Il servizio Netlogon che rifiuta di avviarsi su un Domain Controller può bloccare Active Directory, impedire l’avvio delle console AD e fermare Windows Time. Questa guida pratica e approfondita ti accompagna dalla diagnosi alla correzione, con check-list operative, comandi pronti all’uso e verifiche post-fix.
Sintomi osservati
- Il servizio Netlogon è arrestato o non si avvia; la voce in Services.msc resta su Stopped o torna rapidamente a Stopped dopo il tentativo di avvio.
- Le console di Active Directory (Users and Computers, Sites and Services, Domains and Trusts) non si aprono o mostrano errori RPC/DNS.
- Windows Time (
w32time) non parte o va in errore per assenza di canale sicuro con il dominio. - Nonostante verifiche di base (dipendenze, chiave
SysvolReady, riavvio del DC, tentativo connet start netlogon), il problema persiste.
Cause plausibili
Raccogliamo in una tabella le cause emerse più spesso in scenari reali, con indizi diagnostici e impatto tipico.
| Categoria | Dettagli principali | Indizi tipici | Impatto su Netlogon |
|---|---|---|---|
| Configurazione host | Il computer “risulta” reimpostato a WORKGROUP nel registro (evento 6011), o incongruenza tra ComputerName, Primary DNS Suffix e dNSHostName. | Eventi 6011; disallineamento tra nome host, suffisso DNS e SPN dell’account macchina. | Il DC non si riconosce nel dominio, fallisce il canale sicuro. |
| Rete / DNS | IP/gateway/DNS errati; DNS primario non puntato al DC; doppio-NIC non configurato correttamente; assenza record SRV. | Eventi 5719/5774; nslookup fallisce su record ldap.tcp.dc._msdcs. | Impossibile localizzare se stesso o altri DC, RPC in errore. |
| Servizi dipendenti | RPC, TCP/IP, Server/Workstation, DFSR/FRS non avviati o in errore. | Servizi critici in stato Stopped/Disabled; errori RPC. | Netlogon non si attiva o termina subito. |
| Sicurezza / firewall | AV/EDR o firewall bloccano RPC/SMB e NTP (porte 135, 139, 445, dinamiche RPC, 123/UDP). | Timeout RPC, errori 5719, problemi GPO, registro DNS dinamico negato. | Handshake di dominio e registrazioni DNS impedite. |
| Corruzione del servizio | Chiavi di registro di Netlogon o SDDL del servizio danneggiati; file di sistema alterati. | Eventi generici di avvio servizio; sfc/dism trovano incongruenze. | Netlogon non resta attivo o non parte affatto. |
Percorso di troubleshooting consigliato
Segui i passaggi in ordine. Dopo ogni correzione esegui le verifiche “post-fix” per confermare il ripristino.
Verificare lo stato del servizio
sc query netlogon
- STOPPED: tenta un avvio manuale con privilegi elevati dalla Console Servizi.
- Imposta l’avvio su Automatico (avvio ritardato) su DC con carico lento all’avvio (Services.msc → Netlogon → Properties).
- Evita sintassi errate:
net start netlogonè valido; l’opzione-forcenon esiste.
Analizzare i log di sistema
- Event Viewer → Windows Logs → System e Application.
- Focalizzati su 5719 (nessun DC disponibile), 5722 (problemi account macchina), 5774/5781 (registrazioni DNS), e l’evento 6011 che segnala cambio nome/computer.
- Annota l’esatta sequenza temporale: gli eventi correlati a Netlogon spesso precedono errori DFSR e W32Time.
Confermare configurazione di rete e DNS
- IP statico, gateway corretto, DNS primario = il DC stesso (o altro DC autorevole).
- Evita DNS pubblici come primari/secondari su DC: inseriscili semmai solo come forwarders sul DNS di AD.
ipconfig /all
nslookup -type=SRV ldap.tcp.dc._msdcs.<dominio>
nslookup <fqdn-del-DC>
Controllare antivirus e firewall
Disattiva temporaneamente AV/EDR (se la policy lo consente) per isolarne l’effetto. Assicurati che le porte chiave siano consentite.
| Servizio | Porte | Protocollo | Note |
|---|---|---|---|
| RPC Endpoint Mapper | 135 | TCP | Obbligatorio per binding RPC |
| RPC dinamiche | 49152–65535 | TCP | Intervallo predefinito su Server moderni |
| SMB | 445 (e 139 su vecchi ambienti) | TCP | Accesso SYSVOL/NETLOGON e replica legacy |
| DNS | 53 | TCP/UDP | Query e aggiornamenti dinamici |
| Kerberos | 88 | TCP/UDP | Autenticazione dominio |
| Kerberos Change/Set Password | 464 | TCP/UDP | Reset password account macchina |
| NTP | 123 | UDP | Sincronizzazione ora |
| LDAP/LDAPS | 389 / 636 | TCP | LDAP e LDAP su TLS |
| GC/GC TLS | 3268 / 3269 | TCP | Global Catalog |
Usare il comando corretto di avvio
net start netlogon
Se il comando fallisce, acquisisci l’errore completo. La presenza di “dipendenza non soddisfatta” rimanda al paragrafo successivo.
