Windows Server 2016 ha un nuovo bug sui Domain Controller

Un aggiornamento di sicurezza rilasciato nel Patch Tuesday di maggio 2026 ha introdotto un malfunzionamento critico su Windows Server 2016.

La patch cumulativa KB5087537 può impedire il corretto rilevamento dei domain controller in ambienti Active Directory, compromettendo autenticazione, replica e accesso alle risorse di rete. Microsoft ha confermato il problema dopo le segnalazioni degli amministratori di sistema, precisando che il bug si manifesta in uno scenario molto specifico: server con hostname lungo esattamente 15 caratteri. Il componente colpito è DCLocator, responsabile dell’individuazione dei controller di dominio disponibili nella rete.

Come si manifesta il bug e quali sistemi colpisce

Il difetto impedisce alle chiamate DCLocator di completare correttamente la ricerca del controller di dominio quando il nome host del server raggiunge il limite di 15 caratteri imposto dalla compatibilità NetBIOS. In queste condizioni, strumenti come nltest restituiscono l’errore ERROR_INVALID_PARAMETER, anche se il controller è operativo e raggiungibile.

Gli effetti operativi possono includere timeout durante l’autenticazione Kerberos, errori negli strumenti RSAT, malfunzionamenti nella gestione dei DFS Namespace, problemi di replica e fallimenti nella ricerca del PDC Emulator.

Il bug emerge in modo selettivo, perché molte aziende adottano naming convention storiche che raggiungono proprio il limite dei 15 caratteri. Applicazioni legacy con chiamate LDAP tradizionali o procedure RPC sono particolarmente esposte a timeout ed errori di autenticazione.

Il comportamento anomalo deriva dalla storica dipendenza tra Active Directory, DNS e naming NetBIOS: il locator DC combina query DNS SRV, identificatori NetBIOS e mapping del dominio, e un errore di validazione sui parametri passati alle API è sufficiente per interrompere l’intera discovery. Microsoft non ha ancora pubblicato una root cause definitiva né dettagli tecnici approfonditi.

Mitigazioni disponibili e percorso verso la risoluzione

Al momento non esiste una patch correttiva pubblica. Microsoft ha dichiarato di essere al lavoro su una soluzione, senza indicare una data di rilascio.
Le mitigazioni immediate disponibili sono:

• Rinominare il server con un hostname inferiore a 15 caratteri (verificando replica SYSVOL, record DNS dinamici e dipendenze in script legacy);
• Evitare l’installazione della KB5087537 sui domain controller critici;
• Valutare il rollback dell’aggiornamento sui sistemi già impattati;
• Aumentare il monitoraggio tramite dcdiag, nltest, Event Viewer nei log Directory Service e Netlogon, e query DNS SRV verso _ldap._tcp.dc._msdcs.

Perché questo bug accelera la migrazione a Windows Server 2025

Il caso KB5087537 si inserisce in una serie di regressioni che negli ultimi anni hanno colpito i domain controller Windows Server: errori Kerberos nel 2021, reboot spontanei nel 2022, problemi con autenticazione basata su certificati e servizio DHCP nel 2025.

Windows Server 2025 introduce miglioramenti rilevanti per chi gestisce Active Directory: supporto per database AD a pagine da 32 KB, Credential Guard attivo per impostazione predefinita e strumenti più moderni per la gestione dell’infrastruttura. Le organizzazioni ancora su Windows Server 2016 dovrebbero verificare livello funzionale della foresta, dipendenze NetBIOS, autenticazioni NTLM legacy e policy Kerberos, rafforzando i processi di test prima di ogni ciclo di aggiornamento cumulativo.