Visão Geral Do Active Directory

Contents
Windows Server
Active Directory
Active Directory
Backup, restauração ou recuperação de desastre do Active Directory
O erro c00002e2 ou "Escolher uma opção" é exibido
Evento de Serviços de Diretório 2095 quando ocorre reversão de USN
Evento 2089 se você não fazer backup de um controlador de domínio
ID do evento 1587 depois de restaurar o controlador de domínio
Como remover domínios órfãos
Como restaurar contas de usuário excluídas e seus grupos
Nenhum servidor de logon está disponível
Desfragmentação offline do banco de dados do Active Directory
Realocar uma árvore SYSVOL
RODC replica senhas
Syskey.exe utilitário não tem mais suporte
A pasta SYSVOL não é replicada entre controladores de domínio
Serviços de Certificados do Active Directory
Uma Autoridade de Certificação não pode usar um modelo de certificado
Fazer backup da chave privada do EFS do agente de recuperação
Não é possível selecionar modelos de certificado compatíveis com AC
Não é possível compartilhar arquivos com vários certificados EFS
Os Serviços de Certificados não são iniciados
Os Serviços de Certificados não podem ser iniciados em um computador
Alterar a data de validade dos certificados emitidos pela AC
Falhas de backup de MasterKey de DPAPI
Exportar certificado de autoridade de certificação raiz
Localizar o nome do servidor de AC raiz corporativa
Como reinstalar a função de AC
Como remover manualmente a Autoridade de Certificação do Windows Enterprise
Mover uma autoridade de certificação para outro servidor
Mover arquivos de log e banco de dados do Servidor de Certificados
Certificados raiz confiáveis necessários
Definir um período de validade diferente para a AC subordinada
Configurar a autenticação baseada em certificado entre florestas sem confiança para
um servidor Web
Certificados de AC raiz válidos não são confiáveis
Os modelos da versão 3 não aparecem no registro da Web do certificado
Problemas de banco de dados do Active Directory e falhas de inicialização do
controlador de domínio
Erro "acesso negado" ao replicar o serviço de diretório do AD
Erro "Os Serviços de Diretório não podem iniciar" ao iniciar um controlador de
domínio
Falha na comunicação do AD em controladores de domínio multihomed
O serviço do ADWS falha após a atualização
Processo de coleta de lixo do banco de dados
Erro ao configurar um servidor com Gerenciador do Servidor
IDs de evento ESENT 1000, 1202, 412 e 454
As IDs de evento 5788 e 5789 ocorrem
Como executar o verificador semântico no banco de dados do AD
Como usar o Ntdsutil para gerenciar arquivos do Active Directory
ISMServ.exe falha ao iniciar quando o controlador de domínio é iniciado
Atualizações de nível funcional de domínio ou floresta do Active Directory
Erro "O Adprep não pôde contatar uma réplica" ao executar o comando "Adprep
/rodcprep"
Configurar a delegação restrita de Kerberos
O processo de promoção do controlador de domínio mostra "Windows Server
Technical Preview"
Como configurar o firewall para domínios e relações de confiança
Aumentar os níveis funcionais de floresta e domínio do Active Directory
Serviços de Federação do Active Directory (AD FS)
Solucionar problemas de SSO do ADFS
Erro 180 do ADFS e pontos de extremidade ausentes
Erro de certificado do ADFS 2.0
Erro 401 do ADFS 2.0
Erro do ADFS 2.0: esta página não pode ser exibida
Falha ao iniciar o serviço do ADFS 2.0
Disponibilidade e descrição do Serviços de Federação do Active Directory (AD FS)
2.0
Alterar o certificado de comunicações de serviço do AD FS 2.0
Descrição do recurso Bloqueio Inteligente de Extranet
Desabilitar e substituir o TLS 1.0 no ADFS
Erro 0x80072EE7 ao executar o Ingresso no Local de Trabalho
Falha ao conectar o serviço do ADFS
Falha ao converter o domínio para Standard
Restaurar o IIS e limpar o Active Directory
Solucionar problemas de erro do AD FS 2.0
Solucionar problemas do AD FS no Azure Active Directory
Active Directory FSMO
Não é possível entrar no domínio
Falha ao capturar a função mestre RID com Ntdsutil
Localizar servidores que contêm funções FSMO
Funções FSMO
Como transferir ou capturar funções FSMO
Como exibir e transferir funções FSMO
Função de alteração de senha e resolução de conflitos
Processo de transferência e dimensionamento de funções FSMO
Active Directory Lightweight Directory Services (AD LDS) e ADAM (Modo de
Aplicativo do Active Directory)
A ID de Evento Geral 1161 de ADAM é registrada em um servidor AD LDS
Ocultar ou exibir a classe de objeto InetOrgPerson
Como configurar o log de eventos de diagnóstico do AD e do LDS
As operações LDAP para o Active Directory estão desabilitadas
Falha na inicialização do serviço LDS com a ID de Evento 1168
Vários eventos de "ID do evento 1216"
Ocorrem problemas com controladores de domínio em zonas DNS integradas do
Active Directory
Solucionar OBJ_CLASS_VIOLATION erro no Adamsync
AdmT (Ferramenta de Migração do Active Directory)
ID do evento 2092 dos logs de instância do AD LDS
Falha na instalação do PES do ADMT 3.1 com erro
Falha ao executar o console ADMT após a instalação
Problemas ao migrar para o domínio com o ADMT 3.1
Informações de suporte para ADMT e PES
Solucionar problemas de migrações de senha dentro da floresta
Solucionar problemas de migração de sIDHistory com ADMTv2
O Aplicativo do Windows não pode ser iniciado
Replicação do Active Directory
Diretrizes de solução de problemas: replicação do Active Directory
As alterações do Active Directory não são replicadas
Erro de replicação do Active Directory 1256
ID do evento de replicação do Active Directory 1388 ou 1988
ID do evento de replicação do Active Directory 1925
ID do evento de replicação do Active Directory 2108 e 1084
As operações do AD falham com o erro Win32 1127
As operações do AD falham com o erro 8240 do Win32
A replicação do AD falha com o erro 8409
A replicação do AD não está funcionando e o evento 1865
As replicação do AD falham com o erro 1818
Não é possível alterar o escopo de replicação da zona integrada ao AD
Não é possível excluir objetos do AD com muitos links
As alterações não são replicadas para controladores de domínio de destino
Falha no teste de DCDiag VerifyReferences
Diagnosticar falhas de replicação
Desabilitar o KCC de criar automaticamente a topologia de replicação
Conexões de replicação duplicadas do AD são criadas
Obter e usar a Ferramenta de Status de Replicação do AD
Hotfixes para tecnologias DFS
Como restringir o tráfego RPC a uma porta específica
objetos persistentes em uma Windows Server Active Directory floresta
Os objetos persistentes ainda permanecem
Falha na replicação manual de dados entre controladores de domínio
Modificar o intervalo de replicação de DC dentro do site padrão
ID 1093 do evento de aviso de replicação NTDS
IDs de aviso de replicação NTDS 1083 e 1061
Substituição de NTFRS bloqueia a instalação de DCs de réplica
As operações falham com o erro Win32 1753
As operações falham com o erro 8524 do Win32
O controlador de domínio filho órfão não é replicado
Erro de replicação 1722
Erro de replicação 5 – Acesso negado
Solucionar problemas de erro de replicação do Active Directory 1396
Solucionar problemas de erro de replicação do AD 8446
Solucionar erros comuns de replicação do Active Directory
Solucionar problemas de erro de replicação do controlador de domínio 1727
Solucionar problemas de mensagens da ID de evento 1311
Solucionar problemas de erros de banco de dados Jet e etapas de recuperação
Solucionar problemas de erro de replicação 8418
Solucionar problemas de erro de replicação 8456 ou 8457
Usar o Ntdsutil para localizar e limpar identificadores de segurança duplicados
Active Directory Rights Management Services
A ID de evento 84 ocorre no AD RMS no Windows Server
Topologia do Active Directory (sites, sub-redes e objetos de conexão)
Não é possível promover um DC para o servidor de catálogo global
Falha ao criar um namespace do DFS
Problemas ao renomear sites na floresta do AD
O KFSO não funciona na relação de confiança externa
Otimizar o local do controlador de domínio
Problemas com a promoção do DC para o servidor de catálogo global
DCPromo e a instalação de controladores de domínio
Erro "Incompatibilidade de esquema" ao tentar executar o Assistente de Instalação
do Active Directory
O erro de acesso negado ocorre com DCPROMO
O acesso é negado quando você promove o controlador de domínio
Falha nas operações de configuração do AD DS
Não é possível adicionar um controlador de domínio como um nó
Não é possível selecionar a função de Servidor DNS ao adicionar um controlador de
domínio a um domínio existente do AD
Criar um servidor do Active Directory
A promoção do DC para de responder
Falha no rebaixamento do DCPROMO
Implantação e operação de domínios do Active Directory
A renomeação do controlador de domínio não renomeia todos os objetos SYSVOL
do AD DFSR
Os controladores de domínio não rebaixam
Erros ao executar comandos DCDIAG
Falha ao rebaixar o controlador de domínio com Dcpromo.exe
Otimização e posicionamento do FSMO
Regras de aplicativo de política de grupo para controladores de domínio
Política de Grupo preparação não é executada
Como atualizar controladores de domínio
Como usar o modo autônomo para instalar e remover o AD DS
Falha na instalação do AD DS
Erro interno durante a fase de replicação do dcpromo
Falha ao mover o Windows Server para um domínio
O compartilhamento NETLOGON não está presente depois que você instala o AD
DS em um novo controlador de domínio completo ou somente leitura
O controlador de domínio recém-promovido não é anunciado após o DCpromo
Escalabilidade ou desempenho do controlador de domínio (incluindo LDAP)
DC retorna apenas 5.000 valores na resposta LDAP
O controlador de domínio não está funcionando corretamente
ID do evento 1644 quando as consultas LDAP são executadas
Como solucionar problemas de alta Lsass.exe utilização da CPU
Servidores LDAP e Kerberos redefinem sessões TCP
Problemas de desempenho depois de atualizar os controladores de domínio
Usar Event1644Reader.ps1 para analisar o desempenho da consulta LDAP
Problemas de ingresso no domínio
Erro "A conta não está autorizada a fazer logon desta estação"
Falha na instalação do Active Directory
Não é possível se desagrender com a Internet ou o domínio
Limite padrão para números de estação de trabalho
Mecanismo para localizar um controlador de domínio
O serviço Netlogon não mantém as configurações após a atualização in-loco
Limites de suporte para o Active Directory por NAT
O Sync Center sincroniza arquivos offline muito lentos
Solução de problemas do erro 1908 da Replicação do AD
Solucionar erros ao ingressar computadores em um domínio
Não é possível ingressar computadores em um domínio
Falha ao usar a interface do usuário de ingresso no domínio para ingressar um
computador no domínio do AD
Configuração e interoperabilidade do LDAP
Os controladores de domínio não podem ser localizados e sessões de saída de alta
taxa
Habilitar LDAP sobre SSL
Como desabilitar o TLS 1.3 para AD e LDAP
Como habilitar a assinatura LDAP no Windows Server
Como ativar o log de depuração do cliente LDAP
As consultas LDAP com indicações subordinadas não são perseguidas corretamente
Consultas LDAP retornam lista de atributos parciais
Consultas LDAP direcionadas a nomes de host levam mais tempo
Configurações e requisitos de segurança de sessão LDAP após ADV190023
Problemas de conexão LDAPS
Fazer DCs responderem ao Ping LDAP na porta UDP 138
Usar o recurso Dbdump Online no Ldp.exe
Exibir e definir a política LDAP usando Ntdsutil
Atualização de esquema – problemas conhecidos, práticas recomendadas, revisão de
fluxo de trabalho
Como localizar a versão atual do esquema
Falha ou conflito de atualização de esquema
Atrasos quando os membros do domínio se comunicam com os controladores de
domínio
Erro ao executar o Assistente de Instalação do AD
Protocolo TLS
Desabilitar o TLS 1.0 e 1.1 e forçar o uso do TLS 1.2
Erros quando os aplicativos tentam se conectar ao SQL Server
Gerenciamento de usuários, computadores, grupos e objetos
Erro "Esta propriedade está limitada a 64 valores"
Acesso negado após fazer logon em uma conta de administrador local
ACESSO NEGADO com APIs NetUser e NetGroup
O acesso é negado quando usuários não administradores ingressam em
computadores
O alocador de identificador de conta falha ao inicializar
Adicionar grupos especiais a grupos internos
Todos os membros de um grupo podem não ser retornados
Os resultados do AuditPol e da Política de Segurança Local são diferentes
Não é possível acessar dados do AD no Gerenciador de Controle do Código-Fonte
Não é possível adicionar usuário ou objeto ao serviço de diretório
Não é possível iniciar a Usuários e Computadores do Active Directory Tool
Compatibilidade com contas de usuário que terminam com o cifrão
Definir modelos de segurança por modelos de segurança Snap-In
Erro "O tipo de dados do diretório não pode ser convertido em/de um tipo de
dados DS nativo"
A ID do evento 5722 está registrada no controlador de domínio
Falha ao excluir configurações de NTDS órfãs
Falha ao executar Get-ADGroupMember grupo local de domínio
Não há suporte para o modo de planejamento RSoP em um cenário entre florestas
Como alterar os nomes de exibição de usuários do Active Directory
Como habilitar o log de eventos Kerberos
Como redefinir a senha de administrador DSRM
Como usar fantasmas
Informações sobre dispositivos configurados como RODCs
Permitir que não administradores exibam o contêiner de objetos excluídos
As contas do Linux não podem obter tiques criptografados do AES no AD DS
Modificar propriedades filtradas de um objeto
Várias guias de propriedades do usuário estão ausentes
Nomear computadores, domínios, sites e UOs
NET.EXE /ADD não dá suporte a nomes com mais de 20 caracteres
O serviço Netlogon não é iniciado
Falha na alteração de senha para senha expirada
Falha na redefinição de senha com erro
Protocolos de alteração de senha no Windows
Desempenho ruim ao chamar funções de pesquisa
Redirecionar usuários e contêineres de computadores
Renomear um item após a colisão de replicação
Restringir o uso de um computador a apenas um usuário de domínio
Definir a senha de um usuário com Ldifde
Alguns aplicativos e APIs exigem acesso a informações de autorização
A ferramenta LoL (Liquidador de Objeto Persistente)
Usar o Adminpak para administrar computadores remotamente
Usar o Serviço de Diretório para gerenciar objetos do AD
Sinalizadores de propriedade UserAccountControl
Controlador de domínio virtualizado (erros e perguntas)
Hospedar AD DCs em ambientes de hospedagem virtual
IDs de evento do Serviço de Horário do Windows 24, 29 e 38
Serviço de Horário do Windows
Configurar w32Time em um deslocamento de tempo grande
Converter atributos de data/hora em formato de hora padrão
Mensagem de erro ao executar o comando "w32tm /resync"
Evento 142: O serviço de horário parou de anunciar
Como configurar o servidor de horário autoritativo
Como o Serviço de Horário do Windows trata o segundo bissexto
Suporte para o segundo bissexto
O serviço de horário não corrige a hora
A sincronização de tempo pode não ter êxito
Ativar o log de depuração no Serviço de Horário do Windows
As configurações do W32time falham ao iniciar o Serviço de Horário do Windows
em um grupo de trabalho
As configurações do Serviço de Horário do Windows não são preservadas em uma
atualização
Administração desenvolvimento
Administração desenvolvimento
ADSI (Interface de Serviços do Active Directory)
Converter GUID formatado em cadeia de caracteres em formulário de cadeia de
caracteres hexadecimal
WMI (Instrumentação de Gerenciamento do Windows)
Prática recomendada de configuração do desempenho de encaminhamento de
EventLog
Hotfixes sugeridos para problemas de WMI
O Windows Installer reconfigurou todos os aplicativos
WinRM (Gerenciamento Remoto do Windows)
O coletor de eventos não encaminha eventos
Gerenciamento de aplicativos
Gerenciamento de aplicativos
.NET Framework instalação
Os serviços dependendo ASP.NET serviço de estado não são iniciados
Aplicativos de terceiros
O discamento não está disponível no snap-in do MMC
ACT (Application Compatibility Toolkit)
O DXDIAG relata pouca memória de adaptadores de exibição
Erro "Falha na verificação do Analisador de Práticas Recomendadas"
Desempenho e estabilidade com e COM+
O aplicativo COM+ para de funcionar quando os usuários fizerem logoff
Programação COM e DCOM
O desempenho é degradado ao acessar arquivos grandes
Administração, configuração e segurança do COM+
0x80004027 erro ao acessar remotamente o objeto COM+
Código de erro 80080005 ao iniciar muitos aplicativos COM+
Inicialização, configuração, conectividade e cluster do DTC
Como configurar o DTC para trabalhar por meio de firewalls
Como habilitar o acesso DTC à rede
Recompilar ou mover a instalação do MSDTC a ser usada com o cluster de failover
do SQL
Solucionar problemas de conectividade no MS DTC com a ferramenta DTCPing
Sistema de Eventos
Descrição do Rastreador de Eventos de Desligamento
Como excluir arquivos de log Visualizador de Eventos corrompidos
Mover Visualizador de Eventos arquivos de log para outro local
MSI
Corrigir problemas de corrupção de registro de atualização de software MSI
Falha na instalação do MSI com o erro 1603
Interface do Usuário Multilíngue (MUI) e Editor de Método de Entrada (IME)
Como as configurações de "Opções Regionais e de Idioma" são aplicadas
Falha ao inicializar o ouvinte HTTP ao não ter SeChangeNotifyPrivilege
Host de Script do Windows (CScript ou WScript)
Executar um script de logon uma vez quando um novo usuário fizer logon
Backup e armazenamento
Backup e armazenamento
Backup e restauração do Active Directory ou recuperação de desastre
Vida útil de um backup de estado do sistema do AD
Configurando e usando o software de backup
0x80042306 erro ao configurar versões anteriores para um ponto de montagem
Acesso negado ao executar o trabalho em lotes
O programa de backup não tem êxito para um grande volume do sistema
Não é possível adicionar um disco adicional a um backup agendado
Erro de conexão de clientes do DirectAccess 0x274d
Erro diskshadow ao tentar criar um instantâneo do VSS
Habilitar recursos de rastreamento de depuração do VSS
Erro 3266/3013 ao executar backup/restauração de banco de dados
Mensagem de erro ao fazer um backup de estado do sistema
ID do evento 8193 ao executar um backup
Como usar o recurso de backup para fazer backup e restaurar dados
Nenhum gravador VSS ao executar o comando "vssadmin list writers"
Códigos de retorno usados pelo utilitário Robocopy
Falha no processo de backup do servidor e erro 0x80070005
ID do evento srv do log de eventos do sistema 2012
Falha no Backup de Estado do Sistema
Falha no backup de estado do sistema
Falha ao abrir o MMC de Backup do Windows Server
Dados corrompidos e erros de disco
Diretrizes de solução de problemas: dados corrompidos e erros de disco
O backup não é iniciado depois que você executa a BMR
Não é possível excluir arquivos no sistema de arquivos NTFS
Alterar o comportamento do comando de formato
Corrigir problemas de espaço em disco em volumes NTFS
ID do evento de disco 154
Erros ocorrem quando você traz um recurso de disco físico
Estender um CSV não está bloqueado
Definir o Registro de Atributos do Partmgr com o PowerShell
O sistema registra vários eventos que especificam a ID de Evento 640
Deduplication
Clonar ou duplicar uma instalação do Windows
Erros para solicitações SMB Read Andx para arquivos gerenciados pelo Eliminação
de Duplicação de Dados
Os arquivos estão corrompidos no volume com eliminação de duplicação
A coleta de lixo completa causa problemas de desempenho
Problemas conhecidos depois de habilitar a eliminação de duplicação de dados no
CSV
Servidor de arquivos Resource Manager (FSRM)
Erro 10013 ao associar a porta excluída novamente
O servidor de Resource Manager não pôde carregar objetos WMI
O uso da cota de FSRM está incorreto
Hotfixes para Serviços de Arquivos no Windows Server 2008
Não há armazenamento suficiente para processar este comando
Iscsi
Os compartilhamentos de arquivos em dispositivos iSCSI não são criados
novamente
Os limites de tamanho do disco virtual iSCSI estão incorretos
Limites do Microsoft iSCSI Software Target 3.3
Sub-redes redundantes são criadas incorretamente
O iniciador iSCSI não pode fazer logon no Destino Favorito
MPIO (Multipath E/S) e Storport
Não é possível instalar o Windows no LUN de inicialização com vários caminhos
Habilitar o MPIO com discos SAS diminui o desempenho
Opção MPIO não disponível no Gerenciamento de Disco
Gerenciamento de partição e volume
Erro "Você não tem permissão"
Um volume aparece como bruto no gerenciamento de disco
Práticas recomendadas para usar discos dinâmicos
Não é possível acessar um volume CSV de um nó passivo
Não é possível selecionar ou formatar partição de disco rígido
Não é possível iniciar um computador de uma unidade flash USB do sistema de
arquivos FAT32
Não é possível usar o comando de quebra DiskPart para interromper um conjunto
espelhado
Configurar um alerta de pouco espaço em disco
Limitações do Desfragmentador de Disco
Rastreamento de Link Distribuído em controladores de domínio
Estabelecer e inicializar para espelhos GPT no Windows de 64 bits
Estender um volume de dados
Perguntas frequentes sobre a arquitetura de disco da Tabela de Particionamento de
GUID
Corrigir o uso intenso de memória no ReFS
Os discos de troca dinâmica não são reconhecidos
Como o NTFS reserva espaço para MFT
Como estabelecer um volume distribuído
Como espelhar o sistema e a partição de inicialização (RAID1)
Como executar a ferramenta de Limpeza de Disco (Cleanmgr.exe)
Como configurar o espelhamento de partição de inicialização dinâmica em discos
GPT
Intel SSD D3-S4510 e Intel SSD D3-S4610 série 1,92 TB e unidades de 3,84 TB sem
resposta
Novo mecanismo de registro em log para VDS
O volume do ReFS usando o DPM fica sem resposta
Restaurar a letra da unidade de inicialização/sistema
Volumes simples podem se tornar inacessíveis
Limite de usabilidade para VSS (Serviço de Cópias de Sombra de Volume)
Usar o Snap-in de Gerenciamento de Disco
Suporte do Windows para discos rígidos que excedem 2 TB
Hardware de armazenamento
Como ativar ou desativar o cache de gravação de disco
Informações sobre a ID do Evento 51
O disco de passagem na VM altamente disponível é somente leitura
Os Volumes Compartilhados de Cluster Replicados estão offline
Política de suporte para discos rígidos do setor de 4K
Erro de dispositivo USB não reconhecido
Espaços de Armazenamento
Estender espaços de armazenamento em camadas autônomos
Restauração do sistema ou redefinição do computador
Como restaurar uma instalação do Windows 7
Serviço de Cópias de Sombra de Volume (VSS)
O backup falha devido ao gravador VSS
Falha no backup com os eventos 12292 e 11 do VSS
Erro 0x8000FFFF ao executar o comando "vssadmin list writers"
Erro 0x80042409 ao fazer uma restauração do VSS
ID do evento 513 ao executar o VSS no Windows Server
Nenhum gravador VSS é listado ao executar gravadores de lista vssadmin
Cópias de sombra são excluídas ao executar um trabalho de classificação de FCI
Falha no backup de estado do sistema usando o Backup do Windows Server
Avisos de backup de terceiros após a instalação de uma atualização de manutenção
O Serviço de Cópias de Sombra de Volume leva mais tempo para ficar online
Evento VSS 8193 ao reiniciar o serviço serviços criptográficos
ID do evento VSS 8019, 20, 8193 ou 12302
Avisos do VSS no log de eventos do aplicativo
Falha no relatório de gravadores VSS na máquina virtual
Contêineres
Gerenciamento de contêineres
Política de suporte para contêineres do Windows e Docker em cenários locais
Implantação
Implantação
Ativação
Erro "O Windows não é original"
0xc004f063 ao ativar uma versão OEM
ID de Aviso do Log de Eventos do Aplicativo 1058
Erro 0x8007000D quando você ativa um computador
Erro 0xC004E002 durante a ativação
Erro 0xC004F015 ao ativar o Windows 10
Erro 0xC004F074 ao ativar o Windows
Erro ao validar uma cópia do Windows
Evento 12293 ao registrar um registro de host KMS
Falha na Ativação Baseada em Token de Aviso da ID de Evento 12321
A ID do evento 8208, 8200 ou 900 é registrada em log
Falha ao ativar o Windows Server pela Internet
Como alterar a chave do produto (Product Key) de Licenciamento por Volume
Como recompilar o arquivo Tokens.dat
O banco de dados especificado não é um erro de banco de dados VAMT válido
Falha na Ativação do Windows com erro 0x8007267C
Falha na instalação do Windows com erro
Dispositivos e drivers
Erro "Parar 0x0000007B"
Erro "Este dispositivo não pode iniciar" ao implantar um SSD NVMe de hot plug
Não é possível encontrar o Adaptador de Loopback da Microsoft
Não é possível instalar um driver VMWare no Windows Server 2008 R2
Alterações do comportamento padrão para o Estacionamento Principal
Habilitar Plug and Play para dispositivos de porta paralela
ID do evento 37 depois de alterar a política de energia
A ID do evento 56 é registrada em log
Falha ao inserir um cartão inteligente em um leitor
Como determinar o tipo de processador
Como substituir um driver usando o Console de Recuperação
Como usar o Gerenciador de Dispositivos para configurar dispositivos
Política de suporte para software de terceiros no nível do kernel
Falha na instalação do driver VMware no Windows Server 2008 R2 SP1
Suporte do WDS (Serviços de Implantação do Windows) para UEFI
MDM
Falha na implantação multicast do WDS
Manutenção
Diretrizes de solução de problemas: instalando recursos ou funções do Windows
Diretrizes de solução de problemas: atualização do Windows Server
Não é possível se conectar ao site de administração do WSUS
Não é possível instalar o .NET Framework 3.5 na instalação do Windows OEM
Não é possível instalar atualizações ou programas
O arquivo CBS.log contém entradas que alguns arquivos não são reparados
Descrição do Verificador de Arquivos do Sistema (Sfc.exe)
Descrição do Windows Server Update Services 3.0
Erro 0x800f0906 ao converter o Server Core em GUI
Erro 0x800f0922 quando a instalação do recurso mpIO falha
Erro 0x800f0922 ao desinstalar funções/recursos
Erro C0190003 após instalar atualizações
Falha ao instalar a função servidor de políticas de rede
Falha ao agendar o serviço de Proteção de Software para reinicialização
Corrigir Windows Update erros
Como bloquear o acesso do usuário ao Windows Update
Como usar o Console de Recuperação
Instalar a Ferramenta de Relatório de Suporte a Produtos da Microsoft
Lista de atualizações
Registrar novamente o cliente/servidor do Windows no WSUS
A Partição do Sistema fica offline após a instalação de algum Disco de Terceiros
SystemInfo.exe não exibe todas as atualizações instaladas
Desativar temporariamente o driver de filtro do modo kernel
Por que você pode ser solicitado a reiniciar o computador
Windows Server 2008 Service Pack 2
O pacote de instalação do WSUS 3.0 está disponível
Instalação dinâmica do WSUS 3.0 SP2 para Gerenciador do Servidor
O WSUS SelfUpdate não envia atualizações automáticas
WUSA retorna 0x5 ERROR_ACCESS_DENIED
Não é possível instalar recursos no Windows Server 2012 R2
Configuração
Adicionar drivers PnP OEM a instalações do Windows
Evitar GUIDs duplicados ao criar imagens de clientes SMS
Não é possível abrir arquivos EXE
Os dicionários IME chineses ainda não estão prontos
O método de entrada chinês (simplificado) não funciona
Criar uma imagem ISO para plataformas UEFI
Habilitar registro em log e rastreamento para componentes do WDS
ID do evento 307 e 304 registradas para implantação do Windows
Falha ao executar aplicativos no Windows Server Core
Como executar uma atualização in-loco/de reparo
A atualização in-loco trava na tela preta
Integrar Windows Server Update Services (WSUS) 3.0 ao Gerenciador do Servidor
Problemas conhecidos que afetam a tarefa de manutenção de limpeza do AppX
Caminhos longos com espaços exigem aspas
Editar manualmente Boot.ini arquivo
O USB de Implantação de Mídia do MDT não é inicializável
Ciclo de vida de suporte do Microsoft Deployment Toolkit
Falha na tarefa configuração pós-implantação
A instalação falha em uma VM com erros 0xE0000100
Falha na sequência de tarefas SYSPREP e CAPTURE
O servidor WDS pode não ser iniciado
A instalação autônoma não usa o nome do computador especificado pelo usuário
durante o OOBE
Falha na atualização com o erro 0x000000C4
Usando IDs de idioma para identificar pacotes de idiomas
Falha ao iniciar o Serviço de Implantação do Windows
falha na Banco de Dados Interno do Windows (WID)
Erro de configuração pcR7 "Associação não possível"
Instruções de instalação e suporte do Windows Server para a família de
processadores AMD Rome
Os clientes do WSUS não podem instalar atualizações
Política de Grupo
Política de Grupo
Políticas de restrição de software ou AppLocker
Aplicar Política de Grupo a servidores dos Serviços de Terminal
Implantando software por meio Política de Grupo
Alterar um local ou definir vários caminhos UNC para o pacote MSI
Solucionar problemas de instalações de software por log de depuração
Usar Política de Grupo para configurar o logon automático nos Serviços de Terminal
Usar Política de Grupo para implantar uma reversão de problema conhecido
Usar Política de Grupo para instalar softwares remotamente
Política de Grupo gerenciamento – GPMC ou AGPM
Erro 0x8007000D ao executar o Backup-GPO no Server Core
AGPM e GPRESULT não estão funcionando
As alterações nas permissões de GPO não são salvas
Criar um Repositório Central em um controlador de domínio
A ferramenta Dcgpofix não restaura as configurações de segurança para o estado
original
Descrição dos grupos restritos à política de grupo
Como habilitar o recurso Política de Grupo loopback
Como definir a segurança do log de eventos localmente ou por meio Política de
Grupo
Como dar aos usuários acesso a Política de Grupo Objetos
Gerenciar Política de Grupo de modelo administrativo
As permissões para este GPO são inconsistentes
Remover este item se ele não for mais a opção aplicada
Redefinir direitos de usuário no GPO de domínio padrão
O Diretório não está vazio
O sistema não consegue localizar o arquivo especificado
Solucionar problemas de eventos SCECLI 1202
Usar GPOs para alterar o nome de domínio de logon padrão
Usar o Rsop.msc para coletar a política do computador
Conflito de WinStoreUI.admx com o Windows 10 ADMX
Mensagem de erro incorreta para arquivos .adml ausentes
Gerenciando mapeamentos de unidade por meio Política de Grupo
Política de Grupo preferências remove mapeamentos manuais de unidade
Gerenciando configurações do Internet Explorer por meio Política de Grupo
"Permitir que o conteúdo ativo execute arquivos em Meu Computador" não
funciona
Usar Política de Grupo para controlar o acesso a sites
Gerenciando impressoras por meio Política de Grupo
As Preferências da Impressora não podem definir a impressora padrão
Gerenciar dispositivos removíveis por meio de Política de Grupo
Como usar o Política de Grupo desabilitar drivers
Problemas ao aplicar Política de Grupo objetos a usuários ou computadores
Erro "O namespace já está definido" ao editar uma política
A configuração "Definir caminho de perfil móvel para todos os usuários que estão
fazendo logon neste computador" se aplica a contas locais
Uma Política de Grupo configuração não está disponível na lista de configurações da
política de segurança
AuthZ falha com um erro de Acesso Negado
Erro 0x80004005 ao criar DSN com GPP
Evento 1202 com status 0x534 registrado
ID do evento 1053 usando o comando "Gpupdate /force"
Os eventos 1101 e 1030 são registrados no log do aplicativo
Falha ao executar o Política de Grupo de Modelagem
A política de grupo de redirecionamento de pasta não é aplicada
Política de Grupo erros quando uma variável de ambiente desconhecida é usada
A política de grupo com filtros WMI pode ser negada ou causar logon/inicialização
lenta
ID do evento Netlogon 5719 ou Política de Grupo evento 1129
As alterações de política de senha não são aplicadas
As configurações são aplicadas Política de Grupo
Algumas Política de Grupo áreas estão ausentes
Use Política de Grupo para adicionar a entrada do Registro MaxTokenSize
Falha na aplicação do item tarefa agendada do GPP do usuário
Ocorrem erros de userenv e os eventos são registrados
Os filtros Política de Grupo WMI não funcionam
Filtragem de segurança e direcionamento em nível de item
Configurar políticas de grupo para definir a segurança
Política de Grupo preferências de eventos
Problemas de acesso ou replicação do Sysvol
Alterar as permissões padrão em GPOs
Falha na migração ou replicação do DFSR SYSVOL
Erros ao executar o GPMC
Como forçar a sincronização para replicação de sysvol replicada por DFSR
Minimizar o tamanho do SYSVOL removendo modelos administrativos
Recompilar a árvore SYSVOL e seu conteúdo em um domínio
OS RODCs não replicam o diretório compartilhado SYSVOL
Solucionar problemas de compartilhamentos SYSVOL e NETLOGON ausentes
Alta Disponibilidade
Alta Disponibilidade
Não é possível colocar um recurso online
Diretrizes de solução de problemas: não é possível colocar um recurso online
Não é possível colocar um nome de rede online
Não é possível colocar um disco físico online
Não é possível colocar um endereço IP online
Erro "O parâmetro está incorreto"
Rota Ativa removida
O recurso de disco de cluster não está online
Falha no recurso de compartilhamento de arquivos de cluster
Informações de clustering sobre failover de endereço IP
A conta de validação de cluster causa eventos ou mensagens
Erro 0x8000ffff quando você altera as configurações de Cópia de Sombra
As mensagens de erro ocorrem ao colocar um grupo de cluster online
Falha ao compartilhar pastas no cluster de failover
Discos SAS locais sendo adicionados ao Cluster de Failover do Windows Server
O recurso de Nome de Rede não está online
O recurso de disco físico não está online
Recuperar objeto de computador que dá suporte ao recurso nome de rede
Não é possível fazer failover de um grupo
Recursos do SMB 3.0 no Windows Server 2012 de arquivos
O nó do cluster está suspenso
O arquivo de despejo de memória está corrompido
Falha ao iniciar o serviço de cluster
Diretrizes de solução de problemas: falha ao iniciar o serviço de cluster
Opções de inicialização do serviço de cluster
O serviço de cluster para de responder em um nó de cluster
Como solucionar problemas da conta de serviço de cluster
Solucionar problemas de inicialização do serviço cluster
Cluster-Aware cau (atualização)
Atualizações recomendadas para Windows Server 2012 clusters de failover
baseados em Windows Server 2012 aplicativo
Erros ao executar o Assistente de Validação
CAP no cluster de failover não está online
Falha no teste de validação de cluster na configuração do Active Directory
Erro "Um item com a mesma chave já foi adicionado"
Falha na validação do cluster de failover
Falha no teste de Reserva Persistente do SCSI-3
Falha ao validar o teste de failover de disco
Você não vê o disco de cluster no Explorer ou diskmgmt no Failover
Criação inicial de cluster ou adição de nó
O erro "O nó de cluster já existe" pode aparecer durante a instalação do cluster
Falha na validação do cluster com erros 80070005
A criação de cluster de failover falha com o erro 0xc000005e
A ID do evento de mensagem de erro 1289 é registrada quando você tenta criar um
cluster
Implicações do uso da opção /forcequorum
Mover o cluster do Windows Server para outro domínio
Falha na carga do provedor
Solução de problemas para nós de cluster convidado no Hyper-V não criar ou
ingressar
Não é possível ingressar um nó em um cluster
Nó removido do cluster
Os recursos de endereço IP do cluster falham em ambos os nós quando um nó se
desconecta
Imprimir clusters e impressão de alta disponibilidade
Como configurar um servidor de impressão clusterizado
Substituindo o hardware e atualizando o sistema operacional
Não é possível atualizar o sistema operacional do servidor clusterizado
Como atualizar clusters de failover
Atualizações recomendadas para clusters de servidores baseados no Windows
Server 2008 R2
Causa raiz de um failover inesperado
Diretrizes de solução de problemas: failover de cluster inesperado
Comportamento de failover em clusters de três ou mais nós
Executar o comando chkdsk /f em um disco de cluster compartilhado
Atualizações para Windows Server 2012 clusters de failover baseados em R2
Configuração e configuração de serviços e aplicativos clusterizados
Adicionar suporte para mais de oito LUNs
O software antivírus causa problemas com os Serviços de Cluster
Alterar o endereço IP dos adaptadores de rede em um cluster
Configurar cópias de sombra do recurso Pastas Compartilhadas
Configurar pontos de montagem de volume em um cluster de servidores
Criar compartilhamentos de arquivos em um cluster
Habilitar o suporte usando controladores RAID clusterizado
ID do evento 1222 quando você cria um cluster de failover
Estender a partição de um disco compartilhado de cluster
Falha ao gerenciar o cluster com o gerenciador de cluster de failover
Como o serviço cluster reserva e coloca discos online
Como configurar o FTP para o IIS em um cluster de failover
Política de suporte da Microsoft para cluster de failover do Windows Server
NetBIOS e WINS não são associados aos recursos de endereço IP do cluster
Configuração de "Pulsação" privada recomendada em um servidor de cluster
Atualizações recomendadas para clusters de failover do Windows Server 2008 R2
SP1
Os recursos SMB não funcionam com a configuração de nome de rede de cluster
não padrão
Política de suporte a soluções de software de armazenamento de terceiros
Mensagens de aviso inesperadas em um cluster de failover virtualizado
Usar nós de cluster do Windows Server como DCs
Rede
Rede
Acesso a compartilhamentos de arquivos remotos (Namespace SMB ou DFS)
Diretrizes de solução de problemas: SMB
Diretrizes de solução de problemas: Namespace do DFS
Erro "Gravação atrasada com falha"
As variáveis %HOMEPATH%, %HOMESHARE%e %HOMEDRIVE% foram resolvidas
incorretamente
Não é possível usar credenciais diferentes para um compartilhamento de rede
O Gerenciamento do Computador mostra as sessões de clientes lentas
Configurar o DFS para usar nomes de domínio totalmente qualificados
Serviço namespaces do DFS e seus dados de configuração
Os usuários do domínio não acessam um compartilhamento em um servidor de
arquivos
O alias CNAME dns falha ao conectar um compartilhamento de servidor de
arquivos SMB
Mensagens de erro em conexões SMB
Evento 1 sobre a inicialização do cliente testemunha SMB
Evento 30818 quando as conexões RDMA falham no TCP
Falha ao abrir compartilhamentos de arquivos ou Política de Grupo snap-ins
O acesso de convidado no SMB2 está desabilitado por padrão
Hotfixes para tecnologias de Serviços de Arquivos
Como permitir que usuários remotos acessem sua rede
Como criar um diretório virtual em um site existente
Como desativar manualmente um servidor raiz
Como remover compartilhamentos administrativos
Comportamento de sessão nula e compartilhamento IPC$
A unidade de rede mapeada está desconectada
O nome da pasta redirecionada não é nome de usuário
O desempenho de rede do SMB Direct é reduzido
Permissões de arquivo e servidor NFS
Problemas ocorrem quando compartilhamentos administrativos estão ausentes
Processo de recuperação de um namespace do DFS
O Robocopy pode relatar o erro 1338 ou 87
Visão geral da assinatura do Bloco de Mensagens do Servidor
Definindo opções de servidor WINS primárias e secundárias
Erro do sistema 1331 quando você se conecta a um compartilhamento
Ocorreu um erro 67 do sistema. O nome da rede não pode ser encontrado
Solucionar problemas de falhas de acesso do DFSN
Solucionar problemas da ID de evento 1020 em um servidor de arquivos
BITS (Serviço de Transferência Inteligente em Segundo Plano)
Erro "Falha no download do arquivo de conteúdo" ao baixar um arquivo por BITS
DFSR
A lista de pendências é relatada para o membro Read-Only DFSR
O tamanho da pasta ConflictAndDeleted excede a limitação
Delegar a replicação do DFS
O DFSR não pode replicar arquivos depois de restaurar um servidor virtualizado
Os bancos de dados DFSR falham no membro primário
Evento DFSR 2212 após reiniciar o serviço DFSR
ID do evento DFSR 2213
O Relatório de Integridade do DFSR mostra a ID do Evento 4302
Erro ao alterar o grupo de replicação do DFS ou o namespace
Como configurar o registro em log do DFSR
Atrasos de alterações de configuração de segurança em parceiros de replicação do
DFSR
Falha na migração do DFSR do SYSVOL após a atualização in-loco
Solucionar journal_wrap erros em conjuntos de réplicas Sysvol e DFS
Solucionar problemas de compartilhamentos SYSVOL e Netlogon ausentes
Cenário de implantação DFS-R e DFS-N sem suporte
DNS
Diretrizes de solução de problemas: DNS
Falha ao acessar um servidor localmente usando seu alias FQDN ou CNAME
Comportamento do número de série da zona DNS integrada ao Active Directory
Evitar o registro de NIC indesejada no DNS
Práticas recomendadas para configurações de cliente DNS
Não é possível excluir um registro de uma zona DNS
Não é possível modificar o arquivo Hosts ou Lmhosts
Compatibilidade do Exchange com domínios de rótulo único, namespaces não
contíguos e descontíguos
Configurar um servidor de nomes secundário
Tempos limite de resolução do cliente DNS
Planejamento de namespace dns
As consultas DNS para alguns domínios falharam
Os registros DNS não são exibidos em zonas DNS
O DNS registra registros SRV duplicados para um controlador de domínio
Os servidores DNS não resolvem consultas para domínios de nível superior
Evento 7062 de logs do servidor DNS
Vulnerabilidade do servidor DNS a ataques de espionagem de cache
As opções de transferência de zona DNS são redefinidas inesperadamente
O servidor DNS se torna uma ilha
Evento 4015 ao executar o DNS no RODC
Eventos 407 e 408 ao consultar o servidor DNS
ID do evento 4000 e 4007 quando as zonas DNS não são carregadas
Tempos limite de resolução de encaminhadores e encaminhadores condicionais
GetAddrInfo falha com o erro 11001
Como configurar atualizações dinâmicas de DNS
Como criar uma partição de diretório de aplicativo personalizada
Como habilitar ou desabilitar atualizações de DNS
Como mover zonas DNS para outro servidor
Integrar o DNS do Windows a um namespace DNS existente
Problemas de conectividade e resolução de nomes
NBTSTAT -A não resolve o nome do computador com DNS
Nenhuma atualização dinâmica na zona de pesquisa inversa sem classe
Impedir controladores de domínio de nomes DNS
Os registros não serão excluídos se forem apagados manualmente
As dicas raiz reaparecem após a remoção
Política de suporte sobre domínios de rótulo único
O registro A do host está registrado no DNS
O recurso de ordenação de máscara de rede e o recurso round robin
Solucionar problemas de ID de evento DNS 4013
Solucionar problemas de resolução de nomes DNS na Internet
Verifique se os registros DNS SRV foram criados
O registro WINS falhará se um servidor apontar para si mesmo para a resolução de
nomes WINS
Protocolo DHCP
Diretrizes de solução de problemas: DHCP
Não é possível adicionar uma reserva de DHCP
O cliente DHCP não pode obter um endereço IP atribuído a DHCP
O Servidor DHCP envia um DHCPNAK aos clientes
Atualizações dinâmicas de registros DNS estão atrasadas
ID do evento 1056 após a instalação do DHCP
Falha ao modificar o escopo DHCP existente
Aumentar o número de endereços IP em uma sub-rede
Instalar e configurar um servidor DHCP em um grupo de trabalho
Problemas conhecidos com o failover de DHCP
Os clientes PXE não iniciam
Usar o utilitário Netsh para exportar e importar escopos DHCP
FRS
Códigos de erro do log de eventos FRS
Como redefinir a pasta de preparo do FRS
NTFRS_xxxxxxxx é adicionado a um nome de pasta
Evento de erro NTFRS 13559 e replicação para
Recuperando objetos e atributos FRS ausentes no AD
Solucionar problemas do Serviço de Replicação de Arquivos
Usar BurFlags para reinicializar FRS
O Windows Server versão 1709 não dá mais suporte a FRS
IPAM (Gerenciamento de Endereço IP)
Um endereço IP incorreto é retornado
Instalar e configurar o IP versão 6
NLB (Balanceamento de Carga de Rede)
Notas e conceito de Balanceamento de Carga de Rede
Configurar a infraestrutura de rede para dar suporte ao modo de operação NLB
RADIUS – NPS (Servidor de Políticas de Rede) ou IAS (Serviço de Autenticação da
Internet)
Diretrizes de solução de problemas: Servidor de Políticas de Rede
Requisitos de certificado ao usar o EAP-TLS
Acesso remoto
Diretrizes de solução de problemas: acesso remoto (VPN e AOVPN)
Diretrizes de solução de problemas: DirectAccess
Não é possível se conectar à Internet em um servidor VPN
Configurar o bloqueio de conta de cliente de acesso remoto
Os clientes do DirectAccess não podem se conectar ao servidor
Desempenho de rede do DirectAccess no Windows
Erro 51 ou 53 ao acessar recursos compartilhados
Erro 633 – o modem já está em uso
Como instalar e configurar um servidor VPN
A VPN L2TP falha com o erro 787
Falha nas conexões VPN DE RAS LT2P/IPsec
Configurar o roteamento e o acesso remoto para uma intranet
O serviço de Roteamento e Acesso Remoto não é iniciado
Solucionar o erro 720 ao estabelecer uma conexão VPN
Atualizações para Windows Server 2012 2012 R2 DirectAccess
Solucionar problemas do console do Servidor directAccess: 6to4
Solucionar problemas do console do Servidor do DirectAccess: DNS
Solucionar problemas do console do Servidor do DirectAccess: controlador de
domínio e Kerberos
Solucionar problemas do console do Servidor directAccess: IP-Https e IPSec
Solucionar problemas do console do Servidor do DirectAccess: rede e alta
disponibilidade
Comunicações TCP/IP
Diretrizes de solução de problemas: comunicação TCP/IP
Diretrizes de solução de problemas: desempenho de TCP/IP
Um servidor SMB não está respondendo
Falha ao acessar sites hospedados na CDN da Akamai
Comportamento de cache do protocolo ARP
Gateway padrão em branco depois de configurar o endereço IP estático
Configurar o computador isa server para solicitações de autenticação
Definir as configurações do servidor proxy
Configurar o serviço SNMP
Excluir todas as conexões ativas do computador local
SMB de host direto sobre TCP/IP
Os clientes do DirectAccess não conseguem se conectar quando um proxy estático é
configurado
Desabilitar recursos de proxy HTTP
Desabilitar o recurso detecção de mídia para TCP/IP
Desabilitar NetBIOS sobre TCP/IP usando opções de servidor DHCP
O DNS funciona em TCP e UDP
Erro 0x2AFC ou 0x274D clientes do DirectAccess tentam se conectar por IP-HTTPS
Mensagem de erro ao definir um endereço IP
Evento 1500 quando o SNMP está habilitado
A ID do evento 7023 é registrada em log
Falha ao abrir as propriedades TCP/IP do adaptador de rede
Como alterar o endereço IP de um adaptador de rede
Como configurar uma zona de pesquisa inversa sub-vinheda
Como configurar o IPv6 para usuários avançados
Como configurar a alocação de porta dinâmica RPC para trabalhar com firewalls
Como configurar a rede TCP/IP se NetBIOS estiver desativado
Como instalar o Adaptador de Loopback da Microsoft
Como solucionar problemas de recursos avançados de desempenho de rede
Como solucionar problemas de Ingresso no Local de Trabalho
Como usar o PortQry para solucionar problemas de conectividade do AD
Como configurar a filtragem TCP/IP
Informações sobre o Monitor de Rede 3
As configurações de IP e gateway padrão são atribuídas incorretamente
Vários gateways padrão causam problemas de conectividade
Sistemas operacionais net commands
Compatibilidade do sistema operacional com servidores raiz habilitados para
DNSSEC
Parte 1: Visão geral do desempenho de TCP/IP
Parte 2: Problemas de rede subjacentes de desempenho de TCP/IP
Parte 3: Problemas conhecidos de desempenho de TCP/IP
Usando a ferramenta de linha de comando PortQry
Processo do handshake de três vias TCP
Recurso de Ajuste Automático da Janela de Recebimento para tráfego HTTP
Reservar um intervalo de portas efêmeras
Visão geral do serviço e requisitos de porta de rede
O desempenho lento ocorre quando você copia dados para um servidor TCP
Compartilhamento SMB inacessível quando a porta TCP 445 está escutando
Recursos de descarregamento de chaminé TCP, dimensionamento lateral de
recebimento e acesso direto à memória de rede
Recursos TCP no Windows
O tráfego TCP é interrompido
As propriedades TCP/IP são revertidas para as configurações padrão
TcpAckFrequency para controlar o comportamento do TCP ACK
O recurso Métrica Automática para rotas IPv4
O intervalo de portas dinâmicas padrão para TCP/IP foi alterado
Usar o WHOIS para pesquisar domínios da Internet
As máquinas virtuais perdem a conectividade de rede
WSAEMSGSIZE – Erro 10040 no Winsock 2.0
Webwindows-client e WebDAV
Acessar sites FQDN requer credenciais
Firewall do Windows com Segurança Avançada (WFAS)
Diretrizes de solução de problemas: Firewall do Windows com Segurança Avançada
Erro 0x000006D9 ao compartilhar uma impressora
Como desabilitar o modo furtivo
A comunicação UDP está bloqueada
Usar o contexto de firewall netsh advfirewall
Windows Agrupamento NIC (Failover do Balanceamento de Carga)
Status "Falha não encontrada" para a equipe de NIC
ID do evento 236 com SR-IOV habilitado
ID de evento do kernel 2 quando MSFT_NetLbfoTeamNic é chamado
Temporizador LACP configurado incorretamente ao criar uma nova equipe NIC para
LBFO
Baixo desempenho de rede em VMs quando a VMQ está habilitada
Os serviços não são reiniciados automaticamente com o agrupamento NIC
GANHA
Solucionar problemas de eventos WINS 4102, 4243, 4242 e 4286
Rede sem fio e autenticação 802.1X
Diretrizes de solução de problemas: tecnologia sem fio
Configurar o servidor L2TP/IPsec por trás do dispositivo NAT-T
Configurar o compartilhamento de conexão com a Internet
Desempenho
Desempenho
Aplicativos
Não é possível definir arquivos de página em uma partição maior que 2 terabytes
Compatibilidade para programas de 32 bits em versões de 64 bits do Windows
Copiar .EXE arquivos pode resultar em um erro de violação de compartilhamento –
Pasta em Uso
ID do evento ESENT 327 e 326
Alterações do Registro em versões baseadas em x64 do Windows
Valores do Registro para parâmetros de Controle de Processo
Tela azul/verificação de bug
Diretrizes de solução de problemas: parar erros e reinicialização inesperada
Erro "Parar 0x0000000A" para retomadas do processador do estado ocioso C1
Desabilitar ou habilitar o programa Dr. Watson
Erro 0x00000007B depois de reconfigurar dispositivos de hardware
Erro 0x00000019 quando NTFS cria o nome formatado 8.3
Erro 0x000000D1 quando você habilitou o controlador de armazenamento
Falha ao acessar a pasta compartilhada de aplicativos
Como usar o Verificador de Driver para identificar problemas
Opções de arquivo de despejo de memória
Parar 7F, 0x00000008 erro (falha dupla)
Interromper o código DRIVER_VERIFIER_DMA_VIOLATION
Erro de parada "DRIVER_IRQL_NOT_LESS_OR_EQUAL"
Parar o erro 0x109 em uma máquina virtual VMWare
Parar o erro 7E em um servidor que executa o NFS
Interromper o código de erro 0x0000007F
Alternar serviços de terminal para o modo servidor de aplicativos
Solucionar o erro "PARAR 0xC000021A"
Use Dumpchk.exe para verificar um arquivo de despejo de memória
A inicialização está lenta
O computador congela quando conectado usando RDP
Repositório WMI grande causa logon lento
O serviço que usa a conta gMSA não é iniciado
Falha de inicialização lenta e início dos serviços
Solucionar problemas de inicialização
Sem inicialização (não BugChecks)
Tela preta na inicialização
Não é possível inicializar a partir da segunda mídia inicializável em computadores
baseados em UEFI
Não é possível formatar ou usar uma partição de disco corretamente
O computador não é iniciado depois que você marca a partição primária como ativa
O computador continua inicializando no modo de segurança
ID do evento 46 quando você inicia um computador
Falha ao reiniciar o Windows após a recuperação completa do sistema operacional
Não inicializar no modo normal – Problema de driver
Solução de problemas do Registro para usuários avançados
Falha de inicialização quando a proteção de firmware está ativada
PARAR 0X0000007B erro ao inicializar de um adaptador iSCSI alternativo
Suporte para inicialização de SAN
Opções de opção para Boot.ini arquivos
Solucionar o erro "NTLDR está ausente"
Usar o WinRE para solucionar problemas de inicialização
Ferramentas de monitoramento de desempenho
As frequências de CPU mostradas na página de propriedades do sistema não
correspondem
Criar alerta do contador de desempenho
Desempenho de disco mais lento com vários discos
Como determinar qual programa usa ou bloqueia portas TCP específicas
Como habilitar mensagens de status detalhadas
Como obter um identificador de janela do console
Limitação conhecida da interface do usuário das informações de CPU no Windows
Server 2016
Os arquivos de log são excluídos quando você usa Monitor de Desempenho
Recompilar manualmente os contadores de desempenho
Monitorar o desempenho de computadores remotos
A função QueryPerformanceCounter tem um desempenho ruim em algum
programa
Recompilar valores da Biblioteca do Contador de Desempenho
O Monitor de Confiabilidade não mostra nenhuma informação
O processo de geração de relatórios para de responder
Configuração e ajuste do serviço de servidor
O Gerenciador de Tarefas exibe informações de memória incorretas
Não é possível alocar memória do pool de páginas do sistema
O conjunto de coletores de dados definido pelo usuário não é executado como
agendado
Memória virtual na versão de 32 bits do Windows
O desligamento está lento ou trava
código de motivo de desligamento incorreto gravado em SEL
Usar Userdump.exe para criar um arquivo de despejo
Desempenho lento
Diretrizes de solução de problemas: alto uso da CPU
Adicionar processadores a um computador
Ocorre um erro ao excluir chaves do Registro
Alto uso da CPU ao pesquisar no aplicativo Configurações
Os arquivos de despejo de memória do kernel são gerados
Suporte a memória grande no Windows Server 2003
Problemas de desempenho com o perfil de usuário padrão personalizado
Desempenho lento ao usar o plano de energia
Desempenho lento com arquivos pela rede
Travamento do sistema
Não é possível reiniciar um computador Windows Server que usa o Credential
Guard e o Hyper-V
Compactar hives de registro grandes
Descrição do Registro do Windows
A limitação do heap da área de trabalho causa erro de memória insuficiente
Habilitar o modo de depuração faz com que o Windows seja travado
O computador para de responder
Impressão
Impressão
Diretrizes de solução de problemas: Impressão
Solucionar problemas de impressão
Solucionar problemas de impressão e práticas recomendadas
Solucionar problemas de cenários de impressão
Solucionar problemas conhecidos de impressão
Gerenciamento e configuração da instalação de drivers de impressão
Erros de Spooler de Impressão
Erros e solução de problemas: problemas gerais
Não é possível imprimir após a instalação de um service pack ou hotfix de
impressora
Erro ao instalar uma impressora de rede compartilhada
ID do evento associada a restrições de ponto e impressão
O redirecionamento de impressora e unidade não funciona em uma sessão do
Servidor de Terminal
Desempenho lento com drivers de impressora HP
Spooler.xml de arquivos e alta CPU em spoolsv.exe processo
O novo status da impressora está Offline
Não é possível imprimir com drivers de impressora tipo 4 ou 3
O Windows não pôde se conectar à impressora
Erros e solução de problemas: falhas de impressão ou saída de impressão
A impressão pausa após cada 11 trabalhos de impressão
A impressão pausa após cada 11 trabalhos de impressão
Erros e solução de problemas: Spooler de impressão
O tamanho do arquivo de spool do EMF aumenta ao imprimir um documento com
muitos dados de varredura
Lista de impressoras em branco no Console de Gerenciamento de Impressão
O spooler da impressora falha aleatoriamente
Gerenciamento e configuração: problemas gerais
Adicionar recurso de Diretório de Impressão para pastas
Como imprimir em arquivo sem intervenção do usuário
Os servidores não podem ser usados como servidores de impressão
Monitor de porta padrão para TCP/IP
Usar registros CNAME para consolidar servidores de impressão
Gerenciamento e configuração: instalando drivers de impressão
Não é possível instalar um driver de impressora por meio Windows Update
Como configurar a impressão na Internet
Como encontrar um driver de impressora compatível
Como instalar e configurar um arquivo e um servidor de impressão
As impressoras são agrupadas como uma com dispositivos e impressoras
Gerenciamento e configuração: imprimir backup e migração da fila
Fazer backup e restaurar impressoras ao atualizar
Gerenciamento e configuração: impressoras via Política de Grupo
Usar Política de Grupo para controlar impressoras
Serviços de Área de Trabalho Remota
Serviços de Área de Trabalho Remota
Administração
Uma tela preta pode aparecer durante a entrada
Falha na adição da função Serviços de Área de Trabalho Remota
Atualizações disponíveis para RDS no Windows Server 2012 R2
Não é possível criar uma coleção de sessões
Configuração de conexão no Servidor de Terminal
Negar permissões de usuário para fazer logon no servidor host da sessão de área
de trabalho remota
Erro 2147944102 ao iniciar o serviço BITS
O Fair Share está habilitado por padrão no RDS
Como adicionar um usuário às permissões RDP dos Serviços de Terminal
Como habilitar o Shell Remoto do Windows
Como sombrear uma sessão do Servidor de Terminal
Como desabilitar temporariamente os Logons do Cliente do Terminal Server
O TLS incorreto é exibido
Instalar o serviço de função RDS sem o Agente de Conexão
Limitar conexões em um servidor de terminal
Arquivos de log para solucionar problemas de RDS
Falha na instalação do RDS com o erro 0x800706D9
Atualizações recomendadas para RDS no Windows Server 2012 R2
Introdução ao Protocolo de Área de Trabalho Remota
O Serviço de Área de Trabalho Remota não poderá ser reiniciado se Keep-Alive
estiver habilitado
As ferramentas dos Serviços de Área de Trabalho Remota não são funcionais
Atualizações dos Serviços de Área de Trabalho Remota Windows Server 2012
Atualizações dos Serviços de Área de Trabalho Remota Windows Server 2016
Configurar o script de logon somente para usuários do Terminal Server
Comandos do Servidor de Terminal: CHANGE
Erros do Servidor de Terminal 2200 a 2299
Inicialização, conexão e aplicativo do Servidor de Terminal
As configurações de conexão armazenadas no arquivo Default.rdp
Atualizações serviços de Área de Trabalho Remota
Compatibilidade de aplicativos
Requisitos do cliente RDC para o TS Web Access
Configurações do Registro do Servidor de Terminal para aplicativos
Autenticação
0xC000035B usar LmCompatibility
Os clientes não podem se conectar ao Servidor de Terminal
A Autoridade de Segurança Local não pode ser contata
Gerenciamento de certificados
Mensagens de erro ao se conectar a um servidor de Terminal
Falha no Agente de Conexão RDS ou RDMS
Usar o certificado de autenticação de servidor personalizado para TLS sobre RDS
Conectando-se a uma sessão ou área de trabalho
Conectar-se e sombrear a sessão do console com os Serviços de Terminal
Erro 0xc0000005 ao fazer logon no cliente do Terminal Server
ID do evento 10000 quando o Servidor de Terminal está habilitado
Falha ao fazer logon em um servidor de terminal
Como conectar clientes aos Serviços de Terminal
Como remover entradas da caixa Computador de Conexão de Área de Trabalho
Remota
A Política Local não permite fazer logon interativamente
Falha do novo usuário ao fazer logon por meio do RDP
A funcionalidade RSL (Limite de Tamanho do Registro) ainda é respeitada
O Controle Remoto solicita a permissão do usuário
Atualização do cliente da Conexão de Área de Trabalho Remota 6.1
A conexão de área de trabalho remota está paralisada
Há suporte para a sessão de Conexão de Área de Trabalho Remota com o
Protocolo de Área de Trabalho Remota
Solucionar problemas de estabelecimento de sessão dos Serviços de Terminal
Solucionar erros de desconexão da Área de Trabalho Remota
Balanceamento de carga e agente de conexão
Problemas de comunicação
A função RDS não pode coexistir com a função do AD DS
O farm do Servidor de Área de Trabalho Remota não está disponível no
DirectAccess
Desempenho (áudio e vídeo) e RemoteFX
A taxa de quadros é limitada a 30 FPS em sessões remotas
VMs novas e existentes habilitadas para RemoteFX não são iniciadas
As configurações de GPU física não estão disponíveis após o ingresso no domínio
A Área de Trabalho Remota não pode se conectar ao computador baseado em VDI
Impressão (inclui redirecionamento)
O redirecionamento de impressora não está funcionando
RDWeb
Não é possível exibir programas "RemoteApp"
Não é possível se conectar ao computador remoto
Nenhum ícone conectado na área de notificação
A guia Área de Trabalho Remota no RDWEB está ausente no Edge
Redirecionamento (não impressora)
A alteração de status de Caps Lock não está sincronizada com o computador cliente
Falha ao copiar arquivos que excedem 2 GB
O scanner redirecionado para USB do RemoteFX não é iniciado
Licenciamento de Serviços de Área de Trabalho Remota (Serviços de Terminal)
Diretrizes de solução de problemas: Licenciamento de RDS
Não é possível se conectar ao RDS porque nenhum servidor de Licenciamento de
Área de Trabalho Remota está disponível
Erro "Licenças não estão disponíveis para esta Área de Trabalho Remota" no
Diagnóstico de Licenciamento
Configurar certificados de ouvinte RDP
Desativar ou reativar um servidor de licença
Erro após a configuração de servidores do Agente de Conexão de Área de Trabalho
Remota para alta disponibilidade
ID do evento 4105 quando o Licenciamento de Área de Trabalho Remota é
executado
ID do evento 44 em um servidor de licenciamento do RDS
Como instalar e configurar o conector externo
Como mover CALs dos Serviços de Terminal
Os atributos de licença não são atualizados
O Serviço de Licenciamento de Área de Trabalho Remota não é iniciado
Remover licenças do Servidor de Terminal do cliente RDP
Configurar o licenciamento de área de trabalho remota entre florestas de domínios
ou grupos de trabalho
Licença do Servidor de Terminal para implantação
Licenciamento do Servidor de Terminal
Sessões de área de trabalho remota
Diretrizes de solução de problemas: conectividade de sessão RDS
"Erro do sistema 67 ocorreu" ao usar o FQDN para conectar um computador
remoto
Os aplicativos falharão se outro usuário fizer logoff
Atualizações disponíveis para Serviços de Terminal (Serviços de Área de Trabalho
Remota)
Não é possível remover um Host de Área de Trabalho Remota de uma implantação
do RDS
Não é possível estabelecer uma sessão da Área de Trabalho Remota
Não é possível maximizar a janela de sessão do RDC para tela inteira
Alterações no remote Gerenciador de Conexões
Os clientes são desconectados durante Política de Grupo atualização
O Agente de Conexão não pode ser misto
Como desabilitar a mensagem de aviso para sessões de área de trabalho remota
ociosas
O redirecionamento de unidade local não está funcionando na Sessão RDP
Fazer logoff de todos os usuários da sessão do servidor de terminal
O comando QUERY USER não pode consultar do servidor remoto
O cliente RDS não pode se conectar ao servidor host da sessão de área de trabalho
remota
Solicitações de credenciais da Conexão de Área de Trabalho Remota 6.0
A Virtualização de IP da Área de Trabalho Remota não funciona
A sessão de Área de Trabalho Remota ou RemoteApp não é encerrada
Compartilhamento de aplicativo único com o Servidor de Terminal
Comandos do Servidor de Terminal MSG
O Diretório Base do Usuário do Servidor de Terminal não está definido
corretamente
Aplicativos RemoteApp
O aplicativo não é iniciado na sessão do RemoteApp do TS
Exibir problemas ao implantar aplicativos por meio do modo Hi-Def do RemoteApp
As sessões do RemoteApp estão desconectadas
Virtual Desktop Infrastructure (VDI)
Erro "Este nome de computador é inválido" ao sombrear uma sessão remota
A coleção VDI requer confiança bidirecional
Recursos
Agente Virtual
Introdução ao Agente de Suporte Virtual para Windows Comercial
Segurança e malware
Segurança e malware
Suspeita de que um processo ou serviço desconhecido seja mal-intencionado
Alerta de vírus sobre o worm Blaster e suas variantes
Experiência do Shell
Experiência do Shell
Aplicativos de terceiros
Não é possível criar uma regra de hash do AppLocker para um arquivo
Cortana e Pesquisa
A Pesquisa do Windows está desabilitada por padrão
Shell da Área de Trabalho
Não é possível configurar um pacote de idiomas
Não é possível usar o comando "runas"
Habilitar e usar o recurso Executar como
Erro do Multipoint Manager durante a inicialização
O gerenciador de tarefas exibe um valor incorreto para o cache L2/L3
Usar Executar como para iniciar um aplicativo como administrador
Problemas de DPI e exibição
O ajuste de DPI não está disponível na Sessão Remota
DST e fusos horários
Tempo incorreto em versões de 64 bits do Windows
O formato de data padrão é alterado
Explorador de Arquivos/Windows Explorer
Maior uso da CPU ao acessar um compartilhamento FileTable
A pasta TEMP com a ID da sessão de logon é excluída
Tela de bloqueio ou proteção de tela
Não é possível exibir o nome do último usuário conectado
Assistência remota
A conexão de Assistência Remota não funciona com criptografia FIPS
Menu Iniciar
Os atalhos do menu Iniciar não estão acessíveis imediatamente
Windows Media Player
Como habilitar os recursos de experiência do usuário
Rede definida pelo software
Rede definida pelo software
Diretrizes de solução de problemas: SDN
Servidor DNS interno para SDN
Data Center definido pelo software e rede definida pelo software
Componentes de Gerenciamento do Sistema
Componentes de Gerenciamento do Sistema
Visualizador de Eventos
O encaminhamento de log de eventos de segurança falha com o erro 0x138C e
5004
Ajuda e suporte
O Rastreamento de Eventos para Windows é simplificado
Ferramentas de suporte do Windows Server 2003 Service Pack 1
Microsoft Management Console (MMC)
Um serviço lento não é iniciado devido a um erro de tempo limite
Não é possível se conectar ao Gerenciador de Dispositivos remotamente
Erro 1783 ao abrir Services.msc
Falha ao habilitar o log de eventos analíticos ou de depuração
Editar remotamente o registro de um computador cliente
Solucionar problemas de permissões de inicialização de serviço
Solucionar problemas de conectividade do console do Administrador de SMS
O que é o MMC
PowerShell
Enter-PSSession cmdlet falha
Os caracteres CJK são imputação no PowerShell
Gerenciador de Servidores
código de erro 0x800706BE
Erro ao selecionar Funções no Gerenciador do Servidor
Ferramentas de Administração de Servidor Remoto
Gerenciador de Tarefas
Falha ao abrir o Gerenciador de Tarefas
Agendador de Tarefas
Erro 0x8007000d ao executar uma tarefa agendada antiga
Como agendar um processo de servidor
A tarefa agendada pode não ser executada após a reinicialização
As tarefas agendadas fazem referência a caminhos de perfil de usuário incorretos
Winrm
O serviço WinRM não é iniciado
WMI
Alto uso da CPU por WmiPrvSE.exe processo
Erro 0x8004106C ao executar consultas WMI
Evento 5605 ao consultar o namespace MSCluster por WMI
Evento Microsoft-Windows-RPC-Events 11 após a reinicialização
Novo comportamento do mediador WMI
UserProfiles e Logon
UserProfiles e Logon
Redirecionamento de pasta
Falha ao configurar o Redirecionamento de Pasta com Política de Grupo
O redirecionamento de pasta falha com ERROR_SEM_TIMEOUT
As configurações de Redirecionamento de Pasta não são aplicadas
Falha no Logon do Usuário
Informações de logon de domínio armazenado em cache
Não é possível fazer logoff de um computador
Erro 1384 ao fazer logon em um domínio
Erro: o servidor RPC não está disponível
O logon interativo não é permitido
Ativar logon automático
Os perfis de usuário podem não ser carregados
O Windows faz logon e faz logoff imediatamente
Perfis de usuário
Erro "O nome do arquivo ou extensão é muito longo"
Atribuir um script de logon a um perfil para um usuário local
Como criar pastas redirecionadas ou pastas base com segurança aprimorada
Como excluir um perfil de usuário
Gerenciando a detecção de link lento do Serviço de Perfil de Usuário
Problemas de logon ao habilitar "Executar scripts de logon de forma síncrona"
Falha no carregamento de perfil
Realocação de diretórios Usuários e ProgramData
Controle de versão de perfis de usuário móvel
O usuário pode não conseguir alterar sua senha
Virtualização
Virtualização
Backup e restauração de máquinas virtuais
Fazer backup e restaurar uma VM do Hyper-V
Fazer backup de máquinas virtuais da partição pai
Fazendo backup de VMs que pertencem a um cluster convidado
Não é possível exportar uma máquina virtual
Erro 0x80070005 ao exportar VMs para compartilhamento de rede
Contêiner
A chamada à API de contadores de desempenho está atrasada
Configuração de configurações de máquina virtual
Cache na pilha de armazenamento virtual
Copiar e colar não funciona quando você se conecta à máquina virtual hyper-V
A alocação de Memória Dinâmica em uma Máquina Virtual não é alterada
NIC fantasma criada com base em modelos do VMware
O Hyper-V limita o número máximo de processadores
A máquina virtual hyper-V não é iniciada e dispara 0x80070057 erro
Locais de arquivos compatíveis com a máquina virtual Hyper-V
Importando uma máquina virtual
Problemas de resolução de mouse e tela
Inicialização e desligamento lentos em máquinas virtuais
A estrutura da ID de segurança é inválida (0x80070539)
Usando o Hyper-V com unidades de setor grande
O Vmconnect.exe para se conectar à máquina virtual falha
ID de evento do Provedor Básico do VDS 1
A VM não pode acessar a rede quando a marcação vLan está habilitada
Máquinas virtuais de alta disponibilidade
Não é possível alterar o valor de ConfigStoreRootPath de um cluster Hyper-V
Os usuários não podem se conectar ao servidor virtual após o failover
Virtualização de Rede Hyper-V (HNV)
ID do evento 106
Réplica do Hyper-V
Eventos 18210 e 3041 quando a Réplica do Hyper-V está configurada
Eventos ao fazer backup de um disco no computador de réplica
Otimização de recursos e desempenho do HVR
Instalação e configuração do Hyper-V
Exclusões de antivírus para hosts Hyper-V
Não é possível importar uma máquina virtual
Evento 7000 após a instalação da função Hyper-V
O serviço VMM do Hyper-V falha com a ID de evento 14050
Erros de versão incompatíveis são registrados
Problemas ao iniciar a VM ou instalar o Hyper-V
Atualizações recomendadas para Windows Server 2012 ambientes Hyper-V R2
Hotfixes, atualizações e soluções conhecidas recomendados
Executar programas em software de virtualização de hardware que não seja da
Microsoft
O SCVMM P2V falha com o erro 0x80070005
Especificações para hardware emulado e sintético com suporte
Política de suporte para Agrupamento NIC com o Hyper-V
Atualizar computadores com a função Hyper-V instalada
Componentes de integração
Mensagem degradada dos serviços de integração para convidados que não são do
Windows
A ID do evento 4096 é registrada no host Hyper-V
A Sincronização de Horário do Hyper-V não ajusta o relógio do sistema da VM
O valor de tempo de atividade do console de Gerenciamento do Hyper-V muda
para o tempo de retomada
O dispositivo VMBus não é carregado
O status do Integration Services da VM relata a incompatibilidade de versão do
protocolo
Dispositivos desconhecidos no Gerenciador de Dispositivos
Migração ao Vivo
Diretrizes de solução de problemas: Migração dinâmica
Não é possível migrar uma máquina virtual de um host para outro
Falha ao iniciar ou migrar ao vivo as VMs do Hyper-V
Solucionar problemas de migração dinâmica
Instantâneos, pontos de verificação e discos diferenciais
Não é possível excluir um ponto de verificação de recuperação para uma VM no
DPM
Configuração de armazenamento
Não é possível adicionar um segundo adaptador fibre channel
Mensagem de erro depois de colocar o arquivo de página em outra unidade
diferente da unidade C
Falhas de E/S de FCoE em convidados do Hyper-V
LUNs de máquina virtual desaparecem depois de configurá-los como dispositivos
MPIO
Criação de máquina virtual
Erro ao gerenciar um arquivo VHD
Software do Microsoft Server e ambientes de virtualização com suporte
Parceiros de suporte para software de virtualização de hardware não Microsoft
As máquinas virtuais estão ausentes
Estado da máquina virtual
Get-VMNetworkAdapter comando não relata endereços IP
as ações de desligamento da máquina virtual não são executadas
Máquinas Virtuais inserir o estado em pausa
A máquina virtual não será inicializada
Erro "A máquina virtual não pôde ser iniciada"
0x8000FFFF erro ao iniciar a VM
Falha ao iniciar a máquina virtual selecionada
A máquina virtual hyper-V não pode ser iniciada quando a Inicialização Segura do
System Guard está habilitada
Falha ao iniciar a máquina virtual hyper-V
As máquinas virtuais hyper-V restauradas podem não ser iniciadas
A máquina virtual não é iniciada
Virtual Switch Manager (vmswitch)
Não é possível criar o comutador virtual no Hyper-V
Falha ao criar comutadores de V no ambiente hyper-V
Limite padrão de 256 endereços MAC dinâmicos
A conectividade de rede será perdida se a VMQ estiver habilitada
Evento VmSwitch Error 113
Segurança do Windows
Segurança do Windows
Bloqueios de conta
Ferramentas de Gerenciamento e Bloqueio de Conta
Comportamento de expiração da senha da conta de administrador
Enumerar contas de usuário bloqueadas usando consultas salvas
Renomear contas de administrador e convidado
Usar o utilitário EventCombMT para pesquisar logs de eventos para bloqueios de
conta
Bitlocker
Diretrizes de solução de problemas: MBAM
Como configurar o MBAM com a Comunicação de Rede Segura
Como usar o Visualizador de Senha de Recuperação do BitLocker
O registro do computador é rejeitado no MBAM
Erro ao abrir relatórios no MBAM
Erro ao exibir relatórios no MBAM
Os Relatórios Empresariais do MBAM não são atualizados
O MBAM falha ao assumir a propriedade do TPM
A configuração do MBAM falhará se o SSRS não estiver configurado corretamente
Certificados e PKI (infraestrutura de chave pública)
"Erro http 500.0" ao obter a senha do desafio de registro do NDES
Adicionar SAN para proteger o certificado LDAP
Aprovação necessária para renovações de certificado
A AC não publica certificados em domínio confiável
Não é possível solicitar certificado de páginas de registro da Web
Não é possível solicitar o certificado usando o registro da Web
O comando Certutil -view não retorna certificados emitidos
Os computadores cliente não podem criptografar um arquivo em um domínio
Os clientes não podem se autenticar com um servidor
Eventos crypt32 8 relatados continuamente
A ID do evento 4107 ou a ID de evento 11 é registrada
Como desativar a AC corporativa do Windows e remover objetos relacionados
Como importar ACs de terceiros para o repositório Enterprise NTAuth
Como instalar certificados importados em um servidor Web
KDC_ERR_C_PRINCIPAL_UNKNOWN na solicitação S4U2Self
Remoção da Política Comum Federal dos EUA do Repositório Raiz Confiável da
Microsoft
Os certificados do servidor de Área de Trabalho Remota são renovados duas vezes
por dia
Falha na renovação do certificado do Agente de Registro
Requisitos para certificados de controlador de domínio de uma AC de terceiros
Restringir algoritmos e protocolos criptográficos
O certificado de AUTORIDADE de Certificação raiz não aparece
Falha na validação do certificado de segurança
Modelos de certificado substituídos e impacto no repositório do AD do usuário
Suporte para algoritmos criptográficos do Pacote B
Usar e solucionar problemas da função CryptAcquireContext
Usar Cipher.exe substituir dados excluídos
Relações de confiança de domínio e floresta
Erro "O servidor não está operacional" ao adicionar um usuário de domínio
confiável
Não é possível configurar uma relação de confiança entre um domínio baseado no
Windows e um domínio baseado no AD
Sobreposição de nomes de floresta causam problemas
Não foi possível resolver o identificador de segurança
Domínios Confiáveis não aparecem
Usuários e grupos não podem ser adicionados à floresta confiável
Autenticação Kerberos
Falha de autenticação em servidores NTLM e Kerberos
A delegação restrita para CIFS falha com ACCESS_DENIED
Erro de ID de evento 27 KDC em controladores de domínio
Como desabilitar o Nome Alternativo da Entidade para mapeamento de UPN
Como forçar Kerberos a usar TCP em vez de UDP
Evento KDC 16 ou 27 se o DES para Kerberos estiver desabilitado
O serviço KDC em um RODC não pode iniciar e gera o erro 1450
A autenticação Kerberos falha quando um usuário pertence a vários grupos
O SPN kerberos está em uma conta errada
Erro de tipo kerberos sem suporte
KRB_AP_ERR_MODIFIED erro no cliente Kerberos
Falha ao fazer logon em uma conta de usuário
Chaves do Registro sobre o protocolo Kerberos e o KDC
A compactação de SID de recurso causa problemas de autorização
Falha no SSO com pré-logon durante o logon do usuário
Falha nas solicitações do TGS para a conta krbtgt
O Assistente de Registro de Impressão Digital não é executado
Não é possível fazer logon em um domínio
Autenticação herdada (NTLM)
O evento de auditoria mostra o pacote de autenticação como NTLMv1
Auditar o uso de NTLMv1 em um controlador de domínio
Os membros do domínio falham na autenticação
Erro ao se conectar a um site
Como desabilitar alterações automáticas de senha da conta de computador
Como impedir que o Windows armazene um hash LM da senha
Exemplos e algoritmos de validação de acesso à rede
A nova configuração modifica a autenticação de rede NTLM
Autenticação de usuário NTLM
Ajuste de desempenho para autenticação NTLM
As atualizações do Windows adicionam novas proteções de autenticação de
passagem NTLM para CVE-2022-21857
Permissões, controle de acesso e auditoria
Arquivos de log .bak são excluídos e perdidos
Não é possível copiar arquivos da unidade mapeada para o diretório local
Permissões padrão para pastas MachineKeys
Não tem permissão para acessar a pasta
Erro 1079 quando os serviços não são iniciados
Avaliar permissões efetivas para recursos remotos
Conceda a permissão "Replicando alterações de diretório"
Conceder direitos aos usuários para gerenciar serviços
Como desabilitar o Controle de Conta de Usuário
Como habilitar a auditoria de objetos do AD
As permissões herdadas não são atualizadas automaticamente
Marcar um atributo como confidencial
Número máximo de entradas de controle de acesso
SeImpersonatePrivilege e SeCreateGlobalPrivilege
As configurações de auditoria de segurança não são aplicadas quando você implanta
a política baseada em domínio
SIDs não são resolvidos em nomes amigáveis
Controle de Conta de Usuário e restrições remotas
não é possível acessar o log de segurança
Problemas de canal seguro
Um computador não pode identificar a rede
Configurar chave pré-compartilhada para usar L2TP
Implantar ordenação personalizada do conjunto de criptografias
Redefinir a senha do controlador de domínio com Netdom.exe
Problemas de canal seguro detectados
Problemas de comunicação SSL/TLS após a instalação de uma atualização
Modelos de segurança
Aplicar modelos de segurança predefinidos
Logon do cartão inteligente
Habilitando o logon de cartão inteligente
Perguntas frequentes sobre o Fim do Suporte do Windows Server (EoS)
Fim do suporte para Windows Server 2008 e Windows Server 2008 R2
Soluções de problemas do Windows
Introdução ao conjunto de ferramentas TroubleShootingScript (TSSv2)
Documentação do Active Directory
11/07/2022 • 2 minutes to read
Os tópicos nesta seção fornecem soluções e guias de cenário para ajudá-lo a solucionar problemas relacionados
ao Active Directory e a solucionar problemas relacionados ao Active Directory. Os tópicos são divididos em
subcategorias. Navegue pelo conteúdo ou use o recurso de pesquisa para encontrar conteúdo relevante.
Sub-categorias do Active Directory

Backup, restauração ou recuperação de desastres do Active Directory
Serviços de Certificados do Active Directory
Problemas de banco de dados do Active Directory e falhas de inicialização do controlador de domínio
Atualizações de nível funcional de domínio ou floresta do Active Directory
Serviços de Federação do Active Directory (AD FS)
Active Directory FSMO
Active Directory Lightweight Directory Services (AD LDS) e Active Directory Application Mode (ADAM)
Ferramenta de Migração do Active Directory (ADMT)
Replicação do Active Directory
Topologia do Active Directory (sites, sub-redes e objetos de conexão)
DCPromo e a instalação de controladores de domínio
Escalabilidade ou desempenho do controlador de domínio (incluindo LDAP)
Problemas de junção de domínio
Configuração e interoperabilidade LDAP
Atualização de esquema - problemas conhecidos, práticas recomendadas, revisão de fluxo de trabalho
Falha ou conflito de atualização de esquema
TLS (Transport Layer Security)
Gerenciamento de usuários, computadores, grupos e objetos
Controlador de domínio virtualizado (erros e perguntas)
Windows Serviço de Tempo
O controlador de domínio não inicia, o erro
c00002e2 ocorre ou "Escolher uma opção" é exibido
Este artigo ajuda a corrigir o erro c00002e2 ou "Escolher uma opção" quando o controlador de domínio não é
iniciar.
Aplica-se a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número KB original: 2737463
Sintomas
Um controlador de domínio não inicia ou não exibe a tela de logon. Depois de reiniciar o controlador de
domínio e observar o processo de início, você notará os seguintes sintomas, de acordo com seu sistema
operacional.
Windows Server 2008 R2 ou Windows Server 2008
1. Na inicialização, o servidor experimenta um erro Stop e exibe brevemente a seguinte mensagem de erro:
STOP: os Serviços de Diretório c00002e2 não puderam iniciar devido ao seguinte erro:
O procedimento especificado não pôde ser encontrado
Status do erro: 0xc000007a.
2. Em seguida, o servidor alterna para o menu de inicialização para recuperação ou para uma inicialização
regular.
Windows Server 2012 e versões posteriores
Na inicialização, o servidor alterna para o menu Escolher uma opção que oferece para continuar ou
solucionar problemas.
Motivo
Esse problema ocorre porque a função serviços de domínio do Active Directory foi removida de um controlador
de domínio sem rebaixá-la primeiro. Usar Dism.exe, Pkgmgr.exe ou Ocsetup.exe remover a função
DirectoryServices-DomainController será bem-sucedida, mas essas ferramentas de manutenção não validam se
o computador é um controlador de domínio.
Solução
NOTE
Estas etapas pressuem que você tenha outros controladores de domínio funcionando e deseja apenas remover os
Serviços de Domínio do Active Directory deste servidor. Se você não tiver outros controladores de domínio funcionando e
esse for o único controlador de domínio no domínio, você deverá restaurar um backup de estado do sistema anterior.
Windows Server 2008 R2 ou Windows Server 2008

1. Reinicie o servidor enquanto você mantém Shift+F8.
2. Selecione Modo de Reparo de Serviços de Diretório (DSRM) e faça logoff usando a conta DSRM.
3. Valide se a função foi removida. Por exemplo, para fazer isso no Windows Server 2008 R2, use o seguinte
comando:
dism.exe /online /get-features
4. Adicione a DirectoryServices-DomainController função de volta ao servidor. Por exemplo, para fazer isso
no Windows Server 2008 R2, use o seguinte comando:
dism.exe /online /enable-feature /featurename:DirectoryServices-DomainController
5. Reinicie e selecione Modo de Restauração de Ser viços de Diretório novamente.

6. Aplique um parâmetro /forceremoval para remover os Serviços de Domínio do Active Directory do
controlador de domínio. Para fazer isso, execute o seguinte comando:
dcpromo.exe /forceremoval
7. Para remover os metadados do controlador de domínio, use a ferramenta ntdsutil.exe ou dsa.msc.

