Risolvere ‘Impossibile contattare un controller di dominio Active Directory’ – techsyncer

Ogni amministratore IT che gestisce macchine in un ambiente Active Directory ci è passato. Si prova ad aggiungere un computer a un dominio Active Directory (AD) e si riceve il temuto errore “Impossibile contattare un controller di dominio Active Directory“. In questo articolo, impariamo i passaggi per diagnosticare (e risolvere) definitivamente questo problema.

A FREE read only tool that scans your AD and generates multiple interactive reports for you to measure the effectiveness of your password policies against a brute-force attack. Download Specops Password Auditor now!

An Active Directory Domain Controller Could not be Contacted

Questo errore è correlato al DNS. Il problema principale è che il computer non è riuscito a trovare un record DNS SRV appropriato di cui ha bisogno per unirsi al dominio AD.

I’ve put together a few steps for you to follow to fix this error and get your computer joined to your domain.

Assicurati di utilizzare i server DNS corretti

Prima di addentrarti troppo in questo problema, assicurati di utilizzare i server DNS corretti.

Active Directory e DNS hanno una relazione speciale. I controller di dominio registrano specifici record nei server DNS a cui hanno accesso. Questi risiedono nella zona _ldap._tcp.dc.msdcs.<nome dominio> e aiutano i dispositivi connessi all’AD a trovare risorse come i controller di dominio. I record SRV non esisteranno nei server DNS che non sono integrati all’AD.

Per risolvere questo problema, è necessario utilizzare uno dei seguenti:

Un server DNS integrato in AD
A DNS server that replicates records from an AD aware DNS server
A DNS server that has forwarding set up to query either an AD-integrated DNS server or a DNS server with replicated records

Per verificare che il server DNS che stai utilizzando sia uno dei suddetti, esegui il seguente comando in una sessione PowerShell su un computer già connesso al dominio.

PS C:\> Get-DnsClientServerAddress

InterfaceAlias               Interface Address ServerAddresses
                             Index     Family
--------------               --------- ------- ---------------
Ethernet                             9 IPv4    {10.0.0.101}
Ethernet                             9 IPv6    {}
Loopback Pseudo-Interface 1          1 IPv4    {}
Loopback Pseudo-Interface 1          1 IPv6    {fec0:0:0:ffff::1, fec0:0:0:ffff::2, fec0:0:0:ffff::3}

Le risposte che ottieni nella colonna ServerAddesses sono i server DNS utilizzati da quel computer. Se non hai un altro client di dominio con cui verificare, dovrai contattare il tuo team di rete per ottenere queste informazioni.

Puoi utilizzare il cmdlet Set-DnsClientServerAddress di PowerShell per modificare le impostazioni del client DNS del computer o tramite la finestra di dialogo Proprietà IPv4 per la scheda di rete del computer. Puoi accedervi andando su Pannello di controllo -> Rete -> Internet -> Connessioni di rete.

Una volta nella finestra Connessioni di rete, fai clic con il pulsante destro del mouse sulla scheda di rete, scegli Proprietà, seleziona Versione protocollo Internet 4 (TCP/IPv4) e quindi fai clic su Proprietà

Se la rete utilizza il Protocollo di configurazione host dinamico (DHCP), assicurati che siano selezionate le opzioni Ottenere automaticamente un indirizzo IP e Ottenere automaticamente l’indirizzo del server DNS.

Se la tua rete non utilizza DHCP, aggiorna i valori del Server DNS preferito e del Server DNS alternativo con quelli corretti ottenuti in precedenza.

Trova l’errore reale

Se hai confermato che il tuo computer ha i server DNS corretti, è ora il momento di andare un po’ più a fondo.

Quando cerchi di unire un computer a un dominio, compare l’errore “Impossibile contattare un controller di dominio di Active Directory”, ma non è il messaggio di errore “vero”. Devi approfondire un po’ di più.

Noterai nella finestra di errore un pulsante Dettagli >>. Clicca su quello. Questo fornirà informazioni più dettagliate che ti permetteranno di risolvere meglio questo errore.

