MENU
  1. Início
  2. Windows
  3. Windows Server
  4. Clientes Windows 11 24H2 Offline no Dashboard do Windows Server 2016 Essentials – causa, diagnóstico e correção

Clientes Windows 11 24H2 Offline no Dashboard do Windows Server 2016 Essentials – causa, diagnóstico e correção

Windows Server

Você atualizou suas estações para o Windows 11 24H2 e, de repente, o Dashboard do Windows Server 2016 Essentials/Standard passou a exibir todos os PCs como Offline? A boa notícia é que o problema não está no conector nem em sua rede física, mas em uma combinação sutil de política Kerberos e registro que afeta somente o 24H2. Este guia explica, de forma prática, como diagnosticar, corrigir e evitar que o erro volte a ocorrer — sem precisar reverter para o 23H2.

Índice

Visão geral do problema

Assim que o Windows 11 foi atualizado do 23H2 para o 24H2, cada computador:

  • Passou a ser listado como Offline no Dashboard;
  • Desapareceu da guia Network;
  • Continuou acessível por compartilhamentos de arquivos e por RDP;
  • Permaneceu logado no domínio sem erros aparentes no logon.

Por isso, muitos administradores descartaram rapidamente falhas de rede ou do Essentials Connector e, como solução de urgência, optaram por voltar ao 23H2 e bloquear a atualização. Essa estratégia, embora funcional, compromete a segurança (falta de patches recentes) e a consistência do ambiente.

Entendendo por que os clientes aparecem Offline

Como o Dashboard do Essentials detecta a presença dos clientes

O serviço Health Assessment (WseHealthService) do Windows Server consulta, via WMI e RPC autenticado por Kerberos, o estado de cada estação que executa o Essentials Connector. Caso aconteça qualquer falha na negociação Kerberos, o servidor não consegue obter o heartbeat e marca o dispositivo como Offline, ainda que o host responda a ping e a requisições SMB.

Impacto do Windows 11 24H2 na negociação de Kerberos

Começando no 24H2, o Windows endureceu o conjunto de cifras aceitas por padrão para sessões Kerberos a partir do nível de patch de junho/2025. Em redes onde o GPO Network Security: Configure encryption types allowed for Kerberos não está explicitamente definido, a estação passa a aceitar somente AES256, AES128 e cifras futuras, rejeitando RC4‑HMAC. Já o Windows Server 2016 Essentials, compilado em 2016, ainda utiliza RC4 para o ticket TGT do serviço Health Assessment — uma combinação que impede a autenticação mútua.

Diagnóstico passo a passo

  1. No cliente 24H2, abra o Event Viewer ▸ Windows Logs ▸ System.
  2. Filtre por Source = Kerberos; você deverá ver o evento 14 (KRBAPERR_MODIFIED) sempre que iniciar o Conector.
  3. Execute klist no Prompt elevado e observe que o campo Encryption type mostra somente AES256 e AES128 — nenhuma menção a RC4.
  4. No servidor, abra gpedit.msc ou a GPMC e verifique se o GPO citado existe. Em muitos ambientes ele está no estado Not configured.
  5. Cheque o registro do cliente: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters. O valor SupportedEncryptionTypes está ausente ou menor que 0x7FFFFFFC.

Causa raiz

Em resumo, quando o 24H2 não encontra o valor SupportedEncryptionTypes, ele herda as preferências internas, que excluem RC4‑HMAC. O Server 2016, por sua vez, insiste em RC4 para alguns tickets. Resultado: falha na geração de TGS e fracasso do handshake Kerberos, o que se reflete como “Offline” no Dashboard.

Solução definitiva

A correção consiste em alinhar o GPO e o registro para que ambos, servidor e clientes, suportem o mesmo conjunto de cifras.

Ajustar o GPO

Localização: Computer Configuration ▸ Windows Settings ▸ Security Settings ▸ Local Policies ▸ Security Options ▸ Network Security: Configure encryption types allowed for Kerberos

Marque as opções:

  • RC4‑HMAC‑MD5
  • AES128‑HMAC‑SHA1
  • AES256‑HMAC‑SHA1
  • Cifras futuras

Ao salvar, o GPO replica para todos os Controladores de Domínio e ficará disponível no próximo gpupdate.

Garantir o valor de registro nos clientes

Para remover qualquer dúvida, crie (ou ajuste) a chave:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
DWORD  SupportedEncryptionTypes = 0x7FFFFFFC

O valor 0x7FFFFFFC habilita todos os tipos de criptografia listados acima e futuros.

Procedimento resumido em cada estação

  1. Desinstalar o Essentials Connector (Apps ▸ Installed Apps ▸ Windows Server Essentials Connector).
  2. Remover o computador do domínio: Settings ▸ System ▸ About ▸ Domain or Workgroup.
  3. Atualizar ou instalar o Windows 11 24H2 (via Windows Update ou ISO).
  4. Reiniciar, abrir Prompt elevado e executar gpupdate /force.
  5. Reinstalar o Essentials Connector a partir de https://Servidor/connect e ingressar novamente no domínio.
  6. Reiniciar uma última vez e confirmar o status Online no Dashboard.