1. No menu Escolher uma opção, selecione Solucionar problemas, clique em Iniciar Configurações e
clique em Reiniciar .
2. Selecione Modo de Reparo de Serviços de Diretório (DSRM) e faça logoff usando a senha DSRM.
3. Valide se a função foi removida. Para fazer isso, use o seguinte comando:
dism.exe /online /get-features
4. Adicione a DirectoryServices-DomainController função de volta ao servidor. Para fazer isso, use o

seguinte comando:
dism.exe /online /enable-feature /featurename:DirectoryServices-DomainController
5. Reinicie, selecione Modo de Restauração de Serviços de Diretório novamente e faça logoff usando a
conta DSRM.
6. Use Server Manager ou Windows PowerShell e aplique um parâmetro -ForceRemoval para remover os
Serviços de Domínio active Directory do controlador de domínio. Para fazer isso, execute o seguinte
comando:
Uninstall-AddsDomaincontroller -ForceRemoval
7. Para remover os metadados do controlador de domínio, use a ferramenta ntdsutil.exe ou dsa.msc.
Mais informações
Sempre use o Gerenciador de Servidores ou o módulo Windows PowerShell ServerManager para remover os
binários de função de Serviços de Domínio do Active Directory. Essas ferramentas validam se um servidor é um
controlador de domínio ativo e não permite remover arquivos críticos.
Para obter mais informações sobre como remover metadados do controlador de domínio, acesse o seguinte site
do Microsoft TechNet:
Limpar metadados do servidor
Se for o único domínio do servidor no domínio, não remova os Serviços de Domínio do Active Directory do
servidor. Em vez disso, restaure o estado do sistema do backup mais recente.
Um Windows de domínio do servidor registra o
evento 2095 dos Serviços de Diretório quando
encontra uma reação usn
Este artigo descreve como detectar e recuperar se um controlador de domínio do Windows Server for
reajustado incorretamente usando uma instalação baseada em imagem do sistema operacional.
NOTE
Este artigo destina-se apenas a agentes de suporte técnico e profissionais de TI. Se você estiver procurando ajuda com
um problema, peça ao Microsoft Community.
Resumo
Este artigo descreve uma falha silenciosa de replicação do Active Directory causada por uma replicação de
número de sequência de atualização (USN). Uma reversões da USN ocorre quando uma versão mais antiga de
um banco de dados do Active Directory é restaurada ou colocada incorretamente.
Quando ocorre uma replicação da USN, as modificações em objetos e atributos que ocorrem em um
controlador de domínio não são replicadas para outros controladores de domínio na floresta. Como os
parceiros de replicação acreditam que eles têm uma cópia atualizada do banco de dados do Active Directory, as
ferramentas de monitoramento e solução de problemas, como Repadmin.exe, não relatam erros de replicação.
Controladores de Domínio registram o Evento de Serviços de Diretório 2095 no log de eventos serviços de
diretório quando detectam uma reação da USN. O texto da mensagem de evento direciona os administradores
para este artigo para saber mais sobre as opções de recuperação.
Exemplo de entrada de log do Evento 2095
Log Name: <Service name> Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Date: <DateTime>
Event ID: 2095
Task Category: Replication
Level: Error
Keywords: Classic
User: <USER NAME>
Computer: SERVER.contoso.com
Description:
During an Active Directory Domain Services replication request, the local domain controller (DC) identified
a remote DC which has received replication data from the local DC using already-acknowledged USN tracking
numbers.
Because the remote DC believes it is has a more up-to-date Active Directory Domain Services database than
the local DC, the remote DC will not apply future changes to its copy of the Active Directory Domain
Services database or replicate them to its direct and transitive replication partners that originate from
this local DC.
If not resolved immediately, this scenario will result in inconsistencies in the Active Directory Domain
Services databases of this source DC and one or more direct and transitive replication partners.
Specifically the consistency of users, computers and trust relationships, their passwords, security groups,
security group memberships and other Active Directory Domain Services configuration data may vary, affecting
the ability to log on, find objects of interest and perform other critical operations.
To determine if this misconfiguration exists, query this event ID using http://support.microsoft.com or

contact your Microsoft product support.
The most probable cause of this situation is the improper restore of Active Directory Domain Services on the
local domain controller.
User Actions:
If this situation occurred because of an improper or unintended restore, forcibly demote the DC.
Os tópicos a seguir discutem como detectar e recuperar de uma reação usn em um controlador de domínio
Windows baseado em servidor.
Métodos com suporte para fazer o back up do Active Directory em

controladores de domínio que estão executando Windows Server
2012 e versões posteriores
Windows Server 2012 adiciona suporte para Hyper-Visor ID de Geração (GenID). Isso permite que o convidado
virtual detecte os volumes de disco que têm uma nova ID e responda ao novo GenID. No Active Directory, os
Serviços de Diretório reagem como se o controlador de domínio tivesse sido restaurado de um backup. Em
seguida, gera uma nova ID de Invocação. Usando a nova ID de Invocação, a instância do banco de dados pode
inserir a replicação com segurança na floresta.
Este é um dos cenários abordados na Implantação e Configuração do Controlador de Domínio Virtualizado.
Métodos com suporte para fazer o back up do Active Directory em

controladores de domínio que estão executando Windows Server
2003 ou versões posteriores do Windows Server
Ao longo do ciclo de vida de um controlador de domínio, talvez seja preciso restaurar ou "reverter", o conteúdo
do banco de dados do Active Directory para um bom ponto de tempo conhecido. Ou talvez seja necessário
reverter elementos do sistema operacional host de um controlador de domínio, incluindo o Active Directory,
para um ponto conhecido.
Veja a seguir os métodos com suporte que você pode usar para reverter o conteúdo do Active Directory:
Use um utilitário de backup e restauração com conhecimento do Active Directory que usa APIs testadas
pela Microsoft e fornecidas pela Microsoft. Essas APIs restauram de forma não autoritativa ou autoritativa
um backup de estado do sistema. O backup restaurado deve se originar da mesma instalação do sistema
operacional e do mesmo computador físico ou virtual que está sendo restaurado.
Use um utilitário de backup e restauração do Active Directory que usa APIs do Serviço de Cópia de
Sombra de Volume da Microsoft. Essas APIs são backup e restauração do estado do sistema do
controlador de domínio. O Serviço de Cópia de Sombra de Volume dá suporte à criação de cópias de
sombra ponto a ponto único de volumes individuais ou múltiplos em computadores que estão
executando o Windows Server 2003, o Windows Server 2008 ou o Windows Server 2008 R2. Cópias de
sombra ponto a ponto único também são conhecidas como instantâneos. Para obter mais informações,
pesquise "Serviço de Cópia de Sombra de Volume" no Suporte da Microsoft.
Restaure o estado do sistema. Avalie se existem backups de estado do sistema válidos para esse
controlador de domínio. Se um backup de estado do sistema válido tiver sido feito antes que o
controlador de domínio rolado tenha sido restaurado incorretamente e se o backup contiver alterações
recentes feitas no controlador de domínio, restaure o estado do sistema do backup mais recente.
Comportamento típico que ocorre quando você restaura um backup

de estado do sistema com conhecimento do Active Directory
Windows Os controladores de domínio de servidor usam USNs juntamente com as IDs de invocação para
rastrear atualizações que devem ser replicadas entre parceiros de replicação em uma floresta do Active
Directory.
Os controladores de domínio de origem usam USNs para determinar quais alterações já foram recebidas pelo
controlador de domínio de destino que está solicitando alterações. Os controladores de domínio de destino
usam USNs para determinar quais alterações devem ser solicitadas dos controladores de domínio de origem.
A ID de invocação identifica a versão ou a instação do banco de dados do Active Directory que está sendo
executado em um determinado controlador de domínio.
Quando o Active Directory é restaurado em um controlador de domínio usando as APIs e os métodos que a
Microsoft projetou e testou, a ID de invocação é redefinida corretamente no controlador de domínio restaurado.
os controladores de domínio na floresta recebem notificação da redefinição de invocação. Portanto, eles ajustam
seus valores de marca d'água de acordo.
Software e metodologias que causam reações usn

Quando os seguintes ambientes, programas ou subsistemas são usados, os administradores podem ignorar as
verificações e validações que a Microsoft projetou para ocorrer quando o estado do sistema do controlador de
domínio for restaurado:
Iniciando um controlador de domínio do Active Directory cujo arquivo de banco de dados do Active
Directory foi restaurado (copiado) no local usando um programa de imagens como o Fantasma de
Norton.
Iniciando uma imagem de disco rígido virtual salva anteriormente de um controlador de domínio. O
cenário a seguir pode causar uma reação da USN:
1. Promover um controlador de domínio em um ambiente de hospedagem virtual.
2. Crie um instantâneo ou uma versão alternativa do ambiente de hospedagem virtual.
3. Deixe o controlador de domínio continuar a replicar e replicar de saída.
4. Inicie o arquivo de imagem do controlador de domínio criado na etapa 2.
Exemplos de ambientes de hospedagem virtualizados que causam esse cenário incluem o Microsoft
Virtual PC 2004, o Microsoft Virtual Server 2005 e o EMC VMWARE. Outros ambientes de hospedagem
virtualizados também podem causar esse cenário.
Para obter mais informações sobre as condições de suporte para controladores de domínio em
ambientes de hospedagem virtual, consulte Things to consider when you host Active Directory domain
controllers in virtual hosting environments.
Iniciando um controlador de domínio do Active Directory localizado em um volume em que o subsistema
de disco é carregado usando imagens salvas anteriormente do sistema operacional sem exigir uma
restauração de estado do sistema do Active Directory.
Cenário A: Iniciando várias cópias do Active Directory localizadas em um subsistema de disco que
armazena várias versões de um volume
1. Promover um controlador de domínio. Localize o arquivo Ntds.dit em um subsistema de disco
que pode armazenar várias versões do volume que hospeda o arquivo Ntds.dit.
2. Use o subsistema de disco para criar um instantâneo do volume que hospeda o arquivo
Ntds.dit para o controlador de domínio.
3. Continue a permitir que o controlador de domínio carregue o Active Directory a partir do
volume criado na etapa 1.
4. Inicie o controlador de domínio que o banco de dados do Active Directory salvou na etapa 2.
Cenário B: Iniciando o Active Directory de outras unidades em um espelho quebrado
1. Promover um controlador de domínio. Localize o arquivo Ntds.dit em uma unidade espelhada.
2. Quebre o espelho.
3. Continue a replicar e replicar de saída de entrada usando o arquivo Ntds.dit na primeira
unidade no espelho.
4. Inicie o controlador de domínio usando o arquivo Ntds.dit na segunda unidade no espelho.
Mesmo que não seja pretendido, cada um desses cenários pode fazer com que os controladores de domínio
remembolsem para uma versão mais antiga do banco de dados do Active Directory por métodos sem suporte.
A única maneira suportada de reverter o conteúdo do Active Directory ou o estado local de um controlador de
domínio do Active Directory é usar um utilitário de restauração e backup com conhecimento do Active Directory
para restaurar um backup de estado do sistema que se originou da mesma instalação do sistema operacional e
do mesmo computador físico ou virtual que está sendo restaurado.
A Microsoft não dá suporte a nenhum outro processo que tira um instantâneo dos elementos do estado do
sistema de um controlador de domínio do Active Directory e copia os elementos desse estado do sistema para
uma imagem do sistema operacional. A menos que um administrador intervenha, esses processos causam uma
reação da USN. Essa replicação da USN faz com que os parceiros de replicação direta e transitiva de um
controlador de domínio restaurado incorretamente tenham objetos inconsistentes em seus bancos de dados do
Active Directory.
Os efeitos de uma reação de USN

Quando ocorrem reações da USN, as modificações em objetos e atributos não são replicadas por controladores
de domínio de destino que já viram a USN.
Como esses controladores de domínio de destino acreditam que estão atualizados, nenhum erro de replicação é
relatado em logs de eventos do Serviço de Diretório ou por ferramentas de monitoramento e diagnóstico.
A replicação da USN pode afetar a replicação de qualquer objeto ou atributo em qualquer partição. O efeito
colateral mais observado é que contas de usuário e contas de computador criadas no controlador de domínio
de replicação não existem em um ou mais parceiros de replicação. Ou as atualizações de senha originadas no
controlador de domínio de replicação não existem em parceiros de replicação.
As etapas a seguir mostram a sequência de eventos que podem causar uma reação da USN. Uma reposição da
USN ocorre quando o estado do sistema do controlador de domínio é rebaixado no tempo usando uma
restauração de estado do sistema sem suporte.
1. Um administrador promove três controladores de domínio em um domínio. (Neste exemplo, os
controladores de domínio são DC1, DC2 e DC2, e o domínio é Contoso.com.) DC1 e DC2 são parceiros de
replicação direta. DC2 e DC3 também são parceiros de replicação direta. DC1 e DC3 não são parceiros de
replicação direta, mas recebem atualizações originadas transitivamente por meio do DC2.
2. Um administrador cria 10 contas de usuário que correspondem a USNs de 1 a 10 no DC1. Todas essas
contas são replicadas para DC2 e DC3.
3. Uma imagem de disco de um sistema operacional é capturada em DC1. Esta imagem tem um registro de
objetos que correspondem a USNs locais de 1 a 10 em DC1.
4. As seguintes alterações são feitas no Active Directory:
As senhas de todas as 10 contas de usuário criadas na etapa 2 são redefinidas no DC1. Essas senhas
correspondem a USNs de 11 a 20. Todas as 10 senhas atualizadas são replicadas para DC2 e DC3.
10 novas contas de usuário que correspondem a USNs 21 a 30 são criadas no DC1. Essas 10 contas
de usuário replicam para DC2 e DC3.
10 novas contas de computador que correspondem a USNs 31 a 40 são criadas no DC1. Essas 10
contas de computador replicam para DC2 e DC3.
10 novos grupos de segurança que correspondem a USNs 41 a 50 são criados no DC1. Esses 10
grupos de segurança replicam para DC2 e DC3.
5. DC1 experimenta uma falha de hardware ou uma falha de software. O administrador usa um utilitário de
imagens de disco para copiar a imagem do sistema operacional que foi criada na etapa 3. O DC1 agora
começa com um banco de dados do Active Directory que tem conhecimento de USNs 1 a 10.
Como a imagem do sistema operacional foi copiada e um método com suporte para restaurar o estado
do sistema não foi usado, o DC1 continua a usar a mesma ID de invocação que criou a cópia inicial do
banco de dados e todas as alterações até USN 50. DC2 e DC3 também mantêm a mesma ID de invocação
para DC1, bem como um vetor atualizado de USN 50 para DC1. (Um vetor atualizado é o status atual das
atualizações de origem mais recentes a ocorrerem em todos os controladores de domínio para uma
determinada partição de diretório.)
A menos que um administrador intervenha, DC2 e DC3 não replicam as alterações que correspondem à
USN local de 11 a 50 que se originam do DC1. Além disso, de acordo com a ID de invocação que o DC2
usa, o DC1 já tem conhecimento das alterações que correspondem à USN 11 a 50. Portanto, o DC2 não
envia essas alterações. Como as alterações na etapa 4 não existem no DC1, as solicitações de logon
falham com um erro de "acesso negado". Esse erro ocorre porque as senhas não são correspondendo ou
porque a conta não existe quando as contas mais novas são autenticadas aleatoriamente com DC1.
6. Os administradores que monitoram a saúde da replicação na floresta observam as seguintes situações:
A ferramenta de linha de comando relata que a replicação de duas vias do Active Directory entre
DC1 e DC2 e entre DC2 e DC3 está Repadmin /showreps ocorrendo sem erros. Essa situação
dificulta a detecção de qualquer inconsistência de replicação.
Os eventos de replicação nos logs de eventos de serviço de diretório de controladores de domínio
que estão executando o Windows Server não indicam falhas de replicação nos logs de eventos do
serviço de diretório. Essa situação dificulta a detecção de qualquer inconsistência de replicação.
Usuários e computadores do Active Directory ou a Ferramenta de Administração do Active
Directory (Ldp.exe) mostram uma contagem diferente de objetos e metadados de objeto
diferentes quando as partições de diretório de domínio no DC2 e DC3 são comparadas à partição
no DC1. A diferença é que o conjunto de alterações mapeada para USN muda de 11 a 50 na etapa
4.
NOTE
Neste exemplo, a contagem de objetos diferente se aplica a contas de usuário, contas de computador e
grupos de segurança. Os metadados de objeto diferentes representam as diferentes senhas de conta de
usuário.
As solicitações de autenticação de usuário para as 10 contas de usuário que foram criadas na

etapa 2 ocasionalmente geram um erro de "acesso negado" ou "senha incorreta". Esse erro pode
ocorrer porque existe uma incompatibilidade de senha entre essas contas de usuário no DC1 e as
contas em DC2 e DC3. As contas de usuário que experimentam esse problema correspondem às
contas de usuário que foram criadas na etapa 4. As contas de usuário e as redefinições de senha
na etapa 4 não se replicaram para outros controladores de domínio no domínio.
7. DC2 e DC3 começam a replicar atualizações originadas de entrada que correspondem a números USN
maiores do que 50 do DC1. Essa replicação prossegue normalmente sem intervenção administrativa
porque o limite de vetor atualizado anteriormente registrado, USN 50, foi excedido. (USN 50 era o USN
do vetor atualizado registrado para DC1 em DC2 e DC3 antes de DC1 ser offline e restaurado.) No
entanto, as novas alterações que correspondiam às USNs 11 a 50 no DC1 de origem após a restauração
sem suporte nunca serão replicadas para DC2, DC3 ou seus parceiros de replicação transitivos.
Embora os sintomas mencionados na etapa 6 representem parte do efeito que uma reação da USN pode ter em
contas de usuário e computador, uma reação de USN pode impedir que qualquer tipo de objeto em qualquer
partição do Active Directory seja replicado. Esses tipos de objeto incluem o seguinte:
A topologia e a agenda de replicação do Active Directory
A existência de controladores de domínio na floresta e as funções que esses controladores de domínio
têm
NOTE
Essas funções incluem o catálogo global, alocações de identificador relativo (RID) e funções mestras de operações.
(As funções mestras de operações também são conhecidas como operações mestras simples flexíveis ou FSMO.)
A existência de partições de domínio e aplicativo na floresta

A existência de grupos de segurança e suas associações de grupo atuais
Registro de registro DNS em zonas DNS integradas ao Active Directory
O tamanho do buraco da USN pode representar centenas, milhares ou até dezenas de milhares de alterações
em usuários, computadores, confianças, senhas e grupos de segurança. (O buraco da USN é definido pela
diferença entre o número usn mais alto que existia quando o backup de estado do sistema restaurado foi feito e
o número de alterações originadas que foram criadas no controlador de domínio rolado antes de ser offline.)
Detectar uma reação da USN em um controlador de domínio

Windows Servidor
Como é difícil detectar uma reação da USN, um controlador de domínio do Windows Server 2003 SP1 ou
posterior registra o evento 2095 quando um controlador de domínio de origem envia um número USN
reconhecido anteriormente para um controlador de domínio de destino sem uma alteração correspondente na
ID de invocação.
Para impedir que atualizações de origem exclusivas para o Active Directory seja criada no controlador de
domínio restaurado incorretamente, o serviço de Logon da Net é pausado. Quando o serviço de Logon da Net é
pausado, as contas de usuário e de computador não podem alterar a senha em um controlador de domínio que
não replicará essas alterações. Da mesma forma, as ferramentas de administração do Active Directory
favorecem um controlador de domínio corretamente quando fazem atualizações para objetos no Active
Directory.
Em um controlador de domínio, as mensagens de evento semelhantes às seguintes são registradas se as
seguintes condições são verdadeiras:
Um controlador de domínio de origem envia um número USN reconhecido anteriormente para um
controlador de domínio de destino.
Não há nenhuma alteração correspondente na ID de invocação.
Esses eventos podem ser capturados no log de eventos do Serviço de Diretório. No entanto, eles podem ser
substituídos antes de serem observados por um administrador.
Você pode suspeitar que ocorreu uma reação da USN. No entanto, você não vê os eventos de correlação no log
de eventos do Serviço de Diretório. Neste cenário, verifique a entrada do Registro Não Writable Dsa. Esta
entrada fornece evidências forenses de que ocorreu uma reação da USN.
Sub-chave do Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Entrada do Registro: Dsa Not Writable
Valor: 0x4
Excluir ou alterar manualmente o valor de entrada do Registro Não Writable Dsa coloca o controlador de
domínio de rebaixamento em um estado permanentemente sem suporte. Portanto, essas alterações não são
suportadas. Especificamente, modificar o valor remove o comportamento de quarentena adicionado pelo
código de detecção de rebaixamento usn. As partições do Active Directory no controlador de domínio de
replicação serão permanentemente inconsistentes com parceiros de replicação diretas e transitivas na mesma
floresta do Active Directory.
Recuperar de uma reação da USN

Há três abordagens para se recuperar de uma reação da USN.
Remova o Controlador de Domínio do domínio. Para fazer isso, siga estas etapas:
1. Remova o Active Directory do controlador de domínio para forçá-lo a ser um servidor autônomo.
Para obter mais informações, consulte Controladores de domínio não rebaixam normalmente
quando você usa o Assistente de Instalação do Active Directory para forçar o rebaixamento.
2. Desligar o servidor rebaixado.
3. Em um controlador de domínio íntegre, limpe os metadados do controlador de domínio
rebaixado. Para obter mais informações, consulte Clean up Active Directory Domain Controller
server metadata.
4. Se o controlador de domínio restaurado incorretamente hospeda funções mestras de operações,
transfira essas funções para um controlador de domínio corretamente. Para obter mais
informações, consulte Transferir ou capturar funções FSMO nos Serviços de Domínio do Active
Directory.
5. Reinicie o servidor rebaixado.
6. Se for necessário, instale o Active Directory no servidor autônomo novamente.
7. Se o controlador de domínio já era um catálogo global, configure o controlador de domínio como
um catálogo global. Para obter mais informações, consulte Como criar ou mover um catálogo
global.
8. Se o controlador de domínio hospedado anteriormente tiver funções mestras de operações,
transfira as funções mestras de operações de volta para o controlador de domínio. Para obter mais
informações, consulte Transferir ou capturar funções FSMO nos Serviços de Domínio do Active
Directory.
Restaure o estado do sistema de um bom backup.
Avalie se existem backups de estado do sistema válidos para esse controlador de domínio. Se um backup
de estado do sistema válido tiver sido feito antes que o controlador de domínio roll-back tenha sido
restaurado incorretamente e o backup contiver alterações recentes feitas no controlador de domínio,
restaure o estado do sistema do backup mais recente.
Restaure o estado do sistema sem o backup do estado do sistema.
Você pode usar o instantâneo como uma fonte de backup. Ou você pode definir o banco de dados para
dar a si mesmo uma nova ID de invocação usando o procedimento na seção Para restaurar uma versão
anterior de um VHD de controlador de domínio virtual sem o backup de dados de estado do sistema de
Controladores de Domínio em Execução no Hyper-V.
Referências
Coisas a considerar ao hospedar controladores de domínio do Active Directory em ambientes de
hospedagem virtual
Arquitetura do controlador de domínio virtualizado
Evento de replicação do NTDS 2089 é registrado se
o Windows Server 2003 SP1 e controladores de
domínio posteriores não são backup em um
determinado período de tempo
Este artigo discute o problema em que uma nova mensagem de erro de evento é registrada se você não fazer
backup de um controlador de domínio baseado no Service Pack 1 (SP1) do Windows Server 2003 em um
determinado período de tempo chamado de intervalo de latência de backup.
Aplica-se a: Window Server 2003
Introdução
Quando você faz o back-up de um controlador de domínio que está executando o Microsoft Windows Server
2003 Service Pack 1 (SP1), uma nova mensagem de erro de evento é registrada para cada partição de aplicativo
ou domínio que o controlador de domínio hospeda. Isso será verdadeiro se a partição não for respaldada em
um determinado período de tempo. O período de tempo é chamado de intervalo de latência de backup. Você
pode definir um valor do Registro para especificar esse intervalo em dias.
Mais informações
Novo comportamento no Windows Server 2003 SP1
O atributo Signature DSA é modificado sempre que um backup de estado do sistema é feito. O sistema
operacional monitora esse atributo. Uma mensagem de erro de evento é registrada quando os critérios de
intervalo de latência de backup são atendidos. Qualquer Windows de domínio baseado no Server 2003 SP1
pode registrar o evento porque o atributo Assinatura DSA é um atributo replicado.
NOTE
A nova mensagem de erro de evento não será registrada até que um backup seja feito em um controlador de domínio
baseado no Windows Server 2003 que está executando o Windows Server 2003 SP1. Somente Windows controladores
de domínio baseados no Server 2003 SP1 registram essa mensagem de erro de evento.
O período de tempo padrão do intervalo de latência de backup é metade do Tempo de Vida de Tombstone (TSL)
para registrar a mensagem de erro de evento no controlador de domínio. A lista a seguir mostra a diferença nos
valores TSL padrão para uma floresta criada no Windows Server 2003 e uma floresta criada no Windows Server
2003 SP1:
Windows Server 2003
Por padrão, o valor TSL no Windows Server 2003 é de 60 dias. Portanto, a mensagem de erro de evento não é
registrada até 30 dias após o último backup.
Windows Server 2003 SP1
Por padrão, o valor TSL na nova floresta criada pelo Windows Server 2003 SP1 é de 180 dias. O valor TSL é 60
dias em todos os outros casos. A mensagem de erro de evento em uma floresta com um TSL de 180 dias não é
registrada até 90 dias após o último backup.
NOTE
Se você instalar o Windows Server 2003 SP1 em computadores baseados no Windows Server 2003, isso não aumentará
o TSL para 180 dias. A floresta deve ser criada em um servidor que tenha Windows Server 2003 SP1 instalado no
momento em que você a criar. Para obter mais informações, clique no seguinte número de artigo para exibir o artigo na
Base de Dados de Conhecimento da Microsoft:
216993 prazo de validade útil de um backup de estado do sistema do Active Directory
Estratégia de Implantação
O valor padrão para o intervalo de latência de backup em uma floresta que usa o TSL padrão é insuficiente para
avisar corretamente os administradores de que as partições não estão sendo respaldadas com frequência
suficiente.
No Registro, os administradores podem especificar um valor para a entrada Limite de Latência de Backup (dias).
Isso fornece um método simples para ajustar em quanto tempo a ID do evento 2089 será registrada se um
backup não for feito em um determinado período de tempo. Portanto, o período de tempo reflete as estratégias
de backup dos administradores. Esta mensagem de erro de evento serve como um aviso aos administradores
de que os controladores de domínio não estão sendo backup antes que o TSL expire. Essa mensagem de erro de
evento também é um evento de acompanhamento útil para monitorar aplicativos como o Microsoft Operations
Manager (MOM).
Recomendamos que você faça backups de estado do sistema que incluem cada floresta, domínio e partição de
aplicativos em pelo menos dois computadores todos os dias. Também recomendamos que você configure esse
evento para ocorrer todos os dias se um backup não for feito. Programas de backup de terceiros podem usar
um método que chama a API de backup que atualiza o atributo. Quando esses programas usam esse método,
ele faz com que o atributo Assinatura DSA seja atualizado.
Uma mensagem de erro de ID de evento 2089 é registrada no log de eventos do Serviço de Diretório quando
uma partição não é backup durante o intervalo de latência de backup. Somente uma mensagem de erro de
evento é registrada todos os dias para cada partição que um controlador de domínio hospeda. A mensagem de
erro de evento é semelhante ao seguinte:
Tipo de Evento: Aviso

Origem do evento: Replicação do NTDS
Categoria de Evento: ID do Evento de Backup: 2089
Descrição: essa partição de diretório não tem backup desde pelo menos o seguinte número de dias.
Partição de diretório:
DC=domainDC=com
"Intervalo de latência de backup" (dias):
30
É recomendável que você faça um backup com a maior frequência possível para se recuperar da perda acidental
de dados. No entanto, se você não tiver feito um backup desde pelo menos o número de dias "intervalo de
latência de backup", essa mensagem será registrada todos os dias até que um backup seja feito. Você pode fazer
um backup de qualquer réplica que retém essa partição.
Por padrão, o "Intervalo de latência de backup" é definido como metade do "Intervalo de vida da lápide". Se você
quiser alterar o padrão "Intervalo de latência de backup", você pode fazer isso adicionando a seguinte chave do
Registro.
Chave do registro "Intervalo de latência de backup" (dias) :
System\CurrentControlSet\Services\NTDS\Parameters\Backup Latency Threshold (days) .
NOTE
O valor de Limite de Latência de Backup (dias) é uma entrada do Registro, mas não uma chave conforme indicado na
mensagem de erro de evento. O intervalo de latência de backup é metade do valor do TSL da floresta. Quando esse valor
é atingido, o sistema operacional registra a ID do evento 2089 no log de eventos do Serviço de Diretório. Essa ID de
evento avisa os administradores para monitorar aplicativos e garantir que os controladores de domínio sejam backup
antes que o TSL expire. Para definir o intervalo que o sistema operacional aguarda antes que uma ID de evento 2089 seja
registrada, use o Editor do Registro para definir o valor da entrada Limite de Latência de Backup (dias). Para fazer isso, siga
estas etapas:
1. Inicie o Editor do Registro.
2. Localize e clique na seguinte sub-chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
3. Clique com o botão direito do mouse em Parâmetros, aponte para Novo e clique em Valor DWORD.
4. Digite Limite de Latência de Backup (dias) e pressione ENTER.
5. Clique com o botão direito do mouse em Limite de Latência de Backup (dias) e clique em Modificar .
6. Na caixa Dados valor, digite o número de dias a ser usado como um limite e clique em OK .
Referências
https://blogs.msdn.com/brettsh/archive/2006/02/09/528708.aspx
Restaurar um controlador de domínio pode causar
inconsistências entre controladores de domínio
Este artigo fornece ajuda para resolver um problema em que a restauração de um controlador de domínio
causa inconsistências entre controladores de domínio.
Aplica-se a: Windows Server 2012 R2
Sintomas
Restaurar um controlador de domínio pode causar uma ID de Evento: 1587, indicando inconsistências entre
controladores de domínio. Se isso ocorrer, alguns objetos persistentes poderão estar presentes no controlador
de domínio restaurado. Além disso, novos objetos no controlador de domínio restaurado não são replicados.
Motivo
Esse problema ocorre porque o controlador de domínio atribui uma nova ID de invocação, mas usa a marca de
alta água original.
Solução alternativa
Para resolver esse problema, rebaixe e promova o controlador de domínio restaurado. Antes de rebaixar o
servidor afetado, force uma replicação completa do servidor afetado para outro controlador de domínio. (A
sincronização completa pode ser intensiva em recursos para domínios maiores.) Execute a sincronização
completa na partição de domínio e na partição de configuração. A linha a seguir mostra a sintaxe do comando
Repadmin que você usa para executar a sincronização:
repadmin /sync <Naming Context> <Dest DC> <Source DC GUID> [/force] [/full]
A linha a seguir é um exemplo de uso deste comando:
repadmin /sync DC=domain,DC=root good_DC dc1 122a5239-36b3-488a-b24c-971ed0ca8a46 /force /full
No comando de exemplo:
"DC=domain,DC=root" é o contexto de nomenlagem de domínio.
"good_DC" é o DC de destino. Esse é o bom parceiro que receberá as atualizações.
O GUID DSA é o GUID de replicação do DC restaurado. Você pode obter isso executando Repadmin /showreps
no servidor restaurado. O GUID está listado na parte superior em "Guid de objeto DC".
Se a sincronização for bem-sucedida, você receberá a seguinte mensagem: Sincronizar de 122a5239-36b3-
488a-b24c-971ed0ca8a46 para Good_DC concluída com êxito.
Repita o processo para o contexto de nomenisco de configuração usando um comando semelhante ao seguinte:
repadmin /sync cn=configuration,DC=domain,DC=root good_DC dc1 122a5239-36b3-488a-b24c-971ed0ca8a46 /force
/full
O problema provavelmente não será resolvido depois que você fizer isso. Depois de fazer isso, instale o hotfix
ou o rebaixamento e promova o controlador de domínio para resolver o problema.
Status
A Microsoft confirmou que esse é um problema nos produtos Microsoft listados no início deste artigo. Esse
problema foi corrigido pela primeira vez Windows 2000 Service Pack 3.
Mais informações
Quando você restaura um controlador de domínio, a USN mais alta comprometida é rolada de volta para o
ponto em que o backup foi criado. A ID de invocação do controlador de domínio é retirada e uma nova é
atribuída. Quando um parceiro tenta replicar a primeira vez após a restauração, a seguinte mensagem é
gravada:
Tipo de Evento: Informações

Origem do evento: Replicação do NTDS
Categoria do Evento: (5)
ID do Evento: 1587
Data: <DateTime>
Hora: <DateTime>
Usuário: CONTOSO \ CO-NA-DC-01$
Computador: CO-DC-02
Descrição:
O Agente de Serviço de Diretório (DSA) correspondente ao objectGuid d0a6a575-9702-4f4e-bf68-
bb2a9f875188 solicitou alterações a partir de um indicador que precede a restauração mais recente do
backup do DSA local no usn 94727614. O indicador está sendo ajustado da seguinte forma: ID de invocação
anterior: bc546028-fae7-4978-abe0-d294694da32b
USN de atualização de objeto anterior: 95853579
USN de Atualização de Propriedade Anterior: 95853579
Nova ID de Invocação: ae6286cb-740b-4bb3-ace7-9577efa9dc9f
New Object Update USN: 94727614
New Property Update USN: 94727614
Esse evento é típico de um controlador de domínio restaurado. Por si só, isso não indica um problema. Isso será
um problema se os objetos criados no controlador de domínio restaurado "silenciosamente" não se replicarem.
No cenário de problemas, a USN mais alta é rea mesma. No entanto, durante a redefinição do vetor "atualizado",
o controlador de domínio de origem fornece o valor USN mais alto que estava presente antes da restauração.
Objetos que têm valores USNchanged entre o valor do atributo upper e lower highestCommittedUSN nunca
são considerados para replicação.
Por exemplo: suponha que o controlador de domínio 1 tenha uma USN mais alta de 100. Seu parceiro de
replicação, controlador de domínio 2, tem um vetor "atualizado" de 100 para o controlador de domínio 1.
Você restaura o controlador de domínio 1 de um backup no qual a USN mais alta é 50. Após a próxima
replicação com o controlador de domínio 2, o controlador de domínio 1 redefine o indicador para 100 (deve ser
50). o controlador de domínio 1 origina as alterações 51, 52 e 53. Quando o controlador de domínio 2 negocia a
replicação, ele nunca considera as alterações porque acredita que ele tenha alterações até 100. o controlador de
domínio 1 continua a fazer alterações e, eventualmente, atinge 101. A alteração 101 é replicada, mas as
alterações de 51 a 100 não são.
Em alguns casos, você pode detectar esse estado. Use Ldp ou Edit ADSI para ler o atributo
highestCommittedUSN atual no objeto rootDSE no controlador de domínio restaurado. Em seguida, compare
isso com a saída do repadmin /showreps /verbose comando em um de seus parceiros. Na saída Repadmin,
procure o valor "USN ###/OU" para o controlador de domínio restaurado para cada contexto de nomenis. Se o
valor em Repadmin for maior do que o atributo highestCommittedUSN, o controlador de domínio restaurado
enfrentará o problema.
Se o controlador de domínio restaurado tiver originado atualizações suficientes que seu atributo
highestCommittedUSN atingiu ou excedeu o vetor "atualizado" que é registrado nos outros controladores de
domínio (como no exemplo deste artigo), algumas alterações nunca serão consideradas para replicação. No
entanto, novas alterações são replicadas. As alterações não aplicados são conhecidas como "objetos
persistentes".
Como remover domínios órfãos do Active Directory
Aplica-se a: Windows 10, Windows Server 2012 R2

Resumo
Normalmente, quando o último controlador de domínio de um domínio é rebaixado, o administrador seleciona
Este ser vidor é o último controlador de domínio na opção domínio na ferramenta DCPromo. Este
procedimento remove os metadados de domínio do Active Directory. Este artigo descreve como remover
metadados de domínio do Active Directory se esse procedimento não for usado ou se todos os controladores
de domínio são levados offline, mas não rebaixados primeiro.
Cau t i on
O administrador deve verificar se a replicação ocorreu desde o rebaixamento do último controlador de domínio
antes de remover manualmente os metadados de domínio. Usar a ferramenta NTDSUTIL incorretamente pode
causar perda parcial ou completa da funcionalidade do Active Directory.
Remover domínios órfãos do Active Directory

1. Determine o controlador de domínio que detém a função FSMO (Operações Mestras Simples Flexíveis)
de Nomeação de Domínio. Para identificar o servidor que está segurando essa função:
a. Inicie o snap-in Domínios e Confiações do Microsoft Management Console (MMC) no menu
Ferramentas Administrativas.
b. Clique com o botão direito do mouse no nó raiz no painel esquerdo intitulado Domínios e
Confiações do Active Directory e selecione Operations Master .
c. O controlador de domínio que atualmente mantém essa função é identificado no quadro Mestre de
Operações Atuais.
NOTE
Se ele foi alterado recentemente, nem todos os computadores podem ter recebido essa alteração ainda
devido à replicação.
Para obter mais informações sobre funções FSMO, consulte Funções FSMOdo Active Directory em
Windows .
2. Verifique se todos os servidores do domínio foram rebaixados.
3. Abra uma janela de prompt de comando.
4. No prompt de comando, digite ntdsutil e pressione Enter.
5. Digite metadata cleanup e pressione Enter.
6. Digite connections e pressione Enter. Este menu é usado para se conectar ao servidor específico no qual
as alterações ocorrerão. Se o usuário conectado no momento não for membro do grupo administradores
do Enterprise, as credenciais alternativas poderão ser fornecidas especificando as credenciais a serem
usadas antes de fazer a conexão. Para fazer isso, digite: set creds <domainname> <username> <password> e
pressione Enter. Para uma senha nula, digite null para o parâmetro password.
7. Digite connect to server <servername> , onde é o nome do controlador de domínio que contém a Função
mestre de <servername> nomenização de domínio FSMO. Em seguida, pressione Enter. Você deve
receber a confirmação de que a conexão foi estabelecida com êxito. Se ocorrer um erro, verifique se o
controlador de domínio usado na conexão está disponível. E verifique se as credenciais fornecidas têm
permissões administrativas no servidor.
8. Digite quit e pressione Enter. O menu Limpeza de Metadados é exibido.
9. Digite select operation target e pressione Enter.
10. Digite list domains e pressione Enter. Uma lista de domínios na floresta é exibida, cada uma com um
número associado.
11. Digite select domain <number> e pressione Enter, onde o número é o número associado ao domínio a ser
removido.
12. Digite quit e pressione Enter. O menu Limpeza de Metadados é exibido.
13. Digite remove selected domain e pressione Enter. Você deve receber a confirmação de que a remoção foi
bem-sucedida. Se ocorrer um erro, consulte a Base de Dados de Conhecimento da Microsoft para artigos
em mensagens de erro específicas.
14. Digite quit em cada menu para sair da ferramenta NTDSUTIL. Você deve receber a confirmação de que
a conexão foi desconectada com êxito.
Referências
Para obter mais informações sobre a ferramenta NTDSUTIL, consulte a documentação ferramentas de suporte
localizada na pasta Support\Reskit no CD-ROM Windows 2000. Os arquivos de Ajuda incluídos no Kit de
Recursos do Microsoft Windows 2000 contêm um link Livros Online. Você pode clicar no link para obter
informações que descrevam a ferramenta NTDSUTIL com mais detalhes.
Para obter mais informações sobre como remover controladores de domínio do domínio que você está
tentando excluir, consulte o seguinte artigo:
216498 como remover dados no Active Directory após um rebaixamento de controlador de domínio
malsucedido
Como restaurar contas de usuário excluídas e suas
associações de grupo no Active Directory
Este artigo fornece informações sobre como restaurar contas de usuário excluídas e associações de grupo no
Active Directory.
Introdução
Você pode usar vários métodos para restaurar contas de usuário excluídas, contas de computador e grupos de
segurança. Esses objetos são conhecidos coletivamente como entidades de segurança.
O método mais comum é habilitar o recurso da Lixeira do AD com suporte em controladores de domínio com
base no Windows Server 2008 R2 e posterior. Para obter mais informações sobre esse recurso, incluindo como
habilita-lo e restaurar objetos, consulte Guia passo a passo da Lixeira do Active Directory.
Se esse método não estiver disponível para você, os três métodos a seguir poderão ser usados. Em todos os três
métodos, você restaura os objetos excluídos de forma autoritativa e restaura as informações de associação ao
grupo para as entidades de segurança excluídas. Ao restaurar um objeto excluído, você deve restaurar os
valores antigos member dos atributos memberOf e na entidade de segurança afetada.
NOTE
A recuperação de objetos excluídos no Active directory pode ser simplificada habilitando o recurso da Lixeira do AD com
suporte em controladores de domínio com base no Windows Server 2008 R2 e posterior. Para obter mais informações
sobre esse recurso, incluindo como habilita-lo e restaurar objetos, consulte Guia passo a passo da Lixeira do Active
Directory.
Mais informações
Os métodos 1 e 2 fornecem uma experiência melhor para usuários e administradores de domínio. Esses
métodos preservam as adições a grupos de segurança que foram feitas entre o momento do último backup de
estado do sistema e o momento em que a exclusão ocorreu. No método 3, você não faz ajustes individuais para
entidades de segurança. Em vez disso, você reverter as associações do grupo de segurança para seu estado no
momento do último backup.
A maioria das exclusões em grande escala é acidental. A Microsoft recomenda que você tome várias etapas para
impedir que outras pessoas deletem objetos em massa.
NOTE
Para impedir a exclusão acidental ou o movimento de objetos (especialmente as unidades organizacionais), duas ACEs
(Entradas de controle de acesso de Negação) podem ser adicionadas ao descritor de segurança de cada objeto (DENY
DELETEDELETE & TREE) e uma ACEs (Entradas de controle de acesso de Negação) podem ser adicionadas ao descritor
de segurança do PAI de cada objeto (NEGAR EXCLUIR FILHO ). Para fazer isso, use Usuários e Computadores do Active
Directory, ADSIEdit, LDP ou a ferramenta de linha de comando DSACLS. Você também pode alterar as permissões padrão
no esquema do AD para unidades organizacionais para que essas ACEs sejam incluídas por padrão.
Por exemplo, para proteger a unidade da organização chamada. Os usuários no domínio do AD CONTOSO.COM
que são chamados de acidentalmente serem movidos ou excluídos de sua unidade organizacional pai chamada
MyCompany, façam a seguinte configuração:
Para a unidade organizacional MyCompany , adicione DENY ACE for Ever yone to DELETE CHILD with This
object only scope:
DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/
Para a unidade organizacional Usuários, adicione DENY ACE for Ever yone to DELETE and DELETE TREE with
This object only scope:
DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"
O snap-in Usuários e Computadores do Active Directory no Windows Server 2008 inclui uma caixa de seleção
Proteger contra exclusão acidental na guia Objeto.
NOTE
A caixa de seleção Recursos Avançados deve estar habilitada para exibir essa guia.
Quando você cria uma unidade organizacional usando Usuários e Computadores do Active Directory no
Windows Server 2008, a caixa de seleção Proteger contêiner contra exclusão acidental é exibida. Por padrão, a
caixa de seleção é selecionada e pode ser deselegida.
Embora você possa configurar cada objeto no Active Directory usando essas ACEs, ele é mais adequado para
unidades organizacionais. A exclusão ou os movimentos de todos os objetos folha podem ter um efeito
importante. Essa configuração impede tais exclusões ou movimentos. Para realmente excluir ou mover um
objeto usando essa configuração, as ACEs de Negar devem ser removidas primeiro.
Este artigo discute como restaurar contas de usuário, contas de computador e suas associações de grupo após a
exclusão do Active Directory. Em variações desse cenário, contas de usuário, contas de computador ou grupos
de segurança podem ter sido excluídas individualmente ou em alguma combinação. Em todos esses casos, as
mesmas etapas iniciais se aplicam. Você restaura de forma autoritativa ou auth os objetos que foram excluídos
inadvertidamente. Alguns objetos excluídos exigem mais trabalho a ser restaurado. Esses objetos incluem
objetos como contas de usuário que contêm atributos que são links de volta dos atributos de outros objetos.
Dois desses atributos são managedBy e memberOf .
Quando você adiciona entidades de segurança, como uma conta de usuário, um grupo de segurança ou uma
conta de computador a um grupo de segurança, faz as seguintes alterações no Active Directory:
1. O nome da entidade de segurança é adicionado ao atributo membro de cada grupo de segurança.
2. Para cada grupo de segurança do que o usuário, o computador ou o grupo de segurança é membro, um link
de fundo é adicionado ao atributo da entidade de memberOf segurança.
Da mesma forma, quando um usuário, um computador ou um grupo é excluído do Active Directory, as
seguintes ações ocorrem:
1. A entidade de segurança excluída é movida para o contêiner de objetos excluídos.
2. Alguns valores de atributo, incluindo o memberOf atributo, são removidos da entidade de segurança excluída.
3. As entidades de segurança excluídas são removidas de todos os grupos de segurança dos que eram
membros. Em outras palavras, as entidades de segurança excluídas são removidas do atributo membro de
cada grupo de segurança.
Quando você recupera entidades de segurança excluídas e restaura suas associações de grupo, cada entidade de
segurança deve existir no Active Directory antes de restaurar sua associação ao grupo. O membro pode ser um
usuário, um computador ou outro grupo de segurança. Para reafirmar essa regra mais amplamente, um objeto
que contém atributos cujos valores são links de volta deve existir no Active Directory antes que o objeto que
contém esse link de encaminhamento possa ser restaurado ou modificado.
Este artigo se concentra em como recuperar contas de usuário excluídas e suas associações em grupos de
segurança. Seus conceitos se aplicam igualmente a outras exclusões de objeto. Os conceitos deste artigo se
aplicam igualmente a objetos excluídos cujos valores de atributo usam links de encaminhamento e links de
volta para outros objetos no Active Directory.
Você pode usar um dos três métodos para recuperar entidades de segurança. Quando você usa o método 1,
deixa no lugar todas as entidades de segurança que foram adicionadas a qualquer grupo de segurança em toda
a floresta. E você adiciona apenas entidades de segurança que foram excluídas de seus respectivos domínios de
volta aos grupos de segurança. Por exemplo, você faz um backup de estado do sistema, adiciona um usuário a
um grupo de segurança e restaura o backup de estado do sistema. Quando você usa os métodos 1 ou 2,
preserva todos os usuários que foram adicionados a grupos de segurança que contenham usuários excluídos
entre as datas em que o backup de estado do sistema foi criado e a data em que o backup foi restaurado. Ao
usar o método 3, você reverterá as associações de grupo de segurança para todos os grupos de segurança que
contêm usuários excluídos para seu estado no momento do backup do estado do sistema.
Método 1 - Restaurar as contas de usuário excluídas e, em seguida,

adicionar os usuários restaurados de volta aos seus grupos usando a
ferramenta Ntdsutil.exe linha de comando
A Ntdsutil.exe de linha de comando permite restaurar os backlinks de objetos excluídos. Dois arquivos são
gerados para cada operação de restauração autoritativa. Um arquivo contém uma lista de objetos restaurados
de forma autoritativa. O outro arquivo é um arquivo .ldf usado com o utilitário Ldifde.exe. Esse arquivo é usado
para restaurar os backlinks dos objetos que são restaurados de forma autoritativa. Uma restauração autoritativa
de um objeto de usuário também gera arquivos LDIF (Formato de Intercâmbio de Dados LDAP) com a
associação ao grupo. Esse método evita uma restauração dupla.
Ao usar esse método, execute as seguintes etapas de alto nível:
1. Verifique se um catálogo global no domínio do usuário não foi replicado na exclusão. E, em seguida, impedir
que o catálogo global seja replicado. Se não houver nenhum catálogo global latente, localize o backup de
estado do sistema mais atual de um controlador de domínio de catálogo global no domínio do usuário
interno excluído.
2. A auth restaura todas as contas de usuário excluídas e permite a replicação de ponta a ponta dessas contas
de usuário.
3. Adicione todos os usuários restaurados de volta a todos os grupos em todos os domínios dos que as contas
de usuário eram membros antes de ser excluídos.
Para usar o método 1, siga este procedimento:
1. Verifique se há um controlador de domínio de catálogo global no domínio interno do usuário excluído
que não tenha replicado nenhuma parte da exclusão.
NOTE
Concentre-se nos catálogos globais que têm os agendamentos de replicação menos frequentes.
Se um ou mais desses catálogos globais existirem, use a ferramenta Repadmin.exe linha de comando
para desabilitar imediatamente a replicação de entrada seguindo estas etapas:
a. Selecione Iniciar e Executar .
b. Digite cmd na caixa Abrir e selecione OK .
c. Digite o seguinte comando no prompt de comando e pressione ENTER:
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
NOTE
Se você não puder Repadmin emitir o comando imediatamente, remova toda a conectividade de rede do
catálogo global Repadmin latente até poder usar para desabilitar a replicação de entrada e, em seguida,
retornar imediatamente a conectividade de rede.
Esse controlador de domínio será chamado de controlador de domínio de recuperação. Se não houver
esse catálogo global, vá para a etapa 2.
2. É melhor parar de fazer alterações em grupos de segurança na floresta se todas as instruções a seguir
são verdadeiras:
Você está usando o método 1 para restaurar autoritativamente usuários excluídos ou contas de
computador pelo caminho de nome diferenciado (dn).
A exclusão foi replicada para todos os controladores de domínio na floresta, exceto o controlador de
domínio de recuperação latente.
Você não está restaurando grupos de segurança ou seus contêineres pai.
Se você estiver restaurando grupos de segurança ou contêineres de unidade organizacional (OU) que
hospedam grupos de segurança ou contas de usuário, pare temporariamente todas essas alterações.
Notifique administradores e administradores de help desk nos domínios apropriados, além de usuários
de domínio no domínio em que ocorreu a exclusão sobre a interrupção dessas alterações.
3. Crie um novo backup de estado do sistema no domínio em que ocorreu a exclusão. Você pode usar esse
backup se tiver que reverter suas alterações.
NOTE
Se os backups de estado do sistema estão atualizados até o ponto de exclusão, ignore esta etapa e vá para a
etapa 4.
Se você identificou um controlador de domínio de recuperação na etapa 1, volte a fazer o seu estado do
sistema agora.
Se todos os catálogos globais localizados no domínio em que a exclusão ocorreu foram replicados na
exclusão, back up the system state of a global catalog in the domain where the deletion occurred.
Ao criar um backup, você pode retornar o controlador de domínio de recuperação ao seu estado atual. E
execute seu plano de recuperação novamente se a primeira tentativa não for bem-sucedida.
4. Se você não conseguir encontrar um controlador de domínio de catálogo global latente no domínio em
que ocorreu a exclusão do usuário, encontre o backup de estado do sistema mais recente de um
controlador de domínio de catálogo global nesse domínio. Esse backup de estado do sistema deve conter
os objetos excluídos. Use esse controlador de domínio como controlador de domínio de recuperação.
Somente restaurações dos controladores de domínio de catálogo global no domínio do usuário contêm
informações de associação de grupo globais e universais para grupos de segurança que residem em
domínios externos. Se não houver backup de estado do sistema de um controlador de domínio de
catálogo global no domínio onde os usuários foram excluídos, memberOf você não poderá usar o atributo
em contas de usuário restauradas para determinar a associação global ou universal do grupo ou para
recuperar a associação em domínios externos. Além disso, é uma boa ideia encontrar o backup de estado
do sistema mais recente de um controlador de domínio de catálogo não global.
5. Se você sabe a senha da conta de administrador offline, inicie o controlador de domínio de recuperação
no modo Disrepair. Se você não sabe a senha da conta de administrador offline, redefina a senha usando
ntdsutil.exe enquanto o controlador de domínio de recuperação ainda estiver no modo normal do Active
Directory.
Você pode usar a ferramenta de linha de comando setpwd para redefinir a senha em controladores de
domínio enquanto eles estão no modo online do Active Directory.
NOTE
A Microsoft não dá mais suporte Windows 2000.
Os administradores do Windows Server 2003 set dsrm password e controladores de domínio posterior
podem usar o comando na ferramenta de linha de comando Ntdsutil para redefinir a senha da conta de
administrador offline.
Para obter mais informações sobre como redefinir a conta de administrador do Modo de Restauração de
Serviços de Diretório, consulte How To Reset the Directory Services Restore Mode Administrator Account
Password in Windows Server.
6. Pressione F8 durante o processo de inicialização para iniciar o controlador de domínio de recuperação no
modo Disrepair. Entre no console do controlador de domínio de recuperação com a conta de
administrador offline. Se você redefinir a senha na etapa 5, use a nova senha.
Se o controlador de domínio de recuperação for um controlador de domínio de catálogo global latente,
não restaure o estado do sistema. Vá para a etapa 7.
Se você estiver criando o controlador de domínio de recuperação usando um backup de estado do
sistema, restaure o backup de estado do sistema mais atual que foi feito no controlador de domínio de
recuperação agora.
7. Auth restaura as contas de usuário excluídas, as contas de computador excluídas ou os grupos de
segurança excluídos.
NOTE
Os termos restauração e restauração autoritativa referem-se ao processo de uso do comando de restauração
autoritativa na ferramenta de linha de comando Ntdsutil para incrementar os números de versão de objetos
específicos ou de contêineres específicos e todos os objetos subordinados. Assim que ocorre a replicação de ponta
a ponta, os objetos direcionados na cópia local do controlador de domínio de recuperação do Active Directory
tornam-se autoritativos em todos os controladores de domínio que compartilham essa partição. Uma restauração
autoritativa é diferente de uma restauração de estado do sistema. Uma restauração de estado do sistema
preenche a cópia local do Active Directory do controlador de domínio restaurado com as versões dos objetos no
momento em que o backup do estado do sistema foi feito.
As restaurações autoritativas são executadas com a ferramenta de linha de comando Ntdsutil e referem-
se ao caminho de nome de domínio (dn) dos usuários excluídos ou dos contêineres que hospedam os
usuários excluídos.
Quando você auth restore, use caminhos de nome de domínio (dn) que estão tão baixos na árvore de
domínio quanto precisam ser. O objetivo é evitar reverter objetos que não estão relacionados à exclusão.
Esses objetos podem incluir objetos que foram modificados após o backup do estado do sistema ter sido
feito.
Restaurar usuários excluídos da Auth na seguinte ordem:
a. A auth restaura o caminho de nome de domínio (dn) para cada conta de usuário excluída, conta de
computador ou grupo de segurança.
Restaurações autoritativas de objetos específicos levam mais tempo, mas são menos destrutivas
do que restaurações autoritativas de uma subárvore inteira. Auth restaura o contêiner pai mais
baixo comum que contém os objetos excluídos.
Ntdsutil usa a seguinte sintaxe:
ntdsutil "authoritative restore" "restore object <object DN path>" q q
Por exemplo, para restaurar autoritativamente o usuário excluído John Doe na OU Contoso.com
Mayberr y do domínio, use o seguinte comando:
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
Para restaurar autoritativamente o grupo de segurança excluído ContosoPrintAccess na OU

Contoso.com Mayberr y do domínio, use o seguinte comando:
ntdsutil "authoritative restore" "restore object

cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
IMPORTANT
O uso de aspas é necessário.
Para cada usuário que você restaurar, pelo menos dois arquivos são gerados. Esses arquivos têm o
seguinte formato:
ar_ YYYYMMDD-HHMMSS _objects.txt
Este arquivo contém uma lista dos objetos restaurados de forma autoritativa. Use esse arquivo
com o comando de restauração autoritativa create ldif file from ntdsutil em qualquer outro
domínio na floresta em que o usuário era membro de grupos locais de domínio.
ar_ YYYYMMDD-HHMMSS _links_usn.loc.ldf
Se você executar a restauração de auth em um catálogo global, um desses arquivos será gerado
para cada domínio na floresta. Este arquivo contém um script que você pode usar com o
Ldifde.exe utilitário. O script restaura os backlinks dos objetos restaurados. No domínio 1 do
usuário, o script restaura todas as associações de grupo para os usuários restaurados. Em todos os
outros domínios da floresta em que o usuário tem associação ao grupo, o script restaura apenas
associações de grupo universais e globais. O script não restaura nenhuma associação de grupo
local de domínio. Essas associações não são controladas por um catálogo global.
b. A Auth restaura apenas os contêineres UO ou Common-Name (CN) que hospedam as contas de
usuário ou grupos excluídos.
Restaurações autoritativas de uma subárvore inteira são válidas quando a OU direcionada pelo
comando de restauração autoritativa ntdsutil contém a maioria dos objetos que você está
tentando restaurar autoritativamente. Idealmente, a UO direcionada contém todos os objetos que
você está tentando restaurar autoritativamente.
Uma restauração autoritativa em uma subárvore de UO restaura todos os atributos e objetos que
residem no contêiner. Todas as alterações que foram feitas até o momento em que um backup de
estado do sistema é restaurado são reapostas aos seus valores no momento do backup. Com
contas de usuário, contas de computador e grupos de segurança, essa reação pode significar a
perda das alterações mais recentes para:
passwords
o diretório home
o caminho do perfil
location
informações de contato
associação de grupo
quaisquer descritores de segurança definidos nesses objetos e atributos.
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
Por exemplo, para restaurar a UO Contoso.com mayberr y do domínio de forma autoritativa, use o
seguinte comando:
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
NOTE
Repita esta etapa para cada UO par que hospeda usuários ou grupos excluídos.
IMPORTANT
Quando você restaura um objeto subordinado de uma UO, todos os contêineres pai excluídos dos objetos
subordinados excluídos devem ser explicitamente restaurados.
Para cada unidade organizacional que você restaurar, pelo menos dois arquivos são gerados. Esses
arquivos têm o seguinte formato:
ar_ YYYYMMDD-HHMMSS _objects.txt
Este arquivo contém uma lista dos objetos restaurados de forma autoritativa. Use esse arquivo
com o comando de restauração autoritativa create ldif file from ntdsutil em qualquer outro
domínio na floresta onde os usuários restaurados eram membros de grupos locais de domínio.
ar_ YYYYMMDD-HHMMSS _links_usn.loc.ldf
Este arquivo contém um script que você pode usar com o Ldifde.exe utilitário. O script restaura os
backlinks dos objetos restaurados. No domínio 1 do usuário, o script restaura todas as associações
de grupo para os usuários restaurados.
8. Se objetos excluídos foram recuperados no controlador de domínio de recuperação devido a uma
restauração de estado do sistema, remova todos os cabos de rede que fornecem conectividade de rede
para todos os outros controladores de domínio na floresta.
9. Reinicie o controlador de domínio de recuperação no modo normal do Active Directory.
10. Digite o seguinte comando para desabilitar a replicação de entrada para o controlador de domínio de
recuperação:
Habilita a conectividade de rede de volta ao controlador de domínio de recuperação cujo estado do

sistema foi restaurado.
11. Replicar os objetos restaurados por auth do controlador de domínio de recuperação para os
controladores de domínio no domínio e na floresta.
Enquanto a replicação de entrada para o controlador de domínio de recuperação permanece desabilitada,
digite o seguinte comando para empurrar os objetos restaurados por auth para todos os controladores
de domínio de réplica entre sites no domínio e para todos os catálogos globais na floresta:
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
Se todas as instruções a seguir são verdadeiras, os links de associação de grupo são reconstruídos com a
restauração e a replicação das contas de usuário excluídas. Vá para a etapa 14.
NOTE
Se uma ou mais das instruções a seguir não for verdadeira, vá para a etapa 12.
Sua floresta está sendo executado no nível funcional do Windows Server 2003 e posterior ou
posterior da floresta ou no nível funcional do Windows Server 2003 e posterior ou posterior ou
posterior da floresta provisória.
Somente contas de usuário ou contas de computador foram excluídas, e não grupos de segurança.
Os usuários excluídos foram adicionados a grupos de segurança em todos os domínios da floresta
após a transição da floresta para o Windows Server 2003 e posterior, ou posterior nível funcional da
floresta.
12. No console do controlador de domínio de recuperação, use o utilitário Ldifde.exe e o arquivo ar_
YYYYMMDD-HHMMSS _links_usn.loc.ldf para restaurar as associações de grupo do usuário. Para fazer
isso, siga estas etapas:
Selecione Iniciar , selecione Executar , digite cmd na caixa Abrir e selecione OK .
No prompt de comando, digite o seguinte comando e pressione ENTER:
ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
13. Habilita a replicação de entrada para o controlador de domínio de recuperação usando o seguinte
comando:
repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
14. Se usuários excluídos foram adicionados a grupos locais em domínios externos, tome uma das seguintes
ações:
Adicione manualmente os usuários excluídos de volta a esses grupos.
Restaure o estado do sistema e restaure cada um dos grupos de segurança locais que contém os
15. Verifique a associação de grupo no domínio do controlador de domínio de recuperação e em catálogos
globais em outros domínios.
16. Faça um novo backup do estado do sistema de controladores de domínio no domínio do controlador de
domínio de recuperação.
17. Notifique todos os administradores de floresta, administradores delegados, administradores de help desk
na floresta e usuários no domínio de que a restauração do usuário está concluída.
Os administradores do help desk podem ter que redefinir as senhas de contas de usuário restauradas por
auth e contas de computador cuja senha de domínio foi alterada após a restauração do sistema.
Os usuários que alteraram suas senhas depois que o backup do estado do sistema foi feito descobrirão
que a senha mais recente não funciona mais. Faça com que esses usuários tentem fazer logoff usando
suas senhas anteriores se as conhecerem. Caso contrário, os administradores do help desk devem
redefinir a senha e selecionar o usuário deve alterar a senha na próxima caixa de seleção de logon .
Faça isso preferencialmente em um controlador de domínio no mesmo site do Active Directory em que o
usuário está localizado.
Método 2 - Restaurar as contas de usuário excluídas e, em seguida,

adicionar os usuários restaurados de volta aos seus grupos
que o catálogo global seja replicado. Se não houver nenhum catálogo global latente, localize o backup de
estado do sistema mais atual de um controlador de domínio de catálogo global no domínio do usuário
interno excluído.
2. A auth restaura todas as contas de usuário excluídas e permite a replicação de ponta a ponta dessas contas
de usuário.
3. Adicione todos os usuários restaurados de volta a todos os grupos em todos os domínios dos que as contas
de usuário eram membros antes de ser excluídos.
1. Verifique se há um controlador de domínio de catálogo global no domínio interno do usuário excluído
que não tenha replicado nenhuma parte da exclusão.
NOTE
Concentre-se nos catálogos globais que têm os agendamentos de replicação menos frequentes.
Se um ou mais desses catálogos globais existirem, use a Repadmin.exe de linha de comando para
desabilitar imediatamente a replicação de entrada. Para fazer isso, siga estas etapas:
c. Digite o seguinte comando no prompt de comando e pressione ENTER:
NOTE
Se você não puder emitir o comando Repadmin imediatamente, remova toda a conectividade de rede do catálogo
global latente até poder usar Repadmin para desabilitar a replicação de entrada e retornar imediatamente a
conectividade de rede.
Esse controlador de domínio será chamado de controlador de domínio de recuperação. Se não houver
esse catálogo global, vá para a etapa 2.
2. Decida se as adições, exclusões e alterações em contas de usuário, contas de computador e grupos de
segurança devem ser temporariamente interrompidas até que todas as etapas de recuperação sejam
concluídas.
Para manter o caminho de recuperação mais flexível, pare temporariamente de fazer alterações nos itens
a seguir. As alterações incluem redefinições de senha por usuários de domínio, administradores de help
desk e administradores no domínio onde ocorreu a exclusão, além de alterações de associação de grupo
nos grupos de usuários excluídos. Considere interromper adições, exclusões e modificações nos
seguintes itens:
a. Contas de usuário e atributos em contas de usuário
b. Contas de computador e atributos em contas de computador
c. Contas de serviço
d. Grupos de segurança
É melhor parar de fazer alterações em grupos de segurança na floresta se todas as instruções a seguir
são verdadeiras:
Você está usando o método 2 para restaurar usuários excluídos ou contas de computador excluídas
por seu caminho de nome de domínio (dn).
A exclusão foi replicada para todos os controladores de domínio na floresta, exceto o controlador de
domínio de recuperação latente.
Você não está restaurando grupos de segurança ou seus contêineres pai.
Se você estiver restaurando grupos de segurança ou contêineres de unidade organizacional (OU) que
hospedam grupos de segurança ou contas de usuário, pare temporariamente todas essas alterações.
Notifique administradores e administradores de help desk nos domínios apropriados, além de usuários
de domínio no domínio em que ocorreu a exclusão sobre a interrupção dessas alterações.
NOTE
Se os backups de estado do sistema estão atualizados até o ponto de exclusão, ignore esta etapa e vá para a
etapa 4.
sistema agora.
Se todos os catálogos globais localizados no domínio em que a exclusão ocorreu foram replicados na
exclusão, back up the system state of a global catalog in the domain where the deletion occurred.
Somente restaurações dos controladores de domínio de catálogo global no domínio do usuário contêm
informações de associação de grupo globais e universais para grupos de segurança que residem em
domínios externos. Se não houver backup de estado do sistema de um controlador de domínio de
catálogo global no domínio em que os usuários foram excluídos, memberOf você não poderá usar o
atributo em contas de usuário restauradas para determinar a associação global ou universal do grupo ou
para recuperar a associação em domínios externos. Além disso, é uma boa ideia encontrar o backup de
estado do sistema mais recente de um controlador de domínio de catálogo não global.
no modo Disrepair. Se você não sabe a senha da conta de administrador offline, redefina a senha
enquanto o controlador de domínio de recuperação ainda estiver no modo normal do Active Directory.
domínio que estão executando o Windows 2000 Service Pack 2 (SP2) e posterior enquanto eles estão no
modo online do Active Directory.
NOTE
modo Disrepair. Entre no console do controlador de domínio de recuperação com a conta de
não restaure o estado do sistema. Vá para a etapa 7.
recuperação agora.
NOTE
As restaurações autoritativas são executadas com a ferramenta de linha de comando Ntdsutil e referem-
se ao caminho de nome de domínio (dn) dos usuários excluídos ou dos contêineres que hospedam os
Quando você auth restore, use caminhos de nome de domínio (dn) que estão tão baixos na árvore de
domínio quanto precisam ser. O objetivo é evitar reverter objetos que não estão relacionados à exclusão.
Esses objetos podem incluir objetos que foram modificados após o backup do estado do sistema ter sido
feito.
a. A auth restaura o caminho de nome de domínio (dn) para cada conta de usuário excluída, conta de
computador ou grupo de segurança.


IMPORTANT
NOTE
Essa sintaxe está disponível somente no Windows Server 2003 e posterior. A única sintaxe Windows 2000
é usar o seguinte:
ntdsutil "authoritative restore" "restore subtree object DN path"
NOTE
A operação de restauração autoritativa Ntdsutil não será bem-sucedida se o caminho de nome
diferenciado (DN) contiver caracteres ou espaços estendidos. Para que a restauração em script seja bem-
sucedida, o restore object <DN path> comando deve ser passado como uma cadeia de caracteres
completa.
Para resolver esse problema, wrap the DN that contains extended characters and spaces with
backslash-double-quotation-mark escape sequences. Veja um exemplo:
ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry

NC,DC=contoso,DC=com\"" q q
NOTE
O comando deve ser modificado ainda mais se a DN dos objetos que estão sendo restaurados conter
vírgulas. Veja o seguinte exemplo:
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry

NC,DC=contoso,DC=com\"" q q
NOTE
Se os objetos foram restaurados da fita, marcados autoritativo e a restauração não funcionou conforme o
esperado e, em seguida, a mesma fita é usada para restaurar o banco de dados NTDS mais uma vez, a
versão USN dos objetos a ser restaurada de forma autoritativa deve ser aumentada maior do que o
padrão de 100000 ou os objetos não serão replicados após a segunda restauração. A sintaxe abaixo é
necessária para script de um número de versão maior que 100000 (padrão):
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry

NC,DC=contoso,DC=com\" verinc 150000\"" q q
NOTE
Se o script solicitar confirmação em cada objeto que está sendo restaurado, você poderá desativar os
prompts. A sintaxe para desativar a solicitação é:
ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry

NC,DC=contoso,DC=com\" verinc 150000\"" q q
comando de restauração autoritativa ntdsutil contém a maioria dos objetos que você está
perda das alterações mais recentes em senhas, no diretório principal, no caminho do perfil, na
localização e nas informações de contato, na associação ao grupo e em quaisquer descritores de
segurança definidos nesses objetos e atributos.
seguinte comando:
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
NOTE
IMPORTANT
Quando você restaura um objeto subordinado de uma UO, todos os contêineres pai excluídos dos objetos
8. Se objetos excluídos foram recuperados no controlador de domínio de recuperação devido a uma

restauração de estado do sistema, remova todos os cabos de rede que fornecem conectividade de rede
para todos os outros controladores de domínio na floresta.
10. Digite o seguinte comando para desabilitar a replicação de entrada para o controlador de domínio de
recuperação:
Habilita a conectividade de rede de volta ao controlador de domínio de recuperação cujo estado do

sistema foi restaurado.
11. Replicar os objetos restaurados por auth do controlador de domínio de recuperação para os
digite o seguinte comando para empurrar os objetos restaurados por auth para todos os controladores
de domínio de réplica entre sites no domínio e para todos os catálogos globais na floresta:
restauração e a replicação das contas de usuário excluídas. Vá para a etapa 14.
NOTE
Se uma ou mais das instruções a seguir não for verdadeira, vá para a etapa 12.
Sua floresta está sendo executado no nível funcional do Windows Server 2003 e posterior da floresta
ou no nível funcional do Windows Server 2003 e posterior da floresta provisória.
Somente contas de usuário ou contas de computador foram excluídas, e não grupos de segurança.
Os usuários excluídos foram adicionados a grupos de segurança em todos os domínios da floresta
após a transição da floresta para o Windows Server 2003 e o nível funcional da floresta posterior.
12. Determine de quais grupos de segurança os usuários excluídos eram membros e adicione-os a esses
grupos.
NOTE
Antes de adicionar usuários a grupos, os usuários que você restaurou na etapa 7 e quem você replicou na etapa
11 devem ter replicado para os controladores de domínio no domínio do controlador de domínio referenciado e
para todos os controladores de domínio de catálogo global na floresta.
Se você tiver implantado um utilitário de provisionamento de grupo para repopular a associação para
grupos de segurança, use esse utilitário para restaurar usuários excluídos para os grupos de segurança
dos que eram membros antes de ser excluídos. Faça isso depois que todos os controladores de domínio
diretos e transitivos nos servidores de catálogo global e de domínio da floresta replicarem os usuários
restaurados por auth e quaisquer contêineres restaurados.
Se você não tiver o utilitário, Ldifde.exe Groupadd.exe as ferramentas de linha de comando e podem
automatizar essa tarefa para você quando elas são executados no controlador de domínio de
recuperação. Essas ferramentas estão disponíveis nos Serviços de Suporte a Produtos da Microsoft.
Nesse cenário, Ldifde.exe cria um arquivo de informações LDIF (Formato de Intercâmbio de Dados) LDAP
que contém os nomes das contas de usuário e seus grupos de segurança. Ele começa em um contêiner
de UO especificado pelo administrador. Groupadd.exe então lê o memberOf atributo para cada conta de
usuário listada no arquivo .ldf. Em seguida, gera informações LDIF separadas e exclusivas para cada
domínio na floresta. Essas informações LDIF contêm os nomes dos grupos de segurança associados aos
usuários excluídos. Use as informações LDIF para adicionar as informações de volta aos usuários para
que suas associações de grupo possam ser restauradas. Siga estas etapas para esta fase da recuperação:
a. Entre no console do controlador de domínio de recuperação usando uma conta de usuário
membro do grupo de segurança do administrador de domínio.
b. Use o comando Ldifde memberOf para despejar os nomes das contas de usuário excluídas
anteriormente e seus atributos, começando no contêiner de UO mais superior onde ocorreu a
exclusão. O comando Ldifde usa a seguinte sintaxe:
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof
-p subtree -f user_membership_after_restore.ldf
Use a seguinte sintaxe se contas de computador excluídas foram adicionadas a grupos de
segurança:
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l

memberof -p subtree -f computer_membership_after_restore.ldf
c. Execute o Groupadd comando para criar mais arquivos .ldf que contenham os nomes de domínios
e os nomes de grupos de segurança globais e universais dos que os usuários excluídos eram
membros. O Groupadd comando usa a seguinte sintaxe:
Groupadd / after_restore users_membership_after_restore.ldf
Repita este comando se contas de computador excluídas foram adicionadas a grupos de

segurança.
d. Importe cada Groupadd arquivo _ fully.qualified.domain.name.ldf que você criou na etapa 12c
para um único controlador de domínio de catálogo global que corresponda ao arquivo .ldf de cada
domínio. Use a seguinte sintaxe Ldifde:
Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf
Execute o arquivo .ldf para o domínio de onde os usuários foram excluídos em qualquer
controlador de domínio, exceto o controlador de domínio de recuperação.
e. No console de cada controlador de domínio que é usado para importar o arquivo
Groupadd_<fully.qualified.domain.name >.ldf para um domínio específico, replica as adições
de associação de grupo aos outros controladores de domínio no domínio e aos controladores de
domínio de catálogo global na floresta. Para fazer isso, use o seguinte comando:
13. Para desabilitar a replicação de saída, digite o seguinte texto e pressione ENTER:
repadmin /options +DISABLE_OUTBOUND_REPL
NOTE
Para habilitar a replicação de saída, digite o seguinte texto e pressione ENTER:
repadmin /options -DISABLE_OUTBOUND_REPL
ações:
domínio de recuperação.
17. Notifique todos os administradores de floresta, administradores delegados, administradores de help desk
na floresta e usuários no domínio de que a restauração do usuário está concluída.
Os administradores do help desk podem ter que redefinir as senhas de contas de usuário restauradas por
redefinir a senha e selecionar o usuário deve alterar a senha na próxima caixa de seleção de logon .
Método 3 - Restaurar autoritativamente os usuários excluídos e os

grupos de segurança dos usuários excluídos duas vezes
que o controlador de domínio replice a exclusão. Se não houver nenhum catálogo global latente, localize o
backup de estado do sistema mais atual de um controlador de domínio de catálogo global no domínio do
usuário interno excluído.
2. Restaurar de forma autoritativa todas as contas de usuário excluídas e todos os grupos de segurança no
domínio do usuário excluído.
3. Aguarde a replicação de ponta a ponta dos usuários restaurados e dos grupos de segurança para todos os
controladores de domínio no domínio do usuário excluído e para os controladores de domínio do catálogo
global da floresta.
4. Repita as etapas 2 e 3 para restaurar autoritativamente usuários excluídos e grupos de segurança. (Você
restaura o estado do sistema apenas uma vez.)
5. Se os usuários excluídos fossem membros de grupos de segurança em outros domínios, restaure
autoritativamente todos os grupos de segurança dos que os usuários excluídos eram membros nesses
domínios. Ou, se os backups de estado do sistema são atuais, restaure autoritativamente todos os grupos de
segurança nesses domínios. Para satisfazer o requisito de que os membros do grupo excluídos devem ser
restaurados antes dos grupos de segurança corrigirem os links de associação de grupo, restaure ambos os
tipos de objeto duas vezes neste método. A primeira restauração coloca todas as contas de usuário e contas
de grupo no local. A segunda restauração restaura grupos excluídos e repara as informações de associação
ao grupo, incluindo informações de associação para grupos aninhados.
1. Verifique se existe um controlador de domínio de catálogo global no domínio interno de usuários
excluídos e se não foi replicado em nenhuma parte da exclusão.
NOTE
Concentre-se em catálogos globais no domínio que tenha os agendamentos de replicação menos frequentes. Se
esses controladores de domínio existirem, use a Repadmin.exe de linha de comando para desabilitar
imediatamente a replicação de entrada. Para fazer isso, siga estas etapas:

c. Digite repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL no prompt de comando e
pressione ENTER.
NOTE
Se você não puder emitir o comando Repadmin imediatamente, remova toda a conectividade de rede do
controlador de domínio até que você possa usar Repadmin para desabilitar a replicação de entrada e retorne
imediatamente a conectividade de rede.
Esse controlador de domínio será chamado de controlador de domínio de recuperação.

2. Evite fazer adições, exclusões e alterações nos itens a seguir até que todas as etapas de recuperação
tenham sido concluídas. As alterações incluem redefinições de senha por usuários de domínio,
administradores de help desk e administradores no domínio onde ocorreu a exclusão, além de alterações
de associação de grupo nos grupos de usuários excluídos.
a. Contas de usuário e atributos em contas de usuário
b. Contas de computador e atributos em contas de computador
c. Contas de serviço
d. Grupos de segurança
NOTE
Especialmente evite alterações na associação de grupo para usuários, computadores, grupos e contas de
serviço na floresta onde ocorreu a exclusão.
e. Notifique todos os administradores de floresta, os administradores delegados e os

administradores do suporte de ajuda na floresta do stand-down temporário. Esse stand-down é
necessário no método 2 porque você está restaurando de forma autoritativa todos os grupos de
segurança dos usuários excluídos. Portanto, todas as alterações feitas em grupos após a data do
backup do estado do sistema serão perdidas.
NOTE
Se os backups de estado do sistema estão atualizados até o momento em que a exclusão ocorreu, ignore esta
etapa e vá para a etapa 4.
sistema agora.
Se todos os catálogos globais localizados no domínio em que a exclusão ocorreu replicaram a exclusão,
fazer o back-up do estado do sistema de um catálogo global no domínio em que ocorreu a exclusão.
Somente os bancos de dados dos controladores de domínio de catálogo global no domínio do usuário
contêm informações de associação de grupo para domínios externos na floresta. Se não houver backup
de estado do sistema de um controlador de domínio de catálogo global no domínio em que os usuários
foram excluídos, memberOf você não poderá usar o atributo em contas de usuário restauradas para
determinar a associação global ou universal do grupo ou para recuperar a associação em domínios
externos. Vá para a próxima etapa. Se houver um registro externo de associação de grupo em domínios
externos, adicione os usuários restaurados a grupos de segurança nesses domínios depois que as contas
de usuário foram restauradas.
no modo Disrepair. Se você não sabe a senha da conta de administrador offline, redefina a senha
enquanto o controlador de domínio de recuperação ainda estiver no modo normal do Active Directory.
domínio que estão executando o Windows 2000 SP2 e posterior enquanto eles estão no modo online do
Active Directory.
NOTE
modo Disrepair. Faça logoff no console do controlador de domínio de recuperação com a conta de
não restaure o estado do sistema. Vá diretamente para a etapa 7.
recuperação que contém os objetos excluídos agora.
NOTE
As restaurações autoritativas são executadas com a ferramenta de linha de comando Ntdsutil fazendo
referência ao caminho de nome de domínio (dn) dos usuários excluídos ou dos contêineres que
hospedam os usuários excluídos.
Quando você auth restore, use caminhos de nome de domínio que estão tão baixos na árvore de
domínio quanto eles precisam ser. O objetivo é evitar reverter objetos que não estão relacionados à
exclusão. Esses objetos podem incluir objetos que foram modificados após o backup do estado do
sistema ter sido feito.
a. A Auth restaura o caminho de nome de domínio (dn) para cada conta de usuário excluída, conta de
computador ou grupo de segurança excluído.


IMPORTANT
Usando esse formato Ntdsutil, você também pode automatizar a restauração autoritativa de
muitos objetos em um arquivo em lotes ou em um script.
NOTE
Essa sintaxe está disponível somente no Windows Server 2003 e posterior. A única sintaxe Windows 2000
é usar: ntdsutil "authoritative restore" "restore subtree object DN path" .

comando de restauração autoritativa Ntdsutil contém a maioria dos objetos que você está
perda das alterações mais recentes em senhas, no diretório principal, no caminho do perfil, na
localização e nas informações de contato, na associação ao grupo e em quaisquer descritores de
segurança definidos nesses objetos e atributos.
seguinte comando:
ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
NOTE
IMPORTANT
Quando você restaura um objeto subordinado de uma UO, todos os contêineres pai dos objetos

9. Replicar os objetos restaurados autoritativamente do controlador de domínio de recuperação para os
digite o seguinte comando para empurrar os objetos restaurados de forma autoritativa para todos os
controladores de domínio de réplica entre sites no domínio e para catálogos globais na floresta:
Depois que todos os controladores de domínio diretos e transitivos nos servidores de catálogo global e
de domínio da floresta foram replicados nos usuários restaurados de forma autoritativa e em todos os
contêineres restaurados, vá para a etapa 11.
restauração das contas de usuário excluídas. Vá para a etapa 13.
Sua floresta está sendo executado no nível funcional do Windows Server 2003 e posterior da floresta
ou no nível funcional do Windows Server 2003 e posterior da floresta provisória.
Somente grupos de segurança não foram excluídos.
Todos os usuários excluídos foram adicionados a todos os grupos de segurança em todos os domínios
da floresta.
Considere usar o comando Repadmin para acelerar a replicação de saída dos usuários do controlador de
domínio restaurado.
Se os grupos também foram excluídos ou se você não puder garantir que todos os usuários excluídos
foram adicionados a todos os grupos de segurança após a transição para o Windows Server 2003 e o
nível funcional provisório ou floresta posterior, vá para a etapa 12.
10. Repita as etapas 7, 8 e 9 sem restaurar o estado do sistema e vá para a etapa 11.
ações:
13. Use o seguinte comando para habilitar a replicação de entrada para o controlador de domínio de
recuperação:
repadmin /options recovery dc name -DISABLE_INBOUND_REPL
domínio de recuperação e catálogos globais em outros domínios na floresta.
15. Notifique todos os administradores de floresta, os administradores delegados, os administradores de
help desk na floresta e os usuários no domínio que a restauração do usuário está concluída.
Os administradores de help desk podem ter que redefinir as senhas de contas de usuário restauradas por
redefinir a senha com o usuário deve alterar a senha na próxima caixa de seleção de logon marcada.
Como recuperar usuários excluídos em um controlador de domínio

quando você não tem um backup de estado do sistema válido
Se você não tiver backups de estado do sistema atual em um domínio onde contas de usuário ou grupos de
segurança foram excluídos, e a exclusão ocorreu em domínios que contenham o Windows Server 2003 e
controladores de domínio posteriores, siga estas etapas para reanimar manualmente objetos excluídos do
contêiner de objetos excluídos:
1. Siga as etapas na seção a seguir para reanimar usuários, computadores, grupos ou todos eles excluídos:
Como descomplicar manualmente objetos em um contêiner de objetos excluídos
2. Use Usuários e Computadores do Active Directory para alterar a conta de desabilitada para habilitada. (A
conta aparece na UO original.)
3. Use os recursos de redefinição em massa no Windows Server 2003 e versão posterior dos Usuários e
Computadores do Active Directory para executar redefinições em massa na senha devem ser alterados na
próxima configuração de política de logon , no diretório principal, no caminho do perfil e na associação de
grupo para a conta excluída, conforme necessário. Você também pode usar um equivalente programático
desses recursos.
4. Se o Microsoft Exchange 2000 ou posterior foi usado, repare Exchange caixa de correio do usuário excluído.
5. Se Exchange 2000 ou posterior foi usado, reassocia o usuário excluído com a caixa de correio Exchange.
6. Verifique se o usuário recuperado pode fazer logoff e acessar diretórios locais, diretórios compartilhados e
arquivos.
Você pode automatizar algumas ou todas essas etapas de recuperação usando os seguintes métodos:
Escreva um script que automatiza as etapas de recuperação manuais listadas na etapa 1. Ao escrever esse
script, considere o scoping do objeto excluído por data, hora e último contêiner pai conhecido e, em seguida,
automatizar a reanimação do objeto excluído. Para automatizar a reanimação, isDeleted altere o atributo
TRUE para FALSE lastKnownParent e altere o nome diferenciado relativo para o valor definido no atributo ou
em um novo contêiner de NOME ou nome comum (CN) especificado pelo administrador. (O nome
diferenciado relativo também é conhecido como RDN.)
Obtenha um programa que não seja da Microsoft que suporte a reanimação de objetos excluídos no
Windows Server 2003 e controladores de domínio posteriores. Um desses utilitários é AdRestore. O
AdRestore usa o Windows Server 2003 e primitivas invictas posteriores para objetos indeclusos
individualmente. A Aelita Software Corporation e a Commvault Systems também oferecem produtos que
oferecem suporte à funcionalidade incompletável no Windows Server 2003 e controladores de domínio
baseados posteriormente.
Para obter a AdRestore, consulte AdRestore v1.1.
A Microsoft fornece informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas
informações de contato podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas
informações de contato de terceiros.
Como descomplicar manualmente objetos no contêiner de um objeto

excluído
Para descomplicar manualmente objetos no contêiner de um objeto excluído, siga estas etapas:
1. Selecione Iniciar , selecione Executar e digiteldp.exe.
ldp.exe está disponível:
Em computadores onde a função controlador de domínio foi instalada.
Em computadores em que o RSAT (Remote Server Administration Tools) foi instalado.
2. Use o menu Conexão em Ldp para executar as operações de conexão e as operações de vinculação a um
controlador de domínio Windows Server 2003 e posterior.
Especifique credenciais de administrador de domínio durante a operação de vinculação.
3. No menu Opções , selecione Controles .
4. Na lista Carregar Predefinido , selecione Retornar Objetos Excluídos .
NOTE
O controle 1.2.840.113556.1.4.417 move-se para a janela Controles Ativos .
5. Em Tipo de Controle , selecione Ser vidor e selecione OK .

6. No menu Exibir , selecione Ár vore , digite o caminho de nome diferenciado do contêiner de objetos
excluídos no domínio onde ocorreu a exclusão e selecione OK .
NOTE
O caminho do nome diferenciado também é conhecido como o caminho DN. Por exemplo, se a exclusão ocorreu
no contoso.com domínio, o caminho DN seria o seguinte caminho:
cn=deleted Objects,dc=contoso,dc=com
7. No painel esquerdo da janela, clique duas vezes no Contêiner de Objeto Excluído .
NOTE
Como resultado da pesquisa da consulta Idap, apenas 1000 objetos são retornados por padrão. Exemplo de fot,
se mais de 1000 objetos existirem no contêiner Objetos Excluídos, nem todos os objetos aparecerão nesse
contêiner. Se o objeto de destino não aparecer, use ntdsutil e, em seguida, de definir o número máximo usando
maxpagesize para obter os resultados da pesquisa .
8. Clique duas vezes no objeto que você deseja inopor ou reanimar.

9. Clique com o botão direito do mouse no objeto que você deseja reanimar e selecione Modificar .
Altere o valor para o isDeleted atributo e o caminho DN em uma única operação LDAP (Lightweight
Directory Access Protocol). Para configurar a caixa de diálogo Modificar , siga estas etapas:
a. Na caixa Editar Atributo de Entrada , digite isDeleted. Deixe a caixa Valor em branco.
b. Selecione o botão Excluir opção e selecione Enter para fazer a primeira de duas entradas na
caixa de diálogo Lista de Entrada.
IMPORTANT
Não selecione Executar .
c. Na caixa Atributo , digite distinguishedName.

d. Na caixa Valores , digite o novo caminho DN do objeto reanimado.
Por exemplo, para reanimar a conta de usuário JohnDoe para a UO mayberry, use o seguinte
caminho DN: cn= JohnDoe,ou = Mayberr y,dc = contoso,dc = com
NOTE
Se você quiser reanimar um objeto excluído em seu contêiner original, adeque o valor do atributo
lastKnownParent do objeto excluído ao seu valor CN e cole o caminho DN completo na caixa Valores .
e. Na caixa Operação , selecione SUBSTITUIR .

f. Selecione ENTER .
g. Marque a caixa de seleção Síncrona .
h. Marque a caixa de seleção Estendida .
i. Selecione EXECUTAR .
10. Depois de reanimar os objetos, selecione Controles no menu Opções , selecione o botão Sair para
remover (1.2.840.113556.1.4.417) na lista de caixas Controles Ativos.
11. Redefinir senhas de conta de usuário, perfis, diretórios de residência e associações de grupo para os
Quando o objeto foi excluído, todos os valores de atributo, exceto SID , ObjectGUID , LastKnownParent e
SAMAccountName foram removidos.
12. Habilita a conta reanimada em Usuários e Computadores do Active Directory.
NOTE
O objeto reanimado tem o mesmo SID principal que tinha antes da exclusão, mas o objeto deve ser adicionado
novamente aos mesmos grupos de segurança para ter o mesmo nível de acesso aos recursos. A primeira versão
do Windows Server 2003 sIDHistory e posterior não preserva o atributo em contas de usuário reanimadas,
contas de computador e grupos de segurança. Windows Server 2003 e posterior com Service Pack 1
sIDHistory preserva o atributo em objetos excluídos.
13. Remova os Exchange da Microsoft e reconecte o usuário à Exchange de correio.
NOTE
A reanimação de objetos excluídos é suportada quando a exclusão ocorre em um Windows Server 2003 e
controlador de domínio posterior. A reanimação de objetos excluídos não é suportada quando a exclusão ocorre
em um controlador de domínio Windows 2000 que é subsequentemente atualizado para o Windows Server 2003
e posterior.
NOTE
Se a exclusão ocorrer em um controlador de domínio Windows 2000 no domínio, lastParentOf o atributo não
será preenchido no Windows Server 2003 e controladores de domínio posteriores.
Como determinar quando e onde ocorreu uma exclusão

Quando os usuários são excluídos por causa de uma exclusão em massa, talvez você queira saber de onde a
exclusão se originou. Para fazer isso, siga estas etapas:
1. Para localizar entidades de segurança excluídas, siga as etapas de 1 a 7 na seção Como excluir objetos
manualmente no contêiner de um objeto excluído. Se uma árvore foi excluída, siga estas etapas para
localizar um contêiner pai do objeto excluído.
2. Copie o valor do atributo objectGUID para a Windows de transferência. Você pode colar esse valor
quando inserir o Repadmin comando na etapa 4.
3. Na linha de comando, execute o seguinte comando:
repadmin /showmeta GUID=<objectGUID> <FQDN>
Por exemplo, objectGUID se o do objeto ou contêiner excluído for 791273b2-eba7-4285-a117-

aa804ea76e95 e o FQDN (nome de domínio totalmente qualificado) dc.contoso.com for , execute o
seguinte comando:
repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
A sintaxe deste comando deve incluir o GUID do objeto ou contêiner excluído e o FQDN do servidor do
servidor do que você deseja origem.
4. Na saída do comando, encontre a data, a hora e o controlador de domínio de origem do
Repadmin
isDeleted atributo. Por exemplo, as informações do isDeleted atributo são exibidas na quinta linha da
seguinte saída de exemplo:
O RG. T IM E/ DAT
LO C . USN DC DE O RIGEM O RG. USN E VER AT RIB UTO
134759 Default-First- 134759 DateTime 1 objectClass

Site-Name\NA-
DC1
134760 Default-First- 134760 DateTime 2 ou

Site-Name\NA-
DC1
134759 Default-First- 134759 DateTime 1 instanceType

Site-Name\NA-
DC1
134759 Default-First- 134759 DateTime 1 whenCreated

Site-Name\NA-
DC1
134760 Default-First- 134760 DateTime 1 isDeleted

Site-Name\NA-
DC1
134759 Default-First- 134759 DateTime 1 nTSecurityDescr

Site-Name\NA- iptor
DC1
134760 Default-First- 134760 DateTime 2 nome

Site-Name\NA-
DC1
134760 Default-First- 134760 DateTime 1 lastKnownParen

Site-Name\NA- t
DC1
134760 Default-First- 134760 DateTime 2 objectCategory

Site-Name\NA-
DC1
5. Se o nome do controlador de domínio de origem aparecer como um GUID alfanumérico de 32

caracteres, use o comando Ping para resolver o GUID para o endereço IP e o nome do controlador de
domínio que originou a exclusão. O comando Ping usa a seguinte sintaxe:
ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
NOTE
A opção -a é sensível a minúsculas. Use o nome de domínio totalmente qualificado do domínio raiz da floresta,
independentemente do domínio no qual o controlador de domínio de origem reside.
Por exemplo, se o controlador de domínio Contoso.com originário residia em qualquer domínio na
floresta e tinha um GUID de 644eb7e7-1566-4f29-a778-4b487637564b, execute o seguinte comando:
ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
A saída retornada por este comando é semelhante à seguinte:
Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128

Como minimizar o impacto de exclusões em massa no futuro

As chaves para minimizar o impacto da exclusão em massa de usuários, computadores e grupos de segurança
são:
Certifique-se de que você tenha backups de estado do sistema atualizados.
Controlar firmemente o acesso a contas de usuário privilegiadas.
Controlar firmemente o que essas contas podem fazer.
Praticar a recuperação de exclusões em massa.
As alterações de estado do sistema ocorrem todos os dias. Essas alterações podem incluir:
Redefinições de senha em contas de usuário e contas de computador
Alterações de associação de grupo
Outras alterações de atributo em contas de usuário, contas de computador e grupos de segurança.
Se o hardware ou software falhar ou seu site enfrentar outro desastre, você vai querer restaurar os backups que
foram feitos após cada conjunto significativo de alterações em cada domínio e site do Active Directory na
floresta. Se você não mantiver backups atuais, poderá perder dados ou ter que reverter objetos restaurados.
A Microsoft recomenda que você tome as seguintes etapas para evitar exclusões em massa:
1. Não compartilhe a senha das contas de administrador internas ou permita que contas de usuário
administrativas comuns sejam compartilhadas. Se a senha da conta de administrador interna for
conhecida, altere a senha e defina um processo interno que desestimula seu uso. Os eventos de auditoria
para contas de usuário compartilhados impossibilitam a determinação da identidade do usuário que está
fazendo alterações no Active Directory. Portanto, o uso de contas de usuário compartilhadas deve ser
desencorajado.
2. É raro que contas de usuário, contas de computador e grupos de segurança sejam excluídas
intencionalmente. É especialmente verdadeiro para exclusões de árvore. Desassociar a capacidade do
serviço e administradores delegados de excluir esses objetos da capacidade de criar e gerenciar contas
de usuário, contas de computador, grupos de segurança, contêineres de OU e seus atributos. Conceda
apenas às contas de usuário ou grupos de segurança mais privilegiados o direito de realizar exclusões de
árvore. Essas contas de usuário privilegiadas podem incluir administradores corporativos.
3. Conceda aos administradores delegados acesso somente à classe de objeto que esses administradores
têm permissão para gerenciar. Por exemplo, o trabalho principal de um administrador de help desk é
modificar propriedades em contas de usuário. Ele não tem permissões para criar e excluir contas de
computador, grupos de segurança ou contêineres de OU. Essa restrição também se aplica a excluir
permissões para os administradores de outras classes de objeto específicas.
4. Experimente as configurações de auditoria para rastrear operações de exclusão em um domínio de
laboratório. Depois de se sentir confortável com os resultados, aplique sua melhor solução ao domínio
de produção.
5. Alterações de controle de acesso e auditoria em contêineres que hospedam dezenas de milhares de
objetos podem fazer com que o banco de dados do Active Directory cresça significativamente,
especialmente em Windows 2000 domínios. Use um domínio de teste que espelha o domínio de
produção para avaliar possíveis alterações no espaço livre em disco. Verifique os volumes da unidade de
disco rígido que hospedam os arquivos Ntds.dit e os arquivos de log dos controladores de domínio no
domínio de produção para ter espaço livre em disco. Evite definir alterações de controle de acesso e
auditoria na cabeça do controlador de rede de domínio. Fazer essas alterações seria descaradamente
aplicado a todos os objetos de todas as classes em todos os contêineres na partição. Por exemplo, evite
fazer alterações no registro de registro do DNS (Sistema de Nomes de Domínio) e do registro de registro
de link distribuído (DLT) na pasta CN=SYSTEM da partição de domínio.
6. Use a estrutura de UO de práticas práticas para separar contas de usuário, contas de computador, grupos
de segurança e contas de serviço, em sua própria unidade organizacional. Ao usar essa estrutura, você
pode aplicar listas de controle de acesso discricionário (DACLs) a objetos de uma única classe para
administração delegada. E você possibilita que os objetos sejam restaurados de acordo com a classe de
objeto se eles precisam ser restaurados. A estrutura da UO de práticas é discutida na seção Criando um
Design de Unidade Organizacional do seguinte artigo:
Best Practice Active Directory Design for Managing Windows Networks
7. Teste exclusões em massa em um ambiente de laboratório que espelha seu domínio de produção.
Escolha o método de recuperação que faz sentido para você e personalize-o para sua organização. Talvez
você queira identificar:
Os nomes dos controladores de domínio em cada domínio que é regularmente feito backup
Onde as imagens de backup são armazenadas
O ideal é que essas imagens sejam armazenadas em um disco rígido extra que seja local para um
catálogo global em cada domínio da floresta.
Quais membros da organização do help desk contatar
A melhor maneira de fazer esse contato
8. A maioria das exclusões em massa de contas de usuário, de contas de computador e de grupos de
segurança que a Microsoft vê são acidentais. Discuta esse cenário com sua equipe de IT e desenvolva um
plano de ação interno. Concentre-se na detecção antecipada. E retorne a funcionalidade para seus
usuários de domínio e negócios o mais rápido possível. Você também pode tomar medidas para impedir
que exclusões acidentais em massa ocorram editando as listas de controle de acesso (ACLs) de unidades
organizacionais.
Para obter mais informações sobre como usar Windows de interface para evitar exclusões acidentais em
massa, consulte Guarding Against Accidental Bulk Deletions in Active Directory.
Para obter mais informações sobre como evitar exclusões acidentais em massa usando Dsacls.exe ou um
script, consulte o seguinte artigo:
Script para proteger unidades organizacionais (OUs) contra exclusão acidental.
Ferramentas e scripts que podem ajudá-lo a recuperar de exclusões

em massa
O Groupadd.exe memberOf de linha de comando lê o atributo em uma coleção de usuários em uma UO e cria
um arquivo .ldf que adiciona cada conta de usuário restaurada aos grupos de segurança em cada domínio na
floresta.
Groupadd.exe descobre automaticamente os domínios e grupos de segurança dos quais os usuários excluídos
eram membros e os adiciona de volta a esses grupos. Esse processo é explicado com mais detalhes na etapa 11
do método 1.
Groupadd.exe é executado no Windows Server 2003 e controladores de domínio posteriores.
Groupadd.exe usa a seguinte sintaxe:
groupadd / after_restore ldf_file [/ before_restore ldf_file ]
Aqui, ldf_filerepresenta o nome do arquivo .ldf a ser usado com o argumento anterior, after_restore
before_restore representa a fonte de dados do arquivo de usuário e representa os dados do usuário do
ambiente de produção. (A fonte de dados de arquivo de usuário são os bons dados do usuário.)
Para obter Groupadd.exe, entre em contato com o Microsoft Product Support Services.
Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft.
A Microsoft não oferece nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses
produtos.
Referências
Para obter mais informações sobre como usar o recurso da Lixeira do AD incluído no Windows Server 2008 R2,
consulte Guia passo a passo da Lixeira do Active Directory.
Nenhum servidor de logon está disponível após a
clonagem do controlador de domínio
Este artigo fornece uma solução para um erro que ocorre depois que você clona um novo VDC e tenta entrar
interativamente.
Aplica-se a: Windows Server 2016, Windows Server 2019
Sintomas
Você usa o recurso de clonagem VDC (Controlador de Domínio Virtualizado) introduzido no Windows Server
2012. Depois de clonar um novo VDC, tente entrar interativamente. No entanto, você recebe o seguinte erro:
Atualmente, não há servidores de logon disponíveis para a solicitação de logon de serviço
Motivo
O processo de clonagem falhou e o servidor foi iniciado no Modo de Reparo de Serviços de Diretório (DSRM).
Não há nenhuma indicação visual de que o controlador de domínio tenha sido iniciado no DSRM na página de
entrada Ctrl+Alt+Delete do Windows Server.
Solução
1. Selecione a tecla Seta esquerda ou pressione a tecla Esc.
2. Selecione Outro Usuário .
3. Digite o nome de usuário da seguinte forma: .\administrator
4. Forneça a senha de usuário DSRM que está atualmente definida no controlador de domínio de origem e que
foi usada para clonar esse computador. Essa senha foi especificada durante a promoção original. Observe
que essa senha pode ter sido alterada posteriormente usando NTDSUTIL.EXE.
5. Quando você entrar, o servidor exibirá o MODO SEGURO em todos os quatro cantos da tela. Resolva os
problemas que impediram a clonagem, remova o sinalizador de inicialização DSRM e tente clonar o
controlador de domínio novamente
Mais informações
Esse comportamento visual e o erro não são específicos para clonagem. Esse comportamento e erro são
específicos apenas para DSRM. O DSRM é invocado intencionalmente como parte do processo de clonagem
para proteger a rede e o domínio de controladores de domínio duplicados.
O Modo de Reparo de Serviços de Diretório foi chamado de Modo de Restauração de Serviços de Diretório
Windows sistemas operacionais anteriores.
Para obter mais informações sobre como configurar e solucionar problemas do VDC com detalhes e orientações
passo a passo, consulte Referência Técnica do Controlador de Domínio Virtualizado (Nível 300).
Executar a desfragmentação offline do banco de
dados do Active Directory
Este artigo descreve como executar a desfragmentação offline do banco de dados do Active Directory.
Resumo
O Active Directory executa automaticamente a desfragmentação online do banco de dados em determinados
intervalos como parte do processo de Coleta de Lixo. (Por padrão, isso ocorre a cada 12 horas.) A
desfragmentação online não reduz o tamanho do arquivo de banco de dados (Ntds.dit), mas otimiza o
armazenamento de dados no banco de dados e recupera espaço no diretório para novos objetos.
Executar uma desfragmentação offline cria uma nova versão do arquivo de banco de dados sem fragmentação
interna. Ele também cria todos os índices. Dependendo da fragmentação do arquivo de banco de dados original,
o novo arquivo pode ser muito menor.
Executar a desfragmentação offline do banco de dados do Active

Directory
Para executar a desfragmentação offline do banco de dados do Active Directory, siga estas etapas:
1. Fazer o back-up do Active Directory. Windows O Backup do Servidor nativamente dá suporte ao backup
do Active Directory enquanto estiver online. Isso ocorre automaticamente quando você seleciona a opção
para fazer backup de tudo no computador no Assistente de Backup ou, independentemente, selecionando
fazer backup do Estado do Sistema no assistente.
2. Tome uma das seguintes ações:
Pare a instância ser viços de domínio do Active Director y ou LDS.
Inicie msconfig e vá para o painel de inicialização. Selecione a instalação do sistema operacional que
você deseja configurar. Selecione Cofre Inicialização na seção Opções de inicialização e também
selecione o item de reparo do Active Director y. Depois de clicar em OK , a ferramenta pede que você
reinicie. Reinicie o computador.
3. Faça logoff na conta de administrador usando a senha definida para a conta de administrador local no
Modo de Restauração do Serviço de Diretório SAM.
4. Abra uma janela prompt de comando.
5. O NTDSUTIL usa as variáveis de ambiente TEMP e TMP para criar um banco de dados temporário
durante a desfragmentação. Se o espaço livre no volume padrão usado for menor do que o tamanho do
banco de dados compactado, você receberá o seguinte erro:
manutenção de arquivo: compacta para d:\compactDB

Iniciando o modo DEFRAGMENTATION...
Banco de Dados de Origem: D:\windows\NTDS\ntds.dit
Banco de Dados de Destino: d:\compactDB\ntds.dit
Status da Desfragmentação (% concluído)
0 10 20 30 40 50 60 70 80 90 100
|----|----|----|----|----|----|----|----|----|----|
.......................... Operação encerrada com o erro -1808( JET_errDiskFull, sem espaço no disco).
Nesse caso, de definir as variáveis de ambiente TMP e TEMP como um volume que tenha espaço livre
suficiente para a tarefa. Por exemplo, use as seguintes configurações:
Md d:\temp
Set tmp=d:\temp
Set temp=d:\temp
NOTE
Esse problema também pode ocorrer durante uma verificação de integridade do banco de dados.
6. Execute NTDSUTIL.
7. Digite ntds de instância de ativação para selecionar a instância do banco de dados do Active Directory.
Use o nome da instância LDS se quiser compactar um banco de dados LDS.
8. Digite arquivos e pressione Enter.
9. Digite informações e pressione Enter. Isso exibe informações atuais sobre o caminho e o tamanho do
banco de dados do Active Directory e seus arquivos de log. Observe o caminho.
10. Estabeleça um local com espaço suficiente para que o banco de dados compactado seja armazenado.
11. Digite compact to <drive>:\<directory> e pressione Enter. Neste comando, os espaço reservados e
representam o caminho do local estabelecido <drive> <directory> na etapa anterior.
NOTE
Você deve especificar um caminho de diretório. Se o caminho contiver espaços, todo o caminho deverá estar entre
aspas. Por exemplo, digite compacta para "c:\new folder".
12. Um novo banco de dados chamado Ntds.dit ou AdamNtds.dit é criado no caminho especificado.
13. Digite quit e pressione Enter. Digite quit novamente para retornar ao prompt de comando.
14. Se a desfragmentação for bem-sucedida sem erros, siga Ntdsutil.exe instruções na tela. Exclua todos os
arquivos de log no diretório de log digitando o seguinte comando del drive :\ pathToLogFiles \*.log .
Copie o novo arquivo Ntds.dit ou AdamNtds.dit sobre o arquivo de banco de dados antigo no caminho
do banco de dados atual que você anotou na etapa 5.
NOTE
Não é possível excluir o arquivo Edb.chk.
15. Se você interrompeu os Serviços de Domínio do Active Directory ou a instância LDS, pode reiniciá-la
agora.
16. Se você estiver trabalhando no modo restauração do Active Directory, inicie msconfig e vá para o painel
de inicialização. Selecione a instalação do sistema operacional que você deseja configurar. Clique para
limpar Cofre inicialização na seção Opções de inicialização. Quando você clica em OK , a ferramenta
pede que você reinicie. Reinicie o computador.
Como realocar uma árvore SYSVOL que usa FRS
para replicação
Este artigo descreve duas opções para realocar a árvore de volume do sistema (SYSVOL) em seu controlador de
domínio.
Resumo
O SYSVOL é uma coleção de pastas, pontos de repare do sistema de arquivos e configurações de Política de
Grupo replicadas pelo Serviço de Replicação de Arquivos (FRS). A replicação distribui uma cópia consistente das
configurações e scripts da Política de Grupo entre controladores de domínio em um domínio. Os computadores
membros e controladores de domínio acessam o conteúdo da árvore SYSVOL por meio de duas pastas
compartilhadas, Sysvol e Netlogon.
Este artigo descreve como mover a árvore SYSVOL e suas compartilhamentos para uma letra de unidade lógica
ou física diferente.
Esta seção discute como mover a árvore SYSVOL da pasta C:\Winnt\Sysvol para a pasta X:\Winnt\Sysvol. Neste
exemplo, o controlador de domínio é chamado DC1 e o nome de domínio é CONTOSO.COM .
Use o Assistente de Instalação do Active Directory para rebaixar e

repromotar o controlador de domínio
1. Confirme se a replicação de entrada e saída está ocorrendo para o serviço de diretório do Active
Directory e para a árvore SYSVOL.
2. Use o Assistente de Instalação do Active Directory para fazer um rebaixamento baseado em rede do
controlador de domínio DC1. Reinicie DC1 imediatamente após o rebaixamento.
3. Antes de repromotar DC1, aguarde que os seguintes eventos ocorram:
Todos os controladores de domínio na floresta devem replicar a remoção do objeto de
configurações do sistema de arquivos NTDS do controlador de domínio rebaixado. Esse objeto
está localizado na partição de configuração. O objeto de configurações do NTDS é o pai dos
objetos de conexão do Active Directory que estão visíveis no snap-in Sites e Serviços do Active
Directory.
Todos os controladores de domínio de catálogo global na floresta devem replicar a cópia somente
leitura da partição de domínio do DC1.
4. Use o Assistente de Instalação do Active Directory para especificar uma nova unidade e caminho em uma
partição formatada por NTFS. Rebaixamento e rebaixamento de um controlador de domínio é uma opção
simples e suportada para realocar a árvore SYSVOL e suas compartilhamentos se as seguintes condições
são verdadeiras:
Há um pequeno e médio número de objetos no Active Directory.
A conectividade de rede de área local (LAN) está disponível.
Controladores de domínio adicionais estão disponíveis no domínio do Active Directory afetado e no
site do Active Directory.
No entanto, as promoções do Assistente de Instalação do Active Directory baseadas em rede em domínios com
bancos de dados do Active Directory de vários gigabyte podem levar de 2 a 7 dias se a conectividade de rede
for lenta.
Para evitar atrasos ao promover controladores de domínio de réplica que estão executando o Windows Server
2003 ou posterior, você pode fazer instalações de promoções baseadas em mídia, onde a maior parte do Active
Directory é origem de um backup de estado do sistema restaurado localmente.
Para estimar o tempo necessário para uma promoção baseada em rede, compare os horários de início e término
de uma promoção anterior que foi comparável no escopo. Essas horas estão disponíveis no arquivo
%Systemroot%\Debug\Dcpromo.log.
Realocar manualmente uma árvore SYSVOL existente para um novo

local
No ciclo de vida de um controlador de domínio que está usando o Serviço de Replicação de Arquivos (FRS),
talvez seja preciso realocar a árvore SYSVOL para uma unidade lógica ou física diferente. Você pode realocar a
árvore SYSVOL para melhorar o desempenho do sistema ou para obter mais espaço livre em disco para a
árvore SYSVOL ou para a pasta de preparação frs.
Para obter mais informações sobre como alterar a pasta de preparação frs para um local independente da
árvore SYSVOL, consulte Como redefinir a pasta de preparação do serviço de Replicação de Arquivo para uma
unidade lógica diferente.
Para mover uma árvore SYSVOL para uma nova unidade, use uma das seguintes opções:
Faça um rebaixamento do Assistente de Instalação do Active Directory baseado em rede (Dcpromo.exe).
Especifique uma nova unidade e caminho para a árvore SYSVOL durante a promoção.
Modifique o Registro e mova manualmente a árvore SYSVOL para uma nova unidade.
IMPORTANT
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas
poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais
proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um
problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte How to back up and
restore the Registry in Windows.
Para mover manualmente a árvore SYSVOL, mova a árvore SYSVOL de sua unidade e caminho para uma nova
unidade de destino e caminho modificando várias chaves do Registro e redefinindo pontos de nova análise no
sistema de arquivos. Para fazer essa tarefa, siga estas etapas:
1. Prepare seu controlador de domínio. Para fazer essa tarefa, siga estas etapas:
a. Confirme se a replicação de entrada e saída do Active Directory está ocorrendo no controlador de
domínio.
b. Confirme se a replicação FRS de entrada e saída do conjunto de réplicas SYSVOL está ocorrendo
no controlador de domínio.
c. Desativar programas antivírus ou outros serviços que criem bloqueios em arquivos ou em pastas
que residem na árvore SYSVOL.
d. Fazer o back up do estado do sistema do controlador de domínio. Back up the file system part of
the SYSVOL tree on the domain controller so that you can return the computer to its current
configuration if you experience problems with the relocation process.
e. Pare o FRS.
2. Use Windows Explorer ou um programa equivalente para copiar a árvore de domínio SYSVOL original
para a Área de Transferência.
Por exemplo, se a árvore de domínio SYSVOL estiver localizada na pasta C:\Winnt\Sysvol, clique para
selecionar essa pasta, clique em Editar na barra de menus e clique em Copiar .
3. Use Windows Explorer ou um programa equivalente para colar o conteúdo da Área de Transferência no
novo caminho.
Por exemplo, para mover a árvore SYSVOL para a pasta, clique para selecionar essa pasta, clique em
Editar e clique X:\Winnt\Sysvol em Colar .
A pasta pai da árvore SYSVOL movida pode ser modificada. No entanto, recomendamos que você
mantenha o mesmo caminho relativo para a árvore SYSVOL movida. Por exemplo, se a árvore SYSVOL
foi originalmente localizada na pasta e você deseja mover a árvore SYSVOL na unidade lógica X, crie uma
pasta t e, em seguida, colar a árvore C:\Winnt\Sysvol X:\Winn SYSVOL nessa pasta.
4. Use os editores Ldp.exe ou ADSIedit.msc para modificar o valor do atributo FRSRootPath no Active
Directory. O atributo FRSRootPath deve refletir a nova unidade raiz do conjunto de réplicas e a pasta
especificada na etapa 3. Neste exemplo, você modificaria o atributo FRSRootPath da seguinte forma:
Caminho DN:
cn=Domain System Volume (SYSVOL share),CN=NTFRS Subscriptions,CN=DC1,OU=Domain
Controller,DC=CONTOSO.COM
Valor FRSRootPath: X:\Winnt\Sysvol\Domain
5. Use os editores Ldp.exe ou ADSIedit.msc para modificar o valor do atributo FRSStagingPath. Esse atributo
deve refletir o novo caminho de preparação, incluindo a nova unidade e a pasta selecionada na etapa 3.
Caminho DN:
cn=Domain System Volume (SYSVOL share),CN=NTFRS Subscriptions,CN=DC1,OU=Domain
Controller,DC=CONTOSO.COM
Valor FRSStagingPath: X:\Winnt\Sysvol\Staging\Domain
6. Modifique o Registro para refletir a nova unidade e pasta de preparação. Para fazer essa tarefa, siga estas
etapas.
a. Clique em Iniciar, clique em Executar, digite regedt32 e clique em OK .
b. Localize e clique com o botão direito do mouse na seguinte sub-chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
c. Clique com o botão direito do mouse no valor SYSVOL e clique em Modificar. Digite um novo
caminho para a raiz do conjunto de réplicas SYSVOL. Por exemplo, digite X:\Winnt\sysvol\sysvol .
7. Configure FRS para fazer uma restauração não autoritativa do conjunto de réplicas SYSVOL. Para fazer
essa tarefa, siga estas etapas:
a. Localize e selecione a seguinte sub-chave do Registro:
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process
at Startup
b. Clique com o botão direito do mouse no valor BurFlags e selecione Modificar . De definir o
valor como hexadecimal D2 se houver outros controladores de domínio no mesmo domínio.
Defina o valor BurFlags como hexadecimal D4 se houver apenas um controlador de domínio no
domínio.
IMPORTANT
Não reinicie o FRS agora.
NOTE
Se o controlador de domínio hospeda qualquer raiz ou links DFS replicados por FRS, talvez você queira definir a
chave de registro burFlags específica do conjunto de réplicas para impedir uma interrupção temporária do
serviço e replicação de dados em raízes OU links DFS replicados por FRS.
Para obter mais informações, consulte Usar a chave do Registro BurFlags para reinicializar o Serviço de
Replicação de Arquivos.
8. Aplique permissões padrão ao novo caminho da árvore SYSVOL. Para fazer essa tarefa, copie o texto a
seguir e, em seguida, o colar em um arquivo Bloco de notas arquivo:
[Unicode]
Unicode=yes
[Versão]
signature="$CHICAGO$"
Revision=1
[Descrição do perfil]
Description=default perms for sysvol
[Segurança de Arquivo]
;" %SystemRoot%\SYSVOL",0,"D:AR(A;OICI;FA;;; BA)"
; ---------------------------------------------------------------------------------------------
; Sysvol. ESSA VARIÁVEL DE AMBIENTE DEVE SER DEFINIDA!!!!!!!!!!!!!!!!!!!!!!!!!
; ---------------------------------------------------------------------------------------------
"%Sysvol%",2,"D:P(A; CIOI; GRGX;;; AU)(A; CIOI; GRGX;;; SO)(A; CIOI; GA;;; BA)(A; CIOI; GA;;; SY)(A;
CIOI; GA;;; CO)"
"%Sysvol%\domain\policies",2,"D:P(A; CIOI; GRGX;;; AU)(A; CIOI; GRGX;;; SO)(A; CIOI; GA;;; BA)(A; CIOI;
GA;;; SY)(A; CIOI; GA;;; CO)(A; CIOI; GRGWGXSD;;; PA)"
9. Use os seguintes parâmetros para salvar o conteúdo do arquivo Bloco de notas que você criou na etapa
8:
Nome do arquivo: %systemroot%\security\templates\sysvol.inf
Salvar como tipo: Todos os Arquivos
Codificação: Unicode
NOTE
A variável de ambiente SYSVOL deve ser definida para apontar para o novo local. Caso contrário, o comando
Secedit não será executado com êxito.
10. Importe o modelo de segurança SYSVOL. Para fazer essa operação, selecione Iniciar , selecione Executar ,
digite cmd e selecione OK . Digite o seguinte e pressione ENTER:
secedit /configure /cfg %systemroot%\security\templates\sysvol.inf /db

%systemroot%\security\templates\sysvol.db /overwrite
11. Use o comando para atualizar os pontos de nova análise no sistema de arquivos para refletir o novo
caminho da árvore Linkd SYSVOL. Por exemplo, se o controlador de domínio estiver no domínio e a
árvore SYSVOL estiver localizada na pasta, digite os seguintes comandos no prompt de comando no
CONTOSO.COM X:\Windows\Sysvol controlador de domínio. Pressione ENTER após cada comando.
linkd X:\Winnt\Sysvol\Sysvol\CONTOSO.COM X:\Winnt\Sysvol\Domain

linkd X:\Winnt\Sysvol\Staging areas\CONTOSO.COM X:\Winnt\Sysvol\Staging\Domain
NOTE
Certifique-se de que a árvore de diretórioSSVOL seja criada antes de executar o comando Linkd. O comando
falhará se houver dados no diretório CONTOSO.COM ou subdireários.
12. Reinicie FRS.

