Se o ADUC exibe “Naming information cannot be located… The specified domain either does not exist or could not be contacted.”, quase sempre há problema de DNS e/ou replicação. Este guia prático mostra como restaurar SRV, SYSVOL e a comunicação entre DCs com comandos claros e verificações objetivas.
Visão geral do problema
Ao abrir o Active Directory Users and Computers (ADUC) em um Controlador de Domínio (DC), aparece a mensagem:
“Naming information cannot be located… The specified domain either does not exist or could not be contacted.”
Esse erro indica que o console não conseguiu localizar as informações de nomeação do domínio via DNS/LDAP. Em ambientes com dois DCs (primário e secundário), é comum que a replicação esteja com falhas e que os registros SRV não estejam sendo publicados ou resolvidos. Reiniciar serviços e o servidor nem sempre corrige a causa raiz. O caminho mais curto para a solução é validar DNS, serviços essenciais (NTDS/Netlogon/DFSR), shares do SYSVOL/NETLOGON e a saúde da replicação.
Como o AD encontra o domínio (e por que o ADUC falha)
Quando você abre o ADUC, o console precisa descobrir um DC e, idealmente, um Catálogo Global. Essa descoberta depende de:
- DNS com registros SRV publicados pelo serviço Netlogon do DC (ex.:
ldap.tcp.dc._msdcs.seu-dominio). - Serviços AD ativos (NTDS, Netlogon, DFS Replication/FRS) e o SYSVOL compartilhado.
- Replicação íntegra entre DCs para manter o catálogo e as GPOs coerentes.
- Hora consistente (Kerberos falha com desvios significativos).
Se qualquer peça falha (DNS apontando para servidor errado, Netlogon não republicando SRV, replicação travada, share do SYSVOL ausente, portas bloqueadas), o ADUC não encontra o domínio e mostra o erro.
Causas prováveis (em ordem de probabilidade)
| Causa | Sintomas típicos | Como confirmar rápido | Impacto |
|---|---|---|---|
| DNS incorreto/inacessível (SRV ausentes, DC usando DNS público/errado) | ADUC falha; nslookup não retorna SRV; log de DNS com erros de registro | ipconfig /all, nslookup -type=SRV ldap.tcp.dc._msdcs.seu-dominio | Crítico: descoberta de DC/GC quebra |
| Replicação do AD quebrada (SYSVOL/NETLOGON não compartilhados; DFSR/FRS com erro) | GPOs não aplicam, pastas de scripts vazias, eventos de DFSR/FRS | \\DC\SYSVOL indisponível; repadmin /replsummary | Alto: inconsistência de diretório e políticas |
| Serviços essenciais parados (NTDS, Netlogon, DFS Replication) | Falhas de logon; SRV não se atualizam; shares somem | services.msc ou Get-Service | Alto: DC deixa de anunciar funções |
| GC e/ou FSMO indisponíveis (especialmente PDC Emulator) | Pesquisas lentas; problemas de senha/lockout; hora descompassada | netdom query fsmo, AD Sites and Services | Médio/alto: autenticação, consulta de catálogo e hora |
| Rede/firewall bloqueando portas RPC/DNS/Kerberos | Replicação falha por RPC; DNS responde intermitente | Test-NetConnection -Port, capture básica | Alto: comunicação entre DCs e clientes quebra |
| Divergência de hora (Kerberos) | Falhas de logon; erros de ticket; replicação recusa | w32tm /query /status | Alto: autenticação indisponível |
Solução prática: roteiro direto ao ponto
Objetivo: restabelecer DNS e replicação para que o AD seja localizável e o ADUC abra normalmente.
Rede e DNS (o mais crítico)
- Confirme DNS no adaptador do DC onde o ADUC falha. O DNS primário deve apontar para ele mesmo (ou para um DNS AD íntegro), nunca para DNS público.
ipconfig /all - Teste SRV do domínio:
nslookup set type=SRV ldap.tcp.dc._msdcs.seu-dominioSe não retornar DCs, os registros SRV não estão sendo publicados ou a zona não está íntegra. - Force re-registro DNS e republicação de SRV pelo Netlogon:
ipconfig /flushdns ipconfig /registerdns net stop netlogon && net start netlogon - Valide a zona DNS no DNS Manager:
- Zona
_msdcs.seu-dominiointegrada ao AD (AD-integrated) e com atualizações dinâmicas permitidas. - Presença de registros em
tcp,sites,_msdcs(SRV de LDAP/Kerberos/GC).