Expanded details view of the error dialog

Puoi selezionare il contenuto della casella di testo per copiarlo e incollarlo in un visualizzatore di testo, oppure puoi trovare le stesse informazioni nel file C:\windows\debug\dcdiag.txt di quella macchina. Questo file viene creato da Windows quando si verifica l’errore.

Il testo dell’errore contiene alcune informazioni chiave. Ho evidenziato in grassetto e numerato ciascuna di queste nel seguente esempio:

Il nome di dominio che la macchina pensa che tu abbia chiesto di unirti (1)
Il codice di errore (2)
La query DNS che è stata fatta (3)
I server DNS che la macchina ha interrogato (se presenti) (4)

Nota: Queste informazioni sono destinate a un amministratore di rete. Se non sei l’amministratore di rete, comunica all’amministratore che hai ricevuto queste informazioni, che sono state registrate nel file C:\windows\debug\dcdiag.txt.

Si è verificato l’errore seguente durante la query DNS per il record di risorsa di localizzazione del servizio (SRV) utilizzato per individuare un controller di dominio Active Directory (AD DC) per il dominio “carisbrookelabs.local”(1):

L’errore è stato: “Il nome DNS non esiste.”
(codice di errore 0x0000232B RCODE_NAME_ERROR) (2)

La query era per il record SRV per _ldap._tcp.dc._msdcs.carisbrookelabs.local (3)

Le cause comuni di questo errore includono le seguenti:

I record DNS SRV necessari per individuare un AD DC per il dominio non sono registrati in DNS. Questi record vengono registrati automaticamente su un server DNS quando un AD DC viene aggiunto a un dominio. Vengono aggiornati dall’AD DC a intervalli fissi. Questo computer è configurato per utilizzare i server DNS con i seguenti indirizzi IP:

8.8.4.4
8.8.8.8 (4)

Una o più delle seguenti zone non includono il rinvio alla propria zona figlio: carisbrookelabs.local

local
. (la zona radice)

0x0000267C DNS_ERROR_NO_DNS_SERVER

Questo errore indica che non è stato possibile trovare il server DNS neanche per tentare la query. Non ha nemmeno avuto la possibilità. Questo è tipicamente dovuto alla mancanza di connettività di rete al server DNS.

Nota che è possibile unire un computer senza una connessione di rete, nota come unione del dominio offline, ma questo esula dallo scopo di questo articolo.

Risolvi i problemi di connessione di rete

Se visualizzi questo messaggio di errore, dovrai iniziare a risolvere alcuni problemi di rete.

Verifica che l’adattatore di rete sia abilitato e che tu possa connetterti ad altre risorse di rete.
Verifica di avere un indirizzo IP e server DNS configurati.

È possibile verificare un indirizzo IP e i server DNS eseguendo il comando ipconfig /all.

Se hai un indirizzo IP e puoi raggiungere altre risorse di rete, dovrai testare la connessione tra il computer e il server DNS.

Per farlo, puoi utilizzare il comando ping e il cmdlet Test-Connection di PowerShell. Testa la connettività con il server DNS utilizzando una di queste due utility. Se il traffico ICMP (Internet Control Message Protocol) è consentito nella rete, dovresti ottenere una risposta. Se si verifica un errore o un timeout, è probabile che tu abbia qualche problema di rete, come il routing. Parla con il tuo team di rete per risolvere il problema, quindi riprova a effettuare la connessione.

Verifica la connettività DNS

Se hai confermato che la connessione di rete funziona, dovrai successivamente assicurarti che il tuo computer possa connettersi tramite TCP/53 al server DNS.

Prova a utilizzare il cmdlet di PowerShell Resolve-DNSName con il FQDN (Fully Qualified Domain Name) del dominio a cui stai cercando di unirti. Questo dovrebbe restituire uno o più record del server DNS:

PS C:\> Resolve-DNSName carisbrookelabs.local


Name                                           Type   TTL   Section	IPAddress
----                                       	----   ---   -------	---------
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.103
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.102
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.101

Se si verifica un errore, è opportuno verificare che non ci sia nulla che blocchi il traffico IP sulla porta 53 (la porta utilizzata per il traffico DNS) tra il tuo computer e i server DNS.