13. Procure eventos no log de eventos FRS que indicam que o conjunto de réplicas está ingressado e que a
pasta SYSVOL foi alterada.
14. No controlador de domínio, use o comando ou o comando net view para verificar se o controlador de
domínio compartilhou as pastas net logon Netlogon e Sysvol. Se as pastas compartilhadas não
existirem, siga estas etapas:
a. Se o valor da
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\Sysvolready sub-
chave do Registro for 1, reinicie o serviço Netlogon. Se esse valor de sub-chave for 0, vá para a
etapa c.
b. Procure as pastas compartilhadas novamente. Se as pastas ainda não estão disponíveis, digite o
comando em um prompt de nltest /dbflag:2080FFFF comando e pressione ENTER:
Procure erros no %Systemroot%\Debug\Netlogon.log arquivo.
c. Se o valor da
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\Sysvolready sub-chave
do Registro for 0, não de definir o valor do Registro como 1. Revise os logs de depuração FRS na
pasta para verificar se a replicação FRS de entrada e saída %Systemroot%\Debug está ocorrendo.
15. Reinicie todos os serviços que você parou na etapa 1c.
O RODC replica senhas quando recebe permissões
incorretas no Windows Server
Este artigo aborda um problema no qual o RODC replica senhas quando recebe permissões incorretas no
Windows Server.
Aplica-se a: Windows Server 2016, Windows Server 2012 R2
Sintoma
Normalmente, os RODCs (Controladores de Domínio Somente Leitura) replicam apenas senhas de usuário para
contas de usuário que são membro do Grupo de Replicação de Senha RODC Permitido ou estão listados no
atributo msDS-RevealOnDemandGroup da conta RODC.
No entanto, para algumas contas de usuário que não são membros do Grupo de Replicação de Senha RODC
Permitido ou não estão listadas no atributo msDS-RevealOnDemandGroup da conta RODC, você pode descobrir
que as senhas para essas contas autenticadas pelo RODC podem ser armazenadas em cache pelo RODC.
Por exemplo, quando você compara a saída da propriedade Política avançada de Replicação de Senha usando
Usuários e Computadores do Active Directory e a saída de , as entradas listadas diferem
repadmin /prp view RODC_name reveal entre os dois.
Motivo
Esse problema é causado pela configuração de permissão incorreta.
Por padrão, o grupo Enterprise controladores de domínio que contém apenas DCs que podem ser escritos
tem a permissão Replicando Alterações de Diretório Tudo na partição de domínio. Por exemplo, em
"DC=contoso,DC=com" no Active Directory.
No entanto, quando o problema ocorre, o RODC problema também tem a permissão Replicating Director y
Changes Enterprise All no domínio porque ele foi concedido por um administrador para o grupo controladores
de domínio somente leitura ou para o objeto RODC direta ou indiretamente por meio de alguma outra
associação de grupo.
Normalmente, os RODCs só replicam senhas de usuário se as contas de usuário são membro do Grupo de
Replicação de Senha RODC Permitido ou estão listadas no atributo msDS-RevealOnDemandGroup da conta
RODC.
Com a permissão Replicando Alterações de Diretório Todos, todos os atributos do usuário, incluindo senhas,
são replicados do DC de origem para o RODC como se o RODC fosse um RWDC (Read Write DC) normal.
Resolução
Para resolver esse problema, altere a permissão Replicando Alterações de Diretório Todos concedida ao objeto
Enterprise Controladores de Domínio somente leitura para Replicar Alterações de Diretório.
Mais informações
Siga estas etapas para ajudar a validar as permissões e determinar de onde as permissões erradas estão vindo.
Etapa 1:
Use LDP para exibir as permissões de "acesso de controle" no domínio. Para fazer isso, estas etapas:
1. Execute o LDP.exe em um controlador de domínio.
2. Conexão à árvore (por exemplo, DC=contoso,DC=com).
3. Clique com o botão direito do mouse no nó DC=contoso,DC=com, selecione Avançado e selecione
Descritor de Segurança .
4. Escolha a opção Despejo de texto para um exibição de texto das permissões ou deixe-o desmarcado para
obter um editor de segurança da GUI.
5. Verifique as permissões para garantir que o grupo Enterprise Controladores de Domínio somente leitura
tenha permissão Replicando Alterações de Diretório.
Etapa 2:
Verifique as associações de grupo do RODC para determinar se Todas as Alterações de Diretório de Réplica
estão sendo concedidas por meio de outro grupo.
Para obter a verdadeira associação do RODC, você pode usar uma consulta para o atributo TokenGroups para
recuperar a lista de grupos eficaz do usuário usando a ferramenta LDP.
Certifique-se de selecionar Escopo base e adicionar o atributo necessário. Quando você estiver fazendo o
scoping da pesquisa em um usuário individual, você obterá a lista desse usuário. Se o usuário estiver em vários
grupos, você deve estender a quantidade de dados que o LDP imprime na janela à direita, selecione
Opções\Geral no menu e ajuste o Caracteres por campo para um valor mais alto:
Etapa 3:
No Windows Server 2008 R2, Windows 7, Windows Server 2008 ou Windows Vista, verifique se você encontra
o problema descrito no artigo a seguir:
O snap-in MMC "Usuários e Computadores do Active Directory" não lista todas as contas que têm senhas
armazenadas em cache no RODC em Windows
Etapa 4:
Confirme a consistência das propriedades da conta de computador do RODC em todos os controladores de
domínio no domínio.
Um método é usar para exportar os metadados de replicação da conta de repadmin computador do RODC de
todos os controladores de domínio. Para fazer isso, use o seguinte comando:
repadmin /showobjmeta *<dn of RODC account>' > rodc_meta.txt
Etapa 5:
Da mesma forma que a etapa 4, confirme a consistência do Grupo de Replicação de Senha RODC Permitido e
de qualquer outro grupo configurado no atributo msDS-RevealOnDemandGroup para ver se as senhas de
usuário armazenadas incorretamente em cache podem ser explicadas pela associação de grupo inconsistente
em diferentes DCs que podem ser causadas por um problema de replicação.
Etapa 6:
Verifique se os usuários que têm suas senhas armazenadas em cache pelo RODC não são acidentalmente um
membro de um grupo configurado para ter suas senhas armazenadas em cache.
NOTE
O MMC coletará as informações da política de replicação de senha de qualquer controlador de domínio (até mesmo o
RODC em si), enquanto o comando sempre interrogará um controlador de domínio de leitura repadmin /prp e
gravação.
Se houver inconsistências de replicação entre o RODC e um RW DC, isso pode explicar a diferença na saída
desses dois utilitários/métodos.
Syskey.exe utilitário não tem mais suporte em
Windows 10, Windows Server 2016 e versões
posteriores
Windows 10, versão 1709, Windows Server, versão 2004 e versões posteriores do Windows não suportam mais
o utilitário syskey.exe.
Aplica-se a: Windows 10 - todas as edições, Windows Server 2019, Windows Server 2016
Detalhes de alterações
As seguintes alterações são feitas:
O syskey.exe utilitário não está mais incluído no Windows.
Windows nunca solicitará uma senha syskey durante a inicialização.
Windows não dará mais suporte à instalação de um controlador de domínio do Active Directory usando
Install-From-Media (IFM) que foi criptografado externamente pelo utilitário syskey.exe.
Se um sistema operacional (OS) foi criptografado externamente pelo utilitário syskey.exe, você não poderá
atualiza-lo para o Windows 10 versão 1709, Windows Server versão 2004 ou uma versão posterior do
Windows.
Se você quiser usar a segurança do sistema operacional em tempo de inicialização, recomendamos que você
use o BitLocker ou tecnologias semelhantes em vez do utilitário syskey.exe de inicialização.
Se você usar a mídia IFM do Active Directory para instalar a réplica de controladores de domínio do Active
Directory, recomendamos que você use o BitLocker ou outros utilitários de criptografia de arquivo para
proteger todas as mídias IFM.
Para atualizar um sistema operacional que é criptografado externamente pelo utilitário syskey.exe para
Windows 10 RS3 ou Windows Server 2016 RS3, o sistema operacional deve ser configurado para não usar uma
senha syskey externa. Para obter mais informações, consulte a etapa 5 em Como usar o utilitário SysKeypara
proteger o banco de dados Segurança do Windows Gerenciador de Contas.
Mais informações
Syskey é uma chave Windows de criptografia raiz interna usada para criptografar outros dados de estado do
sistema operacional confidenciais, como hashes de senha de conta de usuário. O utilitário SysKey pode ser
usado para adicionar uma camada extra de proteção, criptografando a syskey para usar uma senha externa.
Nesse estado, o sistema operacional bloqueia o processo de inicialização e solicita aos usuários a senha
(interativamente ou lendo de um disco flexível).
Infelizmente, a chave de criptografia syskey e o uso de syskey.exe não são mais considerados seguros. Syskey se
baseia em criptografia fraca que pode ser facilmente quebrada nos tempos modernos. Os dados protegidos
pelo syskey são limitados e não abrangem todos os arquivos ou dados no volume do sistema operacional. O
syskey.exe utilitário também é conhecido por ser usado por hackers como parte de esquemas de ransomware.
O Active Directory anteriormente suportava o uso de uma syskey criptografada externamente para mídia IFM.
Quando um controlador de domínio é instalado usando mídia IFM, a senha syskey externa também precisava
ser fornecida. Infelizmente, essa proteção sofre das mesmas falhas de segurança.
Referência
O utilitário syskey.exe e seu suporte subjacente no sistema operacional Windows foi introduzido pela primeira
vez no Windows 2000 e reportado para Windows NT 4.0. Para obter mais informações, consulte How to use the
SysKey utility to help secure the Segurança do Windows Accounts Manager database.
A ID do Evento 13552 e 13555 estão registradas no
log do Serviço de Replicação de Arquivos em um
controlador de domínio Windows com base em
Windows.
Este artigo ajuda a resolver um problema no qual a pasta SYSVOL não é replicada entre controladores de
domínio que estão executando o Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2,
Windows Server 2008 ou Windows Server 2003.
Sintomas
Esse problema pode ocorrer em uma das seguintes condições em um controlador de domínio que está
executando Windows Server:
Você altera a configuração de dispositivos do sistema ou, a configuração de dispositivos do sistema falha.
A corrupção ocorre no banco de dados do Serviço de Replicação de Arquivos (FRS).
Informações do evento
Os dois eventos se parecem com o seguinte:
Evento 13555:
O Serviço de Replicação de Arquivos está em um estado de erro
Evento 13552:
O Serviço de Replicação de Arquivos não pode adicionar esse computador ao seguinte conjunto de réplicas:
"VOLUME DO SISTEMA DE DOMÍNIO (COMPARTILHAMENTO SYSVOL)"
Esses logs de eventos indicam que a pasta SYSVOL não é replicada entre controladores de domínio. Portanto,
esse problema causa configurações inconsistentes da Política de Grupo e o resultado da política incorreta é
definido em cada computador cliente.
Motivo
Esse problema ocorre porque o NTFS detecta uma atualização de firmware como uma alteração de
configuração em discos e altera a ID do diário. Portanto, uma ID de arquivo para dados no banco de dados FRS
não combina com a ID de arquivo dos dados no banco de dados de diário usn (número de sequência de
atualização).
IMPORTANT
Siga as etapas nesta seção com cuidado. Sérios problemas poderão ocorrer caso você modifique o Registro
incorretamente. Antes de modificá-lo, faça backup do Registro para restauração em caso de problemas.
Para resolver esse problema, em controladores de domínio que os eventos estão registrados, siga estas etapas:
1. Faça backup completo ou de estado do sistema para cada controlador de domínio.
2. Pare o FRS. Para fazer isso, no prompt de comando em cada controlador de domínio, digite o seguinte
comando e pressione ENTER: net stop ntfrs
NOTE
Neste ponto, selecione um controlador de domínio de referência que possa se basear em recursos de servidor
físico e conectividade. Este controlador de domínio será o "controlador de domínio de referência" em todas as
etapas subsequentes.
3. Exclua arquivos nas três pastas a seguir para inicializar o FRS no controlador de domínio de referência.
Não exclua as três pastas. Exclua subpastas e arquivos nessas três pastas:
%systemroot%\ntfrs\jet
%systemroot%\sysvol\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
%systemroot%\sysvol\staging\domainSe essas pastas e arquivos não são mostrados, execute as
etapas adicionais para mostrar os arquivos ou pastas ocultos.
4. Force a sincronização de FRS no controlador de domínio de referência. Para fazer isso, siga estas etapas:
a. Abra o Editor do Registro e localize a seguinte sub-chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\NTFRS\Parameters\Backup/Restore\Process at
Startup
b. Clique com o botão direito do mouse na entrada BurFlags e clique em Modificar .
c. Na caixa Dados valor, digite D4 e clique em OK .
d. Saia do Editor do Registro.
5. No prompt de comando no controlador de domínio de referência, execute o seguinte comando para
reiniciar o FRS: net start ntfrs
NOTE
A etapa 6 a etapa 10 deve ser feita somente em outro controlador de domínio.
6. Baixe e instale a ferramenta PsTools em outros controladores de domínio. Esta ferramenta contém as
ferramentas de linha de comando PsExec que podem ser usadas para excluir pastas na pasta SYSVOL.
7. Exclua arquivos nas três pastas abaixo para inicializar o FRS em outros controladores de domínio.
Não exclua as três pastas. Exclua subpastas e arquivos nas três pastas a seguir:
%systemroot%\ntfrs\jet
%systemroot%\sysvol\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
%systemroot%\sysvol\staging\domainSe essas pastas e arquivos não são mostrados, execute as
etapas adicionais para mostrar os arquivos ou pastas ocultos.
8. Exclua as seguintes pastas no caminho "%systemroot%\sysvol\domain":
%systemroot%\sysvol\domain\policies
%systemroot%\sysvol\domain\scripts
%systemroot%\sysvol\domain\policies_NTFRS_ xxxxxxx
%systemroot%\sysvol\domain\scripts_NTFRS_ xxxxxxx
%systemroot%\sysvol\domain\NtFrs_PreExisting__See_Evntlog
NOTE
"xxxxxxx" é um espaço reservado que representa caracteres alfanuméricos. Ignore esta etapa se não houver essas
pastas e arquivos.
Além disso, se as pastas e arquivos não puderem ser excluídos, siga estas etapas para excluí-las usando a
ferramenta PsExec.
Etapas para excluir pastas e arquivos usando a ferramenta PsExec:
a. Execute o prompt de comando com direitos administrativos.
b. Altere o diretório atual para a unidade onde estão os arquivos de configuração da ferramenta PsTools
(por exemplo, execute cd c:\PsTools).
c. Execute o seguinte comando: Psexec.exe -i -s cmd .
d. No novo prompt de comando, digite rd /s para excluir os seguintes arquivos e pastas na pasta
SYSVOL (por exemplo, execute rd %systemroot%\sysvol\domain\policies /s):
%systemroot%\sysvol\domain\policies
%systemroot%\sysvol\domain\scripts
%systemroot%\sysvol\domain\policies_NTFRS_ xxxxxxx
%systemroot%\sysvol\domain\scripts_NTFRS_ xxxxxxx
%systemroot%\sysvol\domain\NtFrs_PreExisting__See_Evntlog
NOTE
"xxxxxxx" é um espaço reservado que representa caracteres alfanuméricos. Ignore esta etapa se não houver essas
pastas e arquivos.
9. Force a sincronização de FRS em outros controladores de domínio. Para fazer isso, siga estas etapas:
a. Abra o Editor do Registro e localize a seguinte sub-chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\NTFRS\Parameters\Backup/Restore\Process at
Startup
b. Clique com o botão direito do mouse na entrada BurFlags e clique em Modificar .
c. Na caixa Dados valor, digite D2 e clique em OK .
d. Saia do Editor do Registro.
10. No prompt de comando, execute o seguinte comando para reiniciar FRS em outros controladores de
domínio: net start ntfrs
11. Confirme a replicação.
Entradas de log "Erro" ou "Aviso" agora não serão registradas no log de eventos. Se a replicação for
bem-sucedida, a ID do evento 13516 será registrada.
Verifique a consistência comparando arquivos e pastas nas pastas SYSVOL entre todos os
controladores de domínio.
12. Reinicie o FRS no controlador de domínio de referência executando o seguinte comando: net stop ntfrs
&& net start ntfrs
NOTE
O controlador de domínio que tem "BurFlags = D4" funciona como controlador de domínio de referência até que o
serviço seja reiniciado. O valor da entrada BurFlags é redefinido reiniciando FRS.
Para controladores de domínio que têm "BurFlags = D2", o valor da entrada BurFlags também é redefinido
automaticamente reiniciando FRS.
Depois de concluir todas as etapas, verifique o log de eventos FRS. As IDs de evento 13553, 13554 e 13516 são
registradas em poucos minutos. Esses logs indicam que a replicação SYSVOL termina corretamente.
Status
A Microsoft confirmou que esse é um problema nos produtos Microsoft listados na seção "Aplica-se a".
Mais informações
Mostrar arquivos e pastas ocultos no Windows Explorer:
1. No Windows Explorer, no menu Ferramentas, clique em Opções de Pasta.
2. Na guia Exibir, habilita a opção Mostrar arquivos e pastas ocultos.
NOTE
No Windows Server 2012 R2, Windows Server 2012 ou Windows Server 2008 R2, habilita a opção Mostrar
arquivos ocultos, pastas e unidades na guia Exibir.
Uma Autoridade de Certificação não pode usar um
modelo de certificado
Este artigo fornece uma solução para um problema em que um modelo de certificado não consegue carregar e
solicitações de certificado não são bem-sucedidas usando o mesmo modelo.
Resumo
Quando os Serviços de Certificado são iniciados em uma Autoridade de Certificação (CA), um modelo de
certificado não consegue carregar e as solicitações de certificado não são bem-sucedidas usando o mesmo
modelo.
Mais informações
O comportamento ocorre porque o grupo Usuários Autenticados é removido da lista de controle de acesso
(ACL) do modelo. O grupo Usuários Autenticados está em um modelo ACL, por padrão. (A própria CA está
incluída neste grupo.) Se o grupo Usuários Autenticados for removido, a PRÓPRIA CA (empresa) não poderá
mais ler o modelo no Active Directory e, por isso, as solicitações de certificado podem não ter êxito.
Se um administrador quiser remover o grupo Usuários Autenticados, cada conta de computador da AC deve ser
adicionada às ACLs do modelo e definida como Leitura.
Se os usuários autenticados foram removidos das ACLs de um modelo, os seguintes erros poderão ser
observados quando a AC for iniciada e quando um certificado for solicitado em relação ao modelo.
Erros observados quando o registro não é bem-sucedido

Para o cliente:
Registro por meio de uma página da Web:
Solicitação de Certificado Negada

Sua solicitação de certificado foi negada.
Entre em contato com o administrador para obter mais informações. Registro por meio do Console
de Gerenciamento da Microsoft (MMC): Assistente de Solicitação de Certificado: a autoridade de
certificação negou a solicitação. Erro não especificado.
Para a CA:
Tipo de Evento:Aviso
Origem do evento:CertSvc
Categoria do Evento:Nenhum
ID do Evento: 53
Data: <DateTime>
Hora: <DateTime>
Usuário: N/A
Computador: MUSGRAVE
Descrição:
Os Serviços de Certificado negaram a solicitação 9 porque o modelo de certificado solicitado não é
suportado por essa CA. 0x80094800 (-2146875392). A solicitação foi para TED\administrator.
Informações adicionais: Negado pelo Módulo de Política. A solicitação foi para o modelo de
certificado ( ) que não é suportado <template name> pela política de Serviços de Certificado.
Erro na CA Quando os Serviços de Certificado são iniciados

Tipo de Evento:Erro
Origem do evento:CertSvc
Categoria do Evento:Nenhum
ID do Evento: 78
Data: <DateTime>
Hora: <DateTime>
Usuário: N/A
Computador: MUSGRAVE
Descrição:
O Módulo de Política "Enterprise e Módulo de Política Autônomo" registrou o seguinte erro: O Modelo de
Certificado <template name> não pôde ser carregado. Elemento não encontrado. 0x80070490 (WIN32:
1168).
Fazer o back up the recovery agent Encrypting File
System (EFS) private key in Windows
Este artigo descreve como fazer o back up do agente de recuperação Criptografando a chave privada EFS
(Sistema de Arquivos de Criptografia) em um computador.
Aplica-se a: Windows 7 Service Pack 1, Windows Server 2012 R2
Resumo
Use a chave privada do agente de recuperação para recuperar dados em situações em que a cópia da chave
privada do EFS localizada no computador local é perdida. Este artigo contém informações sobre como usar o
Assistente de Exportação de Certificados para exportar a chave privada do agente de recuperação de um
computador membro de um grupo de trabalho e de um controlador de domínio baseado no Windows Server
2003 baseado em Windows 2000, baseado no Windows Server 2008 ou no Windows Server 2008 R2.
Introdução
Este artigo descreve como fazer o back up do agente de recuperação Encrypting File System (EFS) no Windows
Server 2003, no Windows 2000, no Windows XP, no Windows Vista, no Windows 7, no Windows Server 2008 e
no Windows Server 2008 R2. Você pode usar a chave privada do agente de recuperação para recuperar dados
em situações em que a cópia da chave privada do EFS localizada no computador local é perdida.
Você pode usar o EFS para criptografar arquivos de dados para impedir o acesso não autorizado. A EFS usa uma
chave de criptografia gerada dinamicamente para criptografar o arquivo. A FEK (Chave de Criptografia de
Arquivo) é criptografada com a chave pública do EFS e é adicionada ao arquivo como um atributo EFS chamado
Campo de Descriptografia de Dados (DDF). Para descriptografar o FEK, você deve ter a chave privada EFS
correspondente do par de chaves público-privada. Depois de descriptografar o FEK, você pode usar o FEK para
descriptografar o arquivo.
Se sua chave privada do EFS for perdida, você poderá usar um agente de recuperação para recuperar arquivos
criptografados. Sempre que um arquivo é criptografado, o FEK também é criptografado com a chave pública do
Agente de Recuperação. O FEK criptografado é anexado ao arquivo com a cópia criptografada com sua chave
pública do EFS no DrF (Campo de Recuperação de Dados). Se você usar a chave privada do agente de
recuperação, poderá descriptografar o FEK e descriptografar o arquivo.
Por padrão, se um computador que está executando o Microsoft Windows 2000 Professional for membro de
um grupo de trabalho ou for membro de um domínio do Microsoft Windows NT 4.0, o administrador local que
primeiro faz logona no computador será designado como o agente de recuperação padrão. Por padrão, se um
computador que estiver executando o Windows XP ou o Windows 2000 for membro de um domínio do
Windows Server 2003 ou de um domínio Windows 2000, a conta de Administrador interno no primeiro
controlador de domínio no domínio será designada como o agente de recuperação padrão.
Um computador que está executando Windows XP e que é membro de um grupo de trabalho não tem um
agente de recuperação padrão. Você precisa criar manualmente um agente de recuperação local.
IMPORTANT
Depois de exportar a chave privada para um disco flexível ou outra mídia removível, armazene o disco flexível ou a mídia
em um local seguro. Se alguém tiver acesso à sua chave privada do EFS, essa pessoa poderá obter acesso aos seus dados
criptografados.
Exportar a chave privada do agente de recuperação de um computador membro de um grupo de trabalho

Para exportar a chave privada do agente de recuperação de um computador membro de um grupo de trabalho,
siga estas etapas:
1. Faça logoff no computador usando a conta de usuário local do agente de recuperação.
2. Clique em Iniciar, clique em Executar, digite mmc e clique em OK.
3. No menu Arquivo , clique em Adicionar/Remover Snap-in . Em seguida, clique em Adicionar no
Windows Server 2003, Windows XP ou Windows 2000. Ou clique em OK no Windows Vista, no
Windows 7, no Windows Server 2008 ou no Windows Server 2008 R2.
4. Em Snap-ins autônomos disponíveis, clique em Cer tificados e clique em Adicionar .
5. Clique em Minha conta de usuário e clique em Concluir .
6. Clique em Fechar e clique em OK no Windows Server 2003, Windows XP ou Windows 2000. Ou clique
em OK no Windows Vista, no Windows 7, no Windows Server 2008 ou no Windows Server 2008 R2.
7. Clique duas vezes em Cer tificados - Usuário Atual, clique duas vezes em Pessoal e clique duas vezes
em Cer tificados .
8. Localize o certificado que exibe as palavras "Recuperação de Arquivo" (sem aspas) na coluna Propósitos
Pretendido.
9. Clique com o botão direito do mouse no certificado localizado na etapa 8, aponte para Todas as Tarefas
e clique em Expor tar . O Assistente de Exportação de Certificados é iniciado.
10. Clique em Avançar .
11. Clique em Sim, expor te a chave privada e clique em Próximo .
12. Clique em Informações Exchange - PKCS #12 (. PFX).
NOTE
Recomendamos que você também clique para selecionar a caixa de seleção Habilitar proteção forte (requer a caixa
de seleção Habilitar proteção forte (requer a caixa de seleção IE 5.0, NT 4.0 SP4 ou superior para proteger sua
chave privada contra acesso não autorizado.
Se você clicar para selecionar a caixa de seleção Excluir a chave privada se a exportação for bem-
sucedida, a chave privada será removida do computador e você não poderá descriptografar arquivos
criptografados.
14. Especifique uma senha e clique em Next .
15. Especifique um nome de arquivo e local onde você deseja exportar o certificado e a chave privada e
clique em Próximo .
NOTE
Recomendamos que você faça backup do arquivo em um disco ou em um dispositivo de mídia removível e
armazene o backup em um local onde você possa confirmar a segurança física do backup.
16. Verifique as configurações exibidas na página Concluindo o Assistente de Exportação de Certificado e

clique em Concluir .
Exportar a chave privada do agente de recuperação de domínio
O primeiro controlador de domínio em um domínio contém o perfil administrador interno que contém o
certificado público e a chave privada para o agente de recuperação padrão do domínio. O certificado público é
importado para a Política de Domínio Padrão e é aplicado a clientes de domínio usando a Política de Grupo. Se o
perfil administrador ou se o primeiro controlador de domínio não estiver mais disponível, a chave privada
usada para descriptografar os arquivos criptografados será perdida e os arquivos não poderão ser recuperados
por meio desse agente de recuperação.
Para localizar a política de Recuperação de Dados Criptografados, abra a Política de Domínio Padrão no snap-in
Editor de Objeto de Política de Grupo, expanda Configuração do Computador, expanda Windows
Configurações, expanda segurança Configurações e, em seguida, expanda Políticas de Chave Pública.
Para exportar a chave privada do agente de recuperação de domínio, siga estas etapas:
1. Localize o primeiro controlador de domínio promovido no domínio.
2. Faça logoff no controlador de domínio usando a conta de Administrador interno.
4. No menu Arquivo , clique em Adicionar/Remover Snap-in . Em seguida, clique em Adicionar no
Windows Server 2003 ou Windows 2000. Ou clique em OK no Windows Server 2008 ou no Windows
Server 2008 R2.
5. Em Snap-ins autônomos disponíveis, clique em Cer tificados e clique em Adicionar .
6. Clique em Minha conta de usuário e clique em Concluir .
7. Clique em Fechar e clique em OK no Windows Server 2003 ou Windows 2000. Ou clique em OK no
Windows Server 2008 ou no Windows Server 2008 R2.
8. Clique duas vezes em Cer tificados - Usuário Atual, clique duas vezes em Pessoal e clique duas vezes
em Cer tificados .
9. Localize o certificado que exibe as palavras "Recuperação de Arquivo" (sem aspas) na coluna Propósitos
Pretendido.
10. Clique com o botão direito do mouse no certificado localizado na etapa 9, aponte para Todas as Tarefas
e clique em Expor tar . O Assistente de Exportação de Certificados é iniciado.
12. Clique em Sim, expor te a chave privada e clique em Próximo .
13. Clique em Informações Exchange - PKCS #12 (. PFX).
NOTE
Recomendamos que você clique para selecionar a caixa de seleção Habilitar proteção forte (requer a caixa de
seleção Habilitar proteção forte (exige a caixa de seleção Habilitar proteção forte, NT 4.0 SP4 ou superior para
proteger sua chave privada contra acesso não autorizado.
Se você clicar para selecionar a caixa de seleção Excluir a chave privada se a exportação for bem-
sucedida, a chave privada será removida do controlador de domínio. Como prática prática,
recomendamos que você use essa opção. Instale a chave privada do agente de recuperação somente em
situações quando você precisar dela para recuperar arquivos. Em todos os outros momentos, exporte e
armazene a chave privada do agente de recuperação offline para ajudar a manter sua segurança.
15. Especifique uma senha e clique em Next .
16. Especifique um nome de arquivo e local onde você deseja exportar o certificado e a chave privada e
NOTE
Recomendamos que você faça backup do arquivo em um disco ou em um dispositivo de mídia removível e
armazene o backup em um local onde você possa confirmar a segurança física do backup.
17. Verifique as configurações exibidas na página Concluindo o Assistente de Exportação de Certificado e

clique em Concluir .
Não é possível selecionar Windows Server 2016
modelos de certificado compatíveis com a CA
Windows Server 2016 CAs ou servidores CEP
baseados posteriormente
Este artigo fornece uma solução alternativa para o problema Windows Server 2016 modelos de certificado
compatíveis com a CA não podem ser selecionados Windows Server 2016 servidores CAs ou CEP baseados
posteriormente.
Sintomas
Considere um dos seguintes cenários:
Você configura um servidor de Windows Server 2016 de registro de certificado baseado em certificado
(CEP) ou um servidor de registro de certificado (CES).
Você instala uma nova autoridade de certificação Windows Server 2016 de certificação (CA).
Você configura as configurações de compatibilidade de um modelo de certificado definindo a Autoridade
de Certificação como Windows Server 2016 e destinatário do cer tificado como Windows 10 /
Windows Ser ver 2016 .
Quando Windows 10 os usuários tentam solicitar certificados usando a página de registro da Ca Web (a URL do
CEP), o modelo de certificado configurado como descrito aqui não está listado como um modelo disponível.
Motivo
Esse é um problema conhecido em Windows Server 2016 e versões posteriores. O servidor CEP ou CES fornece
modelos de certificado somente para clientes que tenham as seguintes configurações de compatibilidade:
Autoridade de Cer tificação : Windows Server 2012 R2 ou uma versão anterior
Destinatário do certificado : Windows 8.1 (ou uma versão anterior) e Windows Server 2012 R2 (ou uma
versão anterior)
Para resolver esse problema, siga estas etapas:
1. Configure as configurações de compatibilidade do modelo de certificado da seguinte forma:
Autoridade de Cer tificação : Windows Ser ver 2012 R2
Destinatário do cer tificado : Windows 8.1 /Windows Ser ver 2012 R2
2. Aguarde 30 minutos para que o servidor CEP receba as informações atualizadas do modelo (ou use a
ferramenta IISReset para reiniciar o servidor).
3. No computador cliente, limpe o Cache de Política de Registro do lado do cliente usando o seguinte
comando em uma janela do Prompt de Comando:
certutil -f -policyserver * -policycache delete
4. No computador cliente, tente registrar o certificado novamente. O modelo agora deve estar disponível.
Não é possível compartilhar arquivos com vários
certificados EFS
Este artigo descreve um problema em que você não pode compartilhar arquivos criptografados usando vários
certificados EFS.
Aplica-se a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 - todas as
edições
Sintomas
Considere o seguinte cenário:
Você gostaria que os usuários compartilhasse arquivos criptografados usando vários certificados efs
(Sistema de Arquivos de Criptografia).
Os usuários U1 e U2 têm certificados EFS válidos.
O arquivo F1 existe em um computador no qual o EFS está habilitado, e os usuários U1 e U2 têm
permissões de leitura e gravação no arquivo.
O usuário U1 segue estas etapas para criptografar o arquivo F1:
1. Localize o arquivo F1 no disco.
2. Clique com o botão direito do mouse no arquivo F1.
3. Clique em Propriedades .
4. Clique em Avançado .
5. Selecione Criptografar conteúdo para proteger dados.
6. Clique em OK .
7. Clique em Aplicar .
O usuário U1 cria o compartilhamento de arquivos para o arquivo F1 adicionando o certificado EFS
apropriado para o usuário U2 ao arquivo F1.
Os usuários U1 e U2 seguem estas etapas para acessar o arquivo F1:
1. Localize o arquivo F1 no disco.
2. Clique com o botão direito do mouse no arquivo F1.
3. Clique em Propriedades .
4. Clique em Avançado .
5. Clique em Detalhes .
6. Clique em Adicionar .
7. Selecione o usuário a quem você deseja adicionar.
8. Clique em OK .
O usuário U1 ou u2 do usuário altera o arquivo F1.
Nesse cenário, os metadados efs não são mantidos e somente o usuário atual pode descriptografar o arquivo.
No entanto, você espera que os metadados do EFS sejam mantidos e que o usuário que você adicionou na etapa
7 ainda esteja lá.
Motivo
Se um aplicativo abrir e salvar um arquivo usando a API e se esse arquivo tiver sido criptografado usando o EFS
quando mais de um certificado estiver presente, o arquivo resultante conterá apenas o certificado do usuário
que salvou o replacefile() arquivo. Este é o comportamento padrão.
Status
Este método de compartilhamento de arquivos criptografados não tem suporte no momento.
Os Serviços de Certificado (certsvc) não iniciam
após a atualização para Windows Server 2016
Este artigo fornece uma solução para um problema em que os Serviços de Certificado (certsvc) não começam
após a atualização para o Microsoft Windows Server 2016.
Aplica-se a: Windows Server 2016
Sintomas
Depois de executar uma atualização in-locada do Windows Server 2012 ou Windows Server 2012 R2 para
Windows Server 2016, os Serviços de Certificados do Active Directory (certsvc) podem não iniciar. Se você
tentar iniciar manualmente o serviço a partir do Console de Gerenciamento de Serviços (services.msc), a
tentativa poderá falhar com a seguinte mensagem de erro:
Windows não foi possível iniciar o serviço serviços de certificado do Active Directory no Computador Local.
Erro 1058: o serviço não pode ser iniciado, seja porque ele está desabilitado ou porque não habilitar
dispositivos associados a ele.
Além disso, quando você tenta iniciar os Serviços de Certificado do Active Directory a partir do snap-in dos
Serviços de Certificado, ele pode falhar e, em seguida, você recebe a seguinte mensagem de erro:
Título: Microsoft Active Directory Certificate Services

O serviço não pode ser iniciado porque está desabilitado ou porque não habilitar dispositivos associados a
ele.
0x422 (WIN32: 1058 ERROR_SERVICE_DISABLED)
NOTE
Nenhum evento é registrado nos logs sistema ou aplicativo quando o serviço falha ao iniciar.
Esse problema pode ocorrer em configurações diferentes. Por exemplo: Domínio ingressado, Não-Domínio ingressado,
Enterprise Autoridade de Certificação e Autoridade de Certificado Autônomo
Para recuperar esse problema, reinicie o computador. Os Serviços de Certificado do Active Directory são
iniciados automaticamente após a reinicialização do computador.
Status
Os Serviços de Certificado podem não começar em
um computador que está executando Windows
Server 2003 ou Windows 2000
Este artigo fornece uma solução para um problema em que os Serviços de Certificado(CS) podem não iniciar
em um computador que está executando o Windows Server 2003 ou Windows 2000.
Aplica-se a: Windows 10 - todas as edições, Windows Server 2012 R2
Sintomas
Em um computador que está executando o Microsoft Windows Server 2003 ou o Microsoft Windows 2000
Server, os Serviços de Certificado podem não iniciar.
Além disso, a seguinte mensagem de erro pode ser registrada no log de aplicativos no Visualizador de Eventos.
Motivo
Antes do início dos Serviços de Certificado, ele enumera todas as chaves e certificados que foram emitidos para
a autoridade de certificação (CA), mesmo que as chaves e os certificados tenham expirado. Os Serviços de
Certificado não iniciarão se qualquer um desses certificados tiver sido removido do armazenamento de
certificados pessoais do computador local.
Solução
Para resolver esse problema, verifique se o número de impressão digital de certificado no Registro é igual ao
número de certificados que foram emitidos para a AC. Se algum certificado estiver ausente, importe os
certificados ausentes para o armazenamento de certificados pessoais do computador local. Depois de importar
os certificados ausentes, use o comando para reparar o link entre os certificados importados e o
armazenamento certutil -repairstore de chaves privadas associado.
Para fazer isso, use um dos métodos a seguir, dependendo de qual versão do sistema operacional seu
computador está executando.
Método 1: Windows Server 2003

Para resolver esse problema em um computador Windows server 2003 baseado em servidor 2003, siga estas
etapas.
Etapa 1: procurar certificados ausentes
IMPORTANT
problema. Para obter mais informações, consulte How to back up and restore the Registry in Windows.
As impressões digitais do certificado indicam todos os certificados que foram emitidos para essa CA. Sempre
que um certificado é renovado, uma nova impressão digital de certificado é adicionada à lista CaCertHash no
Registro. O número de entradas nesta lista deve ser igual ao número de certificados emitidos para a CA e
listados no armazenamento de certificados pessoais do computador local.
Para procurar certificados ausentes, siga estas etapas:
1. Selecione Iniciar, selecione Executar , digite regedit e selecione OK .
2. Localize e selecione a seguinte sub-chave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name
*
3. No painel direito, clique duas vezes em CaCer tHash .
4. Anote o número de impressão digital de certificado que a lista de dados Value contém.
5. Iniciar Prompt de Comando.
6. Digite o seguinte comando e pressione ENTER : certutil -store
Compare o número de certificados listados no armazenamento de certificados pessoais do computador

local com o número de impressões digitais de certificado listadas na entrada do Registro CaCertHash. Se
os números são diferentes, vá para a Etapa 2: Importar os certificados ausentes. Se os números são os
mesmos, vá para a Etapa 3: Instalar o Windows Server 2003 Administration Tools Pack.
Etapa 2: Importar os certificados ausentes
1. Selecione Iniciar , aponte para Todos os Programas, aponte para Ferramentas Administrativas e
selecione Cer tificados .
Se Cer tificados não aparecerem na lista, siga estas etapas:
a. Selecione Iniciar, selecione Executar , digite mmc e selecione OK .
b. No menu Arquivo, selecione Adicionar/Remover Snap-in .
c. Selecione Adicionar .
d. Na lista Snap-in, selecione Cer tificados e, em seguida, selecione Adicionar .
Se a caixa de diálogo Snap-in Cer tificados for exibida, selecione Minha conta de usuário e
selecione Concluir .
e. Selecione Fechar e, em seguida, selecione OK .
O diretório Certificados agora é adicionado ao Console de Gerenciamento da Microsoft (MMC).
f. No menu Arquivo, selecione Salvar como , digite Certificados na caixa Nome do arquivo e
selecione Salvar .
Para abrir Certificados no futuro, selecione Iniciar , aponte para Todos os Programas , aponte para
Ferramentas Administrativas e selecione Cer tificados .
2. Expanda Cer tificados, expanda Personal , clique com o botão direito do mouse em Cer tificados,
aponte para Todas as Tarefas e selecione Impor tar .
3. Na página Bem-vindo, selecione Próximo .
4. Na página Arquivo a impor tar, digite o caminho completo do arquivo de certificado que você deseja
importar na caixa Nome do arquivo e selecione Próximo . Em vez disso, selecione Procurar , pesquisar
o arquivo e selecione Próximo .
5. Se o arquivo que você deseja importar for um arquivo de informações Exchange - PKCS #12 (*. PFX) file,
you'll be prompted for the password. Digite a senha e selecione Next .
6. Na página Armazenamento de Cer tificados, selecione Próximo .
7. Na página Concluindo o Assistente de Impor tação de Cer tificado, selecione Concluir .
NOTE
A CA sempre publica seus certificados ca na %systemroot%\System32\CertSvc\CertEnroll pasta. Você pode encontrar
os certificados ausentes nessa pasta.
Etapa 3: Instalar o pacote de ferramentas de administração do Windows Server 2003

Depois de importar os certificados, você deve usar a ferramenta Certutil para reparar o link entre os certificados
importados e o armazenamento de chaves privadas associado. A ferramenta Certutil está incluída nas
Ferramentas de Certificado da CA. As Windows De certificação ca do Servidor 2003 estão localizadas no pacote
de ferramentas de administração do Windows Server 2003. Se as Ferramentas de Certificado de AC não estão
instaladas no computador, instale-as agora.
Etapa 4: Reparar os links
Depois de instalar o Windows De ferramentas de administração do Windows Server 2003, siga estas etapas:
2. Digite o seguinte e pressione ENTER :
cd %systemroot%\system32\certsrv\certenroll
3. Anote o certificado na pasta Certenroll que é semelhante ao seguinte: Your_Ser ver .

Your_Domain .com_rootca.crt
4. Digite os seguintes comandos e pressione ENTER após cada comando:
%systemroot%\system32\certutil -addstore my
%systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt
%systemroot%\System32\certutil -dump
%systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt
Your_Ser ver.Your_Domain .com_rootca.crt é o nome do certificado na pasta Certenroll que você
anotou na etapa 3.
5. Na saída do último comando, próximo ao final, você verá uma linha semelhante à seguinte:
Key Id Hash(sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
Os dados de Hash de ID de Chave são específicos do computador. Anote essa linha.
6. Digite o seguinte comando incluindo as aspas e pressione ENTER :
%systemroot%\system32\certutil -repairstore my "Key_Id_Hash_Data "
Neste comando, Key_Id_Hash_Data é a linha que você anotou na etapa 4. Por exemplo, digite o seguinte:
%systemroot%\system32\certutil -repairstore my "ea c7 7e 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5
09 d9 b6 32 1b "
Em seguida, você receberá a seguinte saída:
CertUtil: -repairstore comando concluído com êxito.
7. Para verificar os certificados, digite o seguinte e pressione ENTER :

%systemroot%\system32\certutil -verifykeys Depois que este comando é executado, você receberá a
seguinte saída:
CertUtil: -verifykeys comando concluído com êxito.
Etapa 5: Iniciar o serviço de Serviços de Certificado

1. Selecione Iniciar , aponte para Ferramentas Administrativas e, em seguida, selecione Ser viços .
2. Clique com o botão direito do mouse em Ser viços de Cer tificado e selecione Iniciar .
Método 2: Windows 2000

Para resolver esse problema em um computador Windows 2000 baseado em 2000, siga estas etapas.
Etapa 1: procurando certificados ausentes
IMPORTANT
As impressões digitais do certificado indicam todos os certificados que foram emitidos para essa CA. Sempre
que um certificado é renovado, uma nova impressão digital de certificado é adicionada à lista CaCertHash no
Registro. O número de entradas nesta lista deve ser igual ao número de certificados emitidos para a CA e
listados no armazenamento de certificados pessoais do computador local.
Para procurar certificados ausentes, siga estas etapas:
1. Selecione Iniciar, selecione Executar , digite regedit e selecione OK .
2. Localize e selecione a seguinte sub-chave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name
*
3. No painel direito, clique duas vezes em CaCer tHash .
4. Anote o número de impressão digital de certificado que a lista de dados Value contém.
6. Digite o seguinte e pressione ENTER : certutil -store
Compare o número de certificados listados no armazenamento de certificados pessoais do computador local

com o número de impressões digitais de certificado listadas na entrada do Registro CaCertHash. Se os números
são diferentes, vá para a Etapa 2: Importar os certificados ausentes. Se os números são os mesmos, vá para a
Etapa 3: Instalar o Windows Server 2003 Administration Tools Pack.
Etapa 2: Importar os certificados ausentes
1. Selecione Iniciar , aponte para Programas, aponte para Ferramentas Administrativas e selecione
Cer tificados .
Se Certificados não aparecerem na lista, siga estas etapas:
a. Selecione Iniciar, selecione Executar , digite mmc e selecione OK .
b. No menu Console, selecione Adicionar/Remover Snap-in .
c. Selecione Adicionar
d. Na lista Snap-in, selecione Cer tificados e, em seguida, selecione Adicionar .
Se a caixa de diálogo Snap-in Cer tificados for exibida, selecione Minha conta de usuário e selecione
Concluir . 5. Selecione Fechar . 6. Selecione OK . 7. O diretório Certificados agora é adicionado ao
Console de Gerenciamento da Microsoft (MMC). 8. No menu Console, selecione Salvar como , digite
Certificados como o nome do arquivo e selecione Salvar .
Para abrir Certificados no futuro, selecione Iniciar , aponte para Programas , aponte para Ferramentas
Administrativas e selecione Cer tificados .
2. Expanda Cer tificados, expanda Personal , clique com o botão direito do mouse em Cer tificados,
aponte para Todas as Tarefas e selecione Impor tar .
3. Na página Bem-vindo, selecione Próximo .
4. Na página Arquivo a impor tar, digite o caminho completo do arquivo de certificado que você deseja
importar na caixa Nome do arquivo e selecione Próximo . Em vez disso, selecione Procurar , pesquisar
o arquivo e selecione Próximo .
5. Se o arquivo que você deseja importar for um arquivo de informações Exchange - PKCS #12 (*. PFX),
você será solicitado a solicitar a senha. Digite a senha e selecione Next .
6. Na página Armazenamento de Cer tificados, selecione Próximo .
7. Na página Concluindo o Assistente de Impor tação de Cer tificado, selecione Concluir .
NOTE
A CA sempre publica seus certificados ca na %systemroot%\System32\CertSvc\CertEnroll pasta. Você pode encontrar
os certificados ausentes nessa pasta.
Etapa 3: Instalar as ferramentas Windows Certutil do Server 2003

Depois de importar os certificados, você deve usar as Ferramentas de Certificado de CA do Windows Server
2003 para reparar o link entre os certificados importados e o armazenamento de chaves privadas associado.
As versões Windows Server 2003 do Certutil.exe e Certreq.exe estão incluídas no Pacote de Ferramentas de
Administração do Windows Server 2003. Para instalar as ferramentas em um computador baseado no Windows
2000, você deve primeiro instalar o Pacote de Ferramentas de Administração do Windows Server 2003 em um
computador que está executando o Windows Server 2003 ou o Microsoft Windows XP com Service Pack 1
(SP1) ou com um service pack posterior. O Windows De ferramentas de administração do Server 2003 não
pode ser instalado diretamente em um computador Windows baseado em 2000.
IMPORTANT
Depois de copiar as Ferramentas de Certificado de AC do Windows Server 2003 para o computador baseado em
Windows 2000, duas versões da ferramenta Certutil residirão no computador baseado no Windows 2000. Não remova a
ferramenta Windows 2000 Certutil. Outros programas dependem da versão Windows 2000 desta ferramenta. Por
exemplo, o snap-in MMC de Certificados requer a ferramenta Windows Certutil 2000. Além disso, não registre os
arquivos Windows Server 2003 Certcli.dll e Certadm.dll no computador baseado em Windows 2000.
Para usar as ferramentas Windows de certificado ca do Windows Server 2003 em um computador Windows
2000 baseado em 2000, siga estas etapas:
1. Baixar o Windows Do Server 2003 Administration Tools Pack
2. Entre em um computador que está executando Windows Server 2003 ou Windows XP com SP1 ou com
um service pack posterior.
3. Instale o Windows De ferramentas de administração do Server 2003.
4. No Pacote de Ferramentas de Administração do Windows Server 2003, localize os seguintes arquivos e
copie-os para um meio de armazenamento removível, como um disco de 3,5 polegadas:
Certreq.exe
Certutil.exe
Certcli.dll
Certadm.dll
5. Entre no computador Windows 2000 como administrador.
6. Insira o meio de armazenamento removível que você usou na etapa 4 na unidade apropriada do
computador Windows 2000 baseado em 2000.
8. Faça uma nova pasta e copie os arquivos no meio de armazenamento removível para a nova pasta. Para
fazer isso, digite os seguintes comandos e pressione ENTER após cada comando:
cd\
md W2k3tool
cd w2k3tool
copy Removable_Media_Drive_Letter :\cert*
NOTE
Para evitar conflitos com as versões Windows 2000 da ferramenta Certutil que já está no computador, não inclua
a pasta W2k3tool no caminho de pesquisa do sistema.
Etapa 4: Reparar os links

Depois de copiar os arquivos Windows De certificação de certificação do Windows Server 2003 para o
computador baseado em Windows 2000, siga estas etapas:
2. Digite o seguinte e pressione ENTER :
cd %systemroot\system32\certsrv\certenroll
3. Anote o certificado na pasta Certenroll semelhante ao seguinte:

Your_Ser ver.Your_Domain.com_rootca.cr t
4. Digite os seguintes comandos e pressione ENTER após cada comando:
Root_Drive_Letter : \ w2k3tool \certutil -addstore my %systemroot%\system32\certsrv\certenroll\
Your_Ser ver.Your_Domain .com_rootca.crt
Root_Drive_Letter : \ w2k3tool \certutil -dump %systemroot%\system32\certsrv\certenroll\
Your_Ser ver.Your_Domain .com_rootca.crt
Root_Drive_Letter é a letra do diretório raiz.
Your_Ser ver.Your_Domain .com_rootca.crt é o nome do certificado na pasta Certenroll que você
anotou na etapa 3.
5. Na saída do último comando, perto do final, você verá uma linha semelhante à seguinte: Key Id
Hash(sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
Os dados de Hash de ID de Chave são específicos do computador. Anote essa linha.
6. Digite o seguinte comando, incluindo as aspas, e pressione ENTER :
Root_Drive_Letter : \ w2k3tool \certutil -repairstore my "Key_Id_Hash_Data "
Neste comando, Key_Id_Hash_Data é a linha que você anotou na etapa 5. Por exemplo, digite o seguinte:
c:\w2k3tool\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32
1b "
Depois de concluir esse comando, você receberá a seguinte saída:
CertUtil: -repairstore comando concluído com êxito.
7. Para verificar os certificados, digite o seguinte comando e pressione ENTER :

Root_Drive_Letter : \ w2k3tool \certutil -verifykeys
Depois que este comando é executado, você receberá a seguinte saída:
CertUtil: -verifykeys comando concluído com êxito.
Etapa 5: Iniciando o serviço de Serviços de Certificado

1. Selecione Iniciar , aponte para Ferramentas Administrativas e, em seguida, selecione Ser viços .
2. Clique com o botão direito do mouse em Ser viços de Cer tificado e selecione Iniciar .
Mais informações
Você deve desmantelar e substituir a AC se uma das seguintes condições for verdadeira:
Não é possível localizar os certificados ausentes.
Os certificados não podem ser reinstalados.
O certutil -repairstore comando não pode ser concluído porque as chaves privadas foram removidas.
Para desmantelar e substituir a AC, siga estas etapas:
1. Revogar os certificados da AC que pararam de funcionar corretamente. Para fazer isso, siga estas
etapas:
a. Entre como administrador no computador que emitiu os certificados que você deseja revogar.
b. Selecione Iniciar , aponte para Programas, aponte para Ferramentas Administrativas e
selecione Autoridade de Cer tificação .
c. Expanda CA_Name e selecione Cer tificados Emitidos.
d. No painel direito, selecione o certificado que você deseja revogar.
e. No menu Ação, aponte para Todas as Tarefas e selecione Revogar Cer tificado .
f. Na lista Código motivo, selecione o motivo para revogar o certificado e selecione Sim .
Isso revoga todos os certificados emitidos pela AC que pararam de funcionar corretamente.
2. Publique a lista de revogação de certificado (CRL) na ca mais alta seguinte. Para fazer isso, siga
estas etapas:
a. Entre como administrador no computador que está executando a próxima AC mais alta.
b. Selecione Iniciar , aponte para Programas, aponte para Ferramentas Administrativas e
selecione Autoridade de Cer tificação .
c. Expanda CA_Name e selecione Revogar Cer tificados .
d. No menu Ação, aponte para Todas as Tarefas e selecione Publicar .
e. Selecione Sim para substituir a CRL publicada anteriormente.
3. Se a CA que parou de funcionar corretamente foi publicada nos serviços de diretório do Active
Directory, remova-a. Para remover a CA do Active Directory, siga estas etapas:
a. Iniciar Prompt de Comando.
b. Digite o seguinte e pressione ENTER :
certutil -dsdel CA_Name
4. Remova os Serviços de Certificado do servidor em que a AC parou de funcionar corretamente.
Para fazer isso, siga estas etapas:
a. Selecione Iniciar , aponte para Configurações e selecione Painel de Controle .
b. Clique duas vezes em Adicionar/Remover Programas e selecione Adicionar/Remover
Windows Componentes .
c. Na lista Componentes, clique para limpar a caixa de seleção Serviços de Cer tificado,
selecione Próximo e, em seguida, selecione Concluir .
5. Instalar os Serviços de Certificado. Para fazer isso, siga estas etapas:
a. Selecione Adicionar/Remover Windows Componentes .
b. Na lista Componentes, selecione a caixa de seleção Serviços de Cer tificado, selecione
Próximo e, em seguida, selecione Concluir .
6. Todos os usuários, computadores ou serviços com certificados emitidos pela AC que parou de
funcionar corretamente devem se registrar para certificados da nova AC.
NOTE
Se esse problema ocorrer na CA Raiz da hierarquia PKI (infraestrutura de chave pública) e se o problema não puder ser
reparado, você terá que substituir toda a hierarquia PKI. Para obter mais informações sobre como remover a hierarquia
PKI, consulte How to decommission a Windows enterprise certification authorityand remove all related objects .
Alterar a data de expiração dos certificados
emitidos pela Autoridade de Certificação
Este artigo descreve como alterar o período de validade de um certificado emitido pela Autoridade de
Certificação (CA).
Resumo
Por padrão, o tempo de vida de um certificado emitido por uma AUTORIDADE de Autoridade de Certificação
autônomo é de um ano. Após um ano, o certificado expira e não é confiável para uso. Pode haver situações em
que você precisa substituir a data de expiração padrão para certificados emitidos por uma CA intermediária ou
em emissão.
O período de validade definido no Registro afeta todos os certificados emitidos por CAs autônomos e
Enterprise. Para Enterprise CAs, a configuração padrão do Registro é de dois anos. Para CAs autônomos, a
configuração padrão do Registro é de um ano. Para certificados emitidos por CAs autônomos, o período de
validade é determinado pela entrada do Registro descrita posteriormente neste artigo. Esse valor se aplica a
todos os certificados emitidos pela AC.
Para certificados emitidos por Enterprise CAs, o período de validade é definido no modelo usado para criar o
certificado. Windows 2000 e Windows Server 2003 Edição Standard não suportam modificação desses
modelos. Windows O servidor 2003 Edição Enterprise oferece suporte a modelos de certificado versão 2 que
podem ser modificados. O período de validade definido no modelo se aplica a todos os certificados emitidos
por qualquer Enterprise CA na floresta do Active Directory. Um certificado emitido por uma AC é válido pelo
mínimo dos seguintes períodos de tempo:
O período de validade do Registro que é notado anteriormente neste artigo.
Isso se aplica à AC autônomo e certificados de AC subordinados emitidos pela AC Enterprise.
O período de validade do modelo.
Isso se aplica à ca Enterprise. Modelos suportados pelo Windows 2000 e Windows Server 2003 Edição Standard
não podem ser modificados. Modelos suportados pelo Windows Server Edição Enterprise (modelos de versão
2) suportam modificação.
Para uma Enterprise ca, o período de validade de um certificado emitido é definido como o mínimo de todos os
seguintes:
O período de validade do Registro da AC (por exemplo: ValidityPeriod == Years, ValidityPeriodUnits ==
1)
O período de validade do modelo
O período de validade restante do certificado de assinatura da CA
Se o bit EDITF_ATTRIBUTEENDDATE estiver habilitado no valor do Registro EditFlags do módulo de política, o
período de validade especificado por meio dos atributos de solicitação (ExpirationDate:Date ou
ValidityPeriod:Years\nValidityPeriodUnits:1)
NOTE
A sintaxe ExpirationDate:Date não foi suportada até Windows Server 2008.
Para uma AC autônomo, nenhum modelo é processado. Portanto, o período de validade do modelo não se aplica.
A data de expiração do certificado ca

Uma AC não pode emitir um certificado com um período de validade maior do que seu próprio certificado ca.
NOTE
O nome do atributo Request é feito de pares de cadeias de caracteres de valor que acompanham a solicitação e que
especificam o período de validade. Por padrão, isso é habilitado por uma configuração do Registro somente em uma CA
autônoma.
Alterar a data de expiração dos certificados emitidos pela CA

Para alterar as configurações de período de validade de uma AC, siga estas etapas.
IMPORTANT
problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte How to back up and
restore the Registry in Windows.
1. Clique em Iniciar e em Executar .

2. Na caixa Abrir, digite regedit e clique em OK .
3. Localize e clique na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>
4. No painel direito, clique duas vezes em ValidityPeriod .

5. Na caixa Dados valor, digite um dos seguintes e clique em OK :
Dias
Semanas
Meses
Anos
6. No painel direito, clique duas vezes em ValidityPeriodUnits .
7. Na caixa Dados valor, digite o valor numérico que você deseja e clique em OK . Por exemplo, digite 2.
8. Pare e reinicie o serviço de Serviços de Certificado. Para fazer isso:
a. Clique em Iniciar e em Executar .
b. Na caixa Abrir , digite cmd e clique em OK .
c. No prompt de comando, digite as seguintes linhas. Pressione ENTER após cada linha.
net stop certsvc
net start certsvc
d. Digite exit to quit Command Prompt.

Falhas de backup do DPAPI MasterKey quando o
RWDC não está disponível
Este artigo fornece uma solução para resolver falhas de backup do DPAPI MasterKey que ocorrem quando o
RWDC não está disponível.
Aplica-se a: Windows 10, versão 1809, Windows Server 2012 R2, Windows Server 2016, Windows Server
2019
Sintomas
O comportamento a seguir ocorre no Windows 8.1 e Windows Server 2012 R2 após instalar o MS14-066,
KB2992611, KB3000850 ou atualizações mais novas que incluem essas correções.
O mesmo comportamento também ocorre em todas as versões de Windows 10 e versões posteriores
Windows. Os usuários de domínio que fizerem logon pela primeira vez em um novo computador em um site
que é atendido por um controlador de domínio somente leitura (RODC) experimentam os seguintes erros e
problemas.
Problemas genéricos
1. A abertura do Gerenciador de Credenciais falha com um erro 0x80090345, que mapeia para o seguinte:
H EX DEC IM A L SIM B Ó L IC O A M IGÁVEL
0x80090345 -2146892987 SEC_E_DELEGATION_REQ A operação solicitada não

UIRED pode ser concluída. O
computador deve ser
confiável para delegação e
a conta de usuário atual
deve ser configurada para
permitir a delegação.
2. Salvar uma senha RDP falha sem nenhum erro aparente.

3. As alterações de senha levam mais tempo do que o esperado para ser concluída.
4. O Explorer trava quando você está criptografando um arquivo.
5. Em Office e Office 365, a adição de uma nova conta no Windows Live Mail 2012 falha com o erro
0x80090345.
6. Outlook criação de perfil falhará com o seguinte erro:
Uma conexão criptografada com seu servidor de email não está disponível.
7. Entrar no Lync e Skype trava ou experimenta um longo atraso durante o estágio "Contacting server and
signing in".
8. SQL falha ao iniciar em uma conta de domínio e dispara o seguinte erro:
Não é possível inicializar a criptografia SSL porque não foi possível encontrar um certificado válido e
não é possível criar um certificado auto-assinado.
9. SQL Server instalação falhará com o seguinte erro:
Error(s): SQL configuração de servidor encontrou o seguinte erro: "gerando o código de erro do
documento XML 0x8410001.
10. Os usuários de domínio não podem gerenciar SQL bancos de dados a partir de SMSS. (SQL Server
Management Studio). Esse problema ocorre quando o banco de dados é navegado de SSMS nome
DataBasesCustomerDatabaseTablesTable. -> -> ->
Se você clicar com o botão direito do mouse na tabela e selecionar Design , ocorrerá o seguinte erro:
A operação solicitada não pode ser concluída. O computador deve ser confiável para delegação e a
conta de usuário atual deve ser configurada para permitir a delegação. Essa exceção se originou
System_Security_ni! System.Security.Cryptography.ProtectedData.Protect(Byte[], Byte[],
System.Security.Cryptography.DataProtectionScope)."
11. A instalação wap do ADFS falha ao criar um certificado auto-assinado e dispara o seguinte erro:
Exceção: ocorreu um erro ao tentar criar o certificado de confiança de proxy.
12. A instalação do ADLDS em um site coberto somente RODC falha com o seguinte erro:
Digite um usuário e senha válidos para a conta de serviço selecionada
a. Nessa situação, o AdamInstall.log mostra o seguinte:
adamsetup D20.10F8 0255 15:30:22.002 Enter GetServiceAccountError

adamsetup D20.10F8 0256 15:30:22.002 Digite um nome de usuário válido e uma senha para
a conta de serviço selecionada.
adamsetup D20.10F8 0257 15:30:22.002 ADAMERR_SERVICE_INVALID_CREDS
b. Um rastreamento de rede de exemplo feito durante a falha mostra que o ADLDS está enviando
uma senha incorreta e a solicitação TGT Kerberos falha com KDC_ERR_PREAUTH_FAILED:
O RIGEM DEST IN O P ROTO C O LO DESC RIÇ Ã O
ADLDS RODC KerberosV5 AS Request Cname:

Realm ADLDSSvc:
CONTOSO Sname:
krbtgt/contoso
{TCP:375, IPv4:7}
RODC ADLDS KerberosV5 KerberosV5:KRB_ERROR

-
KDC_ERR_PREAUTH_FAI
LED (24) {TCP:376,
IPv4:7}
c. A ID do Evento 4625 está registrada no log de segurança do servidor ADLDS, da seguinte forma:
ID do Evento: 4625
Palavras-chave: Falha de auditoria
Descrição: falha ao fazer logoff de uma conta.
..
Informações de falha:
Motivo da falha: nome de usuário desconhecido ou senha incorreta.
Status: 0xC000006D
Sub Status: 0xC000006A
..
Informações do processo:
Nome do processo de chamada: C:\Windows\ADAM\adaminstall.exe
Onde o status Status e Sub se traduz para:
0xc000006a -1073741718 STATUS_WRONG_PASS Ao tentar atualizar uma

WORD senha, esse status de
retorno indica que o
valor fornecido como
senha atual não está
correto.
0xc000006d -1073741715 STATUS_LOGON_FAILUR A tentativa de logon é

E inválida. Isso ocorre
devido a um nome de
usuário ou informações
de autenticação ruins.
Em todos os casos, o NETLOGON. O LOG mostra a solicitação DsGetDcName fazendo chamadas

para controladores de domínio writable:
[MISC] [3736] Função DsGetDcName chamada: cliente PID=568, Dom:VS Acct:(null)

Sinalizadores: DS WRITABLE NETBIOS RET_DNS
[CRÍTICO] [3736] NetpDcMatchResponse: CON-DC4: CONTOSO.COM .: O respondente não é um
servidor writable.
[MISC] [2600] A função DsGetDcName retorna 1355 (cliente PID=564): Dom:VS Acct:(null)
Sinalizadores: FORCE DS WRITABLE NETBIOS RET_DNS
Onde:
0x54b 1355 ERROR_NO_SUCH_DO O domínio especificado

MAIN não existe ou não pôde
ser contatado.
Motivo
Quando um usuário faz logona em um computador pela primeira vez e tenta criptografar dados pela primeira
vez, o sistema operacional deve criar uma MasterKey DPAPI preferida, que se baseia na senha atual do usuário.
Durante a criação do MasterKey de DPAPI, uma tentativa é feita para fazer o back-up dessa chave mestra
contatando um RWDC. Se o backup falhar, o MasterKey não poderá ser criado e 0x80090345 erro será
retornado.
Essa falha é um novo comportamento, que foi introduzido pelo KB2992611. Em sistemas operacionais mais
antigos e em sistemas que não têm o KB2992611 instalado, se o cliente não contatar um RWDC durante o
backup do MasterKey, a criação da chave mestra ainda será permitida e um backup local será criado.
Ou seja, o comportamento herdado executa um backup local da chave mestra se nenhum RWDC estiver
disponível.
Consistente com o resumo de design de que os RODCs não armazenam segredos, os RODCs não armazenam
ou lidam com o backup do MasterKey. Portanto, em sites onde nenhum RWDC está disponível, os problemas
descritos na seção "Sintomas" podem ocorrer.
NOTE
Quando uma chave mestra preferencial existe, mas expirou (caso de senha expirada), uma tentativa de gerar uma nova
chave mestra é feita. Se não for possível criar um backup de domínio da nova chave mestra, o cliente retornará à antiga e
o comportamento descrito na seção "Sintomas" não ocorrerá.
O problema ocorre somente se não houver Nenhuma MasterKey presente e quando o usuário não tiver
conectado ao computador antes.
Resolução
1. Verifique se as estações de trabalho e servidores ingressados no domínio em que o problema ocorre têm
acesso a RWDCs.
Execute a seguinte linha de comando para verificar se um RWDC existe e está em um estado saudável:
nltest /dsgetdc:<domain> /writable [/force]
Use NETLOGON. LOG e um rastreamento de rede com os exemplos de log fornecidos neste artigo para
verificar a resolução de nomes e a conectividade com um RWDC.
Para determinar se você está enfrentando esse problema, tente abrir o CREDMAN no Painel de Controle.
Se a tentativa falhar com um erro 0x80090345, você verificou isso.
2. Se possível, leve o computador para um site onde existe um RWDC e faça logon lá pela primeira vez.
Depois disso, a DPAPI MasterKey será criada e o problema será resolvido.
3. Se você não tiver acesso a um RWDC e se o usuário não estiver roaming entre máquinas, a seguinte
entrada do Registro poderá ser usada para resolver o problema.
Definir esse valor como 1 faz com que as chaves mestras DPAPI sejam respaldadas localmente em vez de
usar um backup de domínio. Além disso, quaisquer chaves criadas anteriormente não disparam
chamadas para um controlador de domínio writable, exceto em casos limitados, conforme explicado a
seguir. Essa configuração do Registro se aplica somente a contas de domínio. As contas locais sempre
usam backups locais.
H K EY _LO C A L _M A C H IN E\ SO F T WA RE\ M IC RO SO F T \ C RY P T
O GRA P H Y \ P ROT EC T \ P RO VIDERS\ DF 9D8C D0- 1501- 11D1-
C A M IN H O 8C 7A - 00C 04F C 297EB
Configuração ProtectionPolicy
Tipo de dados DWORD
Valor 1
Reinicialização do sistema operacional solicitada Sim

H K EY _LO C A L _M A C H IN E\ SO F T WA RE\ M IC RO SO F T \ C RY P T
O GRA P H Y \ P ROT EC T \ P RO VIDERS\ DF 9D8C D0- 1501- 11D1-
C A M IN H O 8C 7A - 00C 04F C 297EB
Obser vações SO
WARNING
Não use essa chave do Registro se os usuários de domínio fizerem logon em mais de um computador! Como as chaves
são respaldadas localmente, qualquer alteração de senha não local pode disparar uma situação na qual todas as chaves
mestras DPAPI são empacotadas usando a senha antiga e, em seguida, a recuperação de domínio não é possível. Essa
chave do Registro deve ser definida somente em um ambiente no qual a perda de dados é aceitável.
Mais informações
TÓ P IC O DETA L H ES
Windows Proteção de Dados Windows Proteção de Dados
Backup e restauração de chaves no DPAPI

Quando um computador é membro de um domínio, o
DPAPI tem um mecanismo de backup para permitir a
desproteção dos dados. Quando um MasterKey é gerado, o
DPAPI conversa com um Controlador de Domínio. Os
Controladores de Domínio têm um par de chaves
públicas/privadas em todo o domínio, associados
exclusivamente ao DPAPI. O cliente DPAPI local obtém a
chave pública do controlador de domínio de um controlador
de domínio usando uma chamada RPC mutuamente
autenticada e protegida por privacidade. O cliente
criptografa o MasterKey com a chave pública do controlador
de domínio. Em seguida, armazena esse MasterKey de
backup juntamente com o MasterKey protegido pela senha
do usuário. Ao desproteger dados, se o DPAPI não puder
usar o MasterKey protegido pela senha do usuário, ele envia
o MasterKey de backup para um Controlador de Domínio
usando uma chamada RPC mutuamente autenticada e
protegida por privacidade. Em seguida, o controlador de
domínio descriptografa o MasterKey com sua chave privada
e o envia de volta para o cliente usando a mesma chamada
RPC protegida. Essa chamada RPC protegida é usada para
garantir que ninguém que escuta na rede possa obter o
MasterKey.
Considerações sobre posicionamento rodc Considerações sobre posicionamento rodc
KB vinculado que altera o comportamento/inicia esse Rolagem de atualizações de novembro de 2014 para
problema. Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2
(KB3000850)
TÓ P IC O DETA L H ES
Documento do Protocolo Remoto de Chave de Backup Apêndice B: Comportamento do Produto

Executando Client-Side quebra de segredos
Um servidor de Protocolo Remoto BackupKey na verdade

não executa o backup remoto de segredos. Em vez disso, o
servidor quebra cada segredo e o retorna ao cliente. O
cliente é responsável por armazenar o segredo até que seja
necessário novamente, quando o cliente pode solicitar que o
servidor desembrulha o segredo
Consulte 3.1.4.1.3
BACKUPKEY_RETRIEVE_BACKUP_KEY_GUID
Como exportar o certificado de autoridade de
certificação raiz
Este artigo descreve como exportar o Certificado de Autoridade de Certificação Raiz.

Dicas
1. Solicitando o Certificado de Autoridade de Certificação Raiz usando a linha de comando:
a. faça logon no servidor da Autoridade de Certificação Raiz com a Conta Administrador.
b. Vá para Star tRun > . Insira o cmd de texto e selecione Enter .
c. Para exportar o servidor da Autoridade de Certificação Raiz para um novo nome de arquivo
ca_name.cer , digite:
certutil -ca.cert ca_name.cer
2. Solicitando o certificado de autoridade de certificação raiz do site de registro da Web:

a. Faça logon no Site de Registro na Web da Autoridade de Certificação Raiz.
Normalmente, o Site de Registro da Web reside nos seguintes links:
<ip_address>http:///certsrv
ou
<fqdn>http:///certsrv
ip_address = IP do servidor da autoridade de certificação raiz.
fqdn = Nome de domínio totalmente qualificado do Servidor de Autoridade de Certificação Raiz.
b. Selecione Baixar um cer tificado de autoridade de cer tificação, cadeia de cer tificados ou
CRL .
c. Selecione Baixar cer tificado de autoridade de cer tificação .
d. Salve o arquivo "cer tnew.cer " no armazenamento de disco local.
Aviso de isenção de responsabilidade por conteúdo de soluções da comunidade
A Microsoft Corporation e/ou seus respectivos fornecedores não fazem garantias sobre a adequação,
confiabilidade ou precisão das informações e das imagens relacionadas aqui contidas. Todas essas informações
e imagens relacionadas são fornecidas "no estado em que se encontram" sem garantia de qualquer tipo. A
Microsoft e/ou seus respectivos fornecedores, pelo presente, renunciam todas as garantias e condições com
relação a essas informações e imagens relacionadas, incluindo todas as garantias implícitas e condições de
comerciabilidade, adequação para uma finalidade específica, esforço de trabalho, posse e não violação. Você
especificamente concorda que em nenhuma circunstância a Microsoft e/ou seus fornecedores serão
responsabilizados por quaisquer danos diretos, indiretos, punitivos, incidentais, especiais, consequenciais ou
quaisquer outros incluindo, sem limitação a, danos por perda de uso, dados ou lucros resultantes de ou de
alguma forma relacionados com o uso de ou incapacidade de usar as informações e imagens relacionadas
contidas neste documento, sejam eles baseados em contrato, ato ilícito, negligência, responsabilidade estrita ou
outros, mesmo que a Microsoft ou qualquer um dos seus fornecedores tenha sido avisada sobre a possibilidade
de tais danos.
Como encontrar o nome do servidor Enterprise
Autoridade de Certificação Raiz
Este artigo ajuda você a encontrar o nome do Enterprise autoridade de certificação raiz (CA).
Resumo
O conteúdo a seguir descreve duas opções para encontrar o nome do servidor Enterprise Autoridade de
Certificação Raiz.
Opção 1
1. Entre usando o administrador de domínio no computador que se conecta ao domínio.
2. Vá para Iniciar -> Executar -> Gravar cmd e pressione o botão Enter.
3. Escreva o comando "cer tutil.exe " e pressione o botão Enter.
Opção 2
1. Entre usando o administrador de domínio no computador que se conecta ao domínio.
2. Instalar Windows Ferramentas de Suporte.
3. Vá para Iniciar -> Executar -> Gravar adsiedit.msc e pressione o botão Enter.
4. Navegue até:
CN=Autoridades de Certificação,CN=Chave Pública
Services,CN=Services,CN=Configuration,DC=ntdomain,DC=com
Em Autoridades de Cer tificação, você encontrará seu servidor Enterprise Autoridade de Certificação
Raiz.
de tais danos.
Reinstalar a função ca no Windows Server 2012
Essentials
Este artigo descreve como desinstalar e reinstalar a função autoridade de certificação (CA) no Windows Server
2012 Essentials.
Desinstalar a função de servidor ca

1. No Gerenciador de Servidores, clique em Gerenciar e, em seguida, clique em Remover Funções e
Recursos.
2. Na página Antes de começar , clique em Seguinte .
3. Na página Selecionar ser vidor de destino, selecione o servidor no pool de servidores e clique em
Próximo .
4. Na página Remover funções de ser vidor, expanda Os Ser viços de Certificado do Active Directory,
desempure a caixa de seleção Registro da Web da Autoridade de Certificação e clique em Próximo .
5. Na página Remover recursos , clique em Avançar .
6. Na página Confirmar seleções de remoção, verifique as informações e clique em Remover .
7. Clique em Fechar depois que a remoção for concluída.
8. Repita as etapas 1 a 3.
9. Na página Remover funções de ser vidor, clique para limpar a caixa de seleção Serviços de Certificado
do Active Director y.
NOTE
Quando você for solicitado a remover As Ferramentas de Administração do Ser vidor Remoto, clique em
Remover Recursos e clique em Próximo.
10. Na página Remover recursos , clique em Avançar .

11. Na página Confirmar seleções de remoção, verifique as informações e clique em Remover .
12. Depois que a remoção for concluída, clique em Fechar e reinicie o servidor.
Reinstalar a função de servidor ca

1. No Gerenciador de Servidores, clique em Gerenciar e, em seguida, clique em Adicionar Funções e
Recursos.
2. Na página Antes de começar, clique em Próximo .
3. Na página Selecionar tipo de instalação, clique em Instalação baseada em função ou recurso e clique
em Próximo .
4. Na página Selecionar ser vidor de destino, selecione o servidor no pool de servidores e clique em
Próximo .
5. Na página Selecionar funções de ser vidor, clique na função Ser viços de Cer tificado do Active
Director y.
6. Quando você for solicitado a instalar As Ferramentas de Administração do Ser vidor Remoto, clique em
Adicionar Recursos e clique em Próximo.
7. Na página Selecionar recursos, clique em Próximo .
8. Na página Ser viços de Cer tificado do Active Director y, clique em Próximo .
9. Na página Selecionar ser viços de função, selecione Autoridade de Certificação e Registro da Web
da Autoridade de Certificação e clique em Próximo .
10. Na página Confirmar seleções de instalação, verifique as informações e clique em Instalar .
11. Aguarde o final da instalação. Depois que a instalação for concluída, clique no link Configurar Serviços de
Cer tificado do Active Director y no link do servidor de destino.
12. Na página Credenciais, clique em Próximo .
NOTE
Você pode alterar as credenciais se for necessário.
13. Na página Ser viços de Função, selecione Autoridade de Certificação e Registro da Web da
Autoridade de Certificação e clique em Próximo .
14. Na página Tipo de Instalação, clique Enterprise CA e clique em Próximo .
15. Na página Tipo de AC, clique em AC Raiz e clique em Próximo .
16. Na página Chave Privada, clique em Usar chave privada existente, clique em Selecionar um certificado
e use sua chave privada associada e clique em Próximo.
17. Na página Cer tificado Existente, selecione o certificado <Ser ver_Name> -CA e clique em Próximo .
NOTE
<Ser ver_Name> é o nome do servidor de destino.
18. Na página Banco de Dados de CA, aceite os locais padrão e clique em Próximo .
19. Na página Confirmação, confirme suas seleções e clique em Configurar .
20. Quando a configuração estiver concluída, clique em Fechar .
Verifique a instalação
1. No Gerenciador de Servidores, clique em Ferramentas e, em seguida, clique em Autoridade de
Cer tificação .
2. Clique com o botão direito do mouse no nome da AC e clique em Propriedades .
3. Na caixa de diálogo Propriedades, clique na guia Extensões.
4. Na lista exibida, clique em http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl .
5. Certifique-se de que as seguintes opções estão selecionadas:
Inclua em CRLs. Os clientes usam isso para encontrar locais de CRL Delta.
Inclua na extensão CDP de cer tificados emitidos.
6. Clique em OK para salvar suas alterações.
7. Quando for solicitado a reiniciar os Serviços de Certificado do Active Directory, clique em Sim .
8. Feche o console da Autoridade de Certificação.
Adicionar um modelo de certificado à CA

1. No Gerenciador de Servidores, clique em Ferramentas e, em seguida, clique em Autoridade de
Cer tificação .
2. Clique duas vezes no nome da AC para expandir o item.
3. Right-Click modelos de cer tificado, clique em Novo e clique em Modelo de Cer tificado para Emitir .
4. Na lista, clique em Windows Modelo de Certificado do Computador de Soluções do Servidor e clique em
OK .
5. Feche o console da Autoridade de Certificação.
Adicionar o servidor e os clientes ao Painel

1. Abra uma janela prompt de comando como administrador.
2. Digite cd "\Program Files\Windows Server\Bin" e pressione a tecla Enter.
3. Digite WssPowerShell.exe e pressione a tecla Enter.
4. Digite Add-WssLocalMachineCert e pressione a tecla Enter.
5. Reinicialize o servidor.
6. Execute a instalação do conector em todos os computadores cliente.
Vincular o certificado aos sites Serviços de Informações da Internet (IIS )
1. Abra o Gerenciador do IIS.
2. Escolha todos os sites que usam os certificados de máquina antigos e substitua-os usando os novos
certificados.
Como remover manualmente Enterprise Windows
Autoridade de Certificação de um domínio
Windows 2000/2003
Este artigo foi escrito por Yuval Sinay, Microsoft MVP.

Sintomas
Em algumas organizações, há procedimentos de backup regulares para Enterprise Windows Autoridade de
Certificação. Se houver um problema de servidor (software/hardware), talvez seja necessário reinstalar a
autoridade Enterprise Windows Certificado. Antes de reinstalar Enterprise Windows Autoridade de Certificação,
talvez seja necessário excluir manualmente objetos e dados que pertencem ao Enterprise Windows original e
residir no Windows Active Directory.
Motivo
Enterprise Windows Autoridade de Certificação salva as configurações e os dados no Windows Active Directory.
Solução
R. Backup:
É recomendável fazer o back up de todos os nós que contêm dados relacionados ao Active Directory antes e
depois de seguir este procedimento, incluindo:
Windows Controladores de Domínio
Exchange Servidores
Conector do Active Directory
Windows Servidor com Serviços para Unix
Isa Server Enterprise
Enterprise Windows Autoridade de Certificação
Use o procedimento a seguir como último recurso. Ele pode afetar seu ambiente de produção e pode exigir a
reinicialização de alguns nós/serviços.
B. Active Director y Clean:
NOTE
Faça logoff no sistema com uma conta que tenha as permissões abaixo:
1. Administrador Corporativo
2. Administrador do Domínio
3. Administrador de Autoridade de Certificado
4. Administrador de Esquema (O servidor que funciona como FSMO Mestre de Esquema deve estar online durante o
processo).
Para remover todos os objetos dos Serviços de Certificação do Active Directory:

1. Inicie "Sites e Ser viços do Active Director y ".
2. Selecione a opção de menu "Exibir " e selecione Nó "Mostrar Ser viços ".
3. Expanda os "Ser viços ", e expanda "Ser viços de Chave Pública ".
4. Selecione o nó "AIA ".
5. No painel à direita, localize o objeto "cer tificateAuthority " para sua Autoridade de Certificação. Exclua
o objeto.
6. Selecione o nó "CDP ".
7. No painel direito, localize o objeto Container para o servidor onde os Serviços de Certificação estão
instalados. Exclua o contêiner e os objetos que ele contém.
8. Selecione o nó " Autoridades de Cer tificação ".
9. No painel à direita, localize o objeto "cer tificateAuthority " para sua Autoridade de Certificação. Exclua
o objeto.
10. Selecione o nó "Ser viços de Registro ".
11. No painel à direita, verifique se o objeto "pKIEnrollmentSer vice " para sua Autoridade de Certificação,
exclua-o.
12. Selecione o nó "Modelos de Certificado ".
13. No painel à direita, exclua todos os Modelos de Certificado.
NOTE
Exclua todos os Modelos de Certificado somente se nenhuma outra Enterprise CAs estiver instalada na floresta. Se
os modelos são excluídos inadvertidamente, restaure os modelos do backup.
14. Selecione o nó " Serviços de chave pública " e localize o objeto "NTAuthCer tificates ".
15. Se não houver outras Enterprise ou CAs autônomos instaladas na floresta, exclua o objeto, caso contrário,
deixe-o em paz.
16. Use o comando "Sites e Ser viços do Active Directory " ou " do kit de recursos Windows para forçar a
replicação para os outros controladores de domínio no Repadmin domínio/floresta.
Limpeza do controlador de domínio
Depois que a AC for removida, os certificados que foram emitidos para todos os controladores de domínio
precisam ser removidos. Isso pode ser feito facilmente usando DSSTORE.EXE do Kit de Recursos:
Você também pode remover certificados antigos de controlador de domínio usando certutil o comando:
1. No prompt de comando em um controlador de domínio, digite: certutil -dcinfo deleteBad .
2. Certutil.exe tentará validar todos os certificados DC emitidos para os controladores de domínio.
Certificados que não são validados serão removidos. Neste ponto, você pode reinstalar os Serviços de
Certificado. Depois que a instalação for concluída, o novo certificado raiz será publicado no Active
Directory. Quando o domínio
os clientes atualizem sua política de segurança, eles baixarão automaticamente o novo certificado raiz em
seus armazenamentos raiz confiáveis. o force application of the security policy.
3. No prompt de comando, digite gpupdate /target: computer .
NOTE
Se a Autoridade de Certificação Enterprise Windows publicou o certificado de computador/usuário ou outros tipos
de certificados (Certificado do Servidor Web e assim por diante), é recomendável remover os certificados antigos
antes de reinstalar o certificado Enterprise Windows.
Mais informações
de tais danos.
Como mover uma autoridade de certificação para
outro servidor
Este artigo descreve como mover uma AC (autoridade de certificação) para um servidor diferente.
Aplica-se a: Windows Server 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2,
Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows
Server 2022
NOTE
Este artigo se aplica ao Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows
Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022. O suporte
para Windows 2000 terminou em 13 de julho de 2010. O Windows de Soluções de Fim de Suporte 2000 é um ponto de
partida para planejar sua estratégia de migração do Windows 2000. O suporte para Windows 2008 e 2008 R2 terminou
em 14 de janeiro de 2020. Para obter mais informações, consulte a política Suporte da Microsoft ciclo de vida.
Resumo
As autoridades de certificação (ACs) são o componente central da PKI (infraestrutura de chave pública) de uma
organização. As ACs são configuradas para existir por muitos anos ou décadas, durante o qual o hardware que
hospeda a AC provavelmente será atualizado.
NOTE
Para mover uma AC de um servidor que esteja executando o Windows 2000 Server para um servidor que esteja
executando o Windows Server 2003, primeiro atualize o servidor de AC que está executando o Windows 2000 Server
para o Windows Server 2003. Em seguida, você pode seguir as etapas descritas neste artigo.
Verifique se o %Systemroot% do servidor de destino corresponde ao %Systemroot% do servidor do qual o

backup de estado do sistema é feito.
Você deve alterar o caminho dos arquivos de AUTORIDADE de Certificação ao instalar os componentes do
servidor de AC para que eles correspondam ao local do backup. Por exemplo, se você fazer backup da pasta
D:\Winnt\System32\Certlog , deverá restaurar o backup para a pasta D:\Winnt\System32\Certlog . Não é
possível restaurar o backup para a pasta C:\Winnt\System32\Certlog . Depois de restaurar o backup, você pode
mover os arquivos de banco de dados da AC para o local padrão.
Se você tentar restaurar o backup e o %Systemroot% do backup e o servidor de destino não corresponderem,
você poderá receber a seguinte mensagem de erro:
A restauração de uma imagem incremental não pode ser executada antes de executar a restauração de uma
imagem completa. O nome do diretório é inválido. 0x8007010b (WIN32/HTTP:267)
Mover os Serviços de Certificados de um sistema operacional de 32 bits para um sistema operacional de 64 bits
ou vice-versa pode falhar com uma das seguintes mensagens de erro:
Os dados esperados não existem neste diretório.
A restauração da imagem incremental não pode ser executada antes de executar a restauração de uma
imagem 0x8007010b completa (WIN32/HTTP:267)
As alterações de formato de banco de dados da versão de 32 bits para a versão de 64 bits causam
incompatibilidades e a restauração é bloqueada. Isso se assemelha à mudança do Windows 2000 para o
Windows Server 2003 CA. No entanto, não há nenhum caminho de atualização de uma versão de 32 bits do
Windows Server 2003 para uma versão de 64 bits. Portanto, você não pode mover um banco de dados de 32
bits existente para um banco de dados de 64 bits em um computador Windows Server 2003. No entanto, você
pode atualizar da AC do Windows Server 2003 (em execução no Windows Server 2003 x86) para a AC do
Windows Server 2008 R2 (em execução no Windows Server 2008 R2 x64). Há suporte para essa atualização.
Uma versão baseada em x64 do Windows Server 2003 R2 CD2 atualiza apenas versões de 64 bits do Windows
Server 2003 baseadas na arquitetura EM64T ou na arquitetura AMD64.
Fazer backup e restaurar as chaves e o banco de dados da autoridade

de certificação
IMPORTANT
problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o
registro no Windows.
1. Observe os modelos de certificado configurados na pasta Modelos de Certificado no snap-in autoridade

de certificação. As configurações de Modelos de Certificado são armazenadas no Active Directory. Eles
não são copiados automaticamente em backup. Você deve definir manualmente as configurações de
Modelos de Certificado na nova AC para manter o mesmo conjunto de modelos.
NOTE
A pasta Modelos de Certificado existe somente em uma AC corporativa. As ACs autônomas não usam modelos de
certificado. Portanto, essa etapa não se aplica a uma AC autônoma.
2. Use o snap-in da Autoridade de Certificação para fazer backup do banco de dados de AC e da chave
privada. Para fazer isso, siga estas etapas:
a. No snap-in autoridade de certificação, clique com o botão direito do mouse no nome da AC, clique em
Todas as Tarefas e, em seguida, clique em Fazer Backup da AC para iniciar o Assistente de Backup
Autoridade de Certificação.
b. Clique em Avançar e, em seguida, clique em Chave privada e cer tificado de autoridade de
cer tificação .
c. Clique no banco de dados de cer tificado e no log do banco de dados de cer tificado .
d. Use uma pasta vazia como o local de backup. Verifique se a pasta de backup pode ser acessada pelo
novo servidor.
e. Clique em Avançar . Se a pasta de backup especificada não existir, o Assistente de Backup de
Certificação a criará.
f. Digite e confirme uma senha para o arquivo de backup de chave privada da AC.
g. Clique em Avançar e verifique as configurações de backup. As seguintes configurações devem ser
exibidas:
Chave Privada e Cer tificado de Autoridade de Cer tificação
Log emitido e solicitações pendentes
h. Clique em Concluir .
3. Salve as configurações do Registro para esta AC. Para fazer isso, siga estas etapas:
a. Clique em Iniciar e em Executar , digite regedit na caixa Abrir e clique em OK .
b. Localize e clique com o botão direito do mouse na seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
c. Clique em Expor tar .
d. Salve o arquivo do Registro na pasta de backup da AC que você definiu na etapa 2d.
4. Remova os Serviços de Certificados do servidor antigo.
NOTE
Esta etapa remove objetos do Active Directory. Não execute esta etapa fora de ordem. Se a remoção da AC de
origem for executada após a instalação da AC de destino (etapa 6 nesta seção), a AC de destino se tornará
inutilizável.
5. Renomeie o servidor antigo ou desconecte-o permanentemente da rede.

6. Instale os Serviços de Certificados no novo servidor. Para fazer isso, execute as etapas a seguir.
NOTE
O novo servidor deve ter o mesmo nome do computador que o servidor antigo.
a. No Painel de Controle, clique duas vezes em Adicionar ou Remover Programas .

b. Clique em Adicionar/Remover Windows Componentes **, clique em** Serviços de Certificados
no Assistente Windows Componentes e clique em Avançar .
c. Na caixa de diálogo Tipo de AC, clique no tipo de AC apropriado.
d. Clique em Usar configurações personalizadas para gerar o par de chaves e o cer tificado
de autoridade de cer tificação e clique em Avançar .
e. Clique em Impor tar , digite o caminho do . Arquivo P12 na pasta de backup, digite a senha que você
escolheu na etapa 2f e clique em OK .
f. Na caixa de diálogo Par de Chaves Pública e Privada, verifique se a opção Usar chaves
existentes está marcada.
g. Clique em Avançar duas vezes.
h. Aceite as configurações padrão Configurações Banco de Dados de Certificado, clique em Avançar e,
em seguida, clique em Concluir para concluir a instalação dos Serviços de Certificados.
IMPORTANT
Se o novo servidor tiver um nome de computador diferente , siga estas etapas:
a. No Painel de Controle, clique duas vezes em Adicionar ou Remover Programas .

c. Na caixa de diálogo Tipo de AC, clique no tipo de AC apropriado.
d. Clique em Usar configurações personalizadas para gerar o par de chaves e o cer tificado
de autoridade de cer tificação e clique em Avançar .
e. Clique em Impor tar , digite o caminho do . Arquivo P12 na pasta de backup, digite a senha que você
escolheu na etapa 2f e clique em OK .
f. Na caixa de diálogo Par de Chaves Pública e Privada, verifique se a opção Usar chaves
existentes está marcada.
g. Clique em Avançar duas vezes.
h. Aceite as configurações padrão Configurações Banco de Dados de Certificado, clique em Avançar e,
em seguida, clique em Concluir para concluir a instalação dos Serviços de Certificados.
i. Modifique a chave do Registro exportada anteriormente na etapa 3 da seguinte forma:
a. Clique com o botão direito do mouse na chave exportada.
b. Editar.
c. Substitua o valor CASer verName pelo novo nome do servidor.
d. Salvar e Fechar.
7. Interrompa o serviço de Serviços de Certificados.
8. Localize o arquivo do Registro que você salvou na etapa 3 e clique duas vezes nele para importar as
configurações do Registro. Se o caminho mostrado na exportação do Registro da AC antiga for diferente
do novo caminho, você deverá ajustar a exportação do Registro adequadamente. Por padrão, o novo
caminho é C:\Windows no Windows Server 2003.
9. Use o snap-in da Autoridade de Certificação para restaurar o banco de dados da AC. Para fazer isso, siga
estas etapas:
a. No snap-in autoridade de certificação, clique com o botão direito do mouse no nome da AC, clique
em Todas as Tarefas e, em seguida, clique em Restaurar AC .
O Assistente de Restauração da Autoridade de Certificação é iniciado.
cer tificação .
c. Clique no banco de dados de cer tificado e no log do banco de dados de cer tificado .
d. Digite o local da pasta de backup e clique em Avançar .
e. Verifique as configurações de backup. As configurações de Log Emitido e Solicitações
Pendentes devem ser exibidas.
f. Clique em Concluir e, em seguida, clique em Sim para reiniciar os Serviços de Certificados
quando o banco de dados da AC for restaurado.
Você poderá receber o seguinte erro durante o processo de AC de restauração se a pasta de backup da
AC não estiver no formato correto da estrutura de pastas:
---------------------------
Serviços de Certificados da Microsoft
---------------------------
Os dados esperados não existem neste diretório.
Escolha um diretório diferente. O nome do diretório é inválido. 0x8007010b (WIN32/HTTP: 267)
A estrutura de pastas correta é a seguinte:

C:\Ca_Backup\CA_NAME.p12
C:\Ca_Backup\banco de\dados certbkxp.dat
C:\Ca_Backup\banco de\dados edb#####.log
Banco de Ca_Backup C\:\CA_NAME.edb\
Em que C:\Ca_Backup é a pasta que você escolheu durante a Backup da AC na etapa 2.
10. No snap-in autoridade de certificação, adicione ou remova manualmente modelos de certificado para
duplicar as configurações de Modelos de Certificado que você anobilou na etapa 1.
NOTE
Se você encontrar problemas ao publicar novos Modelos ou personalizados, siga as etapas abaixo.
1. De um Controlador de Domínio dentro da floresta em que você migrou a função de AC para iniciar a
Edição ADSI.
2. Clique com o botão direito do mouse em Editar ADSI -> Conexão para -> Em Selecionar um contexto de
nomenclatura conhecido, escolha Configuração -> OK.
3. Navegue até CN=Configuration | CN=Services | CN=Serviços de Chave Pública | CN=Serviços de Registro.
4. Clique com o botão direito do mouse na AC no painel direito do qual você deseja se registrar e clique em
Propriedades . Localizar o atributo de sinalizadores ; e verifique se ele está definido como 10.
5. Se não estiver, defina-o como 10 e aguarde ou force manualmente a replicação do Active Directory.
6. Feche a Edição ADSI e, no servidor de AC, verifique se agora você pode publicar seus novos modelos.
Fazer backup e restaurar as chaves e o banco de dados da autoridade

de certificação no Windows 2000 Server
IMPORTANT
problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o
registro no Windows.
1. Observe os modelos de certificado configurados na pasta Modelos de Certificado no snap-in autoridade

de certificação. As configurações de Modelos de Certificado são armazenadas no Active Directory. Eles
não são copiados automaticamente em backup. Você deve definir manualmente as configurações de
Modelos de Certificado na nova AC para manter o mesmo conjunto de modelos.
NOTE
A pasta Modelos de Certificado existe somente em uma AC corporativa. As ACs autônomas não usam modelos de
certificado. Portanto, essa etapa não se aplica a uma AC autônoma.
2. Use o snap-in da Autoridade de Certificação para fazer backup do banco de dados de AC e da chave
privada. Para fazer isso, siga estas etapas:
a. No snap-in autoridade de certificação, clique com o botão direito do mouse no nome da AC, clique em
Todas as Tarefas e, em seguida, clique em Fazer Backup da AC para iniciar o Assistente de Backup
Autoridade de Certificação.
cer tificação .
c. Clique no log de cer tificado emitido e na fila de solicitação de cer tificado pendente.
d. Use uma pasta vazia como o local de backup. Verifique se a pasta de backup pode ser acessada pelo
novo servidor.
e. Clique em Avançar . Se a pasta de backup especificada não existir, o Assistente de Backup de
Certificação a criará.
f. Digite e confirme uma senha para o arquivo de backup de chave privada da AC.
g. Clique em Avançar duas vezes e verifique as configurações de backup. As seguintes configurações
devem ser exibidas:
Chave Privada e Cer tificado de Autoridade de Cer tificação
Log emitido e solicitações pendentes
h. Clique em Concluir .
3. Salve as configurações do Registro para esta AC. Para fazer isso, siga estas etapas:
a. Clique em Iniciar e em Executar , digite regedit na caixa Abrir e clique em OK .
b. Localize e clique com o botão direito do mouse na seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
c. Clique em Configuração e, em seguida, clique em Expor tar Arquivo do Registro no menu
Registro .
d. Salve o arquivo do Registro na pasta de backup da AC que você definiu na etapa 2d.
4. Remova os Serviços de Certificados do servidor antigo.
NOTE
Esta etapa remove objetos do Active Directory. Não execute esta etapa fora de ordem. Se a remoção da AC de
origem for executada após a instalação da AC de destino (etapa 6 nesta seção), a AC de destino se tornará
inutilizável.
5. Renomeie o servidor antigo ou desconecte-o permanentemente da rede.

