinEvent -LogName "DNS Server" -MaxEvents 200 | Export-Csv "$out\dns_events.csv" -NoTypeInformation
Get-WinEvent -LogName "DFS Replication" -MaxEvents 200 | Export-Csv "$out\dfsr_events.csv" -NoTypeInformation

reg query HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters /v SysvolReady > "$out\sysvol_ready.txt"

"Raccolta completata in $out" | Out-File "$out\README.txt" 

Best practice di prevenzione

• Almeno due DC per dominio, distribuiti su host fisici diversi.
• DNS integrato in AD su entrambi i DC; i DC puntano a vicenda come secondario.
• Monitoraggio continuo di replica e SRV, alert su eventi critici.
• Backup regolari dello stato del sistema e test periodici di ripristino.
• Policy di time sync documentata con NTP autorevoli e PDC affidabile.

Risoluzione guidata per scenari ricorrenti

DNS pubblico configurato sul DC

Segnale: ipconfig /all mostra un DNS pubblico. Rimedio: sostituisci con l’IP del DC; usa forwarders nel ruolo DNS, non lato client.

SRV mancanti dopo update o crash

Segnale: dcdiag /test:dns fallisce su record SRV. Rimedio: net stop netlogon, ipconfig /registerdns, net start netlogon, verifica aggiornamenti dinamici abilitati.

SYSVOL non condiviso

Segnale: \<DC>\SYSVOL non raggiungibile, SysvolReady=0. Rimedio: dopo validazione DFSR, imposta SysvolReady=1 e riavvia Netlogon. Se persiste, analizza DFSR eventi 2213/4012 e la membership del gruppo di replica.

Ruoli FSMO puntano a DC irraggiungibile

Segnale: netdom query fsmo indica un altro DC. Rimedio: recupera quel DC o valuta seize sul DC operativo, quindi metadata cleanup.

Tabella di comandi essenziali

Obiettivo	Comando	Atteso
Verifica SRV LDAP	nslookup -type=SRV ldap.tcp.dc._msdcs.<dominio>	Risposte dai DC interni
Registrazione DNS	ipconfig /registerdns	Record A e SRV aggiornati
Diagnosi DNS	dcdiag /test:dns /v	Nessun errore critico
Replica	repadmin /replsummary	Fail = 0, latenze accettabili
FSMO	netdom query fsmo	Tutti i ruoli su DC raggiungibile
Kerberos e tempo	w32tm /query /status	Offset entro pochi ms

Note e suggerimenti aggiuntivi

• Backup prima di operare: esegui l’esportazione dello stato del sistema o verifica un backup recente del DC.
• Time Sync: tutti i membri devono usare lo stesso NTP, tipicamente il PDC Emulator.
• Event Viewer: filtra i log Directory‑Service, DNS‑Server, DFS Replication per individuare pattern ricorrenti.
• Strumenti GUI: AD Replication Status Tool e Microsoft DNS Diag accelerano l’analisi visiva.
• Change management: registra interventi su DNS/servizi per facilitare roll‑back.

Conclusioni

La sequenza sistematica rete → DNS → servizi AD → replica → SYSVOL → ruoli FSMO risolve la quasi totalità dei casi di “dominio non raggiungibile” su un DC singolo. Stabilizzata l’operatività, implementa subito la ridondanza: secondo DC, secondo DNS e monitoraggio proattivo. Eviterai futuri blocchi e ridurrai drasticamente i tempi di fermo.

---

Riepilogo operativo minimale

# Sul DC:
ipconfig /all                             # DNS corretto
ipconfig /flushdns & ipconfig /registerdns
net stop netlogon && net start netlogon   # rigenera SRV
dcdiag /test:dns /v                       # verifica DNS
repadmin /replsummary                     # stato replica
reg query HKLM\...\Netlogon\Parameters /v SysvolReady
w32tm /query /status                      # tempo coerente
Apri ADUC: l'errore deve sparire se tutti i check sono ok.