Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve um valor do Registro que os administradores podem usar para controlar quando o controlador de domínio primário (PDC) é contatado, o que pode ajudar a reduzir os custos de comunicação entre sites e reduzir a carga no PDC.
Importante
Este artigo contém informações sobre como modificar o Registro. Antes de modificar o Registro, certifique-se de fazer o backup e de que saiba restaurá-lo caso ocorra algum problema. Para obter mais informações sobre como fazer backup do Registro, restaurá-lo e modificá-lo, consulte Informações do Registro do Windows para usuários avançados.
Número original do KB: 225511
Resumo
Por padrão, quando uma senha de usuário é redefinida ou alterada, ou quando um controlador de domínio recebe uma solicitação de autenticação de cliente usando uma senha incorreta, o controlador de domínio do Windows que atua como o proprietário da função FSMO (Operação Mestra Única Flexível) do PDC para o domínio do Windows é contatado. Este artigo descreve um valor do Registro que os administradores podem usar para controlar quando o PDC é contatado, o que pode ajudar a reduzir os custos de comunicação entre sites e reduzir a carga no PDC.
Essa comunicação com o PDC não é feita para contas de computador. Os computadores tentarão novamente a autenticação com a senha anterior mais recente quando a autenticação falhar. Na mesma linha, os computadores tentariam a senha anterior mais recente ao descriptografar um tíquete de serviço Kerberos que recebessem.
Mais informações
Aviso
Se o Editor do Registro for usado incorretamente, você pode causar sérios problemas que podem exigir que você reinstale o sistema operacional. A Microsoft não garante que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.
O seguinte valor do Registro pode ser modificado para controlar a Notificação de Alteração de Senha e a Resolução de Conflitos de Senha, conforme descrito abaixo:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
- Valor do Registro: AvoidPdcOnWan
- Tipo de registro: REG_DWORD
- Dados do valor do Registro: 0 (ou valor não presente) ou 1
- 0 ou valor não presente = FALSE (para desabilitar)
- 1 = TRUE (habilitar)
- Padrão: (o valor não está presente)
Notificação de alteração de senha
Um controlador de domínio gravável do Windows recebe a solicitação de alteração ou redefinição de senha do usuário. A alteração de senha é feita localmente e, em seguida, enviada imediatamente ao proprietário da função FSMO do PDC usando o serviço Netlogon como uma RPC (Chamada de Procedimento Remoto). A alteração de senha é replicada para parceiros usando o processo de replicação do Active Directory pelo PDC e pelo controlador de domínio (DC) que atende à alteração de senha. Se um RODC (controlador de domínio somente leitura) do Windows receber a solicitação de alteração de senha, ele funcionará como um proxy de autenticação encaminhando a solicitação para seu controlador de domínio do hub, que atua como se fosse o primeiro controlador de domínio a receber a solicitação.
Se o valor AvoidPdcOnWan estiver definido como TRUE e o FSMO do PDC estiver localizado em outro site, a alteração de senha não será enviada imediatamente para o PDC. No entanto, ele é atualizado com a alteração por meio da replicação normal do Active Directory. Se o FSMO do PDC estiver no mesmo site, o valor AvoidPdcOnWan não será usado e a alteração de senha será imediatamente comunicada ao PDC.
Uma senha atualizada pode não ser enviada ao emulador PDC, mesmo que AvoidPdcOnWan seja FALSE ou não esteja definido, se houver problemas ao enviar a solicitação para o PDC, por exemplo, uma interrupção de rede. Não há nenhum erro registrado neste caso. A atualização é então distribuída usando a replicação normal do AD.
Resolução de conflitos de senha
Por padrão, os controladores de domínio do Windows consultam o proprietário da função FSMO do PDC se um usuário estiver tentando se autenticar usando uma senha incorreta de acordo com seu banco de dados local. Se a senha enviada do cliente pelo usuário estiver correta no PDC, o cliente terá permissão de acesso e o controlador de domínio replicará a alteração de senha.
O valor AvoidPdcOnWan pode ser usado pelos administradores para controlar quando os controladores de domínio do Active Directory tentam usar o proprietário da função FSMO do PDC para resolver conflitos de senha. O PDC conclui o logon e a autenticação é bem-sucedida para o usuário de autenticação.
Se o valor AvoidPdcOnWan estiver definido como TRUE e o proprietário da função FSMO do PDC estiver localizado em outro site, o controlador de domínio não tentará autenticar um cliente em relação às informações de senha armazenadas no FSMO do PDC. Observe, no entanto, que isso resulta na negação de acesso ao usuário. Isso pode causar um impacto na produtividade, pois muitos usuários não tentarão a senha anterior para autenticar. Em alguns cenários, eles podem não saber a senha anterior.