6. Instale os Serviços de Certificados no novo servidor. Para fazer isso, execute as etapas a seguir.
NOTE
O novo servidor deve ter o mesmo nome do computador que o servidor antigo.
a. No Painel de Controle, clique duas vezes em Adicionar/Remover Programas.

c. Na caixa de diálogo Tipo de Autoridade de Certificação, clique no tipo de AC apropriado.
d. Clique em Opções Avançadas e em Avançar .
e. Na caixa de diálogo Par de Chaves Pública e Privada, clique em Usar chaves existentes e, em
seguida, clique em Impor tar .
f. Digite o caminho do . Arquivo P12 na pasta de backup, digite a senha que você escolheu na etapa 2f e
clique em OK .
g. Clique em Avançar , digite uma descrição de AC, se apropriado, e clique em Avançar.
h. Aceite as configurações padrão Armazenamento local de dados, clique em Avançar e, em seguida,
clique em Concluir para concluir a instalação dos Serviços de Certificados.
7. Interrompa o serviço de Serviços de Certificados.
8. Localize o arquivo do Registro que você salvou na etapa 3 e clique duas vezes nele para importar as
configurações do Registro.
9. Use o snap-in da Autoridade de Certificação para restaurar o banco de dados da AC. Para fazer isso, siga
estas etapas:
a. No snap-in autoridade de certificação, clique com o botão direito do mouse no nome da AC, clique
em Todas as Tarefas e, em seguida, clique em Restaurar AC .
O Assistente de Restauração da Autoridade de Certificação é iniciado.
b. Clique em Avançar e, em seguida, clique em Log de cer tificado emitido e na fila de
solicitação de cer tificado pendente .
c. Digite o local da pasta de backup e clique em Avançar .
d. Verifique as configurações de backup. As seguintes configurações devem ser exibidas:
Log Emitido
Solicitações Pendentes
e. Clique em Concluir e, em seguida, clique em Sim para reiniciar os Serviços de Certificados
quando o banco de dados da AC for restaurado.
10. No snap-in autoridade de certificação, adicione ou remova manualmente modelos de certificado para
duplicar as configurações de Modelos de Certificado que você anobilou na etapa 1.
Mais informações
Para obter mais informações sobre cenários de atualização e migração para o Windows Server 2003 e o
Windows Server 2008, consulte o white paper "Guia de Atualização e Migração dos Serviços de Certificados do
Active Directory". Para ver o white paper, consulte o Guia de Atualização e Migração dos Serviços de
Certificados do Active Directory.
Mover o banco de dados e os arquivos de log do
Servidor de Certificados
Este artigo descreve como mover o banco de dados e os arquivos de log de um servidor de certificados.
IMPORTANT
Este artigo contém informações sobre como modificar o Registro. Antes de modificar o Registro, certifique-se de fazer
backup e certifique-se de entender como restaurar o Registro se ocorrer um problema. Para obter informações sobre
como fazer backup, restaurar e editar o Registro, clique no seguinte número de artigo para exibir o artigo na Base de
Dados de Conhecimento da Microsoft:
256986 Descrição do Registro microsoft Windows
Mover o banco de dados do servidor de certificados e arquivos de log

WARNING
Se você usar o Editor do Registro incorretamente, poderá causar sérios problemas que podem exigir que você reinstale
seu sistema operacional. A Microsoft não pode garantir que você possa resolver problemas resultantes do uso incorreto
do Editor do Registro. Use o Editor do Registro por sua conta e risco.
Use estas etapas para alterar o local do banco de dados do servidor de certificados e arquivos de log:
1. Pare o serviço de Serviços de Certificado.
2. Copie os arquivos de banco de dados e os arquivos de log para um novo local. O caminho padrão do
banco de dados é: %SystemRoot%\System32\CertLog
3. Modifique os caminhos do banco de dados nas seguintes entradas do Registro para refletir o novo
caminho:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBDirectory
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBLogDirectory
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBSystemDirectory
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\DBTempDirectory
4. Inicie o serviço de Serviços de Certificado.

5. Verifique o log de eventos application do evento CertSvc 26 para verificar se o serviço de Serviços de
Certificados foi iniciado com êxito. Uma mensagem de aviso será exibida se o serviço não começar com
êxito. Se isso ocorrer, verifique a sintaxe dos caminhos no Registro.
Talvez seja necessário editar as permissões NTFS para conceder permissões de Controle Total à conta do
Sistema. Por padrão, a conta system e os grupos Administradores e Enterprise administradores têm acesso de
Controle Total para a pasta CertLog.
Certificados raiz confiáveis necessários
Este artigo lista os certificados raiz confiáveis exigidos pelos Windows operacionais. Esses certificados raiz
confiáveis são necessários para que o sistema operacional seja executado corretamente.
Resumo
Como parte de um procedimento de gerenciamento de confiança de infraestrutura de chave pública (PKI),
alguns administradores podem optar por remover certificados raiz confiáveis de um domínio, servidor ou
cliente baseados em Windows de segurança. No entanto, os certificados raiz listados na seção Certificados raiz
necessários e confiáveis neste artigo são necessários para que o sistema operacional funcione corretamente. A
remoção dos seguintes certificados pode limitar a funcionalidade do sistema operacional ou fazer com que o
computador falhe. Não os remova.
Certificados raiz necessários e confiáveis

Os seguintes certificados são necessários e confiáveis em:
Windows 7
Windows Vista
Windows Server 2008 R2
Windows Server 2008
EM IT IDO N ÚM ERO DE DATA DE F IN A L IDA DES NOME

PA RA EM IT IDO P O R SÉRIE EXP IRA Ç Ã O P RET EN DIDA S A M IGÁVEL STAT US
Autoridade Autoridade 00c1008b3c3 12/31/2020 Tudo Autoridade R

Raiz da Raiz da c8811d13ef6 Raiz da
Microsoft Microsoft 63ecdf40 Microsoft
CA de CA de 00 12/31/2020 Carimbo de CA de R
data/hora de data/hora de Data/Hora data/hora de
descongelar descongelar descongelar
Autoridade Autoridade 79ad16a14aa 5/9/2021 Tudo Autoridade de R

de de 0a5ad4c7358 Certificação
Certificação Certificação f407132e65 Raiz da
Raiz da Raiz da Microsoft
Microsoft Microsoft
Os certificados a seguir são necessários e confiáveis no Windows XP e no Windows Server 2003:

Copyright (c) Copyright (c) 01 12/30/1999 Carimbo de Raiz do R

1997 1997 Data/Hora Microsoft
Microsoft Microsoft Timestamp
Corp. Corp.
Autoridade Autoridade 01 12/31/1999 Email seguro, Raiz do R

Raiz do Raiz do Assinatura de Microsoft
Microsoft Microsoft Código Authenticode(
Authenticode( Authenticode( tm)
tm) tm)

NENHUMA NENHUMA 4a19d2388c8 1/7/2004 Carimbo de CA de R

RESPONSABIL RESPONSABIL 2591ca55d73 Data/Hora Carimbo de
IDADE IDADE 5f155ddca3 Data/Hora de
ACEITA, (c)97 ACEITA, (c)97 VeriSign
VeriSign, Inc. VeriSign, Inc.
CA dos CA dos 03c78f37db9 1/7/2004 Email seguro, CA dos R

Editores de Editores de 228df3cbb1a Assinatura de Editores de
Software Software ad82fa6710 Código Software
Comercial da Comercial da Comercial da
VeriSign VeriSign VeriSign
Autoridade Autoridade 79ad16a14aa 5/9/2021 Tudo Autoridade de R

de de 0a5ad4c7358 Certificação
Certificação Certificação f407132e65 Raiz da
Raiz da Raiz da Microsoft
Microsoft Microsoft
Os certificados a seguir são necessários e confiáveis no Microsoft Windows 2000:

Copyright (c) Copyright (c) 01 12/30/1999 Carimbo de Raiz do R

1997 1997 Data/Hora Microsoft
Microsoft Microsoft Timestamp
Corp. Corp.
Autoridade Autoridade 01 12/31/1999 Email seguro, Raiz do R

Raiz do Raiz do Assinatura de Microsoft
Microsoft Microsoft Código Authenticode(
Authenticode( Authenticode( tm)
tm) tm)

NENHUMA NENHUMA 4a19d2388c8 1/7/2004 Carimbo de CA de R

RESPONSABIL RESPONSABIL 2591ca55d73 Data/Hora Carimbo de
IDADE IDADE 5f155ddca3 Data/Hora de
ACEITA, (c)97 ACEITA, (c)97 VeriSign
VeriSign, Inc. VeriSign, Inc.
CA dos CA dos 03c78f37db9 1/7/2004 Email seguro, CA dos R

Editores de Editores de 228df3cbb1a Assinatura de Editores de
Software Software ad82fa6710 Código Software
Comercial da Comercial da Comercial da
VeriSign VeriSign VeriSign
Alguns certificados listados nas tabelas anteriores expiraram. No entanto, esses certificados são necessários
para compatibilidade com compatibilidade. Mesmo que haja um certificado raiz confiável expirado, qualquer
coisa assinada usando esse certificado antes da data de expiração exige que o certificado raiz confiável seja
validado. Desde que os certificados expirados não sejam revogados, eles podem ser usados para validar
qualquer coisa assinada antes de expirar.
Como definir uma ca Enterprise subordinada para
ter um período de validade de certificado diferente
do que a CA pai
Este artigo descreve como definir uma autoridade de certificação subordinada (CA) corporativa para ter um
período de validade de certificado diferente do da AUTORIDADE pai.
Resumo
Você pode usar as etapas a seguir para dar a uma CA subordinada um período de validação de certificado
diferente do da CA pai. Esse processo é dividido nas três etapas a seguir:
Etapa 1: Definir o período de validação na CA pai. Etapa 2: Instalar a CA subordinada. Etapa 3: definir o tempo de
validação de volta na CA pai.
1. De definir o período de validação na CA pai. Para fazer isso, use os seguintes comandos para definir o
período de validação desejado na CA pai que emitirá o certificado da CA subordinada:
certutil -setreg ca\ValidityPeriod "Weeks"

certutil -setreg ca\ValidityPeriodUnits "3"
2. Instale a CA subordinada. Certifique-se de usar a CA pai usada na etapa 1.

3. Redefinir o período de validação na AC pai que emitiu o certificado da CA subordinada (por exemplo, "2
anos", que é o valor padrão). Para fazer isso, use os seguintes comandos:
certutil -setreg ca\ValidityPeriod "Years"

certutil -setreg ca\ValidityPeriodUnits "2"
NOTE
Se você executar na CA subordinada, tanto a propriedade ValidityPeriod quanto a propriedade ValidityPeriodUnits
ainda serão sincronizadas com a CA pai, mesmo que o certificado de AC subordinado seja válido apenas por três
certutil -getreg ca\val* semanas.
Como configurar a autenticação baseada em
certificados entre florestas sem confiança para um
servidor Web
Este artigo descreve como configurar um servidor Web para usar cartões inteligentes para autenticação
baseada em certificado entre florestas quando as florestas do usuário e a floresta de recursos não confiarem um
no outro.
Configuração do ambiente
Considere um ambiente que usa a seguinte configuração:
Uma floresta de usuários chamada Contoso.com .
Uma floresta de recursos chamada Fabrikam.com . A floresta foi Tailspintoys.com adicionada como um UPN
(User Principal Name) alternativo.
Não há confiança entre as duas florestas.
Os cartões inteligentes do usuário usam certificados que têm entradas SAN (Subject Alternative Name) do
formato user@tailspintoys.com .
Um servidor Web do IIS configurado para Autenticação Baseada em Certificado do Active Directory.
Configure o Active Directory e o servidor Web conforme descrito nos procedimentos a seguir.
Configurar o Active Directory

Para configurar a floresta de recursos para autenticar cartões inteligentes, siga estas etapas:
1. Certifique-se de que um Certificado de Autenticação Kerberos que tenha um EKU (Uso estendido de
chave de Autenticação KDC) tenha sido emitido para os controladores de domínio.
2. Certifique-se de que o certificado da AC de emissão do certificado do usuário está instalado no
Enterprise NTAUTH.
Para publicar o certificado de AC de emissão no domínio, execute o seguinte comando em um prompt de
comando:
certutil -dspublish -f <filename> NTAUTHCA
Neste comando, representa o nome do arquivo de certificado <filename> ca, que tem uma extensão .cer.
3. Os usuários devem ter contas que usam o UPN alternativo da floresta de recursos.
Para configurar a floresta do usuário, siga estas etapas:
1. Certifique-se de que você tenha Logon de Cartão Inteligente e EKU de Autenticação de Cliente definidos
no certificado.
2. Certifique-se de que a SAN do certificado use o UPN do usuário.
3. Certifique-se de instalar o Certificado de AC de emissão do certificado de usuário no Enterprise NTAUTH.
NOTE
Se você quiser configurar a delegação no servidor front-end ou quiser ignorar o uso do UPN no atributo SAN do
certificado (rota AltSecID), consulte a seção Mais informações.
Configurar o servidor Web

Para configurar o servidor Web do IIS na floresta de recursos, siga estas etapas:
1. Instale a função de servidor Web do IIS e selecione o recurso Segurança de Autenticação de Mapeamento
de Certificados do Cliente.
2. No servidor Web do IIS, habilita a Autenticação de Cer tificado de Cliente do Active Director y.
3. Em seu site, configure o SSL Configurações exigir SSL e, em seguida, em Cer tificados de cliente,
selecione Exigir .
Certifique-se de que nenhum outro tipo de autenticação está habilitado no site. Não recomendamos a
habilitação da Autenticação Baseada em Certificado com qualquer outro tipo de autenticação porque o
serviço Mapper do DS, responsável por mapear o certificado apresentado pelo usuário para a conta de
usuário no Active Directory, foi projetado para funcionar apenas com o tipo de Autenticação de
Certificado de Cliente do Active Director y. Se você habilitar a Autenticação Anônima, poderá ter
resultados inesperados.
Mais informações
Se você quiser configurar a delegação nesse servidor Web de recursos para consultar um servidor back-end,
como um servidor de banco de dados ou uma CA, você também pode configurar a delegação restrita usando
uma conta de serviço personalizada. Além disso, você deve configurar o servidor Web para a delegação restrita
(S4U2Self) ou a transição de protocolo. Para obter mais informações, consulte How to configure Kerberos
Constrained Delegation for Web Enrollment proxy pages.
Se você quiser ignorar o UPN no atributo SAN do certificado de cartão inteligente do usuário, você precisa
mapear explicitamente usando atributos AltSecIDou usar dicas de nome.
NOTE
Não recomendamos essa abordagem para configurar certificados de cartão inteligente.
Se você publicar o atributo SAN como o UPN pretendido no certificado do usuário, não deverá habilitar
AltSecID.
Para verificar o armazenamento NTAuth no servidor Web, abra uma janela prompt de comando e execute o
seguinte comando:
Certutil -viewstore -enterprise NTAUTH
Referências
Preparar um domínio não roteável para sincronização de diretórios
Como importar certificados de ac de terceiros
Lista completa de alterações a ser feitas para ativar o Mapeamento de Certificados do Cliente no IIS
usando o Active Directory
Como funciona a inscrição de cartão inteligente no Windows
Atributos de segurança do usuário
HowTo: Mapeie um usuário para um certificado por meio de todos os métodos disponíveis no atributo
altSecurityIdentities
Certificados de AC raiz válidos distribuídos usando
GPO podem aparecer de forma intermitente como
não confirmados
Este artigo fornece uma solução alternativa para um problema em que certificados de AC raiz válidos que são
distribuídos usando GPO aparecem como não confirmados.
Sintomas
IMPORTANT
Os problemas de certificado da Autoridade de Certificação (CA) raiz não confiança podem ser causados por vários
problemas de configuração PKI. Este artigo ilustra apenas uma das possíveis causas de certificado ca raiz não falso.
Vários aplicativos que usam certificados e PKI (Infraestrutura de Chave Pública) podem ter problemas
intermitentes, como erros de conectividade, uma ou duas vezes por dia/semana. Esses problemas ocorrem
devido à falha na verificação do certificado de entidade final. Aplicativos afetados podem retornar erros de
conectividade diferentes, mas todos eles terão erros de certificado raiz não confirmados em comum. Veja a
seguir um exemplo de tal erro:
H EX DEC IM A L SIM B Ó L IC O VERSÃ O DE T EXTO
0x800b0109 -2146762487 (CERT_E_UNTRUSTEDROOT) Uma cadeia de certificados

processada, mas encerrada
em um certificado raiz
Qualquer aplicativo habilitado para PKI que usa a Arquitetura do Sistema CryptoAPI pode ser afetado com uma
perda intermitente de conectividade ou uma falha na funcionalidade dependente PKI/Certificate. A partir de
abril de 2020, a lista de aplicativos conhecidos por serem afetados por esse problema inclui, mas provavelmente
não estão limitados a:
Citrix
Serviço de Área de Trabalho Remota (RDS)
Skype
Navegadores da Web
Os administradores podem identificar e solucionar problemas de certificados de AC raiz não-não confirmados
inspecionando o Log CAPI2.
Concentre seus esforços de solução de problemas em Build Chain/Verify Chain Policy errors within the
CAPI2 log containing the following signatures. Por exemplo:
Cadeia <DateTime> de com build capi2 11 de erro

Erro <DateTime> CAPI2 30 Verificar Política de Cadeia
Resultado Uma cadeia de certificados processada, mas encerrada em um certificado raiz que não é confiável
pelo provedor de confiança.
[valor] 800b0109
Motivo
Poderão ocorrer problemas de certificado ca raiz não falso se o certificado de AC raiz for distribuído usando a
seguinte Política de Grupo (GP):
Configuração do Computador > Windows Configurações segurança Configurações políticas de > >
chave pública > confiáveis autoridades de cer tificação raiz
Detalhes da causa raiz
Ao distribuir o certificado ca raiz usando GPO, o conteúdo será
HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates excluído e gravado novamente. Essa
exclusão é por design, pois é assim que o GP aplica as alterações do Registro.
As alterações na área do registro Windows reservados para certificados de AC raiz notificarão o componente da
API de criptografia do aplicativo cliente. E o aplicativo começará a sincronizar com as alterações do Registro. A
sincronização é como os aplicativos são mantidos atualizados e cientes da lista mais atual de certificados ca raiz
válidos.
Em alguns cenários, o processamento da Política de Grupo levará mais tempo. Por exemplo, muitos certificados
de AC raiz são distribuídos por GPO (semelhante a muitos Firewall ou Applocker políticas). Nesses cenários, o
aplicativo pode não receber a lista completa de certificados de AC raiz confiáveis.
Por esse motivo, os certificados de entidade final que são encadeados aos certificados de AC raiz ausentes serão
renderizados como não confirmados. E vários problemas relacionados a certificados começarão a ocorrer. Esse
problema é intermitente e pode ser resolvido temporariamente forçando o processamento ou a reinicialização
do GPO.
Se o certificado de AC raiz for publicado usando métodos alternativos, os problemas poderão não ocorrer,
devido à situação mencionada anteriormente.
A Microsoft está ciente desse problema e está trabalhando para melhorar a experiência do certificado e da API
de criptografia em uma versão futura do Windows.
Para resolver esse problema, evite distribuir o certificado de AC raiz usando GPO. Pode incluir o direcionamento
do local do Registro (como ) para
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates entregar o certificado de
AC raiz ao cliente.
Ao armazenar o certificado de AC raiz em um armazenamento de certificados ca raiz e físico diferente, o
problema deve ser resolvido.
Exemplos de métodos alternativos para publicação de certificados ca raiz
Método 1: Use a ferramenta de linha de certutil comando e enraizar o certificado ca armazenado no arquivo
rootca.cer:
certutil -addstore root c:\tmp\rootca.cer

NOTE
Esse comando só pode ser executado por administradores locais e afetará apenas um único computador.
Método 2: Inicie certlm.msc (o console de gerenciamento de certificados para máquina local) e importe o
certificado ca raiz no armazenamento físico do Registro.
NOTE
O console certlm.msc só pode ser iniciado por administradores locais. Além disso, a importação afetará apenas um único
computador.
Método 3: Usar preferências de GPO para publicar o certificado ca raiz conforme descrito em Preferências de
Política de Grupo
Para publicar o certificado de AC raiz, siga estas etapas:
1. Importe manualmente o certificado raiz em um computador usando o
certutil -addstore root c:\tmp\rootca.cer comando (consulte o Método 1).
2. Abra GPMC.msc no computador que você importou o certificado raiz.

3. Edite o GPO que você gostaria de usar para implantar as configurações do Registro da seguinte maneira:
a. Edite a Configuração do Computador > Preferências de Política de Grupo > Windows
Configurações > Registro >caminho para o certificado raiz.
b. Adicione o certificado raiz ao GPO conforme apresentado na captura de tela a seguir.
4. Implante o novo GPO nos dispositivos onde o certificado raiz precisa ser publicado.
Qualquer outro método, ferramenta ou solução de gerenciamento de cliente que distribua certificados de AC
raiz escrevendo-os no local HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates
funcionará.
Referências
Ferramenta Certutil
Armazenamentos de certificados
Locais do System Store
Política de Grupo Preferências
API de criptografia CertControlStore
Os modelos de versão 3 (CNG) não serão exibidos
no Windows Server 2008 ou no Windows Server
2008 R2 certificado web.
Este artigo ajuda a corrigir um problema em que os modelos CNG ou 2008 não aparecem no menu suspenso
modelo de Solicitação de Certificado Avançado.
Sintomas
Ao usar a página de registro da Web de certificado em um servidor Windows Server 2008 ou Windows Server
2008 R2, o novo Versão 3, também conhecido como modelos CNG ou 2008, não aparece no menu suspenso
modelo de solicitação de certificado avançado. Como resultado, o registro na Web usando um modelo CNG não
pode ocorrer por meio do método de registro da Web.
Quando isso ocorre, os certificados podem ser solicitados e inscritos com êxito usando os mesmos modelos,
mas outros métodos de registro. Em outras palavras, você pode solicitar com êxito um certificado desse modelo
usando o snap-in MMC de certificados, script, registro automático ou solicitação exportada. O problema ocorre
apenas com o registro da Web não permitindo que o modelo da Versão 3 seja disponibilizado para seleção.
Outras causas frequentes de não serem capazes de cobrir a solicitação de um certificado podem ser que o
servidor não seja um servidor Enterprise, ou o solicitante não tem permissões De permissão de leitura e
permissão de solicitação no modelo no Active Directory.
Motivo
Este é o comportamento padrão. Os modelos da versão 3 podem ter requisitos de solicitação adicionais que o
método de registro da Web pode não atender.
Solução
Use um método de solicitação diferente para esses certificados. Além do registro na Web, todos os outros
métodos de solicitação funcionam nesse cenário.
Mais informações
Uma alternativa, que não deve ser tentada em produção para clientes sem testes extensivos em um ambiente de
teste, está disponível que permitirá que os modelos da versão 3 apareçam nas páginas padrão de registro da
Web. O motivo pelo qual não é recomendável é que as páginas de registro da Web, novamente, possam não
conter o código necessário para o certificado preencher todos os dados necessários e, portanto, o resultado
pode ser um certificado problemático. Lembre-se de ter isso em mente ao considerar fazer as etapas abaixo.
Essa opção é alterar o msPKI-Template-Schema-Version de 3 a 2.
Além disso, alterar o atributo msPKI-Template-Schema-Version resulta em uma recarga do cache do modelo e
do cache CSP disponível.
1. No controlador de domínio, vá para Iniciar, Executar , digite AdsiEdit.msc e pressione Enter .
2. Em AdsiEdit.msc clique com o botão direito do mouse no nó ADSIEDIT no painel esquerdo e selecione
Conexão Para no menu que aparece.
3. Na caixa de diálogo Conexão Configurações, selecione Configuração na seção Ponto de Conexão
e clique em OK .
4. Expanda os nós no painel esquerdo até que você tenha feito uma análise completa em seu
armazenamento de Modelos (CN=Modelos de Certificado,CN=Serviços de Chave Pública,CN=Serviços
de Chave Pública,CN=Services,CN=Configuration,DC=,DC=).
5. Clique duas vezes no modelo versão 3 que você gostaria de ter exibido na página de registro da Web.
6. Role para baixo e selecione o atributo msPKI-Template-Schema-Version.
7. Clique duas vezes no atributo msPKI-Template-Schema-Version e altere o valor de 3 para 2 e clique
em OK .
8. Clique em Aplicar . Isso atualiza o modelo e a lista de CSP. Lembre-se disso se você usar CSPs de
terceiros em seu ambiente.
9. Vá para a página de registro da Web (se for usado no servidor de AC) e tente registrar o certificado
usando uma solicitação avançada.
Você recebe uma mensagem de erro "acesso
negado" em um controlador de domínio ao tentar
replicar o serviço de diretório do Active Directory
Este artigo ajuda a corrigir o erro "o acesso é negado" em um controlador de domínio quando você tenta
replicar o serviço de diretório do Active Directory.
Aplica-se a: Windows Server 2012 R2, Windows 10 - todas as edições
IMPORTANT
como fazer backup, restauração e edição do Registro, clique no seguinte número de artigo para exibir o artigo na Base de
Dados de Conhecimento da Microsoft: 256986 Descrição do Registro do Microsoft Windows
Sintomas
Ao tentar replicar o serviço de diretório do Active Directory para um controlador de domínio que está
executando o Microsoft Windows Server 2003 com Service Pack 1 (SP1) ou uma versão baseada em x64 do
Microsoft Windows Server 2003, você recebe a seguinte mensagem de erro no controlador de domínio de
destino:
acesso negado
Motivo
Esse problema ocorre quando o valor da entrada do Registro RestrictRemoteClients é 2.
Windows Versões baseadas em servidor 2003 SP1 e x64 do Windows Server 2003 leem as configurações de
chamada de procedimento remoto (RPC) desta entrada. Se a entrada tiver um valor 2, o tráfego RPC deverá ser
autenticado. Portanto, a replicação do Active Directory não é bem-sucedida. Outros serviços RPC no controlador
de domínio também podem ser afetados.
Solução
WARNING
Para resolver esse problema, habilita a porta 135 no firewall Windows e, em seguida, use um dos seguintes
métodos:
De definir o valor da entrada do Registro RestrictRemoteClients como 0 ou 1.
Desabilite o objeto Restrictions for Unauthenticated RPC Clients Group Policy.
Para fazer isso, execute as etapas a seguir.
NOTE
Por padrão, a porta 135 é bloqueada no Windows Server 2003 SP1 e nas versões baseadas em x64 do Windows Server
2003.
1. Clique em Iniciar, clique em Executar, digite firewall.cpl e clique em OK .

2. Clique na guia Exceções e clique em Adicionar Por ta .
3. Na caixa Nome, digite um nome para a porta.
Por exemplo, digite TCP 135.
4. Na caixa Número da porta, digite 135.
5. Clique em TCP e clique em OK .
A nova porta aparece na guia Exceções.
6. Clique para selecionar a caixa de seleção ao lado da nova porta e clique em OK .
7. Clique em Iniciar e, em Executar , digite regedit e clique em OK .
8. Use um dos seguintes métodos:
De definir o valor da entrada do Registro RestrictRemoteClients como 0 ou 1. Para fazer isso, siga estas
etapas:
1. Localize e clique na seguinte sub-chave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
2. No painel direito, clique na entrada RestrictRemoteClients.
NOTE
Se essa entrada não existir, siga estas etapas:
1. No menu Editar , aponte para Novo e clique em Valor DWORD .
2. Digite RestrictRemoteClients e pressione ENTER.
3. No menu Editar , clique em Modificar .

4. Na caixa Dados valor, digite 0 ou 1 e clique em OK .
5. Sair do Editor do Registro.
Use o Editor de Objeto de Política de Grupo para desabilitar o objeto Restrictions for Unauthenticated
RPC Clients Group Policy. Para fazer isso, siga estas etapas:
1. Clique em Iniciar e em Executar , digite gpedit.msc e clique em OK .
2. Na árvore de console, clique duas vezes em Configuração do Computador, clique duas vezes em
Modelos Administrativos, clique duas vezes em Sistema e clique em Chamada de Procedimento
Remoto.
3. Clique duas vezes em Restrições para clientes RPC não autenticados, clique em Desabilitar e
clique em OK .
4. Sair do Editor de Objeto de Política de Grupo.
Status
Mais informações
Para obter informações adicionais sobre a entrada do Registro RestrictRemoteClients, visite o seguinte site da
Microsoft: A chave de registro RestrictRemoteClients está habilitada
Suporte técnico para Windows edições x64

Seu fabricante de hardware fornece suporte técnico e assistência para o Microsoft Windows edições x64. Seu
fabricante de hardware oferece suporte porque uma Windows edição x64 foi incluída com seu hardware. Seu
fabricante de hardware pode ter personalizado a instalação Windows edição x64 com componentes exclusivos.
Componentes exclusivos podem incluir drivers de dispositivo específicos ou podem incluir configurações
opcionais para maximizar o desempenho do hardware. A Microsoft fornecerá assistência de esforço razoável se
você precisar de ajuda técnica com sua Windows x64 edition. No entanto, talvez seja preciso entrar em contato
diretamente com o fabricante. Seu fabricante é mais qualificado para dar suporte ao software que o fabricante
instalou no hardware.
Erro ao iniciar o controlador de domínio baseado
em Windows: Os Serviços de Diretório não podem
iniciar
Este artigo explica como se recuperar de um banco de dados corrompido do Active Directory ou de um
problema semelhante que impede que o computador seja a partir do modo normal.
Resumo
Este artigo o conduz por uma série de etapas que podem ajudá-lo a diagnosticar a causa dos Serviços de
Diretório não podem iniciar o erro do sistema. Estas etapas podem incluir:
Verificando se os arquivos de serviço de diretório do Active Directory existem.
Verificando se as permissões do sistema de arquivos estão corretas.
Verificando a integridade do banco de dados do Active Directory.
Executando uma análise semântica de banco de dados.
Reparar o banco de dados do Active Directory.
Removendo e recriando o banco de dados do Active Directory.
Este artigo também informa como usar Ntdsutil ou Esentutl para executar um reparo com perda do banco de
dados do Active Directory. Como um reparo com perda exclui dados e pode introduzir novos problemas,
execute apenas um reparo com perda se for a única opção disponível.
Sintomas
Quando você inicia o controlador de domínio, a tela pode ficar em branco e você pode receber a seguinte
mensagem de erro:
LSASS.EXE - Erro do sistema, falha na inicialização do gerenciador de contas de segurança devido ao

seguinte erro: Os Serviços de Diretório não podem ser inicializados. Status do erro 0xc00002e1.
Clique em OK para desligar esse sistema e reiniciar no modo de restauração de serviços de diretório,
verifique o log de eventos para obter informações mais detalhadas.
Além disso, as seguintes mensagens de ID de evento podem aparecer no log de eventos:
ID do Evento: 700
Descrição: "A desfragmentação do NTDS (260) Online está iniciando uma passagem no banco de dados
NTDS. DIT."
ID do Evento: 701
Descrição: "A desfragmentação do NTDS (268) Online concluiu uma passagem completa no banco de dados
'C:\WINNT\NTDS\ntds.dit'."
ID do Evento: 101
Descrição: "NTDS (260) o mecanismo de banco de dados parou."
ID do Evento: 1004
Descrição: "O diretório foi desligado com êxito."
ID do Evento: 1168
Descrição: "Erro: 1032 (fffffbf8) ocorreu. (ID interna 4042b). Entre em contato com os serviços de suporte a
produtos da Microsoft para assistência."
ID do Evento: 1103
Descrição: "O banco de dados dos serviços de diretório do Windows não pôde ser inicializado e retornado
erro 1032. Erro irrecuperável, o diretório não pode continuar."
Motivo
Esse problema ocorre porque uma ou mais das seguintes condições são verdadeiras:
As permissões do sistema de arquivos NTFS na raiz da unidade são muito restritivas.
As permissões do sistema de arquivos NTFS na pasta NTDS são muito restritivas.
A letra da unidade do volume que contém o banco de dados do Active Directory foi alterada.
O banco de dados do Active Directory (Ntds.dit) está corrompido.
A pasta NTDS é compactada.
Resolução
1. Reinicie o controlador de domínio.
2. Quando as informações do BIOS aparecerem, pressione F8.
3. Selecione Modo de Restauração de Ser viços de Diretório e pressione ENTER.
4. Faça logoff usando a senha do Modo de Restauração de Serviços de Diretório.
5. Clique em Iniciar , selecione Executar , digite cmd na caixa Abrir e clique em OK .
6. No prompt de comando, digite informações de arquivos ntdsutil.
A saída semelhante à seguinte aparece:
Informações da unidade:
C:\ NTFS (Unidade Fixa ) livre(533,3 Mb) total(4,1 Gb)
Informações sobre o caminho DS:
Banco de Dados : C:\WINDOWS\NTDS\ntds.dit - 10,1 Mb Backup dir :
C:\WINDOWS\NTDS\dsadata.bak Dir de trabalho: C:\WINDOWS\NTDS Log dir : C:\WINDOWS\NTDS
- 42,1 Mb total temp.edb - 2,1 Mb res2.log - 10,0 Mb res1.log - 10,0 Mb edb00001.log - 10,0 Mb
edb.log - 10,0 Mb
NOTE
Os locais de arquivo incluídos nessa saída também são encontrados na seguinte sub-chave do Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
As entradas a seguir nesta chave contêm os locais do arquivo:

Caminho de backup do banco de dados
Caminho dos arquivos de log de banco de dados
Diretório de Trabalho do DSA
7. Verifique se os arquivos listados na saída na etapa 6 existem.
8. Verifique se as pastas na saída Ntdsutil têm as permissões corretas. As permissões corretas são
especificadas nas tabelas a seguir.
Windows Ser ver 2003
C O N TA P ERM ISSIO N S H ERA N Ç A
Sistema Controle Total Esta pasta, subpastas e arquivos
Administradores Controle Total Esta pasta, subpastas e arquivos
Proprietário do Criador Controle Total Somente subpastas e arquivos
Serviço Local Criar Pastas / Anexar Dados Esta pasta e subpastas
Windows 2000
C O N TA P ERM ISSIO N S H ERA N Ç A
Administradores Controle Total Esta pasta, subpastas e arquivos
Sistema Controle Total Esta pasta, subpastas e arquivos
NOTE
Além disso, a conta do sistema requer permissões de Controle Total nas seguintes pastas:
A raiz da unidade que contém a pasta Ntds
A pasta %WINDIR%
No Windows Server 2003, o local padrão da pasta %WINDIR% é C:\WINDOWS. No Windows 2000, o local padrão
da pasta %WINDIR% é C:\WINNT.
9. Verifique a integridade do banco de dados do Active Directory. Para fazer isso, digite a integridade de
arquivos ntdsutil no prompt de comando.
Se a verificação de integridade não indicar erros, reinicie o controlador de domínio no modo normal. Se a
verificação de integridade não terminar sem erros, continue para as etapas a seguir.
10. Execute uma análise semântica de banco de dados. Para fazer isso, digite o seguinte comando no prompt
de comando, incluindo as aspas:
ntdsutil "sem d a" go
11. Se a análise do banco de dados semântico indicar nenhum erro, continue para as etapas a seguir. Se a
análise relata erros, digite o seguinte comando no prompt de comando, incluindo as aspas:
ntdsutil "sem d a" "go f"
12. Siga as etapas no seguinte artigo da Base de Dados de Conhecimento da Microsoft para executar uma
desfragmentação offline do banco de dados do Active Directory:
232122 executando a desfragmentação offline do banco de dados do Active Directory
13. Se o problema ainda existir após a desfragmentação offline e houver outros controladores de domínio
funcionais no mesmo domínio, remova o Active Directory do servidor e reinstale o Active Directory. Para
fazer isso, siga as etapas na seção "Solução alternativa" no seguinte artigo da Base de Dados de
Conhecimento da Microsoft:
332199 Controladores de domínio não rebaixam normalmente quando você usa o Assistente de
Instalação do Active Directory para forçar o rebaixamento no Windows Server 2003 e no Windows 2000
Server
NOTE
Se o controlador de domínio estiver executando o Microsoft Small Business Server, você não poderá executar esta
etapa, pois o Servidor de Pequenas Empresas não pode ser adicionado a um domínio existente como um
controlador de domínio adicional (réplica). Se você tiver um backup de estado do sistema mais novo que o tempo
de vida da lápide, restaure o backup do estado do sistema em vez de remover o Active Directory do servidor. Por
padrão, o tempo de vida da lápide é de 60 dias.
14. Se nenhum backup de estado do sistema estiver disponível e não houver outros controladores de
domínio saudáveis no domínio, recomendamos que você recomende o domínio removendo o Active
Directory e reinstalando o Active Directory no servidor, criando um novo domínio. Você pode usar o
nome de domínio antigo novamente ou usar um novo nome de domínio. Você também pode recriar o
domínio reformatando e reinstalando Windows no servidor. No entanto, remover o Active Directory é
mais rápido e remove efetivamente o banco de dados corrompido do Active Directory.
Se nenhum backup de estado do sistema estiver disponível, não haverá outros controladores de domínio
íntegrees no domínio e você deve ter o controlador de domínio funcionando imediatamente, execute um
reparo com perda usando Ntdsutil ou Esentutl.
NOTE
A Microsoft não dá suporte a controladores de domínio depois que Ntdsutil ou Esentutl é usado para se
recuperar da corrupção de banco de dados do Active Directory. Se você executar esse tipo de reparo, deverá
recriar o controlador de domínio do Active Directory para estar em uma configuração com suporte. O comando
de reparo em Ntdsutil usa o utilitário Esentutl para executar um reparo com perda do banco de dados. Esse tipo
de reparo corrige a corrupção excluindo dados do banco de dados. Use esse tipo de reparo apenas como último
recurso.
Embora o controlador de domínio possa iniciar e parecer funcionar corretamente após o reparo, seu
estado não é compatível porque os dados excluídos do banco de dados podem causar qualquer número
de problemas que podem não aparecer até mais tarde. Não há como determinar quais dados foram
excluídos quando o banco de dados foi reparado. Assim que possível após o reparo, você deve recriar o
domínio para retornar o Active Directory a uma configuração com suporte. Se você usar apenas os
métodos de desfragmentação offline ou análise de banco de dados semânticos referenciados neste
artigo, não será necessário recriar o controlador de domínio posteriormente.
15. Antes de executar um reparo com perda, entre em contato com os Serviços de Suporte a Produtos da
Microsoft para confirmar se você analisou todas as opções de recuperação possíveis e verificar se o
banco de dados realmente está em um estado irrecuperável. Para obter uma lista completa de números
de telefone do Microsoft Product Support Services e informações sobre custos de suporte, visite o
seguinte site da Microsoft:
Entrar em contato com o Suporte da Microsoft
Em um Windows de domínio baseado em servidor 2000, use Ntdsutil para recuperar o banco de dados
do Active Directory. Para fazer isso, digite ntdsutil files repair at a command prompt in Directory Service
Restore Mode.
Para executar um reparo com perda de um controlador de domínio baseado no Windows Server 2003,
use a ferramenta Esentutl.exe para recuperar o banco de dados do Active Directory. Para fazer isso, digite
esentutl /p em um prompt de comando no controlador de domínio Windows Server 2003 baseado em
servidor 2003.
16. Após a conclusão da operação de reparo, renomeie os arquivos .log na pasta NTDS usando uma extensão
diferente, como .bak, e tente iniciar o controlador de domínio no modo normal.
17. Se você puder iniciar o controlador de domínio no modo normal após o reparo, migre objetos relevantes
do Active Directory para uma nova floresta assim que possível. Como esse método de reparo com perda
corrige a corrupção excluindo dados, ele pode causar problemas posteriores que são extremamente
difíceis de solucionar. Na primeira oportunidade após o reparo, você deve recriar o domínio para trazer o
Active Directory de volta para uma configuração com suporte.
Você pode migrar usuários, computadores e grupos usando a Ferramenta de Migração do Active
Directory (ADMT), Ldifde ou uma ferramenta de migração que não seja da Microsoft. A ADMT pode
migrar contas de usuário, contas de computador e grupos de segurança com ou sem o histórico do
identificador de segurança (SID). A ADMT também migra perfis de usuário. Para usar a ADMT em um
ambiente do Servidor de Pequenas Empresas, revise o white paper "Migrating from Small Business
Server 2000 or Windows 2000 Server". Para obter este white paper, visite o seguinte site da Microsoft:
Migrando do Small Business Server 2000 ou Windows 2000 Server para Windows Small Business
Server 2003
Você pode usar Ldifde para exportar e importar muitos tipos de objetos do domínio danificado para o
novo domínio. Esses objetos incluem contas de usuário, contas de computador, grupos de segurança,
unidades de organização, sites do Active Directory, sub-redes e links de site. Ldifde não pode migrar o
histórico sid. Ldifde faz parte do Windows 2000 Server e Windows Server 2003.
Para obter mais informações sobre como usar Ldifde, clique no seguinte número de artigo para exibir o
artigo na Base de Dados de Conhecimento da Microsoft:
237677 usando Ldifde para importar e exportar objetos de diretório para o Active Directory
Você pode usar o Console de Gerenciamento de Política de Grupo (GPMC) para exportar o sistema de
arquivos e a parte do Active Directory do objeto de política de grupo do domínio danificado para o novo
domínio.
Para obter o GPMC, visite o seguinte site da Microsoft:
Serviços de Computação na Nuvem
Para obter informações sobre como migrar objetos de política de grupo usando o GPMC, consulte o
white paper "Migrate GPOs across domains with GPMC". Para obter este white paper, visite o seguinte
site da Microsoft:
Migrando GPOs entre domínios
18. Após a recuperação, avalie seu plano de backup atual para garantir que você tenha agendado backups de
estado do sistema com frequência. Agende backups de estado do sistema pelo menos todos os dias ou
após todas as alterações significativas. Os backups de estado do sistema devem conter o nível necessário
de tolerância a falhas. Por exemplo, não armazene backups na mesma unidade que o computador que
você está fazendo backup. Sempre que possível, use mais de um controlador de domínio para evitar um
único ponto de falha. Armazene backups em um local fora do local para que o desastre do site (incêndio,
roubo, inundação, roubo de computador) não afete sua capacidade de recuperação. Os seguintes sites da
Microsoft podem ajudá-lo a desenvolver um plano de backup.
Windows Server 2003: criando um plano de backup e recuperação
Windows 2000: Capítulo 14 - Backup e recuperação de dados
Windows Small Business Server: Windows Server Essentials (Small Business Server)
Falha na comunicação do Active Directory em
controladores de domínio multihomed
Este artigo descreve um problema no qual a comunicação do Active Directory, incluindo a replicação, falha
intermitentemente.
Aplica-se a: Windows 2000
Sintomas
Em um domínio Windows 2000 que tenha controladores de domínio multihomed, a comunicação do Active
Directory, incluindo a replicação, pode falhar intermitentemente.
Motivo
Esse problema poderá ocorrer se um dos adaptadores de rede estiver anexado a uma rede externa (como a
Internet) no controlador de domínio multihomed e se o tráfego LDAP (Lightweight Directory Access Protocol) e
Kerberos entre as redes internas e externas estiver parcial ou completamente restrito devido a um Proxy, ISA
Server, NAT Server ou outro dispositivo de firewall.
Nesse cenário, os adaptadores de rede nos controladores de domínio multihomed estão registrando os
endereços IP (Protocolo de Internet) interno e externo com o servidor DNS. As solicitações de busca de
resolução de nome DNS retornam registros de forma "round robin", alternando os endereços IP internos e
externos. As operações de replicação exigem várias solicitações de análise de registros SRV. Nesse caso, metade
das solicitações de procurar DNS retorna um endereço IP que não pode ser contatado e a operação de
replicação falha.
Solução
Para resolver esse problema:
1. Desabilite o registro no adaptador de rede externo no controlador de domínio multihomed. Para fazer
isso:
a. Clique em Iniciar, Configurações e clique em Rede e Conexões Discadas.
b. Clique com o botão direito do mouse na conexão lan (rede local externa) e clique em Propriedades.
c. Clique em TCP/IP e em Propriedades.
d. Clique em Avançado e clique para limpar a caixa de seleção Registrar DNS para essa conexão.
2. Desabilite a funcionalidade round robin no servidor DNS. Para fazer isso:
a. Clique em Iniciar, em Configurações, em Ferramentas Administrativas e em DNS.
b. Abra as propriedades para o nome do servidor DNS.
c. Clique na guia Avançado e clique para limpar a caixa de seleção Habilitar robin round.
3. Remova as entradas existentes no DNS. Para fazer isso:
a. Navegue até o seguinte local: Em DNS \ DNS Ser vername \Forward Lookup Zones \ Domain
Name
b. Remova entradas de registro host (A) que se referem ao nome do computador do controlador de
domínio para os endereços IP do adaptador de rede externo.
c. Remova entradas de registro host (A) para o mesmo nome que a pasta pai dos endereços IP do
adaptador de rede.
4. Inicie o Console de Gerenciamento DNS, clique com o botão direito do mouse no nome do servidor e
clique em Propriedades.
5. Clique na guia Interfaces e remova o endereço IP externo para que o DNS não o escute.
6. Abra um prompt de comando, digite ipconfig /flushdns, pressione ENTER, digite ipconfig /registerdns e
pressione ENTER.
7. Altere a ordem de associação dos adaptadores de rede para que o adaptador Interno seja o primeiro
adaptador vinculado. Para fazer isso, siga estas etapas:
a. Clique em Iniciar, Configurações e clique em Rede e Conexões Discadas.
b. No menu Avançado, clique em Avançado .
c. Verifique se o adaptador de rede interno está listado primeiro na caixa Conexões.
Status
Este é o comportamento padrão.
Mais informações
Para obter mais informações, clique nos seguintes números de artigo para exibir os artigos na Base de Dados de
246804 como habilitar ou desabilitar atualizações DNS no Windows 2000 e no Windows Server 2003
Falha no serviço do ADWS após a atualização
Este artigo fornece uma resolução para um problema em que o serviço do Active Directory Web Services
(ADWS) falha após a atualização.
Sintomas
Depois de executar uma atualização in-loca de um controlador de domínio do Microsoft Windows Server 2008
R2 para Windows Server 2012 R2, o serviço do Active Directory Web Services (ADWS) falha ao iniciar.
Motivo
Esse é um problema conhecido em relação ao produto.
Solução
Para resolver esse problema, reinstale o pacote microsoft .NET Framework 4.5.2.
O processo de coleta de lixo de banco de dados do
Active Directory e o cálculo de intervalos
permitidos
Este artigo descreve o processo de coleta de lixo de banco de dados do Active Directory e o cálculo de intervalos
permitidos.
Aplica-se a: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
Resumo
O banco de dados do Active Directory incorpora um processo de coleta de lixo que é executado
independentemente em cada controlador de domínio na empresa.
Mais informações
Coleta de lixo é um processo de limpeza projetado para liberar espaço no banco de dados do Active Directory.
Esse processo é executado em todos os controladores de domínio da empresa com um intervalo de vida padrão
de 12 horas. Você pode alterar esse intervalo modificando o atributo garbageCollPeriod no objeto de
configuração DS (NTDS) de toda a empresa.
O caminho do objeto no Contoso.com domínio seria semelhante ao seguinte:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=CONTOSO,DC=COM
Use uma ferramenta de edição do Active Directory para definir o atributo garbageCollPeriod. As ferramentas
com suporte incluem scripts Adsiedit.msc, Ldp.exe e ADSI (Interfaces de Serviço do Active Directory).
Quando um objeto é excluído, ele não é removido do banco de dados do Active Directory. Em vez disso, o objeto
é marcado para exclusão em uma data posterior. Essa marca é replicada para outros controladores de domínio.
Portanto, o processo de coleta de lixo é iniciado removendo os restos de objetos excluídos anteriormente do
banco de dados. Esses objetos são conhecidos como lápides. Em seguida, o processo de coleta de lixo exclui
arquivos de log desnecessários. Por fim, o processo inicia um thread de desfragmentação para reivindicar
espaço livre adicional.
Além disso, há dois métodos para desfragmentar o banco de dados do Active Directory. Um método é uma
operação de desfragmentação online que é executado como parte do processo de coleta de lixo. A vantagem
desse método é que o servidor não precisa ser offline para a operação ser executado. No entanto, esse método
não reduz o tamanho do arquivo de banco de dados do Active Directory (Ntds.dit). O outro método usa o
servidor offline e desfragmenta o banco de dados usando o utilitário Ntdsutil.exe. Essa abordagem exige que o
banco de dados comece no modo de reparo. A vantagem desse método é que o banco de dados é resized e o
espaço não usado é removido. Portanto, e o tamanho do arquivo Ntds.dit é reduzido. Para usar esse método, o
controlador de domínio deve ser offline.
Limites para garbageCollPeriod:
O valor mínimo é 1 e o máximo é 168 por uma semana. O padrão para o valor é 12 horas.
Mínimo para o tempo de vida de Tombstone:
O mínimo para o Tempo de Vida de Tombstone é de 2 dias para fins de estada de KCC do cálculo de execução.
A camada de banco de dados do AD impõe uma métrica adicional. Os dias TSL não devem ser menores do que
três vezes o intervalo do coletor de lixo. Com base no padrão de 12 horas, o TSL é um mínimo de 2 dias. Se o
intervalo de GC for de 20 horas, o mínimo de TSL será 3 dias (deve ser maior do que 60 horas). Se o intervalo
de GC for de 25 horas, você obterá mais de três dias (com 75 horas) e o mínimo de TSL será 4 dias.
A captura com a camada DB e o desempenho do KCC é que, se o TSL for menor do que o mínimo permitido, ele
não será revertido para o valor mínimo de 2 ou mais dias, mas para o padrão de 60 ou 180 dias.
IMPORTANT
Caso a TSL seja corrigida como padrão devido a uma incompatibilidade, o valor do intervalo de coleta de lixo também
será definido como o padrão de 12 horas.
Padrões de vida da lápide

Histórico
O tempo de vida da lápide padrão (TSL) no Windows Server 2003 foi de 60 dias e foi demonstrado ser muito
curto. Por exemplo, um controlador de domínio prestado pode estar em trânsito por mais de 60 dias. Um
administrador pode não resolver uma falha de replicação ou colocar um controlador de domínio offline em
operação até que o TSL seja excedido. Windows Server 2003 Service Pack 1 (SP1) aumentou o TSL de 60 para
180 dias nos seguintes cenários:
Um controlador de domínio Windows NT 4.0 é atualizado para o Windows Server 2003 usando a mídia de
instalação do Windows Server 2003 SP1 para criar uma nova floresta.
Um Windows server 2003 SP1 cria uma nova floresta.
Windows Server 2003 SP1 não modifica o valor de TSL quando uma das seguintes condições é verdadeira:
Um domínio Windows 2000 é atualizado para o Windows Server 2003 usando mídia de instalação para o
Windows Server 2003 com SP1.
Windows Server 2003 SP1 é instalado em um controlador de domínio que está executando a versão de
versão original do Windows Server 2003.
Aumentar a TSL para um domínio para 180 dias tem os seguintes benefícios:
Os backups usados em cenários de recuperação de dados têm uma vida útil mais longa.
Os backups de estado do sistema usados para instalação a partir de promoções de mídia têm uma vida útil
mais longa.
Os controladores de domínio podem ficar offline por mais tempo. Computadores prestaged abordam a
expiração TSL com menos frequência.
Um controlador de domínio pode retornar com êxito ao domínio após um tempo mais offline.
O conhecimento de objetos excluídos é mantido por mais tempo no controlador de domínio de origem.
A configuração padrão em sua floresta dependerá do sistema operacional no "nascimento" da floresta e dos
métodos de atualização a partir daí, como acima.
Se você não tiver certeza sobre o valor de TSL usado em sua floresta, recomendamos defini-lo explicitamente e
também msDS-deletedObjectLifetime conforme necessário.
Referência: A Lixeira do AD: Noções básicas, implementando, práticas recomendadas e solução de problemas
Erro de configuração do controlador de domínio (O
servidor não está operacional) ao configurar um
servidor usando o Gerenciador do Servidor
Este artigo ajuda a corrigir um erro (O servidor não está operacional) que ocorre quando você configura um
servidor de um grupo de trabalho como um controlador de domínio usando o Gerenciador do Servidor.
Sintomas
Considere o seguinte cenário. Você configura um servidor que está executando Windows Server 2012 de um
grupo de trabalho como um controlador de domínio usando o Gerenciador do Servidor. Em seguida, clique no
botão Selecionar na página Configuração de Implantação. Nesse cenário, você recebe a seguinte mensagem
de erro:
Encontrou um erro ao entrar em contato com o domínio contoso.

O servidor não está operacional.
NOTE
Você tem conectividade LDAP, RPC e DNS e pode contatar todos os controladores de domínio existentes sem problemas
para outras operações.
Motivo
Esse problema ocorre porque a autenticação NTLM está desabilitada no domínio ou nos controladores de
domínio.
Resolução
Para resolver esse problema, junte o servidor ao domínio e configure o servidor para ser um controlador de
domínio. Depois de ingressar o servidor no domínio, o Assistente dos Serviços de Domínio do Active Directory
(AD DS) no Gerenciador de Servidores usa a autenticação Kerberos em vez da autenticação NTLM para navegar
na floresta do AD DS.
Mais informações
Para obter mais informações sobre como desabilitar a autenticação NTLM em domínios no Windows Server
2008 R2 e versões posteriores, acesse os seguintes sites:
Introdução à restrição da autenticação NTLM
Bloqueio de NTLM e Você: Metodologias de Análise e Auditoria de Aplicativos Windows 7
As IDs de evento ESENT 1000, 1202, 412 e 454 são
registradas repetidamente no log de aplicativos
Este artigo fornece uma solução para um problema em que as IDs de evento ESENT 1000, 1202, 412 e 454 são
registradas repetidamente no log de aplicativos.
Sintomas
As seguintes IDs de evento são registradas a cada cinco minutos no log de aplicativos:
1000
1202
412
454
Motivo
Esse problema ocorrerá se o arquivo de banco de dados de Política de Grupo local estiver corrompido.
Solução
Para resolver esse problema, use o procedimento descrito nesta seção para criar o arquivo de Política de Grupo
local.
IMPORTANT
A implementação de um modelo de segurança em um controlador de domínio pode alterar as configurações da Política
de Controlador de Domínio Padrão ou da Política de Domínio Padrão. O modelo aplicado pode substituir permissões em
novos arquivos, chaves de registro e serviços do sistema criados por outros programas. A restauração dessas políticas
pode ser necessária após a aplicação de um modelo de segurança. Antes de executar essas etapas em um controlador de
domínio, crie um backup do compartilhamento SYSVOL.
NOTE
Quando você usa o procedimento a seguir, seu computador é retornado para o estado de instalação original onde a
Política de Segurança Local não é definida. Talvez seja preciso iniciar o computador no modo Cofre renomear ou mover
arquivos. Para obter mais informações sobre como fazer isso, consulte Windows Ajuda 2000.
1. Abra a pasta %SystemRoot%\Security, crie uma nova pasta e a nomee "OldSecurity".

2. Mova todos os arquivos que terminam em .log da pasta %SystemRoot%\Security para a pasta OldSecurity.
3. Encontre o arquivo Secedit.sdb na pasta %SystemRoot%\Security\Database e renomeie esse arquivo para
"Secedit.old".
5. Clique em Console, clique em Adicionar/Remover Snap-in e, em seguida, adicione o snap-in Segurança
e Configuração.
6. Clique com o botão direito do mouse em Segurança e Configuração e Análise e clique em Abrir Banco
de Dados.
7. Navegue até a pasta %TEMP%, digite Secedit.sdb na caixa Nome do arquivo e clique em Abrir .
8. Quando for solicitado a importar um modelo, clique em Setup Security.inf e clique em Abrir.
9. Copie %TEMP%\Secedit.sdb %SystemRoot%\Security\Database.
As IDs de evento 5788 e 5789 ocorrem em um
computador Windows baseado em Windows
computador
Este artigo fornece soluções para um problema em que a ID do evento 5788 e a ID do evento 5789 são
registradas quando o nome de domínio DNS e o nome de domínio do Active Directory diferem em um
computador baseado em Windows.
Sintomas
Você pode ter um dos seguintes problemas:
No Windows Vista e versões posteriores, você recebe a seguinte mensagem de erro durante o logon
interativo:
O banco de dados de segurança no servidor não tem uma conta de computador para essa relação de
confiança de estação de trabalho.
Logons interativos com contas baseadas em domínio não funcionam. Somente os logons com contas
locais estão funcionando.
As seguintes mensagens de evento são registradas no log do sistema:
Tipo de Evento: Erro

Origem do evento: NETLOGON
Categoria de Evento: Nenhum
ID do Evento: 5788
Computador: ComputerName
Descrição:
A tentativa de atualizar o SpN (Nome principal do serviço) do objeto do computador no Active
Directory falhou. Ocorreu o seguinte erro: <Detailed error message that varies, depending on
the cause.>
Tipo de Evento: Erro

Origem do evento: NETLOGON
Categoria de Evento: Nenhum
ID do Evento: 5789
Computador: Computador
Descrição:
A tentativa de atualizar o Nome do Host DNS do objeto do computador no Active Directory falhou.
Ocorreu o seguinte erro: <Detailed error message that varies, depending on the cause.>
NOTE
As mensagens de erro detalhadas para esses eventos estão listadas na seção "Causa".
Motivo
Esse comportamento ocorre quando um computador tenta, mas não escreve nos atributos dNSHostName e
servicePrincipalName para sua conta de computador em um domínio do Active Directory Domain Services (AD
DS).
Um computador tenta atualizar esses atributos se as seguintes condições são verdadeiras:
Imediatamente após um computador Windows ingressar em um domínio, o computador tenta definir os
atributos dNSHostName e servicePrincipalName para sua conta de computador no novo domínio.
Quando o canal de segurança é estabelecido em um computador baseado em Windows que já é membro de
um domínio do AD DS, o computador tenta atualizar os atributos dNSHostName e servicePrincipalName
para sua conta de computador no domínio.
Em um Windows de domínio baseado em Windows, o serviço Netlogon tenta atualizar o atributo
servicePrincipalName a cada 22 minutos.
Há duas possíveis causas das falhas de atualização:
O computador não tem permissão suficiente para concluir uma solicitação de modificação LDAP dos
atributos dNSHostName ou servicePrincipalName para sua conta de computador.
Nesse caso, as mensagens de erro que correspondem aos eventos descritos na seção "Sintomas" são as
seguinte:
Evento 5788
Acesso negado.
Evento 5789
O sistema não pôde encontrar o arquivo especificado.
O sufixo DNS principal do computador não combina com o nome DNS do domínio do AD DS do qual o
computador é membro. Essa configuração é conhecida como um "namespace desarticulado".
Por exemplo, o computador é membro do domínio do Active Directory contoso.com . No entanto, seu
nome DNS FQDN é member1.nyc.contoso.com . Portanto, o sufixo DNS principal não combina com o
nome de domínio do Active Directory.
A atualização é bloqueada nessa configuração porque a validação de gravação de pré-requisito dos
valores de atributo falha. A validação de gravação falha porque, por padrão, o Gerenciador de Contas de
Segurança (SAM) exige que o sufixo DNS principal de um computador corresponde ao nome DNS do
domínio do AD DS do qual o computador é membro.
Nesse caso, as mensagens de erro que correspondem aos eventos descritos na seção "Sintomas" são as
seguinte:
Evento 5788
A sintaxe de atributo especificada para o serviço de diretório é inválida.

Evento 5789
O parâmetro está incorreto.
Solução
Para resolver esse problema, encontre a causa mais provável, conforme descrito na seção "Causa". Em seguida,
use a resolução apropriada para a causa.
Resolução da Causa 1
Para resolver esse problema, certifique-se de que a conta do computador tenha permissões suficientes para
atualizar seu próprio objeto de computador.
No Editor da ACL, certifique-se de que haja uma ace (entrada de controle de acesso) para a conta de
administrador "SELF" e se ela tem acesso "Permitir" para os seguintes direitos estendidos:
Gravação validada no nome do host DNS
Gravação validada no nome da entidade de serviço
Em seguida, verifique as permissões Negar que possam ser aplicadas. Excluindo as associações de grupo do
computador, os seguintes administradores também se aplicam ao computador:
Todos
Usuários Autenticados
SELF
As ACEs que se aplicam a esses administradores também podem negar o acesso a gravar em atributos, ou
podem negar os direitos estendidos "Gravação validada no nome do host DNS" ou "Gravação validada no nome
principal do serviço".
Resolução da Causa 2
Para resolver esse problema, use um dos seguintes métodos, conforme apropriado:
Método 1: Corrigir um namespace não intencional
Se a configuração de unção não for intencional e se você quiser reverter para um namespace contíguo, use este
método.
Para obter mais informações sobre como reverter para um namespace contíguo no Windows Server 2003,
consulte o seguinte artigo do Microsoft TechNet:
Transição de um Namespace disjoint para um Namespace contíguo
Para Windows Server 2008 e para Windows Vista e versões posteriores, consulte o seguinte artigo do Microsoft
TechNet:
Reverter um namespace de unjoint criado acidentalmente
Método 2: Verifique se a configuração de namespace de unjoint está funcionando corretamente
Use este método, se quiser manter o namespace desarticulado. Para fazer isso, siga estas etapas para fazer
algumas alterações de configuração para resolver os erros.
Para obter mais informações sobre como verificar se o namespace desarticulado está funcionando
corretamente no Windows Server 2003 R2, no Windows Server 2003, no Windows Server 2003 com Service
Pack 1 (SP1) e no Windows Server 2003 com Service Pack 2 (SP2), consulte o seguinte artigo do Microsoft
TechNet: Create a Disjoint Namespace
Para obter mais informações sobre como verificar se o namespace desarticulado está funcionando
corretamente no Windows Server 2008 R2 e no Windows Server 2008, consulte o seguinte artigo do Microsoft
TechNet: Create a Disjoint Namespace
Estendendo o exemplo mencionado no último ponto de marcador principal na seção "Causa", você adicionaria
como um nyc.contoso.com sufixo permitido ao atributo.
Mais informações
Versões mais antigas deste artigo mencionam a alteração das permissões nos objetos do computador para
habilitar o acesso geral à gravação para resolver esse problema. Essa era a única abordagem que existia no
Windows 2000. No entanto, é menos seguro do que usar msDS-AllowedDNSSuffixes.
MsDS-AllowedDNSSuffixes restringem o cliente de escrever SPNs arbitrários no Active Directory. O "Windows
método 2000" permite que o cliente escreva SPNs que bloqueiam Kerberos de trabalhar com outros servidores
importantes (criar duplicatas). Quando você usa msDS-AllowedDNSSuffixes, colisões do SPN como essas só
podem ocorrer quando o outro servidor tiver o mesmo nome de host que o computador local.
Um rastreamento de rede da resposta à solicitação de modificação LDAP exibe as seguintes informações:
win: 17368, src: 389 dst: 1044
LDAP: ProtocolOp: ModifyResponse (7)
LDAP: MessageID
LDAP: ProtocolOp = ModifyResponse
LDAP: Código de Resultado = Violação de Restrição
LDAP: Mensagem de Erro = 0000200B: AtrErr: DSID-03151E6D Neste rastreamento de rede, hexadecimal 200B
é igual a 8203 decimal.
O comando net helpmsg 8203 retorna as seguintes informações: A sintaxe de atributo especificada para o
serviço de diretório é inválida." O Monitor de Rede 5.00.943 exibe o seguinte código de resultado: "Violação de
restrição". Winldap.h mapeia o erro 13 para "LDAP_CONSTRAINT_VIOLATION.
O nome de domínio DNS e o nome de domínio do Active Directory podem diferir se uma ou mais das seguintes
condições são verdadeiras:
A configuração dns TCP/IP contém um domínio DNS que difere do domínio do Active Directory do qual o
computador é membro e a opção Alterar o sufixo DNS principal quando a associação de domínio é
desabilitada. Para exibir essa opção, clique com o botão direito do mouse em Meu Computador, clique
em Propriedades e clique na guia Identificação da Rede.
Windows Os computadores baseados no Windows XP Professional server 2003 podem aplicar uma
configuração de Política de Grupo que define o sufixo principal como um valor diferente do domínio do
Active Directory. A configuração da Política de Grupo é a seguinte: Configuração do
Computador\Modelos Administrativos\Rede\Cliente DNS: Sufixo DNS primário
O controlador de domínio está localizado em um domínio que foi renomeado pelo utilitário Rendom.exe.
No entanto, o administrador ainda alterou o sufixo DNS do nome de domínio DNS anterior. O processo
de renomeação de domínio não atualiza o sufixo DNS principal para corresponder ao nome de domínio
DNS atual após renomeações de nomes de domínio DNS. Domínios em uma floresta do Active Directory
que não têm o mesmo nome de domínio hierárquico estão em uma árvore de domínio diferente.
Quando diferentes árvores de domínio estão em uma floresta, os domínios raiz não são contíguos. No
entanto, essa configuração não cria um namespace DNS desarticulado. Você tem vários domínios dns ou
até mesmo raiz dns do Active Directory. Um namespace desarticulado é caracterizado por uma diferença
entre o sufixo DNS principal e o nome de domínio do Active Directory do qual o computador é membro.
Namespace desarticulado pode ser usado com cautela em alguns cenários. No entanto, ele não tem suporte em
todos os cenários.
Como concluir uma análise de banco de dados
semântica para o banco de dados do Active
Directory usando Ntdsutil.exe
Este artigo descreve as etapas para concluir uma análise de banco de dados semântica para o banco de dados
do Active Directory usando Ntdsutil.exe
Resumo
Este artigo passo a passo descreve como executar o checker semântico no banco de dados do Active Directory.
Ao contrário dos comandos de gerenciamento de arquivos, que testam a integridade do banco de dados em
relação à semântica do banco de dados ESENT, a análise semântica analisa os dados em relação à semântica do
Active Directory. Você pode usar esse processo para gerar relatórios sobre o número de registros presentes,
incluindo registros excluídos e fantasmas.
O Windows 2000 Directory abre seus arquivos no modo Exclusivo. Isso significa que os arquivos não podem ser
gerenciados enquanto o computador estiver operando como um controlador de domínio. O primeiro
procedimento é inicializar seu servidor no modo de Restauração de Serviços de Diretório.
Inicializar no modo de restauração de serviços de diretório

1. Reinicialize o servidor.
2. Depois que as informações do BIOS aparecerem, pressione F8.
3. Selecione Modo de Restauração de Serviços de Diretório (Windows somente controladores de domínio
2000) e pressione ENTER.
4. Selecione seu servidor e pressione ENTER.
5. Faça logoff usando sua conta Restaurar Administrativa que foi feita quando esse controlador de domínio foi
promovido.
Iniciando Ntdsutil.exe
1. Clique em Iniciar e em Executar.
2. Na caixa Abrir, digite ntdsutil e pressione ENTER. Observe que você pode exibir Ntdsutil.exe Ajuda digitando?
no prompt de comando e, em seguida, pressionando ENTER.
Concluir uma análise de banco de dados

Este procedimento inicia a análise semântica do arquivo Ntds.dit. Um relatório é gerado e gravado em um
arquivo chamado Dsdit.dmp. n, na pasta atual, onde n é um inteiro que é incrementado sempre que você
executar o comando.
1. No prompt Ntdsutil.exe de comando, digite Análise de banco de dados semântico e pressione ENTER.
2. No prompt de comando Verificação Semântica, digite Ir e pressione ENTER.
3. A verificação é exibida. Para sair, digite q, pressione ENTER, digite q e pressione ENTER.
Recuperar um registro específico
Este procedimento recupera um número de registro específico do arquivo Ntds.dit usando a variável de número
de registro DNT. Uma das funções da camada de banco de dados é converter cada nome diferenciado em uma
estrutura inteira chamada de marca de nome diferenciado, que é usada para todos os acessos internos. A
camada de banco de dados garante a exclusividade da marca de nome diferenciado para cada registro de banco
de dados. Para exibir índices e seu DNT associado, use o comando de integridade no menu Arquivos de
Ntdsutil.exe.
1. No prompt Ntdsutil.exe de comando, digite Análise de banco de dados semântico e pressione ENTER.
2. No prompt de comando Verificação Semântica, digite Ir e pressione ENTER.
3. No prompt de comando Verificação Semântica, digite Obter número de registro DNT e pressione ENTER.
4. A verificação é exibida. Para sair, digite q, pressione ENTER, digite q e pressione ENTER.
Como usar o Ntdsutil para gerenciar arquivos do
Active Directory a partir da linha de comando no
Windows Server 2003
Este artigo descreve como gerenciar o arquivo de banco de dados do Active Directory (AD), Ntds.dit, na linha de
comando.
Como iniciar seu computador no modo de Restauração de Serviços

de Diretório
Windows O Serviço de Diretório do Servidor 2003 abre seus arquivos no modo exclusivo, o que significa que os
arquivos não podem ser gerenciados enquanto o servidor estiver operando como um controlador de domínio.
Para iniciar o servidor no modo de Restauração de Serviços de Diretório, siga estas etapas:
1. Reinicie o computador.
2. Depois que as informações do BIOS (Basic Input/Output System) são exibidas, pressione F8.
3. Use a SETA PARA BAIXO para selecionar Modo de Restauração de Serviços de Diretório(Windows somente
controladores de domínio do Ser ver 2003) e pressione ENTER .
4. Use as SETAS PARA CIMA e PARA BAIXO para selecionar o sistema operacional Windows Server 2003 e
pressione ENTER .
5. Entre com sua conta administrativa e senha.
Como instalar ferramentas de suporte e iniciar o Ntdsutil

Para instalar Windows Ferramentas de Suporte, siga estas etapas:
1. Insira o CD de instalação do Windows Server 2003 na unidade CD-ROM ou DVD-ROM.
2. Selecione Iniciar, selecione Executar , digite drive_letter :\Support\Tools\suptools.msi e pressione ENTER .
Para iniciar Ntdsutil, selecione Iniciar , selecione Executar , digite ntdsutil na caixa Abrir e pressione ENTER .
NOTE
Para acessar a lista de comandos disponíveis, digite ?e pressione ENTER.
Como mover o banco de dados

Você pode mover o arquivo de dados Ntds.dit para uma nova pasta. Se você fizer isso, o Registro será atualizado
para que o Serviço de Diretório use o novo local quando você reiniciar o servidor.
Para mover o arquivo de dados para outra pasta, siga estas etapas:
1. Selecione Iniciar , selecione Executar , digite ntdsutil na caixa Abrir e pressione ENTER .
2. No prompt de comando Ntdsutil, digite arquivos e pressione ENTER .
3. No prompt de comando de manutenção de arquivo, digite mover DB para novo local (onde novo local é
uma pasta existente que você criou para essa finalidade) e pressione ENTER .
4. Para encerrar Ntdsutil, digite quit e pressione ENTER .
Como mover arquivos de log

Use os logs de movimentação para comando para mover os arquivos de log de serviço de diretório para outra
pasta. Para que as novas configurações entre em vigor, reinicie o computador depois de mover os arquivos de
log.
Para mover os arquivos de log, siga estas etapas:
3. No prompt de comando de manutenção de arquivo, digite logs de movimentação para o novo local (onde
novo local é uma pasta existente que você criou para essa finalidade) e pressione ENTER .
4. Digite quit e pressione ENTER .
Como recuperar o banco de dados

Para recuperar o banco de dados, siga estas etapas:
3. No prompt de comando de manutenção de arquivo, digite recuperar e pressione ENTER .
NOTE
Você também pode usar Esentutl.exe para executar a recuperação do banco de dados quando o procedimento descrito
anteriormente neste artigo falhar (por exemplo, o procedimento pode falhar quando o banco de dados for inconsistente).
Para usar Esentutl.exe para executar a recuperação de banco de dados, siga estas etapas:
1. Selecione Iniciar, selecione Executar , digite cmd na caixa Abrir e pressione ENTER .
2. Digite esentutl /r path \ntds.dit e pressione ENTER . path refere-se ao local atual do arquivo Ntds.dit.
3. Exclua os arquivos de log do banco de dados (.log) da pasta WINDOWS\Ntds.
Para obter informações adicionais sobre o utilitário esentutl.exe, no prompt de comando, digite esentutl /? e
pressione ENTER .
NOTE
Este procedimento envolve logs de transação para recuperar dados. Os logs de transação são usados para garantir que as
transações comprometidas não sejam perdidas se o computador falhar ou se ele tiver perda de energia inesperada. Os
dados de transação são gravados primeiro em um arquivo de log e, em seguida, gravados no arquivo de dados. Depois
de reiniciar o computador depois que ele falhar, você poderá reprisar o log para reproduzir as transações que foram
comprometidas, mas que não foram gravadas no arquivo de dados.
Como definir caminhos
Você pode usar o comando definir caminho para definir o caminho para os seguintes itens:
Backup: use este parâmetro com o comando set path para definir o destino de backup de disco para disco
para a pasta especificada pela variável de local. Você pode configurar o Serviço de Diretório para fazer um
backup em disco para disco online em intervalos agendados.
Banco de Dados: use esse parâmetro com o comando set path para atualizar a parte do Registro que
identifica o local e o nome do arquivo de dados. Use esse comando apenas para reconstruir um controlador
de domínio que perdeu seu arquivo de dados e que não está sendo restaurado por meio de procedimentos
de restauração típicos.
Logs: use esse parâmetro com o comando set path para atualizar a parte do Registro que identifica o local
dos arquivos de log. Use esse comando somente se você estiver recriando um controlador de domínio que
perdeu seus arquivos de log e não está sendo restaurado por meio de procedimentos de restauração típicos.
Diretório de Trabalho: use esse parâmetro com o comando set path para definir a parte do Registro que
identifica a pasta de trabalho do Serviço de Diretório para a pasta especificada pela variável de local. Para
executar o comando set path, siga estas etapas:
3. No prompt de comando de manutenção de arquivo, digite o local do objeto set path e pressione
ENTER . refere-se a um dos seguintes itens:
Backup
Banco de dados
Logs
Diretório de Trabalho
location refere-se ao local (pasta) ao qual você deseja definir o objeto identificado no comando.
ISMServ.exe não é iniciado quando um controlador
de domínio é iniciado
Este artigo fornece uma solução alternativa para um problema em que o serviço IsmServ não é iniciado
corretamente quando um controlador de domínio é iniciado.
Sintomas
Quando você inicia um controlador de domínio do Windows Server (DC), ele não começa corretamente. Ao
verificar o log do sistema no Visualizador de Eventos, você encontra a seguinte entrada para a ID do Evento
7023:
Nome do Log: Sistema

Fonte: Gerenciador de Controle de Serviço
ID do Evento: 7023
Nível: Erro
Descrição:
O serviço IsmServ foi encerrado com o seguinte erro:
O servidor especificado não pode executar a operação solicitada.
Xml do Evento:
<Event xmlns=" http://schemas.microsoft.com/win/2004/08/events/event ">
...
<EventData>
<Data Name="param1">IsmServ</Data>
<Data Name="param2">%%58</Data>
</EventData>
</Event>
Este evento inclui os seguintes parâmetros de dados:

O valor do parâmetro param1, IsmSer v : isso representa o serviço de Mensagens EntreSite (ISMserv.exe).
O valor do parâmetro param2, 58 : Isso mapeia para a mensagem ERROR_BAD_NET_RESP "O servidor
especificado não pode executar a operação solicitada").
Para coletar mais informações sobre esse problema, você pode configurar o Rastreamento de Eventos LDAP
para Windows (ETW) a ser executado na inicialização do sistema. (Para obter detalhes sobre como fazer isso,
consulte Mais informações.) Depois de reiniciar o DC, você deverá ver as seguintes linhas no log:
[Microsoft-Windows-LDAP-Client/Depuração] Message=LDAP connection 0xec4b08a8 resolvido com êxito

'localhost' usando GetHostByName.
...
[Microsoft-Windows-LDAP-Client/Depuração] Message=gethostbyname coletados 2 registros
dc1.contoso.com para ' '[Microsoft-Windows-LDAP-Client/Debug] Message=LdapParallelConnect
chamado para conexão 0xec4b08a8 com tempo de 45 segundos 0 usec. A contagem total é 2.
[Microsoft-Windows-LDAP-Client/Depuração] Message=No response yet...
[Microsoft-Windows-LDAP-Client/Depuração] Message=LdapParallelConnect concluído para conexão
0xec4b08a8. O tempo de tomada foi de 1 segundo. O tempo-de-tempo original especificado foi 45 s 0 usec.
...
[Microsoft-Windows-LDAP-Client/Depuração] Message=LdapConnect falhou ao abrir a conexão
0xec4b08a8, erro = 0x5b.
[Microsoft-Windows-LDAP-Client/Depuração] Message=LdapConnect thread 0xce0 tem conexão
0xec4b08a8 como para baixo.
Nesse caso, o valor do parâmetro de erro (0x5b ou 91 ) mapeia para a LDAP_CONNECT_ERROR mensagem.
Motivo
O ISMServ depende dos Serviços de Domínio do Active Directory (AD DS). No entanto, durante a inicialização
do sistema, o ISMServ pode tentar criar uma conexão LDAP com o AD DS antes que o AD DS termine de entrar
online. Quando isso acontece, a porta LDAP (porta TCP 389) não está disponível quando o ISMServ tenta se
conectar. Como a porta não está escutando, o ISMServ determina que a conexão falhou sem aguardar o período
de tempo de espera da conexão (45 segundos). Portanto, ISMServ não inicia.
Para resolver imediatamente esse problema, reinicie manualmente o ISMServ.
Para evitar esse problema no futuro, use o snap-in MMC Serviços e Aplicativos para alterar o Tipo de
Inicialização do ISMServ de Automático para Automático (Início Atrasado).
Mais informações
Para configurar o LDAP ETW, siga estas etapas:
1. Use o Editor do Registro para criar a seguinte sub-chave do Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ldap\Tracing\ISMSERV.EXE
2. Abra uma janela de Prompt de Comando elevada e execute os seguintes comandos:
logman create trace "autosession\g_os" -ow -o c:\boot-ldap.etl -p "Microsoft-Windows-LDAP-Client"

0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode Circular -f bincirc -max 4096 -ets reg add
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\g_os /v FileMax /t REG_DWORD /d 2
/F
4. Depois que o computador iniciar, execute o seguinte comando em um prompt de comando elevado:
logman stop "g_os" -ets
5. Ao concluir a coleta de dados, execute o seguinte comando em um prompt de comando elevado para
interromper o rastreamento:
logman delete "autosession\g_os" -et
Status
A Microsoft confirmou que esse é um problema nos produtos Microsoft listados no início deste artigo.
Referências
Como ativar o log de depuração do cliente LDAP (Wldap32.dll)
Erro ao executar o comando no Windows Server
2008: o Adprep não pôde contatar uma réplica para
Adprep /rodcprep partição
DC=DomainDnsZones,DC=Contoso,DC=com
Este artigo resolve um problema em que o comando não foi concluído com êxito porque o mestre de
infraestrutura de um ou mais NDNCs do Active Directory não Adprep /rodcprep é acessível.
Sintomas
Quando você executar o Adprep /rodcprep comando no Windows Server 2008, receberá a seguinte mensagem
de erro:
O Adprep não pôde contatar uma réplica para partição DC=DomainDnsZones,DC=Contoso,DC=com

A adprep falhou na operação na partição DC=DomainDnsZones,DC=Contoso,DC=com Ignorando para a
próxima partição.
Adprep não pôde contatar uma réplica para partição DC=ForestDnsZones,DC=Contoso,DC=com
O Adprep encontrou um erro LDAP. Código de erro: 0x0. Código de erro estendido do servidor: 0x0,
Mensagem de erro do servidor: (nulo).
A adprep falhou na operação na partição DC=ForestDnsZones,DC=Contoso,DC=com Ignorando para a
próxima partição.
Adprep concluído com erros. Nem todas as partições são atualizadas.
Motivo
Esse problema ocorre quando o comando tenta contatar o mestre de infraestrutura Adprep /rodcprep para cada
partição de aplicativo na floresta. O comando faz isso para definir as permissões necessárias para Read-Only
replicação do Controlador de Domínio (RODC). O Adprep /rodcprep comando falhará se uma das seguintes
condições for verdadeira:
A partição ou as partições referenciadas na mensagem de erro não existem mais.
O mestre de infraestrutura da partição ou partições referenciada foi rebaixado com força ou está offline.
Solução
Para resolver esse problema se a partição não existir mais, faça uma limpeza de metadados para a partição órfã
usando o parâmetro "remove nc" da ferramenta Dsmgmt. Para obter mais informações, visite o seguinte site da
Microsoft:
gerenciamento de partição
Se a partição especificada existir, especifique um proprietário de função de infraestrutura que está online para a
partição. Você pode fazer isso modificando manualmente o atributo fSMORoleOwner no objeto, conforme
descrito na seção "Mais informações".
Mais informações
O exemplo de script a seguir modifica o atributo fSMORoleOwner no objeto de infraestrutura do NDNC (Non-
Domain Noming Context) especificado para um servidor ativo ou contactável. O NDNC neste exemplo é o
contexto de nomenrção DomainDnsZones,DC=contoso,DC=com NDNC. O script usa o seguinte comando:
cscript fixfsmo.vbs DC=DomainDnsZones,DC=contoso,DC=com

'-------fixfsmo.vbs------------------
const ADS_NAME_INITTYPE_GC = 3
const ADS_NAME_TYPE_1779 = 1
const ADS_NAME_TYPE_CANONICAL = 2
set inArgs = WScript.Arguments
if (inArgs.Count = 1) then
' Assume the command line argument is the NDNC (in DN form) to use.
NdncDN = inArgs(0)
Else
Wscript.StdOut.Write "usage: cscript fixfsmo.vbs NdncDN"
End if
if (NdncDN <> "") then
' Convert the DN form of the NDNC into DNS dotted form.
Set objTranslator = CreateObject("NameTranslate")
objTranslator.Init ADS_NAME_INITTYPE_GC, ""
objTranslator.Set ADS_NAME_TYPE_1779, NdncDN
strDomainDNS = objTranslator.Get(ADS_NAME_TYPE_CANONICAL)
strDomainDNS = Left(strDomainDNS, len(strDomainDNS)-1)
Wscript.Echo "DNS name: " & strDomainDNS
' Find a domain controller that hosts this NDNC and that is online.
set objRootDSE = GetObject("LDAP://" & strDomainDNS & "/RootDSE")
strDnsHostName = objRootDSE.Get("dnsHostName")
strDsServiceName = objRootDSE.Get("dsServiceName")
Wscript.Echo "Using DC " & strDnsHostName
' Get the current infrastructure fsmo.

strInfraDN = "CN=Infrastructure," & NdncDN
set objInfra = GetObject("LDAP://" & strInfraDN)
Wscript.Echo "infra fsmo is " & objInfra.fsmoroleowner
' If the current fsmo holder is deleted, set the fsmo holder to this domain controller.
if (InStr(objInfra.fsmoroleowner, "\0ADEL:") > 0) then
' Set the fsmo holder to this domain controller.

objInfra.Put "fSMORoleOwner", strDsServiceName
objInfra.SetInfo
' Read the fsmo holder back.

set objInfra = GetObject("LDAP://" & strInfraDN)
Wscript.Echo "infra fsmo changed to:" & objInfra.fsmoroleowner
End if
End if
Para determinar o mestre de infraestrutura de uma partição, consulte o atributo fSMORoleOwner no objeto de
infraestrutura sob a raiz de contexto de nomenização em questão. Por exemplo, consulte o atributo
fSMORoleOwner na partição CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com para
determinar o mestre de infraestrutura para a partição DC=DomainDnsZones,DC=contoso,DC=com. Da
mesma forma, consulte o atributo fSMORoleOwner na partição
CN=Infrastructure,DC=ForestDnsZones,DC=contoso,DC=com para determinar o mestre de
infraestrutura para a partição D C=ForestDnsZones,DC=contoso,DC=com.
Você pode usar ferramentas como a ferramenta LDP, a ferramenta Editar Interfaces de Serviço do Active
Directory (ADSI) e a ferramenta ldifde para fazer essas consultas. Por exemplo, a seguinte consulta usa a
ferramenta Idifde:
ldifde -f Infra_DomainDNSZones.ldf -d "CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com" -l
fSMORoleOwner
Essa consulta retorna o proprietário da função mestra de infraestrutura para a par tição
DC=DomainDnsZones,DC=contoso,DC=com para o arquivo Infra_DomainDNSZones.ldf.
NOTE
Você pode executar o Adprep /rodcprep comando várias vezes sem prejudicar a floresta. As operações concluídas em
execuções anteriores do comando rodcprep não são repetidas.
Se você tentar executar o comando em um ambiente isolado, o mestre de infraestrutura para cada domínio e
para cada partição de diretório de aplicativos deve estar disponível no ambiente para que a operação tenha
rodcprep êxito.
Como configurar a Delegação Restrita kerberos
para páginas proxy de registro da Web
O artigo fornece instruções passo a passo para implementar o Serviço para Usuário para Proxy (S4U2Proxy) ou
Delegação Restrita Somente Kerberos em uma conta de serviço personalizada para páginas proxy de Registro
da Web.
Aplica-se a: Window Server 2016, Window Server 2019, Windows Server 2012 R2
Resumo
Este artigo fornece instruções passo a passo para implementar o Serviço para Usuário para Proxy (S4U2Proxy)
ou delegação restrita somente kerberos para páginas proxy de Registro da Web. Este artigo descreve os
seguintes cenários de configuração:
Configurando a delegação para uma conta de serviço personalizada
Configurando a delegação para a conta networkService
NOTE
Os fluxos de trabalho descritos neste artigo são específicos de um ambiente específico. Os mesmos fluxos de trabalho
podem não funcionar para uma situação diferente. No entanto, os princípios permanecem os mesmos. A figura a seguir
resume esse ambiente.
Cenário 1: Configurar a delegação restrita para uma conta de serviço

personalizada
Esta seção descreve como implementar o Serviço para Usuário para Proxy (S4U2Proxy) ou delegação restrita
somente kerberos quando você usa uma conta de serviço personalizada para as páginas proxy de Registro da
Web.
1. Adicionar um SPN à conta de serviço
Associe a conta de serviço a um SPN (Nome da Entidade de Serviços). Para fazer isso, siga estas etapas:
1. Em Usuários e Computadores do Active Director y, conecte-se ao domínio e selecione Usuários >
PKI PKI .
2. Clique com o botão direito do mouse na conta de serviço (por exemplo, web_svc) e selecione
Propriedades .
3. Selecione Ser viço de Editor de > AtributosPrincipalName .
4. Digite a nova cadeia de caracteres SPN, selecione Adicionar (conforme mostrado na figura a seguir) e
selecione OK .
Você também pode usar Windows PowerShell para configurar o SPN. Para fazer isso, abra uma janela
elevada do PowerShell e execute setspn -s SPN Accountname . Por exemplo, execute o seguinte comando:
setspn -s HTTP/webenroll2016.contoso.com web_svc
2. Configurar a delegação
1. Configure a delegação restrita S4U2proxy (somente Kerberos) na conta de serviço. Para fazer isso, na
caixa de diálogo Propriedades da conta de serviço (conforme descrito no procedimento anterior),
selecione Delegação Confiar neste usuário para delegação somente para serviços > especificados.
Certifique-se de que Use Kerberos somente está selecionado.
2. Feche a caixa de diálogo.
3. Na árvore de console, selecione Computadores e selecione a conta do computador do servidor front-
end de Registro da Web.
NOTE
Essa conta também é conhecida como "conta do computador".
4. Configure a delegação restrita S4U2self (Transição de Protocolo) na conta do computador. Para fazer isso,
clique com o botão direito do mouse na conta do computador e selecione Propriedades Delegação
confiar neste computador para delegação somente > > para ser viços especificados. Selecione Usar
qualquer protocolo de autenticação .
3. Criar e vincular o certificado SSL para registro na Web
Para habilitar as páginas de registro da Web, crie um certificado de domínio para o site e, em seguida, vincula-o
ao Site Padrão. Para fazer isso, siga estas etapas:
1. Abra Serviços de Informações da Internet gerenciador (IIS).
2. Na árvore de console, selecione e selecione <HostName _> Certificados _Server.
NOTE
<HostName> é o nome do servidor Web front-end.
3. No menu Ações, selecione Criar um Cer tificado de Domínio .

4. Depois que o certificado for criado, selecione Site Padrão na árvore do console e selecione
Vinculações .
5. Certifique-se de que a por ta está definida como 443 . Em seguida, em cer tificado SSL, selecione o
certificado que você criou na etapa 3.
6. Selecione OK para vincular o certificado à porta 443.
4. Configure o servidor front-end de Registro da Web para usar a conta de serviço
IMPORTANT
Certifique-se de que a conta de serviço faça parte dos administradores locais ou IIS_Users grupo no servidor Web.
1. Clique com o botão direito do mouse em DefaultAppPool e selecione Advanced Configurações .
2. Selecione Identidade do Modelo de > Processo, selecione Conta personalizada e, em seguida,

selecione Definir . Especifique o nome e a senha da conta de serviço.
3. Selecione OK nas caixas de diálogo Definir Credenciais e Identidade do Pool de Aplicativos.
4. Em Advanced Configurações, localize Load User Profile e certifique-se de que ele está definido
como True .
Cenário 2: Configurar delegação restrita na conta networkService

Esta seção descreve como implementar a delegação restrita somente S4U2Proxy ou Kerberos quando você usa
a conta NetworkService para as páginas proxy de Registro da Web.
Etapa opcional: Configurar um nome a ser usado para conexões
Você pode atribuir um nome à função de Registro da Web que os clientes podem usar para se conectar. Essa
configuração significa que as solicitações de entrada não têm que saber o nome do computador do servidor
front-end de Registro da Web ou outras informações de roteamento, como o nome canônico DNS (CNAME).
Por exemplo, suponha que o nome do computador do servidor de Registro da Web seja WEBENROLLMAC (no
domínio Contoso). Em vez disso, você deseja que as conexões de entrada usem o nome ContosoWebEnroll.
Nesse caso, a URL de conexão seria o seguinte:
https://contosowebenroll.contoso.com/certsrv
Não seria o seguinte:

https://WEBENROLLMAC.contoso.com/certsrv
Para usar essa configuração, siga estas etapas:

1. No arquivo de zona DNS do domínio, crie um registro de alias ou um registro de nome de host que
mapeia o novo nome de conexão para o endereço IP da função de Registro da Web. Use a ferramenta
Ping para testar a configuração de roteamento.
No exemplo discutido anteriormente, o arquivo de zona tem um registro de alias que mapeia
ContosoWebEnroll para o endereço IP da Contoso.com função de Registro da Web.
2. Configure o novo nome como um SPN para o servidor front-end de Registro da Web. Para fazer isso, siga
estas etapas:
a. Em Usuários e Computadores do Active Directory, conecte-se ao domínio e selecione
Computadores .
b. Clique com o botão direito do mouse na conta do computador do servidor front-end de Registro da
Web e selecione Propriedades .
NOTE
c. Selecione Ser viço de Editor de > AtributosPrincipalName .

d. Digite HTTP/ < ConnectionName > . , selecione < DomainName .com > Adicionar e selecione
OK .
NOTE
Nesta cadeia de <ConnectionName> caracteres, é o novo nome que você definiu e <DomainName> é o
nome do domínio. No exemplo, a cadeia de caracteres é HTTP/ContosoWebEnroll.contoso.com .
1. Configurar a delegação
1. Se você ainda não se conectou ao domínio, faça isso agora em Usuários e Computadores do Active
Director y e selecione Computadores .
2. Clique com o botão direito do mouse na conta do computador do servidor front-end de Registro da Web
e selecione Propriedades .
NOTE
3. Selecione Delegação e, em seguida, selecione Confiar neste computador para delegação

somente para ser viços especificados.
NOTE
Se você puder garantir que os clientes sempre usarão a autenticação Kerberos quando se conectarem a esse
servidor, selecione Usar Kerberos somente . Se alguns clientes usarem outros métodos de autenticação, como
NTLM ou autenticação baseada em formulários, selecione Usar qualquer protocolo de autenticação .
2. Criar e vincular o certificado SSL para registro na Web

Para habilitar as páginas de registro da Web, crie um certificado de domínio para o site e, em seguida, vincula-o
ao primeiro site padrão. Para fazer isso, siga estas etapas:
1. Abra o Gerenciador do IIS.
2. Na árvore de console, selecione <*HostName _> e selecione _ Certificados do Servidor * no painel de
ações.
NOTE
<HostName> é o nome do servidor Web front-end.
3. No menu Ações, selecione Criar um Cer tificado de Domínio .