Verificare i servizi dipendenti e correlati
- RPC (
RpcSs), Server (LanmanServer), Workstation (LanmanWorkstation), TCP/IP, DNS Server (se installato sul DC). - Replica SYSVOL: su ambienti moderni DFSR (
Dfsr); su sistemi legacy FRS (NtFrs).
sc query RpcSs
sc query LanmanServer
sc query Dfsr
net share
Assicurati che le condivisioni SYSVOL e NETLOGON esistano (net share). In loro assenza, Netlogon può non registrare correttamente i record DNS del dominio.
Riparare nome host e suffisso DNS
Se i log evidenziano l’evento 6011 o incoerenze sul nome macchina/suffisso, verifica e riallinea:
- Computer name:
- Registro:
HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName\ComputerNameeHKLM\...\ComputerName\ComputerName. - Attenzione: su un Domain Controller non “si unisce” il computer al dominio tramite la GUI come un membro: eventuali incongruenze indicano uno stato corrotto da correggere con cautela (vedi punti seguenti).
- Registro:
- Primary DNS suffix:
- Registro:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DomaineNV Domain. - Verifica anche
HostnameeNV Hostnamenello stesso percorso.
- Registro:
- Parametri Netlogon:
- Registro:
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters→ controlla voci comeSysvolReady(1 = pronto),DisablePasswordChange(deve essere 0 in condizioni normali>).
- Registro:
Dopo l’allineamento, riavvia il server. Se il problema è nato da un “rinominato” spurio in WORKGROUP, Netlogon tornerà ad avviarsi.
Ripristinare il servizio in ultima ratio
Se la chiave del servizio è corrotta (dipendenze/SDDL danneggiate) e sfc/dism non risolvono, puoi rigenerare l’entry del servizio. Esegui un backup del registro e, se possibile, uno snapshot/backup del sistema prima.
sc delete netlogon
sc create netlogon binPath= "%SystemRoot%\System32\lsass.exe" type= share start= auto
Nota: i valori predefiniti possono variare per build/edizione. Dopo la creazione, riavvia e verifica che le dipendenze e i parametri risultino corretti. In ambienti sottoposti a server hardening, ripristina anche l’SDDL standard del servizio (meglio esportando da un DC sano di pari livello).
Verifiche e strumenti di diagnosi avanzata
Controllo generale del controller di dominio
dcdiag /v
dcdiag /test:DNS /v
repadmin /replsummary
repadmin /showrepl
- dcdiag elenca problemi di servizio, DNS, registrazioni e ruoli FSMO.
- repadmin evidenzia errori di replica e latenza anomala tra DC.
Verifica del canale sicuro e degli SPN
nltest /sc_verify:<DOMINIO>
nltest /dsgetdc:<DOMINIO>
setspn -L <NomeDC>
Se nltest /sc_verify fallisce, il canale sicuro dell’account macchina potrebbe essere rotto. In scenari estremi valuta netdom reset o la rotazione della password dell’account macchina, sempre con prudenza su un DC.
Registrazioni DNS dinamiche
ipconfig /flushdns
ipconfig /registerdns
nltest /dsregdns
nslookup -type=SRV ldap.tcp.dc._msdcs.<dominio>
Assicurati che il servizio DNS di AD accetti aggiornamenti dinamici e che i record SRV del DC siano presenti nella zona _msdcs.
Replica di SYSVOL
Su ambienti moderni controlla DFSR:
dfsrdiag backlog /rgname:Domain System Volume /rfname:SYSVOL /smem:<DCORIGINE> /rmem:<DCDEST>
dfsrdiag pollad
La presenza delle condivisioni SYSVOL e NETLOGON e l’assenza di backlog significativi sono prerequisiti perché Netlogon registri correttamente gli SRV e perché le GPO vengano servite.
Servizio ora di Windows e sincronizzazione
w32tm /query /status
w32tm /resync /rediscover
Un DC con ora fuori tolleranza Kerberos (default ±5 minuti) genera errori di autenticazione e può far fallire Netlogon e le GPO.