- Zona
Serviços do AD e SYSVOL
- No DC afetado, os serviços devem estar Iniciados:
- Active Directory Domain Services (NTDS)
- Netlogon
- DFS Replication (ou File Replication Service em versões antigas)
sc query ntds sc query netlogon sc query dfsr ou Get-Service NTDS,Netlogon,DFSR - Verifique se as pastas estão compartilhadas:
\<DC>\SYSVOL \<DC>\NETLOGONSe não abrem, o DC não está “advertising” como controlador válido. - Confira a flag
SysvolReady:reg query HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters /v SysvolReadySe for0, ajuste para1e reinicie o Netlogon:reg add HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters /v SysvolReady /t REG_DWORD /d 1 /f net stop netlogon && net start netlogon
Saúde do AD e do DNS
Execute diagnósticos e corrija o que for reportado:
dcdiag /v
dcdiag /test:dnsFoque em erros de Advertising, DNS, FrsEvent/DFSR e SysVolReady. Em paralelo, no DNS Manager valide replicação da zona _msdcs e da zona do domínio para todos os DCs.
Replicação entre DCs
Verifique o estado e a topologia:
repadmin /replsummary
repadmin /showreplPara ambientes com DFSR no SYSVOL (padrão moderno):
dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:<DC-origem> /rmem:<DC-destino>
dfsrdiag polladNo Active Directory Sites and Services, verifique sub-redes corretas, ligações de site e forçe replicação manual nos objetos NTDS Settings quando necessário. Em casos pontuais, um sync all ajuda a destravar:
repadmin /syncall /AdePGC e funções FSMO
Garanta que pelo menos um DC execute o Catálogo Global e que as funções FSMO estejam disponíveis. Apenas valide neste momento (sem movimentar forçadamente):
netdom query fsmoSe o PDC Emulator está indisponível, senhas recentes e a sincronização de hora podem ser afetadas. Restaure a conectividade/serviço antes de considerar qualquer migração ou seize.
Hora e autenticação (Kerberos)
O Kerberos é sensível a desvio de hora. Verifique e corrija:
w32tm /query /status
w32tm /resyncO PDC Emulator do domínio deve sincronizar com uma fonte NTP confiável; os demais membros sincronizam a partir dele. Exemplo (executar no PDC Emulator):
w32tm /config /manualpeerlist:"pool.ntp.org" /syncfromflags:manual /reliable:yes /update
net stop w32time && net start w32time
w32tm /resync /forcePortas e firewall
Confirme que as portas típicas entre DCs e clientes estão abertas:
| Serviço | Porta/Protocolo | Para quê | Teste rápido |
|---|---|---|---|
| DNS | 53/TCP, 53/UDP | Resolução de nomes e SRV | Test-NetConnection DC -Port 53 |
| Kerberos | 88/TCP, 88/UDP | Autenticação | Test-NetConnection DC -Port 88 |
| LDAP/LDAPS | 389/TCP, 636/TCP | Consultas do AD | Test-NetConnection DC -Port 389 |
| SMB | 445/TCP | SYSVOL/NETLOGON | Test-NetConnection DC -Port 445 |
| GC | 3268/TCP, 3269/TCP | Catálogo Global | Test-NetConnection DC -Port 3268 |
| RPC Endpoint Mapper | 135/TCP | Negociação RPC | Test-NetConnection DC -Port 135 |
| RPC Dinâmico | 49152-65535/TCP | Replicação/KCC | Verificação com firewall |
Diagnóstico dirigido por evidências
Interpretação prática do DCDIAG
- Advertising: se falha, o DC não está anunciando serviços — verifique NTDS/Netlogon/SYSVOL.
- DNS tests: se register in DNS falha, reforce
ipconfig /registerdns+ reinício do Netlogon. - FrsEvent/DFSREvent: indique falhas de replicação do SYSVOL. Corrija antes de outras ações.
- Connectivity/Outbound/Inbound Replication: se falham, verifique portas, hora, credenciais de máquina e topologia de sites.
RepAdmin: como ler o que importa
repadmin /replsummary: resumo do êxito/falha por parceiro; olhe percentuais e maiores atrasos.repadmin /showrepl: erros por partição (Schema, Configuration, Domain); códigos como 1722 (RPC), 8451 (insufficient access), 58/5 (acesso negado) ajudam a focar.repadmin /queue: fila de replicação local — se travada, verifique RPC/hora.
Event Viewer: onde olhar
- Directory Service: eventos de replicação, KCC e NTDS.
- DFS Replication: backlog, conflitos, pausas após desligamento inesperado, espaço em disco, permissões.
- DNS Server: incapacidade de carregar zonas, falhas de atualização dinâmica.
- System: serviços que não iniciaram, falhas de rede, hora.