4. Depois que o certificado for criado, selecione Site Padrão e, em seguida, selecione Vinculações .
5. Certifique-se de que a por ta está definida como 443 . Em seguida, em cer tificado SSL , selecione o
certificado que você criou na etapa 3. Selecione OK para vincular o certificado à porta 443.
3. Configure o servidor front-end de Registro da Web para usar a conta networkService

1. Clique com o botão direito do mouse em DefaultAppPool e selecione Advanced Configurações .
2. Selecione Identidade do Modelo de > Processo. Certifique-se de que a conta interna está
selecionada e selecione NetworkSer vice . Em seguida, selecione OK .
3. Em Propriedades Avançadas, localize Load User Profile e, em seguida, certifique-se de que ele está
definido como True .
4. Reinicie o serviço do IIS.
Tópicos relacionados
Para obter mais informações sobre esses processos, consulte Authenticating Web Application Users.
Para obter mais informações sobre as extensões de protocolo S4U2self e S4U2proxy, consulte os seguintes
artigos:
[MS-SFU]: Extensões de Protocolo Kerberos: Serviço para Protocolo de Delegação restrita e usuário
Exemplo de domínio único S4U2self 4.1
4.3 Exemplo S4U2proxy
O processo de promoção do controlador de
domínio mostra Windows Server Technical Preview
na lista de níveis funcionais domínio e floresta
Este artigo fornece uma resolução para um problema em que o processo de promoção do controlador de
domínio mostra "Windows Server Technical Preview" na lista de nível funcional domínio e floresta.
Sintomas
Considere o seguinte cenário:
Você tem um computador que está executando Windows Server 2016.
Você instala a função Serviço de Domínio do Active Directory (AD DS).
Depois que a função for instalada, você executará o processo de promoção do controlador de domínio (DC)
no servidor.
No entanto, na segunda página do Assistente de promoção dc, você nota que os níveis funcionais Forest e
Domain mostram uma versão incorreta do Windows, como na captura de tela a seguir:
Você espera que o Assistente de Promoção da DC mostre Windows Server 2016 em vez de Windows Ser ver
Technical Preview .
NOTE
Os Windows Server 2016 níveis funcionais domínio e floresta não são afetados funcionalmente.
Motivo
Esse problema ocorre porque a cadeia de caracteres de exibição não foi atualizada nos níveis funcionais Floresta
e Domínio antes do lançamento do Windows Server 2016.
Resolução
Para resolver esse problema, aplique a atualização cumulativa mais recente para Windows Server 2016 do
Windows Update antes de promover um computador para um controlador de domínio.
Como configurar um firewall para domínios e
relações de confiança do Active Directory
Este artigo descreve como configurar um firewall para domínios e relações de confiança do Active Directory.
Aplica-se a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows
Server 2012 Standard
Número original do KB: 179442
NOTE
Nem todas as portas listadas nestas tabelas são necessárias em todos os cenários. Por exemplo, se o firewall separar
membros e DCs, você não precisará abrir as portas FRS ou DFSR. Além disso, se você souber que nenhum cliente usa
LDAP com SSL/TLS, não precisará abrir as portas 636 e 3269.
Mais informações
NOTE
Os dois controladores de domínio estão na mesma floresta ou os dois controladores de domínio estão em uma floresta
separada. Além disso, as relações de confiança na floresta são relações de confiança do Windows Server 2003 ou versões
posteriores.
P O RTA ( S) DO C L IEN T E P O RTA DO SERVIDO R SERVIÇ O
1024-65535/TCP 135/TCP Mapeador de Ponto de Extremidade

RPC
1024-65535/TCP 1024-65535/TCP RPC para LSA, SAM, NetLogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP FRS RPC (*)
As portas NetBIOS listadas para Windows NT também são necessárias para o Windows 2000 e o Windows
Server 2003 quando as relações de confiança com domínios são configuradas de modo a dar suporte apenas à
comunicação baseada em NetBIOS. Exemplos incluem sistemas operacionais baseados em Windows NT ou
Controladores de Domínio de terceiros baseados no Samba.
Para obter mais informações sobre como definir portas de servidor RPC que são usadas pelos serviços LSA
RPC, consulte:
Restringir o tráfego RPC do Active Directory em uma porta específica.
A seção Controladores de Domínio e Active Directory na Visão geral do serviço e os requisitos de porta de
rede para Windows.
Windows Server 2008 e versões mais recentes do Windows Server aumentaram o intervalo de portas do
cliente dinâmico para conexões de saída. A nova porta inicial padrão é 49152, e a porta final padrão é 65535.
Portanto, você deve aumentar o intervalo de portas RPC em seus firewalls. Essa alteração foi feita para atender
às recomendações da IANA (Internet Assigned Numbers Authority). Isso difere de um domínio de modo misto
que consiste em controladores de domínio do Windows Server 2003, controladores de domínio baseados em
servidor do Windows 2000 ou clientes herdados, em que o intervalo de portas dinâmicas padrão é de 1025 a
5000.
Para obter mais informações sobre a alteração do intervalo de portas dinâmicas do Windows Server 2012 e
Windows Server 2012 R2, consulte:
O intervalo de porta dinâmica padrão para TCP/IP foi alterado.
Portas Dinâmicas no Windows Server.
P O RTA ( S) DO C L IEN T E P O RTA DO SERVIDO R SERVIÇ O
49152-65535/UDP 123/UDP W32Time
49152-65535/TCP 135/TCP Mapeador de Ponto de Extremidade

RPC
49152-65535/TCP 464/TCP/UDP Alteração de senha do Kerberos
49152-65535/TCP 49152-65535/TCP RPC para LSA, SAM, NetLogon (*)
49152-65535/TCP/UDP 389/TCP/UDP LDAP
49152-65535/TCP 636/TCP LDAP SSL
49152-65535/TCP 3268/TCP LDAP GC
49152-65535/TCP 3269/TCP LDAP GC SSL
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/TCP 49152-65535/TCP FRS RPC (*)
49152-65535/TCP/UDP 88/TCP/UDP Kerberos
49152-65535/TCP/UDP 445/TCP SMB (**)
49152-65535/TCP 49152-65535/TCP DFSR RPC (*)

As portas NetBIOS conforme listadas para Windows NT também são necessárias para o Windows 2000 e o
Server 2003 quando as relações de confiança com domínios são configuradas de modo a dar suporte apenas à
comunicação baseada em NetBIOS. Exemplos incluem sistemas operacionais baseados em Windows NT ou
Controladores de Domínio de terceiros baseados no Samba.
(*) Para obter informações sobre como definir portas de servidor RPC usadas pelos serviços LSA RPC, consulte:
Restringir o tráfego RPC do Active Directory em uma porta específica.
A seção Controladores de Domínio e Active Directory na Visão geral do serviço e os requisitos de porta de
rede para Windows.
(**) Para a operação da relação de confiança, essa porta não é necessária, ela é usada somente para criação de
confiança.
NOTE
A relação de confiança externa 123/UDP só será necessária se você tiver configurado manualmente o Serviço de Tempo
do Windows para Sincronizar com um servidor na relação de confiança externa.
Active Directory
O cliente LDAP da Microsoft usa ping ICMP quando uma solicitação LDAP está pendente por tempo estendido e
aguarda uma resposta. Ele envia solicitações de ping para verificar se o servidor ainda está na rede. Se ele não
receber respostas de ping, haverá falha na solicitação LDAP com LDAP_TIMEOUT.
O Redirecionador do Windows também usa mensagens de Ping ICMP para verificar se um IP do servidor é
resolvido pelo serviço DNS antes de uma conexão ser feita e quando um servidor é localizado usando DFS. Se
você quiser minimizar o tráfego ICMP, poderá usar a seguinte regra de firewall de exemplo:
<any> ICMP -> DC IP addr = allow
Ao contrário da camada de protocolo TCP e da camada de protocolo UDP, o ICMP não tem um número de porta.
Isso ocorre porque o ICMP é hospedado diretamente pela camada de IP.
Por padrão, os servidores DNS do Servidor do Windows Server 2003 e do Windows 2000 usam portas
efêmeras do lado do cliente quando consultam outros servidores DNS. No entanto, esse comportamento pode
ser alterado por uma configuração específica do Registro. Ou você pode estabelecer uma relação de confiança
por meio do túnel obrigatório PPTP (Protocolo de Túneis Ponto a Ponto). Isso limita o número de portas que o
firewall precisa abrir. Para PPTP, as portas a seguir devem ser habilitadas.
P O RTA S DO C L IEN T E P O RTA DO SERVIDO R P ROTO C O LO
1024-65535/TCP 1723/TCP PPTP
Além disso, você precisaria habilitar o PROTOCOLO IP 47 (GRE).

NOTE
Quando você adiciona permissões a um recurso em um domínio confiável para usuários em um domínio confiável, há
algumas diferenças entre o comportamento do Windows 2000 e Windows NT 4.0. Se o computador não puder exibir uma
lista de usuários do domínio remoto, considere o seguinte comportamento:
O Windows NT 4.0 tenta resolver nomes digitados manualmente contatando o PDC para o domínio do usuário
remoto (UDP 138). Se essa comunicação falhar, o computador baseado em Windows NT 4.0 contatará seu próprio
PDC e solicitará a resolução do nome.
O Windows 2000 e o Windows Server 2003 também tentam entrar em contato com o PDC do usuário remoto para
resolução sobre o UDP 138. No entanto, eles não dependem de usar seu próprio PDC. Verifique se todos os
servidores membros baseados em Windows 2000 e servidores membros baseados no Windows Server 2003 que
concederão acesso aos recursos têm conectividade UDP 138 com o PDC remoto.
Referência
Visão geral do serviço e requisitos da porta de rede para Windows é um recurso valioso que estrutura as portas
de rede, os protocolos e os serviços necessários usados pelo cliente Microsoft e pelos sistemas operacionais de
servidor, pelos programas com base em servidor e seus subcomponentes no sistema Microsoft Windows
Server. Administradores e profissionais de suporte podem usar o artigo como um mapa para determinar quais
são as portas e os protocolos que os sistemas operacionais e programas da Microsoft exigem para uma
conectividade de rede em uma rede segmentada.
Você não deve usar as informações de porta na Visão geral do serviço e os requisitos de porta de rede para
Windows para configurar o Firewall do Windows. Para obter informações sobre como configurar o Firewall do
Windows, consulte Firewall do Windows e segurança avançada.
Como elevar os níveis funcionais de domínio e
floresta do Active Directory
Este artigo descreve como elevar os níveis funcionais de domínio e floresta do Active Directory.
Resumo
Para obter informações sobre Windows Server 2016 novos recursos nos Serviços de Domínio do Active
Directory (AD DS), consulte Novidades nos Serviços de Domínio do Active Directorypara Windows Server 2016
.
Este artigo aborda a elevação dos níveis funcionais de domínio e floresta com suporte do Microsoft Windows
Server 2003 ou controladores de domínio mais novos. Há quatro versões do Active Directory e apenas os níveis
que foram alterados do Windows NT Server 4.0 exigem consideração especial. Portanto, as outras alterações de
nível são mencionadas usando as versões mais recentes, atuais ou mais antigas do sistema operacional
controlador de domínio, do domínio ou do nível funcional da floresta.
Os níveis funcionais são uma extensão do modo misto e os conceitos de modo nativo introduzidos no Microsoft
Windows 2000 Server para ativar novos recursos do Active Directory. Alguns recursos adicionais do Active
Directory estão disponíveis quando todos os controladores de domínio executam a versão mais recente do
Windows Server em um domínio ou em uma floresta e quando o administrador ativa o nível funcional
correspondente no domínio ou na floresta.
Para ativar os recursos de domínio mais novos, todos os controladores de domínio devem estar executando a
versão mais recente do sistema operacional Windows Server no domínio. Se esse requisito for atendido, o
administrador poderá elevar o nível funcional do domínio.
Para ativar os recursos mais novos em toda a floresta, todos os controladores de domínio na floresta devem
estar executando a versão do sistema operacional Windows Server que corresponde ao nível funcional da
floresta desejada. Além disso, o nível funcional do domínio atual já deve estar no nível mais recente. Se esses
requisitos são atendidos, o administrador pode elevar o nível funcional da floresta.
Geralmente, as alterações nos níveis funcionais do domínio e da floresta são irreversíveis. Se a alteração puder
ser desfeita, uma recuperação de floresta deve ser usada. Com o sistema operacional Windows Server 2008 R2,
as alterações nos níveis funcionais do domínio e nos níveis funcionais da floresta podem ser reajustadas. No
entanto, a reação pode ser executada apenas nos cenários específicos descritos no artigo technet sobre os
níveisfuncionais do Active Directory .
NOTE
Os níveis funcionais de domínio mais novos e os níveis funcionais mais novos da floresta afetam apenas a maneira como
os controladores de domínio operam juntos como um grupo. Os clientes que interagem com o domínio ou com a floresta
não são afetados. Além disso, os aplicativos não são afetados por alterações nos níveis funcionais do domínio ou nos
níveis funcionais da floresta. No entanto, os aplicativos podem tirar proveito dos recursos de domínio mais novos e dos
recursos de floresta mais novos.
Para obter mais informações, consulte o artigo do TechNet sobre os recursos associados aos vários níveis funcionais.
Elevar o nível funcional
Cau t i on
Não aumente o nível funcional se o domínio tiver ou tiver um controlador de domínio que seja de uma versão
anterior que a versão citada para esse nível. Por exemplo, um nível funcional do Windows Server 2008 exige
que todos os controladores de domínio tenham Windows Server 2008 ou um sistema operacional posterior
instalado no domínio ou na floresta. Depois que o nível funcional do domínio for elevado para um nível mais
alto, ele só poderá ser alterado de volta para um nível mais antigo usando uma recuperação de floresta. Essa
restrição existe porque os recursos geralmente alteram a comunicação entre os controladores de domínio ou
porque os recursos alteram o armazenamento dos dados do Active Directory no banco de dados.
O método mais comum para habilitar os níveis funcionais de domínio e floresta é usar as ferramentas gráficas
de administração de interface do usuário (GUI) documentadas no artigo TechNet sobre níveis funcionais do
Windows Server 2003 Active Directory. Este artigo aborda o Windows Server 2003. No entanto, as etapas são
as mesmas nas versões mais recentes do sistema operacional. Além disso, o nível funcional pode ser
configurado manualmente ou pode ser configurado usando Windows PowerShell scripts. Para obter mais
informações sobre como configurar manualmente o nível funcional, consulte a seção "Exibir e definir o nível
funcional".
Para obter mais informações sobre como usar Windows PowerShell para configurar o nível funcional, consulte
Elevar o nível funcional da floresta.
Exibir e definir o nível funcional manualmente
As ferramentas LDAP (Lightweight Directory Access Protocol), como Ldp.exe e Adsiedit.msc, podem ser usadas
para exibir e modificar as configurações atuais de nível funcional do domínio e da floresta. Quando você altera
os atributos de nível funcional manualmente, a prática ideal é fazer alterações de atributo no controlador de
domínio FSMO (Operações Mestras Simples Flexíveis), normalmente direcionado pelas ferramentas
administrativas da Microsoft.
Configurações de nível funcional de domínio
O atributo msDS-Behavior-Version está na cabeça do contexto de nomenana (NC) do domínio, ou seja,
DC=corp, DC=contoso, DC=com.
Você pode definir os seguintes valores para este atributo:
Valor de 0 ou não set=domínio de nível misto
Valor de 1=Windows nível de domínio do Server 2003
Valor de 4=Windows nível de domínio do Server 2008 R2
Configurações de modo misto e modo nativo
O atributo ntMixedDomain está na cabeça do contexto de nomenana (NC) para o domínio, ou seja, DC=corp,
DC=contoso, DC=com.
Valor de domínio de nível 0=Native
Valor de 1=Domínio de nível misto
Configuração de nível de floresta
O atributo msDS-Behavior-Version está no objeto CN=Partitions no contexto de nomenota de Configuração
(NC), ou seja, CN=Partições, CN=Configuration, DC= ForestRootDomain.
Valor de 0 ou não set=floresta de nível misto
Valor de 1=Windows nível de floresta provisória do Server 2003
Valor de 2=Windows nível de floresta do Server 2003
NOTE
Quando você aumenta o atributo msDS-Behavior-Version do valor 0 para o valor 1 usandoAdsiedit.msc, você
recebe a seguinte mensagem de erro:
Operação de modificação ilegal. Alguns aspectos da modificação não são permitidos.

Valor de 4=Windows nível de domínio do Server 2008 R2
Depois de usar as ferramentas LDAP (Lightweight Directory Access Protocol) para editar o nível funcional, clique
em OK para continuar. Os atributos no contêiner de partições e na cabeça do domínio são aumentados
corretamente. Se uma mensagem de erro for relatada pelo arquivo Ldp.exe, você poderá ignorar com segurança
a mensagem de erro. Para verificar se o aumento de nível foi bem-sucedido, atualize a lista de atributos e
verifique a configuração atual. Essa mensagem de erro também poderá ocorrer depois que você tiver executado
o aumento de nível no FSMO autoritativo se a alteração ainda não tiver sido replicada para o controlador de
domínio local.
Exibir rapidamente as configurações atuais usando o Ldp.exe arquivo
1. Inicie o Ldp.exe arquivo.
2. No menu Conexão, clique em Conexão .
3. Especifique o controlador de domínio que você deseja consultar ou deixe o espaço em branco para se
conectar a qualquer controlador de domínio.
Depois de se conectar a um controlador de domínio, as informações rootDSE do controlador de domínio são
exibidas. Essas informações incluem informações sobre a floresta, domínio e controladores de domínio. A seguir,
um exemplo de um controlador de domínio Windows Server 2003 baseado em servidor 2003. No exemplo a
seguir, suponha que o modo de domínio seja Windows Server 2003 e que o modo de floresta seja Windows
2000 Server.
NOTE
A funcionalidade do controlador de domínio representa o nível funcional mais alto possível para esse controlador de
domínio.
1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)
Requisitos quando você altera manualmente o nível funcional

Você deve alterar o modo de domínio para o modo nativo antes de elevar o nível de domínio se uma das
seguintes condições for verdadeira:
O nível funcional do domínio é gerado programaticamente para o segundo nível funcional
modificando diretamente o valor do atributo msdsBehaviorVersion no objeto domainDNS.
O nível funcional do domínio é elevado para o segundo nível funcional usando o utilitário Ldp.exe ou
o utilitário Adsiedit.msc.
Se você não alterar o modo de domínio para o modo nativo antes de elevar o nível de domínio, a
operação não será concluída com êxito e receberá as seguintes mensagens de erro:
SV_PROBLEM_WILL_NOT_PERFORM
ERROR_DS_ILLEGAL_MOD_OPERATION
Além disso, a seguinte mensagem é registrada no log de Serviços de Diretório:
Active Directory could not update the functional level of the following domain because the domain is
in mixed mode.
Nesse cenário, você pode alterar o modo de domínio para o modo nativo usando o snap-in Usuários do
Active Directory & Computers, usando o snap-in Domínios do Active Directory & Confia no MMC da
interface do usuário ou alterando programaticamente o valor do atributo ntMixedDomain para 0 no
objeto domainDNS. Quando esse processo é usado para elevar o nível funcional do domínio para 2
(Windows Server 2003), o modo de domínio é alterado automaticamente para o modo nativo.
A transição do modo misto para o modo nativo altera o escopo do grupo de segurança Administradores
de Esquema e do grupo de segurança Enterprise Administradores para grupos universais. Quando esses
grupos são alterados para grupos universais, a seguinte mensagem é registrada no log do sistema:
Event Type: Information

Event Source: SAM
Event ID: 16408
Computer:Server Name
Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."
Quando as ferramentas administrativas do Windows Server 2003 são usadas para invocar o nível
funcional do domínio, o atributo ntmixedmode e o atributo msdsBehaviorVersion são modificados na
ordem correta. No entanto, isso nem sempre ocorre. No cenário a seguir, o modo nativo é definido
implicitamente como um valor 0 sem alterar o escopo para o grupo de segurança administradores de
esquema e o grupo de segurança Enterprise Administradores para universal:
O atributo msdsBehaviorVersion que controla o modo funcional do domínio é definido manualmente
ou programaticamente com o valor de 2.
O nível funcional da floresta é definido como 2 usando qualquer método. Nesse cenário, os
controladores de domínio bloqueiam a transição para o nível funcional da floresta até que todos os
domínios que estão na rede local sejam configurados no modo nativo e a alteração de atributo
necessária seja feita nos escopos do grupo de segurança.
Níveis funcionais relevantes Windows 2000 Server
Windows 2000 Server suporta apenas o modo misto e o modo nativo. Além disso, ele só aplica esses modos à
funcionalidade de domínio. As seções a seguir listam os modos de domínio do Windows Server 2003 porque
esses modos afetam como os domínios Windows NT 4.0 e Windows 2000 Server são atualizados.
Há muitas considerações ao elevar o nível do sistema operacional do controlador de domínio. Essas
considerações são causadas pelas limitações de armazenamento e replicação dos atributos vinculados Windows
2000 Server.
Windows 2000 Server misto (padrão)
Controladores de domínio com suporte: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server
2003
Recursos ativados: grupos locais e globais, suporte a catálogo global
Windows 2000 Server native
Controladores de domínio com suporte: Windows 2000 Server, Windows Server 2003, Windows Server
2008, Windows Server 2008 R2
Recursos ativados: aninhamento de grupo, grupos universais, Histórico de Sid, conversão de grupos entre
grupos de segurança e grupos de distribuição, você pode aumentar os níveis de domínio aumentando as
configurações de nível da floresta
Windows Server 2003 interim
Controladores de domínio com suporte: Windows NT 4.0, Windows Server 2003
Recursos com suporte: não há recursos em todo o domínio ativados nesse nível. Todos os domínios em uma
floresta são automaticamente elevados a esse nível quando o nível da floresta aumenta para intermediário.
Esse modo só é usado quando você atualiza controladores de domínio em Windows NT domínios 4.0 para
Windows controladores de domínio do Server 2003.
Windows Server 2003
Controladores de domínio com suporte: Windows Server 2003, Windows Server 2008, Windows Server
2008 R2
Recursos com suporte: renomear controlador de domínio, atributo de data/hora de logon atualizado e
replicado. Suporte a senha de usuário no objeto InetOrgPersonClass. Delegação restrita, você pode
redirecionar os contêineres Usuários e Computadores.
Domínios que são atualizados do Windows NT 4.0 ou criados pela promoção de um computador baseado no
Windows Server 2003 operam no nível funcional misto Windows 2000. Windows domínios do 2000 Server
mantêm seu nível funcional de domínio atual quando os controladores de domínio do Windows 2000 Server
são atualizados para o sistema operacional Windows Server 2003. Você pode elevar o nível funcional do
domínio Windows 2000 Server nativo ou Windows Server 2003.
Nível intermediário - atualização de um domínio Windows NT 4.0
Windows O Active Directory do Server 2003 permite uma floresta especial e um nível funcional de domínio
chamado Windows Server 2003 provisório. Esse nível funcional é fornecido para atualizações de domínio
Windows NT s existentes Windows NT 4.0 em que um ou mais controladores de domínio de backup 4.0 (BDCs)
devem funcionar após a atualização. Windows controladores de domínio do 2000 Server não são suportados
neste modo. Windows A intermediação do Servidor 2003 se aplica aos seguintes cenários:
Atualizações de domínio Windows NT 4.0 para Windows Server 2003.
Windows NT 4.0 BDCs não são atualizados imediatamente.
Windows NT domínios 4.0 que contêm grupos com mais de 5.000 membros (excluindo o grupo de usuários
de domínio).
Não há planos para implementar Windows controladores de domínio server2000 na floresta a qualquer
momento.
Windows O Servidor 2003 provisório fornece dois aprimoramentos importantes enquanto ainda permite a
replicação para Windows NT 4.0 BDCs:
1. Replicação eficiente de grupos de segurança e suporte para mais de 5.000 membros por grupo.
2. Algoritmos aprimorados do gerador de topologia entre sites KCC.
Devido à eficiência na replicação de grupo ativada no nível intermediário, o nível intermediário é o nível
recomendado para todas as atualizações Windows NT 4.0. Consulte a seção "Práticas Recomendadas" deste
artigo para obter mais detalhes.
Definindo Windows nível funcional da floresta provisória do Server 2003
Windows O Servidor 2003 provisório pode ser ativado de três maneiras diferentes. Os dois primeiros métodos
são altamente recomendados. Isso porque os grupos de segurança usam a replicação de valor vinculado (LVR)
após o PDC (controlador de domínio principal) do domínio Windows NT 4.0 ter sido atualizado para um
controlador de domínio do Windows Server 2003. A terceira opção é menos recomendada porque a associação
em grupos de segurança usa um único atributo de vários valores, o que pode resultar em problemas de
replicação. As maneiras pelas quais o Windows Server 2003 intermediação pode ser ativado são:
1. Durante a atualização.
A opção é apresentada no assistente de instalação do Dcpromo quando você atualiza o PDC de um
domínio Windows NT 4.0 que serve como o primeiro controlador de domínio no domínio raiz de uma
nova floresta.
2. Antes de atualizar o Windows NT 4.0 PDC de um Windows NT 4.0 como o primeiro controlador de
domínio de um novo domínio em uma floresta existente configurando manualmente o nível funcional da
floresta usando ferramentas LDAP (Lightweight Directory Access Protocol).
Os domínios filho herdam as configurações de funcionalidade em toda a floresta da floresta em que são
promovidos. Atualizar o PDC de um domínio Windows NT 4.0 como um domínio filho em uma floresta
existente do Windows Server 2003 em que os níveis funcionais da floresta provisória foram
configurados usando o arquivo Ldp.exe ou o arquivo Adsiedit.msc permite que os grupos de segurança
usem a replicação de valor vinculado após a atualização da versão do sistema operacional.
3. Após a atualização usando ferramentas LDAP.
Use as duas últimas opções ao ingressar em uma floresta Windows Server 2003 existente durante uma
atualização. Esse é um cenário comum quando um domínio "raiz vazia" está em posição. O domínio
atualizado é ingressado como filho da raiz vazia e herda a configuração de domínio da floresta.
Práticas recomendadas
A seção a seguir discute as práticas recomendadas para aumentar os níveis funcionais. A seção é dividida em
duas partes. "Tarefas de Preparação" discute o trabalho que você deve fazer antes do aumento e "Melhore
Caminhos Ideais" discute as motivações e os métodos para cenários de aumento de nível diferentes.
Para descobrir Windows NT controladores de domínio 4.0, siga estas etapas:
1. Em qualquer controlador de domínio Windows Server 2003, abra Usuários e Computadores do
Active Director y.
2. Se o controlador de domínio ainda não estiver conectado ao domínio apropriado, siga estas etapas para
se conectar ao domínio apropriado:
a. Clique com o botão direito do mouse no objeto de domínio atual e clique Conexão para domínio .
b. Na caixa de diálogo Domínio, digite o nome DNS do domínio ao qual você deseja se conectar e
clique em OK . Ou clique em Procurar para selecionar o domínio na árvore de domínio e clique em
OK .
3. Clique com o botão direito do mouse no objeto de domínio e clique em Encontrar .
4. Na caixa de diálogo Encontrar, clique em Pesquisa Personalizada .
5. Clique no domínio para o qual você deseja alterar o nível funcional.
6. Clique na guia Avançado .
7. Na caixa de consulta Enter LDAP, digite o seguinte e não deixe espaços entre quaisquer caracteres: (&
(objectCategory=computer)(operatingSystem Version=4 * )
(userAccountControl:1.2.840.113556.1.4.803:=8192))
NOTE
Essa consulta não é sensível a minúsculas.
8. Clique em Localizar agora .

Uma lista dos computadores no domínio que estão executando Windows NT 4.0 e funcionando como
controladores de domínio é exibida.
Um controlador de domínio pode aparecer na lista por qualquer um dos seguintes motivos:
O controlador de domínio está executando Windows NT 4.0 e deve ser atualizado.
O controlador de domínio é atualizado para o Windows Server 2003, mas a alteração não é replicada para o
controlador de domínio de destino.
O controlador de domínio não está mais em serviço, mas o objeto do computador do controlador de
domínio não é removido do domínio.
Antes de alterar o nível funcional do domínio para o Windows Server 2003, você deve localizar fisicamente
qualquer controlador de domínio na lista, determinar o status atual do controlador de domínio e atualizar ou
remover o controlador de domínio conforme apropriado.
NOTE
Ao contrário dos controladores de domínio do Windows Server 2000, os controladores de domínio Windows NT 4.0 não
bloqueiam um aumento de nível. Quando você altera o nível funcional do domínio, a replicação para o Windows NT
controladores de domínio 4.0 será parada. No entanto, quando você tenta aumentar para Windows nível de floresta do
Server 2003 com domínios no Windows Server 2000, o nível misto é bloqueado. A falta de Windows NT 4.0 BDCs está
implícita ao atender ao requisito de nível de floresta de todos os domínios no nível nativo do Windows Server 2000 ou
posterior.
Exemplo: Tarefas de preparação antes do aumento do nível

Neste exemplo, o ambiente é gerado do modo misto do Windows Server 2000 para Windows modo de floresta
do Server 2003.
Inventário da floresta para versões anteriores de controladores de domínio.
Se uma lista de servidores precisa não estiver disponível, siga estas etapas:
1. Para descobrir domínios de nível misto, Windows controladores de domínio do Server 2000 ou
controladores de domínio com objetos danificados ou ausentes, use domínios do Active Directory e o snap-
in Trusts MMC.
2. No snap-in, clique em Aumentar a Funcionalidade da Floresta e clique em Salvar como para gerar um
relatório detalhado.
3. Se nenhum problema for encontrado, a opção de aumentar para o nível de floresta do Windows Server 2003
estará disponível na listada "Níveis Funcionais da Floresta Disponível". Quando você tenta elevar o nível da
floresta, os objetos controladores de domínio nos contêineres de configuração são pesquisados por qualquer
controlador de domínio que não tenha msds-behavior-version definido para o nível de destino desejado.
Presume-se que eles sejam controladores de domínio Windows Server 2000 ou objetos controladores de
domínio Windows Servidor mais novos que estão danificados.
4. Se controladores de domínio de versão anterior ou controladores de domínio que apresentaram objetos de
computador danificados ou ausentes foram encontrados, eles serão incluídos no relatório. O status desses
controladores de domínio deve ser investigado e a representação do controlador de domínio no Active
Directory deve ser reparada ou removida usando o arquivo Ntdsutil.
Para obter mais informações, clique no seguinte número de artigo para exibir o artigo na Base de Dados de
216498 como remover dados no Active Directory após um rebaixamento de controlador de domínio
malsucedido
Ve r i fi q u e se a r e p l i c a ç ã o d e p o n t a a p o n t a e st á fu n c i o n a n d o n a fl o r e st a
Para verificar se a replicação de ponta a ponta está funcionando na floresta, use o Windows Server 2003 ou a
versão mais recente do Repadmin em relação aos controladores de domínio do Windows Server 2000 ou do
Windows Server 2003:
Repadmin/Replsum * /Sort:Delta[/Errorsonly] para inventário inicial.
Repadmin/Showrepl * /CSV>showrepl.csv . Importe para Excel e, em seguida, use o Filtro automático de
>dados para identificar recursos de replicação.
Use ferramentas de replicação, como Repadmin, para verificar se a replicação em toda a floresta está
funcionando corretamente.
Verifique a compatibilidade de todos os programas ou serviços com os controladores de domínio Windows
Server mais novos e com o modo de floresta e domínio Windows Servidor superior. Use um ambiente de
laboratório para testar completamente os programas e serviços de produção para problemas de
compatibilidade. Contate os fornecedores para confirmar a funcionalidade.
Preparar um plano de back-out que inclui uma das seguintes ações:
Desconecte pelo menos dois controladores de domínio de cada domínio na floresta.
Crie um backup do estado do sistema de pelo menos dois controladores de domínio de cada domínio na
floresta.
Antes que o plano de back-out possa ser usado, todos os controladores de domínio na floresta devem ser
desativados antes do processo de recuperação.
NOTE
Os aumentos de nível não podem ser restaurados de forma autoritativa. Isso significa que todos os controladores de
domínio que replicaram o aumento de nível devem ser desativados.
Depois que todos os controladores de domínio anteriores são desativados, traga os controladores de domínio
desconectados ou restaure os controladores de domínio do backup. Remova os metadados de todos os outros
controladores de domínio e, em seguida, repromote-os. Esse é um processo difícil e deve ser evitado.
Exemplo: como obter do nível misto Windows Server 2000 para Windows nível de floresta do Server 2003
Aumente todos os domínios para Windows nível nativo do Server 2000. Depois que isso for concluído, aumente
o nível funcional do domínio raiz da floresta para Windows nível da floresta do Server 2003. Quando o nível da
floresta é replicado para os PDCs de cada domínio na floresta, o nível de domínio é automaticamente
aumentado para Windows nível de domínio do Server 2003. Este método tem as seguintes vantagens:
O aumento no nível de toda a floresta só é executado uma vez. Você não precisa aumentar manualmente
cada domínio na floresta para o nível funcional do Windows Server 2003.
Uma verificação para Windows controladores de domínio do Server 2000 é executada antes do aumento de
nível (consulte etapas de preparação). O aumento é bloqueado até que os controladores de domínio do
problema sejam removidos ou atualizados. Um relatório detalhado pode ser gerado listando os
controladores de domínio bloqueados e fornecendo dados ativas.
Uma verificação de domínios no nível intermediário Windows Server 2000 ou Windows Server 2003. O
aumento é bloqueado até que os níveis de domínio sejam aumentados para pelo menos Windows Server
2000 nativo. Domínios de nível intermediário devem ser aumentados para Windows nível de domínio do
Server 2003. Um relatório detalhado pode ser gerado listando os domínios de bloqueio.
Windows NT atualizações 4.0
Windows NT atualizações 4.0 sempre usam nível provisório durante a atualização do PDC, a menos que os
controladores de domínio do Windows Server 2000 tenham sido introduzidos na floresta em que o PDC é
atualizado. Quando o modo provisório é usado durante a atualização do PDC, os grupos grandes existentes
usam a replicação LVR imediatamente, evitando os possíveis problemas de replicação discutidos anteriormente
neste artigo. Use um dos seguintes métodos para chegar ao nível intermediário durante a atualização:
Selecione o nível intermediário durante o Dcpromo. Essa opção só é apresentada quando o PDC é atualizado
para uma nova floresta.
De definir o nível de floresta de uma floresta existente como provisório e, em seguida, ingressar na floresta
durante a atualização do PDC. O domínio atualizado herda a configuração da floresta.
Depois que todos os BDCs Windows NT 4.0 são atualizados ou removidos, cada domínio deve ser transições
para o nível da floresta e pode ser transições para o modo de floresta do Windows Server 2003.
Um motivo para evitar o uso do modo provisório é se há planos para implementar os controladores de domínio
do Windows Server 2000 após a atualização ou a qualquer momento no futuro.
Consideração especial para grupos grandes Windows NT 4.0
Em domínios Windows NT 4.0, grupos de segurança que contêm muito mais de 5.000 membros podem existir.
No Windows NT 4.0, quando um membro de um grupo de segurança muda, somente a alteração única de
associação é replicada para os controladores de domínio de backup. No Windows Server 2000, as associações
de grupo são atributos vinculados armazenados em um único atributo de vários valores do objeto group.
Quando uma única alteração é feita à associação de um grupo, todo o grupo é replicado como uma única
unidade. Como a associação ao grupo é replicada como uma única unidade, há um potencial para que as
atualizações para a associação ao grupo sejam "perdidas" quando membros diferentes são adicionados ou
removidos ao mesmo tempo em controladores de domínio diferentes. Além disso, o tamanho desse único
objeto pode ser maior do que o buffer usado para confirmação de uma entrada no banco de dados. Para obter
mais informações, consulte a seção "Problemas do Armazenamento de Versão com Grandes Grupos" deste
artigo. Por esses motivos, o limite recomendado para membros do grupo é 5000.
A exceção à regra de membro 5000 é o grupo principal (por padrão, este é o grupo "Usuários de Domínio"). O
grupo principal usa um mecanismo "calculado" com base no "primarygroupID" do usuário para determinar a
associação. O grupo principal não armazena membros como atributos vinculados de vários valores. Se o grupo
principal do usuário for alterado para um grupo personalizado, sua associação no grupo Usuários de Domínio
será escrita no atributo vinculado do grupo e não será mais calculada. O novo grupo principal Rid é gravado em
"primarygroupID" e o usuário é removido do atributo membro do grupo.
Se o administrador não selecionar o nível provisório para o domínio de atualização, siga estas etapas antes da
atualização:
1. Inventário de todos os grupos grandes e identifique todos os grupos com mais de 5.000, exceto o grupo de
usuários de domínio.
2. Todos os grupos com mais de 5.000 membros devem ser divididos em grupos menores de menos de 5.000
membros.
3. Localize todas as Listas de Controle de Acesso onde os grupos grandes foram inseridos e adicione os
pequenos grupos criados na etapa 2. Windows O nível de floresta provisória do Servidor 2003 alivia os
administradores de terem que descobrir e relocar grupos de segurança global com mais de 5.000 membros.
Problemas de armazenamento de versão com grupos grandes
Durante operações de longa duração, como pesquisas profundas ou confirmações em um único atributo
grande, o Active Directory deve garantir que o estado do banco de dados seja estático até que a operação seja
concluída. Um exemplo de pesquisas profundas ou confirma atributos grandes é um grupo grande que usa
armazenamento herdado.
À medida que as atualizações para o banco de dados estão ocorrendo continuamente localmente e de parceiros
de replicação, o Active Directory fornece um estado estático en filando todas as alterações de entrada até que a
operação de longa duração seja concluída. Assim que a operação for concluída, as alterações na fila serão
aplicadas ao banco de dados.
O local de armazenamento dessas alterações na fila é chamado de "armazenamento de versão" e tem
aproximadamente 100 megabytes. O tamanho do armazenamento de versão varia e é baseado na memória
física. Se uma operação de longa duração não terminar antes que o armazenamento de versão seja esgotado, o
controlador de domínio irá parar de aceitar atualizações até que a operação de longa duração e as alterações na
fila sejam comprometidas. Grupos que atingem números grandes (mais de 5.000 membros) colocam o
controlador de domínio em risco de esgotar o armazenamento de versão desde que o grupo grande seja
comprometido.
Windows O Server 2003 introduz um novo mecanismo de replicação para atributos de vários valores
vinculados que é chamado de replicação de valor de link (LVR). Em vez de replicar todo o grupo em uma única
operação de replicação, o LVR resolve esse problema replicando cada membro do grupo como uma operação
de replicação separada. A LVR fica disponível quando o nível funcional da floresta é acionado para o nível de
floresta provisória do Windows Server 2003 ou para o nível de floresta Windows Server 2003. Nesse nível
funcional, o LVR é usado para replicar grupos entre Windows controladores de domínio do Server 2003.
Solucionar problemas de SSO com os Serviços de
Federação do Active Directory (AD FS)
Este artigo ajuda você a resolver problemas de SSO (login único) com os Serviços de Federação do Active
Directory (AD FS).
Selecione uma das seguintes seções de acordo com o tipo de problema encontrado.
Aplica-se a: Número KB original dos Serviços de Federação do Active Directory: 4034932
NTLM ou prompt de autenticação baseada em formulários

Durante a solução de problemas de logon único (SSO) com os Serviços de Federação do Active Directory (AD
FS), se os usuários receberam NTLM inesperado ou prompt de autenticação baseado em formulários, siga as
etapas deste artigo para solucionar esse problema.
Verificar Windows configurações de Autenticação Integrada
Para solucionar esse problema, verifique Windows configurações de Autenticação Integrada no navegador do
cliente, configurações do AD FS e parâmetros de solicitação de autenticação.
Verifique o navegador do cliente do usuário
Verifique as seguintes configurações em Opções da Internet:
Na guia Avançado, certifique-se de que a configuração Habilitar autenticação Windows integrada está
habilitada.
Seguindo sites de intranet local de segurança avançados , certifique-se de que a URL do > > > AD FS está
na lista de sites.
Após a > de segurança local > nível personalizado, certifique-se de que o logon automático somente na
configuração zona da Intranet está selecionado.
Se você usar Firefox, Chrome ou Safari, certifique-se de que as configurações equivalentes nesses navegadores
estão habilitadas.
Verificar as configurações do AD FS
Ve r i fi q u e a c o n fi g u r a ç ã o W i n d o w s I n t e g r a t e d F a l l b a c k
1. Abra Windows PowerShell com a opção Executar como administrador.

2. Obter a política de autenticação global executando o seguinte comando:
Get-ADFSGlobalAuthenticationPolicy
3. Examine o valor do atributo WindowsIntegratedFallbackEnbaled.

Se o valor for True, a autenticação baseada em formulários será esperada. Isso significa que a solicitação de
autenticação vem de um navegador que não dá suporte Windows Autenticação Integrada. Consulte a próxima
seção sobre como obter suporte para o navegador.
Se o valor for False, Windows Autenticação Integrada deverá ser esperada.
Ve r i fi q u e a c o n fi g u r a ç ã o W I A Su p p o r t e d U se r s A g e n t s
1. Obter a lista de agentes de usuário com suporte executando o seguinte comando:

Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents
2. Examine a lista de cadeias de caracteres de agente do usuário retornadas pelo comando.

Verifique se a cadeia de caracteres do agente do usuário do navegador está na lista. Caso não seja, adicione a
cadeia de caracteres do agente do usuário seguindo as etapas abaixo:
1. Vá para http://useragentstring.com/ o que detecta e mostra a cadeia de caracteres de agente do usuário
do navegador.
2. Obter a lista de agentes de usuário com suporte executando o seguinte comando:
$wiaStrings = Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents
3. Adicione a cadeia de caracteres de agente do usuário do navegador executando o seguinte comando:
$wiaStrings = $wiaStrings+"NewUAString"
Exemplo:
$wiaStrings = $wiaStrings+" =~Windows\s*NT.*Edge"+"Mozilla/5.0"
4. Atualize a configuração WIASupportedUserAgents executando o seguinte comando:
Set-ADFSProperties -WIASupportedUserAgents $wiaStrings
Verificar os parâmetros de solicitação de autenticação

Ve r i fi q u e se a so l i c i t a ç ã o d e a u t e n t i c a ç ã o e sp e c i fi c a a a u t e n t i c a ç ã o b a se a d a e m fo r m u l á r i o s c o m o o m é t o d o d e a u t e n t i c a ç ã o
1. Se a solicitação de autenticação for uma solicitação WS-Federation, verifique se a solicitação inclui wauth=
urn:oasis:names:tc:SAML:1.0:am:password .
2. Se a solicitação de autenticação for uma solicitação SAML, verifique se a solicitação inclui um elemento
samlp:AuthnContextClassRef com valor urn:oasis:names:tc:SAML:2.0:ac:classes:Password .
Para obter mais informações, consulte Overview of authentication handlers of AD FS sign-in pages.
Ve r i fi q u e se o a p l i c a t i v o e st á M i c r o so ft O n l i n e Se r v i c e s p a r a O ffi c e 3 6 5
Se o aplicativo que você deseja acessar não for Microsoft Online Services, o que você experimentar será
esperado e controlado pela solicitação de autenticação de entrada. Trabalhe com o proprietário do aplicativo
para alterar o comportamento.
Se o aplicativo for Microsoft Online Services, o que você experimentar poderá ser controlado pela configuração
PromptLoginBehavior do objeto realm confiável. Essa configuração controla se os locatários do Azure AD
enviam prompt=login para o AD FS. Para definir a configuração PromptLoginBehavior, siga estas etapas:
1. Abra Windows PowerShell com a opção "Executar como administrador".
2. Obter a configuração de federação de domínio existente executando o seguinte comando:
Get-MSOLDomainFederationSettings -DomainName DomainName | FL *
3. De definir a configuração PromptLoginBehavior executando o seguinte comando:

Set-MSOLDomainFederationSettings -DomainName DomainName -PromptLoginBehavior
<TranslateToFreshPasswordAuth|NativeSupport|Disabled> -SupportsMFA <$TRUE|$FALSE> -
PreferredAuthenticationProtocol <WsFed|SAMLP>
Os valores do parâmetro PromptLoginBehavior são:

a. TranslateToFreshPasswordAuth : O Azure AD envia wauth e wfresh para o AD FS em vez de
prompt=logon. Isso leva a uma solicitação de autenticação para usar a autenticação baseada em
formulários.
b. NativeSuppor t : o parâmetro prompt=login é enviado como está para o AD FS.
c. Desabilitado : Nada é enviado para o AD FS.
Para saber mais sobre o comando Set-MSOLDomainFederationSettings, consulte Suporte ao parâmetro
prompt=logindos Serviços de Federação do Active Directory.
Azure Active Directory (Azure AD) cenário
Se a solicitação de autenticação enviada ao Azure AD incluir o parâmetro prompt=login, desabilite o recurso
prompt=login executando o seguinte comando:
Set-MsolDomainFederationSettings –DomainName DomainName -PromptLoginBehavior Disabled
Depois de executar esse comando, Office 365 aplicativos não incluirão o parâmetro prompt=login em cada
solicitação de autenticação.
Cenário não Azure AD
Parâmetros de solicitação como WAUTH e RequestedAuthNContext em solicitações de autenticação podem
ter métodos de autenticação especificados. Verifique se outros parâmetros de solicitação estão aplicando o
prompt de autenticação inesperado. Em caso afirmado, modifique o parâmetro request para usar o método de
autenticação esperado.
Verificar se o SSO está desabilitado
Se o SSO estiver desabilitado, habilita-o e teste se o problema foi resolvido.
Prompt de autenticação multifa factor

Para solucionar esse problema, verifique se as regras de declaração na parte de base estão definidas
corretamente para autenticação multifatar.
A autenticação multifa factor pode ser habilitada em um servidor do AD FS, em uma parte de confiança ou
especificada em um parâmetro de solicitação de autenticação. Verifique as configurações para ver se elas estão
definidas corretamente. Se a autenticação de vários fatores for esperada, mas você for solicitado repetidamente,
verifique as regras de emissão de terceiros subjacentes para ver se as declarações de autenticação multifafação
são passadas para o aplicativo.
Para obter mais informações sobre a autenticação multifafação no AD FS, consulte os seguintes artigos:
Sob o tour de capa em Autenticação Multifafação no ADFS – Parte 1: Política
Sob o tour de capa em Autenticação Multifafação no ADFS – Parte 2: Partes subjacentes cientes do MFA
Verifique a configuração no servidor do AD FS e na parte de base
Para verificar a configuração no servidor do AD FS, valide as regras de autenticação adicionais globais. Para
verificar a configuração na parte confiável, valide as regras de autenticação adicionais para a confiança da parte
confiável.
1. Para verificar a configuração no servidor do AD FS, execute o seguinte comando em uma Windows
PowerShell janela.
Get-ADFSAdditionalAuthenticationRule
Para verificar a configuração na parte de base, execute o seguinte comando:
Get-ADFSRelyingPartyTrust -TargetName RelyingParty | Select -ExpandProperty

AdditionalAuthenticationRules
NOTE
Se os comandos não retornarem nada, as regras de autenticação adicionais não serão configuradas. Ignore esta
seção.
2. Observe o conjunto de regras de declaração configurado.

Verificar se a autenticação multifa factor está habilitada no conjunto de regras de declaração
Um conjunto de regras de declaração é composto das seguintes seções:
A instrução condition: C:[Type=``…,Value=…]
A instrução issue: => issue (Type=``…,Value=…)
Se a instrução issue contiver a seguinte declaração, a autenticação multifa factor será especificada.
Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value =
"http://schemas.microsoft.com/claims/multipleauthn"
Aqui estão exemplos que exigem que a autenticação multifafação seja usada para dispositivos ingressados fora
do local de trabalho e para acesso extranet, respectivamente:
c:[Type == "http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value ==
"false"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod",
Value = "http://schemas.microsoft.com/claims/multipleauthn")
c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] =>
issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value =
"http://schemas.microsoft.com/claims/multipleauthn")
Verificar as regras de emissão de partes subjacentes

Se o usuário receber repetidamente prompts de autenticação multifa factor após executar a primeira
autenticação, é possível que a parte que responde não está passando as declarações de autenticação
multifafaionária para o aplicativo. Para verificar se as declarações de autenticação são passadas, siga estas
etapas:
1. Execute o seguinte comando no Windows PowerShell:
Get-ADFSRelyingPartyTrust -TargetName ClaimApp
2. Observe o conjunto de regras definido nos atributos IssuanceAuthorizationRules ou

IssuanceAuthorizationRulesFile.
O conjunto de regras deve incluir a seguinte regra de emissão para passar pelas declarações de autenticação de
vários fatores:
C:[Type==http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod, Value==”
http://schemas.microsoft.com/claims/multipleauthn”]=>issue(claim = c)
Verifique o parâmetro de solicitação de autenticação

Verifique se a solicitação de autenticação especifica a autenticação multifato como o método de autenticação
Se a solicitação de autenticação for WS-Federation, verifique se a solicitação inclui
wauth= http://schemas.microsoft.com/claims/multipleauthn .
Se a solicitação de autenticação for uma solicitação SAML, verifique se a solicitação inclui um elemento
samlp:AuthnContextClassRef com valor http://schemas.microsoft.com/claims/multipleauthn .
Para obter mais informações, consulte Overview of authentication handlers of AD FS sign-in pages.
Verifique se o aplicativo está Microsoft Online Services para Office 365
Se o aplicativo que você deseja acessar for Microsoft Online Services para Office 365, verifique a configuração
de federação de domínio SupportsMFA.
1. Obter a configuração atual de federação de domínio SupportsMFA executando o seguinte comando:
Get-MSOLDomainFederationSettings -DomainName DomainName | FL *
2. Se a configuração SupportsMFA for FALSE, de defini-la como TRUE executando o seguinte comando:
Set-MSOLDomainFederationSettings -DomainName DomainName -SupportsMFA $TRUE
Verificar se o SSO está desabilitado

Se o SSO estiver desabilitado, habilita-o e teste se o problema foi resolvido.
Os usuários não podem fazer logoff no site de destino ou no serviço

Esse problema pode ocorrer na página de login do AD FS ou no lado do aplicativo.
Se o problema ocorrer na página de login do AD FS, você receberá uma mensagem de erro "Ocorreu um erro",
"Http 503 Service is unavailable" ou outra mensagem de erro. A URL da página de erro mostra o nome de
serviço do AD FS, como fs.contoso.com .
Se o problema ocorrer no lado do aplicativo, a URL da página de erro mostrará o endereço IP ou o nome do site
do serviço de destino.
Siga as etapas na seção a seguir de acordo com a qual você encontra esse problema.
Esse problema ocorre na página de login do AD FS
Para solucionar esse problema, verifique se todos os usuários são afetados pelo problema e se os usuários
podem acessar todas as partes subjacentes.
Todos os usuários são afetados pelo problema e o usuário não pode acessar nenhuma das partes subjacentes
Vamos verificar a funcionalidade interna de entrada usando IdpInitiatedSignOn. Para fazer isso, use a página
IdpInititatedSignOn para verificar se o serviço do AD FS está funcionando e se a funcionalidade de autenticação
está funcionando corretamente. Para abrir a página IdpInitiatedSignOn, siga estas etapas:
1. Habilita a página IdpInitiatedSignOn executando o seguinte comando no servidor do AD FS:
Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
2. Em um computador que está dentro de sua rede, visite a seguinte página:

https://<FederationInstance>/adfs/ls/idpinitiatedsignon.aspx
3. Insira as credenciais corretas de um usuário válido na página de entrada.

A a ssi n a t u r a é b e m - su c e d i d a
Se a assinatura for bem-sucedida, verifique se o estado do serviço do AD FS está em execução.

1. No servidor do AD FS, abra o Gerenciador do Servidor.
2. No Gerenciador de Servidores, clique em Ser viços > de Ferramentas.
3. Verifique se o Status dos Ser viços de Federação do Active Director y está sendo executado .
Em seguida, verifique a funcionalidade de entrada externa usando IdpInitiatedSignOn. Use a página
IdpInititatedSignOn para verificar rapidamente se o serviço do AD FS está funcionando e se a funcionalidade de
autenticação está funcionando corretamente. Para abrir a página IdpInitiatedSignOn, siga estas etapas:
1. Habilita a página IdpInitiatedSignOn executando o seguinte comando no servidor do AD FS:
Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
2. Em um computador que está fora da sua rede, visite a seguinte página:

https://<FederationInstance>/adfs/ls/idpinitiatedsignon.aspx
3. Insira as credenciais corretas de um usuário válido na página de entrada.

Se a assinatura não tiver êxito, consulte Verificar os componentes e serviços relacionados ao AD FS e Verificar a
relação de confiança do proxy.
Se a entrada for bem-sucedida, continue a solução de problemas com as etapas em Todos os usuários serão
afetados pelo problema e o usuário poderá acessar algumas das partes subjacentes.
A a ssi n a t u r a n ã o fo i b e m - su c e d i d a
Se a assinatura não tiver êxito, verifique os componentes e serviços relacionados ao AD FS.

Verifique se o estado do serviço do AD FS está em execução.
1. No servidor do AD FS, abra o Gerenciador do Servidor.
2. No Gerenciador de Servidores, clique em Ser viços > de Ferramentas.
3. Verifique se o Status dos Ser viços de Federação do Active Director y está sendo executado .
Verifique se os pontos de extremidade estão habilitados. O AD FS fornece vários pontos de extremidade para
diferentes funcionalidades e cenários. Nem todos os pontos de extremidade estão habilitados por padrão. Para
verificar o status dos pontos de extremidade, a seguir estas etapas:
1. No servidor do AD FS, abra o Console de Gerenciamento do AD FS.
2. Expanda pontos > de extremidade de ser viço .
3. Localize os pontos de extremidade e verifique se os status estão habilitados na coluna Habilitado.
Em seguida, verifique se o Azure AD Conexão está instalado. Recomendamos que você use o Azure AD Conexão
o que facilita o gerenciamento de certificados SSL.
Se o Azure AD Conexão estiver instalado, certifique-se de usá-lo para gerenciar e atualizar certificados SSL.
Se o Azure AD Conexão não estiver instalado, verifique se o certificado SSL atende aos seguintes requisitos do
AD FS:
O certificado é de uma autoridade de certificação raiz confiável.
O AD FS exige que os certificados SSL sejam de uma autoridade de certificação raiz confiável. Se o AD FS
for acessado de computadores que não ingressaram no domínio, recomendamos que você use um
certificado SSL de uma autoridade de certificação raiz de terceiros confiável, como DigiCert, VeriSign, etc.
Se o certificado SSL não for de uma autoridade de certificação raiz confiável, a comunicação SSL poderá
quebrar.
O nome do assunto do certificado é válido.
O nome do assunto deve corresponder ao nome do serviço de federação, não ao nome do servidor do
AD FS ou a algum outro nome. Para obter o nome do serviço de federação, execute o seguinte comando
no servidor principal do AD FS:
Get-AdfsProperties | select hostname
O certificado não é revogado.

Verifique se há revogação de certificado. Se o certificado for revogado, a conexão SSL não poderá ser
confiável e será bloqueada por clientes.
Se o certificado SSL não atender a esses requisitos, tente obter um certificado qualificado para comunicação
SSL. Recomendamos que você use o Azure AD Conexão o que facilita o gerenciamento de certificados SSL.
Consulte Atualizar o certificado TLS/SSL para um farm dos Serviços de Federação do Active Directory (AD FS).
Se o certificado SSL atender a esses requisitos, verifique as seguintes configurações do certificado SSL.
V e ri f i q u e s e o c e rt i f i c a d o SSL e s t á i n s t a l a d o c o rre t a me n t e
O certificado SSL deve ser instalado no Armazenamento Pessoal do computador local em cada servidor de
federação em seu farm. Para instalar o certificado, clique duas vezes em . Arquivo PFX do certificado e siga o
assistente.
Para verificar se o certificado está instalado no local correto, siga estas etapas:
1. Listar os certificados que estão no Armazenamento Pessoal do computador local executando o seguinte
comando:
dir Cert:\LocalMachine\My
2. Verifique se o certificado está na lista.
V e ri f i q u e s e o c e rt i f i c a d o SSL c o rre t o e s t á e m u s o
Obter a impressão digital do certificado que está em uso para comunicação SSL e verificar se a impressão
digital corresponde à impressão digital do certificado esperada.
Para obter a impressão digital do certificado que está em uso, execute o seguinte comando em Windows
PowerShell:
Get-AdfsSslCertificate
Se o certificado errado for usado, de definir o certificado correto executando o seguinte comando:
Set-AdfsSslCertificate –Thumbprint CorrectThumprint
V e ri f i q u e s e o c e rt i f i c a d o SSL e s t á d e f i n i d o c o mo o c e rt i f i c a d o d e c o mu n i c a ç ã o d o s e rv i ç o
O certificado SSL precisa ser definido como o certificado de comunicação de serviço no farm do AD FS. Isso não
acontece automaticamente. Para verificar se o certificado correto está definido, siga estas etapas:
1. No Console de Gerenciamento do AD FS, expanda > Cer tificados de Ser viço.
2. Verifique se o certificado listado em Comunicações de ser viço é o certificado esperado.
Se o certificado errado estiver listado, dejuste o certificado correto e conceda ao serviço do AD FS a permissão
De leitura para o certificado. Para fazer isso, siga estas etapas:
1. De definir o certificado correto:
a. Clique com o botão direito do mouse em Cer tificados e clique em Definir Cer tificado de
Comunicação de Ser viço.
b. Selecione o certificado correto.
2. Verifique se o serviço do AD FS tem a permissão De leitura para o certificado:
a. Adicione o snap-in Cer tificados da conta de computador local ao Console de Gerenciamento da
Microsoft (MMC).
b. Expanda Cer tificados (Computador Local) > Pessoal > Cer tificados .
c. Clique com o botão direito do mouse no certificado SSL, clique em Todas as Tarefas Gerenciar
Chaves > Privadas.
d. Verifique se o adfssr v está listado em Nomes de grupo e de usuário com a permissão Leitura.
3. Se adfssrv não estiver listado, conceda ao serviço do AD FS a permissão De leitura para o certificado:
a. Clique em Adicionar , clique em Locais, clique no servidor e clique em OK .
b. Em Enter the object names to select , enter nt ser vice\adfssr v , click Check Names , and then
click OK .
Se você estiver usando o AD FS com o Serviço de Registro de Dispositivo (DRS), insira nt ser vice\drs
em vez disso.
c. Conceda a permissão Leitura e clique em OK .
V e ri f i c a r s e o Se rv i ç o d e R e g i s t ro d e Di s p o s i t i v o ( DR S) e s t á c o n f i g u ra d o n o A D F S
Se você configurou o AD FS com DRS, certifique-se de que o certificado SSL também está configurado
corretamente para RDS. Por exemplo, se houver dois sufixos UPN e , o certificado deve ter e como os Nomes
Alternativos de contoso.com fabrikam.com Assunto enterpriseregistration.contoso.com
enterpriseregistration.fabrikma.com (SANs).
Para verificar se o certificado SSL tem os SANs corretos, siga estas etapas:
1. Listar todos os sufixos UPN que estão sendo usados na organização executando o seguinte comando:
Get-AdfsDeviceRegistratrionUpnSuffix
2. Verifique se o certificado SSL tem os SANs necessários configurados.

3. Se o certificado SSL não tiver os nomes DRS corretos como SANs, obter um novo certificado SSL que
tenha os SANs corretos para DRS e, em seguida, usá-lo como o certificado SSL para o AD FS.
Em seguida, verifique a configuração do certificado em servidores WAP e as vinculações de fallback:
Verifique se o certificado SSL correto está definido em todos os servidores WAP.
1. Certifique-se de que o certificado SSL está instalado no Armazenamento Pessoal do
computador local em cada servidor WAP.
2. Obter o certificado SSL usado pelo WAP executando o seguinte comando:
Get-WebApplicationProxySslCertificate
3. Se o certificado SSL estiver errado, defina o certificado SSL correto executando o seguinte
comando:
Set-WebApplicationProxySslCertificate -Thumbprint Thumbprint
Verifique as vinculações de certificados e atualize-as, se necessário.

Para dar suporte a casos não SNI, os administradores podem especificar vinculações de fallback. Além da
associação padrão federationservicename:443, procure por vinculações de fallback nas seguintes IDs de
aplicativo:
{5d89a20c-beab-4389-9447-324788eb944a : esta é a ID do aplicativo para } o AD FS.
{f955c070-e044-456c-ac00-e9e4275b3f04 : Essa é a ID do aplicativo para Proxy de } Aplicativo Web.
Por exemplo, se o certificado SSL for especificado para uma associação de fallback como 0.0.0.0:443,
certifique-se de que a associação seja atualizada de acordo quando o certificado SSL for atualizado.
Todos os usuários são afetados pelo problema e o usuário pode acessar algumas das partes subjacentes
Primeiro, vamos obter as informações do cliente OAuth e da parte de base. Se você usar uma parte de base
convencional, siga estas etapas:
1. No servidor principal do AD FS, abra Windows PowerShell com a opção Executar como administrador.
2. Adicione o componente do AD FS 2.0 Windows PowerShell executando o seguinte comando:
Add-PSSnapin Microsoft.Adfs.PowerShell
3. Obter as informações de terceiros subjacentes executando o seguinte comando:
$rp = Get-AdfsRelyingPartyTrust RPName
4. Obter as informações do cliente OAuth executando o seguinte comando:
$client = Get-AdfsClient ClientName
Se você usar o recurso Grupo de Aplicativos no Windows Server 2016, siga as etapas abaixo:
1. No servidor principal do AD FS, abra Windows PowerShell com a opção Executar como administrador.
$rp = Get-AdfsWebApiApplication ResourceID
3. Se o cliente OAuth for público, obter as informações do cliente executando o seguinte comando:
$client = Get-AdfsNativeClientApplication ClientName
Se o cliente for confidencial, obter as informações do cliente executando o seguinte comando:
$client = Get-AdfsServerApplication ClientName
Agora, continue com os seguintes métodos de solução de problemas.

Ve r i fi q u e a s c o n fi g u r a ç õ e s d a p a r t e e d o c l i e n t e d e c o n fi a n ç a
O identificador de terceiros, a ID do cliente e o URI de redirecionamento devem ser fornecidos pelo proprietário
do aplicativo e pelo cliente. No entanto, ainda pode haver uma incompatibilidade entre o que o proprietário
fornece e o que está configurado no AD FS. Por exemplo, uma incompatibilidade pode ser causada por um erro
de digitação. Verifique se as configurações fornecidas pelo proprietário corresponderão às configuradas no AD
FS. As etapas da página anterior obterão as configurações configuradas no AD FS via PowerShell.
C O N F IGURA Ç Õ ES F O RN EC IDO P ELO P RO P RIETÁ RIO C O N F IGURA Ç Õ ES C O N F IGURA DO N O A D F S
ID da parte de base $rp. Identificador
URI de redirecionamento de terceiros de confiança Um prefixo ou uma combinação de caractere curinga de

$rp. WSFedEndpoint para uma WS-Fed de confiança
$rp. SamlEndpoints para uma parte de base SAML
ID do cliente $client. ClientId
URI de redirecionamento do cliente Uma combinação de prefixo de $client. RedirectUri
Se os itens na tabela corresponderem, verifique se essas configurações coincidem entre o que aparecem na
solicitação de autenticação enviada ao AD FS e o que estão configurados no AD FS. Tente reproduzir o problema
durante o qual você captura um rastreamento fiddler na solicitação de autenticação enviada pelo aplicativo para
o AD FS. Examine os parâmetros de solicitação para fazer as seguintes verificações, dependendo do tipo de
solicitação.
So l i c i t a ç õ e s O A u t h
Uma solicitação OAuth tem a seguinte aparência:

https://sts.contoso.com/adfs/oauth2/authorize?
response_type=code&client_id=ClientID&redirect_uri=https://www.TestApp.com&resource=https://www.TestApp.com
Verifique se os parâmetros de solicitação corresponderão às configurações configuradas no AD FS.
SO L IC ITA R PA RÂ M ET RO S C O N F IGURA Ç Õ ES C O N F IGURA DO N O A D F S
client_id $client. ClientId
redirect_uri Uma combinação de prefixo de @client_RedirectUri
O parâmetro "resource" deve representar uma parte de base válida no AD FS. Obter as informações de terceiros
subjacentes executando um dos seguintes comandos.
Se você usar uma parte de base convencional, execute o seguinte comando:
Get-AdfsRelyingPartyTrust -Identifier "ValueOfTheResourceParameter"
Se você usar o recurso Grupo de Aplicativos Windows Server 2016, execute o seguinte comando:
Get-AdfsWebApiApplication "ValueOfTheResourceParameter"
W S-F e d s o l i c i t a ç õ e s
Uma WS-Fed de WS-Fed tem a seguinte aparência:

https://fs.contoso.com/adfs/ls/?
wa=wsignin1.0&wtrealm=https://claimsweb.contoso.com&wctx=rm=0&id=passive&ru=/&wct=2014-10-21T22:15:42Z
Verifique se os parâmetros de solicitação corresponderão às configurações configuradas no AD FS:
wtrealm $rp. Identificador

wreply Uma combinação de prefixo ou caractere curinga de $rp.

WSFedEndpoint
So l i c i t a ç õ e s SA M L
Uma solicitação SAML tem a seguinte aparência:

https://sts.contoso.com/adfs/ls/?
SAMLRequest=EncodedValue&RelayState=cookie:29002348&SigAlg=http://www.w3.org/2000/09/Fxmldsig#rsa-
sha1&Signature=Signature
Decodificar o valor do parâmetro SAMLRequest usando a opção "From DeflatedSAML" no Fiddler Text Wizard. O
valor decodificado tem a seguinte aparência:
<samlp:AuthnRequest ID="ID" Version="2.0" IssueInstant="2017-04-28T01:02:22.664Z"

Destination="https://TestClaimProvider-Samlp-Only/adfs/ls"
Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" ForceAuthn="true"
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer
xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://fs.contoso.com/adfs/services/trust</Issuer>
<samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" AllowCreate="true" />
</samlp:AuthnRequest>
Faça as seguintes verificações no valor decodificado:

Verifique se o nome do host no valor de Destination corresponde ao nome de host do AD FS.
Verifique se o valor de Emissor corresponde $rp.Identifier .
Observações adicionais para SAML:
$rp. SamlEndpoints: mostra todos os tipos de pontos de extremidade SAML. A resposta do AD FS é enviada
para as URLs correspondentes configuradas nos pontos de extremidade. Um ponto de extremidade SAML
pode usar vinculações de redirecionamento, postagem ou artefato para transmissão de mensagens. Todas
essas URLs podem ser configuradas no AD FS.
$rp. SignedSamlRequestsRequired: se o valor estiver definido, a solicitação SAML enviada da parte de base
precisa ser assinada. Os parâmetros "SigAlg" e "Signature" precisam estar presentes na solicitação.
$rp. RequestSigningCertificate: Este é o certificado de assinatura usado para gerar a assinatura na solicitação
SAML. Certifique-se de que o certificado é válido e peça ao proprietário do aplicativo para corresponder ao
certificado.
Ve r i fi q u e o c e r t i fi c a d o d e c r i p t o g r a fi a
Se $rp.EncryptClaims retornar Enabled, a criptografia de terceiros de confiança será habilitada. O AD FS usa o

certificado de criptografia para criptografar as declarações. Faça as seguintes verificações:
$rp. EncryptionCertificate: use este comando para obter o certificado e verificar se ele é válido.
$rp. EncryptionCertificateRevocationCheck: use este comando para verificar se o certificado atende aos
requisitos de verificação de revogação.
O s d o i s m é t o d o s a n t e r i o r e s n ã o fu n c i o n a m
Para continuar a solução de problemas, consulte Usar o aplicativo Token de Despejo.

Nem todos os usuários são afetados pelo problema, e o usuário não pode acessar nenhuma das partes subjacentes
Neste cenário, faça as verificações a seguir.
Ve r i fi c a r se o u su á r i o e st á d e sa b i l i t a d o
Verifique o status do usuário na Windows PowerShell ou na interface do usuário. Se o usuário estiver

desabilitado, habilita o usuário.
V e ri f i q u e o s t a t u s d o u s u á ri o c o m W i n d o w s P o w e r Sh e l l
1. Faça logoff em qualquer um dos controladores de domínio.

2. Abra o PowerShell do Windows.
3. Verifique o status do usuário executando o seguinte comando:
Get-ADUser -Identity <samaccountname of the user> | Select Enabled
V e ri f i q u e o s t a t u s d o u s u á ri o n a i n t e rf a c e d o u s u á ri o
1. Faça logoff em qualquer um dos controladores de domínio.

2. Abra o console de gerenciamento usuários e computadores do Active Directory.
3. Clique no nó Usuários, clique com o botão direito do mouse no usuário no painel direito e clique em
Propriedades .
4. Clique na guia Conta.
5. Em Opções de conta, verifique se a conta está desabilitada está marcada.
6. Se a opção estiver marcada, desmarque-a.

Ve r i fi c a r se a s p r o p r i e d a d e s d o u su á r i o fo r a m a t u a l i z a d a s r e c e n t e m e n t e
Se qualquer propriedade do usuário for atualizada no Active Directory, ela resulta em uma alteração nos
metadados do objeto do usuário. Verifique o objeto de metadados do usuário para ver quais propriedades
foram atualizadas recentemente. Se as alterações são encontradas, certifique-se de que elas sejam escolhidas
pelos serviços relacionados. Para verificar se houve alterações de propriedade em um usuário, a seguir estas
etapas:
1. Faça logoff em um controlador de domínio.
2. Abra o PowerShell do Windows.
3. Obter os metadados do objeto do usuário executando o seguinte comando:
repadmin /showobjmeta <destination DC> "user DN"
Um exemplo do comando é:
repadmin /showobjmeta localhost "CN=test user,CN=Users,DC=fabidentity,DC=com"
4. Nos metadados, examine a coluna Hora/Data para cada atributo para qualquer dica para uma alteração.
No exemplo a seguir, o atributo userPrincipleName tem uma data mais recente do que os outros
atributos que representam uma alteração nos metadados do objeto do usuário.
Ve r i fi q u e a c o n fi a n ç a d a fl o r e st a se o u su á r i o p e r t e n c e a o u t r a fl o r e st a
Em um ambiente do AD FS de várias florestas, uma confiança de floresta de duas vias é necessária entre a
floresta onde o AD FS é implantado e as outras florestas que utilizam a implantação do AD FS para autenticação.
Para verificar se a confiança entre as florestas está funcionando conforme o esperado, siga estas etapas:
1. Faça logoff em um controlador de domínio na floresta onde o AD FS é implantado.
2. Abra o console de gerenciamento de Domínios e Confiações do Active Directory.
3. No console de gerenciamento, clique com o botão direito do mouse no domínio que contém a confiança
que você deseja verificar e clique em Propriedades .
4. Clique na guia Confiações.
5. Em Domínios confiáveis por esse domínio (confianças de saída) ou Domínios que confiam nesse
domínio (confianças de entrada), clique na confiança a ser verificada e clique em Propriedades .
6. Clique em Validar .
Na caixa de diálogo Ser viços de Domínio do Active Director y, selecione uma das opções.
Se você selecionar Não , recomendamos que você repita o mesmo procedimento para o domínio
recíproco.
Se você selecionar Sim , forneça uma credencial de usuário administrativa para o domínio
recíproco. Não é necessário executar o mesmo procedimento para o domínio recíproco.
Se essas etapas não ajudarem você a resolver o problema, continue a solução de problemas com as etapas na
seção Nem todos os usuários são afetados pelo problema e o usuário pode acessar algumas das partes
subjacentes.
Nem todos os usuários são afetados pelo problema, e o usuário pode acessar algumas das partes subjacentes
Nesse cenário, verifique se esse problema ocorre em um cenário do Azure AD. Nesse caso, faça essas
verificações para solucionar esse problema. Caso não seja, consulte Usar o aplicativo Token de Despejo para
solucionar esse problema.
Ve r i fi q u e se o u su á r i o e st á si n c r o n i z a d o c o m o A z u r e A D
Se um usuário estiver tentando fazer logoff no Azure AD, ele será redirecionado para o AD FS para autenticação
de um domínio federado. Um dos motivos possíveis para um logon com falha é que o usuário ainda não está
sincronizado com o Azure AD. Você pode ver um loop do Azure AD para o AD FS após a primeira tentativa de
autenticação no AD FS. Para determinar se o usuário está sincronizado com o Azure AD, siga estas etapas:
1. Baixe e instale o módulo do PowerShell do Azure AD para Windows PowerShell.
2. Abra Windows PowerShell com a opção "Executar como administrador".
3. Inicie uma conexão com o Azure AD executando o seguinte comando:
Connect-MsolService
4. Forneça a credencial de administrador global para a conexão.
5. Obter a lista de usuários no Azure AD executando o seguinte comando:
Get-MsolUser
6. Verifique se o usuário está na lista.
Se o usuário não estiver na lista, sincronize o usuário com o Azure AD.
Ve r i fi c a r i m m u t a b l e I D e U P N n a r e g r a d e d e c l a r a ç ã o d e e m i ssã o
O Azure AD requer immutableID e o UPN do usuário para autenticar o usuário.
NOTE
ImmutableID também é chamado sourceAnchor nas seguintes ferramentas:
Azure AD Sync
Azure Active Directory Sincronização (DirSync)
Os administradores podem usar o Azure AD Conexão gerenciamento automático da confiança do AD FS com o

Azure AD. Se você não estiver gerenciando a confiança por meio do Azure AD Conexão, recomendamos que
você faça isso baixando o Azure AD Conexão O Azure AD Conexão habilita o gerenciamento automático de
regras de declaração com base nas configurações de sincronização.
Para verificar se as regras de declaração para immutableID e UPN no AD FS corresponde ao que o Azure AD usa,
siga estas etapas:
1. Obter sourceAnchor e UPN no Azure AD Conexão.
a. Abra o Azure AD Conexão.
b. Clique em Exibir configuração atual .
c. Na página Revisar Sua Solução, anote os valores de SOURCE ANCHOR e USER PRINCIPAL
NAME .
2. Verifique os valores de immutableID (sourceAnchor) e UPN na regra de declaração correspondente

configurada no servidor do AD FS.
a. No servidor do AD FS, abra o console de gerenciamento do AD FS.
b. Clique em Confiar em Confianças de Terceiros.
c. Clique com o botão direito do mouse na confiança da parte confiável com o Azure AD e clique em
Editar Política de Emissão de Declaração.
d. Abra a regra de declaração para ID imutável e UPN.
e. Verifique se as variáveis consultadas para valores de immutableID e UPN são as mesmas que
aparecem no Azure AD Conexão.
3. Se houver uma diferença, use um dos métodos abaixo:
Se o AD FS for gerenciado pelo Azure AD Conexão, redefinir a confiança da parte confiável usando o
Azure AD Conexão.
Se o AD FS não for gerenciado pelo Azure AD Conexão, corrija as declarações com os atributos certos.
Se essas verificações não o ajudarem a resolver o problema, consulte Usar o aplicativo Token de Despejo para
solucionar esse problema.
Esse problema ocorre no lado do aplicativo
Se o certificado de assinatura de token foi renovado recentemente pelo AD FS, verifique se o novo certificado
foi escolhido pelo parceiro de federação. Caso o AD FS use um certificado de descriptografia de token que
também foi renovado recentemente, faça a mesma verificação também. Para verificar se o certificado de
assinatura de token do AD FS atual no AD FS corresponde ao do parceiro de federação, siga estas etapas:
1. Obter o certificado de assinatura de token atual no AD FS executando o seguinte comando:
Get-ADFSCertificate -CertificateType token-signing
2. Na lista de certificados retornados, encontre o com IsPrimar y = TRUE e anote a impressão digital.
3. Obter a impressão digital do certificado de assinatura de token atual no parceiro de federação. O
proprietário do aplicativo precisa fornecer isso a você.
4. Compare as impressões digitais dos dois certificados.
Faça a mesma verificação se o AD FS usa um certificado de descriptografia de token renovado, exceto que o
comando para obter o certificado de descriptografia de token no AD FS é o seguinte:
Get-ADFSCertificate -CertificateType token-decrypting
As impressões digitais dos dois certificados corresponderão

Se as impressões digitais corresponderem, verifique se os parceiros estão usando os novos certificados do AD
FS.
Se houver incompatibilidades de certificados, verifique se os parceiros estão usando os novos certificados. Os
certificados são incluídos nos metadados de federação publicados pelo servidor do AD FS.
NOTE
Os parceiros referem-se a todos os parceiros da organização de recursos ou da organização da conta, representados no
AD FS por confiarem em confianças de terceiros e confianças do provedor de declarações.
Os parceiros podem acessar os metadados de federação

Se os parceiros puderem acessar os metadados de federação, peça aos parceiros para usarem os novos
certificados.
Os parceiros não podem acessar os metadados de federação
Nesse caso, você deve enviar manualmente aos parceiros as chaves públicas dos novos certificados. Para
fazer isso, siga estas etapas:
1. Exporte as chaves públicas como arquivos .cert ou como arquivos .p7b para incluir as cadeias de
certificados inteiras.
2. Envie as chaves públicas para os parceiros.
3. Peça aos parceiros para usarem os novos certificados.
As impressões digitais dos dois certificados não combinam
Em seguida, verifique se há uma incompatibilidade de algoritmo de assinatura de token. Para fazer isso, siga
estas etapas:
1. Determine o algoritmo usado pela parte de base executando o seguinte comando:
Get-ADFSRelyingPartyTrust -Name RPName | FL SignatureAlgorithm
Os valores possíveis são SHA1 ou SHA256.

2. Verifique com o proprietário do aplicativo o algoritmo usado no lado do aplicativo.
3. Verifique se os dois algoritmos corresponderam.
Se os dois algoritmos corresponderem, verifique se o formato name ID corresponde ao que o aplicativo requer.
1. No servidor do AD FS, despejo as regras de transformação de emissão executando o seguinte comando:
(Get-AdfsRelyingPartyTrust -Name RPName).IssuanceTransformRules
2. Localize a regra que emite a declaração NameIdentifier. Se essa regra não existir, ignore esta etapa.
Veja um exemplo da regra:
c:[Type == "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"] => issue(Type =
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = c.Value,
Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] =
"urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified");
Observe o formato NameIdentifier na seguinte sintaxe:

Properties["Property-type-URI"] = "ValueURI"
Os formatos possíveis estão listados abaixo. O primeiro formato é o padrão.

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecifie.
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
3. Peça ao proprietário do aplicativo o formato NameIdentifier exigido pelo aplicativo.
4. Verifique se os dois formatos NameIdentifier combinam.
5. Se os formatos não corresponderem, configure a declaração NameIdentifier para usar o formato que o
aplicativo requer. Para fazer isso, siga estas etapas:
a. Abra o de gerenciamento AD FS.
b. Clique em Confiar em Confianças de Parte, selecione o parceiro de federação apropriado e clique
em Editar Política de Emissão de Declarações no painel Ações.
c. Adicione uma nova regra se não houver regra para emitir a declaração NameIdentifier ou atualizar
uma regra existente. Selecione ID de nome para tipo de declaração de entrada e especifique o
formato que o aplicativo requer.
Se os dois algoritmos não se descompassam, atualize o algoritmo de assinatura usado pela confiança da parte
confiável.
1. Abra o de gerenciamento AD FS.
2. Clique com o botão direito do mouse na confiança da parte confiável e clique em Propriedades .
3. Na guia Avançado, selecione o algoritmo para corresponder ao que o aplicativo requer.
Sobre renovação automática de certificado

Se o certificado de assinatura de token ou certificado de descriptografia de token for auto-assinado, o
AutoCertificateRollover será habilitado por padrão nesses certificados e o AD FS gerenciará a renovação
automática dos certificados quando eles estão perto da expiração.
Para determinar se você está usando certificados auto-assinados, siga estas etapas:
1. Execute o seguinte comando:
Get-ADFSCerticate -CertificateType "token-signing"
2. Examine os atributos do certificado.

Se os atributos Subject e Issuer começarem com "CN=ADFS Signing...", o certificado será auto-assinado e
gerenciado pelo AutoCertRollover.
Para confirmar se os certificados são renovados automaticamente, siga estas etapas:
1. Execute o seguinte comando:
Get-ADFSProperties | FL AutoCertificateRollover
2. Examine o atributo AutoCertificateRollover.

Se AutoCer tificateRollover = TRUE , o AD FS gera automaticamente novos certificados (30 dias
antes da expiração por padrão) e os define como certificados principais (25 dias antes da expiração).
Se AutoCer tificateRollover = FALSE , você precisará substituir manualmente os certificados.
Verifique os componentes e serviços relacionados ao ADFS

Este artigo apresenta como verificar os componentes e serviços relacionados ao ADFS. Essas etapas podem
ajudar ao solucionar problemas de SSO (SSO) com os Serviços de Federação do Active Directory (ADFS).
Verificar DNS
Acessar o ADFS deve apontar diretamente para um dos servidores WAP (Proxy de Aplicativo Web) ou para o
balanceador de carga na frente dos servidores WAP. Faça as seguintes verificações:
Ping o nome do serviço de federação (por fs.contoso.com exemplo). Confirme se o endereço IP que o Ping
resolve é de um dos servidores WAP ou do balanceador de carga dos servidores WAP.
Verifique se há um registro A para o serviço de federação no servidor DNS. O registro A deve apontar para
um dos servidores WAP ou para o balanceador de carga dos servidores WAP.
Se o WAP não for implementado em seu cenário de acesso externo, verifique se o acesso a pontos do ADFS
diretamente a um dos servidores ADFS ou ao balanceador de carga na frente dos servidores ADFS:
Ping o nome do serviço de federação (por fs.contoso.com exemplo). Confirme se o endereço IP que você
recebe resolve para um dos servidores ADFS ou o balanceador de carga dos servidores ADFS.
Verifique se há um registro A para o serviço de federação no servidor DNS. O registro A deve apontar para
um dos servidores ADFS ou para o balanceador de carga dos servidores ADFS.
Verifique se o balanceador de carga é usado
Verifique se o firewall está bloqueando o tráfego entre:
O servidor ADFS e o balanceador de carga.
O servidor WAP (Proxy de Aplicativo Web) e o balanceador de carga se WAP for usado.
Se a sonda estiver habilitada no balanceador de carga, verifique o seguinte:
Se você estiver executando Windows Server 2012 R2, verifique se o acúmulo de atualizações de agosto de
2014 está instalado.
Verifique se a porta 80 está habilitada no firewall nos servidores WAP e servidores ADFS.
Verifique se a sonda está definida para a porta 80 e para o ponto de extremidade /adfs/probe.
Verificar as configurações de firewall
Verifique se o tráfego de entrada por meio da porta TCP 443 está habilitado em:
o firewall entre o servidor Proxy de Aplicativo Web e o farm de servidores de federação.
o firewall entre os clientes e o servidor Proxy de Aplicativo Web.
Verifique se o tráfego de entrada através da porta TCP 49443 está habilitado no firewall entre os clientes e o
servidor proxy de aplicativo Web quando as seguintes condições são verdadeiras:
A autenticação do cliente TLS usando o certificado X.509 está habilitada.
Você está usando o ADFS no Windows Server 2012 R2.
NOTE
A configuração não é necessária no firewall entre o servidor Proxy de Aplicativo Web e os servidores de federação.
Verifique se o ponto de extremidade está habilitado no proxy

O ADFS fornece vários pontos de extremidade para diferentes funcionalidades e cenários. Nem todos os pontos
de extremidade estão habilitados por padrão. Para verificar se o ponto de extremidade está habilitado no proxy,
a seguir estas etapas:
1. No servidor ADFS, abra o Console de Gerenciamento do ADFS.
2. Expanda pontos > de extremidade de ser viço .
3. Localize o ponto de extremidade e verifique se o status está habilitado na coluna Proxy Habilitado.
Verificar a relação de confiança de proxy

Se o WaP (Proxy de Aplicativo Web) for implantado, a relação de confiança de proxy deverá ser estabelecida
entre o servidor WAP e o servidor do AD FS. Verifique se a relação de confiança de proxy está estabelecida ou
começa a falhar em algum momento.
NOTE
As informações nesta página se aplicam ao AD FS 2012 R2 e posteriores.
Informações gerais
A relação de confiança de proxy é baseada em certificado de cliente. Quando você executar o assistente de pós-
instalação do Proxy de Aplicativo Web, o assistente gera um certificado de cliente auto-assinado usando as
credenciais especificadas no assistente. Em seguida, o assistente insere o certificado no banco de dados de
configuração do AD FS e o adiciona ao armazenamento de certificados AdfsTrustedDevices no servidor do AD
FS.
Para qualquer comunicação SSL, http.sys a seguinte ordem de prioridade para vinculações de certificado SSL
para corresponder a um certificado:
P RIO RIDA DE NOME PA RÂ M ET RO S DESC RIÇ Ã O
1 IP IP:port Combinação exata de IP e

porta
2 SNI Hostname:port Match de nome de host

exato (a conexão deve
especificar SNI)
3 CCS Porta Invocar o Armazenamento

de Certificado Central
4 Curinga IPv6 Porta Match de caracteres curinga

IPv6 (a conexão deve ser
IPv6)
5 Curinga IP Porta Match de caractere curinga

IP (a conexão pode ser IPv4
ou IPv6)
O AD FS 2012 R2 e posterior são independentes do Serviços de Informações da Internet (IIS) e são executados
como um serviço em http.sys. hostname:port As vinculações de certificado SSL são usadas pelo AD FS. Durante
a autenticação do certificado do cliente, o AD FS envia uma lista de certificados de confiança (CTL) com base nos
certificados no armazenamento AdfsTrustedDevices. Se uma associação de certificado SSL para seu servidor AD
FS usar IP:port ou o armazenamento CTL não for AdfsTrustedDevices, a relação de confiança de proxy pode não
ser estabelecida.
Obter as vinculações de certificado SSL para o AD FS
No servidor do AD FS, execute o seguinte comando em Windows PowerShell:
netsh http show sslcert
Na lista de vinculações retornadas, procure aqueles com a ID do aplicativo de 5d89a20c-beab-4389-9447-

324788eb944a. Aqui está um exemplo de uma associação saudável. Observe a linha "Nome da Loja Ctl".
Hostname:port : adfs.contoso.com:443
Certificate Hash : 3638de9b03a488341dfe32fc3ae5c480ee687793
Application ID : {5d89a20c-beab-4389-9447-324788eb944a}
Certificate Store Name : MY
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check : Enabled
Revocation Freshness Time : 0
URL Retrieval Timeout : 0
Ctl Identifier : (null)
Ctl Store Name : AdfsTrustedDevices
DS Mapper Usage : Disabled
Negotiate Client Certificate : Disabled
Executar script para detectar automaticamente problemas

Para detectar automaticamente problemas com a relação de confiança de proxy, execute o script a seguir. Com
base no problema detectado, tome a ação de acordo.
param
(
[switch]$syncproxytrustcerts
)
function checkhttpsyscertbindings()
{
Write-Host; Write-Host("1 – Checking http.sys certificate bindings for potential issues")
$httpsslcertoutput = netsh http show sslcert
$adfsservicefqdn = (Get-AdfsProperties).HostName
$i = 1
$certbindingissuedetected = $false
While($i -lt $httpsslcertoutput.count)
{
$ipport = $false
$hostnameport = $false
if ( ( $httpsslcertoutput[$i] -match "IP:port" ) ) { $ipport = $true }
elseif ( ( $httpsslcertoutput[$i] -match "Hostname:port" ) ) { $hostnameport = $true }
## Check for IP specific certificate bindings
if ( ( $ipport -eq $true ) )
{
$httpsslcertoutput[$i]
$ipbindingparsed = $httpsslcertoutput[$i].split(":")
if ( ( $ipbindingparsed[2].trim() -ne "0.0.0.0" ) -and ( $ipbindingparsed[3].trim() -eq "443") )
{
$warning = "There is an IP specific binding on IP " + $ipbindingparsed[2].trim() + " which
may conflict with the AD FS port 443 cert binding." | Write-Warning
$certbindingissuedetected = $true
}
$i = $i + 14
continue
}
## check that CTL Store is set for ADFS service binding
elseif ( $hostnameport -eq $true )
{
$httpsslcertoutput[$i]
$ipbindingparsed = $httpsslcertoutput[$i].split(":")
If ( ( $ipbindingparsed[2].trim() -eq $adfsservicefqdn ) -and ( $ipbindingparsed[3].trim() -eq
"443") -and ( $httpsslcertoutput[$i+10].split(":")[1].trim() -ne "AdfsTrustedDevices" ) )
{
Write-Warning "ADFS Service binding does not have CTL Store Name set to AdfsTrustedDevices"
$certbindingissuedetected = $true
}
$i = $i + 14
continue
}
$i++
}
If ( $certbindingissuedetected -eq $false ) { Write-Host "Check Passed: No certificate binding issues
detected" }
}
function checkadfstrusteddevicesstore()
{
## check for CA issued (non-self signed) certs in the AdfsTrustedDevices cert store
Write-Host; Write-Host "2 – Checking AdfsTrustedDevices cert store for non-self signed certificates"
$certlist = Get-Childitem cert:\LocalMachine\AdfsTrustedDevices -recurse | Where-Object {$_.Issuer -ne
$_.Subject}
If ( $certlist.count -gt 0 )
{
Write-Warning "The following non-self signed certificates are present in the AdfsTrustedDevices store
and should be removed"
$certlist | Format-List Subject
}
Else { Write-Host "Check Passed: No non-self signed certs present in AdfsTrustedDevices cert store" }
}
function checkproxytrustcerts
{
Param ([bool]$repair=$false)
Write-Host; Write-Host("3 – Checking AdfsTrustedDevices cert store is in sync with ADFS Proxy Trust
config")
$doc = new-object Xml
$doc.Load("$env:windir\ADFS\Microsoft.IdentityServer.Servicehost.exe.config")
$connString = $doc.configuration.'microsoft.identityServer.service'.policystore.connectionString
$command = "Select ServiceSettingsData from [IdentityServerPolicy].[ServiceSettings]"
$cli = new-object System.Data.SqlClient.SqlConnection
$cli.ConnectionString = $connString
$cmd = new-object System.Data.SqlClient.SqlCommand
$cmd.CommandText = $command
$cmd.Connection = $cli
$cli.Open()
$configString = $cmd.ExecuteScalar()
$configXml = new-object XML
$configXml.LoadXml($configString)
$rawCerts =
$configXml.ServiceSettingsData.SecurityTokenService.ProxyTrustConfiguration._subjectNameIndex.KeyValueOfstri
ngArrayOfX509Certificate29zVOn6VQ.Value.X509Certificate2
#$ctl = dir cert:\LocalMachine\ADFSTrustedDevices
$store = new-object
System.Security.Cryptography.X509Certificates.X509Store("ADFSTrustedDevices","LocalMachine")
$store.open("MaxAllowed")
$atLeastOneMismatch = $false
$badCerts = @()
foreach($rawCert in $rawCerts)
{
$rawCertBytes = [System.Convert]::FromBase64String($rawCert.RawData.'#text')
$cert=New-Object System.Security.Cryptography.X509Certificates.X509Certificate2(,$rawCertBytes)
$now = Get-Date
if ( ($cert.NotBefore -lt $now) -and ($cert.NotAfter -gt $now))
{
$certThumbprint = $cert.Thumbprint
$certSubject = $cert.Subject
$ctlMatch = dir cert:\localmachine\ADFSTrustedDevices\$certThumbprint -ErrorAction SilentlyContinue
if ($ctlMatch -eq $null)
{
$atLeastOneMismatch = $true
Write-Warning "This cert is NOT in the CTL: $certThumbprint – $certSubject"
if ($repair -eq $true)
{
write-Warning "Attempting to repair"
$store.Add($cert)
Write-Warning "Repair successful"
}
else
{
Write-Warning ("Please install KB.2964735 or re-run script with -syncproxytrustcerts
switch to add missing Proxy Trust certs to AdfsTrustedDevices cert store")
}
}
}
}
}
$store.Close()
if ($atLeastOneMismatch -eq $false)
{
Write-Host("Check Passed: No mismatched certs found. CTL is in sync with DB content")
}
}
checkhttpsyscertbindings
checkadfstrusteddevicesstore
checkproxytrustcerts($syncproxytrustcerts)
Write-Host; Write-Host("All checks completed.")
Problema 1: há uma associação específica de IP

A associação pode estar em conflito com a associação de certificados do AD FS na porta 443.
A associação IP:port tem a precedência mais alta. Se uma associação IP:port estiver nas vinculações de
certificado SSL do AD FS, http.sys sempre usa o certificado para a associação para comunicação SSL. Para
resolver esse problema, use os métodos a seguir.
1. Remover a associação IP:port
Esteja ciente de que a associação IP:port pode voltar depois que você a removeu. Por exemplo, um
aplicativo configurado com essa associação IP:port pode recriá-lo automaticamente na próxima
configuração do serviço.
2. Usar outro endereço IP para comunicação SSL do AD FS
Se a associação IP:port for necessária, resolva o FQDN do serviço ADFS para outro endereço IP que não
seja usado em nenhuma associação. Dessa forma, http.sys usar a associação Hostname:port para
comunicação SSL.
3. Definir AdfsTrustedDevices como o Armazenamento CTL para a associação IP:port
Este é o último recurso se você não puder usar os métodos acima. Mas é melhor entender as seguintes
condições antes de alterar o armazenamento de CTL padrão para AdfsTrustedDevices:
Por que a associação IP:port está lá.
Se a associação depende do armazenamento de CTL padrão para autenticação de certificado do
cliente.
Problema 2: a associação de certificados do AD FS não tem o Nome da Loja CTL definido como
AdfsTrustedDevices
Se o Azure AD Conexão estiver instalado, use o AAD Conexão para definir o Nome da Loja CTL como
AdfsTrustedDevices para as vinculações de certificado SSL em todos os servidores AD FS. Se o Azure AD
Conexão não estiver instalado, regenere as vinculações de certificado do AD FS executando o comando a seguir
em todos os servidores do AD FS.
Set-AdfsSslCertificate -Thumbprint Thumbprint
Problema 3: existe um certificado que não é auto -assinado no armazenamento de certificados

AdfsTrustedDevices
Se um certificado emitido pela AC estiver em um armazenamento de certificados em que apenas certificados
auto-assinados normalmente existiriam, a CTL gerada do armazenamento conteria apenas o certificado emitido
pela CA. O armazenamento de certificados AdfsTrustedDevices é um armazenamento que deve ter apenas
certificados auto-assinados. Esses certificados são:
MS-Organization-Access: o certificado auto-assinado usado para a emissão de certificados de participação
no local de trabalho.
Confiança de proxy do ADFS: os certificados para cada servidor Proxy de Aplicativo Web.
Portanto, exclua qualquer certificado emitido pela CA do armazenamento de certificados AdfsTrustedDevices.

Problema 4: Instalar KB2964735 ou executar o script com -syncproxytrustcerts
Quando uma relação de confiança de proxy é estabelecida com um servidor AD FS, o certificado do cliente é
gravado no banco de dados de configuração do AD FS e adicionado ao armazenamento de certificados
AdfsTrustedDevices no servidor do AD FS. Para uma implantação de farm do AD FS, espera-se que o certificado
do cliente seja sincronizado com os outros servidores do AD FS. Se a sincronização não acontecer por algum
motivo, um relacionamento de confiança de proxy funcionará apenas no servidor do AD FS com o qual a
confiança foi estabelecida, mas não em relação aos outros servidores do AD FS.
Para resolver esse problema, use um dos métodos a seguir.
Método 1
Instale a atualização documentada em KB 2964735 em todos os servidores do AD FS. Após a instalação da
atualização, espera-se que uma sincronização do certificado do cliente ocorra automaticamente.
Método 2
Execute o script com a opção – syncproxytrustcerts para sincronizar manualmente os certificados do cliente do
banco de dados de configuração do AD FS para o armazenamento de certificados AdfsTrustedDevices. O script
deve ser executado em todos os servidores do AD FS no farm.
NOTE
Essa não é uma solução permanente porque os certificados do cliente serão renovados regularmente.
Problema 5: Todas as verificações são passadas. Mas o problema persiste

Verifique se há uma incompatibilidade de fuso horário ou hora. Se o tempo corresponde, mas o fuso horário
não, a relação de confiança de proxy também falhará ao ser estabelecida.
Verifique se há terminação SSL entre o servidor AD FS e o servidor WAP
Se a terminação SSL estiver ocorrendo em um dispositivo de rede entre servidores AD FS e o servidor WAP, a
comunicação entre o AD FS e o WAP será desajustada porque a comunicação é baseada no certificado do
cliente.
Desabilite a terminação SSL no dispositivo de rede entre os servidores AD FS e WAP.
Usar o aplicativo Token de Despejo
O aplicativo Token de Despejo é útil ao depurar problemas com seu serviço de federação, bem como validar
regras de declaração personalizadas. Não é uma solução oficial, mas uma boa solução de depuração
independente recomendada para fins de solução de problemas.
Antes de usar o aplicativo Token de Despejo
Antes de usar o aplicativo Token de Despejo, você precisa:
1. Obter as informações da parte de base do aplicativo que você deseja acessar. Se a autenticação OAuth for
implementada, também obterá as informações do cliente OAuth.
2. Configurar o aplicativo Token de Despejo.
Obter as informações do cliente OAuth e da parte de base
Se você usar uma parte de base convencional, siga estas etapas:
1. No servidor do AD FS, abra Windows PowerShell com a opção Executar como administrador.
2. Adicione o componente do AD FS 2.0 Windows PowerShell executando o seguinte comando:
Add-PSSnapin Microsoft.Adfs.PowerShell
4. Obter as informações do cliente OAuth executando o seguinte comando:
$client = Get-AdfsClient ClientName
Se você usar o recurso Grupo de Aplicativos no Windows Server 2016, siga as etapas abaixo:
1. No servidor do AD FS, abra Windows PowerShell com a opção Executar como administrador.
$rp = Get-AdfsWebApiApplication ResourceID
3. Se o cliente OAuth for público, obter as informações do cliente executando o seguinte comando:
$client = Get-AdfsNativeClientApplication ClientName
Se o cliente OAuth for confidencial, obter as informações do cliente executando o seguinte comando:
$client = Get-AdfsServerApplication ClientName
Configurar o aplicativo de Token de Despejo

Para configurar o aplicativo Token de Despejo, execute os seguintes comandos na Windows PowerShell janela:
$authzRules = "=>issue(Type = `"http://schemas.microsoft.com/authorization/claims/permit`", Value =
`"true`");"
$issuanceRules = "x:[]=>issue(claim=x);"
$redirectUrl = "https://dumptoken.azurewebsites.net/default.aspx"
$samlEndpoint = New-AdfsSamlEndpoint -Binding POST -Protocol SAMLAssertionConsumer -Uri $redirectUrl
Add-ADFSRelyingPartyTrust -Name "urn:dumptoken" -Identifier "urn:dumptoken" -IssuanceAuthorizationRules
$authzRules -IssuanceTransformRules $issuanceRules -WSFedEndpoint $redirectUrl -SamlEndpoint $samlEndpoint
Agora, continue com os seguintes métodos de solução de problemas. No final de cada método, veja se o
problema foi resolvido. Caso não seja, use outro método.
Métodos de solução de problemas
Verifique a política de autorização para ver se o usuário é afetado
Nesse método, você começa recebendo os detalhes da política e, em seguida, usa o aplicativo Token de Despejo
para diagnosticar a política para ver se o usuário é afetado.
O bt er o s det al h es da po l í t i c a
$rp. IssuanceAuthorizationRules mostra as regras de autorização da parte de base.