Automatizando a correção em lote

Caso haja dezenas de máquinas, crie um script PowerShell que:

  1. Verifique se o build é 24H2 ((Get‑ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion").DisplayVersion = “24H2”).
  2. Registre o valor SupportedEncryptionTypes via Set‑ItemProperty.
  3. Force a atualização de GPO.
  4. Desinstale e reinstale silenciosamente o Connector com msiexec /i \\Servidor\Shared\Connector.msi /qn.
  5. Relate o resultado em um log CSV para auditoria.

Validação pós-correção

  • O painel Devices mostra o ícone verde “Online”.
  • No cliente, klist revela o ticket TGS com Encryption type: RC4‑HMAC ou AES‑256.
  • O log Applications and Services Logs ▸ Microsoft ▸ Windows ▸ Windows Server Essentials ▸ Admin não contém eventos de erro nos últimos 15 min.
  • O evento Kerberos 4769 no DC indica sucesso com o tipo de cifra esperado.

Outras medidas recomendadas

AçãoQuando considerar
Redefinir a pilha de rede (Settings ▸ Network & internet ▸ Advanced network settings ▸ Network reset)Se perceber pacotes descartados ou perfis duplicados
Atribuir IP estáticoPara descartar falhas de DHCP ou conflitos de lease
Atualizar drivers de redeSe o chipset for antigo ou apresentar timeouts
Permitir logons de convidado inseguros (GPO ▸ Lanman Workstation ▸ Enable insecure guest logons)Apenas se ainda existirem compartilhamentos guest legados
Ajustar escopo DHCPSe visualizar endereços duplicados no log do servidor
Acessar recursos via UNC (\\PC\share)Solução rápida para arquivos enquanto o Dashboard não estiver íntegro

Boas práticas preventivas

  • Piloto controlado: antes de liberar uma versão de recurso (24H2, 25H2…), instale em um grupo de teste e monitore o Dashboard.
  • Backup de GPO: exporte suas políticas regularmente para restaurar rapidamente se algo der errado.
  • Nível funcional consistente: mantenha o domínio em Windows Server 2016; evitar DCs antigos (2008 R2) reduz incompatibilidades de cifra.
  • Documente exceções: qualquer habilitação de RC4 deve ser revisitada a cada semestre, pois a Microsoft planeja desativar totalmente a cifra em releases futuros.
  • Monitoramento proativo: configure alertas de evento 14 (Kerberos) nos DCs para saber imediatamente quando uma estação apresentar discrepância de cifras.

Perguntas frequentes

RC4 não é considerado inseguro?

Sim. A Microsoft recomenda transitar para AES. Contudo, certas funções legadas do Essentials ainda recorrem a RC4 para compatibilidade. O valor 0x7FFFFFFC ativa todas as cifras, mas o Windows priorizará AES sempre que possível. A presença de RC4 serve como fallback até que o Essentials receba atualização ou seja aposentado.

Posso simplesmente migrar para um Windows Server recente e eliminar o problema?

Se o orçamento permitir, migrar para Windows Server 2022 Standard + Azure AD Connect ou diretamente para Microsoft 365 Business Premium elimina a dependência do Dashboard Essentials. Contudo, empresas com até 25 usuários ainda se beneficiam do Essentials se já possuem licenças perpétuas.

Um único GPO aplica‑se a todas as versões de cliente?

Sim. O mesmo objeto cobre Windows 10, 11 todas as versões e Windows Server a partir de 2012 R2. Apenas confirme se a replicação (SYSVOL) ocorreu antes de exigir que os clientes façam gpupdate /force.

Por que o 23H2 não foi afetado?

O 23H2, embora moderno, não alterou a lista padrão de cifras; ele ainda aceita RC4 se não existir GPO contrário. O 24H2 endureceu a configuração por padrão.

Existe hotfix oficial?

Até a data de publicação (setembro/2025) não há KB específica. Siga a página de Release Health da Microsoft para futuras correções; quando houver hotfix, remova a habilitação manual de RC4 e valide novamente.

Conclusão

Ao alinhar o GPO de cifras Kerberos e garantir a presença do valor SupportedEncryptionTypes nos clientes Windows 11 24H2, o Dashboard do Windows Server 2016 Essentials voltará a reconhecê‑los como “Online” sem necessidade de regredir para o 23H2. Aproveite para revisar suas políticas de segurança, planejar a modernização do servidor e manter o parque de máquinas atualizado com tranquilidade.

Windows Server
GPO Kerberos Troubleshooting Windows 11 24H2 Windows Server 2016 Essentials
Índice