Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este guia fornece os conceitos fundamentais usados ao solucionar problemas de junção de domínio do Active Directory.
Lista de verificação de solução de problemas
Sistema de Nomes de Domínio (DNS): Sempre que você tiver um problema ao ingressar em um domínio, uma das primeiras coisas a verificar é o DNS. O DNS é o coração do Active Directory (AD) e faz com que tudo funcione corretamente, incluindo a adesão ao domínio. Certifique-se dos seguintes itens:
- Os endereços do servidor DNS estão corretos.
- A ordem de busca de sufixos DNS está correta se múltiplos domínios DNS estiverem em uso.
- Não há registros DNS obsoletos ou duplicados referenciando a mesma conta de computador.
- O Reverse DNS não aponta para um nome diferente do registro A.
- O nome de domínio, os controladores de domínio (DCs) e os servidores DNS podem ser verificados via ping.
- Verifique se há conflitos de registros DNS para o servidor específico.
Netsetup.log: o arquivo Netsetup.log é um recurso valioso quando você soluciona um problema de junção de domínio. O arquivo netsetup.log está localizado em C:\Windows\Depurar\netsetup.log.
Rastreamento de rede: Durante a associação a um domínio AD, múltiplos tipos de tráfego ocorrem entre o cliente e alguns servidores DNS e, em seguida, entre o cliente e alguns controladores de domínio (DCs). Se você vir um erro em qualquer um dos tráfegos acima, siga as etapas de solução de problemas correspondentes desse protocolo ou componente para restringi-lo. Para obter mais informações, consulte Como usar o Netsh para gerenciar rastreamentos.
Fortalecimento de junção de domínios: as atualizações do Windows lançadas em e após 11 de outubro de 2022 incluem proteções adicionais introduzidas pelo CVE-2022-38042. Essas proteções intencionalmente impedem que as operações de ingresso em domínios reutilizem uma conta de computador existente no domínio de destino, a menos que uma das seguintes condições exista:
- O usuário que está tentando realizar a operação é o criador da conta existente.
- O computador foi criado por um membro dos administradores de domínio.
Para obter mais informações, consulte KB5020276—Netjoin: Alterações de proteção de junção de domínio.
Requisitos de Porta
A tabela a seguir lista as portas que precisam estar abertas entre o computador cliente e o DC.
| Porto | Protocolo | Protocolo de aplicação | Nome do serviço do sistema |
|---|---|---|---|
| 53 | TCP | Sistema de Nomes de Domínio (DNS) | Servidor DNS |
| 53 | UDP | Sistema de Nomes de Domínio (DNS) | Servidor DNS |
| 389 | UDP | Localizador de DC | LSASS |
| 389 | TCP | Servidor LDAP | LSASS |
| 88 | TCP | Kerberos | Servidor de Distribuição de Chaves Kerberos |
| 135 | TCP | RPC | Mapeador de Ponto Final RPC |
| 445 | TCP | PME | LanmanServer |
| 1024-65535 | TCP | RPC | Mapeador de Ponto de Extremidade RPC para chamadas DSCrackNames, SAMR e Netlogon entre Cliente e Controlador de Domínio |
Problemas comuns e soluções
| Código de erro de ingresso no domínio | Motivo | Artigo relacionado |
|---|---|---|
| 0x569 | Esse erro ocorre porque a conta de usuário para ingresso no domínio não tem o direito Acessar este computador a partir da rede no controlador de domínio (DC) que realiza a operação de ingresso no domínio. | Solução de problemas de código de erro 0x569: o usuário não recebeu o tipo de logon solicitado neste computador |
| 0xaac ou 0x8b0 | Esse erro ocorre quando você tenta usar um nome de conta de computador existente para ingressar um computador em um domínio. | Solução de problemas do código de erro 0xaac: falha ao tentar usar uma conta de computador existente para ingressar em um domínio |
| 0x6BF ou 0xC002001C | Esse erro ocorre quando um dispositivo de rede (roteador, firewall ou dispositivo de rede virtual privada (VPN)) rejeita pacotes de rede entre o cliente que está sendo adicionado e o controlador de domínio (DC). | Solução de problemas de código de status 0x6bf ou 0xc002001c: a chamada de procedimento remoto falhou e não foi executada |
| 0x6D9 | Esse erro ocorre quando a conectividade de rede é bloqueada entre o cliente de ingresso e o DC (Controlador de Domínio). | Solução de problemas do código de erro 0x6D9 "Não há mais pontos de extremidade disponíveis no mapeador de ponto de extremidade" |
| 0xa8b | Esse erro ocorre quando você conecta um computador que pertence a um grupo de trabalho a um domínio. | Solução de problemas do código de erro 0xa8b: uma tentativa de resolver o nome DNS de um controlador de domínio no domínio ao qual está sendo adicionado falhou |
| 0x40 | O problema está relacionado à obtenção de Tíquetes Kerberos para uma sessão SMB (Bloco de Mensagens do Servidor). | Solução de problemas do código de erro 0x40 "O nome de rede especificado não está mais disponível" |
| 0x54b | Esse erro ocorre porque o domínio especificado não pode ser contatado, apontando para problemas de localização de controladores de domínio (DCs). | Solução de problemas de código de erro 0x54b |
| 0x0000232A | Esse erro indica que o nome do DNS (Sistema de Nomes de Domínio) não pode ser resolvido. | Solução de problemas de código de erro 0x0000232A |
| 0x3a | Esse erro ocorre quando o computador cliente não tem conectividade de rede confiável na porta TCP 389 entre o computador cliente e o controlador de domínio (DC). | Solução de problemas de código de status 0x3a: O servidor especificado não pode executar a operação solicitada |
| 0x216d | Esse erro ocorre quando a conta de usuário excedeu o limite de 10 computadores que podem ser ingressados no domínio ou quando uma Diretiva de Grupo restringe os usuários de ingressar computadores no domínio. | Solução de problemas de código de status 0x216d: Seu computador não pôde ser conectado ao domínio |
Outros erros que ocorrem ao conectar computadores baseados em Windows a um domínio
Para mais informações, consulte:
Coletas de dados para problemas de adesão ao domínio
Para solucionar problemas de ingressão de domínio, os seguintes logs podem ajudar:
Registro de configuração de rede
Este arquivo de log contém a maior parte das informações sobre as atividades de associação ao domínio. O arquivo está localizado na máquina do cliente em%windir%\debug\netsetup.log.