Em Windows Server 2016 e versões posteriores, você pode usar $rp. AccessControlPolicyName para configurar
a política de autenticação e autorização. Se $rp. AccessControlPolicyName tem valor, uma política de controle de
acesso está no local que rege a política de autorização. Nesse caso, $rp. IssuanceAuthorizationRules está vazio.
Use $rp. ResultantPolicy para descobrir detalhes sobre a política de controle de acesso.
Se $rp. ResultantPolicy não tem os detalhes sobre a política, procure as regras de declaração reais. Para obter as
regras de declaração, siga estas etapas:
1. De definir a política de controle de acesso como $null executando o seguinte comando:
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -AccessControlPolicyName $null
3. Verifique $rp.IssuanceAuthorizationRules e $rp. AdditionalAuthenticationRules .
U sa r o a p l i c a t i v o To k e n d e D e sp e j o p a r a d i a g n o st i c a r a p o l í t i c a d e a u t o r i z a ç ã o
1. De definir a política de autenticação de Token de Despejo como a mesma que a parte de confiança com
falha.
2. Fazer com que o usuário abra um dos links a seguir, dependendo da política de autenticação definida.
WS-Fed: https://FerderationInstance/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken
SAML-P: https://FerderationInstance/adfs/ls/IdpInitiatedSignOn?LoginToRP=urn:dumptoken
Forçar a autenticação multifa factor:
https://FerderationInstance/adfs/ls?
wa=wsignin1.0&wtrealm=urn:dumptoken&wauth=http://schemas.microsoft.com/claims/multipleauthn
3. Faça logoff na página Sign-In.
O que você obter é o conjunto de declarações do usuário. Veja se há algo na política de autorização que nega
explicitamente ou permite que o usuário com base nessas declarações.
Verifique se qualquer declaração ausente ou inesperada causa negação de acesso ao recurso
1. Configure as regras de declaração no aplicativo Token de Despejo para que sejam as mesmas que as
regras de declaração da parte que está confiando com falha.
2. Configure a política de autenticação de Token de Despejo para ser igual à parte que está com falha na
confiança.
3. Fazer com que o usuário abra um dos links a seguir, dependendo da política de autenticação definida.
WS-Fed: https://FerderationInstance/adfs/ls?wa=wsignin1.0&wtrealm=urn:dumptoken
SAML-P: https://FerderationInstance/adfs/ls/IdpInitiatedSignOn?LoginToRP=urn:dumptoken
Forçar a autenticação multifa factor:
https://FerderationInstance/adfs/ls?
wa=wsignin1.0&wtrealm=urn:dumptoken&wauth=http://schemas.microsoft.com/claims/multipleauthn
4. Faça logoff na página Sign-In.
Este é o conjunto de declarações que a parte de base obterá para o usuário. Se alguma reivindicação estiver
ausente ou inesperada, procure a política de emissão para descobrir o motivo.
Se todas as declarações estão presentes, verifique com o proprietário do aplicativo para ver qual declaração está
ausente ou inesperada.
Verificar se um estado de dispositivo é necessário
Se as regras de autorização verificarem declarações de dispositivo, verifique se alguma dessas declarações de
dispositivo está ausente na lista de declarações que você obter do aplicativo Token de Despejo. As declarações
ausentes podem bloquear a autenticação do dispositivo. Para obter as declarações do aplicativo Token de
Despejo, siga as etapas no aplicativo Usar o aplicativo Token de Despejo para diagnosticar a seção política de
autorização na política de autorização verificar se o usuário foi afetado método.
A seguir estão as declarações do dispositivo. As regras de autorização podem usar algumas delas.
http://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid
http://schemas.microsoft.com/2012/01/devicecontext/claims/displayname
http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier
http://schemas.microsoft.com/2012/01/devicecontext/claims/ostype
http://schemas.microsoft.com/2012/01/devicecontext/claims/osversion
http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser
http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
http://schemas.microsoft.com/2014/02/deviceusagetime
http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
http://schemas.microsoft.com/2014/09/devicecontext/claims/trusttype
Se houver uma declaração ausente, siga as etapas em Configure On-Premises Conditional Access using
registered devices to make sure the environment is setup for device authentication.
Se todas as declarações estão presentes, consulte se os valores das declarações do aplicativo Token de Despejo
corresponderão aos valores necessários na política de autorização.
A ID do Evento 180 está registrada e os pontos de
extremidade do AD FS estão ausentes no Windows
Server 2016
Este artigo descreve um problema no qual os recursos dos Serviços de Federação do Active Directory (AD FS),
como Autenticação de Dispositivo e Descoberta OAuth, não funcionam.
Aplica-se a: Windows Server 2012 R2, Windows Server 2016
Sintomas
Você pode experimentar qualquer um dos seguintes sintomas:
Os pontos de extremidade registrados no AD FS são perdidos intermitentemente.
A ID do Evento 180 é registrada a cada cinco minutos no log de eventos do AD FS/Admin, da seguinte
forma:
Log Name: AD FS/Admin

Source: AD FS
Event ID: 180
Task Category: None
Level: Error
Keywords: AD FS
Description: An error occurred while upgrading FarmBehaviorLevel 'Max' from Minor Version '0' to
Minor Version '3'.
Exception details: Object reference not set to an instance of an object.
A execução do cmdlet do PowerShell revela que nenhum método de autenticação do cliente está definido,
conforme mostrado na linha Get-AdfsGlobalAuthenticationPolicy inferior da seguinte saída:
Get-AdfsGlobalAuthenticationPolicy
AdditionalAuthenticationProvider : {AzureMfaAuthentication}
DeviceAuthenticationEnabled : True
DeviceAuthenticationMethod : All
TreatDomainJoinedDevicesAsCompliant : False
PrimaryIntranetAuthenticationProvider : {FormsAuthentication, WindowsAuthentication,
AzurePrimaryAuthentication, MicrosoftPassportAuthentication}
PrimaryExtranetAuthenticationProvider : {FormsAuthentication, AzurePrimaryAuthentication,
MicrosoftPassportAuthentication}
WindowsIntegratedFallbackEnabled : True
ClientAuthenticationMethods : None
Esse problema ocorre em um farm do AD FS ao que as seguintes condições se aplicam:

Um ou mais Windows Server 2016 servidores do AD FS (WS2016) do AD FS foram adicionados a um farm
de servidores do AD FS do Windows Server 2012 R2 (WS2012R2) com KB 4041685 (ou versões mensais ou
prévias posteriores) instaladas.
O farm de servidores foi atualizado para o Nível de Comportamento do Farm WS2016.
A atualização de 4088787 KB foi instalada no farm do AD FS WS2016.
Motivo
A instalação da atualização K 4088787 B de 13 de março de 2018 em um nó primário em um farm do AD FS
cujo FBL foi gerado de 1 (WS2012R2) para 3 (WS2016) pode causar regressão do AD FS e uma reordenação de
linhas no banco de dados do AD FS. Esse problema deixa o banco de dados em um estado no qual alguns
elementos de dados têm ocorrências duplicadas. Esse estado causa falhas de início do servidor do AD FS e
outros erros.
Solução
Para resolver esse problema, siga estas etapas.
Etapa 1: Verificar o problema
Determine se o ponto de extremidade de configuração openid pode ser atingido executando o seguinte
comando em um prompt de comando do PowerShell:
Get-AdfsEndpoint -AddressPath "/adfs/.well-known/openid-configuration"
Se o ponto de extremidade não for encontrado, você verá a seguinte saída que indica que o problema
provavelmente existe:
Get-AdfsEndpoint : PS0137: No Endpoint found with Address '/adfs/.well-known/openid-configuration'.

At line:1 char:1
+ Get-AdfsEndpoint -AddressPath "/adfs/.well-known/openid-configuration ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidArgument: (:) [Get-AdfsEndpoint], ArgumentException
+ FullyQualifiedErrorId : PS0137,Microsoft.IdentityServer.Management.Commands.GetEndpointCommand
Etapa 2: Salve o script encontrado no final deste artigo como "KB4088787_Fix.ps1"

A equipe do AD FS desenvolveu um script do PowerShell que você pode executar em um servidor do AD FS
para corrigir as configurações do AD FS no banco de dados associado ao KB 4088787.
Este script é encontrado no final deste artigo. Salve o script como "KB4088787_Fix.ps1" e copie-o para o nó
principal no farm do AD FS.
Etapa 3: Fazer o back up do AD FS configuration databas
Antes de executar o KB4088787_Fix.ps1, é importante fazer o back-up da configuração do AD FS. Essa
configuração do AD FS é armazenada no wi-Banco de Dados Interno do Windows (WID) ou em um banco
Microsoft SQL Server banco de dados.
Se você estiver usando o WID para armazenar a configuração do AD FS, poderá usar a Ferramenta de
Restauração Rápida do ADFS (disponível no Centro de Download da Microsoft) para fazer backup dos dados de
configuração. Se você estiver usando SQL Server para armazenar o banco de dados de configuração do AD FS,
crie um backup adicional SQL Server antes de executar o script. O estado do banco de dados pode ser
restaurado de um desses backups, se for necessário.
Etapa 4: executar o script KB4088787_Fix.ps1
No Explorador de Arquivos, clique com o botão direito do mouse no arquivo KB4088787_Fix.ps1 que você
acabou de salvar no nó principal no farm do AD FS e selecione Executar com o PowerShell .
O script primeiro verifica se o banco de dados atual do servidor do AD FS foi corrompido pelo problema de
atualização descrito. Em caso afirmado, o script localizará as propriedades quebradas e as corrigirá. O
KB4088787_Fix.ps1 script solicitará que você confirme as alterações no banco de dados e o script reiniciará o
AD FS, se necessário.
NOTE
Sempre que o script é executado, uma cópia do XML de configurações de serviço é salva. Os dados são salvos no
diretório de trabalho no seguinte formato de nome:
serviceSettingsXml_<yyyy>-<MM>-<dd>-<hh>-<mm>-<ss>.xml
Por exemplo, se o script for executado em 14 de abril de 2021 às 10:14:53, ele será salvo da seguinte forma:
serviceSettingsXml_2021-04-14-10-14-53.xml
Depois que o script for concluído e ocorrer uma reinicialização do AD FS, todas as falhas de ponto de
extremidade e autenticação do dispositivo devem ser corrigidas.
Mais informações
Se aplicar a correção de script e reiniciar o sistema não corrigir o problema, vá para o site de Suporte da
Microsoft.
Script do PowerShell: KB4088787_Fix.ps1

#
# Version 2.0.0
#
# Helper function - serializes any DataContract object to an XML string

function Get-DataContractSerializedString()
{
[CmdletBinding()]
Param
(
[Parameter(Mandatory = $true, HelpMessage="Any object serializable with the DataContractSerializer")]
[ValidateNotNull()]
$object
)
$serializer = New-Object System.Runtime.Serialization.DataContractSerializer($object.GetType())

$serializedData = $null
try
{
# No simple write to string option, so we have to write to a memory stream
# then read back the bytes...
$stream = New-Object System.IO.MemoryStream
$writer = New-Object System.Xml.XmlTextWriter($stream,[System.Text.Encoding]::UTF8)
$null = $serializer.WriteObject($writer, $object);

$null = $writer.Flush();
# Read back the text we wrote to the memory stream

$reader = New-Object System.IO.StreamReader($stream,[System.Text.Encoding]::UTF8)
$null = $stream.Seek(0, [System.IO.SeekOrigin]::Begin)
$serializedData = $reader.ReadToEnd()
}
finally
{
if ($reader -ne $null)
{
try
{
$reader.Dispose()
}
catch [System.ObjectDisposedException] { }
}
}
if ($writer -ne $null)

{
try
{
$writer.Dispose()
}
}
if ($stream -ne $null)

{
try
{
$stream.Dispose()
}
}
}
return $serializedData
}
function Write-XmlIndent
{
param
(
$xmlData
)
$strWriter = New-Object System.IO.StringWriter

$xmlWriter = New-Object System.XMl.XmlTextWriter $strWriter
# Default = None, change Formatting to Indented

$xmlWriter.Formatting = "indented"
# Gets or sets how many IndentChars to write for each level in

# the hierarchy when Formatting is set to Formatting.Indented
$xmlWriter.Indentation = 1
$xmlData.WriteContentTo($xmlWriter)
$xmlWriter.Flush()
$strWriter.Flush()
$strWriter.ToString()
}
function Get-ADFSXMLServiceSettings
{
param
(
$saveData
)

$cli.Open()
try
{
$cmd.CommandText = "Select ServiceSettingsData from [IdentityServerPolicy].[ServiceSettings]"
$configString = $cmd.ExecuteScalar()
$configXml = new-object XML
$configXml.LoadXml($configString)
if($saveData)
{
$script:originalPath = "original_serviceSettingsXml_$(get-date -f yyyy-MM-dd-hh-mm-ss).xml"
Write-XmlIndent($configXml) | Out-File $script:originalPath
Write-Host "Original XML saved to: $script:originalPath"
}
write-output $configXml
}
finally
{
$cli.CLose()
}
}
# Gets internal ADFS settings by extracting them Get-AdfsProperties

function Get-AdfsInternalSettings()
{
$settings = Get-AdfsProperties
$settingsType = $settings.GetType()
$propInfo = $settingsType.GetProperty("ServiceSettingsData", [System.Reflection.BindingFlags]::Instance -
bor [System.Reflection.BindingFlags]::NonPublic)
$internalSettings = $propInfo.GetValue($settings, $null)
return $internalSettings
}
function Set-AdfsInternalSettings()
{
[CmdletBinding()]
Param
(
[Parameter(Mandatory = $true, HelpMessage="Settings object fetched from Get-AdfsInternalSettings")]
[ValidateNotNull()]
$InternalSettings
)
$settingsData = Get-DataContractSerializedString -object $InternalSettings

$cli.Open()
try
{
$cmd.CommandText = "update [IdentityServerPolicy].[ServiceSettings] SET ServiceSettingsData=@content,
[ServiceSettingsVersion] = [ServiceSettingsVersion] + 1,[LastUpdateTime] = GETDATE()"
$cmd.Parameters.AddWithValue("@content", $settingsData) | out-null
$rowsAffected = $cmd.ExecuteNonQuery()
# Update service state table for WID sync if required

if ($connString -match "##wid")
{
$cmd.CommandText = "UPDATE [IdentityServerPolicy].[ServiceStateSummary] SET [SerialNumber] = [SerialNumber]
+ 1,[LastUpdateTime] = GETDATE() WHERE ServiceObjectType='ServiceSettings'"
$widRowsAffected = $cmd.ExecuteNonQuery()
}
}
finally
{
$cli.CLose()
}
}
function Create-EndpointConfiguration()
{
Param
(
[ValidateNotNull()]
$xmlData
)
# EndpointConfiguration
$enabled = Create-BoolFromString($xmlData.Enabled)
$proxy = Create-BoolFromString($xmlData.Proxy)
$canProxy = Create-BoolFromString($xmlData.CanProxy)
$endpointConfig = New-Object -TypeName

Microsoft.IdentityServer.PolicyModel.Configuration.EndpointConfiguration -ArgumentList $xmlData.Address,
$enabled , ([Microsoft.IdentityServer.PolicyModel.Configuration.EndpointMode] $xmlData.ModeValue), $proxy,
$xmlData.Version, $canProxy
return $endpointConfig
}
function Create-ClientSecretSettings()
{
Param
(
[ValidateNotNull()]
$xmlData
)
# ClientSecretSettings
$clientSecretSettings = New-Object -TypeName
Microsoft.IdentityServer.PolicyModel.Client.ClientSecretSettings
$clientSecretSettings.ClientSecretRolloverTimeMinutes = $xmlData.ClientSecretRolloverTimeMinutes
$clientSecretSettings.ClientSecretLockoutThreshold = $xmlData.ClientSecretLockoutThreshold;
$clientSecretSettings.SaltedHashAlgorithm = $xmlData.SaltedHashAlgorithm
$clientSecretSettings.SaltSize = $xmlData.SaltSize
$clientSecretSettings.SecretSize = $xmlData.SecretSize
return $clientSecretSettings
}
function Create-IdTokenIssuer()
{
Param
(
[ValidateNotNull()]
$xmlData
)
#IdTokenIssuer
$idTokenIssuerConfig = New-Object -TypeName
Microsoft.IdentityServer.PolicyModel.Configuration.IdTokenIssuerConfiguration
$idTokenIssuerConfig.Address = $xmlData.Address
return $idTokenIssuerConfig
}
function Create-CertificateAuthorityConfiguration()
{
Param
(
[ValidateNotNull()]
$xmlData
)
# CertificateAuthorityConfiguration
$certAuthorityConfig = New-Object -TypeName
Microsoft.IdentityServer.PolicyModel.Configuration.CertificateAuthorityConfiguration
$certAuthorityConfig.Mode.Value =
[Microsoft.IdentityServer.PolicyModel.Configuration.CertificateAuthorityMode] $xmlData.ModeValue
$certAuthorityConfig.GenerationThresholdInMinutes = $xmlData.GenerationThresholdInMinutes
$certAuthorityConfig.PromotionThresholdInMinutes = $xmlData.PromotionThresholdInMinutes
$certAuthorityConfig.CertificateLifetimeInMinutes = $xmlData.CertificateLifetimeInMinutes
$certAuthorityConfig.RolloverIntervalInMinutes = $xmlData.RolloverIntervalInMinutes
$certAuthorityConfig.CriticalThresholdInMinutes = $xmlData.CriticalThresholdInMinutes
# Create Cert reference

if ($xmlData.PrimaryIssuerCertificate.IsEmpty -ne $true)
{
$certReference = New-Object -TypeName
Microsoft.IdentityServer.PolicyModel.Configuration.CertificateReference
$certReference.IsChainIncluded = Create-BoolFromString($xmlData.PrimaryIssuerCertificate.IsChainIncluded)
$certReference.IsChainIncludedSpecified = Create-
BoolFromString($xmlData.PrimaryIssuerCertificate.IsChainIncludedSpecified)
$certReference.FindValue = $xmlData.PrimaryIssuerCertificate.FindValue
$certReference.RawCertificate = $xmlData.PrimaryIssuerCertificate.RawCertificate
$certReference.EncryptedPfx = $xmlData.PrimaryIssuerCertificate.EncryptedPfx
$certReference.StoreName.Value = [System.Security.Cryptography.X509Certificates.StoreName]
$xmlData.PrimaryIssuerCertificate.StoreNameValue
$certReference.StoreLocation.Value = [System.Security.Cryptography.X509Certificates.StoreLocation]
$xmlData.PrimaryIssuerCertificate.StoreLocationValue
$certReference.X509FindType.Value = [System.Security.Cryptography.X509Certificates.X509FindType]
$xmlData.PrimaryIssuerCertificate.X509FindTypeValue
$certAuthorityConfig.PrimaryIssuerCertificate = $certReference
}
if ($xmlData.QueuedIssuerCertificate.IsEmpty -ne $true){

# Create PromotionCert
$promotionCert = New-Object -TypeName
Microsoft.IdentityServer.PolicyModel.Configuration.PromotionCertificate
$promotionCert.ObjectId = $xmlData.QueuedIssuerCertificate.ObjectId
$certAuthorityConfig.QueuedIssuerCertificate = $promotionCert
}
$certAuthorityConfig.CriticalThresholdInMinutes = $xmlData.CriticalThresholdInMinutes
if ($xmlData.CertificateAuthority.IsEmpty -ne $true){

$certAuthorityConfig.CertificateAuthority = $xmlData.CertificateAuthority
}
if ($xmlData.EnrollmentAgentCertificateTemplateName.IsEmpty -ne $true)

{
$certAuthorityConfig.EnrollmentAgentCertificateTemplateName =
$xmlData.EnrollmentAgentCertificateTemplateName
}
if ($xmlData.LogonCertificateTemplateName.IsEmpty -ne $true)

{
$certAuthorityConfig.LogonCertificateTemplateName = $xmlData.LogonCertificateTemplateName
}
if ($xmlData.VPNCertificateTemplateName.IsEmpty -ne $true)

{
$certAuthorityConfig.VPNCertificateTemplateName = $xmlData.VPNCertificateTemplateName
}
if ($xmlData.WindowsHelloCertificateTemplateName.IsEmpty -ne $true)

{
$certAuthorityConfig.WindowsHelloCertificateTemplateName = $xmlData.WindowsHelloCertificateTemplateName
}
$certAuthorityConfig.AutoEnrollEnabled = Create-BoolFromString($xmlData.AutoEnrollEnabled)
$certAuthorityConfig.WindowsHelloCertificateProxyEnabled = Create-
BoolFromString($xmlData.WindowsHelloCertificateProxyEnabled)
return $certAuthorityConfig
}
}
function Create-OAuthClientAuthenticationMethods()
{
Param
(
[ValidateNotNull()]
$xmlData
)
# OAuthClientAuthenticationMethods
return 15
}
function Create-BoolFromString()
{
Param
(
[ValidateNotNull()]
$xmlData
)
if ($xmlData -eq $null -or $xmlData.ToLower() -eq "false")

{
return 0
}else{
return 1
}
}
function Get-ObjectFromElement()
{
Param
(
[ValidateNotNull()]
$xmlData,
[ValidateNotNull()]
$elementName
)
$endpointConfigs = "DeviceRegistrationEndpoint", "OAuthJwksEndpoint", "OAuthDiscoveryEndpoint",

"WebFingerEndpoint", "CertificateAuthorityCrlEndpoint", "UserInfoEndpoint"
# Microsoft.IdentityServer.PolicyModel.Configuration.EndpointConfiguration
$clientSecretSettings = "ClientSecretSettings"
# Microsoft.IdentityServer.PolicyModel.Client.ClientSecretSettings
$oauthClientAuthMethod = "OAuthClientAuthenticationMethods"
# Microsoft.IdentityServer.PolicyModel.Configuration.ClientAuthenticationMethod
$certAuthorityConfig = "CertificateAuthorityConfiguration"
# Microsoft.IdentityServer.PolicyModel.Configuration.CertificateAuthorityConfiguration
$idTokenIssuer = "IdTokenIssuer"
# Microsoft.IdentityServer.PolicyModel.Configuration.IdTokenIssuerConfiguration
$boolObjs = "EnableIdPInitiatedSignonPage", "IgnoreTokenBinding", "EnableOauthLogout"
$basicObjs = "DeviceUsageWindowInSeconds", "MaxLdapUserNameLength", "FarmBehaviorMinorVersion",

"PromptLoginFederation", "PromptLoginFallbackAuthenticationType"
if ($endpointConfigs.Contains($elementName))
{
return Create-EndpointConfiguration($xmlData)
}elseif ($clientSecretSettings.Contains($elementName))
{
return Create-ClientSecretSettings($xmlData)
return Create-ClientSecretSettings($xmlData)
}elseif ($oauthClientAuthMethod.Contains($elementName))
{
return Create-OAuthClientAuthenticationMethods($xmlData)
}elseif ($certAuthorityConfig.Contains($elementName))
{
return Create-CertificateAuthorityConfiguration($xmlData)
}elseif ($idTokenIssuer.Contains($elementName))
{
return Create-IdTokenIssuer($xmlData)
}elseif ($boolObjs.Contains($elementName))
{
return Create-BoolFromString($xmlData)
}else{
return $xmlData
}
}
$role = (Get-AdfsSyncProperties).Role
if($role -ne "PrimaryComputer")
{
Write-Host "This script must execute on the primary node in the AD FS farm. Cannot continue."
exit
}
Add-Type -Path ('C:\\Windows\\ADFS\\Microsoft.IdentityServer.dll')

$script:originalPath = $null
# Get the XML of the Service Settings blob, and look for duplicate elements
$xmlData = Get-ADFSXMLServiceSettings($true)
$dataObj = Get-AdfsInternalSettings
if($dataObj.SecurityTokenService.DeviceRegistrationEndpoint.Length -ne 1)
{
if(($xmlData.ServiceSettingsData.SecurityTokenService | Select-Object
"DeviceRegistrationEndpoint").DeviceRegistrationEndpoint.IsEmpty[0] -ne $True)
{
# In this case, the service settings object is showing an issue, but the XML data is not.
# This is possible in the case that the sequence of KB applications has occurred, but no Service Settings
write oparation
# has occured.
# To handle this, we will prompt the user to allow us to throttle a Service Setting to force a write
operation
# Do a no-op service settings action so that the duplicates are populated in the database (if issue exists)
$message = "Confirmation required"
$question = "To ensure data detection is possible, we need to perform an AD FS Properties operation. `nIf
you continue, this script will add 1 minute to the value of 'ProxyTrustTokenLifetime', and then the value of
'ProxyTrustTokenLifetime' will be returned to its original setting. `nIf you wish to make a Set-
AdfsProperties operation yourself, answer 'No', and perform the operation yourself. `n`nAre you sure you
want to proceed?"
$choices = New-Object Collections.ObjectModel.Collection[Management.Automation.Host.ChoiceDescription]

$choices.Add((New-Object Management.Automation.Host.ChoiceDescription -ArgumentList '&Yes'))
$choices.Add((New-Object Management.Automation.Host.ChoiceDescription -ArgumentList '&No'))
$decision = $Host.UI.PromptForChoice($message, $question, $choices, 1)
if ($decision -eq 0) {
$prop = Get-AdfsProperties
$original = $prop.ProxyTrustTokenLifetime
Set-AdfsProperties -ProxyTrustTokenLifetime ($original + 1)
Set-AdfsProperties -ProxyTrustTokenLifetime $original
# Refresh the XML and data obj

$xmlData = Get-ADFSXMLServiceSettings($false)
$dataObj = Get-AdfsInternalSettings
}else{
Write-Host "We did not perform a service settings operation. Please make some service settings change by
performing a Set-AdfsProperties command, and try the script again."
performing a Set-AdfsProperties command, and try the script again."
}
}
}
if(($xmlData.ServiceSettingsData.SecurityTokenService | Select-Object
"DeviceRegistrationEndpoint").DeviceRegistrationEndpoint.IsEmpty[0] -eq $True)
{
$possibleDuplicateElements = "DeviceRegistrationEndpoint", "DeviceUsageWindowInSeconds",
"OAuthClientAuthenticationMethods", "MaxLdapUserNameLength", "EnableIdPInitiatedSignonPage",
"ClientSecretSettings", "OAuthDiscoveryEndpoint", "OAuthJwksEndpoint", "IdTokenIssuer",
"CertificateAuthorityConfiguration", "WebFingerEndpoint", "CertificateAuthorityCrlEndpoint",
"UserInfoEndpoint", "IgnoreTokenBinding", "FarmBehaviorMinorVersion", "EnableOauthLogout",
"PromptLoginFederation", "PromptLoginFallbackAuthenticationType"
$existingDups = @()
foreach( $dup in $possibleDuplicateElements )
{
$object = $xmlData.ServiceSettingsData.SecurityTokenService | Select-Object $dup
if( $object.$dup.Count -gt 1 )

{
# We have an element with duplicate values
# Take the last one in the list
$newObj = $object.$dup[$object.$dup.Count - 1]
$savableObj = Get-ObjectFromElement -xmlData $newObj -elementName $dup
$existingDups += $dup
$dataObj.SecurityTokenService.$dup = $savableObj
}
}
# Write the modified Service Settings data object back to the database
if($existingDups.Count -gt 0)
{
$filename = "modified_serviceSettingsXml_$(get-date -f yyyy-MM-dd-hh-mm-ss).xml"
$modifiedData = Get-DataContractSerializedString -object $dataObj
Write-XmlIndent([xml]$modifiedData) | Out-File $filename
Write-Host "Modifed XML saved to: $filename"

$question = "We have located duplicate data in Service Settings, and need to make a modification to the
configuration database. `nIf you continue, the values of some elements will be updated in your database.
`nIf you wish to see the difference, you can compare the following two files from the working directory:
`n`n$script:originalPath `n$filename `n`nAre you sure you want to proceed?"

$decision = $Host.UI.PromptForChoice($message, $question, $choices, 1)

if ($decision -eq 0) {
Write-Host "Performing update to Service Settings"
Set-AdfsInternalSettings -InternalSettings $dataObj
Write-Host "Updated Service Settings`n`n"
Write-Host "The following elements in the service settings data were modified:`n"
foreach($d in $existingDups)
{
Write-Host $d
}
Write-Host "`nAll nodes in this farm should be restarted. This script will attempt to restart the current
node, but no other nodes."
Write-Host "Please manually restart all nodes in your AD FS farm.`n`n"

$question = "An AD FS Service restart is required. Proceed with restart?"
$question = "An AD FS Service restart is required. Proceed with restart?"

$decision2 = $Host.UI.PromptForChoice($message, $question, $choices, 1)
if($decision2 -eq 0){

Write-Host "Stopping AD FS"
net stop adfssrv
Write-Host "Starting AD FS"

net start adfssrv
}else{
Write-Host "You chose not to restart AD FS. Please manually restart AD FS to allow the changes to take
effect."
}
} else {
Write-Host "Cancelling"
}
}else{
Write-Host "No Operations Needed"
}
}else
{
Write-Host "No issues detected. Terminating script."
}
Erro de certificado do ADFS 2.0: Ocorreu um erro
durante uma tentativa de criar a cadeia de
certificados
Este artigo ajuda a corrigir o erro de certificado do ADFS 2.0 durante uma tentativa de criar a cadeia de
certificados.
Resumo
A maioria dos problemas do AD FS (Serviços Federados do Active Directory) 2.0 pertence a uma das seguintes
categorias principais. Este artigo contém instruções passo a passo para solucionar problemas de certificado.
Problemas de conectividade (KB 3044971)
Problemas de serviço do ADFS (KB 3044973)
Problemas de certificado (KB 3044974)
Problemas de autenticação (KB 3044976)
Problemas de regras de declaração (KB 3044977)
Sintomas
Esse problema começa depois que um certificado do AD FS é alterado ou substituído.
O programa deixa de aceitar o token emitido pelo AD FS.
O AD FS retorna um dos seguintes erros quando recebe uma solicitação ou resposta assinada, ou se ele
tenta criptografar um token que deve ser emitido para um Aplicativo De Confiança:
ID do Evento 316
Ocorreu um erro durante uma tentativa de criar a cadeia de certificados para o certificado de
assinatura de confiança da parte confiável.
ID do Evento 315
assinatura de confiança do provedor de declarações.
ID do Evento 317
criptografia de confiança da parte confiável.
As seguintes IDs de evento relacionadas ao certificado são registradas no log de eventos do AD FS:
ID do Evento 133
Descrição: durante o processamento da configuração do Serviço de Federação, o elemento
'serviceIdentityToken' foi encontrado com dados inválidos. A chave privada do certificado configurado
não pôde ser acessada. Veja a seguir os valores do certificado:Elemento: serviceIdentityToken
ID do Evento 385
O AD FS 2.0 detectou que um ou mais certificados no banco de dados de configuração do AD FS 2.0
precisam ser atualizados manualmente.
ID do Evento 381
configuração.
ID do Evento 102
Houve um erro na habilitação de pontos de extremidade do Serviço de Federação.
Dados adicionais
Detalhes da exceção:
System.ArgumentNullException: O valor não pode ser nulo.
Nome do parâmetro: certificado
ID do Evento: 387
O AD FS 2.0 detectou que um ou mais dos certificados especificados no Serviço de Federação não
estavam acessíveis à conta de serviço usada pelo Serviço de Windows do AD FS 2.0.
Ação do usuário: certifique-se de que a conta de serviço do AD FS tenha permissões de leitura nas
chaves privadas do certificado.
Detalhes adicionais:
Certificado de assinatura de token com impressão digital 'xxxxxxxx'
Resolução
Para resolver esse problema, siga estas etapas na ordem dada. Estas etapas ajudarão você a determinar a causa
do problema. Verifique se o problema foi resolvido após cada etapa.
Etapa 1: Verificar se há chaves privadas
Verifique se todos os certificados do AD FS (Comunicações de serviço, descriptografia de token e assinatura de
token) são válidos e têm uma chave privada associada a eles. Além disso, certifique-se de que o certificado está
dentro do período de validade.
Onde encontrar os certificados

Para certificados de comunicações de serviço:
1. No servidor do AD FS, clique em Iniciar , clique em Executar, digite MMC.exe e pressione Enter.
2. Na caixa de diálogo Adicionar/Remover Snap-in, clique em OK .
3. Na tela de snap-in Cer tificados, clique no armazenamento de certificados da conta do
computador.
4. Para exibir as propriedades do certificado de Comunicações de Serviço, expanda Cer tificado

(Computador Local), expanda Pessoal e clique em Cer tificados .
Para certificados de assinatura de token e descriptografia de token:
Se os certificados são certificados auto-assinados adicionados pelo servidor ADFS por padrão, logon
interativamente no servidor ADFS usando a conta do Serviço ADFS e verifique o armazenamento de
certificados do usuário (certmgr.msc).
Se o certificado for de uma autoridade de certificação (CA), configurada pelos administradores do
ADFS postando desabilitando o AutoCertificateRollover, você poderá encontrá-lo no armazenamento
de certificados do servidor ADFS.
Etapa 2: certifique -se de que os certificados não estão usando uma chave privada CNG (Cryptographic Next
Generation)
Certificados que usam a chave privada CNG não são suportados para Assinatura de Token e Descriptografia de
Token. Se o AD FS gerou o certificado auto-assinado, esse certificado não usa CNG. Para um certificado emitido
por uma AC, certifique-se de que o certificado não é baseado em CNG. Para fazer isso, siga estas etapas: Se o
modelo de AC estiver usando qualquer um dos provedores de serviços criptográficos listados, o certificado
emitido por essa CA não será suportado pelo servidor do AD FS.
Para obter mais informações, consulte How to Determine if a Certificate is Using a CAPI1 or CNG key.
Etapa 3: Verificar se a associação SSL dos certificados de comunicação do serviço no IIS está vinculada à
porta 443
Como verificar e corrigir
1. Inicie o Gerenciador do IIS. Para fazer isso, clique em Iniciar, clique em Ferramentas Administrativas
e, em seguida, clique Ser viços de Informações da Internet (IIS) Manager .
2. Clique no nome do servidor e expanda a pasta Sites.
3. Localize seu site (normalmente, ele é conhecido como "Site Padrão") e selecione-o.
4. No menu Ações do lado direito, clique em Vinculações . Certifique-se de que o tipo de biding https está
vinculado à porta 443. Caso contrário, clique em Editar para alterar a porta.
Etapa 4: verifique se o certificado de comunicação do serviço é válido, confiável e passa uma verificação de
revogação
Como verificar
1. Abra o AD FS 2.0 Management.
2. Expanda Ser viço, clique em Cer tificado, clique com o botão direito do mouse no certificado de
comunicações de serviço e clique em Exibir cer tificado .
3. No painel de detalhes, clique em Copiar para arquivo e salve o arquivo como Filename.cer.
4. Em um prompt de comando, execute o seguinte comando para determinar se o certificado de
comunicação do serviço é válido:
Run 'Certutil -verify -urlfetch certificate.CER > cert_cerification.txt'
5. Abra o arquivo de saída criado acima de "cert_verification.txt".

6. Vá até o final do arquivo e verifique se ele inclui o seguinte para um teste de revogação bem-sucedido:
Verificação de revogação de certificado folha aprovada

CertUtil: -verificar o comando concluído com êxito.
7. Se o arquivo indicar que as verificações de revogação falharam ou se o servidor de revogação estava

offline, verifique o log para determinar qual certificado na cadeia de certificados não pôde ser verificado.
Verifique se algum caminho AIA ou CDP falhou. Em um cenário no qual vários caminhos são
especificados em um tipo de arquivo, ambos os caminhos devem ser marcados como verificados.
---------------- certificado AIA ----------------

Verificado "Certificado (0)" Hora: 0
[0.0] http://www.contoso.com/pki/mswww(6).crt
Falha na hora "AIA": 0
URL de recuperação de erro: o nome ou endereço do servidor não pôde ser resolvido 0x80072ee7
(WIN32: 12007)
http://corppki/aia/mswww(6).crt
---------------- cdp de certificado ----------------

Verificado "CRL Base (5a)" Hora: 0
[0.0] http://mscrl.contoso.com/pki/crl/mswww(6).crl
Verificado "CRL Base (5a)" Hora: 0
[1.0] http://crl.contoso.com/pki/crl/mswww(6).crl
Falha na hora "CDP": 0
URL de recuperação de erro: o nome ou endereço do servidor não pôde ser resolvido 0x80072ee7
(WIN32: 12007)
http://corppki/crl/mswww(6).crl
Coletar um rastreamento de rede pode ajudar se qualquer um dos caminhos AIA ou CDP ou OCSP
estiver indisponível.
8. Se a entrada de log indicar que o certificado foi revogado, você deve solicitar outro certificado válido e
que não seja revogado.
Etapa 5: certifique -se de que as contas de serviço do ADFS têm a permissão De leitura para a chave privada
dos certificados ADFS
Como verificar a permissão de leitura
1. No servidor do AD FS, clique em Iniciar , clique em Executar, insira MMC.exe e pressione Enter.
2. Na caixa de diálogo Adicionar/Remover Snap-in, clique em OK .
3. Na janela Raiz do Console, clique em Cer tificados (Computador Local) para exibir os
armazenamentos de certificados do computador.
4. Clique com o botão direito do mouse no serviço do AD FS, aponte para Todas as Tarefas e clique em
Gerenciar chaves privadas .
5. Verifique se a conta do AD FS tem a permissão Leitura.
Etapa 6: verificar se o recurso ADFS AutoCertificateRollover está habilitado para certificados de assinatura de
token e descriptografia de token
Como verificar o recurso ADFS AutoCertificateRollover
Se AutoCertificateRollover estiver desabilitado, os certificados de assinatura de token e descriptografia de
token não serão renovados automaticamente. Antes que esses certificados expirem, certifique-se de que um
novo certificado seja adicionado à configuração do AD FS. Caso contrário, a parte confiável não confiará no
token emitido pelo servidor do AD FS.
Se AutoCertificateRollover estiver habilitado, novos certificados de assinatura de token e descriptografia de
token serão gerados 20 dias antes da expiração dos certificados antigos. Os novos certificados obterão o
status primário cinco dias após a geração. Depois que o novo conjunto de certificados for gerado, certifique-
se de que as mesmas informações são atualizadas sobre a parte confiável e as confianças do provedor de
declaração.
Para obter mais informações sobre o recurso AutoCertificateRollover do AD FS, consulte os seguintes tópicos do
TechNet:
AD FS 2.0: Noções básicas sobre propriedades de limite de AutoCertificateRollover
AD FS 2.0: como habilitar e usar imediatamente o AutoCertificateRollover
AD FS 2.0: Como substituir o SSL, as comunicações de serviço, a assinatura de tokens e Token-Decrypting
certificados
Etapa 7: Adicionar o nome do serviço de federação no certificado SAN
Se o certificado tiver o atributo SAN (Subject Alternative Name) habilitado, o nome do serviço de federação
também deverá ser adicionado à SAN do certificado, juntamente com outros nomes. Para obter mais
informações, consulte Requisitos de certificado SSL.
Etapa 8: Verificar permissões de conta de serviço para o contêiner de compartilhamento de certificados
(CN= <GUID> ,CN=ADFS,CN=Microsoft,CN=Program Data,DC= <Domain> ,DC= <COM> )
Como verificar e corrigir a permissão da conta de serviço
1. Em um controlador de domínio (DC), abra Adsiedit.msc.
2. Conexão para o contexto de nomen por padrão.
3. Localize CN= <GUID> ,CN=ADFS,CN=Microsoft,CN=Program Data,DC= <Domain> ,DC=
<COM> .
NOTE
Nesse nome de contêiner, os parâmetros entre colchetes representam os valores reais. Um exemplo de GUID é
"62b8a5cb-5d16-4b13-b616-06caea706ada".
4. Clique com o botão direito do mouse no GUID e clique em Propriedades . Se houver mais de um GUID,
siga estas etapas:
a. Inicie Windows PowerShell no servidor que está executando o serviço do AD FS.
b. Execute o seguinte comando:
Add-PSSnapin microsoft.adfs.powershellGet-ADFSProperties
c. Localize o GUID do serviço AD FS em execução em Cer tificateShareingContainer .

5. Certifique-se de que a conta de serviço do ADFS tenha permissões de Leitura, Gravação e "Criar Todos os
objetos filho" concedidas a esse objeto e a todos os objetos descendentes.
Etapa 9: Verificar provedores de declarações e partes de confiança para atualizações de certificados
Se os certificados de assinatura de token e descriptografia de token foram alterados, certifique-se de que os
provedores de declarações e as partes subjacentes sejam atualizados para ter os novos certificados. Se os
provedores de declarações e as partes de base não são atualizados, eles não podem confiar no serviço do AD
FS.
Depois que a alteração for feita, compartilhe o Federationmetadata.xml com o provedor de declarações e a
parte de base.
O provedor de declarações e a parte confiável podem exigir apenas que os novos certificados de assinatura
de token e descriptografia de token (sem uma chave privada) sejam atualizados na confiança de federação
no final.
Etapa 10: Verificar se há uma solicitação assinada e uma resposta do provedor de declarações ou da parte de
confiança
A solicitação assinada e a resposta podem ser recebidas pelo servidor do AD FS do provedor de declarações ou
da parte de base. Nesse cenário, o servidor do AD FS pode verificar a validade do certificado usado para
assinatura e falha. O AD FS também verifica a validade do certificado relacionado à parte de base usada para
enviar um token criptografado ao servidor do AD FS.
Cenários
O AD FS 2.0 recebe uma solicitação SAML-P assinada que é enviada por uma parte de confiança.
NOTE
Exigir a assinatura de solicitações de login é uma opção configurável. Para definir esse requisito para uma
confiança de parte confiável, use o parâmetro RequireSignedSamlRequests juntamente com o cmdlet Set-
ADFSRelyingPartyTrust de terceiros.
O AD FS 2.0 recebe uma solicitação de saída DO SAML assinada da parte subjacente. Nesse cenário, a
solicitação de assinatura deve ser assinada.
O AD FS 2.0 recebe uma solicitação de saída de um provedor de declarações e criptografa uma
solicitação de saída para a parte de confiança. Nesse cenário, o provedor de declarações inicia a saída.
O AD FS 2.0 emite um token criptografado para uma parte de confiança.
O AD FS 2.0 recebe um token emitido de um provedor de declarações.
O AD FS 2.0 recebe uma solicitação de saída do SAML assinada de um provedor de declarações. Nesse
cenário, a solicitação de assinatura deve ser assinada.
O que verificar para resolver o problema
Certifique-se de que o certificado de assinatura da confiança do provedor de declarações seja válido e
não tenha sido revogado.
Certifique-se de que o AD FS 2.0 possa acessar a lista de revogação de certificado se a configuração de
revogação não especificar "nenhum" ou uma configuração "somente cache".
NOTE
Você pode usar Windows PowerShell cmdlets do AD FS 2.0 para configurar as seguintes configurações de
revogação:
Parâmetro SigningCer tificateRevocationCheck do cmdlet Set-ADFSClaimsProviderTrust ou Set-
ADFSRelyingPartyTrust
Parâmetro Encr yptionCer tificateRevocationCheck do cmdlet Set-ADFSRelyingPartyTrust ou Set-
ADFSClaimsProviderTrust
Para obter mais informações, consulte Solução de problemas de certificado com o AD FS 2.0.
Erro do ADFS 2.0: 401 O recurso solicitado requer
autenticação do usuário
Este artigo aborda um problema em que você é solicitado a solicitar credenciais e o evento 111 é registrado ao
autenticar uma conta no Active Directory Federation Services (AD FS) 2.0.
Resumo
categorias principais. Este artigo contém instruções passo a passo para solucionar problemas de autenticação.
Sintomas
Quando você tenta autenticar uma conta no Active Directory Federation Services (AD FS) 2.0, os seguintes erros
ocorrem:
O servidor do AD FS retorna a seguinte mensagem de erro:
Erro Não Autorizado-HTTP 401. O recurso solicitado requer autenticação do usuário.
Em uma tela de logon baseada em formulário, o servidor retorna a seguinte mensagem de erro:
O nome de usuário ou senha está incorreto.
Você é continuamente solicitado a buscar credenciais.

O Evento 111 está conectado ao log de administração do AD FS, da seguinte forma:
Nome do log: AD FS 2.0/Admin

ID do Evento: 111
Nível: Erro
Palavras-chave: AD FS
Descrição:
O Serviço de Federação encontrou um erro durante o processamento WS-Trust solicitação.
Tipo de solicitação: http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
Detalhes da exceção:
Microsoft.IdentityModel.SecurityTokenService.FailedAuthenticationException: MSIS3019: Falha na
autenticação. ---> System.IdentityModel.Tokens.SecurityTokenValidationException: ID4063: Falha no
LogonUser para o usuário 'user1'. Verifique se o usuário tem uma conta Windows válida. --->
System.ComponentModel.Win32Exception: Falha de logon: nome de usuário desconhecido ou senha
incorreta
Resolução
Para resolver esse problema, siga estas etapas, na ordem dada. Essas etapas ajudarão você a determinar a causa
do problema.
Etapa 1: Atribuir o registro de nome de serviço de Federação do AD FS correto
Certifique-se de que o DNS tenha um registro HOST (A) para o nome do serviço de Federação do AD FS e evite
usar um registro CNAME. Para obter mais informações, consulte Comportamentos do Internet Explorer com
Autenticação Kerberos.
Etapa 2: Verificar o registro de nome do Serviço de Federação
Localize o Nome do Serviço de Federação e verifique se o nome está registrado na conta de serviço do AD FS.
Para fazer isso, siga estas etapas:
1. Localize o <Federation Ser vice Name> NOME/HOST:
a. Abra o Gerenciador do AD FS 2.0.
b. Clique com o botão direito do mouse em ADFS 2.0 e selecione Editar Propriedades do
Ser viço de Federação.
c. Na guia Geral, localize o campo Nome do Serviço de Federação para ver o nome.
2. Verifique se HOST/nome está registrado na conta de serviço <Federation Ser vice Name> do AD FS:
a. Abra o snap-in Gerenciamento. Para fazer isso, clique em Iniciar, em Todos os Programas, em
Ferramentas Administrativas e em Ser viços.
b. Clique duas vezes no AD FS (2.0) Windows Ser viço .
c. Na guia Log On, observe a conta de serviço exibida no campo Essa conta.
d. Clique em Iniciar , Todos os Programas , Acessórios , clique o botão direito no Prompt de
comando , e depois clique em Executar como administrador .
e. Execute o seguinte comando:
SETSPN -L domain\<ADFS Service Account>
Se o nome do Serviço de Federação ainda não existir, execute o seguinte comando para adicionar o nome
principal do serviço (SPN) à conta do AD FS:
SetSPN -a host/<Federation service name> <username of service account>
Etapa 3: verificar se há SPNs duplicados

Verifique se não há SPNs duplicados para o nome da conta do AD FS. Para fazer isso, siga estas etapas:
1. Clique em Iniciar , Todos os Programas , Acessórios , clique o botão direito no Prompt de comando ,
e depois clique em Executar como administrador .
2. Execute o seguinte comando para garantir que não haja SPNs duplicados para o nome da conta do AD
FS:
SETSPN -X -F
Etapa 4: verificar se o navegador usa Windows Autenticação Integrada

Certifique-se de que o navegador do Internet Explorer que você está usando esteja configurado para usar
Windows Autenticação Integrada. Para fazer isso, inicie o Internet Explorer, clique em Configurações, clique em
Opções da Internet, em Avançado e em Habilitar Autenticação Integrada deWindows .
Etapa 5: Verificar o tipo de autenticação
Certifique-se de que o tipo de autenticação padrão no servidor do AD FS está configurado corretamente. Para
fazer isso, siga estas etapas:
1. No Windows Explorer, navegue até C:\inetpub\adfs\ls (isso pressuponde que o inetpub está localizado na
unidade C).
2. Localize Web.config e abra o arquivo em Bloco de notas.
3. No arquivo, localize (Ctrl+F) <localAuthenticationTypes> .
4. Em <localAuthenticationTypes> , localize as quatro linhas que representam os tipos de autenticação
locais.
5. Selecione e exclua seu tipo de autenticação local preferencial (a linha inteira). Em seguida, colar a linha na
parte superior da lista (em <localAuthenticationTypes> ).
6. Salve e feche o arquivo Web.config.
Para obter mais informações sobre o Tipo de Autenticação Local, consulte o seguinte tópico do TechNet:
AD FS 2.0: Como alterar o tipo de autenticação local
Etapa 6: Verificar configurações de autenticação
Certifique-se de que os diretórios virtuais do AD FS estão configurados corretamente para autenticação no
Serviços de Informações da Internet (IIS).
No nó Site padrão/adfs, abra a configuração Autenticação e certifique-se de que a Autenticação
Anônima está habilitada.
No nó Site padrão/adfs/ls, abra a configuração Autenticação e certifique-se de que a Autenticação
anônima e Windows estão habilitadas.
Etapa 7: Verificar configurações de confiança de proxy
Se você tiver um servidor proxy do AD FS configurado, verifique se a confiança de proxy é renovada durante os
intervalos de conexão entre os servidores proxy do AD FS e do AD FS.
O servidor Proxy renova automaticamente a confiança com o Serviço de Federação do AD FS. Se esse processo
falhar, o evento 394 será registrado no Visualizador de Eventos e você receberá a seguinte mensagem de erro:
O proxy do servidor de federação não pôde renovar sua confiança com o Serviço de Federação.
Para resolver esse problema, tente executar o assistente de configuração de proxy do AD FS novamente. À
medida que o assistente é executado, certifique-se de que o nome de usuário e as senhas de domínio válidos
sejam usados. Essas credenciais não são armazenadas no servidor proxy do AD FS. Ao inserir credenciais para o
assistente de configuração de confiança de proxy, você tem duas opções.
Use credenciais de domínio que tenham direitos administrativos locais nos servidores do AD FS.
Usar as credenciais da conta de serviço do AD FS
Etapa 8: Verificar as configurações de proteção estendida do IIS
Determinados navegadores não poderão se autenticar se a proteção estendida (ou seja, Windows Autenticação)
estiver habilitada no IIS, conforme mostrado na Etapa 5. Tente desabilitar Windows Autenticação para
determinar se isso resolve o problema.
Você também verá a proteção estendida não permitindo Windows autenticação quando o proxy SSL está sendo
feito por ferramentas como Fiddler ou alguns balanceadores de carga inteligentes.
Por exemplo: você pode ver prompts de autenticação repetidos se você tiver o Depurador da Web fiddler em
execução no cliente.
Para desabilitar a proteção estendida para autenticação, siga o método apropriado, dependendo do tipo de
cliente.
Para clientes passivos
Use este método para os aplicativos virtuais "Site padrão/adfs/ls" em todos os servidores no farm de servidores
de federação do AD FS. Para fazer isso, siga estas etapas:
1. Abra o Gerenciador do IIS e localize o nível que você deseja gerenciar.
Para obter mais informações sobre como abrir o Gerenciador do IIS, consulte Open IIS Manager (IIS 7).
2. Em Exibição de Recursos, clique duas vezes em Autenticação .
3. Na página Autenticação, selecione Windows Autenticação .
4. No painel Ações, clique em Avançado Configurações .
5. Quando a caixa Configurações caixa de diálogo Advanced Configurações for exibida, clique em Off no
menu Proteção Estendida.
Para clientes ativos
Use este método para o servidor principal do AD FS:
1. Inicie o Windows PowerShell.
2. Para carregar o Windows PowerShell para o snap-in do AD FS, execute o seguinte comando:
Add-PsSnapIn Microsoft.Adfs.Powershell
3. Para desabilitar a proteção estendida para autenticação, execute o seguinte comando:
Set-ADFSProperties -ExtendedProtectionTokenCheck "None"
Etapa 9: Verificar o status do canal seguro entre o servidor ADFS e os DCs

Certifique-se de que o canal seguro entre o AD FS e os DCs seja bom. Para fazer isso, execute o seguinte
comando:
Nltest /dsgetdc:domainname
Se a resposta for diferente de "sucesso", você deverá solucionar problemas no canal seguro do netlogon. Para
fazer isso, certifique-se de que as seguintes condições sejam verdadeiras:
O controlador de domínio (DC) é acessível
Os nomes DC podem ser resolvidos
As senhas no computador e sua conta no site do Active Directory estão em sincronia.
Etapa 10: Verificar se há gargalos
Verifique se você está enfrentando gargalos relacionados à autenticação de acordo com a configuração
MaxconcurrentAPI no servidor do AD FS ou nos DCs. Para obter mais informações sobre como verificar essa
configuração, consulte o seguinte artigo da Base de Dados de Conhecimento:
Como fazer ajuste de desempenho para autenticação NTLM usando a configuração MaxConcurrentApi
Etapa 11: Verificar se o servidor proxy do ADFS está enfrentando congestionamento
Verifique se o servidor proxy do ADFS está retardando conexões porque ele recebeu muitas solicitações ou a
resposta atrasada do servidor do AD FS. Para obter mais informações, consulte o seguinte tópico do TechNet:
AD FS 2.x: Solução de problemas da ID de evento do Servidor Proxy 230 (Algoritmo de Evitar
Congestionamento)
Nesse cenário, você pode observar falhas de logon intermitentes no ADFS.
Etapa 12: Verificar configurações de confiança de proxy
Se você tiver um servidor proxy ADFS configurado, verifique se a confiança de proxy é renovada durante os
intervalos de conexão entre os servidores proxy do AD FS e do AD FS.
O servidor Proxy renova automaticamente a confiança com o Serviço de Federação do AD FS. Se esse processo
falhar, o evento 394 será registrado no Visualizador de Eventos e você receberá a seguinte mensagem de erro:
O proxy do servidor de federação não pôde renovar sua confiança com o Serviço de Federação.
Para resolver esse problema, tente executar o assistente de configuração de proxy do AD FS novamente. À
medida que o assistente é executado, certifique-se de que o nome de usuário e as senhas de domínio válidos
sejam usados. Essas credenciais não são armazenadas no servidor proxy do AD FS.
Etapa 13: Habilitar a auditoria do ADFS juntamente com eventos de logon de auditoria - sucesso e falha
Para obter mais informações, consulte Configuring ADFS Servers for Troubleshooting.
Erro do ADFS 2.0: esta página não pode ser exibida
Este artigo fornece uma solução para um erro quando você tenta acessar um aplicativo em um site que usa o
AD FS 2.0.
Resumo
categorias principais. Este artigo contém instruções passo a passo para solucionar problemas de conectividade.
Falha ao iniciar o serviço do ADFS 2.0 (KB 3044971)
Sintomas
Sintoma 1
Quando você tenta acessar um aplicativo Web em um site que usa o Active Directory Federation Services
(AD FS) 2.0, você recebe a seguinte mensagem de erro:
Esta página não pode ser exibida.
Sintoma 2
Não é possível acessar a seguinte página de logon iniciada pelo IDP e metadados do AD FS:
https://ADFSServiceName/federationmetadata/2007-06/federationmetadata.xml
https://ADFSServiceName/adfs/ls/idpinitiatedsignon.aspx
Resolução
Para resolver esse problema, siga estas etapas na ordem. Estas etapas ajudarão você a determinar a causa do
problema. Verifique se o problema foi resolvido após cada etapa.
Etapa 1: Verificar se o cliente é redirecionado para a URL correta do AD FS
Como verificar
1. Inicialize o Internet Explorer.
2. Pressione F12 para abrir a janela de ferramentas do desenvolvedor.
3. Na guia Rede, selecione o botão iniciar ou pressione Iniciar captura para habilitar a captura de
tráfego de rede.
4. Navegue até a URL do aplicativo Web.
5. Examine os rastreamentos de rede para ver se o cliente é redirecionado para a URL do serviço AD FS
para autenticação. Certifique-se de que a URL do serviço do AD FS está correta.
Na captura de tela a seguir, a primeira URL é para o aplicativo Web e a segunda URL é para o serviço do
AD FS.
Como corrigir
Se você for redirecionado para um endereço incorreto, provavelmente terá configurações incorretas de
federação do AD FS em seu aplicativo Web. Verifique essas configurações para garantir que a URL do
serviço de federação do AD FS (provedor de serviços SAML) está correta.
Etapa 2: Verificar se o nome do Serviço do AD FS pode ser resolvido para o endereço IP correto
Como verificar
Em um computador cliente e no servidor proxy do AD FS (se você tiver isso), use um comando ping ou
nslookup para determinar se o nome do serviço do AD FS está resolvido para o endereço IP correto. Siga
o procedimento abaixo.
Intranet: o nome deve ser resolvido para o IP do servidor interno do AD FS ou para o IP
balanceado de carga do servidor do AD FS (Interno).
Externo: o nome deve ser resolvido para o IP Externo/Público do serviço do AD FS. Nessa situação,
o DNS público é usado para resolver o nome. Se você observar que diferentes IPs públicos são
retornados de computadores diferentes para o mesmo nome de serviço do AD FS, a alteração
recente no DNS Público pode ainda não ser propagada em todos os servidores DNS públicos em
todo o mundo. Essa alteração pode exigir até 24 horas para ser replicada.
IMPORTANT
Em todos os servidores do AD FS, certifique-se de que os servidores proxy do AD FS possam resolver o
nome do serviço AD FS para o IP interno do servidor do AD FS ou para o IP balanceado de carga do
servidor AD FS interno. A melhor maneira de fazer isso é adicionar uma entrada no arquivo HOST no
servidor proxy do AD FS ou usar uma configuração DNS dividida em uma rede de perímetro (também
conhecida como "DMZ", "zona desmilitarizada" e "sub-rede com tela").
Exemplo do comando nslookup:
Nslookup sts.contoso.com
Como corrigir
Verifique o registro do nome de serviço do AD FS por meio do servidor DNS ou provedor de serviços da
Internet (ISP). Certifique-se de que o endereço IP está correto.
Etapa 3: Verificar se a porta TCP 443 no servidor do AD FS pode ser acessada
Como verificar
Use Telnet ou PortQryUI - Interface do Usuário para o PortQry Command Line Port Scanner para
consultar a conectividade da porta 443 no servidor do AD FS. Certifique-se de que a porta 443 está
escutando.
Como corrigir
Se o servidor do AD FS não estiver escutando na porta 443, siga estas etapas:
1. Certifique-se de que o Serviço de Windows do AD FS 2.0 seja iniciado.
2. Verifique a Windows de firewall no servidor do AD FS para garantir que a porta TCP 433 tenha
permissão para fazer conexões.
3. Se um balanceador de carga for usado antes dos serviços do AD FS, tente ignorar o processo de
balanceamento de carga para verificar se essa não é a causa do problema. (O balanceamento de carga
é uma causa comum.)
Etapa 4: Verifique se você pode usar uma página de login iniciada pelo IdP para autenticar no ADFS
Como verificar
Inicie o Internet Explorer e navegue até o seguinte endereço da Web. Se você receber um aviso de
certificado ao tentar abrir esta página, selecione Continuar .
http:// <YourADFSServiceName> /adfs/ls/idpinitiatedsignon.aspx
NOTE
Nesta URL, <YourADFSServiceName> representa o nome de serviço real do AD FS.
Normalmente, você acessa uma tela de entrada e, em seguida, pode entrar usando suas credenciais.
Como corrigir
Se você puder fazer com êxito a Etapa 1 até a Etapa 3, mas ainda não conseguir acessar o aplicativo Web,
siga estas etapas:
1. Use outro computador cliente e navegador para fazer os testes. Pode haver um problema que afete o
cliente.
2. Faça as seguintes etapas avançadas de solução de problemas:
3. Colete informações de rastreamento e captura de rede do Fiddler Web Depurador enquanto você está
acessando a IDPInitiatedsignon página. Para obter mais informações, consulte AD FS 2.0: How to Use
Fiddler Web Depurador to Analyze a WS-Federation Passive Sign-In.
4. Colete rastreamentos de rede do computador cliente para verificar se o handshake SSL foi concluído
com êxito, se há uma mensagem criptografada, se você está acessando o endereço IP correto e assim
por diante. Para obter mais informações, consulte How to enable Schannel event logging in Windows
and Windows Server.
Aviso de isenção de responsabilidade para informações de terceiros
produtos.
Falha ao iniciar o serviço do AD FS 2.0
Este artigo fornece etapas de solução de problemas para a configuração do serviço ADFS e problemas de
inicialização.
Resumo
A maioria dos problemas do ADFS 2.0 pertencem a uma das seguintes categorias principais. Este artigo contém
as instruções passo a passo para solucionar problemas de serviço do ADFS.
Problemas de conectividade
Problemas de certificado
Problemas de autenticação
Problemas de regras de declaração
Sintomas
O serviço do AD FS não é a iniciar.
O serviço do AD FS é iniciado, mas os seguintes erros são registrados no log de administração do AD FS
após uma reinicialização:
ID do Evento: 220
A configuração do Serviço de Federação não pôde ser carregada corretamente do banco de dados de
configuração do AD FS.
ID do Evento: 352
Uma SQL Server no banco de dados de configuração do AD FS com a cadeia de conexão %1 falhou.
ID do Evento: 102
Houve um erro na habilitação de pontos de extremidade do Serviço de Federação.
Resolução
Para resolver esse problema, siga estas etapas, na ordem dada. Essas etapas ajudarão você a determinar a causa
Etapa 1: Verificar se o tempo de serviço do AD FS é atualizado durante a inicialização
Se o serviço do AD FS for atualizado quando ele tentar iniciar, você receberá a seguinte mensagem de erro:
O serviço não respondeu à solicitação de início ou controle em tempo hábil.
Corrigir tempos de serviço do AD FS

Altere os dados de valor do valor DWORD Ser vicesPipeTimeout para 60000 na tecla Control. Para fazer
1. No servidor do AD FS, abra Editor do Registro.
2. Localize e clique na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
3. Clique na sub-tecla Controle.

4. Clique com o botão direito do mouse no valor DWORD Ser vicesPipeTimeout e clique em Modificar .
Se não houver valor Ser vicesPipeTimeout, crie-o.
5. Clique em Decimal .
6. Digite 60000 e clique em OK . Para obter mais informações sobre esse erro de tempo de tempo, consulte
AD FS 2.0: The Service Fails to Start: "Theservice did not respond to the start or control request in a
timelyly" .
Etapa 2: Verificar se o banco de dados de configuração do AD FS está em execução
Se você estiver usando Banco de Dados Interno do Windows (WID) como um banco de dados de
configuração do AD FS, abra services.msc e verifique se o serviço Banco de Dados Interno do Windows
está sendo executado.
Se você estiver usando o serviço SQL Server como um banco de dados de configuração do AD FS, abra
services.msc. Verifique se o serviço SQL Server está sendo executado. Você também pode criar um
arquivo Test.udl e preencher a cadeia de caracteres de conexão para testar a conectividade com Microsoft
SQL Server.
Como corrigir
Abra Services.msc e inicie o serviço Banco de Dados Interno do Windows ou SQL Server serviço.
Para um servidor do AD FS que usa SQL Server como banco de dados de configuração, você também deve
verificar duas configurações de segurança, da seguinte forma:
1. Conexão para o servidor que está executando SQL Server usando SQL Management Studio.
2. Verifique se a identidade do serviço do AD FS 2.0 Windows existe no console SQL Server no nó >
Logons de Segurança. Se não for, adicione-o.
3. Verifique se a identidade de serviço do AD FS 2.0 Windows existe em Databases > AdfsConfiguration
Security Users e se ele é proprietário do > > esquema IdentitySer verPolicy. Se não for, adicione-o.
Etapa 3: Verificar a conta do Serviço do AD FS
1. Verifique se o serviço do AD FS e o AppPool do IIS estão sendo executados em uma conta de serviço
válida. Se você alterou a senha da conta de serviço, certifique-se de que a nova senha seja atualizada no
serviço AD FS e no AppPool do IIS.
a. Abra Services.msc, clique com o botão direito do mouse em Ser viço do AD FS 2.0 e clique em
Propriedades . Na guia Log on, certifique-se de que a nova conta de serviço do AD FS está
listada na caixa Essa conta.
b. Abra o Gerenciador do IIS, navegue até Pools de Aplicativos, clique com o botão direito do
mouse em ADFSAppPool e clique em Avançado Configurações . Na seção Modelo de
Processo, certifique-se de que a nova conta de serviço do AD FS está listada como Identity .
2. Verifique se a conta de serviço tem permissões suficientes no banco de dados do AD FS. Você deve se
preocupar com a permissão se tiver alterado a conta de serviço em que o ADFS está sendo executado.
Se você estiver usando o SQL Server como servidor de configuração, siga estas etapas para redefinir a
permissão da conta de serviço:
a. Em um prompt de comando, execute o seguinte comando:
fsconfig.exe /CreateSQLScripts /ServiceAccount <ADFS service account> /ScriptDestinationFolder
<path to create scripts>
b. Copie o script que você criou para o servidor que está executando SQL Server.
c. Execute o script no servidor.
3. Verifique se a conta de serviço tem permissões de leitura e modificação no contêiner de
Compartilhamento de Certificados (CN= <GUID> ,CN=ADFS,CN=Microsoft,CN=Program
Data,DC= <Domain> ,DC= <COM> ).
a. Em um controlador de domínio, abra ADSIEDIT.msc.
b. Conexão para o contexto de nomen por padrão.
c. Navegue até CN= <GUID> ,CN=ADFS,CN=Microsoft,CN=Program Data,DC= <Domain>
,DC= <COM> . Um exemplo de GUID é 62b8a5cb-5d16-4b13-b616-06caea706ada.
d. Clique com o botão direito do mouse no GUID e clique em Propriedades . Se houver mais de um
GUID, siga estas etapas para encontrar o GUID do servidor que está executando o serviço do AD
FS.
a. No servidor que está executando o serviço do AD FS, inicie Windows PowerShell.
b. Execute os seguintes comandos:
Add-PSSnapin microsoft.adfs.powershell
Get-ADFSProperties
c. O GUID está listado em Cer tificateShareingContainer .

4. Verifique se a nova conta de serviço tem a permissão De leitura na chave privada do certificado de
comunicação do serviço do AD FS.
a. Crie um Console de Gerenciamento da Microsoft (MMC) usando o snap-in Certificados destinado ao
armazenamento de certificados máquina local.
b. Expanda o MMC e selecione Gerenciar Chaves Privadas.
c. Na guia Segurança, adicione a conta de serviço do AD FS e conceda a permissão De leitura a essa
conta.
5. Verifique se o HOST/ADFSServiceName do AD FS Service Foi adicionado na conta de serviço e foi
removido da conta anterior (caso a conta de serviço tenha sido alterada).
a. Clique com o botão direito do mouse em Prompt de Comando e clique em Executar como
administrador .
b. Digite SetSPN -f -q host/ <Federation service name> e pressione Enter.
Neste comando, representa o nome de serviço FQDN (nome de domínio totalmente qualificado) do
ponto de extremidade de <Federation service name> serviço do AD FS. Você pode encontrar o nome do
serviço na caixa de diálogo Propriedades do Ser viço de Federação:
Para adicionar ou remover o SPN da conta, siga estas etapas:
a. Em um controlador de domínio, abra ADSIEDIT.msc.
b. Conexão para o contexto de nomen por padrão.
c. Expanda para CN=Users,CN=Microsoft,CN=Program Data,DC= <Domain> ,DC=
<COM> .
d. Localize a conta de serviço. Clique com o botão direito do mouse na conta de serviço e clique em
Propriedades .
e. Localize o atributo ser vicePrincipalName e clique em Editar .
f. Adicione ou remova o SPN do serviço do AD FS. Aqui está um exemplo de um SPN de serviço do
AD FS:
HOST/newadfs.contoso.com
6. Se você alterar a senha da conta de serviço, certifique-se de que a nova senha seja atualizada no serviço
AD FS e no AppPool do IIS AD FS.
7. Verifique se a conta de serviço do AD FS está no grupo admin local. Para evitar possíveis problemas,
conceda aos direitos de administrador local da conta de serviço do AD FS.
Etapa 4: atualizar o serviço do AD FS para a versão mais recente
Verifique se as atualizações a seguir estão instaladas. Caso não sejam, instale-os.
Rollup Update 2 for ADFS 2.0
Atualização de rollup 3 para ADFS 2.0
A atualização está disponível para corrigir vários problemas depois que você instala a atualização de
2843638 em um servidor do AD FS
Etapa 5: Corrigir uma falha de serviço intermitente do AD FS
Se você encontrar uma falha de serviço do AD FS intermitente, verifique se o problema foi iniciado após a
2894844 de segurança ter sido aplicada. Nessa situação, o AD FS falha e gera um número de referência quando
é acessado de uma rede externa ou por meio de uma comunicação baseada em formulário.
Se o problema começou depois que a atualização de segurança 2894844 foi aplicada, você pode estar
enfrentando o problema descrito na causa 1: o aplicativo Web está sendo executado em um farm (ambiente
multi-ser vidor) na seção Resolvendo erros do código de autenticação de mensagem de estado de exibição
(MAC).
Para corrigir esse problema, de definir a mesma chave de máquina estática em todos os servidores do AD FS e o
proxy do AD FS:
1. No Gerenciador do IIS, localize e abra a pasta adfs/ls.
2. Na seção ASP.NET, clique em Chave do Computador .
3. Limpe as caixas de seleção Gerar automaticamente no tempo de execução e Gerar uma chave exclusiva
para cada aplicativo para a chave validação e a chave de descriptografia.
4. Clique em Gerar Chaves .
5. Clique em Aplicar .
6. Copie as chaves de validação e descriptografia do primeiro servidor do AD FS e, em seguida, colar essas
chaves em todos os outros servidores.
Etapa 6: certifique -se de que os certificados de comunicação, assinatura de token e descriptografia do
serviço ADFS estão configurados corretamente
Para obter mais informações, consulte Erro de certificado do ADFS 2.0:Ocorreu um erro durante uma tentativa
de criar a cadeia de certificados .
Disponibilidade e descrição dos Serviços de
Federação do Active Directory 2.0
Este artigo fornece disponibilidade e descrição dos Serviços de Federação do Active Directory 2.0.
Introdução
Os Serviços de Federação do Active Directory (AD FS) 2.0 ajudam os usuários a colaborar entre os limites
organizacionais e acessar facilmente aplicativos no local e na nuvem. E o AD FS ajuda a manter a segurança do
aplicativo. Por meio de uma infraestrutura baseada em declarações, a TI pode habilitar uma experiência de login
único para os usuários finais para aplicativos. Essa infraestrutura baseada em declarações não exige uma conta
ou senha separada, se os aplicativos estão localizados em organizações parceiras ou hospedados na nuvem.
Requisitos do sistema
Para implementar o AD FS 2.0, o computador deve executar um dos seguintes Windows operacionais:
Windows Server 2008 R2 (64 bits):
Datacenter Edition
Enterprise Edition
Standard Edition
Embedded Solution Edition
Small Business Solutions Edition
Small Business Solutions EM Edition
Servidor de Pequenas Empresas Edição Standard
Small Businesses Server Premium Edition
Soluções Premium Edition
Solutions Edition
Soluções EM Edition
Foundation Server Edition
Small Businesses Edition
Essential Additional Edition
Essential Additional Svc Edition
Essential Management Edition
Essential Management Svc Edition
Windows Server 2008 juntamente com Service Pack 2 (32 bits ou 64 bits):
Datacenter Edition
Datacenter sem Hyper-V Edition
Enterprise Edition
Enterprise sem o Hyper-V Edition
Standard Edition
Medium Business Management Edition
Medium Business Messaging Edition
Medium Business Security Edition
Small Business Server Premium Edition
Small Business Server Edição Standard
Small Business Server Prime Edition
Small Businesses Edition
Edição de Pequenas Empresas sem Hyper-V
Para instalar o AD FS 2.0, os seguintes softwares e hotfixes devem ser instalados. Se eles não são instalados
quando o AD FS 2.0 é instalado, o programa de Instalação do AD FS 2.0 os instala automaticamente.
O Microsoft .NET Framework 3.5 juntamente com o Service Pack 1
NOTE
Esse software é instalado automaticamente somente quando o computador está executando Windows Server
2008 R2.
Windows PowerShell
Serviços de Informações da Internet (IIS) 7
Windows Identity Foundation (WIF)
Atualizações de software e hotfixes
Windows Server 2008 R2
O hotfix a seguir deve ser instalado em computadores que estão executando Windows Server
2008 R2:
981002 Um pacote de hotfixes está disponível para o Windows Communication Foundation no
.NET Framework 3.5 Service Pack 1 para Windows 7 e Windows Server 2008 R2
Windows Server 2008
As seguintes atualizações de software e hotfixes devem ser instalados em computadores que estão
executando Windows Server 2008 SP2:
973917 Descrição da atualização que implementa a Proteção Estendida para Autenticação no
Serviços de Informações da Internet (IIS)
Idiomas compatíveis
O AD FS 2.0 tem suporte nos seguintes idiomas:
Chinês (simplificado)
Chinês (tradicional)
Tcheco
Holandês
Inglês
Francês
Alemão
Húngaro
Italiano
Japonês
Coreano
Polonês
Português (Brasil)
Português (Iberiano)
Russo
Espanhol
Sueco
Turco
Baixar informações
Os seguintes arquivos estão disponíveis para download no Centro de Download da Microsoft:
SIST EM A O P ERA C IO N A L B A IXA R TA M A N H O DO

N O M E DO PA C OT E W IN DO W S C O M SUP O RT E P L ATA F O RM A A RQ UIVO
AdfsSetup.exe Windows Server 2008 R2 x64 24,04 MB
AdfsSetup.exe Windows Server 2008 SP2 x64 42,64 MB
AdfsSetup.exe Windows Server 2008 SP2 x86 38,66 MB
Para obter mais informações sobre como baixar arquivos de suporte da Microsoft, consulte Como obter
arquivos de suporte da Microsoft de serviços online.
A Microsoft examinou esse arquivo em busca de vírus. A Microsoft usou o software de detecção de vírus mais
atual que estava disponível na data em que o arquivo foi postado. O arquivo é armazenado em servidores com
segurança aprimorados que ajudam a evitar alterações não autorizadas no arquivo.
Mais informações sobre os Serviços de Federação do Active Directory

2.0
Para obter mais informações sobre detalhes técnicos e white papers, consulte Visão geral dos Serviços de
Federação do Active Directory 2.0.
Informações de atualização para Windows sistemas operacionais

Se você tiver o AD FS 2.0 implantado em um computador que está executando o Windows Server 2008, o AD
FS 2.0 será desinstalado automaticamente ao atualizar seu sistema operacional Windows para o Windows
Server 2008 R2. Você precisa instalar o pacote de instalação do AD FS 2.0 para o Windows Server 2008 R2 após
atualizar o sistema operacional Windows.
Se você quiser preservar os dados de configuração anterior no servidor de federação e restaurar os dados após
reinstalar o AD FS 2.0, siga as etapas nas seções Antes de atualizar o Windows e Depois de atualizar Windows.
Antes de atualizar Windows
Copie o arquivo de configuração do serviço do AD FS para um servidor de arquivos na rede antes de atualizar o
sistema operacional. E, observe a conta de serviço que o Serviço AD FS 2.0 Windows usa. Para fazer isso, siga
estas etapas:
1. Localize a seguinte pasta de instalação do AD FS 2.0:
%system drive%\Program FilesActive\ Directory Federation Service 2.0
2. Copie o seguinte arquivo de configuração para um local de backup seguro:
Microsoft.IdentityServer.Servicehost.exe.config
3. Clique em Iniciar , em Executar , digite services.msc e clique em OK .
4. Clique com o botão direito do mouse em Ser viço do AD FS 2.0 Windows e clique em
Propriedades .
5. Na guia Log On , observe a conta de serviço usada para o Serviço de Windows AD FS 2.0.
Depois de atualizar Windows
Reinstale o AD FS 2.0, de definir uma configuração do Registro para restaurar a configuração anterior, restaurar
a conta de serviço e iniciar os serviços apropriados. Para fazer isso, execute as etapas a seguir.
NOTE
Após concluir essas etapas, a instalação anterior do AD FS 2.0 que estava presente neste servidor de federação antes da
atualização ser restaurada.
1. Reinstale o AD FS 2.0.
2. Copie o seguinte arquivo de configuração que você salvou na etapa 2 da seção Antes de atualizar
Windows:
Microsoft.IdentityServer.Servicehost.exe.config
3. Localize a seguinte pasta de instalação do AD FS 2.0 e copie o arquivo mencionado na etapa 2 para este
local:
%system drive%\Program FilesActive\ Directory Federation Service 2.0
4. Clique em Iniciar e, em Executar , digite regedit e clique em OK .
5. Localize e clique na seguinte subchave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adfssrv
6. No menu Editar , aponte para Novo e clique em Valor da Cadeia de Caracteres .

7. Digite InitialConfigurationCompleted e pressione ENTER.
8. Clique com o botão direito do mouse em InitialConfigurationCompleted e clique em Modificar .
9. Na caixa Dados valor , digite TRUE e clique em OK .
10. No menu Arquivo , clique em Sair para sair do Editor do Registro.
11. Clique em Iniciar , em Executar , digite services.msc e clique em OK .
12. Se você usar Banco de Dados Interno do Windows como o banco de dados de configuração do AD FS 2.0,
siga estas etapas. Caso contrário, ignore a etapa 12 e vá para a etapa 13.
a. Clique com o Banco de Dados Interno do Windows (MICROSOFT##SSEE)e clique em
Propriedades .
b. Na guia Geral , se o campo Status do serviço não for exibido Iniciado , clique em Iniciar para iniciar
o Banco de Dados Interno do Windows serviço.
c. Clique em OK .
13. Clique com o botão direito do mouse em Ser viço do AD FS 2.0 Windows e clique em
Propriedades .
14. Na guia Log On , forneça o nome da conta de serviço de backup original e a senha usada para o Serviço
de Windows do AD FS 2.0.
15. Na guia Geral , selecione Automático na caixa Tipo de inicialização.
16. Se o campo status do serviço não for exibido Iniciado , clique em Iniciar para iniciar o Serviço de
Windows AD FS 2.0.
17. Clique em OK .
Informações da declaração de privacidade

O AD FS 2.0 é abordado pela seguinte instrução de privacidade do Windows Server:
Windows 7 Política de Privacidade
Revisões técnicas
A tabela a seguir lista revisões técnicas significativas para este artigo. O número de revisão e a última data de
revisão deste artigo podem indicar pequenas revisões editoriais ou revisões estruturais para este artigo que não
estão incluídas na tabela.
DATA REVISIO N
5 de maio de 2010 Data de publicação original

Como alterar o certificado de comunicações de
serviço do AD FS 2.0 depois que ele expirar
Este artigo fornece as etapas para alterar o certificado de comunicações de serviço dos Serviços de Federação
do Active Directory 2.0.
Aplica-se a: Windows Service Pack 1 do Server 2008 R2
Sintomas
Um usuário deseja saber como alterar o certificado de comunicações de serviço do AD FS (Serviços de
Federação do Active Directory) 2.0 depois que ele expirar ou por outros motivos.
Solução
Substituir um certificado de serviço de servidor do AD FS 2.0 existente é um processo de vários passos.
Etapa 1
Instale o novo certificado no armazenamento de certificados do computador local. Para fazer isso, siga estas
etapas:
1. Selecione Iniciar e Executar .
2. Digite MMC .
3. No menu Arquivo, selecione Adicionar/Remover Snap-in .
4. Na lista Snap-ins disponíveis, selecione Cer tificados e, em seguida, selecione Adicionar . O Assistente de
Snap-in de Certificados é iniciado.
5. Selecione Conta de computador e selecione Próximo .
6. Selecione Computador local: (o computador em que o console está sendo executado) e selecione
Concluir .
7. Selecione OK .
8. Expanda Raiz do Console\Cer tificados (Computador Local)\Pessoal\Cer tificados.
9. Clique com o botão direito do mouse em Cer tificados, selecione Todas as Tarefas e selecione Impor tar .
Etapa 2
Adicione à conta de serviço do AD FS as permissões para acessar a chave privada do novo certificado. Para fazer
1. Com o armazenamento de certificados de computador local ainda aberto, selecione o certificado que foi
importado.
2. Clique com o botão direito do mouse no certificado, selecione Todas as Tarefas e selecione Gerenciar
Chaves Privadas .
3. Adicione a conta que está executando o Ser viço ADFS e, em seguida, dê à conta pelo menos permissões
de leitura.
NOTE
Se você não tiver a opção de gerenciar chaves privadas, talvez seja preciso executar o seguinte comando:
certutil -repairstore my *
Etapa 3
Ata o novo certificado ao site do AD FS usando o Gerenciador do IIS. Para fazer isso, siga estas etapas:
1. Abra o snap-in Serviços de Informações da Internet (IIS) Manager.
2. Navegue até Site Padrão .
3. Clique com o botão direito do mouse em Site Padrão e selecione Editar Vinculações .
4. Selecione HTTPS e, em seguida, selecione Editar .
5. Selecione o certificado correto no título do certificado SSL.
6. Selecione OK e, em seguida, selecione Fechar .
Etapa 4
Configure o serviço do AD FS Server para usar o novo certificado. Para fazer isso, siga estas etapas:
1. Abra o AD FS 2.0 Management.
2. Navegue até o AD FS 2.0\Ser vice\Cer tificates.
3. Clique com o botão direito do mouse em Cer tificados e selecione Definir Cer tificado de
Comunicações de Ser viço .
4. Selecione o novo certificado na interface do usuário de seleção de certificados.
5. Selecione OK .
NOTE
Você pode ver uma caixa de diálogo que contém a seguinte mensagem:
O comprimento da chave do certificado é menor que 2048 bits. Certificados com tamanhos de chave menores
que 2048 bits podem apresentar um risco de segurança e não são recomendados. Você deseja continuar?
Depois de ler a mensagem, selecione Sim . Outra caixa de diálogo é exibida. Ele contém a seguinte
mensagem:
Verifique se a chave privada do certificado escolhido está acessível à conta de serviço deste Serviço
de Federação em cada servidor no farm.
Ele já foi feito na etapa 2. Selecione OK .

Ainda precisa de ajuda? Vá para Office 365 Community.
Descrição do recurso Bloqueio Inteligente extranet
no Windows Server 2016
Este artigo descreve o recurso Bloqueio Inteligente extranet no Windows Server 2016.
Visão Geral
A partir da atualização de março de 2018 para Windows Server 2016, os Serviços de Federação do Active
Directory (AD FS) têm um novo recurso chamado ESL (Bloqueio Inteligenteextranet). Em uma era de ataques
maiores aos serviços de autenticação, o ESL permite que o AD FS diferencie entre as tentativas de entrar de um
usuário válido e as entradas do que pode ser um invasor. Como resultado, o AD FS pode bloquear invasores
enquanto permite que os usuários válidos continuem a usar suas contas. Isso impede a negação de serviço para
usuários e protege contra ataques direcionados contra contas de usuário conhecidas.
O recurso ESL está disponível para o AD FS no Windows Server 2016.
Como instalar e configurar o ESL

Instalar atualizações em todos os nós no farm
Primeiro, certifique-se de que todos os Windows Server 2016 servidores do AD FS estão atualizados a partir
das atualizações de Windows de março de 2018.
Atualizar permissões de banco de dados de artefatos
O bloqueio inteligente extranet exige que a conta de serviço do AD FS tenha permissões para criar uma nova
tabela no banco de dados de artefatos do AD FS. Faça logoff em qualquer servidor do AD FS como um
administrador do AD FS e conceda essa permissão executando os seguintes comandos em uma janela prompt
de comando do PowerShell:
$cred= Get-Credential
Update-AdfsArtifactDatabasePermission -Credential$cred
NOTE
O $cred espaço reservado é uma conta que tem permissões de administrador do AD FS. Isso deve fornecer as permissões
de gravação para criar a tabela.
Os comandos acima podem falhar devido à falta de permissão suficiente porque seu farm do AD FS está usando
SQL Server, e a credencial fornecida acima não tem permissão de administrador em seu servidor SQL. Nesse
caso, você pode configurar permissões de banco de dados manualmente no banco de dados SQL Server
executando o seguinte comando quando estiver conectado ao banco de dados AdfsArtifactStore.
ALTER AUTHORIZATION ON SCHEMA::[ArtifactStore] TO [db_genevaservice]
Configurar o ESL
Um novo parâmetro chamado ExtranetLockoutMode é adicionado para dar suporte a ESL. Ele contém os
seguintes valores:
ADPasswordCounter - Este é o modo de "bloqueio suave" do AD FS do AD FS herdado, que não diferencia
com base no local. Esse é o valor padrão.
ADFSSmartLockoutLogOnly- Este é o Extranet Smart Lockout. Em vez de rejeitar solicitações de autenticação,
o AD FS grava eventos de administrador e auditoria.
ADFSSmartLockoutEnforce- Este é o Extranet Smart Lockout com suporte completo para bloquear
solicitações desconhecidas quando os limites são atingidos.
É recomendável definir primeiro o provedor de bloqueio como somente log por um curto período de tempo (1
a 3 dias) executando o cmdlet a seguir. Revise as auditorias (consulte abaixo para obter detalhes) durante esse
período para determinar o número de contas que podem ser potencialmente impactadas, bem como a
frequência desses eventos. Após a avaliação bem-sucedida das auditorias, de definir a configuração como modo
"ADFSSmartLockoutEnforce":
Set-AdfsProperties -ExtranetLockoutMode AdfsSmartlockoutLogOnly
Nesse modo, o AD FS executa a análise, mas não bloqueia nenhuma solicitação devido a contadores de
bloqueio. Esse modo é usado para validar que o bloqueio inteligente está sendo executado com êxito antes de
habilitar o modo "impor".
Para que o novo modo entre em vigor, reinicie o serviço do AD FS em todos os nós do farm executando o
seguinte comando:
Restart-service adfssrv
Definir o limite de bloqueio e a janela de observação

Há duas configurações principais para eSL: limite de bloqueio e janela de observação.
Configuração de limite de bloqueio
Sempre que uma autenticação baseada em senha é bem-sucedida, o AD FS armazena os IPs do cliente como
locais familiares na tabela de atividades da conta.
Se a autenticação baseada em senha falhar e as credenciais não vêm de um local familiar, a contagem de
autenticação com falha será incrementada.
Depois que o número de tentativas de senha com falha de locais desconhecidos atingir o limite de bloqueio, se a
autenticação baseada em senha de um local desconhecido falhar, a conta será bloqueada.
NOTE
O bloqueio continua a ser aplicado a locais familiares separadamente deste novo contador de bloqueio desconhecido.
O limite é definido usando Set-AdfsProperties .

Exemplo:
Set-AdfsProperties -ExtranetLockoutThreshold 10
Configuração da janela de observação

A configuração da janela de observação permite que uma conta desbloqueie automaticamente após algum
tempo. Após o desbloqueio da conta, uma tentativa de autenticação é permitida. Se a autenticação for bem-
sucedida, a contagem de autenticação com falha será redefinida para 0. Se falhar, o sistema aguardará outra
janela de observação para que o usuário possa tentar novamente.
A janela de observação é definida Set-AdfsProperties usando-se como no seguinte comando de exemplo:
Set-AdfsProperties -ExtranetObservationWindow ( new-timespan -minutes 5 )
Habilitar bloqueio
O bloqueio extranet pode ser habilitado ou desabilitado usando o parâmetro EnableExtranetLockout, como nos
exemplos a seguir.
Para habilitar o bloqueio, execute o seguinte comando:
Set-AdfsProperties -EnableExtranetLockout $true
Para desabilitar o bloqueio, execute o seguinte comando:
Set-AdfsProperties -EnableExtranetLockout $false
Habilitar o modo de imposição

Depois de se sentir confortável com o limite de bloqueio e a janela de observação, o ESL pode ser movido para
o modo "impor" usando o seguinte cmdlet PSH:
Set-AdfsProperties -ExtranetLockoutMode AdfsSmartLockoutEnforce
Para que o novo modo entre em vigor, reinicie o serviço do AD FS em todos os nós do farm usando o seguinte
comando:
Restart-service adfssrv
Gerenciando o ESL
Gerenciar atividade de conta de usuário
O AD FS fornece três cmdlets para gerenciar dados de atividade de conta de usuário. Esses cmdlets se conectam
automaticamente ao nó no farm que contém a função mestra.
NOTE
Esse comportamento pode ser substituído passando o parâmetro -Server.
Get-ADFSAccountActivity
Leia a atividade da conta atual para uma conta de usuário. O cmdlet sempre se conecta automaticamente
ao mestre do farm usando o ponto de extremidade REST de Atividade de Conta. Portanto, todos os dados
devem ser sempre consistentes.
Get-ADFSAccountActivity user@contoso.com
Set-ADFSAccountActivity
Atualize a atividade da conta para uma conta de usuário. Isso pode ser usado para adicionar novos locais
familiares ou apagar o estado de qualquer conta.
Set-ADFSAccountActivityuser@contoso.com -FamiliarLocation "1.2.3.4"
Reset-ADFSAccountLockout
Redefine o contador de bloqueio de uma conta de usuário.
Reset-ADFSAccountLockoutuser@contoso.com -Familiar
Solução de problemas
Atualizando permissões de banco de dados
Se algum erro for retornado do Update-AdfsArtifactDatabasePermission cmdlet, verifique o seguinte:
A verificação falhará se nós estão na lista do farm, mas não são mais membros do farm. Isso pode ser
corrigido executando remove-adfsnode <node name> .
Verifique se a atualização foi implantada em todos os nós do farm.
Verifique se as credenciais passadas para o cmdlet têm permissão para modificar o proprietário do esquema
de banco de dados de artefatos do AD FS.
Log/auditoria
Quando uma solicitação de autenticação é rejeitada porque a conta excede o limite de bloqueio, o AD FS gravará
um ExtranetLockoutEvent no fluxo de auditoria de segurança.
Evento de registro de exemplo
Ocorreu um evento de bloqueio de extranet. Consulte XML para obter detalhes de falha.
ID da atividade: 172332e1-1301-4e56-0e00-008000000db
Dados adicionais
XML: <?xml version="1.0" encoding="utf-16"?> <AuditBase xmlns:xsd=" http://www.w3.org/2001/XMLSchema "
xmlns:xsi=" http://www.w3.org/2001/XMLSchema-instance " xsi:type="ExtranetLockoutAudit"> <AuditType>
ExtranetLockout</AuditType>
<AuditResult>Falha</AuditResult>
<FailureType>ExtranetLockoutError</FailureType>
<ErrorCode>AccountRestrictedAudit</ErrorCode>
<ContextComponents>
<Component xsi:type="ResourceAuditComponent">
<RelyingParty> http://contoso.com /adfs/services/trust</RelyingParty>
<ClaimsProvider>N/A</ClaimsProvider>
<UserId>TQDFTD\Administrator</UserId>
</Component>
<Component xsi:type="RequestAuditComponent">
<Server>N/A</Server>
<AuthProtocol>WSFederation</AuthProtocol>
<NetworkLocation>Intranet</NetworkLocation>
<IpAddress>4.4.4.4</IpAddress>
<ForwardedIpAddress />
<ProxyIpAddress>1.2.3.4</ProxyIpAddress>
<NetworkIpAddress>1.2.3.4</NetworkIpAddress>
<ProxyServer>N/A</ProxyServer>
<UserAgentString>Mozilla/5.0 (Windows NT 10,0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko)
Chrome/63.0.3239.132 Safari/537.36</UserAgentString>
<Endpoint>/adfs/ls</Endpoint>
</Component>
<Component xsi:type="LockoutConfigAuditComponent">
<CurrentBadPasswordCount>5</CurrentBadPasswordCount>
<ConfigBadPasswordCount>5</ConfigBadPasswordCount>
<LastBadAttempt>02/07/2018 21:47:44</LastBadAttempt>
<LockoutWindowConfig>00:30:00</LockoutWindowConfig>
</Component>
</ContextComponents>
</AuditBase>
Desinstalar
SQL Server farms de banco de dados podem desinstalar a atualização usando o aplicativo Configurações sem
problemas.
Os farms de banco de dados WID devem seguir estas etapas devido ao binário de verificação de banco de dados
WID atualizado:
1. Execute o script Desinstalar psh que interrompe o serviço e solta a tabela de atividades da conta.
Stop-Service adfssrv -ErrorAction Stop

if ( -not $connString -like "*##wid*" )

{
Write-Error "SQL installs don't require DB updates, skipping DB table drop"
}
else
{
$connString = "Data Source=np:\\.\pipe\microsoft##wid\tsql\query;Initial
Catalog=AdfsArtifactStore;Integrated Security=True"
stop-service adfssrv
$cli.Open()
try
{
$cmd.CommandText = "IF EXISTS (SELECT * FROM sys.objects WHERE object_id =
OBJECT_ID(N'[ArtifactStore].[AccountActivity]') AND type in (N'U')) DROP TABLE [ArtifactStore].
[AccountActivity]"
$cmd.ExecuteNonQuery()
}
finally
{
$cli.CLose()
} write-warning "Finish removing the patch using the Settings app and then restart the complete
to complete the uninstall"
}
2. Desinstale a atualização usando o aplicativo de configurações.