Correções comuns e “quick wins”
- Trocar o DNS do DC de público/errado para ele mesmo (ou outro DC saudável) e republicar SRV com
net stop netlogon && net start netlogon. - Ajustar
SysvolReadye garantir que\\DC\SYSVOLe\\DC\NETLOGONvoltaram a compartilhar. - Forçar replicação com
repadmin /syncall /AdePapós corrigir portas/DNS/hora. - Consertar a hora: PDC Emulator apontando para NTP confiável; ressincronizar todos.
- Corrigir sub-redes/sites no AD Sites and Services para que o KCC desenhe conexões certas.
PowerShell para acelerar o diagnóstico
# Descobrir DCs e GC
Get-ADDomainController -Filter * | Select-Object HostName,IsGlobalCatalog,IPv4Address,Site
Falhas de replicação nos últimos 24h
Get-ADReplicationFailure -Target \* -Scope Forest | Select Server,FirstFailureTime,Partner,FailureCount,LastError
Metadados de parceiros
Get-ADReplicationPartnerMetadata -Target \* | Select Server,Partner,LastReplicationSuccess
Teste de canal seguro (executar em membros/estação)
Test-ComputerSecureChannel -VerboseQuando ainda falhar
- Use o Event Viewer para mensagens específicas (Directory Service, DNS Server, System, DFS Replication). Guie-se pelos códigos de erro e pelos números de evento.
- Se um DC estiver irrecuperável, não o use como DNS. Considere despromover (de forma adequada) e fazer limpeza de metadados antes de promover novamente. Faça backup e avalie impactos.
- Evite “seize” de FSMO sem certeza de que o titular está definitivamente perdido; normalmente restaure conectividade/serviço primeiro.
Prevenção e boas práticas
- DNS interno em DCs sempre; se precisar de DNS público, use forwarders no DNS interno.
- Dois ou mais DCs, preferencialmente ambos como Catálogo Global, DNS e com a zona AD-integrated.
- Monitoramento recorrente: agende
dcdiag/repadmine alerte para erros. - Sites/Subnets configurados corretamente; evita rotas ineficientes e replicação fora de escopo.
- Sincronização de hora padronizada: PDC → NTP; demais membros → PDC.
- Não use snapshots de VM para reverter DCs. Risco de USN rollback e inconsistência.
- Espaço em disco e antivírus: exclua pastas críticas do AD/DFSR conforme melhores práticas (NTDS, SYSVOL) para evitar lock de arquivos.
- SYSVOL em DFSR (migre se ainda usa FRS em domínios legados).
Checklist operacional para abrir o ADUC de novo
- No DC afetado, aponte DNS para o próprio DC (ou um DC saudável). Evite DNS público.
- Valide SRV:
nslookup -type=SRV ldap.tcp.dc._msdcs.seu-dominio - Republique SRV e atualize DNS:
ipconfig /registerdns net stop netlogon && net start netlogon - Garanta NTDS/Netlogon/DFSR iniciados;
\\DC\SYSVOLe\\DC\NETLOGONacessíveis. - Execute:
dcdiag /v dcdiag /test:dns repadmin /replsummary repadmin /showrepl - Corrija replicação, portas, hora:
w32tm /query /status Test-NetConnection DC -Port 53,88,135,389,445,3268 - Forçe replicação se necessário:
repadmin /syncall /AdeP - Abra o ADUC novamente; se persistir, revise eventos de Directory Service/DNS/DFSR.
Notas rápidas sobre cenários comuns
- SRV não aparece no DNS: Netlogon não republicou ou zona não aceita atualizações dinâmicas. Ajuste a zona para Secure only e reinicie Netlogon.
- SYSVOL não compartilha: verifique
SysvolReady, DFSR e permissões NTFS/compartilhamento. Assegure que a pasta%systemroot%\SYSVOL\domaincontém as GPOs. - Erro de RPC 1722 na replicação: portas dinâmicas bloqueadas, Endpoint Mapper (135) inacessível ou firewall entre sites.
- Clientes com DNS público: mudam senha e não conseguem autenticar. Aponte para DNS do AD; configure forwarders no DNS interno.
- Diferença de hora > 5 min: Kerberos rejeita tickets. Sincronize o PDC Emulator e propague.
Resumo da solução
O erro do ADUC quase sempre aponta para DNS/SRV e/ou replicação/SYSVOL. Comece garantindo DNS correto no DC, serviços NTDS/Netlogon ativos, SRV presentes, SYSVOL/NETLOGON compartilhados e replicação saudável com dcdiag/repadmin. Em seguida valide GC/FSMO e a sincronização de hora. Essa sequência, na maioria dos casos, restabelece a localização do domínio e o ADUC volta a abrir normalmente.