È possibile effettuare una semplice verifica della connettività sulla porta 53 utilizzando il cmdlet Test-NetConnection (da non confondere con il cmdlet Test-Connection):

PS C:\> Test-NetConnection -Port 53 -ComputerName <DNSSERVERHERE>
True

Si otterrà una risposta di Vero se la connessione ha successo, o di Falso se fallisce. Un fallimento potrebbe essere dovuto a un firewall di rete o basato sull’host sul server DNS.

0x0000232B RCODE_NAME_ERROR

Questo errore significa che è stato in grado di trovare il server DNS ma il record SRV non è stato trovato. Questo errore richiede un po’ di risoluzione dei problemi aggiuntiva.

Assicurarsi di utilizzare il nome di dominio completo (FQDN)

Sembra semplice, ma verificare che il nome che hai digitato corrisponda al nome di dominio completo (FQDN) del dominio a cui stai cercando di unirti. Questo dovrebbe essere solo un nome di dominio, non un nome di server. Ad esempio, utilizzare carisbrookelabs.local e non WIN-3467RQTHJH5.carisbrookelabs.local.

Se ci sono dubbi, verificare il nome di dominio di un client di dominio esistente. È possibile trovare il nome di dominio appropriato eseguendo questo comando PowerShell su un client di dominio esistente.

PS51> (Get-CimInstance Win32_ComputerSystem).Domain
carisbrookelabs.local

Se si tenta di utilizzare il nome NETBIOS (contoso) rispetto al FQDN (contoso.local), il computer potrebbe trovare il dominio, ma Windows tratterà comunque il nome come un FQDN.

Se si digita un nome NETBIOS e non si dispone di un’infrastruttura WINS installata, si riceverà l’errore che stiamo cercando di risolvere. Utilizzare sempre un FQDN anziché un nome NETBIOS.

Typing an FQDN in the Computer/Domain Changes dialog

Controllare i record DNS

Per questa fase utilizzerai nuovamente il comando Resolve-DNSName. Questa volta utilizzando l’esatto record DNS che non è stato recuperato quando hai provato ad unire la tua macchina al dominio. Copialo e incollalo dal file dcdiag.txt menzionato nell’introduzione, o dalla copia del testo di errore che hai preso in precedenza. Ciò eviterà eventuali errori di battitura con trattini e trattini bassi.

Il tuo comando dovrebbe assomigliare a questo:

PS C:\> Resolve-DNSName _ldap._tcp.dc._msdcs.carisbrookelabs.local


Name                    	Type TTL   Section	PrimaryServer           	NameAdministrator       	SerialNumber
----                    	---- ---   -------	-------------           	-----------------       	------------
_msdcs.carisbrookelabs.loca SOA  3600  Authority  WIN-3467RQTHJH5.carisbrooke hostmaster.carisbrookelabs. 419
l                                             	labs.local              	local

Utilizza lo strumento gratuito Specops Password Auditor per scansionare la tua Active Directory e individuare vulnerabilità legate alle password, inclusi oltre 930 milioni di password compromesse conosciute. Scarica oggi!

Se ricevi come risposta a questo comando “Il nome DNS non esiste“, allora il problema è con il DNS.

Assicurati di utilizzare il server DNS corretto
Assicurati che i record pertinenti non siano stati eliminati.

Se ricevi una risposta positiva a Risolutore-DNSName _msdcs.<nomeDominio> ma ricevi un Nome DNS non esiste da Risolutore-DNSName _ldap._tcp.dc._msdcs.<nomeDominio>, allora i record mancano.

Ri-registra i record DNS del tuo controller di dominio utilizzando il comando ipconfig /registerdns su ciascun controller di dominio. Potrebbe richiedere qualche minuto affinché i record appaiano.

Una volta che puoi confermare la presenza del/i record DNS richiesto/i utilizzando Risolutore-DNSName, dovresti essere pronto per procedere.

Riepilogo

In questo articolo, hai imparato alcuni passaggi da seguire quando risolvi il problema “Impossibile contattare un controller di dominio di Active Directory”. È impossibile coprire ogni singolo scenario in un articolo del genere, ma spero che il processo funzioni per te e ti metta sulla strada giusta!