Uma senha incorreta não pode ser tentada no emulador PDC, mesmo que AvoidPdcOnWan seja FALSE ou não esteja definido, se houver problemas ao enviar a solicitação para o PDC, por exemplo, uma interrupção de rede. Não há nenhum erro registrado neste caso. A tentativa de logon é negada neste caso.
O cenário é diferente quando um RODC está envolvido. Se uma solicitação de autenticação no RODC falhar com uma senha incorreta, o RODC enviará a solicitação para o controlador de domínio do hub e, por sua vez, o controlador de domínio do hub a enviará para o PDC. Se for bem-sucedido no PDC, a autenticação do usuário será bem-sucedida. Se o RODC tiver permissão para armazenar em cache a senha do usuário, ele solicitará que a senha do usuário seja replicada de seu controlador de domínio do hub. Mas o DC do hub também ainda tem apenas a senha antiga. O RODC só obtém a nova senha por meio do ciclo normal de replicação. Ele continuará precisando do hub ou do PDC até que a nova senha seja replicada.
Tratamento de replicação de senha
Quando o controlador de domínio gravável encaminha a alteração de senha para o PDC, a senha do usuário é definida em ambos os controladores de domínio. Ambos os DCs incluirão essa nova senha em sua replicação de saída.
Se essas duas alterações chegarem a um DC, a resolução normal de conflitos do AD será executada. A versão do AD dos atributos será a mesma, mas o carimbo de data/hora do PDC será um pouco mais antigo e a senha do DC inicial será usada.
Não faz diferença, pois a carga de dados é idêntica porque ambos os DCs gravaram o mesmo novo valor de senha.
Fazendo logon no log de eventos dos Serviços de Diretório
O Windows Server 2022 adicionou eventos para acompanhar a atividade de interações com o emulador PDC em relação às notificações de atualização de senha.
ID do evento 3035
A ID do evento 3035 é registrada no PDC no nível de log quatro da categoria "27 Notificações de Atualização de Senha PDC" na seguinte entrada do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3035
Task Category: PDC Password Updates
Level: Informational
Description:
Active Directory Domain Services successfully processed a password update notification sent from a Backup Domain Controller (BDC).
BDC: <Computer Name>
User: <User Name>
User RID: <RID>
ID do Evento: 3036
A ID do evento 3036 será registrada se houver um erro ao atualizar o PDC com as atualizações em uma chamada de um BDC (Controlador de Domínio de Backup):
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3036
Task Category: PDC Password Updates
Level: Warning
Description:
Active Directory Domain Services failed to process a password update notification sent from a Backup Domain Controller (BDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
BDC: <Computer Name>
User: <User Name>
User RID: <RID>
Error: <Error Code>
Importante
A ID do evento 3036 com o código de erro 8440 pode ser vista em PDCs que executam Windows Server 2022 ou posterior ao processar uma notificação de atualização de senha de um BDC que executa Windows Server 2019 ou anterior. Dada essa combinação de PDC mais recente e BDC mais antiga, a ID do Evento 3036 com o código de erro 8440 ocorre no PDC quando o BDC envia uma notificação de atualização de senha para uma nova conta de usuário que ainda não foi replicada para o PDC. Para evitar esse problema, atualize o BDC para Windows Server 2022 ou posterior.
ID do Evento 3037
A ID do evento 3037 é registrada no BDC no nível de log quatro da categoria "27 Notificações de Atualização de Senha PDC" na seguinte entrada do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3037
Task Category: PDC Password Updates
Level: Informational
Description:
Active Directory Domain Services successfully sent a password update notification to the Primary Domain Controller (PDC).
User: <User Name>
User RID: <RID>
ID do Evento 3038
A ID do evento 3038 será registrada se houver um erro ao atualizar o PDC com as atualizações em uma chamada de um BDC:
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 3038
Task Category: PDC Password Updates
Level: Warning
Description:
Active Directory Domain Services failed to send a password update notification to the Primary Domain Controller (PDC).
The user may experience temporary authentication failures until the updated credentials are successfully replicated to the PDC via normal replication schedules.
User: <User Name>
User RID: <RID>
Error: <Error Code>
Por exemplo, o código de erro c0000225 é mapeado para STATUS_NOT_FOUND. Esse erro é esperado quando o usuário é recém-criado no controlador de domínio local e a senha do usuário é definida dentro da latência de replicação do PDC.
Você também pode ver erros relacionados à rede ou RPC na ID do Evento 3038. Por exemplo, quando um firewall bloqueia a comunicação entre o BDC e o PDC, você pode receber esse evento.
Referências
Como configurar o log de eventos de diagnóstico do Active Directory e do LDS