O arquivo de log está habilitado por padrão. Não é necessário habilitá-lo explicitamente.Rastreamento de Rede
O rastreamento de rede contém a comunicação entre o computador cliente e os servidores relacionados, como servidores DNS e controladores de domínio na rede. Isso deve ser coletado no computador do cliente. Várias ferramentas podem coletar rastreamentos de rede, como o Wireshark, netsh.exe que está incluído em todas as edições do Windows.
Você pode coletar cada log separadamente. Alternativamente, você pode usar algumas ferramentas fornecidas pela Microsoft para coletá-las todas juntas. Para fazê-lo, siga as etapas nas seções seguintes.
Coletar manualmente
- Baixe e instale o Wireshark no computador cliente que vai ingressar no domínio AD.
- Inicie o aplicativo com privilégios de administrador e, em seguida, comece a capturar.
- Tente unir-se ao domínio AD para reproduzir o erro. Registre a mensagem de erro.
- Pare de capturar no aplicativo e salve o rastreamento de rede em um arquivo.
- Colete o arquivo netsetup.log localizado em %windir%\debug\netsetup.log.
Usar scripts de autenticação
Scripts de Autenticação é um script leve do PowerShell desenvolvido pela Microsoft para facilitar a coleta de logs para solucionar problemas relacionados à autenticação. Para utilizá-lo, siga estas etapas:
Baixe scripts de autenticação no computador cliente. Extraia os arquivos para uma pasta.
Inicie uma janela do PowerShell com privilégios de administrador. Mude para a pasta que contém os arquivos extraídos.
Execute start-auth.ps1, aceite o EULA se solicitado e permita a execução se for avisado sobre um editor não confiável.
Observação
Se os scripts não tiverem permissão para serem executados devido a políticas de execução, consulte about_Execution_Policies.
Após o comando ser concluído com sucesso, tente ingressar no domínio AD para reproduzir o erro. Registre a mensagem de erro.
Execute stop-auth.ps1 e permita a execução se for avisado sobre um editor não confiável.
Os arquivos de log são salvos na subpasta authlogs , que inclui o log de Netsetup.log e o arquivo de rastreamento de rede (Nettrace.etl).
Usar a ferramenta TSS
A ferramenta TSS é outra ferramenta desenvolvida pela Microsoft para facilitar a coleta de logs. Para utilizá-lo, siga estas etapas:
Baixe a ferramenta TSS no computador cliente. Extraia os arquivos para uma pasta.
Inicie uma janela do PowerShell com privilégios de administrador. Mude para a pasta que contém os arquivos extraídos.
Execute o comando a seguir:
TSS.ps1 -scenario ADS_AUTH -noSDP -norecording -noxray -noupdate -accepteula -startnowaitAceite o EULA se solicitado e permita a execução se for avisado sobre um publicador não confiável.
Observação
Se os scripts não tiverem permissão para serem executados devido a políticas de execução, consulte about_Execution_Policies.
O comando leva alguns minutos para ser concluído. Após o comando ser concluído com sucesso, tente ingressar no domínio AD para reproduzir o erro. Registre a mensagem de erro.
Execute
TSS.ps1 -stope permita a execução se for alertado sobre um editor não confiável.Os arquivos de log são salvos na subpasta C:\MS_DATA e já estão compactados. O nome do arquivo ZIP segue o formato de TSS_<hostname>_<data>-<hora>-ADS_AUTH.zip.
O arquivo zip inclui o Netsetup.log e o rastreamento de rede. O arquivo de rastreamento de rede é chamado <hostname>_<date>-<time>-Netsh_packetcapture.etl.