Integrità file di sistema
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth
Esegui questi strumenti se sospetti corruzione del binario/servizio. Al termine, tenta di avviare di nuovo Netlogon.
Procedura operativa riassunta
- Leggi i log e identifica gli ID evento: 5719/5722/5774/5781/6011.
- Conferma rete/DNS: IP statico, DNS primario al DC, nessun DNS pubblico sul NIC.
- Apri le porte critiche o escludi AV/EDR per i processi di sistema.
- Avvia Netlogon da Services o con
net start netlogon(senza flag non esistenti). - Verifica servizi correlati: RPC, Server/Workstation, DFSR/FRS.
- Allinea nome host e suffix se rilevi 6011 o valori incongruenti nel registro.
- Diagnostica avanzata con
dcdiag,repadmin,nltest,w32tm. - Ultima ratio: ricrea il servizio con
scdopo backup; riavvia e riconvalida.
Approfondimenti e note di progetto
- DC multihomed: più NIC senza routing/filtri corretti introducono percorsi DNS/RPC incoerenti. Valuta di disabilitare la registrazione DNS sulle NIC non usate per il dominio.
- Snapshot rollback: ripristini di VM possono causare inconsistenze USN/replica e impatti su Netlogon. Evita rollback non coordinati sui DC.
- FRS deprecato: se ancora presente, pianifica la migrazione a DFSR. Problemi FRS (es. Journal Wrap) si riflettono su SYSVOL e quindi su Netlogon.
- GPO hardening: criteri di sicurezza troppo restrittivi possono alterare SDDL del servizio. Conserva baseline e strumenti per ripristino rapido.
Checklist di validazione post-fix
- Il servizio Netlogon è in stato Running.
- Le console Active Directory si aprono senza errori RPC.
- Le condivisioni SYSVOL/NETLOGON sono presenti in
net share. - I record ldap.tcp.dc._msdcs.<dominio> risolvono e puntano al DC.
dcdiagerepadminnon riportano errori critici.w32tm /query /statusmostra un’origine ora valida;nltest /sc_verifyè SUCCESS.
Comandi rapidi riutilizzabili
:: Stato/avvio Netlogon
sc query netlogon
net start netlogon
:: DNS e SRV
ipconfig /all
nslookup -type=SRV ldap.tcp.dc._msdcs.
ipconfig /flushdns && ipconfig /registerdns
:: AD health
dcdiag /v
dcdiag /test:DNS /v
repadmin /replsummary
repadmin /showrepl
:: Canale sicuro e registrazioni
nltest /sc_verify:
nltest /dsgetdc:
nltest /dsregdns
:: Ora
w32tm /query /status
w32tm /resync /rediscover Errori comuni da evitare
- Usare
net start netlogon -forcepensando esista un flag “-force”. Non esiste e non cambia l’esito. - Impostare DNS pubblici sul NIC del DC: genera inconsistenze, fallimenti RPC e mancata registrazione degli SRV.
- Modificare alla cieca chiavi critiche del registro senza backup e senza piano di rollback.
- Ignorare FRS/DFSR: uno SYSVOL non pronto (
SysvolReady=0) impedisce la piena funzionalità del DC e di Netlogon.
Caso reale risolto
Nel caso descritto, i log hanno evidenziato l’evento 6011, che rivelava il cambio di nome del computer verso “WORKGROUP” (incongruenza nei valori di registro relativi a nome host e dominio). L’amministratore ha ripristinato il nome corretto del computer e il suffisso DNS nelle chiavi di registro pertinenti, quindi ha riavviato il server. Al riavvio, Netlogon si è avviato regolarmente, le condivisioni SYSVOL/NETLOGON risultavano disponibili, Windows Time è partito e gli strumenti dcdiag e repadmin non hanno più riportato errori.
Rafforzamento dopo il ripristino
- Aggiorna il sistema con le ultime patch di sicurezza.
- Documenta configurazioni IP/DNS e porta in baseline le regole firewall per i servizi AD.
- Pianifica la migrazione a DFSR se utilizzi ancora FRS.
- Implementa monitoraggio proattivo: avvisi su eventi 5719/5722/5774, stato servizi chiave e ritardi replica.
In sintesi: quando Netlogon non si avvia su un Domain Controller, pensa in termini di nome host + DNS + dipendenze + sicurezza. Parti dai log, valida rete e SRV, allinea nome e suffisso DNS, controlla servizi correlati e, solo se necessario, rigenera la definizione del servizio. Le verifiche finali con dcdiag, repadmin, nltest e w32tm confermeranno il pieno ripristino di Active Directory.