Considerações sobre como desabilitar e substituir o
TLS 1.0 no AD FS
Este artigo fornece orientações e considerações para desabilitar e substituir o TLS 1.0 nos Serviços de Federação
do Active Directory (AD FS).
Resumo
Muitos clientes estão considerando a opção de desabilitar o protocolo TLS 1.0 e RC4 no AD FS e substituí-lo
pelo TLS 1.1 ou uma versão posterior. Este artigo aborda problemas que podem ocorrer se você desabilitar o
TLS 1.0 e fornece orientações para ajudá-lo a concluir o processo.
Depois de desabilitar o TLS 1.0 em servidores AD FS ou proxy do AD FS (WAP), esses servidores poderão ter
alguns dos seguintes sintomas:
Falha na conectividade entre um proxy do AD FS e um servidor do AD FS. Isso pode causar uma das
seguintes condições:
A configuração de proxy falha no assistente ou usando Windows PowerShell.
A ID de eventos 422 está registrada em proxies do AD FS:
Não é possível recuperar a configuração de proxy do Serviço de Federação.
Os proxies não podem encaminhar o tráfego para servidores do AD FS e a seguinte mensagem de

erro é gerada:
Erro HTTP 503 - O serviço não está disponível.
O AD FS não pode atualizar os metadados de federação das Confianças de Parte Confiável ou de

Provedor de Declarações configurados.
Você recebe uma mensagem de erro HTTP 503:
O serviço não está disponível. HTTP 503 acessando Office 365 serviços para domínios federados.
Você recebe uma mensagem de erro RDP:
Conectividade RDP perdida para os servidores.
Motivo
Esse problema ocorrerá se os clientes desabilitarem protocolos antigos usando chaves do Registro SChannel.
Para ver um exemplo dessa prática, consulte a seção Desabilitar protocolos antigos na seção Registro.
Resolução
IMPORTANT
O ADFS é desenvolvido usando o Microsoft .NET Framework. Para que os aplicativos .NET suportem criptografia
forte (ou seja, TLS 1.1 e acima), você deve primeiro instalar as atualizações descritas no seguinte aviso de
segurança: Microsoft Security Advisory 2960358.
IMPORTANT
Os clientes que executam aplicativos do .NET Framework 3.5 no Windows 10 ou no .NET Framework 4.5/4.5.1/4.5.2 em
sistemas que tenham o .NET Framework 4.6 instalado devem seguir as etapas fornecidas neste aviso para desabilitar
manualmente o RC4 no TLS. Para obter mais informações, consulte a seção Ações Sugeridas da consultoria.
NOTE
Os sistemas que executam o .NET Framework 4.6 são protegidos por padrão e não têm que ser atualizados.
As etapas adicionais do aviso de segurança exigem que você crie a chave do Registro SchUseStrongCr ypto,
conforme descrito no artigo de consultoria.
Exemplos de subkeys para essa nova chave do Registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft. NETFramework\v2.0.50727]
SchUseStrongCrypto=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft. NETFramework\v4.0.30319]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft. NETFramework\v4.0.30319]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft. NETFramework\v2.0.50727]
Para aplicar a alteração, reinicie os seguintes serviços e aplicativos:
Serviço ADFS (adfssrv)
Serviço de Registro de Dispositivo (drs)
Qualquer outro aplicativo .NET que possa estar em execução no servidor
O pool de aplicativos Serviços de Informações da Internet (IIS) para ADFS (aplica-se somente ao ADFS 2.0 e ao
ADFS 2.1)
IMPORTANT
Desabilitar protocolos antigos no Registro

Um exemplo de desabilitação de protocolos antigos usando chaves de registro do SChannel seria configurar
os valores em sub-chaves do Registro na lista a seguir. Eles desabilitam os protocolos SSL 3.0, TLS 1.0 e RC4.
Como essa situação se aplica ao SChannel, ela afeta todas as conexões SSL/TLS de e para o servidor.
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0" /f

reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL
3.0\Client" /f
3.0\Server" /f
3.0\Client" /v Enabled /t REG_DWORD /d 00000000
3.0\Server" /v Enabled /t REG_DWORD /d 00000000
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS
1.0\Client" /f
1.0\Server" /f
1.0\Client" /v Enabled /t REG_DWORD /d 00000000
1.0\Server" /v Enabled /t REG_DWORD /d 00000000
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128" /v
Enabled /t REG_DWORD /d 00000000
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128" /v
Enabled /t REG_DWORD /d 00000000
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128"
/f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128"
/v Enabled /t REG_DWORD /d 00000000
NOTE
Você deve reiniciar o computador depois de alterar esses valores.
Para verificar se um servidor conectado à Internet desabilitou com êxito protocolos antigos, você pode usar
qualquer verificador de Teste SSL online, como o Qualys SSL Labs. Para obter mais informações, consulte SSL
Server Test.
Como alternativa ao uso da chave do Registro SchUseStrongCr ypto, você pode usar a chave de registro
SystemDefaultTlsVersions ao usar o .NET Framework 3.5.1.
SystemDefaultTlsVersions está disponível após a instalação da atualização 3154518.
Depois que as chaves do Registro são definidas, o serviço ADFS honra os padrões e o trabalho do SChannel.
Efeitos colaterais conhecidos

Aqui estão os efeitos colaterais conhecidos.
Aplicativos cliente não podem se conectar ao servidor ADFS ou proxy ADFS para autenticação
Quando você desabilita o TLS 1.0 e versões anteriores em servidores ADFS e proxies, os aplicativos cliente que
estão tentando se conectar a ele devem dar suporte a versões TLS 1.1 ou posteriores.
Isso é verdadeiro, por exemplo, do Android mobile 4.1.1 quando você usa o aplicativo Portal da Empresa do
Intune para registrar esse dispositivo. O aplicativo do Intune não pode mostrar a página de login do ADFS.
Isso é esperado nesta versão do Android porque o TLS 1.1 está desabilitado por padrão.
Você pode obter mais detalhes sobre esses possíveis problemas coletando rastreamentos de rede no servidor
ADFS ou proxies enquanto reproduz a falha de conexão. Nesse cenário, você pode trabalhar com o fornecedor
do sistema operacional cliente ou o fornecedor de aplicativos para verificar se há suporte para versões TLS mais
recentes. O ADFS não pode atualizar metadados de federação.
Cenário 1
O ADFS não pode recuperar automaticamente a Federationmetadata.xml das Confianças de Partes
Confiável ou Do Provedor de Declarações.
Quando você tenta atualizar o arquivo XML manualmente, recebe a seguinte mensagem de erro:
Ocorreu um erro durante uma tentativa de leitura dos metadados de federação.
Ou, você recebe a seguinte mensagem de erro ao usar Windows PowerShell:
A conexão subjacente foi fechada. Ocorreu um erro inesperado em um recebimento.
Analisando mais de perto a exceção subjacente, podemos ver as seguintes informações:
PS C: > Update-AdfsRelyingPartyTrust -TargetName "Microsoft Office 365 Identity Platform"

Update-AdfsRelyingPartyTrust : a conexão subjacente foi fechada: ocorreu um erro inesperado em um
recebimento.
Na linha:1 char:1
+Update-AdfsRelyingPartyTrust -TargetName "Microsoft Office 365 Identity Platform ...+
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (Microsoft.Ident... lyingPartyTrust:RelyingPartyTrust) [Update-AdfsRelyingP
artyTrust], WebException
+ FullyQualifiedErrorId : a conexão subjacente foi fechada: ocorreu um erro inesperado em um
receive.,Microso ft.IdentityServer.Management.Commands.UpdateRelyingPartyTrustCommand
PS C: > $error[0] | fl * -f
writeErrorStream : True
PSMessageDetails :
Exceção : System.Net.WebException: A conexão subjacente foi fechada: Ocorreu um erro inesperado em um
recebimento. ---> System.ComponentModel.Win32Exception: o cliente e o servidor não podem se
comunicar, pois eles não possuem um algoritmo comum
em System.Net.SSPIWrapper.AcquireCredentialsHandle(SSPIInterface SecModule, Pacote string, intenção
CredentialUse, SecureCredential scc)
em System.Net.Security.SecureChannel.AcquireCredentialsHandle(CredentialUse credUsage,
SecureCredential& secureCredential)
em System.Net.Security.SecureChannel.AcquireClientCredentials(Byte[]& thumbPrint)
at System.Net.Security.SecureChannel.GenerateToken(Byte[] input, Int32 offset, Int32 count, Byte[]& output)
em System.Net.Security.SecureChannel.NextMessage(Byte[] incoming, Int32 offset, Int32 count)
at System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest
asyncRequest)
em System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer,
AsyncProtocolRequest asyncRequest)
em System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
em System.Threading.ExecutionContext.RunInternal(ExecutionContext executionContext, ContextCallback
callback, Object state, Boolean preserveSyncCtx)
em System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback,
Object state, Boolean preserveSyncCtx)
em System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback,
Object state)
em System.Net.TlsStream.ProcessAuthentication(Resultado lazyAsyncResult)
em System.Net.TlsStream.Write(Byte[] buffer, deslocamento int32, tamanho int32)
em System.Net.ConnectStream.WriteHeaders(Boolean async)
--- fim do rastreamento de pilha de exceção interna ---
em System.Net.HttpWebRequest.GetResponse()
em Microsoft.IdentityServer.Management.Resources.Managers.RelyingPartyTrustManager.ApplyMeta
dataFromUrl(RelyingPartyTrust party, Uri metadataUrl, String& warnings)
em Microsoft.IdentityServer.Management.Commands.UpdateRelyingPartyTrustCommand.OperateOnRely
ingPartyTrust(RelyingPartyTrust party)
em Microsoft.IdentityServer.Management.Commands.RemoveRelyingPartyTrustCommand.ProcessRecord()
TargetObject : Microsoft.IdentityServer.Management.Resources.RelyingPartyTrust
CategoryInfo : NotSpecified: (Microsoft.Ident... lyingPartyTrust:RelyingPartyTrust)
[Update-AdfsRelyingPartyTrust], WebException
FullyQualifiedErrorId : a conexão subjacente foi fechada: ocorreu um erro inesperado em um
receive.,Microsoft.IdentityServer.Management.Commands.UpdateRelyingPartyTrustCommand
ErrorDetails : A conexão subjacente foi fechada: ocorreu um erro inesperado em um recebimento.
InvocationInfo : System.Management.Automation.InvocationInfo
ScriptStackTrace : em <ScriptBlock> , <No file> : linha 1
PipelineIterationInfo : {0, 1}
Quando analisamos os rastreamentos de rede, não vemos clientHello. Além disso, o próprio cliente (ADFS) está
fechando a conexão (TCP FIN) quando esperamos que ele envie ClientHello:
3794 <DateTime> 4.0967400 (4588) adfs1 nexus.microsoftonline-p.com.nsatc.net TCP 8192 TCP: [Bad
CheckSum]Flags=CE.... S., SrcPort=56156, DstPort=HTTPS(443)
4013 <DateTime> 4.1983176 (0) nexus.microsoftonline-p.com.nsatc.net adfs1 TCP 2097152 TCP:Flags=... A..
S., SrcPort=HTTPS(443), DstPort=56156
CheckSum]Flags=... A...., SrcPort=56156, DstPort=HTTPS(443)
CheckSum]Flags=... A... F, SrcPort=56156, DstPort=HTTPS(443)
4057 <DateTime> 4.2999711 (0) nexus.microsoftonline-p.com.nsatc.net adfs1 TCP 0 TCP:Flags=... A.R.,
SrcPort=HTTPS(443), DstPort=56156
O motivo disso é que as chaves do Registro SChannel foram criadas. Eles removem o suporte para SSL 3.0 ou
TLS 1.0 como cliente.
No entanto, a chave SchUseStrongCr ypto não foi criada. Portanto, depois de estabelecermos a sessão TCP/IP,
o ClientHello deve ser enviado tendo estas condições:
.NET usando criptografia fraca (somente TLS 1.0 e versões anteriores)
SChannel configurado para usar somente versões TLS 1.1 ou posteriores
Resolução: aplique SchUseStrongCrypto e reinicie.
HTTP 503 no acesso aos Office 365 serviços
Cenário 2
Somente versões TLS 1.1 e posteriores são suportadas no serviceOffice do ADFS.
Você tem um domínio federado O365.
O cliente está acessando algum serviço O365 que está usando proxiedauthentication: o aplicativo cliente
enviou a credencial usando HTTP Basic e o serviço O365 está usando essas credenciais em uma nova
conexão com o ADFS para autenticar o usuário.
O serviço de nuvem envia um TLS 1.0 para a ADFS e o ADFS fecha a conexão.
O cliente recebe uma resposta HTTP 503.
Por exemplo, isso é verdadeiro quando você acessa a Descoberta Automática. Nesse cenário, Outlook clientes
são afetados. Isso pode ser facilmente reproduzido abrindo um navegador da Web e indo para
https://autodiscover-s.outlook.com/Autodiscover/Autodiscover .
xmlRequest enviado:
OBTER https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml HTTP/1.1

Host: autodiscover-s.outlook.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Aceitar: text/html,application/xhtml+xml,application/xml;q=0,9, / ;q=0,8
Accept-Language: en-US,en;q=0,5
Accept-Encoding: gzip, deflate, br
Conexão: keep-alive
Autorização: Básico (REMOVIDO PARA PRIVACIDADE)
Resposta recebida do serviço Exchange Online:
HTTP/1.1 503 Service Unavailable

Cache-Control: privado
Repetir-After: 30
Servidor: Microsoft-IIS/8.0
request-id: 33c23dc6-2359-44a5-a819-03f3f8e85aae
X-CalculatedBETarget: db4pr04mb394.eurprd04.prod.outlook.com
X-AutoDiscovery-Error: LiveIdBasicAuth:FederatedStsUnreachable: <X-forwarded-for:*<IP Address> >
System.Net.WebException: A conexão subjacente foi fechada: Ocorreu um erro inesperado em um
<FederatedSTSFailure> envio.; X-DiagInfo: DB4PR04MB394 X-BEServer: DB4PR04MB394 X-AspNet-Version:
4.0.30319 Set-Cookie: X-BackEndCookie2=; expires= <DateTime> ; path=/Autodiscover; secure; HttpOnly
Set-Cookie: X-BackEndCookie=; expires= <DateTime> *; path=/Autodiscover; secure; HttpOnly
X-Powered-By: ASP.NET
X-FEServer: AM3PR05CA0056
Data: <DateTime>
Comprimento do conteúdo: 0
Analisando rastreamentos de rede no servidor WAP, podemos ver várias conexões provenientes de nossa
nuvem, da seguinte forma. O WAP encerra (TCP RST) essas conexões logo após receber o Client Hello.
3282 <DateTime> 10.8024332 (0) 132.245.225.68 62047 (0xF25F) 10.10.1.5 443 (0x1BB) TCP 52 (0x34) 32
8192 TCP:Flags=CE.... S., SrcPort=62047, DstPort=HTTPS(443), PayloadLen=0, Seq=1681718623, Ack=0,
Win=8192 ( Negociando fator de escala 0x8 ) = 8192
3285 <DateTime> 10.8025263 (0) 10.10.1.5 443 (0x1BB) 132.245.225.68 62047 (0xF25F) TCP 52 (0x34) 32
8192 TCP: [Bad CheckSum]Flags=. E.A.. S., SrcPort=HTTPS(443), DstPort=62047, PayloadLen=0,
Seq=3949992650, Ack=1681718624, Win=8192 ( Fator de escala negociado 0x8 ) = 8192
3286 <DateTime> 10.8239153 (0) 132.245.225.68 62047 (0xF25F) 10.10.1.5 443 (0x1BB) TCP 40 (0x28) 20
517 TCP:Flags=... A...., SrcPort=62047, DstPort=HTTPS(443), PayloadLen=0, Seq=1681718624,
Ack=3949992651, Win=517
3293 <DateTime> 10.8244384 (0) 132.245.225.68 62047 (0xF25F) 10.10 .1.5 443 (0x1BB) TLS 156 (0x9C)
136 517 TLS:TLS Rec Layer-1 HandShake: Client Hello.
3300 <DateTime> 10.8246757 (4) 10.10.1.5 443 (0x1BB) 132.245.225.68 62047 (0xF25F) TCP 40 (0x28) 20
0 TCP: [Bad CheckSum]Flags=... A.R., SrcPort=HTTPS(443), DstPort=62047, PayloadLen=0,
Seq=3949992651, Ack=1681718740, Win=0 (fator de escala 0x0) = 0
Também vemos que o Client Hello está usando o TLS 1.0:
Quadro: Número = 3293, Comprimento do quadro capturado = 271, MediaType = NetEvent

+ NetEvent:
+ MicrosoftWindowsNDISPacketCapture: Fragmento de Pacote (170 bytes 0xAA)
+ Ethernet: Etype = IP da Internet (IPv4),DestinationAddress:[00-0D-3A-24-43-98],SourceAddress:[12-34-
56-78-9A-BC]
+ Ipv4: Src = <IP Address> , Dest = , Next Protocol = TCP, ID do Pacote <IP Address> = 31775,
Comprimento total de IP = 156
+ Tcp: Flags=... AP..., SrcPort=62047, DstPort=HTTPS(443), PayloadLen=116, Seq=1681718624 -
1681718740, Ack=3949992651, Win=517
TLSSLData: Dados de carga TLS (Transport Layer Security)
- TLS: TLS Rec Layer-1 HandShake: Client Hello.
- TlsRecordLayer: TLS Rec Layer-1 HandShake:
ContentType: HandShake:
- Versão: TLS 1.0
Major: 3 (0x3)
Secundária: 1 (0x1)
Comprimento: 111 (0x6F)
- SSLHandshake: SSL HandShake ClientHello(0x01)
HandShakeType: ClientHello(0x01)
Comprimento: 107 (0x6B)
- ClientHello: TLS 1.0
+ Versão: TLS 1.0
+ RandomBytes:
SessionIDLength: 0 (0x0)
CipherSuitesLength: 14
+ TLSCipherSuites: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA { 0xC0,0x14 }
+ TLSCipherSuites: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA { 0xC0,0x13 }
+ TLSCipherSuites: TLS_RSA_WITH_AES_256_CBC_SHA { 0x00, 0x35 }
+ TLSCipherSuites: TLS_RSA_WITH_AES_128_CBC_SHA { 0x00, 0x2F }
+ TLSCipherSuites: TLS_RSA_WITH_3DES_EDE_CBC_SHA { 0x00,0x0A }
+ TLSCipherSuites: TLS_RSA_WITH_RC4_128_SHA { 0x00,0x05 }
+ TLSCipherSuites: TLS_RSA_WITH_RC4_128_MD5 { 0x00,0x04 }
CompressionMethodsLength: 1 (0x1)
CompressionMethods: 0 (0x0)
ExtensionsLength: 52 (0x34)
- ClientHelloExtension: Nome do servidor(0x0000)
ExtensionType: Nome do servidor(0x0000)
ExtensionLength: 19 (0x13)
NameListLength: 17 (0x11)
NameType: Nome do Host (0)
NameLength: 14 (0xE)
ServerName: sts.contoso.net
+ ClientHelloExtension: Curvas elípticas(0x000A)
+ ClientHelloExtension: Formatos de ponto ec(0x000B)
+ ClientHelloExtension: SessionTicket TLS(0x0023)
+ ClientHelloExtension: Tipo de extensão desconhecido
+ ClientHelloExtension: Informações de renegociação(0xFF01)
Nesse cenário, é esperado que o proxy do ADFS rejeite a conexão. Esse problema foi relatado para Exchange
Online equipe e está sob investigação.
Soluções alternativas:
Use Autenticação Moderna.
NOTE
Isso não foi testado. No entanto, conceitualmente, a conexão com o ADFS é diretamente do aplicativo cliente.
Portanto, ele deve funcionar se ele for compatível com o TLS 1.1.
Reabilitar o servidor TLS 1.0 no proxy WAP/ADFS.
Referências
Padrão de Segurança de Dados (DSS) da Indústria de Cartões de Pagamento (PCI)
Erro ao configurar WAP–"A conexão subjacente foi fechada"–Parte 2
produtos.
Erro "Descoberta de União no Local de Trabalho
falhou" com o código de 0x80072EE7
Este artigo fornece uma solução para um erro 0x80072EE7 que ocorre quando os usuários executam um
Workplace Join.
NOTE
Usuários em casa: este artigo destina-se a ser usado por agentes de suporte e profissionais de TI, não por usuários em
casa. Para melhores resultados de pesquisa, altere suas palavras-chave de pesquisa para incluir o produto que está
disparando o erro e o código de erro.
Sintomas
Quando os usuários tentam executar um Workplace Join, eles recebem a seguinte mensagem de erro:
Confirme se você está usando as informações de login atuais e se seu local de trabalho usa esse recurso.
Além disso, a conexão com seu local de trabalho pode não estar funcionando agora. Aguarde e tente
novamente.
Além disso, um administrador pode ver os seguintes detalhes do evento no Visualizador de Eventos:
ID do Evento: 102
Nome do log: Microsoft-Windows-Workplace Join/Admin
Fonte: Microsoft-Windows-Workplace Join
Nível: Erro
Descrição:
Falha na descoberta de Workplace Join.
Código de Saída: 0x80072EE7.
O nome ou endereço do servidor não pôde ser resolvido. Não foi possível conectar ao
https://EnterpriseRegistration.domainTEST.com:443/EnrollmentServer/contract?api-version=1.0 .
Motivo
Esse problema ocorrerá se uma das seguintes condições for verdadeira:
O usuário atualmente registrado é de um domínio que não contém um registro DNS para o Serviço DRS.
Um usuário que tenha um sufixo upn (nome principal do usuário) que usa o domínio inicial (por exemplo) e
que ainda não está habilitado como autoridade de gerenciamento de dispositivo móvel por meio do
Microsoft Intune para gerenciamento de dispositivos móveis no Office 365 tenta executar uma Junção de
joe@contoso.onmicrosoft.com Trabalho.
Solução
Verificar DNS
1. Verifique o registro CNAME EnterpriseRegistration para o sufixo UPN da conta de usuário. Esta é a parte
após o caractere "@", como em john@contoso.com .
2. Abra uma janela prompt de comando e execute o seguinte comando:
Nslookup enterpriseregistration.domain.com
Se você usar Azure Active Directory Join

Os resultados devem retornar o resultado CNAME de EnterpriseRegistration.windows.net.
Se você usar o Windows Server Workplace Join
O host interno deve retornar o nó ADFS interno.
Host externo deve retornar proxy ADFS externo (se presente).
Referências
Para obter mais informações sobre solução de problemas, consulte o seguinte artigo na Base de Dados de
3045377 log de diagnóstico para solucionar problemas de União do Local de Trabalho
Erro ao usar o comando Set-MsolADFSContext:
falha na conexão com o servidor de Serviços de
<ServerName> Federação do Active Directory 2.0
Aplica-se a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Sintomas
Ao executar o Set-MsolADFSContext -Computer comando no módulo Microsoft Azure Active Directory para
Windows PowerShell, você receberá o seguinte erro:
Set-MsolADFSContext : a conexão com o <ServerName> servidor do Active Directory Federation Services

2.0 falhou devido a credenciais inválidas.
Motivo
Esse erro ocorrerá se o PowerShell Remoto não estiver habilitado no servidor de federação dos Serviços de
Federação do Active Directory (AD FS) -computer referenciado pelo parâmetro.
Quando um domínio é adicionado corretamente e verificado no portal, você pode usar o Módulo Azure Active
Directory para Windows PowerShell para configurar o SSO (login único) de uma estação de trabalho de
gerenciamento usando o PowerShell Remoto.
No entanto, o módulo Azure Active Directory para Windows PowerShell pode ser instalado apenas no Windows
7 e no Windows Server 2008 SR2. O Azure Active Directory módulo para Windows PowerShell não pode ser
instalado no Windows Server 2008 Service Pack 2 (SP2). Portanto, esse problema é especialmente relevante
onde o AD FS está instalado em uma plataforma Windows Server 2008 SP2. Nesse caso, o Azure Active
Directory módulo para Windows PowerShell que está relacionado ao AD FS deve ser emitido de um
computador remoto.
Solução
Para habilitar o PowerShell Remoto no servidor de federação do AD FS, siga estas etapas:
1. Inicie Windows PowerShell como administrador. Para fazer isso, clique com o botão direito do mouse
Windows PowerShell atalho e selecione Executar como Administrador .
2. Para configurar o Windows PowerShell para remoting, digite o seguinte comando e pressione Enter:
Enable-PSRemoting -force
Mais informações
Para obter mais informações sobre os requisitos do PowerShell remoto, consulte About_Remote_Requirements.
Para obter mais informações sobre a funcionalidade do PowerShell remoto, consulte Windows PowerShell:
Mergulhe profundamente em Remoting.
Ainda precisa de ajuda? Acesse o site da Microsoft Community ou os fóruns do Azure Active Directory.
Erro ao executar o cmdlet Convert-
MsolDomainToStandard: Falha ao se conectar aos
Serviços de Federação do Active Directory 2.0 no
computador local
Este artigo fornece uma resolução para resolver um problema em que você recebe um erro "Falha ao se
conectar aos Serviços de Federação do Active Directory 2.0 na máquina local" ao converter um domínio de
federado para gerenciado usando Convert-MsolDomainToStandard cmdlet.
Aplica-se a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Sintomas
Ao executar o cmdlet para converter um domínio de Convert-MsolDomainToStandard Federado para
Gerenciado, você recebe a seguinte mensagem de erro:
Falha ao se conectar aos Serviços de Federação do Active Directory 2.0 no computador local.
Tente executar Set-MsolADFSContect antes de executar este comando novamente.
Motivo
Esse problema ocorrerá se o servidor no qual você está executando o cmdlet não estiver executando os Serviços
de Federação Convert-MsolDomainToStandard do Active Directory (AD FS).
Solução
Faça um dos seguintes procedimentos, conforme apropriado para sua situação:
Se o AD FS ainda estiver em execução, use o cmdlet para especificar o servidor no Set-MsolADFSContext
qual o AD FS está sendo executado.
Por exemplo:
Set-MsolADFSContext -Computer <ServerName>
Para obter mais informações sobre o Set-MsolADFSContext cmdlet, consulte Set-MsolADFSContext.

Se o AD FS não estiver em execução, use o Set-MsolDomainAuthentication cmdlet para alterar o domínio
para um domínio gerenciado.
Por exemplo:
Set-MsolDomainAuthentication -DomainName <DomainName> -Authentication Managed
Para obter mais informações sobre o Set-MsolDomainAuthentication cmdlet, consulte Set-

MsolDomainAuthentication.
Mais informações
Ainda precisa de ajuda? Acesse o site do Microsoft Community ou Azure Active Directory Fóruns.
Como restaurar o IIS e limpar o Active Directory ao
desinstalar os Serviços de Federação do Active
Directory 2.0
Este artigo descreve como restaurar o Serviços de Informações da Internet (IIS) e limpar o Active Directory
quando você desinstalar os Serviços de Federação do Active Directory 2.0.
Introdução
O assistente de desinstalação do Active Directory Federation Services 2.0(AD FS 2.0) desinstala o AD FS 2.0 do
computador. No entanto, você ainda pode ter que restaurar ou limpar manualmente as configurações em uma
das seguintes situações:
Quando você desinstala o AD FS 2.0 de um servidor de federação ou de um computador proxy de servidor
de federação, o assistente de desinstalação não restaura o IIS ao seu estado original.
Quando você desinstala o AD FS 2.0 do último servidor de federação adicionado em um farm de servidores
de federação, o processo de desinstalação não exclui o contêiner de compartilhamento de certificados criado
no Active Directory.
Se você executar o Assistente de Configuração do Servidor de Federação do AD FS 2.0 após reinstalar o AD FS
2.0, mas não tiver limpado a configuração anterior do AD FS 2.0 do IIS, poderá ver um dos seguintes sintomas:
A página Resultados da Configuração pode mostrar o componente Implantar site de entrada do
navegador listado com status Configuração concluída com avisos. Quando você clica no status, você
pode ver o seguinte aviso:
Site existente detectado. Portanto, o site não foi reinstalado. Se você estiver tentando reimplantar os
sites padrão do AD FS 2.0, consulte http://go.microsoft.com/fwlink/?LinkId=181110 para obter
detalhes.
A página Resultados da Configuração pode mostrar o componente Implantar site de entrada do

navegador listado com componentes de configuração de status... quando a seguinte mensagem de erro é
exibida:
Não é possível copiar os arquivos de site para C: \ inetpub \ \ adfs ls porque o diretório já existe.
Remova o diretório e reprise o assistente de configuração ou atualize o site existente manualmente.
Você pode usar os seguintes métodos para limpar ou restaurar a configuração original:
Restaurar o IIS em um servidor de federação ou computador proxy de

servidor de federação
Quando o AD FS 2.0 é instalado em um computador configurado para o servidor de federação ou a função de
proxy do servidor de federação, ele criará os diretórios virtuais /adfs e /adfs/ls no IIS. O AD FS 2.0 também
criará um novo pool de aplicativos chamado ADFSAppPool. Quando você desinstala o AD FS 2.0 de um servidor
de federação ou de um computador proxy de servidor de federação, esses diretórios virtuais não são
removidos. Além disso, o pool de aplicativos não foi removido. Isso pode criar problemas se o AD FS 2.0 for
instalado novamente no mesmo computador.
Para remover manualmente esses diretórios do servidor de federação desativado ou do computador proxy do
servidor de federação, siga estas etapas:
1. Clique em Iniciar, selecione Ferramentas Administrativas e selecione Gerenciador do IIS.
2. Expanda o nó nome do servidor, expanda Sites e selecione Site Padrão.
3. No painel Ações, selecione Exibir Aplicativos .
NOTE
Você deve ver os dois diretórios virtuais a seguir associados ao AD FS 2.0:
/adfs
/adfs/ls
4. Clique com o botão direito do mouse no aplicativo do AD FS 2.0 que está em cada diretório virtual e
clique em Remover .
5. No painel Ações, selecione Pools de Aplicativos.
NOTE
Você deve ver um pool de aplicativos chamado ADFSAppPool.
6. Clique com o botão direito do mouse em ADFSAppPool e selecione Remover .
NOTE
As próximas duas etapas mostram como remover o diretório \ adfs do diretório "inetpub". Se você tiver feito
alterações personalizadas no conteúdo deste diretório, recomendamos fazer o back-up desse conteúdo em outro
local antes de remover o diretório.
7. No Windows Explorer, navegue até o diretório "inetpub". Esse diretório está localizado no seguinte
caminho:
%systemdrive% \ inetpub
8. Clique com o botão direito do mouse no diretório Adfs e clique em Excluir .
Excluir o contêiner de compartilhamento de certificados no Active

Directory
Quando você instala o AD FS 2.0 e usa o Assistente de Configuração do Servidor de Federação para criar um
novo Servidor de Federação em um novo farm do Servidor de Federação, o assistente criará um contêiner de
compartilhamento de certificados no Active Directory. Esse contêiner é usado por todos os servidores de
federação no farm. Quando você desinstala o AD FS 2.0 do último servidor de federação adicionado em um
farm, esse contêiner não é excluído do Active Directory.
Para excluir manualmente esse contêiner no Active Directory, siga estas etapas:
1. Antes de remover o AD FS 2.0 do último servidor de federação no farm, execute os seguintes comandos
do PowerShell no STS do AD FS 2.0 para determinar o local do contêiner de compartilhamento de
certificados no Active Directory:
Add-PsSnapin Microsoft.Adfs.Powershell
Get-AdfsProperties
2. Observe a propriedade Cer tificateSharingContainer na saída da etapa anterior.

3. Faça logon em um servidor onde a ferramenta ADSIEdit (ADSIEdit.msc) está instalada.
4. Clique em Iniciar, clique em Executar, digite ADSIEdit.msc e pressione ENTER.
5. Na ferramenta ADSIEdit, conecte-se ao contexto de nomenização Padrão seguindo estas etapas:
a. Clique com o botão direito do mouse em EDITAR ADSI e clique Conexão para .
b. Em Ponto de Conexão, clique em Selecionar um contexto de nomenlamento conhecido e
selecione Contexto de nomenisto padrão.
c. Clique em OK .
6. Expanda o seguinte nó:
Contexto de nomenização padrão, {sua par tição de domínio}, CN=Dados do Programa,
CN=Microsoft, CN=ADFS
NOTE
Em CN=ADFS, você verá um contêiner chamado CN={GUID} para cada farm do AD FS 2.0 implantado, onde
{GUID} corresponde à propriedade Cer tificateSharingContainer capturada usando o comando do PowerShell
na etapa Get-AdfsProperties 1.
7. Clique com o botão direito do mouse no contêiner {GUID} apropriado e selecione Excluir .
Erro do ADFS 2.0: o acesso é negado
Este artigo fornece uma solução para corrigir o erro do Active Directory Federated Services (AD FS) 2.0.
Resumo
A maioria dos problemas do AD FS 2.0 pertencem a uma das seguintes categorias principais. Este artigo contém
instruções passo a passo para solucionar problemas de regras de declarações.
Sintomas
O token emitido pelo serviço do AD FS não tem as declarações apropriadas para autorizar o acesso do
usuário ao aplicativo.
O servidor do AD FS retorna a seguinte mensagem de erro:
Acesso negado
Se você habilitar a auditoria do AD FS usando o tópico Configurar Servidores ADFS para Solução de
Problemas, você verá o seguinte erro registrado no log de eventos:
ID do Evento 325
O Serviço de Federação não pôde autorizar a emissão de token para o chamador.
Solução
Para resolver esse problema, siga estas etapas na ordem dada. Estas etapas ajudarão você a determinar a causa
Etapa 1: Obter detalhes sobre declarações necessárias
Determine quais tipos de declaração são necessários no token SAML do proprietário da parte subjacente.
Determine qual provedor de declarações foi usado para autenticar o usuário.
Por exemplo:
Um provedor de terceiros de confiança pode indicar que deseja que os valores Email, Nome e Função
do usuário sejam fornecidos.
Se o provedor de declaração nessa situação for "Active Directory", você deve configurar uma regra de
declaração de aceitação no nível "Active Directory".
NOTE
Se o provedor de declarações for outro STS (Serviço de Token de Segurança), devemos criar uma regra de
declaração Passagem ou Transformação para aceitar os valores de declaração armazenar em tipos de declarações
definidos localmente que devem ser passados para a parte de base.
Crie uma declaração passagem por essas declarações no nível da parte de base.
Etapa 2: verificar se o AD FS está negando o token com base nas regras de Autorização
Para fazer isso, clique com o botão direito do mouse na parte de base, clique em Editar Regras de Declaração e
clique na guia Regras de Autorização de Emissão. Ao examinar as informações de regras, considere as
seguintes diretrizes:
Todas as regras de declarações de autorização são processadas.
Se nenhuma regra for definida, o servidor do AD FS negará todos os usuários.
A abordagem allowlist também pode ser usada em vez de usar uma regra Permitir Tudo. Nessa situação,
você define um conjunto de regras que especifica as condições nas quais o usuário deve ser emitido um
token.
Na abordagem de lista de bloqueios, você precisará de uma regra Permitir todas, juntamente com uma ou
mais regras de Negação baseadas em uma condição.
Uma regra Negar sempre substitui uma regra Permitir. Isso significa que, se as condições de declaração
Permitir e Negar são verdadeiras para o usuário, a regra Negar será seguida.
Para regras de autorização baseadas em outros valores de declaração para permitir ou negar um token,
essas declarações já devem ser empurradas para o pipeline de declarações do nível de confiança do
provedor de declarações.
Etapa 3: Capturar um rastreamento fiddler
Capture um rastreamento do Depurador web do Fiddler para capturar a comunicação com o serviço do AD FS e
determinar se um token SAML foi emitido. Se um token SAML foi emitido, decodificar o token para determinar
se o conjunto correto de declarações está sendo emitido.
Para obter mais informações sobre esse processo, consulte AD FS 2.0: How to Use Fiddler Web Depurador to
Analyze a WS-Federation Passive Sign-In.
Para encontrar o token SAML emitido pelo serviço do AD FS:
Em um rastreamento fiddler, revise a resposta do AD FS para determinar onde o serviço do AD FS está
definindo os cookies MSISAuth e MSISAuthenticated. Ou, revise a solicitação depois que o AD FS define os
cookies MSISAuth e MSISAuthenticated.
Selecione o token e inicie TextWizard no Fiddler. Use URLDecode para um RSTR (WS-Fed) ou
FromDeflatedSAML para uma resposta de protocolo SAML 2.0.
Etapa 4: Habilitar a Auditoria do ADFS e verificar se o Token foi emitido ou negado, juntamente com a lista
de declarações que estão sendo processadas
Configure os servidores do AD FS para registrar a auditoria de eventos do AD FS no log de segurança. Para
configurar o log Segurança do Windows para dar suporte à auditoria de eventos do AD FS, siga estas etapas:
1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Política de Segurança Local.
2. Clique duas vezes em Políticas Locais e clique em Política de Auditoria.
3. No painel de detalhes, clique duas vezes em Acessar o objeto Audit .
4. Na página Acessar propriedades de objeto de auditoria, selecione Êxito ou Falha ou ambos e clique em
OK.
5. Feche o snap-in segurança local Configurações segurança local.
6. Em um prompt de comando, digite gpupdate /force e pressione Enter para atualizar imediatamente a política
local.
Você também pode usar o seguinte GPO para configurar o log Segurança do Windows log:
Configuração do Computador\Políticas\Windows Configurações\Segurança Configurações\Configuração da
Política de Auditoria Avançada\Políticas de Auditoria\Acesso a Objetos\Aplicativo de Auditoria Gerado - Sucesso
e Falha Configurar o ADFS
Isso é útil em um cenário em que o AD FS negava um token ao usuário. O processo de auditoria do AD FS
relatará o evento e as declarações geradas antes de o token ser negado. Isso ajuda você a determinar qual
declaração causou a aplicação da regra Negar. Examine o log de eventos de segurança especialmente para a ID
do Evento 299, 500, 501 e 325.
Etapa 5: Determinar se você precisa de uma declaração personalizada
Se os requisitos de emissão de declaração não puderem ser atendidos pelos modelos de regra de declaração
padrão, talvez seja necessário escrever uma declaração personalizada. Para obter mais informações, consulte
Understanding Claim Rule Language in AD FS 2.0 & Higher.
produtos.
Solucionar problemas do AD FS em Azure Active
Directory e Office 365
Este artigo discute a solução de problemas de fluxo de trabalho para problemas de autenticação para usuários
federados em Azure Active Directory ou Office 365.
Sintomas
Os usuários federados não podem entrar no Office 365 ou Microsoft Azure embora usuários gerenciados
somente na nuvem que tenham um sufixo UPN de domainxx.onmicrosoft.com possam entrar sem
problemas.
O redirecionamento para os Serviços de Federação do Active Directory (AD FS) ou STS não ocorre para um
usuário federado. Ou um erro "Page cannot be displayed" é disparado.
Você recebe um aviso relacionado a certificados em um navegador quando tenta se autenticar com o AD FS.
Quais estados declaram que a validação de certificado falha ou que o certificado não é confiável.
Erro "Método Auth desconhecido" ou erros informando que AuthnContext não há suporte. Além disso, erros
no nível do AD FS ou STS quando você é redirecionado do Office 365.
O AD FS lança um erro "Acesso negado".
O AD FS lança um erro informando que há um problema ao acessar o site; que inclui um número de ID de
referência.
O usuário é solicitado repetidamente a solicitar credenciais no nível do AD FS.
Os usuários federados não podem se autenticar de uma rede externa ou quando usam um aplicativo que usa
a rota de rede externa (Outlook, por exemplo).
Os usuários federados não podem entrar depois que um certificado de assinatura de token é alterado no AD
FS.
Um erro "Desculpe, mas estamos tendo problemas para entrar em você" é acionado quando um usuário
federado faz Office 365 no Microsoft Azure. Este erro inclui códigos de erro como 8004786C, 80041034,
80041317, 80043431, 80048163, 80045C06, 8004789A ou solicitação BAD.
Solução de problemas de fluxo de trabalho

1. Acesse Microsoft Office Home e insira o nome de entrada do usuário federado
(someoneexample @.com ). Depois de pressionar Tab para remover o foco da caixa de logon, verifique
se o status da página muda para Redirecionamento e, em seguida, você é redirecionado para o Serviço
de Federação do Active Directory (AD FS) para entrar.
Quando o redirecionamento ocorre, você vê a seguinte página:
a. Se nenhum redirecionamento ocorrer e você for solicitado a inserir uma senha na mesma página,
o que significa que o Azure Active Directory (AD) ou Office 365 não reconhece o usuário ou o
domínio do usuário a ser federado. Para verificar se há uma confiança de federação entre o Azure
AD ou o Office 365 e seu servidor do AD FS, Get-msoldomain execute o cmdlet do Azure AD
PowerShell. Se um domínio for federado, sua propriedade de autenticação será exibida como
Federada , como na captura de tela a seguir:
b. Se o redirecionamento ocorrer, mas você não for redirecionado para o servidor do AD FS para
entrar, verifique se o nome do serviço do AD FS resolve o IP correto e se ele pode se conectar a
esse IP na porta TCP 443.
Se o domínio for exibido como Federado , obtenha informações sobre a confiança de federação
executando os seguintes comandos:
Get-MsolFederationProperty -DomainName <domain>

Get-MsolDomainFederationSettings -DomainName <domain>
Verifique o URI, a URL e o certificado do parceiro de federação configurado pelo Office 365 ou
pelo Azure AD.
2. Depois de redirecionado para o AD FS, o navegador pode lançar um erro relacionado à confiança de
certificado e, para alguns clientes e dispositivos, ele pode não permitir que você estabeleça uma sessão
SSL (Secure Sockets Layer) com o AD FS. Para resolver esse problema, siga estas etapas:
a. Certifique-se de que o certificado de comunicação do serviço do AD FS apresentado ao cliente
seja o mesmo configurado no AD FS.
Idealmente, o certificado de comunicação do serviço do AD FS deve ser igual ao certificado SSL

que é apresentado ao cliente quando ele tenta estabelecer um túnel SSL com o serviço AD FS.
No AD FS 2.0:
Vinque o certificado ao site >padrão do IIS.
Use o snap-in do AD FS para adicionar o mesmo certificado que o certificado de comunicação
do serviço.
No AD FS 2012 R2:
Use o snap-in do AD FS ou o Add-adfscertificate comando para adicionar um certificado de
comunicação de serviço.
Use o Set-adfssslcertificate comando para definir o mesmo certificado para associação SSL.
b. Certifique-se de que o certificado de comunicação do serviço do AD FS seja confiável pelo cliente.
c. Se clientes não capazes de SNI estão tentando estabelecer uma sessão SSL com o AD FS ou WAP
2-12 R2, a tentativa pode falhar. Nesse caso, considere adicionar uma entrada de Fallback nos
servidores AD FS ou WAP para dar suporte a clientes não SNI. Para obter mais informações,
consulte How to support non-SNI capable clients with Web Application Proxy and AD FS 2012 R2.
3. Você pode encontrar um erro ou erros de "método Unknown Auth" AuthnContext informando que não
há suporte no nível do AD FS ou STS quando você é redirecionado do Office 365. É mais comum quando
redirecionar para o AD FS ou STS usando um parâmetro que impõe um método de autenticação. Para
impor um método de autenticação, use um dos seguintes métodos:
Para WS-Federation, use uma cadeia de caracteres de consulta WAUTH para forçar um método de
autenticação preferencial.
Para SAML2.0, use o seguinte:
<saml:AuthnContext>
<saml:AuthnContextClassRef>
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</saml:AuthnContextClassRef>
</saml:AuthnContext>
Quando o método de autenticação imposto é enviado com um valor incorreto ou se esse método de
autenticação não é suportado no AD FS ou STS, você recebe uma mensagem de erro antes de ser
autenticado.
A tabela a seguir mostra os URIs do tipo de autenticação reconhecidos pelo AD FS para WS-Federation
autenticação passiva.
M ÉTO DO DE A UT EN T IC A Ç Ã O P RO C URA DO WA UT H URI
Nome de usuário e autenticação de senha urn:oasis:names:tc:SAML:1.0:am:password
Autenticação do cliente SSL urn:ietf:rfc:2246
Windows autenticação integrada urn:federation:authentication:windows
Classes de contexto de autenticação SAML suportadas
M ÉTO DO DE A UT EN T IC A Ç Ã O URI DE C L A SSE DE C O N T EXTO DE A UT EN T IC A Ç Ã O
Nome e senha do usuário urn:oasis:names:tc:SAML:2.0:ac:classes:Password

M ÉTO DO DE A UT EN T IC A Ç Ã O URI DE C L A SSE DE C O N T EXTO DE A UT EN T IC A Ç Ã O
Transporte protegido por senha urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtecte

dTransport
Cliente TLS (Transport Layer Security) urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient
Certificado X.509 urn:oasis:names:tc:SAML:2.0:ac:classes:X509
Autenticação integrada do Windows urn:federation:authentication:windows
Kerberos urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos
Para garantir que o método de autenticação tenha suporte no nível do AD FS, verifique o seguinte.
AD FS 2.0
Em /adfs/ls/web.config, certifique-se de que a entrada para o tipo de autenticação está presente.
<microsoft.identityServer.web>
<localAuthenticationTypes>
< add name="Forms" page="FormsSignIn.aspx" />
<add name="Integrated" page="auth/integrated/" />
<add name="TlsClient" page="auth/sslclient/" />
<add name="Basic" page="auth/basic/" />
</localAuthenticationTypes>
AD FS 2.0: Como alterar o tipo de autenticação local

AD FS 2012 R2
a. Em Gerenciamento do AD FS, selecione Políticas de Autenticação no snap-in do AD FS.
b. Na seção Autenticação Primária, selecione Editar ao lado de Global Configurações . Você
também pode clicar com o botão direito do mouse em Políticas de Autenticação e, em seguida,
selecionar Editar Autenticação Primária Global . Ou, no painel Ações , selecione Editar
Autenticação Primária Global .
c. Na janela Editar Política de Autenticação Global , na guia Principal , você pode configurar as
configurações como parte da política de autenticação global. Por exemplo, para autenticação
primária, você pode selecionar métodos de autenticação disponíveis em Extranet e Intranet .
Verifique se a caixa de seleção do método de autenticação necessário está selecionada.
4. Se você chegar ao AD FS e inserir suas credenciais, mas não puder ser autenticado, verifique os seguintes
problemas.
a. Problema de replicação do Active Directory
Se a replicação do AD for interrompida, as alterações feitas ao usuário ou grupo poderão não ser
sincronizadas entre controladores de domínio. Entre controladores de domínio, pode haver uma
senha, UPN, GroupMembership ou incompatibilidade com Proxyaddress que afeta a resposta do
AD FS (autenticação e declarações). Você deve começar a procurar os controladores de domínio no
mesmo site que o AD FS. Executar um repadmin /showreps ou um DCdiag /v comando deve
revelar se há um problema nos controladores de domínio que o AD FS provavelmente entrará em
contato.
Você também pode coletar um resumo de replicação do AD para garantir que as alterações do AD
estão sendo replicadas corretamente em todos os controladores de domínio. A
repadmin /showrepl * /csv > showrepl.csv saída é útil para verificar o status da replicação. Para
obter mais informações, consulte Solução de problemas de replicação do Active Directory.
b. Conta bloqueada ou desabilitada no Active Directory
Quando um usuário final é autenticado por meio do AD FS, ele não receberá uma mensagem de
erro informando que a conta está bloqueada ou desabilitada. Na auditoria do AD FS e logon, você
deve ser capaz de determinar se a autenticação falhou devido a uma senha incorreta, se a conta
está desabilitada ou bloqueada e assim por diante.
Para habilitar a auditoria do AD FS e logon nos servidores do AD FS, siga estas etapas:
a. Use a política local ou de domínio para habilitar o sucesso e a falha para as seguintes
políticas:
Evento de logon de auditoria, localizado em
Computer configuration\Windows Settings\Security setting\Local Policy\Audit Policy
Audit Object Access, localizado em

Computer configuration\Windows Settings\Security setting\Local Policy\Audit Policy
b. Desabilite a seguinte política:

Auditoria: force as configurações de subcategoria da política de auditoria (Windows Vista
ou posterior) para substituir as configurações de categoria da política de auditoria
Esta política está localizada em
Computer configuration\Windows Settings\Security setting\Local Policy\Security Option .
Se você quiser configurá-lo usando auditoria avançada, consulte Configuring Computers

for Troubleshooting AD FS 2.0.
c. Configurar o AD FS para auditoria:
a. Abra o snap-in gerenciamento do AD FS 2.0.
b. No painel Ações , selecione Editar Propriedades do Ser viço de Federação .
c. Na caixa de diálogo Propriedades do Ser viço de Federação, selecione a guia
Eventos .
d. Marque as caixas de seleção Auditorias de sucesso e Falhas .
e. Execute GPupdate /force no servidor.

c. O Nome da Entidade de Serviços (SPN) está registrado incorretamente
Pode haver SPNs duplicados ou um SPN registrado em uma conta diferente da conta de serviço
do AD FS. Para uma configuração do Farm do AD FS, certifique-se de que o SPN HOST/AD
FSservicename seja adicionado na conta de serviço que está executando o serviço do AD FS. Para
uma configuração autônomo do AD FS, onde o serviço está sendo executado em Serviço de Rede,
o SPN deve estar sob a conta do computador do servidor que está hospedando o AD FS.
Certifique-se de que não haja SPNs duplicados para o serviço AD FS, pois ele pode causar falhas
de autenticação intermitentes com o AD FS. Para listar os SPNs, execute
SETSPN -L <ServiceAccount> .
Execute SETSPN -A HOST/AD FSservicename ServiceAccount para adicionar o SPN.
Execute SETSPN -X -F para verificar SPNs duplicados.
d. UPNs duplicados no Active Directory
Um usuário pode ser capaz de autenticar por meio do AD FS quando estiver usando
SAMAccountName, mas não conseguir se autenticar ao usar UPN. Nesse cenário, o Active
Directory pode conter dois usuários com o mesmo UPN. É possível terminar com dois usuários
que têm o mesmo UPN quando os usuários são adicionados e modificados por meio de scripts
(ADSIedit, por exemplo).
Quando o UPN é usado para autenticação nesse cenário, o usuário é autenticado em relação ao
usuário duplicado. Portanto, as credenciais fornecidas não são validadas.
Você pode usar consultas como a seguir para verificar se há vários objetos no AD com os mesmos
valores para um atributo:
Dsquery * forestroot -filter UserPrincipalName=problemuser_UPN
Certifique-se de que o UPN no usuário duplicado seja renomeado para que a solicitação de
autenticação com o UPN seja validada em relação aos objetos corretos.
e. Em um cenário em que você está usando seu endereço de email como a ID de logon no Office 365
e insere o mesmo endereço de email quando é redirecionado para o AD FS para autenticação, a
autenticação pode falhar com um erro "NO_SUCH_USER" nos logs de auditoria. Para habilitar o
AD FS a encontrar um usuário para autenticação usando um atributo diferente de UPN ou
SAMaccountname, você deve configurar o AD FS para dar suporte a uma ID de logon alternativa.
Para obter mais informações, consulte Configuring Alternate Login ID.
No AD FS 2012 R2
a. Instale o Update 2919355.
b. Atualize a configuração do AD FS executando o seguinte cmdlet do PowerShell em qualquer
um dos servidores de federação em seu farm (se você tiver um farm WID, deverá executar
esse comando no servidor principal do AD FS no farm):
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID

<attribute> -LookupForests <forest domain>
NOTE
AlternateLoginID é o nome LDAP do atributo que você deseja usar para logon. E LookupForests é
a lista de entradas DNS de florestas às que seus usuários pertencem.
Para habilitar o recurso de ID de logon alternativo, você deve configurar os parâmetros

AlternateLoginID e LookupForests com um valor válido não nulo.
f. A conta de serviço do AD FS não tem acesso de leitura no token do AD FS que está assinando a
chave privada do certificado. Para adicionar essa permissão, siga estas etapas:
a. Quando você adiciona um novo Token-Signing certificado, recebe o seguinte aviso:
Verifique se a chave privada do certificado escolhido está acessível à conta de serviço

deste Serviço de Federação em cada servidor no farm.
b. Selecione Iniciar , selecione Executar , digite mmc.exe e pressione Enter.

c. Selecione Arquivo e selecione Adicionar/Remover Snap-in .
d. Clique duas vezes em Cer tificados .
e. Selecione a conta do computador em questão e selecione Next .
f. Selecione Computador local e selecione Concluir .
g. Expanda Cer tificados (Computador Local), expanda Persona l e selecione
Cer tificados .
h. Clique com o botão direito do mouse no novo certificado de assinatura de token, selecione
Todas as Tarefas e selecione Gerenciar Chaves Privadas .
i. Adicione acesso de leitura para sua conta de serviço do AD FS 2.0 e selecione OK .

j. Feche o MMC de Certificados.
g. A opção Proteção Estendida para Windows Autenticação está habilitada para o diretório virtual
do AD FS ou LS. Pode causar problemas com navegadores específicos. Às vezes, você pode ver o
AD FS solicitando repetidamente credenciais e pode estar relacionado à configuração de proteção
estendida habilitada para autenticação Windows para o aplicativo AD FS ou LS no IIS.
Quando a Proteção Estendida para autenticação está habilitada, as solicitações de autenticação são
vinculadas aos SPNs (Nomes principais de serviço) do servidor ao qual o cliente tenta se conectar
e ao canal TLS (Segurança de Camada de Transporte) externo no qual ocorre a Autenticação
Integrada Windows. A proteção estendida aprimora a funcionalidade de autenticação Windows
existente para reduzir retransmissão de autenticação ou ataques de "homem no meio". No
entanto, determinados navegadores não funcionam com a configuração de proteção estendida;
em vez disso, solicitam repetidamente credenciais e negam acesso. Desabilitar a proteção
estendida ajuda nesse cenário.
Para obter mais informações, consulte AD FS 2.0: Continuamente solicitado a obter credenciais ao
usar o Depurador da Web fiddler.
Para o AD FS 2012 R2
Execute o seguinte cmdlet para desabilitar a proteção estendida:
Set-ADFSProperties -ExtendedProtectionTokenCheck None
h. As regras de Autorização de emissão na confiança de Parte Confiável (RP) podem negar o acesso
aos usuários. Na confiança da Parte Confiável do AD FS, você pode configurar as regras de
Autorização de Emissão que controlam se um usuário autenticado deve ser emitido um token para
uma Parte Confiável. Os administradores podem usar as declarações emitidas para decidir se
negam o acesso a um usuário membro de um grupo que é retirado como uma declaração.
Se determinados usuários federados não puderem se autenticar por meio do AD FS, talvez você
queira verificar as regras de Autorização de Emissão para o RP Office 365 e ver se a regra Permitir
Acesso a Todos os Usuários está configurada.
Se essa regra não estiver configurada, peruse as regras de autorização personalizadas para
verificar se a condição nessa regra avalia "true" para o usuário afetado. Para saber mais, veja os
seguintes recursos:
Noções básicas sobre o idioma da regra de declaração no AD FS 2.0 & superior
Configurando políticas de acesso para cliente
Limitando o acesso Office 365 serviços baseados no local do cliente
Se você pode autenticar a partir de uma intranet quando acessar diretamente o servidor do AD FS,
mas não conseguir autenticar quando acessar o AD FS por meio de um proxy do AD FS, verifique
os seguintes problemas:
Problema de sincronização de tempo no servidor do AD FS e proxy do AD FS
Certifique-se de que a hora no servidor do AD FS e a hora no proxy estão em sincronia.
Quando o tempo no servidor do AD FS é desligado por mais de cinco minutos a partir do
momento nos controladores de domínio, ocorrem falhas de autenticação. Quando o tempo
no proxy do AD FS não é sincronizado com o AD FS, a confiança de proxy é afetada e
interrompida. Portanto, uma solicitação que vem através do proxy do AD FS falha.
Verifique se a Confiança do proxy do AD FS com o serviço do AD FS está funcionando
corretamente. Rerun the proxy configuration if you suspect that the proxy trust is broken.
5. Depois que o AD FS emite um token, o Azure AD ou Office 365 um erro. Nesta situação, verifique os
seguintes problemas:
As declarações emitidas pelo AD FS em token devem corresponder aos atributos respectivos do
usuário no Azure AD. No token do Azure AD ou Office 365, as declarações a seguir são
necessárias.
WSFED:
UPN: O valor dessa declaração deve corresponder ao UPN dos usuários no Azure AD.
ImmutableID: o valor dessa declaração deve corresponder ao sourceAnchor ou ImmutableID do
usuário no Azure AD.
Para obter o valor do atributo User no Azure AD, execute a seguinte linha de comando:
Get-MsolUser -UserPrincipalName <UPN>
SAML 2.0:
IDPEmail: o valor dessa declaração deve corresponder ao nome principal do usuário dos usuários
no Azure AD.
NAMEID: O valor dessa declaração deve corresponder ao sourceAnchor ou ImmutableID do
usuário no Azure AD.
Para obter mais informações, consulte Use a SAML 2.0 identity provider to implement single sign-
on.
Exemplos:
Esse problema pode ocorrer quando o UPN de um usuário sincronizado é alterado no AD, mas
sem atualizar o diretório online. Nesse cenário, você pode corrigir o UPN do usuário no AD (para
corresponder ao nome de logon do usuário relacionado) ou executar o seguinte cmdlet para
alterar o nome de logon do usuário relacionado no diretório Online:
Set-MsolUserPrincipalName -UserPrincipalName [ExistingUPN] -NewUserPrincipalName [DomainUPN-

AD]
Também pode ser que você esteja usando o AADsync para sincronizar o EMAIL como UPN e
EMPID como SourceAnchor, mas as regras de declaração da Parte Confiável no nível do AD FS não
foram atualizadas para enviar EMAIL como UPN e EMPID como ImmutableID.
Há uma incompatibilidade de certificado de assinatura de token entre o AD FS e o Office 365.
É um dos problemas mais comuns. O AD FS usa o certificado de assinatura de token para assinar
o token enviado ao usuário ou aplicativo. A confiança entre o AD FS e o Office 365 é uma
confiança federada baseada nesse certificado de assinatura de token (por exemplo, o Office 365
verifica se o token recebido é assinado usando um certificado de assinatura de token do provedor
de declaração [o serviço do AD FS] em que ele confia).
No entanto, se o certificado de assinatura de token no AD FS for alterado por causa da Rolagem de
Certificado Automático ou pela intervenção de um administrador (após ou antes do certificado
expirar), os detalhes do novo certificado devem ser atualizados no locatário Office 365 para o
domínio federado. Isso pode não acontecer automaticamente; pode exigir a intervenção de um
administrador. Quando o certificado de assinatura de token principal no AD FS é diferente do que
o Office 365 sabe, o token emitido pelo AD FS não é confiável pelo Office 365. Portanto, o usuário
federado não tem permissão para entrar.
Office 365 ou o Azure AD tentará alcançar o serviço do AD FS, supondo que o serviço seja
acessível pela rede pública. Tentamos sondar os metadados de federação do AD FS em intervalos
regulares, para obter quaisquer alterações de configuração no AD FS, principalmente as
informações de certificado de assinatura de token. Se esse processo não estiver funcionando, o
administrador global deverá receber um aviso no portal Office 365 sobre a expiração do
certificado de assinatura de token e sobre as ações necessárias para atualizá-lo.
Você pode usar para Get-MsolFederationProperty -DomainName <domain> despejar a propriedade de
federação no AD FS e Office 365. Aqui você pode comparar a impressão digital
TokenSigningCertificate, para verificar se a configuração Office 365 locatário do seu domínio
federado está em sincronia com o AD FS. Se você encontrar uma incompatibilidade na
configuração do certificado de assinatura de token, execute o seguinte comando para atualizá-lo:
Update-MsolFederatedDomain -DomainName <domain> -SupportMultipleDomain
Você também pode executar a ferramenta a seguir para agendar uma tarefa no servidor do AD FS
que monitorará a rolagem de certificado automático do certificado de assinatura de token e
atualizará o locatário Office 365 automaticamente.
Microsoft Office 365 ferramenta de instalação de automação de atualização de metadados
de federação
Verificar e gerenciar o login único com o AD FS
As regras de declaração de transformação de emissão para o rp Office 365 de emissão não estão
configuradas corretamente.
Em um cenário em que você tem vários TLDs (domínios de nível superior), você pode ter
problemas de logon se a opção Supportmultipledomain não foi usada quando a confiança de RP
foi criada e atualizada. Para obter mais informações, consulte SupportMultipleDomain switch,
when managing SSO to Office 365.
Certifique-se de que a criptografia de token não está sendo usada pelo AD FS ou STS quando um
token for emitido para o Azure AD ou para Office 365.
6. Há credenciais em cache não armazenadas Windows Credential Manager.
Às vezes, durante o logon de uma estação de trabalho para o portal (ou ao usar o Outlook), quando o
usuário é solicitado a obter credenciais, as credenciais podem ser salvas para o destino (serviço Office
365 ou AD FS) no Gerenciador de Credenciais do Windows (
Control Panel\User Accounts\Credential Manager ). Isso ajuda a evitar um prompt de credenciais por
algum tempo, mas pode causar um problema depois que a senha do usuário for alterada e o gerenciador
de credenciais não for atualizado. Nesse cenário, as credenciais defasadas são enviadas para o serviço do
AD FS e é por isso que a autenticação falha. Removendo ou atualizando as credenciais armazenadas em
cache, Windows Credential Manager pode ajudar.
7. Certifique-se de que o Algoritmo de Hash Seguro configurado na Confiança de Parte Confiável para
Office 365 está definido como SHA1.
Quando a confiança entre o STS/AD FS e o Azure AD/Office 365 estiver usando o protocolo SAML 2.0, o
Algoritmo de Hash Seguro configurado para assinatura digital deve ser SHA1.
8. Se nenhuma das causas anteriores se aplicar à sua situação, crie um caso de suporte com a Microsoft e
peça a eles para verificar se a conta de usuário aparece consistentemente sob o locatário Office 365
locatário. Para obter mais informações, consulte Um usuário federado é solicitado repetidamente a obter
credenciais durante a Office 365, Azure ou Intune.
9. Dependendo do serviço de nuvem (integrado ao Azure AD) que você está acessando, a solicitação de
autenticação enviada ao AD FS pode variar. Por exemplo: determinadas solicitações podem incluir
parâmetros adicionais, como Wauth ou Wfresh, e esses parâmetros podem causar comportamentos
diferentes no nível do AD FS.
Recomendamos que os binários do AD FS sempre sejam atualizados para incluir as correções para
problemas conhecidos. Para obter mais informações sobre as atualizações mais recentes, consulte a
tabela a seguir.
A D F S 2. 0 A D F S 2012 R2
Descrição do Update Rollup 3 for Active Directory Rolagem de atualizações de dezembro de 2014 para
Federation Services (AD FS) 2.0 Windows RT 8.1, Windows 8.1 e Windows Server 2012
A atualização está disponível para corrigir vários R2
problemas depois que você instala a atualização
de 2843638 em um servidor do AD FS
Os usuários não podem entrar no domínio após
alterações de senha em um Controlador de
Domínio Remoto
Este artigo fornece uma solução para um problema em que os usuários não podem entrar no domínio após
alterações de senha em um Controlador de Domínio Remoto.
Sintomas
Depois de alterar uma senha de conta de usuário em um controlador de domínio remoto que detém a função
de FSMO (Operação Mestra Única Flexível) do controlador de domínio principal (PDC), o usuário pode não
conseguir entrar em um controlador de domínio local inserindo a nova senha. No entanto, o usuário ainda pode
entrar no domínio usando sua senha anterior.
Motivo
Esse comportamento pode ocorrer quando as seguintes condições são verdadeiras:
O controlador de domínio remoto ainda não foi replicado com o controlador de domínio local.
Kerberos está configurado para usar o protocolo UDP (User Datagram Protocol) (a configuração padrão).
O token de segurança do usuário é muito grande para caber em uma mensagem Kerberos UDP.
NOTE
O token de segurança do usuário pode ser grande se esse usuário for membro de muitos grupos.
Esse problema é causado pelo recurso anti-repetição da autenticação Kerberos no controlador de domínio local.
As etapas a seguir ilustram esse comportamento:
1. A senha da conta de usuário é alterada no controlador de domínio remoto, mas essa alteração ainda não foi
replicada para o controlador de domínio local.
2. O usuário tenta entrar no domínio usando a nova senha. O Serviço de Autenticação Kerberos Exchange
mensagem (KRB_AS_REQ) é enviada ao controlador de domínio local usando UDP.
3. O controlador de domínio local falha na autenticação porque ainda não tem as novas informações de senha.
4. O controlador de domínio local encaminha a solicitação para o PDC remoto ( KDCSVC!FailedLogon ).
5. Na função, uma entrada para a solicitação é inserida na tabela de detecção de repetição e a mensagem
KRB_AS_REQ é enviada FailedLogon para o PDC remoto.
6. O PDC remoto autentica com êxito a solicitação e retorna uma resposta positiva ao controlador de domínio
local.
7. O controlador de domínio local detecta que a resposta é muito grande para um pacote UDP e, por isso, envia
uma solicitação ao computador cliente para re-enviar a solicitação usando o Protocolo de Controle de
Transmissão (TCP).
8. O computador cliente reapresenta a solicitação de autenticação usando TCP.
9. O controlador de domínio local falha na autenticação porque ainda não tem as novas informações de senha
(como na etapa 3).
10. O controlador de domínio local encaminha a solicitação para o controlador de domínio PDC remoto (
KDCSVC!FailedLogon ) (como na etapa 4).
11. A verificação de detecção de repetição na função retorna uma mensagem KRB_AP_ERR_REPEAT porque uma
entrada para essa solicitação já está presente na tabela de detecção FailedLogon de repetição. Esta é a
entrada que foi criada na etapa 5.
A tentativa de autenticação falha.
Solução
Para resolver esse problema, obtenha o service pack mais recente para Windows 2000.
A versão em inglês dessa correção tem os atributos de arquivo (ou posteriores) listados na tabela a seguir. As
datas e horas desses arquivos são listadas em tempo universal coordenado (UTC). Quando você visualiza as
informações do arquivo, ela é convertida em hora local. Para encontrar a diferença entre UTC e hora local, use a
guia Fuso Horário na ferramenta Data e Hora no Painel de Controle.
Date Time Version Size File name

-----------------------------------------------------------
22-Mar-2002 23:55 5.0.2195.4959 123,664 Adsldp.dll
30-Jan-2002 00:52 5.0.2195.4851 130,832 Adsldpc.dll
30-Jan-2002 00:52 5.0.2195.4016 62,736 Adsmsext.dll
22-Mar-2002 23:55 5.0.2195.5201 356,624 Advapi32.dll
22-Mar-2002 23:55 5.0.2195.4985 135,952 Dnsapi.dll
22-Mar-2002 23:55 5.0.2195.4985 95,504 Dnsrslvr.dll
22-Mar-2002 23:56 5.0.2195.5013 521,488 Instlsa5.dll
22-Mar-2002 23:55 5.0.2195.5246 145,680 Kdcsvc.dll
22-Mar-2002 23:50 5.0.2195.5246 199,952 Kerberos.dll
07-Feb-2002 19:35 5.0.2195.4914 71,024 Ksecdd.sys
02-Mar-2002 21:32 5.0.2195.5013 503,568 Lsasrv.dll
02-Mar-2002 21:32 5.0.2195.5013 33,552 Lsass.exe
08-Dec-2001 00:05 5.0.2195.4745 107,280 Msv1_0.dll
22-Mar-2002 23:55 5.0.2195.4917 306,960 Netapi32.dll
22-Mar-2002 23:55 5.0.2195.4979 360,208 Netlogon.dll
22-Mar-2002 23:55 5.0.2195.5221 917,264 Ntdsa.dll
22-Mar-2002 23:55 5.0.2195.5201 386,832 Samsrv.dll
30-Jan-2002 00:52 5.0.2195.4874 128,784 Scecli.dll
22-Mar-2002 23:55 5.0.2195.4968 299,792 Scesrv.dll
30-Jan-2002 00:52 5.0.2195.4600 48,400 W32time.dll
06-Nov-2001 19:43 5.0.2195.4600 56,592 W32tm.exe
22-Mar-2002 23:55 5.0.2195.5011 125,712 Wldap32.dll
Para resolver esse problema, faça alterações de senha de conta de usuário no controlador de domínio local ou
force Kerberos a usar TCP (Protocolo de Controle de Transmissão) em vez de UDP (User Datagram Protocol).
Para obter mais informações, consulte How to force Kerberos to use TCP instead of UDP in Windows.
Status
A Microsoft confirmou que é um problema nos produtos Microsoft listados no início deste artigo. Esse
problema foi corrigido pela primeira vez Windows 2000 Service Pack 3.
Mais informações
O recurso anti-repetição Kerberos impede que o mesmo pacote seja recebido duas vezes pelo servidor de
autenticação. Um ataque de repetição é um ataque no qual uma transmissão de dados válida é repetida de
forma mal-intencionada ou fraudulenta, pelo originador ou por um adversário que intercepta os dados e a
retransmite. Um invasor pode tentar "repetir" o nome de usuário e a senha de um usuário válido em uma
tentativa de autenticação usando as credenciais desse usuário.
Erro ao tentar aproveitar a função mestra RID com
Ntdsutil
Este artigo fornece ajuda para corrigir um erro que ocorre quando você aproveita a função Mestra de ID relativa
(RID) com a ferramenta Ntdsutil para um controlador de domínio diferente.
Sintomas
Suponha o seguinte cenário. O servidor que detém a função mestra de operações RID não está mais acessível e
deve ser reconstruído. Você tenta aproveitar a função RID Master com a ferramenta Ntdsutil para um
controlador de domínio diferente, mas recebe o seguinte erro:
Tentativa de transferência segura do FSMO RID antes da apreensão.

ldap_modify_sW erro 0x34(52 (Indisponível).
A mensagem de erro estendida Ldap é 000020AF: SvcErr: DSID-0321093D, problema 5002
(INDISPONÍVEL), dados 8
O erro Win32 retornado é 0x20af (Falha na operação FSMO solicitada. O titular atual do FSMO não pôde ser
contatado.)
Dependendo do código de erro, isso pode indicar um erro de conexão, ldap ou transferência de função.
Falha na transferência do FSMO RID, continuando com a apreensão...
Falha na pesquisa ao encontrar controladores de domínio
Motivo
O atributo fSMORoleOwner do objeto RID Manager$ no Active Directory é inválido. Por exemplo, o
seguinte valor resultaria nesse erro:
CN=NTDS Configurações DEL:a586a105-5a9c-4b2f-8289-

bc5b43841ac8,CN=DC01,CN=Servers,CN=Default-First-Site-
Name,CN=Sites,CN=Configuration,DC=contoso,DC=com
Solução
Para resolver esse problema, use a ferramenta AdsiEdit para atualizar o atributo fSMORoleOwner do objeto
Rid Manager$ no Active Directory.
1. Abra AdsiEdit (AdsiEdit.msc).
2. Expanda Domínio e selecione CN=System .
3. Com CN=System selecionado no painel esquerdo, clique com o botão direito do mouse em CN=RID
Manager$ e selecione Propriedades .
4. O atributo fSMORoleOwner deve corresponder ao antigo RID Master. Por exemplo, se DC01 fosse o
antigo RID Master (o servidor que não está mais disponível), o atributo fSMORoleOwner seria:
CN=NTDS Configurações,CN=DC01,CN=Servers,CN=Default-First-Site-
Um exemplo de um valor inválido para o atributo fSMORoleOwner que pode resultar em um erro ao
tentar aproveitar a função seria:
CN=NTDS Configurações DEL:a586a105-5a9c-4b2f-8289-

bc5b43841ac8,CN=DC01,CN=Servers,CN=Default-First-Site-
5. Altere o valor do atributo fSMORoleOwner para refletir o controlador de domínio que você deseja ser o
MESTRE RID. Por exemplo, se DC01 for o controlador de domínio com falha e DC02 for o controlador de
domínio para o qual você deseja aproveitar a função RID Master, você alteraria o atributo para refletir que
DC02 será o novo MESTRE RID.
CN=NTDS Configurações,CN=DC02,CN=Servers,CN=Default-First-Site-
6. Alterar o atributo fSMORoleOwner realiza a mesma coisa que aproveitar a função com Ntdsutil.
Portanto, depois de alterar o atributo manualmente, você não precisa usar Ntdsutil para aproveitar a
função.
Como encontrar servidores que têm funções de
operações mestras individuais flexíveis
Este artigo descreve como encontrar os servidores que têm as funções FSMO (Operação Mestra Única Flexível)
em uma floresta.
Resumo
O Active Directory define cinco funções FSMO:
Mestre de esquema
Domínio nomenmeno mestre
MESTRE RID
PdC master
Mestre de infraestrutura
O mestre de esquema e o mestre de nomen por floresta são funções por floresta. Portanto, há apenas um
mestre de esquema e um domínio nomeando mestre por floresta.
O mestre RID, o mestre PDC e o mestre de infraestrutura são funções por domínio. Cada domínio tem seu
próprio mestre RID, mestre PDC e mestre de infraestrutura. Portanto, se uma floresta tiver três domínios, haverá
três mestres RID, três mestres pdc e três mestres de infraestrutura.
Determinar os titulares do FSMO RID, PDC e Infrastructure de um

domínio selecionado
1. Clique em Iniciar, em Executar, digite dsa.msc e clique em OK.
2. Clique com o botão direito do mouse no Objeto de Domínio selecionado no painel superior esquerdo e
clique em Mestres de Operações.
3. Clique na guia PDC para exibir o servidor que está segurando a função mestra PDC.
4. Clique na guia Infraestrutura para exibir o servidor que está segurando a função mestra Infraestrutura.
5. Clique na guia Pool RID para exibir o servidor que está segurando a função mestra RID.
Determinar o Titular do FSMO do Esquema em uma floresta

2. No menu Console, clique em Adicionar/Remover Snap-in, clique em Adicionar, clique duas vezes em
Esquema do Active Directory, clique em Fechar e em OK.
3. Clique com o botão direito do mouse em Esquema do Active Directory no painel superior esquerdo e clique
em Operations Masters para exibir o servidor que está segurando a função mestra de esquema.
NOTE
Para o snap-in do Esquema do Active Directory estar disponível, talvez seja preciso registrar o arquivo Schmmgmt.dll. Para
fazer isso, clique em Iniciar , clique em Executar , digite regsvr32 schmmgmt.dll na caixa Abrir e clique em OK . Uma
mensagem é exibida informando que o registro foi bem-sucedido.
Determinar o Titular de FSMO de nomenização de domínio em uma

floresta
2. No menu Console, clique em Adicionar/Remover Snap-in, clique em Adicionar, clique duas vezes em
Domínios e Confiações do Active Director y, clique em Fechar e em OK.
3. No painel esquerdo, clique em Domínios e Confiações do Active Directory.
4. Clique com o botão direito do mouse em Domínios e Confiança do Active Directory e clique em Operações
Mestre para exibir o servidor que está segurando a função mestra de nomeniso de domínio na Floresta.
Usar o Windows 2000 Server Resource Kit

O Windows 2000 Resource Kit contém um arquivo .cmd chamado Dumpfsmos.cmd que você pode usar para
listar rapidamente proprietários de função FSMO para seu domínio e floresta atual. O arquivo .cmd usa
Ntdsutil.exe enumerar os proprietários da função. O arquivo Dumpfsmos.cmd contém:
@echo off
REM
REM Script to dump FSMO role owners on the server designated by %1
REM
if ""=="%1" goto usage
Ntdsutil roles Connections "Connect to server %1" Quit "select Operation Target" "List roles for connected
server" Quit Quit Quit
goto done
:usage
@echo Please provide the name of a domain controller (i.e. dumpfsmos MYDC)
@echo.
:done
Usar a ferramenta NTDSUTIL

O NTDSUTIL é uma ferramenta incluída no Windows 2000 Server, Windows 2000 Advanced Server e Windows
2000 Datacenter Server. Essa ferramenta pode ser usada para verificar a alteração de determinados aspectos do
Active Directory. Veja a seguir as etapas necessárias para exibir as funções FSMO (Operação Mestra Única
Flexível) em um determinado Controlador de Domínio.
Ntdsutil.exe é a única ferramenta que mostra todos os proprietários de função FSMO. Você pode exibir o
emulador PDC, mestre RID e proprietários de funções mestras de infraestrutura em Usuários e Computadores
do Active Directory. Você pode exibir o proprietário da função mestra do esquema no snap-in esquema do
Active Directory. Você pode exibir o proprietário da função mestra de nomeação de domínio em Domínios e
Confiações do Active Directory.
1. Clique em Iniciar, em Executar, digite cmd na caixa Abrir e pressione ENTER.
2. Digite ntdsutil e pressione ENTER.
3. Digite o gerenciamento de domínio e pressione ENTER.
4. Digite conexões e pressione ENTER.
5. Digite conectar-se ao ser vidor Ser verName , onde Ser verName é o Nome do Controlador de
Domínio que você gostaria de exibir e pressione ENTER.
6. Digite quit e pressione ENTER.
7. Digite selecionar destino da operação e pressione ENTER.
8. Digite funções de lista para servidor conectado e pressione ENTER. Uma lista é exibida da mesma forma
que está listada abaixo. Os resultados podem depender muito das funções que o controlador de domínio
específico pode manter. Se você receber uma mensagem de erro, verifique a ortografia dos comandos
como a sintaxe dos comandos deve ser exata. Se você precisar da sintaxe de um comando, digite? em
cada prompt:
Server "dc1" knows about 5 roles

Schema - CN=NTDS
Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com
Domain - CN=NTDS
PDC - CN=NTDS
RID - CN=NTDS
Infrastructure - CN=NTDS
Usar DCDIAG
Em um Windows 2000 Domain Controller, execute o seguinte comando:
DCdiag /test:Knowsofroleholders /v
Você deve usar a opção /v. Isso lista os proprietários de todas as funções FSMO na empresa.
Referências
Para obter informações adicionais, clique nos números de artigo abaixo para exibir os artigos:
197132 Windows FSMO do Active Directory 2000
223346 posicionamento e otimização do FSMO Windows domínios 2000
Funções FSMO do Active Directory no Windows
Este artigo ajuda principalmente você a aprender sobre as funções FSMO (Operação Mestra Única Flexível) no
Active Directory.
Aplica-se a: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Resumo
O Active Directory é o repositório central no qual todos os objetos em uma empresa e seus respectivos
atributos são armazenados. É um banco de dados hierárquico habilitado para vários mestres que pode
armazenar milhões de objetos. As alterações no banco de dados podem ser processadas em qualquer DC
(controlador de domínio) específico na empresa, independentemente de o controlador de domínio estar
conectado ou desconectado da rede.
Modelo de vários mestres

Um banco de dados habilitado para vários mestres, como o Active Directory, fornece a flexibilidade de permitir
que as alterações ocorram em qualquer controlador de domínio na empresa. Mas também apresenta a
possibilidade de conflitos que podem levar a problemas depois que os dados são replicados para o restante da
empresa. Uma maneira que o Windows lida com atualizações conflitantes é ter um algoritmo de resolução de
conflitos que lida com discrepâncias em valores. Isso é feito resolvendo para o DC no qual as alterações foram
gravadas por último, que é o último gravador ganha . As alterações em todos os outros controladores de
domínio são descartadas. Embora esse método possa ser aceitável em alguns casos, há ocasiões em que
conflitos são muito difíceis de resolver usando a abordagem de vitória do último gravador . Nesses casos, é
melhor evitar que o conflito ocorra em vez de tentar resolvê-lo após o fato.
Para determinados tipos de alterações, o Windows incorpora métodos para impedir que atualizações
conflitantes do Active Directory ocorram.
Modelo de mestre único

Para evitar atualizações conflitantes no Windows, o Active Directory executa atualizações para determinados
objetos de uma maneira de mestre único. Em um modelo de mestre único, apenas um DC em todo o diretório
tem permissão para processar atualizações. É semelhante à função fornecida a um PDC (controlador de domínio
primário) em versões anteriores do Windows, como o Microsoft Windows NT 3.51 e 4.0. Em versões anteriores
Windows, o PDC é responsável por processar todas as atualizações em um determinado domínio.
O Active Directory estende o modelo de mestre único encontrado em versões anteriores do Windows para
incluir várias funções e a capacidade de transferir funções para qualquer controlador de dominio na empresa.
Como uma função do Active Directory não está associada a um único DC, ela é conhecida como uma função
FSMO. Atualmente, há cinco funções FSMO no Windows:
Mestre de esquema
Mestre de nomeação de domínio
Mestre RID
Emulador PDC
Mestre de infraestrutura
Normalmente, uma propriedade de função FSMO é executada somente quando o controlador de domínio
replicou o NC (contexto de nomenclatura) em que a propriedade é armazenada desde que o Serviço de
Diretório foi iniciado. Certifique-se de que uma captura de função FSMO atinja o proprietário anterior antes que
a função seja usada.
Função FSMO mestra de esquema
O titular da função FSMO mestre do esquema é o controlador de domínio responsável por executar atualizações
no esquema de diretório, ou seja, o contexto de nomenclatura do esquema ou
LDAP://cn=schema,cn=configuration,dc=<domain>. Esse DC é o único que pode processar atualizações para o
esquema de diretório. Depois que a atualização do esquema for concluída, ela será replicada do mestre do
esquema para todos os outros controladores de domínio no diretório. Há apenas um mestre de esquema por
floresta.
Requisitos iniciais de replicação e conectividade
Esse proprietário da função FSMO só estará ativo quando o proprietário da função tiver replicado com êxito
o NC do esquema desde que o Serviço de Diretório foi iniciado.
Os controladores de domínio e os membros da floresta só contatarão a função FSMO quando atualizarem o
esquema.
Função FSMO mestre de nomenclatura de domínio
O proprietário da função FSMO mestre de nomenclatura de domínio é o controlador de domínio responsável
por fazer alterações no espaço de nome de domínio em toda a floresta do diretório, ou seja, o contexto de
nomenclatura Partitions\Configuration ou LDAP://CN=Partitions, CN=Configuration, DC=<domain>. Esse DC é
o único que pode adicionar ou remover um domínio do diretório. Ele também pode adicionar ou remover
referências cruzada a domínios em diretórios externos.
Esse proprietário da função FSMO só estará ativo quando o proprietário da função tiver replicado o NC
de configuração com êxito desde que o Serviço de Diretório foi iniciado.
Os membros do domínio da floresta só contatarão o proprietário da função FSMO quando atualizarem
as referências cruzada. Os controladores de domínio contatarão o proprietário da função FSMO quando:
Os domínios são adicionados ou removidos na floresta.
Novas instâncias de partições de diretório de aplicativo em DCs são adicionadas. Por exemplo, um
servidor DNS foi inscrito para as partições de diretório do aplicativo DNS padrão.
Função FSMO mestre RID
O proprietário da função FSMO mestre RID é o único controlador de domínio responsável pelo processamento
de solicitações do Pool RID de todos os controladores de domínio dentro de um determinado domínio. Ele
também é responsável por remover um objeto de seu domínio e colocá-lo em outro domínio durante uma
movimentação de objeto.
Quando um controlador de domínio cria uma entidade de segurança, como um usuário ou grupo, ele anexa
uma SID (ID de segurança) exclusiva ao objeto. Essa SID consiste em:
Uma SID de domínio que é o mesmo para todas as SIDs criadas em um domínio.
Uma RID (ID relativa) exclusiva para cada SID da entidade de segurança criada em um domínio.
Cada DC do Windows em um domínio é alocado a um pool de RIDs que ele tem permissão para atribuir às
entidades de segurança que ele cria. Quando o pool RID alocado de um DC fica abaixo de um limite, esse DC
emite uma solicitação de RIDs adicionais para o mestre RID do domínio. O mestre RID do domínio responde à
solicitação recuperando RIDs do pool RID não alocado do domínio e os atribui ao pool do controlador de
domínio solicitante. Há um mestre RID por domínio em um diretório.
Esse proprietário da função FSMO só estará ativo quando o proprietário da função tiver replicado o NC de
domínio com êxito desde que o Serviço de Diretório foi iniciado.
Os controladores de domínio contatarão o proprietário da função FSMO quando recuperarem um novo pool
RID. O novo pool RID é entregue aos DCs por meio da replicação do AD.
Função FSMO do emulador de PDC
O emulador PDC é necessário para sincronizar a hora em uma empresa. O Windows Server inclui o serviço de
horário W32Time (Horário do Windows) que é necessário para o protocolo de autenticação Kerberos. Todos
computadores baseados no Windows em uma empresa usam um horário comum. A finalidade do serviço de
horário é garantir que o serviço Windows Time use uma relação hierárquica que controla a autoridade. Ele não
permite loops para garantir o uso de tempo comum apropriado.
O emulador PDC de um domínio é autoritativo para o domínio. O emulador PDC na raiz da floresta se torna
autoritativo para a empresa e deve ser configurado para coletar o tempo de uma fonte externa. Todos os
proprietarios de função FSMO PDC seguem a hierarquia de domínios na seleção de parceiro de horário de
entrada.
Em um domínio Windows, o titular da função do emulador PDC mantém as seguintes funções:
As alterações de senha feitas por outros DCs no domínio são replicadas preferencialmente para o emulador
PDC.
Quando ocorrem falhas de autenticação em um determinado DC devido a uma senha incorreta, as falhas são
encaminhadas para o emulador PDC antes que uma mensagem de falha de senha incorreta seja relatada ao
usuário.
O bloqueio de conta é processado no emulador PDC.
O emulador PDC executa toda a funcionalidade que um PDC baseado em servidor do Windows NT 4.0 ou
PDC anterior executa para clientes baseados no Windows NT 4.0 ou anteriores.
Essa parte da função de emulador PDC torna-se desnecessária na seguinte situação:
Todas as estações de trabalho, servidores membros e DCs (controladores de domínio) que executam o Windows
NT 4.0 ou anterior são atualizados para o Windows 2000.
O emulador PDC ainda executa as outras funções, conforme descrito em um ambiente Windows 2000.
As informações a seguir descrevem as alterações que ocorrem durante o processo de atualização:
Clientes Windows (estações de trabalho e servidores membros) e clientes de nível inferior que instalaram o
pacote de cliente de serviços distribuídos não executam gravações de diretório (como alterações de senha)
preferencialmente no controlador de domínio que se anuncia como o PDC. Eles usam qualquer DC para o
domínio.
Depois que os BDCs (controladores de domínio de backup) em domínios de nível inferior são atualizados
para o Windows 2000, o emulador PDC não recebe nenhuma solicitação de réplica de nível inferior.
Clientes Windows (estações de trabalho e servidores membros) e clientes de nível inferior que instalaram o
pacote de cliente de serviços distribuídos usam o Active Directory para localizar recursos de rede. Eles não
exigem o serviço de Navegador do Windows NT.
Esse proprietario da função FSMO está sempre ativo quando o emulador PDC encontra o atributo
fSMORoleOwner do cabeçalho NC do domínio apontando para si mesmo. Não há nenhum requisito de
replicação de entrada.
Os controladores de domínio contatarão o proprietário da função FSMO quando tiverem uma nova
senha ou a verificação de senha local falhar. Nenhum erro ocorre quando o emulador PDC não pode ser
alcançado ou o valor de registro AvoidPdcOnWan é definido como 1 .
Você pode usar o cmdlet a seguir para executar os pré-requisitos para rebaixar um DC.
PS C:\Users\Capecodadmin> Test-ADDSDomainControllerUninstallation -DemoteOperationMasterRole |fl
Aqui está um exemplo de saída quando o emulador PDC não pode ser alcançado.
Mensagem: Falha na verificação dos pré-requisitos para a promoção do Controlador de Domínio.

Você indicou que esse controlador de domínio do Active Directory não é o último controlador de
domínio para o domínio "contoso.com". No entanto, nenhum outro controlador de domínio para esse
domínio pode ser contatado. Continuar fará com que as alterações feitas nos serviços de domínio do
Active Directory pelo controlador de domínio sejam perdidas. Para continuar, especifique a opção
'IgnoreLastDCInDomainMismatch'.
Contexto: Test.VerifyDcPromoCore.DCPromo.General.50
RebootRequired: False
Status: Erro
Função FSMO mestre de infraestrutura

Quando um objeto em um domínio é referenciado por outro objeto em outro domínio, ele representa a
referência por:
O GUID
A SID (para referências da entidades de segurança)
O DN do objeto que está sendo referenciado
O proprietário da função FSMO de infraestrutura é o controlador de domínio responsável por atualizar a SID de
um objeto e o nome diferenciado em uma referência de objeto entre domínios.
NOTE
A função IM (mestre de infraestrutura) deve ser mantida por um controlador de domínio que não seja um servidor de GC
(Catálogo Global). Se o mestre de infraestrutura for executado em um servidor do catálogo global, ele deixará de atualizar
informações do objeto porque não contém nenhuma referência a objetos os quais não porta. Isso acontece porque o
servidor de catálogo global porta uma réplica parcial de todos os objetos da floresta. Como resultado, as referências de
objeto entre domínios nesse domínio não serão atualizadas e um aviso para esse efeito será registrado no log de eventos
do DC.
Se todos os DCs em um domínio também hospedarem o catálogo global, todos os DCs terão os dados atuais.
Não é importante qual controlador de domínio mantém a função mestra de infraestrutura.
Quando o recurso opcional da Lixeira está habilitado, cada DC é responsável por atualizar suas referências de
objeto entre domínios quando o objeto referenciado é movido, renomeado ou excluído. Nesse caso, não há
tarefas associadas à função FSMO de infraestrutura. E não é importante qual controlador de domínio possui a
função Mestre de Infraestrutura. Para obter mais informações, consulte 6.1.5.5 Função FSMO de infraestrutura.
Esse proprietário da função FSMO só estará ativo quando o proprietário da função tiver replicado o NC de
domínio com êxito desde que o Serviço de Diretório foi iniciado.
Não há nenhum requisito de conectividade para esse titular da função FSMO. É uma funcionalidade de
limpeza interna da floresta.
Transferir ou capturar funções FSMO em Active
Directory Domain Services
Este artigo descreve com usar a ferramenta Ntdsutil.exe para executar ou transferir funções FSMO (Operações
de mestre único flexíveis).
Aplica-se a: Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016,
Windows Server Datacenter 2016
Mais informações
Em uma AD DS (Active Directory Domain Services), há tarefas específicas que devem ser executadas por apenas
um DC (controlador de domínio). Os controladores de domínio atribuídos para executar essas operações
exclusivas são conhecidos como proprietários de funções FSMO. A tabela a seguir lista as funções FSMO e seu
posicionamento no Active Directory.
C O N T EXTO DE N O M EN C L AT URA
RO L E ESC O P O ( PA RT IÇ Ã O DO A C T IVE DIREC TO RY )
Mestre de esquema Em toda a floresta CN=Schema,CN=configuration,DC=

<forest root domain>
Mestre de nomeação de domínio Em toda a floresta CN=configuration,DC=<forest root

domain>
Emulador PDC Em todo o domínio DC=<domain>
Mestre RID Em todo o domínio DC=<domain>
Mestre de infraestrutura Em todo o domínio DC=<domain>
Para obter mais informações sobre os proprietários da função FSMO e as recomendações para posicionar as
funções, consulte Posicionamento e a otimização do FSMO nos controladores de domínio do Active Directory.
NOTE
As partições de aplicativo do Active Directory que incluem partições de aplicativo DNS têm links de função FSMO. Se uma
partição de aplicativo DNS definir um proprietário para a função mestra de infraestrutura, você não poderá usar Ntdsutil,
DCPromo ou outras ferramentas para remover essa partição de aplicativo. Para obter mais informações, consulte
rebaixamento DCPROMO falha se não for possível contatar o DNS mestre de infraestrutura.
Quando um controlador de domínio que vem atuando como um proprietário da função começa a ser executado
(por exemplo, após uma falha ou um desligamento), ele não continua imediatamente se comportando como o
proprietário da função. O controlador de domínio aguarda até receber a replicação de entrada para seu contexto
de nomenclatura (por exemplo, o proprietário da função mestra de esquema aguarda receber a replicação de
entrada da partição de esquema).
As informações que os controladores de domínio passam como parte da replicação do Active Directory incluem
as identidades dos atuais proprietários da função FSMO. Quando o controlador de domínio recém-iniciado
recebe as informações de replicação de entrada, ele verifica se ele ainda é o proprietário da função. Se for, ele
retomará as operações típicas. Se as informações replicadas indicarem que outro controlador de domínio está
atuando como o proprietário da função, o controlador de domínio recém-iniciado abrirá mão de sua
propriedade de função. Esse comportamento reduz a chance de que o domínio ou a floresta tenha proprietários
de função FSMO duplicados.
IMPORTANT
As operações do AD FS falharão se exigirem um proprietário de função e se o proprietário da função recém-iniciado for,
na verdade, o proprietário da função e não receber replicação de entrada.
O comportamento resultante é semelhante ao que aconteceria se o proprietário da função estivesse offline.
Determinar quando transferir ou capturar funções

Sob condições normais, todas as cinco funções devem ser atribuídas a controladores de domínio “ativos” na
floresta. Quando você cria uma floresta do Active Directory, o Assistente de Instalação do Active Directory
(Dcpromo.exe) atribui todas as cinco funções FSMO ao primeiro DC que ele cria no domínio raiz da floresta.
Quando você cria um domínio filho ou de árvore, o Dcpromo.exe atribui as três funções em todo o domínio ao
primeiro controlador de domínio no domínio.
Os controladores de domínio continuam a possuir funções FSMO até que sejam reatribuídos usando um dos
seguintes métodos:
Um administrador atribui novamente a função usando uma ferramenta administrativa GUI.
Um administrador atribui novamente a função usando o comando ntdsutil /roles .
Um administrador rebaixa normalmente um controlador de domínio proprietário de função usando o
Assistente para instalação do Active Directory. Esse assistente atribui novamente quaisquer funções mantidas
localmente para um controlador de domínio existente na floresta.
Um administrador rebaixa um controlador de domínio de função usando o comando dcpromo /forceremoval .
O controlador de domínio é desligado e reiniciado. Quando o controlador de domínio é reiniciado, ele recebe
informações de replicação de entrada que indicam que outro DC é o titular da função. Nesse caso, o
controlador de domínio recém-iniciado abandona a função (conforme descrito anteriormente).
Se um proprietário de função FSMO sofre uma falha ou for retirado de serviço antes de suas funções serem
transferidas, você deverá capturar e transferir todas as funções para um controlador de domínio apropriado e
íntegro.
Recomendamos a transferência das funções FSMO nas seguintes situações:
O detentor da função atual está operacional e pode ser acessado na rede pelo novo proprietário de FSMO.
Você está rebaixando normalmente um controlador de domínio que detém atualmente funções FSMO que
deseja atribuir para um controlador de domínio específico na sua floresta do Active Directory.
O controlador de domínio que detém atualmente funções FSMO ficará offline para manutenção programada
e você precisa atribuir as funções FSMO específicas a um controlador de domínio ativo. Talvez seja
necessário transferir funções para executar operações que afetam o proprietário do FSMO. Isso é
especialmente verdadeiro para a função de Emulator PDC. Esse é um problema menos importante para a
função mestra RID, a função mestra de nomenclatura de domínio e as funções mestras de esquema.
Recomendamos a execução das funções FSMO nas seguintes situações:
O detentor atual da função está enfrentando um erro operacional que impede que uma operação
dependente de FSMO seja concluída com êxito e não é possível transferir a função.
Use o comando dcpromo /forceremoval para forçar o rebaixamento de um controlador de domínio que
possui uma função FSMO.
IMPORTANT
O comando dcpromo /forceremoval deixa as funções FSMO em um estado inválido até que elas sejam
reatribuídas por um administrador.
O sistema operacional no computador que detinha uma função específica originalmente não existe mais
ou foi reinstalado.
NOTE
Recomendamos que somente capture todas as funções quando o controlador de domínio anterior não estiver
retornando ao domínio.
Se as funções FSMO tiverem que ser capturadas em cenários de recuperação de floresta, consulte a etapa 5 em
Executar recuperação inicial na seção Restaurar o primeiro controlador de domínio gravável em cada domínio.
Após uma transferência ou captura de função, o novo proprietário da função não age imediatamente. Em vez disso, o
novo proprietário da função se comporta como um proprietário da função reiniciado e aguarda sua cópia do contexto
de nomenclatura para que a função (como a partição de domínio) conclua um ciclo de replicação de entrada bem-
sucedido. Esse requisito de replicação ajuda a garantir que o novo proprietário da função esteja o mais atualizado
possível antes de agir. Ele também limita a janela de oportunidade para erros. Essa janela inclui apenas as alterações
que o proprietário da função anterior não concluiu a replicação para os outros controladores de domínio antes de ficar
offline. Para obter uma lista do contexto de nomenclatura para cada função FSMO, consulte a tabela na seção Mais
informações.
Identificar um novo titular da função

O melhor candidato para o novo titular da função é um controlador de domínio que atenda aos seguintes
critérios:
Ele reside no mesmo domínio que o titular da função anterior.
Ele tem a cópia gravável replicada mais recente da partição de função.
Por exemplo, suponha que você tenha que transferir a função mestra de esquema. A função mestra de esquema
faz parte da partição de esquema da floresta (cn=Schema,cn=Configuration,dc=<forest root domain>). O
melhor candidato para um novo titular da função é um controlador de domínio que também reside no domínio
raiz da floresta e no mesmo local do Active Directory que o titular da função atual.
Cau t i on
Não coloque a função mestre de infraestrutura no mesmo controlador de domínio que o servidor de catálogo
global. Se o mestre de infraestrutura for executado em um servidor do catálogo global, ele deixará de atualizar
as informações do objeto porque não contém nenhuma referência a objetos os quais não porta. Isso acontece
porque o servidor de catálogo global porta uma réplica parcial de todos os objetos da floresta.
Siga estas etapas para testar se um controlador de domínio também é um servidor de catálogo global:
1. Selecione Iniciar > Programas > Ferramentas Administrativas > Sites e Ser viços do Active
Director y .
2. No painel de navegação, clique duas vezes em Sites e localize o site apropriado ou clique em Primeiro-
site-padrão se nenhum outro site estiver disponível.
3. Abra a pasta Servers e selecione no controlador de domínio.
4. Na pasta do controlador de domínio, clique duas vezes em Configurações de NTDS .
5. No menu Ação , clique em Propriedades .
6. Na guia Geral , verifique se a caixa de seleção Catálogo global está marcada.
Para saber mais, confira:
Recuperação de floresta do AD – Captura de uma função mestra de operações
Planejamento do Posicionamento da função mestra de operações
Capturar ou transferir funções FSMO

Você pode usar o PowerShell do Windows ou Ntdsutil para capturar ou transferir funções. Para obter
informações e exemplos de como usar o PowerShell para essas tarefas, consulte Move-
ADDirectoryServerOperationMasterRole.
IMPORTANT
Se você precisar capturar a função mestre RID, considere usar o cmdlet Move-ADDirectoryServerOperationMasterRole em
vez do utilitário Ntdsutil.exe.
Para evitar o risco de SIDs duplicados no domínio, o Ntdsutil incrementa o próximo RID disponível no pool em 10.000
quando você captura a função mestre RID. Esse comportamento pode fazer com que sua floresta consuma
completamente seus intervalos disponíveis para valores RID (também conhecido como burn RID). Por outro lado, se você
usar o cmdlet do PowerShell para capturar a função mestra RID, o próximo RID disponível não será afetado.
Para transferir as funções FSMO usando o utilitário Ntdsutil, execute as seguintes etapas:
1. Entre em um computador membro que tenha as ferramentas RSAT do AD instaladas ou um controlador
de domínio localizado na floresta para a qual as funções FSMO estão sendo transferidas.
NOTE
Recomendamos que faça o logon no controlador de domínio para o qual está atribuindo as funções FSMO.
O usuário conectado deve ser um membro do grupo Administradores de empresa para transferir as funções
de mestre de esquema ou mestre de nomeação de domínio, ou um membro do grupo Administradores de
domínio do domínio no qual as funções emulador PDC, mestre RID e mestre de infraestrutura estão sendo
transferidas.
2. Clique em Iniciar > Executar , digite ntdsutil na caixa Abrir e clique em OK .

3. Digite roles e pressione ENTER.
NOTE
Para ver uma lista de comandos disponíveis em qualquer um dos prompts na ferramenta Ntdsutil, digite ? e
pressione Enter.
4. Digite connections e pressione Enter.

5. Digite connect to server<servername> e pressione Enter.
NOTE
Neste comando, <servername> é o nome do DC ao qual você deve atribuir a função FSMO.
6. No prompt ser ver connections , digite q e pressione Enter.

7. Siga um destes procedimentos:
Para transferir a função: digite transfer <role> e pressione Enter.
NOTE
Neste comando, <role> é a função que deseja transferir.
Para capturar a função: digite seize <role> e pressione Enter.
NOTE
Neste comando, <role> é a função que deseja capturar.
Por exemplo, para executar a função mestre RID, digite seize rid master. As exceções são para a função de
emulador PDC, cuja sintaxe é seize pdc e o mestre de nomenclatura de domínio, cuja sintaxe é seize
naming master .
Para ver uma lista de funções que você pode transferir ou capturar, digite ? no prompt fsmo
maintenance e pressione Enter ou consulte a lista de funções no início deste artigo.
8. No prompt fsmo maintenance , digite q e pressione Enter para obter acesso ao prompt ntdsutil . Digite
q e pressione Enter para fechar o utilitário Ntdsutil.
Considerações ao reparar ou remover os proprietários de função

anteriores
Se for possível e se você conseguir transferir as funções em vez de capturá-las, corrija o proprietário da função
anterior. Se você não puder corrigir o proprietário da função anterior ou se tiver capturado as funções, remova o
proprietário da função anterior do domínio.
IMPORTANT
Se você planeja usar o computador reparado como um controlador de domínio, recomendamos que você recompile o
computador em um controlador de domínio do zero em vez de restaurar o controlador de domínio de um backup. O
processo de restauração recria o controlador de domínio como um proprietário da função novamente.
Para retornar o computador reparado para a floresta como um controlador de domínio

1. Siga um destes procedimentos:
Formate o disco rígido do antigo do proprietário da função e reinstale o Windows no
computador.
Rebaixe à força o antigo proprietário da função para um servidor membro.
2. Em outro controlador de domínio na floresta, use Ntdsutil para remover os metadados do antigo
proprietário da função. Para obter mais informações, consulte Limpar os metadados do servidor
usando Ntdsutil.
3. Depois de limpar os metadados, você pode promover novamente o computador para um
controlador de domínio e transferir uma função de volta para ele.
Remover o computador da floresta depois de capturar suas funções
1. Remova o computador do domínio.
2. Em outro controlador de domínio na floresta, use Ntdsutil para remover os metadados do antigo
proprietário da função. Para obter mais informações, consulte Limpar os metadados do servidor
usando Ntdsutil.
Considerações ao reinserir ilhas de replicação

Quando parte de um domínio ou floresta não pode se comunicar com o restante do domínio ou floresta por um
longo período, as seções isoladas de domínio ou floresta são conhecidas como ilhas de replicação. Os
controladores de domínio em uma ilha não podem ser replicados com os controladores de domínio em outras
ilhas. Em vários ciclos de replicação, as ilhas de replicação ficam fora de sincronia. Se cada ilha tiver seus
próprios proprietários de função FSMO, você poderá ter problemas ao restaurar a comunicação entre as ilhas.
IMPORTANT
Na maioria dos casos, você pode aproveitar o requisito de replicação inicial (conforme descrito neste artigo) para remover
proprietários de função duplicados. Um proprietário da função reiniciado deve abrir mão da função se detectar um
proprietário de função duplicado.
Você pode encontrar circunstâncias que esse comportamento não resolve. Nesses casos, as informações nesta seção
podem ser úteis.
A tabela a seguir identifica as funções FMSO que podem causar problemas se uma floresta ou domínio tiver
vários titulares de função para essa função:
P O SSÍVEIS C O N F L ITO S EN T RE VÁ RIO S P RO P RIETÁ RIO S DE

RO L E F UN Ç Ã O ?
Mestre de esquema Sim
Mestre de nomeação de domínio Sim
Mestre RID Sim
Emulador PDC Não
Mestre de infraestrutura Não
Esse problema não afeta o mestre Emulador PDC ou o mestre de infraestrutura. Esses titulares de função não
persistem dados operacionais. Além disso, o mestre de infraestrutura não faz alterações com frequência.
Portanto, se várias ilhas tiverem esses titulares, você poderá reintegrar as ilhas sem causar problemas a longo
prazo.
O Mestre de esquema, o Mestre de nomeação de domínio e o Mestre de RID podem criar objetos e persistir
alterações no Active Directory. Cada ilha que tem um desses titulares de função pode ter objetos de esquema,
domínios ou pools de RID duplicados e conflitantes no momento em que você restaurar a replicação. Antes de
reinserir as ilhas, determine quais titulares de função serão mantidos. Remova todos os Mestres de esquema,
Mestre de nomeação de domínio e Mestres de RID duplicados seguindo os procedimentos de reparo, remoção e
limpeza mencionados neste artigo.
Referências
Para saber mais, confira:
Funções FSMO do Active Directory no Windows
Posicionamento e otimização de FSMO em controladores de domínio no Active Directory
Processo de captura e transferência do Flexible Single Master Operation
COMO: usar o Ntdsutil para localizar e limpar identificadores de segurança duplicados no Windows Server
Solucionar problemas de ID de evento 4013 do DNS: o servidor DNS não pôde carregar zonas DNS
integradas ao AD
O rebaixamento DCPROMO falha se não for possível contatar o mestre de infraestrutura do DNS
Funções FSMO
Realizando a configuração inicial
Recuperação de floresta do AD – Captura de uma função mestra de operações
Para limpar os metadados do servidor usando o Ntdsutil
Planejamento do Posicionamento da função mestra de operações
Move-ADDirectoryServerOperationMasterRole
Como exibir e transferir funções FSMO
Este artigo descreve como exibir e transferir funções FSMO.

Resumo
Este artigo descreve como transferir funções FSMO (também conhecidas como funções de mestre de
operações) usando as ferramentas de snap-in do Active Directory no MMC (Console de Gerenciamento
Microsoft) no Windows Server 2003.
Funções FSMO
Em uma floresta, há pelo menos cinco funções FSMO atribuídas a um ou mais controladores de domínio. As
cinco funções FSMO são:
Mestre de Esquema: o controlador de domínio mestre de esquema controla todas as atualizações e
modificações no esquema. Para atualizar o esquema de uma floresta, você deve ter acesso ao mestre de
esquema. Pode haver apenas um mestre de esquema em toda a floresta.
Mestre de nomenclatura de domínio: o controlador de domínio mestre de nomenclatura de domínio controla
a adição ou remoção de domínios na floresta. Pode haver apenas um mestre de nomenclatura de domínio
em toda a floresta.
Mestre de Infraestrutura: a infraestrutura é responsável por atualizar referências de objetos em seu domínio
para objetos em outros domínios. A qualquer momento, pode haver apenas um controlador de domínio
atuando como o mestre de infraestrutura em cada domínio.
ID Relativa (RID) Mestre: a RID mestre é responsável por processar solicitações de pools RID de todos os
controladores de domínio em um domínio específico. A qualquer momento, pode haver apenas um
controlador de domínio atuando como o mestre RID no domínio.
PDC Emulator: o emulador PDC é um controlador de domínio que se anuncia como o PDC (controlador de
domínio primário) para estações de trabalho, servidores membros e controladores de domínio que
executam versões anteriores do Windows. Por exemplo, se o domínio contiver computadores que não estão
executando o software cliente do Microsoft Windows XP Professional ou Microsoft Windows 2000, ou se ele
contiver controladores de domínio de backup do Microsoft Windows NT, o mestre emulador PDC atuará
como um PDC do Windows NT. Ele também é o Localizador de Domínio Mestre e lida com discrepâncias de
senha. A qualquer momento, pode haver apenas um controlador de domínio atuando como o mestre
emulador PDC em cada domínio na floresta.
Você pode transferir funções FSMO usando o utilitário de linha de comando Ntdsutil.exe ou usando uma
ferramenta de snap-in do MMC. Dependendo da função FSMO que você deseja transferir, é possível usar uma
das três ferramentas de snap-in do MMC a seguir:
Snap-in do Esquema do Active Directory
Snap-in de Domínios e Relações de Confiança do Active Directory
Snap-in de Usuários e Computadores do Active Directory
Se um computador não existir mais, a função deverá ser executada. Para executar uma função, use o utilitário
Ntdsutil.exe.
Para obter informações adicionais sobre como usar o utilitário Ntdsutil.exe para executar funções FSMO, clique
no número de artigo abaixo para vê-lo na Base de Dados de Conhecimento Microsoft:
255504 Usando o Ntdsutil.exe para executar ou transferir as funções FSMO para um domínio
Use o snap-in do Mestre de Esquema do Active Directory para transferir a função de mestre do esquema. Antes
de usar esse snap-in, você deve registrar o arquivo Schmmgmt.dll.
Registrar Schmmgmt.dll
1. Clique em Iniciar e em Executar.
2. Digite regsvr32 schmmgmt.dll na caixa Abrir e, em seguida, clique em OK.
3. Clique em OK quando receber a mensagem de que a operação teve êxito.
Transferir a função de mestre de esquema
1. Clique em Iniciar e em Executar, digite mmc na caixa Abrir e clique em OK.
2. No menu Arquivo, clique em Adicionar/Remover Snap-in .
3. Clique em Adicionar.
4. Clique em Esquema do Active Directory, clique em Adicionar, depois em Fechar e em OK.
5. Na árvore de console, clique com o botão direito do mouse no Esquema do Active Directory e depois clique
em Alterar Controlador de Domínio.
6. Clique em Especificar Nome, digite o nome do controlador de domínio que será o novo proprietário da
função e clique em OK.
7. Na árvore de console, clique com o botão direito em Esquema do Active Directory e, em seguida, clique em
Mestre de Operações.
8. Clique em Alterar.
9. Clique em OK para confirmar que deseja transferir a função e, em seguida, clique em Fechar.
Transferir a função de Mestre de Nomenclatura de Domínio
1. Clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Domínios e
Relações de Confiança do Active Director y .
2. Clique com o botão direito do mouse em Domínios e Relações de Confiança do Active Director y e,
em seguida, clique em Conexão com o Controlador de Domínio .
NOTE
Você deve executar esta etapa se não estiver no controlador de domínio para o qual deseja transferir a função.
Você não precisará executar esta etapa se já estiver conectado ao controlador de domínio cuja função deseja
transferir.
3. Execute uma das seguintes ações:

Na caixa Inserir o nome de outro controlador de domínio , digite o nome do controlador de
domínio que será o novo proprietário da função e, em seguida, clique em OK.
-ou-
Na lista Ou selecione um controlador de domínio disponível , clique no controlador de domínio
que será o novo proprietário da função e, em seguida, clique em OK.
4. Na árvore de console, clique com o botão direito em Domínios e Relações de Confiança do Active
Director y e, em seguida, clique em Mestre de Operações.
5. Clique em Alterar.
Transferir as funções de Mestre RID, Emulador PDC e Mestre de Infraestrutura
1. Clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Usuários e
Computadores do Active Director y .
2. Clique com o botão direito do mouse em Usuários e Computadores do Active Director y e, em
seguida, clique em Conexão com o Controlador de Domínio .
NOTE
Você deve executar esta etapa se não estiver no controlador de domínio para o qual deseja transferir a função.
Você não precisará executar esta etapa se já estiver conectado ao controlador de domínio cuja função deseja
transferir.
3. Execute uma das seguintes ações:

Na caixa Inserir o nome de outro controlador de domínio , digite o nome do controlador de
domínio que será o novo proprietário da função e, em seguida, clique em OK.
-ou-
Na lista Ou selecione um controlador de domínio disponível , clique no controlador de domínio
que será o novo proprietário da função e, em seguida, clique em OK.
4. Na árvore de console, clique com o botão direito do mouse em Usuários e Computadores do Active
Director y , aponte para Todas as Tarefas e clique em Mestre de Operações.
5. Clique na guia apropriada para a função que você deseja transferir (RID, PDC ou Infraestrutura) e, em
seguida, clique em Alterar.
Funcionalidade de alteração de senha e resolução
de conflitos Windows
Este artigo descreve um novo valor do Registro que pode ser usado pelo administrador para controlar quando o
PDC é contatado, o que pode ajudar a reduzir os custos de comunicação entre sites.
IMPORTANT
como fazer backup, restaurar e editar o Registro, consulte Windows informações do Registro para usuários avançados.

Resumo
Por padrão, quando uma senha de conta de máquina ou senha de usuário é alterada ou um controlador de
domínio recebe uma solicitação de autenticação de cliente usando uma senha incorreta, o controlador de
domínio do Windows atuando como o proprietário da função FSMO (Operação Mestra Única Flexível) do
controlador de domínio principal (PDC) para o domínio Windows é contatado. Este artigo descreve um novo
valor do Registro que pode ser usado pelo administrador para controlar quando o PDC é contatado, o que pode
ajudar a reduzir os custos de comunicação entre sites.
Mais informações
WARNING
O seguinte valor do Registro pode ser modificado para controlar a Notificação de Senha e a Resolução de
Conflitos de Senha, conforme descrito abaixo:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Valor do Registro: AvoidPdcOnWan

Tipo de Registro: REG_DWORD
Dados do valor do Registro: 0 (ou valor não presente) ou 1
0 ou valor não presente = FALSE (para desabilitar)
1 = TRUE (para habilitar)
Padrão: (o valor não está presente)
Plataforma: somente Windows controladores de domínio 2000
Notificação de alteração de senha
Por padrão, as alterações de senha de conta de máquina e senha de usuário são enviadas imediatamente para o
FSMO pdc. Em um domínio de modo misto, se um controlador de domínio Windows NT 4.0 receber a
solicitação, o cliente será enviado para o proprietário da função FSMO do PDC (que deve ser um computador
baseado em Windows 2000) para fazer a alteração de senha. Essa alteração é replicada para outros
controladores de domínio Windows 2000 usando a replicação do Active Directory e para controladores de
domínio de nível inferior por meio do processo de replicação de nível inferior. Se um controlador de domínio do
Windows 2000 receber a solicitação (no modo misto ou nativo), a alteração de senha será feita localmente,
enviada imediatamente para o proprietário da função FSMO do PDC usando o serviço Netlogon na forma de
uma Chamada de Procedimento Remoto (RPC) e a alteração de senha será replicada para seus parceiros usando
o processo de replicação do Active Directory. Os controladores de domínio de nível inferior replicam a alteração
diretamente do proprietário da função FSMO do PDC.
Se o valor AvoidPdcOnWan estiver definido como TRUE e o FSMO do PDC estiver localizado em outro site, a
alteração de senha não será enviada imediatamente para o PDC. No entanto, ele é notificado sobre a alteração
por meio da replicação normal do Active Directory, que, por sua vez, a replica para controladores de domínio de
nível inferior (se o domínio estiver no modo misto). Se o FSMO pdc estiver no mesmo site, o valor
AvoidPdcOnWan será ignorado e a alteração de senha será imediatamente comunicada ao PDC.
Uma senha atualizada pode não ser enviada para o emulador PDC mesmo se AvoidPdcOnWan for FALSE ou não
for definida, se houver Problemas ao enviar a solicitação para o PDC, por exemplo, uma paralisação de rede.
Não há nenhum erro registrado neste Case. A atualização é então distribuída usando a replicação normal do AD.
Resolução de conflitos de senha
Por padrão, Windows controladores de domínio consultam o proprietário da função FSMO do PDC se um
cliente estiver tentando autenticar usando uma senha incorreta de acordo com seu banco de dados local. Se a
senha enviada pelo cliente for encontrada correta no PDC, o cliente terá acesso permitido e o controlador de
domínio replicará a alteração de senha.
O valor AvoidPdcOnWan pode ser usado pelos administradores para controlar quando os controladores de
domínio do Active Directory tentarem usar o proprietário da função FSMO PDC para resolver conflitos de
senha.
Se o valor AvoidPdcOnWan estiver definido como TRUE e o proprietário da função FSMO do PDC estiver
localizado em outro site, o controlador de domínio não tentará autenticar um cliente em relação às informações
de senha armazenadas no FSMO PDC. Observe, no entanto, que isso resulta em negar o acesso ao cliente.
Uma senha incorreta pode não ser tentada no emulador PDC, mesmo que AvoidPdcOnWan seja FALSE ou não
definido, se houver Problemas ao enviar a solicitação para o PDC, por exemplo, uma paralisação de rede. Não há
nenhum erro registrado neste Case. A tentativa de logon é negada nesse caso.
Processo de transferência e apreensão de Operação
Mestra Única Flexível
Este artigo descreve como as funções FSMO (Operações Mestras Individuais Flexíveis) são transferidas de um
controlador de domínio para outro e como essa função pode ser nomeada com força caso o controlador de
domínio que anteriormente tinha a função não está mais disponível.
Transferir a função de Operação Mestra Única Flexível

A transferência de uma função FSMO é a forma sugerida de mover uma função FSMO entre controladores de
domínio e pode ser iniciada pelo administrador ou rebaixando um controlador de domínio, mas não é iniciada
automaticamente pelo sistema operacional. Isso inclui um servidor em um estado de desligar. As funções FSMO
não são realocadas automaticamente durante o processo de desligamento— isso deve ser considerado ao
desligar um controlador de domínio que tenha uma função FSMO para manutenção, por exemplo.
Em uma transferência graciosa de uma função FSMO entre dois controladores de domínio, uma sincronização
dos dados mantidos pelo proprietário da função FSMO para o servidor que recebe a função FSMO é executada
antes de transferir a função para garantir que quaisquer alterações tenham sido registradas antes da alteração
da função.
Atributos operacionais são atributos que se traduzem em uma ação no servidor. Esse tipo de atributo não é
definido no esquema, mas é mantido pelo servidor e interceptado quando um cliente tenta ler ou gravar nele.
Quando o atributo é lido, geralmente o resultado é um resultado calculado do servidor. Quando o atributo é
gravado, uma ação pré-definida ocorre no controlador de domínio.
Os atributos operacionais a seguir são usados para transferir funções FSMO e estão localizados no RootDSE (ou
Entrada Específica do DSA Raiz-- a raiz da árvore do Active Directory para um determinado controlador de
domínio onde as informações específicas sobre o controlador de domínio são mantidas). Na operação de escrita
no atributo operacional apropriado no controlador de domínio para receber a função FSMO, o controlador de
domínio antigo é rebaixado e o novo controlador de domínio é promovido automaticamente. Nenhuma
intervenção manual é necessária. Os atributos operacionais que representam as funções FSMO são:
becomeRidMaster
becomeSchemaMaster
becomeDomainMaster
becomePDC
becomeInfrastructureMaster
Se o administrador especificar o servidor para receber a função FSMO usando uma ferramenta como Ntdsutil, a
troca da função FSMO será definida entre o proprietário atual e o controlador de domínio especificado pelo
administrador.
Quando um controlador de domínio é rebaixado, o atributo operacional "GiveAwayAllFsmoRoles" é gravado, o
que dispara o controlador de domínio para localizar outros controladores de domínio para descarregar
quaisquer funções que ele possui no momento. Windows 2000 determina quais funções o controlador de
domínio que está sendo rebaixado no momento possui e localiza um controlador de domínio adequado
seguindo estas regras:
1. Localize um servidor no mesmo site.
2. Localize um servidor ao qual haja conectividade RPC.
3. Use um servidor em um transporte assíncrono (como SMTP).
Em todas as transferências, se a função for uma função específica do domínio, a função poderá ser movida
somente para outro controlador de domínio no mesmo domínio. Caso contrário, qualquer controlador de
domínio na empresa é um candidato.
A adoção da função Operação Mestra Única Flexível

Os administradores devem ter extrema cautela ao aproveitar funções FSMO. Essa operação, na maioria dos
casos, deve ser executada somente se o proprietário da função FSMO original não for trazido de volta para o
ambiente.
Quando o administrador aproveita uma função FSMO de um computador existente, o atributo
"fsmoRoleOwner" é modificado no objeto que representa a raiz dos dados ignorando diretamente a
sincronização dos dados e a transferência graciosa da função. O atributo "fsmoRoleOwner" de cada um dos
objetos a seguir é gravado com o DN (Nome Diferenciado) do objeto Configurações NTDS (os dados no Active
Directory que define um computador como um controlador de domínio) do controlador de domínio que está
assumindo a propriedade dessa função. À medida que a replicação dessa alteração começa a se propagar,
outros controladores de domínio aprendem sobre a alteração de função FSMO.
FSMO (Controlador de Domínio Primário) FSMO: LDAP://DC=MICROSOFT,DC=COM RID Master FSMO:
LDAP://CN=Rid Manager$,CN=System,DC=MICROSOFT,DC=COM Schema Master FSMO:
LDAP://CN=Schema,CN=Configuration,DC=Microsoft,DC=Com Infrastructure Master FSMO:
LDAP://CN=Infrastructure,DC=Microsoft,DC=Com Domain Noming Master FSMO:
LDAP://CN=Partitions,CN=Configuration,DC=Microsoft, DC=Com Por exemplo, se Server1 for o PDC no
domínio Microsoft.com e estiver aposentado e o administrador não puder rebaixar o computador corretamente,
Server2 precisará ter a função FSMO do PDC. Após a apreensão da função, o valor CN=NTDS
Configurações,CN=SERVER2,CN=Servers,CN=Default-First-Site-
Name,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com está presente no seguinte objeto:
LDAP://DC=MICROSOFT,DC=COM
Referências
Para obter mais informações sobre funções FSMO em geral, consulte o seguinte artigo na Base de Dados de
197132 Windows FSMO do Active Directory 2000
Para obter mais informações sobre o posicionamento correto das funções FSMO, consulte o seguinte artigo na
Base de Dados de Conhecimento da Microsoft:
223346 posicionamento e otimização do FSMO Windows domínios 2000
A ID geral do evento do ADAM 1161 está registrada
em um servidor AD LDS
Este artigo descreve um problema no qual a ID de Evento geral do ADAM 1161 está registrada em um servidor
AD LDS.
Sintomas
O evento a seguir é registrado no log ADAM sempre que uma instância é reiniciada em um servidor AD LDS
que está executando Windows Server 2012 R2.
Motivo
A tabela de hierarquia do livro de endereços não existe no banco de dados do Active Directory Lightweight
Directory Services (AD LDS). Portanto, o evento é acionado durante a inicialização do serviço.
Esse evento pode ser ignorado com segurança em uma instância do AD LDS.
Ocultar ou exibir a classe de objeto InetOrgPerson
em usuários e computadores do Active Directory
Este artigo descreve como ocultar ou exibir a classe de objeto InetOrgPerson em Usuários e Computadores do
Active Directory.
Resumo
Em Windows versões do Server 2003 e posteriores do Active Directory, uma classe de objeto adicional é
introduzida. A classe de objeto InetOrgPerson. InetOrgPerson é definido no RFC 2798 e foi aceito como o
padrão de fato em outras implementações de diretório LDAP (Lightweight Directory Access Protocol).
O Active Directory foi modificado para dar suporte à classe InetOrgPerson e, com a adição da definição de
classe User, agora você pode criar InetOrgPerson como entidades de segurança no Active Directory. Isso
aprimora muito os recursos de um administrador para migrar contas de usuário de diretórios de terceiros para
o Active Directory.
No entanto, essa alteração pode apresentar problemas com programas de terceiros (programas de terceiros são
definidos como quaisquer programas que usam o Active Directory como um método de autenticação). A
Microsoft recomenda que você execute um teste completo de compatibilidade do programa antes de usar a
classe InetOrgPerson.
Por esse motivo, e também para evitar confusão, talvez você queira desabilitar as referências visíveis ao tipo de
objeto InetOrgPerson em Usuários e Computadores do Active Directory. Isso impedirá que os administradores
criarem usuários InetOrgPerson erroneamente em vez do tipo Usuário mais aceito.
Mais informações
Para habilitar ou desabilitar o tipo de usuário InetOrgPerson em Usuários e Computadores do Active Directory,
siga estas etapas:
1. Faça logoff no controlador de domínio do Windows Server 2003 que detém a função FSMO mestre de
esquema como uma conta com permissões de Administrador de Esquema.
2. Abra o snap-in Adsiedit Microsoft Management Console (MMC).
3. Na pasta Esquema, localize o objeto CN=InetOrgPersonClass. Clique com o botão direito do mouse neste
objeto e clique em Propriedades.
4. Localize o atributo defaultHidingValue e modifique seu valor com base no resultado esperado. Se você
definir esse valor como True, isso ocultará o tipo de objeto InetOrgPerson em Usuários e Computadores do
Active Directory. Se você definir esse valor como False, isso exibirá o tipo de objeto.
5. Depois de definir o valor, clique em Aplicar e clique em OK . Permita a latência de replicação padrão e
reinicie quaisquer instâncias de Usuários e Computadores do Active Directory. Se você definir o atributo
defaultHidingValue como False, poderá criar novos usuários do tipo InetOrgPerson. Com DefaultHidingValue
definido como True, essa funcionalidade é removida.
NOTE
Isso só é verdadeiro para Usuários e Computadores do Active Directory. Você ainda pode criar os tipos de usuário
InetOrgPerson por outros meios, independentemente dessa configuração.
Como configurar o log de eventos de diagnóstico
do Active Directory e LDS
Este artigo passo a passo descreve como configurar o log de eventos de diagnóstico do Active Directory nos
sistemas operacionais microsoft Windows Server.
Aplica-se a: Windows Server 2019, , Windows Server 2016, Windows Server 2012 R2, Windows 7 Service Pack
1
Resumo
O Active Directory registra eventos no log serviços de diretório ou instância LDS no Visualizador de Eventos.
Você pode usar as informações coletadas no log para ajudá-lo a diagnosticar e resolver possíveis problemas ou
monitorar a atividade de eventos relacionados ao Active Directory em seu servidor.
Por padrão, o Active Directory registra apenas eventos críticos e eventos de erro no log do Serviço de Diretório.
Para configurar o Active Directory para registrar outros eventos, você deve aumentar o nível de registro em log
editando o Registro.
Log de eventos de diagnóstico do Active Directory

As entradas do Registro que gerenciam o log de diagnóstico para o Active Directory são armazenadas nas
seguintes sub-chaves do Registro.
Controlador de domínio: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics
Cada um dos valores REG_DWORD abaixo da sub-chave representa um tipo de evento que pode Diagnostics
ser gravado no log de eventos:
1. KCC (Verificação de Consistência de Conhecimento)
2. Eventos de segurança
3. Eventos da interface do ExDS
4. Eventos de interface MAPI
5. Eventos de replicação
6. Coleta de lixo
7. Configuração Interna
8. Acesso ao Diretório
9. Processamento interno
10. Contadores de desempenho
11. Inicialização/término
12. Controle de Serviço
13. Resolução de nomes
14. Backup
15. Engenharia de Campo
16. Eventos de interface LDAP
17. Configurar
18. Catálogo Global
19. Mensagens entre sites
20. Grupo Caching
21. Linked-Value Replicação
22. Cliente DS RPC
23. Servidor RPC DS
24. Esquema DS
25. Mecanismo de transformação
26. Controle de acesso baseado em declarações
Níveis de registro
Cada entrada pode ser atribuída a um valor de 0 a 5, e esse valor determina o nível de detalhes dos eventos
registrados. Os níveis de registro em log são descritos como:
0 (Nenhum): Somente eventos críticos e eventos de erro são registrados nesse nível. Essa é a configuração
padrão para todas as entradas e deve ser modificada somente se ocorrer um problema que você deseja
investigar.
1 (Mínimo): Eventos de alto nível são registrados no log de eventos nesta configuração. Os eventos podem
incluir uma mensagem para cada tarefa principal executada pelo serviço. Use essa configuração para iniciar
uma investigação quando você não sabe o local do problema.
2 (Básico)
3 (Extensivo): esse nível registra informações mais detalhadas do que os níveis inferiores, como etapas
executadas para concluir uma tarefa. Use essa configuração quando tiver restringido o problema a um
serviço ou a um grupo de categorias.
4 (Detalhado)
5 (Interno): esse nível registra todos os eventos, incluindo cadeias de caracteres de depuração e alterações de
configuração. Um log completo do serviço é gravado. Use essa configuração quando tiver rastreado o
problema para uma categoria específica de um pequeno conjunto de categorias.
Como configurar o log de eventos de diagnóstico do Active Directory

Para configurar o log de eventos de diagnóstico do Active Directory, siga estas etapas.
IMPORTANT
1. Selecione Iniciar e Executar .

2. Na caixa Abrir, digite regedit e selecione OK .
3. Localize e selecione as seguintes chaves do Registro.
Controlador de domínio: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics
Cada entrada exibida no painel direito da janela Editor do Registro representa um tipo de evento que o
Active Directory pode registrar. Todas as entradas são definidas como o valor padrão de 0 (Nenhum).
4. Configurar o log de eventos para o componente apropriado:
a. No painel direito do Editor do Registro, clique duas vezes na entrada que representa o tipo de evento
para o qual você deseja registrar. Por exemplo, Eventos de Segurança.
b. Digite o nível de registro em log que você deseja (por exemplo, 2) na caixa Dados Valor e selecione
OK .
5. Repita a etapa 4 para cada componente que você deseja registrar.
6. No menu Registro, selecione Sair para sair do Editor do Registro.
NOTE
Os níveis de registro em log devem ser definidos como o valor padrão de 0 (Nenhum), a menos que você
esteja investigando um problema.
Quando você aumenta o nível de registro em log, os detalhes de cada mensagem e o número de mensagens
que são gravados no log de eventos também aumentam. Um nível de diagnóstico 3 ou superior não é
recomendado, pois o registro em log nesses níveis exige mais recursos do sistema e pode degradar o
desempenho do seu servidor. Certifique-se de redefinir as entradas para 0 depois de concluir a investigação do
problema.
Operações LDAP anônimas para o Active Directory
são desabilitadas em controladores de domínio
Este artigo fornece algumas informações sobre o problema de que as operações LDAP anônimas para o Active
Directory estão desabilitadas em controladores de domínio.
Resumo
Por padrão, as operações de LDAP (Protocolo LDAP) anônimas para o Active Directory, além de pesquisas e
vinculações rootDSE, não são permitidas no Microsoft Windows Server 2003.
Mais informações
O Active Directory em versões anteriores Windows domínios baseados na Microsoft aceita solicitações
anônimas. Nessas versões, um resultado bem-sucedido depende de ter permissões de usuário corretas no
Active Directory.
Com Windows Server 2003, somente usuários autenticados podem iniciar uma solicitação LDAP em relação
Windows controladores de domínio baseados no Server 2003. Você pode substituir esse novo comportamento
padrão alterando o sétimo caractere do atributo dsHeuristics no caminho DN da seguinte forma:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, Domínio raiz na floresta
A configuração DsHeuristics se aplica Windows controladores de domínio baseados no Server 2003 na mesma
floresta. O valor é percebido pelos controladores de domínio na replicação do Active Directory sem reiniciar
Windows. Os controladores de domínio baseados no Microsoft Windows 2000 não suportam essa configuração
e não restringem operações anônimas se eles estão presentes em uma floresta baseada no Windows Server
2003.
Os valores válidos para o atributo dsHeuristic são 0 e 0000002. Por padrão, o atributo DsHeuristics não existe,
mas seu padrão interno é 0. Se você definir o sétimo caractere como 2 (0000002), os clientes anônimos
poderão executar qualquer operação permitida pela lista de controles de acesso (ACL), como podem Windows
controladores de domínio baseados em 2000.
NOTE
Se o atributo já estiver definido, não modifique nenhum caractere na cadeia de caracteres DsHeuristics diferente do
sétimo caractere. Se o valor não estiver definido, certifique-se de fornecer os zeros à esquerda até o sétimo caractere.
Além disso, você pode usar Adsiedit.msc para fazer a alteração no atributo.
A cadeia de caracteres dsHeuristics em um controlador de domínio na floresta .com Forest_Name é exibida da

seguinte forma quando você a visualiza usando Ldp.exe. Somente atributos selecionados são mostrados.
>> Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=

<forest_name>,DC=com
2> objectClass: top; nTDSService;
1> cn: Serviço de Diretório;
1> dSHeuristics: 0000002; <-2 no sétimo caractere = anônimo
access allowed. Observe os zeros à esquerda.
1> nome: Serviço de Diretório;
A inicialização do serviço LDS falha após alterar
manualmente o msDS-Behavior-Version no
Windows Server 2019 e 2016
Este artigo fornece uma solução para um erro que falha na inicialização do serviço LDS depois que você altera
manualmente o msDS-Behavior-Version.
Sintoma
Na Edição ADSI, você altera o atributo msDS-Behavior-Version do contêiner Partitions para 7, a fim de elevar
o nível funcional da instância dos Serviços de Diretório Leve (LDS) do Active Directory (AD) para WIN2016.
Depois de reiniciar o servidor ou interromper o serviço LDS, o serviço LDS não pode ser iniciado. Quando você
tenta iniciar manualmente o serviço, os seguintes erros de evento são registrados:
Nome do log: ADAM (LDS)

Fonte: ADAM [LDS] Geral
ID do Evento: 1168
Categoria de Tarefas: Processamento Interno
Nível: Erro
Palavras-chave: Clássico
Usuário: LOGON ANÔNIMO
Computador: LDS.CONTOSO.COM
Descrição:
Erro interno: ocorreu um erro dos Serviços de Diretório Leve do Active Directory.
Dados adicionais
Valor de erro (decimal):
-1601
Valor de erro (hex):
fffff9bf
ID interna:
20801a4
Além disso, a seguinte mensagem de erro é exibida:
Windows não foi possível iniciar o <ServiceName> Serviço LDS no Computador Local.
Erro 0xc0000025: 0xc0000025
Motivo
Não há suporte para definir manualmente o valor do atributo msDS-Behavior-Version como 7 em instâncias
LDS.
Resolução
Se a instância LDS contiver apenas um servidor, você deverá restaurar o servidor de um backup para resolver o
problema.
Se houver vários servidores de réplica nessa instância (por exemplo, LDSServer1 e LDSServer2) e se um
servidor ainda não tiver sido reiniciado, siga estas etapas:
1. Se o servidor LDS no qual o serviço que não inicia (por exemplo, LDSServer1) mantém as Funções LDS
(por exemplo, Esquema e Nomeação de Domínio FSMO), aproveite as funções executando ntdsutil:
C:\Windows\system32> ntdsutil
ntdsutil: roles
manutenção do fsmo: conexões
Conexões de servidor: conecte-se ao servidor LDSSer ver2:50000( 50000 é o número de porta
nesse exemplo)
Associação a LDSServer2:50000 ...
Conectado ao LDSServer2:50000 usando credenciais de usuário conectado localmente.
conexões de servidor: q
manutenção do fsmo: mestre de esquema de captura
2. Conexão para a partição de configuração do servidor que ainda executa a instância LDS (por exemplo,
LDSServer2) e, em seguida, reverte a versão do nível de funcionalidade revertendo o valor do atributo
msDS-Behavior-Version.
3. Execute uma limpeza de metadados do servidor LDS (LDSServer1) usando dsmgmt :
C:\Windows\system32> dsmgmt
dsmgmt: limpeza de metadados
limpeza de metadados: conexões
Conexões de servidor: conecte-se ao servidor LDSSer ver2:50000 ( 50000 é o número da porta
nesse exemplo)
Associação a LDSServer2:50000 ... Conectado ao LDSServer2:50000 usando credenciais de usuário
conectado localmente. conexões de servidor: q
limpeza de metadados: selecione destino da operação
select operation target: list noming contexts
Encontrado 3 Contextos de Nomenis 0 - CN=Configuration,CN={6B7FEBF4-017B-4366-A8B8-
3E5467888DEF} 1 - CN=Esquema,CN=Configuration,CN={6B7FEBF4-017B-4366-A8B8-
3E5467888DEF} 2 - DC=LDS,DC=COM selecione destino de operação: selecionar contexto de
nomen por nomen
Nenhum site atual Nenhum domínio atual Nenhum contexto de nomenmentura do servidor atual -
DC=LDS,DC=COM destino de operação de seleção: sites de lista
Encontrado 4 sites(s) 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={6B7FEBF4-
017B-4366-A8B8-3E5467888DEF} 1 - CN=Site1,CN=Sites,CN=Configuration,CN={6B7FEBF4-017B-
4366-A8B8-3E5467888DEF} 2 - CN=Site2 CN=Sites,CN=Configuration,CN={6B7FEBF4-017B-4366-
A8B8-3E5467888DEF} 3 - CN=Site3,CN=Sites,CN=Configuration,CN={6B7FEBF4-017B-4366-A8B8-
3E5467888DEF} selecione destino de operação: selecione site3 (onde 3 é o número do site no
qual o ser vidor está localizado, saída correspondente da etapa anterior)
Site - CN=Site3,CN=Sites,CN=Configuration,CN={6B7FEBF4-017B-4366-A8B8-3E5467888DEF}
Nenhum domínio atual Sem contexto de nomenmentura do servidor atual - DC=LDS,DC=COM
selecione destino de operação: servidores de lista no Site
Encontrado 1 servidor(s) 0 -
CN=LDSServer1,CN=Servers,CN=Site3,CN=Sites,CN=Configuration,CN={6B7FEBF4-017B-4366-
A8B8-3E5467888DEF} selecione destino de operação: selecione Ser ver0 (onde 0 é o número do
servidor que você deseja remover, correspondendo à saída da etapa anterior)
Site - CN=Site3,CN=Sites,CN=Configuration,CN={6B7FEBF4-017B-4366-A8B8-3E5467888DEF}
Nenhum servidor de domínio atual -
CN=LDSServer1,CN=Servers,CN=Site3,CN=Sites,CN=Configuration,CN={6B7FEBF4-017B-4366-
A8B8-3E Objeto DSA} 546788DEF} - CN=NTDS
Configurações,CN=LDSServer1,CN=Servers,CN=Site3,CN=Sites,CN=Configuration,CN={6B7FEBF4-
017B-4366-A8B8-3E5467888DEF} nome de host DNS - LDSServer1.CONTOSO.COM contexto de
nomen por nome - DC=LDS,DC=COM operação de seleção target: q
limpeza de metadados: remover ser vidor selecionado
4. Faça logoff no LDSServer1 e desinstale a instância:
5. Execute o Active Directory Lightweight Directory Services Setup (C:\Windows\ADAM\adaminstall.exe) em

LDSServer1 para instalar uma réplica da instância existente do LDSServer2.
Vários eventos "ID do Evento 1216" no Log de
Eventos de Serviços de Diretório
Este artigo fornece uma resolução para o problema de que vários eventos "ID do Evento 1216" ocorrem no Log
de Eventos de Serviços de Diretório.
NOTE
como fazer backup, restaurar e editar o Registro, clique no seguinte número de artigo para exibir o artigo na Base de
Dados de Conhecimento da Microsoft:
256986 Descrição do Registro microsoft Windows
Sintomas
Você pode encontrar várias instâncias da seguinte entrada no log de eventos serviços de diretório:
Tipo de Evento:Aviso
Origem do evento:NTDS LDAP
Categoria do Evento:Interface LDAP
ID do Evento:1216
Data:<DateTime>
Hora:<DateTime>
Usuário: N/A
Computador:Computador
Descrição:
O servidor LDAP fechou um soquete para um cliente devido a uma condição de erro, 1234. (ID interna
c01028c::4294967295).
NOTE
O valor de ID interna varia de acordo com cada instância.
Motivo
Essa mensagem de log de eventos ocorre quando um cliente LDAP (Lightweight Directory Access Protocol)
envia uma solicitação ao computador usando o Protocolo de Datagrama do Usuário (UDP), mas não mantém
seu soquete aberto para ouvir a resposta do servidor. Quando o servidor tenta enviar a resposta de volta, a
mensagem de erro é registrada no log de eventos. É um erro inofensivo que pode ocorrer com frequência em
condições operacionais normais. Ele só ocorrerá se o nível de log de diagnóstico for aumentado modificando o
nível de registro em log LDAP para 2 ou mais no Registro.
Solução
WARNING
Para resolver esse problema:

1. Inicie o Editor de Registro (Regedt32.exe).
2. Localize o valor eventos de interface LDAP na seguinte chave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
3. De definir o valor de dados do valor Eventos da Interface LDAP como uma configuração mais baixa e clique
em OK.
4. Sair do Editor do Registro.
O valor padrão para esse valor do Registro é 0.
Problemas que podem ocorrer com muitos
Controladores de Domínio em zonas DNS
integradas do Active Directory

Aplica-se a: Versões com suporte do Windows Server
Sintomas
Registros DNS (Sistema de Nomes de Domínio) de SRV e do localizador de domínio (DC) Registros A
(registrados pelo Netlogon) e registros NS (adicionados pelos servidores DNS autoritativos) em uma zona DNS
integrada ao Active Directory para alguns DCs podem não funcionar em um domínio que contém um grande
número de DCs (geralmente mais de 1200). Se a zona DNS integrada ao Active Directory tiver o mesmo nome
que o nome de domínio do Active Directory, os problemas com o registro de registros A e NS na raiz da zona
parecem ocorrer em um domínio com mais de 400 DCs. Além disso, uma ou mais das seguintes mensagens de
erro podem ser registradas no log de eventos:
Event Type: Error

Event Source: DNS
Event Category: None
Event ID: 4011
Description: The DNS server was unable to add or write an update of domain name xyz in zone xyz.example.com
to the Active Directory. Check that the Active Directory is functioning properly and add or update this
domain name using the DNS console. The event data contains the error.
Data: 0000: 2a 23 00 00 *#..
Event Type: Error

Event Source: DNS
Event Category: None
Event ID: 4015
Description: The DNS server has encountered a critical error from the Active Directory. Check that the
Active Directory is functioning properly. The event data contains the error.
Data: 0000: 0b 00 00 00 ....
The final status code from event 4015, 0x00000b, maps to error "LDAP_ADMIN_LIMIT_EXCEEDED Administration
limit on the server has exceeded."
Event Type: Warning

Event Source: NTDS Replication
Event Category: Replication
Event ID: 1093
Description: The directory replication agent (DRA) could not apply changes to object
DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System,DC=xyz,DC=example, DC=com (GUID <GUID>) because the
incoming changes cause the object to exceed the database's record size limit. The incoming change to
attribute 9017e (dnsRecord) will be backed out in an attempt to make the update fit. In addition to the
change to the attribute not being applied locally, the current value of the attribute on this system will be
sent out to all other systems to make that the definitive version. This has the effect of nullifying the
change to the rest of the enterprise.
The reversal may be recognized as follows: version 5474, time of change 2000-06-28 19:33.24 and USN of
2873104.
Event Type: Information
Event Source: NTDS Replication
Event Category: Replication
Event ID: 1101
Description: The directory replication agent (DRA) was able to successfully apply the changes to object
DC=@,DC=xyz.example.com,CN=MicrosoftDNS,CN=System, DC=xyz,DC=example,DC=com (GUID <GUID>) after backing out
one or more of the attribute changes. Preceding messages will indicate which attributes were reversed.
Please note that this will have the effect of nullifying the change where it was made, causing the original
update not to take effect. The originator should be notified that their change was not accepted by the
system.
Motivo
Esse problema ocorre porque o Active Directory tem uma limitação de aproximadamente 1200 valores que
podem ser associados a um único objeto. Em uma zona DNS integrada ao Active Directory, os nomes DNS são
representados por objetos dnsNode e os registros DNS são armazenados como valores no atributo dnsRecord
de vários valores em objetos dnsNode, fazendo com que as mensagens de erro listadas anteriormente neste
artigo ocorram.
Solução
Você pode usar um dos métodos a seguir para resolver esse problema.
Método 1
Se você quiser especificar uma lista de servidores DNS que possam adicionar registros NS correspondentes a si
mesmos a uma zona especificada, escolha um servidor DNS e execute Dnscmd.exe com a opção
/AllowNSRecordsAutoCreation:
Para definir uma lista de endereços TCP/IP de servidores DNS que tenham permissão para criar registros
NS automaticamente para uma zona, use o
dnscmd servername /config zonename /AllowNSRecordsAutoCreation IPList comando. Por exemplo:
Dnscmd NS1 /config zonename.com /AllowNSRecordsAutoCreation 10.1.1.1 10.5.4.2
Para limpar a lista de endereços TCP/IP de servidores DNS que têm permissão para criar registros NS
automaticamente para uma zona e retornar a zona para o estado padrão quando cada servidor DNS
principal adiciona automaticamente a uma zona um registro NS correspondente a ela, use o
dnscmd servername /config zonename /AllowNSRecordsAutoCreation comando. Por exemplo:
Dnscmd NS1 /config zonename.com /AllowNSRecordsAutoCreation
Para consultar a lista de endereços TCP/IP de servidores DNS que tenham permissão para criar registros
NS automaticamente para uma zona, use o
dnscmd servername /zoneinfo zonename /AllowNSRecordsAutoCreation comando. Por exemplo:
Dnscmd NS1 /zoneinfo zonename.com /AllowNSRecordsAutoCreation
NOTE
Execute esse comando em apenas um servidor DNS. A replicação do Active Directory propaga as alterações em todos os
servidores DNS que estão sendo executados em DCs no mesmo domínio.
Em um ambiente em que a maioria dos DCs DNS para um domínio estão localizados em filiais e alguns estão
localizados em um local central, talvez você queira usar o comando descrito anteriormente neste artigo para
definir a LISTA IP para incluir apenas os DCs DNS localizados Dnscmd centralmente. Ao fazer isso, apenas os DCs
DNS localizados centralmente adicionam seus respectivos registros NS à zona de domínio do Active Directory.
Método 2
IMPORTANT
Se você quiser escolher qual servidor DNS não adiciona registros NS correspondentes a si mesmos a qualquer
zona DNS integrada ao Active Directory, use o Editor de Registro (Regedt32.exe) para configurar o seguinte
valor de Registro em cada servidor DNS afetado:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Valor do Registro: DisableNSRecordsAutoCreation

Tipo de dados: REG_DWORD
Intervalo de dados: 0x0 | 0x1
Valor padrão: 0x0
Esse valor afeta todas as zonas DNS integradas ao Active Directory. Os valores têm os seguintes significados:
VA LO R SIGN IF IC A DO
0 O servidor DNS cria automaticamente registros NS para

todas as zonas DNS integradas ao Active Directory, a menos
que qualquer zona, hospedada pelo servidor, contenha o
atributo AllowNSRecordsAutoCreation (descrito
anteriormente neste artigo) que não inclua o servidor. Nessa
situação, o servidor usa a configuração
AllowNSRecordsAutoCreation.
1 O servidor DNS não cria registros NS automaticamente para

todas as zonas DNS integradas ao Active Directory,
independentemente da configuração
AllowNSRecordsAutoCreation nas zonas DNS integradas ao
Active Directory.
NOTE
Para aplicar as alterações a esse valor, você deve reiniciar o serviço de Servidor DNS.
Se você quiser impedir que determinados servidores DNS adicionem seus registros NS correspondentes às
zonas DNS integradas ao Active Directory que eles hospedam, você pode usar o valor do Registro
DisableNSRecordsAutoCreation descrito anteriormente neste artigo.
NOTE
Se o valor do Registro DisableNSRecordsAutoCreation estiver definido como 0x1, nenhuma das zonas DNS integradas ao
Active Directory hospedadas por esse servidor DNS conterá seus registros NS. Portanto, se esse servidor deve adicionar
seu próprio registro NS a pelo menos uma zona DNS integrada ao Active Directory hospedada, não desmarco o valor do
Registro como 0x1.
Correção de Netlogon
IMPORTANT
A parte Netlogon desse hotfix oferece aos administradores um controle maior, conforme descrito anteriormente
neste artigo. Você deve aplicar a correção a cada DC. Além disso, para impedir que um DC tentar atualizações
dinâmicas de determinados registros DNS que por padrão são atualizados dinamicamente pelo Netlogon, use o
Regedt32.exe para configurar o seguinte valor do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Valor do Registro: DnsAvoidRegisterRecords

Tipo de dados: REG_MULTI_SZ
Nesse valor, especifique a lista de mnemônicos correspondentes aos registros DNS que não devem ser
registrados por esse DC.
NOTE
De definir o valor para a lista dos mnemônicos delimitados por entrada especificados na tabela a seguir.
A lista de mnemonics inclui:
M N EM O N IC T IP O REGIST RO DN S
LdapIpAddress A <DnsDomainName>
Ldap SRV _ldap._tcp.<DnsDomainName>
LdapAtSite SRV _ldap._tcp. <SiteName> . _sites.

<DnsDomainName>
Pdc SRV _ldap._tcp.pdc._msdcs.

<DnsDomainName>
Gc SRV _ldap._tcp.gc._msdcs.
<DnsForestName>
GcAtSite SRV _ldap._tcp. <SiteName> .

_sites.gc._msdcs.<DnsForestName>
DcByGuid SRV _ldap._tcp. <DomainGuid> .

domains._msdcs.<DnsForestName>
GcIpAddress A gc._msdcs.<DnsForestName>
DsaCname CNAME <DsaGuid>._msdcs.

<DnsForestName>
Kdc SRV _kerberos._tcp.dc._msdcs.

<DnsDomainName>
KdcAtSite SRV _kerberos._tcp. <SiteName>

_sites.dc._msdcs.<DnsDomainName>
Dc SRV _ldap._tcp.dc._msdcs.
<DnsDomainName>
DcAtSite SRV _ldap._tcp. <SiteName> .

_sites.dc._msdcs.<DnsDomainName>
Rfc1510Kdc SRV _kerberos._tcp.<DnsDomainName>
Rfc1510KdcAtSite SRV _kerberos._tcp. <SiteName> _sites.

<DnsDomainName>
GenericGc SRV _gc._tcp.<DnsForestName>
GenericGcAtSite SRV _gc._tcp. <SiteName> . _sites.

<DnsForestName>
Rfc1510UdpKdc SRV _kerberos._udp.<DnsDomainName>
Rfc1510Kpwd SRV _kpasswd._tcp.<DnsDomainName>
Rfc1510UdpKpwd SRV _kpasswd._udp.<DnsDomainName>
NOTE
Não é necessário reiniciar o serviço Netlogon. Se o valor do Registro DnsAvoidRegisterRecords for criado ou modificado
enquanto o serviço Netlogon for interrompido ou dentro dos primeiros 15 minutos após o Netlogon ser iniciado, as
atualizações DNS apropriadas ocorrerão com um atraso curto (no entanto, o atraso não será superior a 15 minutos após
o início do Netlogon).
Registros DNS de registros A executados pelo Netlogon também podem ser modificados usando o valor do
Registro RegisterDnsARecords. Para obter mais informações, consulte How to enable or disable DNS updates in
Windows.
Esteja ciente de que os valores de registro DnsAvoidRegisterRecords e RegisterDnsARecords precisam permitir o
registro do host (A) :
RegisterDnsARecords = 0x1
Se você listar LdapIpAddress e GcIpAddress nas configurações de valor do Registro
DnsAvoidRegisterRecords, os registros A não serão registrados.
RegisterDnsARecords = 0x0
Não importa se você lista LdapIpAddress e GcIpAddress nas configurações de valor do Registro
DnsAvoidRegisterRecords, os registros A não são registrados.
Para evitar que o problema descrito anteriormente neste artigo ocorra em um ambiente no qual um conjunto
de servidores de DCs e/ou catálogo global (GC) está localizado em um local central e um grande número de
servidores DCs e/ou GC estão localizados em filiais, o administrador pode desabilitar o registro de alguns dos
registros DNS pelo Netlogon nos DCs/GCs nas filiais. Nessa situação, a lista de mnemonics que não devem ser
registrados inclui:
Registros específicos do DC:
LdapIpAddress A <DnsDomainName>
Ldap SRV _ldap._tcp.<DnsDomainName>
DcByGuid SRV _ldap._tcp. <DomainGuid> .

domains._msdcs.<DnsForestName>
Kdc SRV _kerberos._tcp.dc._msdcs.

<DnsDomainName>
Dc SRV _ldap._tcp.dc._msdcs.
<DnsDomainName>
Rfc1510Kdc SRV _kerberos._tcp.<DnsDomainName>
Rfc1510UdpKdc SRV _kerberos._udp.<DnsDomainName>
Rfc1510Kpwd SRV _kpasswd._tcp.<DnsDomainName>
Rfc1510UdpKpwd SRV _kpasswd._udp.<DnsDomainName>
Registros específicos do GC:
Gc SRV _ldap._tcp.gc._msdcs.
<DnsForestName>
GcIpAddress A gc._msdcs.<DnsForestName>
GenericGc SRV _gc._tcp.<DnsForestName>
NOTE
Essas listas não incluem os registros específicos do site. Portanto, os servidores DCs e GC em filiais estão localizados por
registros específicos do site que geralmente são usados por um localizador DC. Se um programa procurar um DC/GC
usando registros genéricos (não específicos do site), como qualquer um dos registros nas listas listadas anteriormente
neste artigo, ele encontrará um DC/GC no local central.
Um administrador também pode optar por limitar o número de registros localizadores DC, como SRV e A
registrados pelo Netlogon para o mesmo nome DNS genérico (_ldap._tcp.dc._msdcs). ), mesmo em um cenário
com menos de 1200 DCs no mesmo domínio, para reduzir o tamanho das respostas DNS às consultas para
esses <DomainName> registros.
Status
Informações adicionais
Cada servidor DNS autoritativo para uma zona DNS integrada ao Active Directory adiciona um registro NS. Por
padrão, cada DC em um domínio registra um registro SRV para um conjunto de nomes não específicos do site,
como "_ldap._tcp". <domain_name> e Um registro(s) que mapeia o(s) nome de domínio DNS do Active
Directory para o(es) endereço(es) TCP/IP do DC. Quando um servidor DNS tenta gravar um registro após
aproximadamente 1200 registros com o mesmo nome compartilhado, a LSA (Autoridade de Segurança Local) é
executado a 100% de uso da CPU por aproximadamente 10 segundos e o registro não é bem-sucedido.
Netlogon recupera esse registro a cada hora; o pico de uso 100% da CPU reaparece pelo menos uma vez por
hora e as tentativas de registros não são bem-sucedidas.
Solucionar um OBJ_CLASS_VIOLATION erro no
Adamsync
Este artigo descreve como solucionar um erro OBJ_CLASS_VIOLATION que ocorre quando você usa a
ferramenta Adamsync no Windows Server.
Resumo
Esse erro ocorre devido às diferenças de definição de classe entre o serviço de diretório do Active Directory e a
instância ADAM. Para solucionar esse problema, siga as etapas descritas nas seguintes seções:
Determinar o atributo e a classe do objeto
Etapas para resolver o problema quando os atributos pertencem à classe TOP
Etapas para resolver o problema quando os atributos não pertencem à classe TOP
Sintomas
Você tenta usar a ferramenta Sincronizador de Aplicativos do Active Directory (Adamsync.exe) para sincronizar
os objetos do Active Directory com uma instância ADAM em um servidor Windows. No entanto, uma
mensagem de erro semelhante à seguinte é registrada no arquivo de log do Adamsync:
Entrada de processamento: Página X, Quadro X, Entrada X, Contagem X, entrada de origem de

processamento do USN X
<guid=f9023a23e3a06d408f07a0d51c301f38> Entrada de processamento no escopo
f9023a23e3a06d408f07a0d51c301f38. Adicionar objeto target
CN= TestGroup ,OU= Accounts ,dc= domain , dc= com . Adicionando atributos: sourceobjectguid,
objectClass, instanceType, displayName, info, adminDescription, displayNamePrintable, userAccountControl,
codePage, countryCode, logonHours, primaryGroupID, comment, accountExpires, sAMAccountName,
desktopProfile, legacyExchangeDN, userPrincipalName
Erro Ldap. ldap_add_sW: Violação de classe de objeto. Informações estendidas: 0000207D: UpdErr: DSID-
0315119D, problema 6002 (OBJ_CLASS_VIOLATION), dados -2054643804
Motivo
Esse problema ocorre devido às diferenças de definição de classe entre o Active Directory e o ADAM. Essa
diferença aparece quando você tenta modificar um objeto para incluir um atributo inválido para sua classe. Por
exemplo, o atributo não é definido no esquema ADAM, ou o atributo é definido, mas o atributo não está
presente na lista de atributos Obrigatórios ou Opcionais para a classe específica. Normalmente, a segunda
situação é a causa mais frequente desse problema.
A definição de classe do objeto que deve ser sincronizado contém um ou mais atributos no Active Directory que
não estão disponíveis no ADAM. A seção "Adicionando atributos" da mensagem de erro mencionada na seção
"Sintomas" exibe os atributos que você tenta adicionar. Esses atributos são definidos na lista de atributos
Opcionais ou Obrigatórios para a classe do objeto que está sendo sincronizado.
Por exemplo, na mensagem de erro mencionada na seção "Sintomas", o objeto de referência é CN=TestGroup.
Ao exibir o objeto CN=TestGroup no Active Directory e verificar a lista de atributos dessa classe e de todas as
classes pai, você verá que um ou mais atributos nesta lista não estão na lista de atributos Obrigatórios ou
Opcionais habilitados para essa classe no ADAM.
NOTE
Isso inclui listas de atributos de todas as classes pai.
Solução
Para resolver esse problema, siga estas etapas.
Determinar os atributos e a classe do objeto
1. Verifique a lista de atributos que estão sendo adicionados ao objeto que falhou. Você pode determinar o
objeto que falhou exibindo a mensagem de erro no log de sincronização. O objeto com falha é sempre o
último objeto indicado no final do log de sincronização exatamente antes da mensagem de erro. Por
exemplo, o objeto CN=TestGroup falhou na mensagem de erro mencionada na seção "Sintomas".
2. Determine se os atributos DisplayNamePrintable, Flags ou ExtensionName estão incluídos na mensagem de
erro. Se um desses atributos estiver incluído na mensagem de erro, consulte a seção "Etapas para resolver o
problema quando os atributos pertencem à classe TOP". Se nenhum atributos for incluído na mensagem de
erro, consulte a seção "Etapas para resolver o problema quando os atributos não pertencem à classe TOP".
Etapas para resolver o problema quando os atributos pertencem à classe TOP
Você encontrará que a classe TOP no esquema do Active Directory contém o atributo DisplayNamePrintable,
Flags ou ExtensionName. No entanto, esses atributos não estão contidos na classe TOP no ADAM. No entanto,
você não pode alterar a classe TOP no ADAM. Portanto, use um dos seguintes métodos para resolver o
problema:
Exclua esses atributos usando <exclude> a seção no arquivo de configuração XML.
Usando o esquema MMC, adicione manualmente esses atributos à lista de atributos Opcionais para a classe
relevante no esquema ADAM. Por exemplo, na mensagem de erro mencionada na seção "Sintomas", o objeto
com falha é da classe Group. Portanto, você deve adicionar esses atributos à lista Atributos opcionais para a
classe Group no ADAM.
Etapas para resolver o problema quando os atributos não pertencem à classe TOP
1. No ADSchemaAnalyzer, no menu Opções de Ferramentas, clique em Atualizar com referências a
elementos novos e presentes na guia geração \ LDIF.
2. Use o menu Arquivo para carregar o Active Directory como o esquema de destino e o ADAM como o
esquema base. Aguarde até que a ferramenta termine de comparar os esquemas.
3. No menu Esquema, clique em Marcar todos os elementos incluídos .
4. No menu Arquivo, clique em Criar arquivo LDIF para criar um arquivo LDF que contém as alterações.
NOTE
Se você importar esse arquivo LDF diretamente para o ADAM, os atributos necessários provavelmente não serão
adicionados ou modificados corretamente.
5. Nenhuma mensagem de erro é exibida. Consulte a seção "Por que você não pode importar o arquivo LDF
diretamente para o ADAM" para uma explicação do motivo pelo qual isso ocorre. Nesse caso, vá para a
etapa 5 sem importar o arquivo LDF.
6. Examine o arquivo LDF criado na etapa 4. Especificamente, veja a classe que está causando o problema.
Por exemplo, exibir a classe Group. A seção desta classe conterá a lista de atributos presentes na lista de
atributos Obrigatórios ou Opcionais para essa classe no Active Directory, mas que estão ausentes no
ADAM.
7. Encontre o atributo problem no arquivo LDF. Para fazer isso, examine a seção "#attributes" no arquivo
LDF. Os atributos que não são importados permanecem nesta seção. Normalmente, o atributo problem é
o único atributo que você encontra na seção "#attributes". Se você encontrar o atributo problem, vá para
a etapa 8. Se você não encontrar o atributo problem, vá para a etapa 7.
8. Se o atributo problem não for óbvio da seção "#attributes" no arquivo LDF, siga estas etapas para
encontrar o atributo problem:
a. No momento, todas as modificações em uma classe estão em uma seção no arquivo LDF. Esta é a
seção "#Updating Elementos Presentes". Nesta seção, localize a seção que atualiza a classe que
tem o problema. Por exemplo, se a classe Group for o problema, você encontrará uma seção
semelhante à seguinte:
# Elemento Update: group

dn: cn=Group,cn=Schema,cn=Configuration,dc=X
changetype: modify
add:mayContain
# mayContain: adminCount
mayContain: 1.2.840.113556.1.4.150
# mayContain: controlAccessRights
mayContain: 1.2.840.113556.1.4.200
# mayContain: groupAttributes
mayContain: 1.2.840.113556.1.4.152
# mayContain: groupMembershipSAM
mayContain: 1.2.840.113556.1.4.166
-
Observação Algumas outras entradas que podem estar localizadas aqui foram excluídas deste
exemplo.
dn:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
b. Altere as entradas que você localizou na etapa 4a dividindo as entradas em um único atributo por
operação. Por exemplo, altere as entradas no exemplo na etapa 7a usando entradas que se
pareçam com as seguintes:

changetype: modify
add:mayContain
# mayContain: adminCount
mayContain: 1.2.840.113556.1.4.150
-
changetype: modify
add:mayContain
# mayContain: controlAccessRights
mayContain: 1.2.840.113556.1.4.200
-
changetype: modify
add:mayContain
# mayContain: groupAttributes
mayContain: 1.2.840.113556.1.4.152
-
changetype: modify
add:mayContain
# mayContain: groupMembershipSAM
mayContain: 1.2.840.113556.1.4.166
-
Observação Algumas outras entradas que podem estar localizadas aqui foram excluídas deste
exemplo.
dn:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
9. Salve o arquivo LDF.

10. Importe o arquivo LDF para o esquema ADAM usando o comando fornecido no início do arquivo LDF.
11. Exibir o relatório exibido pelo utilitário Ldifde. Ldifde agora relatará os erros que ocorrem com os
atributos que não foram importados. As informações de erro serão semelhantes às seguintes
informações de exemplo:
ldifde -i -u -f c:\data\problem\KBtest_modified.ldf -s localhost:50010 -j .-c "cn=Configuration,dc=X"

#configurationNamingContext
Connecting to "localhost:50010"
Entrar como usuário atual usando SSPI

Importando diretório do arquivo "c:\data\problem\KBtest_modified.ldf"
Carregando entradas.
Adicionar erro na linha 15: Já existe
O erro do lado do servidor é: 0x2071 Uma tentativa foi feita para adicionar um objeto ao
ectory com um nome que já está em uso.
O erro de servidor estendido é:
00002071: UpdErr: DSID-0305030D, problema 6005 (ENTRY_EXISTS), dados 0
NOTE
Localize o atributo problem no arquivo LDF exibindo o número de linha indicado no relatório de erros.
12. Use essas informações de erro para encontrar o atributo problem e resolver o problema. Siga estas
etapas para tentar resolver o problema:
a. Localize o atributo problem no arquivo LDF exibindo o número de linha indicado no relatório de erros.
O atributo failed pode ter um prefixo "DUP-" no DisplayName.
b. Observe o identificador de objeto (OID) do atributo e procure esse identificador de objeto no ADAM.
c. Encontre o atributo no ADAM que tenha o mesmo identificador de objeto.
d. Compare o atributo no ADAM e no arquivo LDF para encontrar quaisquer diferenças. Por exemplo, os
atributos podem ter um DisplayName diferente, mas o mesmo identificador de objeto.
e. Decida qual atributo manter e corrija o outro. Por exemplo, você pode remover a entrada do arquivo
LDF ou corrigir a entrada do atributo ADAM. Ou você pode excluir o atributo problem da
sincronização usando a <exclude> seção no arquivo de configuração XML.
13. Depois que o atributo problem for corrigido no Active Directory ou no esquema ADAM ou depois que o
atributo for removido do arquivo LDF, importe o arquivo LDF modificado novamente. Agora, a operação
de importação deve ser bem-sucedida. Se o problema não for resolvido, pode haver outro atributo que
está causando o problema. Repita as etapas de 10 a 12 até que todos os atributos sejam importados.
Log de Diagnósticos
Quando você encontra o atributo problem, pode não ser óbvio o que há de errado com ele. Por exemplo, você
pode não encontrar um identificador de objeto duplicado ou um
entrada DisplayName diferente. Quando um atributo de problema não é importado, você pode obter mais
informações sobre a falha ao ligar o log de depuração para a interface LDAP. Para fazer isso, siga estas etapas:
1. Para obter mais informações sobre a falha de ldifde, a turn on LDAP logging in ADAM. Para fazer isso,
altere o valor para a entrada de registro de eventos de Interface LDAP de categoria 16 para 5. Esta
entrada do Registro está localizada sob a seguinte sub-chave do Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ADAM_instanceName\Diagnostics
2. Importe o arquivo LDF novamente.

3. Procure erros no log de eventos.
4. Depois de concluir a solução de problemas, redefina o valor para a entrada de registro de eventos de
Interface LDAP de categoria 16 como 0. Caso contrário, o log de eventos será inundado.
Entrar em contato com o Suporte da Microsoft
Se o problema não for resolvido após concluir as etapas deste artigo, contate o Suporte da Microsoft.
Status
Este é o comportamento padrão.
Mais informações
Para sincronizar dados do Active Directory com o ADAM usando a ferramenta Adamsync, siga estas etapas:
1. Clique em Iniciar, aponte para Todos os Programas, aponte para ADAM e clique em Prompt de Comando
de FERRAMENTAS ADAM.
2. No prompt de comando, digite o seguinte comando e pressione ENTER: adamsync /fs Ser ver_Name :
por t_number configurationName /log log_file_name .log
Por que você não pode importar o arquivo LDF diretamente para o ADAM
Se você importar o arquivo LDF criado na etapa 1 na seção "Etapas para resolver o problema quando os
atributos não pertencem à classe TOP" para o ADAM, esses atributos ainda não serão adicionados à lista de
atributos no ADAM. Você pode verificar esse comportamento usando o esquema ADAM MMC ou ADSIEDIT para
examinar o esquema. Esse comportamento ocorre porque a operação de importação Ldifde falha
silenciosamente. Atualmente, Ldifde não relata erros. Ele falha silenciosamente devido à maneira como o
ADSchemaAnalyzer constrói o arquivo LDF. O ADSchemaAnalyzer usa os comandos ntdsschemaadd e
ntdsSchemamodify. Esses comandos ativas o controle LDAP permissivo. Isso significa que qualquer falha é
silenciosa.
Além disso, para cada classe, todos os atributos a serem adicionados à lista de atributos opcionais são
adicionados em uma operação de adicionar/modificar. Portanto, se houver um problema ao adicionar um dos
atributos, toda a operação falhará e nenhum atributos na lista será adicionado. Portanto, etapas adicionais
devem ser tomadas para encontrar o atributo problem.
Normalmente, o motivo provável para a falha é um identificador de objeto duplicado de um atributo ou alguma
outra diferença nas definições de atributo no Active Directory e no ADAM. Isso significa que OIDs duplicados
podem ser perdidas e um atributo pode ser visto como um novo atributo se lDapDisplayName não existir no
ADAM.
A instância do AD LDS registra a ID do Evento 2092
no Windows Server
Este artigo fornece uma solução para um problema que ocorre quando você reinicia um servidor AD LDS que
contém funções FSMO ou reinicia uma instância do AD LDS nesse servidor.
Sintomas
Quando você reinicia um servidor do Active Directory Light-weight Domain Services (AD LDS) que mantém
funções FSMO (Operações Mestras Simples Flexíveis) ou reinicia uma instância do AD LDS nesse servidor, você
recebe uma mensagem de aviso (ID de evento 2092) no visualizador de eventos ADAM para essa instância
específica. A ID do Evento 2092 mostra:
Nome do log: ADAM (InstanceName)

Fonte: Replicação do ADAM [InstanceName]
Data:
ID do Evento: 2092
Categoria de Tarefas: Replicação
Nível: Aviso
Computador: ADAMComputerName
Descrição:
Este servidor é o proprietário da seguinte função FSMO, mas não a considera válida. Para a partição que
contém o FSMO, esse servidor não foi replicado com êxito com nenhum de seus parceiros desde que esse
servidor foi reiniciado. Erros de replicação estão impedindo a validação dessa função.
As operações que exigem entrar em contato com um mestre de operação FSMO falharão até que essa
condição seja corrigida.
Função FSMO: CN=Esquema,CN=Configuration,CN={95B93FA0-93B9-4E54-A654-0D55F5CF9E4B}
Ação do usuário:
1. A sincronização inicial é a primeira replicação inicial feita por um sistema à medida que está começando.
Uma falha na sincronização inicial pode explicar por que uma função FSMO não pode ser validada. Esse
processo é explicado no artigo KB 305476.
2. Esse servidor tem um ou mais parceiros de replicação e a replicação está falhando para todos esses
parceiros. Use o comando repadmin /showrepl para exibir os erros de replicação. Corrija o erro em
questão. Por exemplo, talvez haja problemas com conectividade IP, resolução de nome DNS ou
autenticação de segurança que está impedindo a replicação bem-sucedida.
3. No caso raro de todos os parceiros de replicação estarem inostados é uma ocorrência esperada, talvez
por causa da manutenção ou de uma recuperação de desastres, você pode forçar a validação da função.
Isso pode ser feito usando o NTDSUTIL.EXE para aproveitar a função no mesmo servidor. Isso pode ser
feito usando as etapas fornecidas nos artigos KB 255504 e 324801 em https://support.microsoft.com .
As seguintes operações podem ser impactadas:
Esquema: você não poderá mais modificar o esquema dessa floresta.
Nomenis de domínio: você não poderá mais adicionar ou remover domínios dessa floresta.
PDC: Você não poderá mais executar operações de controlador de domínio principal, como atualizações de
Política de Grupo e redefinições de senha para contas que não sejam do Active Directory Lightweight
Directory Services.
RID: Você não poderá alocar novos identificadores de segurança para novas contas de usuário, contas de
computador ou grupos de segurança.
Infraestrutura: referências de nome entre domínios, como associações de grupo universais, não serão
atualizadas corretamente se o objeto de destino for movido ou renomeado.
Nome do log: ADAM (InstanceName)

Fonte: Replicação do ADAM [InstanceName]
Data:
ID do Evento: 2092
Categoria de Tarefas: Replicação
Nível: Aviso
Computador: ADAMComputerName
Descrição:
Este servidor é o proprietário da seguinte função FSMO, mas não a considera válida. Para a partição que
contém o FSMO, esse servidor não foi replicado com êxito com nenhum de seus parceiros desde que esse
servidor foi reiniciado. Erros de replicação estão impedindo a validação dessa função.
As operações que exigem entrar em contato com um mestre de operação FSMO falharão até que essa
condição seja corrigida.
Função FSMO: CN=Partições,CN=Configuration,CN={95B93FA0-93B9-4E54-A654-0D55F5CF9E4B}
Ação do usuário:
1. A sincronização inicial é a primeira replicação inicial feita por um sistema à medida que está começando.
Uma falha na sincronização inicial pode explicar por que uma função FSMO não pode ser validada. Esse
processo é explicado no artigo KB 305476.
2. Esse servidor tem um ou mais parceiros de replicação e a replicação está falhando para todos esses
parceiros. Use o comando repadmin /showrepl para exibir os erros de replicação. Corrija o erro em
questão. Por exemplo, talvez haja problemas com conectividade IP, resolução de nome DNS ou
autenticação de segurança que está impedindo a replicação bem-sucedida.
3. No caso raro de todos os parceiros de replicação estarem inostados é uma ocorrência esperada, talvez
por causa da manutenção ou de uma recuperação de desastres, você pode forçar a validação da função.
Isso pode ser feito usando o NTDSUTIL.EXE para aproveitar a função no mesmo servidor. Isso pode ser
feito usando as etapas fornecidas nos artigos KB 255504 e 324801 em https://support.microsoft.com .
As seguintes operações podem ser impactadas:

Esquema: você não poderá mais modificar o esquema dessa floresta.
Nomenis de domínio: você não poderá mais adicionar ou remover domínios dessa floresta.
PDC: Você não poderá mais executar operações de controlador de domínio principal, como atualizações de
Política de Grupo e redefinições de senha para contas que não sejam do Active Directory Lightweight
Directory Services.
RID: Você não poderá alocar novos identificadores de segurança para novas contas de usuário, contas de
computador ou grupos de segurança.
Infraestrutura: referências de nome entre domínios, como associações de grupo universais, não serão
atualizadas corretamente se o objeto de destino for movido ou renomeado.
Motivo
Quando há duas ou mais instâncias do AD LDS em um conjunto de réplicas, as instâncias do AD LDS do AD LDS
do FSMO são necessárias para replicar uma partição específica na inicialização do serviço para atender aos
requisitos iniciais de sincronização. O evento 2092 é registrado logo após o início do serviço para indicar essa
condição. O FSMO de nome de domínio é necessário para replicar a partição De configuração, e o FSMO de
esquema é necessário para replicar a partição esquema. Depois que a respectiva partição tiver sido replicada
com êxito, as atualizações serão permitidas novamente. Não há nenhum evento registrado para indicar que a
sincronização inicial foi concluída com êxito.
Solução
Se a replicação do AD LDS estiver funcionando entre instâncias, você poderá ignorar esse evento. Esse é um
comportamento por design que a instância do titular da função FSMO procura por um parceiro de réplica para
atualizar as informações, quando o serviço/servidor do AD LDS é reiniciado.
Mais informações
Para verificar a replicação entre instâncias do AD LDS, você pode usar dcdiag.exe ou repadmin.exe. Para obter
mais informações, consulte os seguintes artigos:
Repadmin
Dcdiag
A instalação do PES ADMT 3.1 falha com o erro: a
senha fornecida não combina com a senha dessa
chave de criptografia
Este artigo ajuda a resolver um problema em que ocorre um erro "A senha fornecida não corresponder à senha
dessa chave de criptografia" quando você configura o serviço PES (Servidor de Exportação de Senha) na
Ferramenta de Migração do Active Directory versão 3.1.
Sintomas
A configuração do serviço PES (Servidor de Exportação de Senha) na Ferramenta de Migração do Active
Directory versão 3.1 no proprietário de função pdc Emulator domínio de origem usando o comando mostrado
abaixo ADMT KEY falha com o seguinte erro na tela:
Sintaxe de linha de comando:
TECLA ADMT /OPTION:CREATE /SOURCEDOMAIN:<ADMT source domain> /KEYFILE:x:\<path>\<filename>.pes
/PWD:*
Erro na tela:
Texto do título da caixa de diálogo: Senha inválida!

Texto da mensagem de diálogo:
A senha fornecida não combina com a senha dessa chave de criptografia. A DLL do Filtro de Migração de
Senha da ADMT não será instalada sem uma chave de criptografia válida.
Motivo
A senha fornecida estava correta, mas Windows Installer (msiexec.exe) falhou ao abrir uma alça para o objeto de
política no controlador de domínio para salvar a senha que será usada pelo serviço PES. A falha indica que a
conta de usuário não tinha a permissão necessária.
O usuário que instala o serviço PES deve ser membro do grupo administradores integrado do domínio.
Além disso, se a conta de usuário não for membro da conta administradores interna e o Controle de Conta de
Usuário (UAC) estiver habilitado no controlador de domínio, o usuário será executado com menos privilégios de
usuário após o logon. Para acessar o objeto de política no controlador de domínio para instalar o serviço PES, o
usuário deve iniciar o arquivo de Pwdmig.msi de instalação com privilégios completos.
Resolução
Verifique se a conta de usuário que instala o serviço PES é membro do grupo administradores integrados do
domínio executando o comando whoami /groups e execute o arquivo de instalação do Pwdmig.msi em uma
janela de prompt de comando elevada lançada com a opção Executar como administrador.
Mais informações
Se você vir que a saída do comando whoami /groups se parece com o seguinte, isso significa que o usuário fez
logor com menos privilégios de usuário. Embora sejam membros do grupo administradores integrado, eles não
têm permissões para executar tarefas administrativas com esse token.
Saída whoami /groups:
N O M E DO GRUP O T IP O SID AT RIB UTO S
========== ========== ========== ==========
Todos Grupo conhecido S-1-1-0 Grupo obrigatório,

Habilitado por padrão,
Grupo Habilitado
BUILTIN\Administrators Alias S-1-5-32-544 Grupo usado apenas para

negar
BUILTIN\Users Alias S-1-5-32-545 Grupo obrigatório,

Habilitado por padrão,
Grupo Habilitado
....
Instalação do ADMT 3.2 incompleta, erro de
console do MMC "não pode abrir o banco de
dados 'ADMT' solicitado pelo logon"
Este artigo fornece ajuda para um erro (não é possível abrir o banco de dados "ADMT" solicitado pelo logon. O
logon falhou) que ocorre quando você executar o console admt (Ferramenta de Migração do Active Directory).
Sintomas
Ao instalar o ADMT 3.2 em um controlador de domínio do Windows Server 2008 R2 e usar o SQL Express 2008
com SP1 e a Atualização Cumulativa 4 do SQL 2008, a instalação é concluída sem erros. No entanto, a caixa de
diálogo "Assistente de Instalação da Ferramenta de Migração do Active Directory" fica em branco quando a
instalação é concluída.
Ao tentar executar o console ADMT, você recebe um erro:
Ferramenta de Migração do Active Directory

Não é possível verificar se há ações com falha.:D BManager.IManageDB.1: Não é possível abrir o banco de
dados "ADMT" solicitado pelo logon. O logon falhou.
Em seguida, o console MMC exibe:
O MMC não pôde criar o snap-in.

O MMC não pôde criar o snap-in. O snap-in pode não ter sido instalado corretamente.
Nome: Ferramenta de Migração do Active Directory
CLSID: {E1975D70-3F8E-11D3-99EE-00C04F39BD92}
Motivo
Há um defeito de código em como a ADMT interopera com o SQL Express 2008 SP1 em controladores de
domínio, resultando no grupo "SQLServerMSSQLUser$ComputerName$InstanceName" não sendo criado. Esse
grupo é exigido pela ADMT para configurar permissões específicas durante a instalação da ADMT e permite que
o banco de dados ADMT seja criado na instância SQL. A ADMT espera que o grupo seja presente, o que leva à
caixa de diálogo em branco e a uma instalação incompleta.
Solução alternativa 1
A prática padrão é instalar a ADMT em um computador membro no domínio de destino. Instale o SQL Express
2008 SP1 em um servidor membro do Windows 2008 R2 no domínio de destino e instale o ADMT 3.2 no
mesmo servidor membro.
Se você tiver um requisito para instalar o ADMT 3.2 em um controlador de domínio para usar migrações de
usuário de linha de comando ou script com o Histórico sid, instale o SQL 2008 SP1 (edição não Expressa) em
um servidor membro do Windows Server 2008 R2 no domínio de destino e selecione essa instância remota ao
instalar o ADMT 3.2 no controlador de domínio. Como alternativa, você pode instalar o SQL Express 2005 SP3
no controlador de domínio.
Se você tiver um requisito para instalar o ADMT 3.2 e o SQL Express 2008 SP1 no mesmo controlador de
domínio, use as etapas a seguir no controlador de domínio do domínio de destino:
1. Instale o Pacote de Atualização Cumulativa 4 para SQL Server 2008 no controlador de domínio.
2. Instale SQL Express 2008 SP1 no controlador de domínio. Observe o SQL de instância criado durante a
instalação (o padrão é SQLEXPRESS).
3. Crie um grupo local de domínio com o formato "SQLServerMSSQLUser$ <DCComputerName> $
<InstanceName> ". Por exemplo, se o controlador de domínio for chamado "DC1" e a instância SQL for
"SQLEXPRESS" você executará o seguinte comando em um prompt de comando elevado:
NET LOCALGROUP SQLServerMSSQLUser$DC1$SQLEXPRESS /ADD
4. Recupere o SID SQL de serviço usando o comando SC.EXE com o nome da instância de serviço SQL. Por
exemplo, se SQL instância de SQL fosse "SQLEXPRESS" você executaria o seguinte comando em um
prompt de comando com elevação e observaria o valor SID de SERVIÇO retornado:
SC SHOWSID MSSQL$SQLEXPRESS
5. No diretório Windows, crie a subpasta "ADMT" e uma subpasta abaixo da chamada "Dados". Por
exemplo, você executaria o seguinte comando em um prompt de comando elevado:
MD %SystemRoot%\ADMT\Data
6. Usando o SID recuperado na Etapa 4, de definir permissões DE CONTROLE TOTAL na pasta

%SystemRoot%\ADMT\Data. Por exemplo, se o SID retornado na Etapa 4 foi "S-1-5-80-3880006512-
4290199581-3569869737-363123133" execute o seguinte comando em um prompt de comando
elevado:
ICACLS %systemroot%\ADMT\Data /grant *S-1-5-80-3880006512-4290199581-3569869737-363123133:F
7. Instale o ADMT 3.2 no controlador de domínio ao selecionar a instância local SQL Express 2008.
Problemas conhecidos que podem ocorrer quando
você usa a ADMT 3.1 para migrar para um domínio
que contém Windows controladores de domínio do
Server 2008 R2
Este artigo descreve problemas conhecidos que você pode ter ao usar a Ferramenta de Migração do Active
Directory 3.1 para migrar dados do Active Directory para um domínio e fornece ajuda para resolver esses
problemas.
Resumo
Embora a Ferramenta de Migração do Active Directory (ADMT) 3.1 não tenha como destino o Windows Server
2008 R2, a Microsoft verificou que essa ferramenta pode ser usada para migrar dados do Active Directory para
um domínio hospedado por um ou mais controladores de domínio do Windows Server 2008 R2. No entanto,
há problemas conhecidos com essa abordagem. Este artigo descreve esses problemas e fornece soluções
alternativas.
Mais informações
A lista a seguir descreve cenários com suporte atualizados para usar a ADMT 3.1:
A ADMT 3.1 deve ser executado a partir de um computador Windows Server 2008 baseado em servidor
2008. O computador deve ser um servidor membro ou um controlador de domínio.
A ADMT pode ser instalada em qualquer computador que esteja executando o Windows Server 2008, a
menos que os computadores Read-Only controladores de domínio ou em uma configuração do Server Core.
O domínio de destino deve ser baseado no Windows 2000 Server, Windows Server 2003, Windows Server
2008 ou Windows Server 2008 R2.
O domínio de origem deve ser baseado no Windows 2000 Server, Windows Server 2003 ou Windows
Server 2008.
O agente ADMT, instalado pela ADMT em computadores nos domínios de origem, pode operar em
computadores que executam o Windows Professional 2000 Professional, o Windows 2000 Server, o
Windows XP, o Windows Server 2003, o Windows Vista, o Windows Server 2008, o Windows 7 ou o
Windows Server 2008 R2.
NOTE
Se você não tiver o Windows Server 2008 porque atualizou do Windows 2000 ou do Windows Server 2003 para o
Windows Server 2008 R2, você tem direitos de downgrade. Para obter chaves de produto e mídia para Windows Server
2008 R2, visite este site.
Problemas conhecidos
Os seguintes problemas conhecidos podem ocorrer quando você usa o ADMT 3.1 para migrar dados para um
ambiente do Windows Server 2008 R2 Active Directory:
O Assistente de Migração do Computador lista Contas de Serviço Gerenciados como objetos
selecionáveis. Esses objetos não podem ser migrados usando a ADMT 3.1. Embora esses objetos possam
ser selecionados, o assistente falhará (sem bloquear) migrações desses objetos e sairá com um erro.
Conta de Serviço Gerenciado é um novo recurso Windows Server 2008 R2. Para obter mais informações,
visite a seguinte página da Web da Microsoft:
Novidades nas contas de serviço
A conversão de segurança nas chaves do Registro pode falhar (não desbloqueando). Quando o problema
ocorre, o administrador pode receber uma mensagem de erro semelhante a qualquer uma das seguintes:
ERR3:7330 Falha ao abrir a chave do Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Perflib\009, rc=714 A chave do Registro especificada é referenciada por uma alça
predefinida.
ERR3:7330 Falha ao abrir a chave do Registro
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows
NT\CurrentVersion\Perflib\009, rc=714 A chave do Registro especificada é referenciada por uma alça
predefinida.
ERR3:7331 Falha ao enumerar a chave do registro HKEY_DYN_DATA, rc=120 Essa função não tem
suporte neste sistema.
A migração de várias senhas de usuário em um lote pode falhar para a primeira senha do usuário.
Quando esse problema ocorre, o administrador pode receber uma mensagem de erro semelhante à
seguinte:
Não é possível estabelecer uma sessão com o servidor especialista em senha: o servidor RPC não está
disponível
Para resolver esse problema, execute a migração de senha novamente.
A migração em script de usuários para preencher o Histórico sid falha quando ela é executada em um
servidor membro no domínio de destino. Quando você usa a ADMT.EXE de linha de comando ou
script para migrar o histórico sid, você deve executar a migração em um controlador de domínio
baseado no Windows Server 2008 no domínio de destino.
A Admtdb.exe não valida a versão de uma instância de banco de dados remota. O administrador deve
certificar-se de que o servidor de banco de dados remoto está executando Microsoft SQL Server 2000
com Service Pack 4, SQL Server 2005 ou uma versão posterior. Para obter mais informações sobre
como migrar contas de usuário, visite a seguinte página da Web da Microsoft: Migrando todas as
contas de usuário
Informações de suporte para ADMT e PES
Este artigo descreve informações sobre a Ferramenta de Migração do Active Directory versão 3.2 (ADMT v3.2) e
o Servidor de Exportação de Senha versão 3.1 (PES v3.1).
Resumo
Este artigo fornece a documentação e as ferramentas de migração gratuitas do Active Directory. As ferramentas
são ADMT v3.2 e PES v3.1. Este artigo também descreve os problemas conhecidos e as limitações do conjunto
de ferramentas.
Guia admt
O guia a seguir fornece diretrizes para migração de domínios usando a Ferramenta de Migração do Active
Directory:
Guia da ADMT (Ferramenta de Migração do Active Directory): Migrando e reestruturando domínios do Active
Directory
NOTE
O ADMT não foi atualizado para migração Windows 8.1 e 10 estações de trabalho.
Windows Server 2012, Windows Server 2012 R2 e versão posterior do Windows Server não foram testados para
aplicativos modernos e migrações de perfil. Sua experiência pode variar, dependendo de muitos fatores, incluindo a
versão Windows que você está migrando. Use o pacote de ferramentas por sua conta e risco.
Uma alternativa ao pacote de ferramentas ADMT também está disponível nos Serviços microsoft:ADMS (Serviços de
Migração do Active Directory). Essa ferramenta é executada na nuvem do Azure. Para obter informações de nível de
entrada, consulte Taste of Premier: Directory Consolidation with Windows Azure Active Directory Migration Services.
Limitações e problemas conhecidos

Instalando o PES no Windows Server 2012 e posterior
Os guias ADMT antigos não mencionam a necessidade de executar o arquivo pedmig.msi em um prompt
de comando com privilégios elevados. O guia ADMT mais recente menciona esse requisito. O guia mais
recente é de 26 de fevereiro de 2018 e está disponível no Centro de Download da Microsoft.
O computador que executa o ADMT não deve usar o Credential Guard
A estação de trabalho que está impulsionando a migração não está fazendo a migração por si só. A
movimentação de objeto é executada no controlador de domínio de destino (DC). Ele está delegando o
usuário que executa a tarefa de migração ao migrar um usuário do domínio de origem.
Por padrão, os controladores de domínio são configurados para delegação irrrita que não é mais
permitida pelo Credential Guard.
Se você tiver o ADMT instalado em um servidor membro baseado em Windows Server 2016 ou em uma
versão posterior Windows servidor membro baseado em servidor, desabilite o Credential Guard para
executar migrações. Ou você pode mover a instalação do ADMT para o controlador de domínio de
destino, no qual não é necessário delegar. Além disso, o Credential Guard não tem suporte em DCs de
destino.
DC não pode usar delegação irrrita
Devido a vetores de ataque existentes, a Microsoft está restringindo e bloqueando o uso de delegação
irrrita. Isso também afeta os controladores de domínio. O ADMT registra o seguinte erro:
Erro de log ADMT: falha ao mover o objeto de origem. Verifique se a conta do chamador não está
marcada como confidencial e, portanto, não pode ser delegada. hr=0x8009030e Nenhuma credencial
está disponível no pacote de segurança
A alteração de comportamento do Windows Server 2008 R2 está contida em 12 de março de 2019-

KB4489885 (atualização somente segurança).
O PFE da Microsoft discutiu esse problema em Livrar-se de contas que usam a Delegação Irrconstruda do
Kerberos. Outro blog descreve o plano de lançamento.
Você pode configurar os DCs de domínio de destino para delegação restrita e permitir que os
controladores de domínio de destino deleguem para os DCs de origem (delegação restrita baseada em
recursos). Isso só é possível quando seus controladores de domínio Windows Server 2012 versão
posterior do Windows Server.
No Windows Server 2008 R2 ou versão anterior do Windows Server, você só pode mover a instalação do
ADMT para um controlador de domínio de destino. Então você não precisa delegar.
O computador ADMT deve ter o TLS 1.0 habilitado para se conectar ao SQL Server
Se o TLS 1.0 estiver desabilitado, você receberá uma mensagem no computador ADMT semelhante ao
seguinte:
Não é possível verificar se há ações com falha. : DBManager.ImanaDB.1 : [DBNETLIB][ConnectionOpen

(SECCreateCredentials()).] Erro de segurança SSL.
Além disso, se o TLS 1.0 estiver desabilitado, a ferramenta Administrador não carregará o snap-in
quando ele for aberto. Você recebe uma mensagem semelhante à seguinte:
O MMC não pôde criar o snap-in.

O MMC não pôde criar o snap-in. O snap-in pode não ter sido instalado corretamente.
Nome: Ferramenta de Migração do Active Directory
CLSID: {E1975D70-3F8E-11D3-99EE-00C04F39BD92}
Os usuários que executam o ADMT não devem ser membros de um silo de autenticação
A conta de usuário usada para impulsionar a migração do SidHistory não deve estar em um silo de
autenticação. Ao migrar SidHistory pela floresta, o DC de destino cria uma sessão de rede para o DC de
origem e é autenticado usando NTLM. Para as contas de usuário administrador que estão em um silo de
autenticação, em algum sistema operacional, o NTLM não é permitido para essas contas de usuário por
padrão ou é desabilitado pelos usuários.
Os domínios no fluxo de autenticação de tarefas ADMT não devem restringir o NTLM
Pelo mesmo motivo que evitar silos de autenticação, os domínios usados para migrações admT
SidHistory não devem restringir o uso de NTLM por uma das políticas.
SQL Server versões
Não há nenhuma verificação de versão para SQL Server versões que têm ADMT. Os últimos testes foram
executados em 2013. Portanto, os computadores que estão executando SQL Server 2014 e versões
posteriores não foram testados. Execute seu próprio teste do ADMT em um ambiente de teste antes de
usar a ferramenta para migração de produção.
Contas de Serviço Gerenciado de Grupo
A partir de 27 de fevereiro de 2018, o Guia admt descreve como lidar com contas de serviço gerenciado
conforme implementado no Windows Server 2008 R2. Não foi feito nenhum teste para GMSA (Contas
de Serviço Gerenciado de Grupo). Dada a manipulação especial dessas contas em vários lugares, você
deve seguir estas diretrizes:
Não tente migrar GMSA entre limites de floresta.
Tenha cuidado ao tentar mover GMSA dentro de uma floresta.
Sistemas operacionais clientes
Embora o conjunto de ferramentas mais recente tenha sido lançado depois que o Windows 8.0 entrou no
mercado, não houve nenhum teste para a migração da conta de computador do Windows 8.xand 10.x e,
em particular, nenhum teste para a migração completa de perfis de usuário.
Encontramos vários problemas de migrações relacionados à transição correta de perfis de usuário. Isso é
especialmente verdadeiro para registros de aplicativos modernos e permissões de perfil.
Repetir migrações para atualizações de senha
Alguns clientes estão executando migrações repetidas de contas para transferir uma nova senha de uma
conta de origem para uma nova conta em outra floresta. O ADMT não foi projetado para essa
abordagem. Ele rastreia cada trabalho de migração em seu banco de dados. Ao longo do tempo, o
tamanho do banco de dados ADMT aumenta. Eventualmente, ele pode experimentar o seguinte:
O banco de dados excede o tamanho licenciado do banco de dados (para implantações SQL
Express).
O banco de dados excede o espaço em disco disponível nos computadores que estão executando
SQL Server.
Os trabalhos de migração são lentos. Isso ocorre porque a ferramenta examina o histórico de
migração quando você executa um novo trabalho.
NOTE
Se você pretende usar o ADMT dessa maneira por várias semanas ou meses e tem um agendamento de
sincronização frequente, recomendamos uma solução baseada em uma solução de sincronização, como
Microsoft Identity Manager.
Referências
Detalhes sobre silos de autenticação
Detalhes sobre políticas de restrição NTLM
Como solucionar problemas Inter-Forest migração
de senha com ADMTv2
Este artigo discute as dependências e as etapas de solução de problemas para problemas comuns associados à
operação de migração de senha entre florestas.
Resumo
Se você executar migrações intra-floresta usando a Ferramenta de Migração do Active Directory (ADMT) v2,
nenhuma configuração especial será necessária para manter senhas de usuário, sIDHistory e identificadores
globalmente exclusivos (GUIDs) durante a operação de movimentação.
No entanto, se você usar ADMTv2 para executar a migração de senha entre florestas ao clonar contas de
usuário, essa operação depende das dependências que o administrador deve configurar. Este artigo discute as
dependências e as etapas de solução de problemas para problemas comuns associados a essa operação.
Configuração
Além da configuração básica, ADMTv2 requer as seguintes dependências quando usadas para executar a
migração de senha entre florestas:
O Service Pack 6a (SP6a) ou posterior deve ser instalado em controladores de domínio do Microsoft
Windows NT 4.0.
Todos os controladores de domínio devem usar criptografia de 128 bits.
O valor RestrictAnonymous no controlador de domínio de destino deve ser definido como 0 durante a
migração.
As permissões de leitura no grupo Acesso Compatível com Pré-Windows 2000 devem ser definidas
como CN=Ser ver,CN=System,DC={targetdom},DC={tld} .
A seguinte chave do Registro deve ser configurada no Servidor de Exportação de Senhas:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
O Servidor de Exportação de Senha deve ser reiniciado após a edição do Registro.
O grupo Todos deve ser membro do grupo Acesso Compatível Windows 2000 no domínio de destino
durante a migração. Essa ação é bloqueada por usuários e computadores do Active Directory. Para
adicionar o grupo Todos, execute o seguinte comando: NET LOCALGROUP "ACESSO COMPATÍVEL PRÉ-
WINDOWS 2000" TODOS /ADD
Se o domínio de destino for baseado no Windows Server 2003, execute este comando para tornar o
grupo a seguir membro do grupo Acesso Compatível com Pré-Windows 2000: NET LOCALGROUP
"ACESSO COMPATÍVEL PRÉ-WINDOWS 2000" "LOGON ANÔNIMO" /ADD
Solução de problemas
Veja a seguir algumas das mensagens de erro mais comuns e suas resoluções:
Não é possível estabelecer uma sessão com o servidor de exportação de senhas. O SERVIDOR do \
servidor de destino não tem uma chave de criptografia para o domínio de origem {SRCDOM}. Esse erro
pode ser causado por um dos seguintes problemas de configuração:
O Servidor de Exportação de Senha não foi configurado com a DLL de Migração de Senha e uma chave
de criptografia para o servidor de destino.
-ou-
A chave de criptografia foi criada e instalada, mas a ADMT está em execução em um computador
diferente do computador que criou a chave de criptografia. As chaves de criptografia de migração de
senha são válidas por computador, em vez de por domínio.
WRN1:7557 Falha ao copiar a senha de {user}. Em vez disso, uma senha forte foi gerada. Não é possível
copiar a senha. Acesso negado. Se essa mensagem de erro aparecer no arquivo Migration.log, verifique o
seguinte:
O seguinte valor da chave do Registro é definido nos controladores de domínio de destino:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
O Acesso Compatível Windows 2000 tem permissões de Domínio SAM inteiro de leitura e enumeração
no objeto, da seguinte forma: CN=Server,CN=System,DC={TargetDomain},DC={tld}
W1:7557 Falha ao copiar a senha de {User}. Em vez disso, uma senha forte foi gerada. Não é possível
copiar a senha. O servidor RPC não está disponível. Normalmente, essa mensagem de erro indica uma
falha na resolução de nomes. Verifique se a resolução do nome DNS (Sistema de Nomes de Domínio) e
NetBIOS (WINS) está funcionando corretamente para ambos os domínios.
Como solucionar problemas de migração
sIDHistory entre florestas com ADMTv2
Este artigo descreve como solucionar problemas de migração de sIDHistory entre florestas com a Ferramenta
de Migração do Active Directory versão 2 (ADMTv2).
Mais informações
Quando você está usando ADMTv2 para migrar sIDHistory como parte de um usuário entre florestas ou
migração de grupo, a configuração é necessária com os requisitos de migração base.
Por padrão, sIDHistory, password e objectGUID são todos preservados durante migrações dentro da floresta,
mas isso não é verdadeiro para clonagem entre florestas.
Como não há um contexto de segurança integrado para operações entre florestas, você deve tomar medidas
para proteger a segurança das operações entre os limites da floresta.
Configuração
Os requisitos básicos para operações de migração entre florestas são:
Migração básica de conta de grupo e usuário baseada em assistente sem sIDHistory
O domínio de origem deve confiar no domínio de destino.
A conta de usuário que está executando ADMTv2 deve ter direitos de administrador no domínio de origem.
A conta de usuário ADMT deve ter permissões delegadas para criar objetos de usuário ou grupo no
contêiner de destino.
A resolução de nomes DNS (hostname) e NetBIOS entre os domínios deve existir.
A migração sIDHistory requer as seguintes dependências adicionais
Auditoria de sucesso e falha do gerenciamento de contas para domínios de origem e destino.
Os domínios de origem chamam essa auditoria de gerenciamento de grupo e usuário.
Um grupo local vazio no domínio de origem chamado {SourceNetBIOSDom}$$$.
A HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport chave do Registro deve ser
definida como 1 no controlador de domínio primário do domínio de origem.
Você deve reiniciar o controlador de domínio primário do domínio de origem após a configuração do
Registro.
Windows segurança requer credenciais de usuário com direitos estendidos ou direitos de administrador do
MigratesIDHistory delegados no domínio de destino. Você adiciona essas credenciais no assistente quando a
migração do sIDHistory está 100% 2016.
Para delegar o MigrateSidHistory estendido à direita em um controlador de domínio ou em um computador
que tenha o pacote ferramentas de administração do servidor Windows instalado, siga estas etapas:
1. Clique em Iniciar , Ferramentas Administrativas e em Usuários e Computadores do Active
Director y .
2. Clique com o botão direito do mouse no nome do domínio do qual você deseja delegar o MigrateSidHistory
estendido à direita e clique em Delegar Controle para abrir a janela Assistente de Delegação de Controle.
3. Clique em Próximo , clique em Adicionar , insira o nome do usuário ou grupo que você deseja adicionar na
caixa de diálogo Selecionar Usuários, Computadores ou Grupos, clique em OK e clique em Próximo .
4. Clique para selecionar a opção Criar uma tarefa personalizada para delegar e clique em Próximo .
5. Certifique-se de que esta pasta, objetos existentes nesta pasta e a criação de novos objetos nesta pasta
estão selecionados e clique em Próximo .
6. Certifique-se de que a opção Geral está selecionada, clique em Migrar Histórico sid na lista Permissões e
7. Verifique se as informações estão corretas e clique em Concluir .
Nenhum sID a ser migrado pode existir na floresta de destino, como um sID primário ou como um
atributo sIDHistory de outro objeto.
Requisitos adicionais para migrar sIDHistory com a linha de comando ou interfaces de script
Quando você inicia uma migração de usuário ou grupo com a migração sIDHistory da linha de comando ou
de um script, o comando ou script deve ser executado no controlador de domínio no domínio de destino.
A conta de usuário que está executando a migração deve ter direitos de administrador na origem e nos
domínios de destino.
Requisitos especiais para o mapeamento de grupo e o assistente de mesclar
Se sIDHistory for migrado durante o mapeame

Visão Geral Do Active Directory

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Visão Geral Do Active Directory

Enviado por

Direitos autorais:

Formatos disponíveis

Contents

Sub-categorias do Active Directory

Windows Server 2008 R2 ou Windows Server 2008

dism.exe /online /get-features

dism.exe /online /enable-feature /featurename:DirectoryServices-DomainController

5. Reinicie e selecione Modo de Restauração de Ser viços de Diretório novamente.

7. Para remover os metadados do controlador de domínio, use a ferramenta ntdsutil.exe ou dsa.msc.

dism.exe /online /get-features

4. Adicione a DirectoryServices-DomainController função de volta ao servidor. Para fazer isso, use o

dism.exe /online /enable-feature /featurename:DirectoryServices-DomainController

7. Para remover os metadados do controlador de domínio, use a ferramenta ntdsutil.exe ou dsa.msc.

To determine if this misconfiguration exists, query this event ID using http://support.microsoft.com or

Métodos com suporte para fazer o back up do Active Directory em

Métodos com suporte para fazer o back up do Active Directory em

Comportamento típico que ocorre quando você restaura um backup

Software e metodologias que causam reações usn

Os efeitos de uma reação de USN

As solicitações de autenticação de usuário para as 10 contas de usuário que foram criadas na

A existência de partições de domínio e aplicativo na floresta

Detectar uma reação da USN em um controlador de domínio

Recuperar de uma reação da USN

Tipo de Evento: Aviso

A linha a seguir é um exemplo de uso deste comando:

repadmin /sync DC=domain,DC=root good_DC dc1 122a5239-36b3-488a-b24c-971ed0ca8a46 /force /full

Tipo de Evento: Informações

Aplica-se a: Windows 10, Windows Server 2012 R2

Remover domínios órfãos do Active Directory

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

Método 1 - Restaurar as contas de usuário excluídas e, em seguida,

repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

ntdsutil "authoritative restore" "restore object <object DN path>" q q

ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

Para restaurar autoritativamente o grupo de segurança excluído ContosoPrintAccess na OU

ntdsutil "authoritative restore" "restore object

ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q

repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

Habilita a conectividade de rede de volta ao controlador de domínio de recuperação cujo estado do

repadmin /syncall /d /e /P <recovery dc> <Naming Context>

repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL

Método 2 - Restaurar as contas de usuário excluídas e, em seguida,

repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

ntdsutil "authoritative restore" "restore object <object DN path>" q q

ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

Para restaurar autoritativamente o grupo de segurança excluído ContosoPrintAccess na OU

ntdsutil "authoritative restore" "restore object

ntdsutil "authoritative restore" "restore subtree object DN path"

ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry

ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry

ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry

ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry

ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q

8. Se objetos excluídos foram recuperados no controlador de domínio de recuperação devido a uma

repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

Habilita a conectividade de rede de volta ao controlador de domínio de recuperação cujo estado do

repadmin /syncall /d /e /P <recovery dc> <Naming Context>

ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l

Groupadd / after_restore users_membership_after_restore.ldf

Repita este comando se contas de computador excluídas foram adicionadas a grupos de

repadmin /syncall /d /e /P <recovery dc> <Naming Context>

repadmin /options +DISABLE_OUTBOUND_REPL

repadmin /options -DISABLE_OUTBOUND_REPL