Se o Windows Server 2022 (AZxxx) se recusa a ingressar no domínio xxx.LOCAL com mensagens de Netlogon, o caminho mais curto para a solução passa por DNS, hora, credenciais e portas. Este guia prático mostra o que verificar, por que verificar e como corrigir de forma definitiva.
Contexto e sintomas
Ao tentar juntar o servidor AZxxx ao domínio xxx.LOCAL, o Visor de Eventos registra falhas do Netlogon e do processo de ingresso. Dois códigos aparecem com frequência e ajudam a orientar o diagnóstico:
| Código | Significado resumido |
|---|---|
| 1332 | “No mapping between account names and security IDs was done” — não existe mapeamento entre o nome da conta e o SID no Active Directory. |
| 1003 | Falha genérica do Netlogon ao tentar ingressar no domínio. |
Na prática, esses eventos indicam que o servidor não consegue resolver corretamente os controladores de domínio, não consegue autenticar via Kerberos/NTLM por diferença de hora ou bloqueio de portas, ou que a conta usada para o ingresso não possui os direitos necessários ou conflita com um objeto antigo no AD.
Causas prováveis
- DNS ou conectividade inadequada: o cliente não encontra (ou resolve para IP errado) os controladores de domínio.
- registos SRV ausentes ou incorretos na zona DNS do Active Directory.
- credenciais inadequadas ou objeto de computador desatualizado, desabilitado ou com inconsistência.
- diferença de hora maior que cinco minutos entre cliente e controlador, quebrando o Kerberos.
- serviço Netlogon parado ou portas bloqueadas por firewall.
- anomalias de rede como MTU incorreta, inspeção profunda de pacotes ou NAT assimétrico.
Diagnóstico rápido e priorizado
Antes de qualquer ajuste permanente, valide o essencial do lado do cliente. A ordem a seguir resolve a maioria dos cenários com gasto mínimo de tempo.
Conectividade e portas
- Teste a rota até um controlador do domínio (substitua por um nome real de DC):
ping dc01.xxx.local
Test-NetConnection dc01.xxx.local -Port 389
Test-NetConnection dc01.xxx.local -Port 445
Test-NetConnection dc01.xxx.local -Port 135
Test-NetConnection dc01.xxx.local -Port 88
Se preferir utilitário clássico, use telnet para portas específicas (quando disponível):
telnet dc01.xxx.local 389
telnet dc01.xxx.local 445
telnet dc01.xxx.local 135
telnet dc01.xxx.local 88
Falhas aqui apontam para firewall, rota ou políticas de segurança de rede.
DNS do Active Directory
O DNS de um membro do domínio deve apontar exclusivamente para os controladores de domínio (ou para um reenviador interno que conheça a zona AD). Evite misturar com DNS público no cliente.
ipconfig /all
Se necessário, ajuste os servidores DNS do adaptador de rede:
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 10.0.0.10,10.0.0.11
ipconfig /flushdns
Valide os registos SRV essenciais da zona _msdcs do domínio:
nslookup -type=SRV ldap.tcp.dc._msdcs.xxx.local
nslookup -type=SRV kerberos.tcp.xxx.local
Resolve-DnsName -Type SRV ldap.tcp.dc._msdcs.xxx.local
Respostas vazias, hosts errados ou IPs externos são forte indicativo de que o DNS é a raiz do problema.
Hora e Kerberos
O Kerberos quebra quando a diferença de relógio cliente↔DC excede alguns minutos. Verifique e corrija:
w32tm /query /status
w32tm /resync
w32tm /stripchart /computer:dc01.xxx.local /samples:5 /dataonly
tzutil /g
Após corrigir a hora, limpe tickets antigos para evitar falsos positivos:
klist purge
Credenciais e conta de computador
- Use uma conta com o direito Add workstations to domain (ou Account Operators / Domain Admins quando apropriado).
- Se existir um objeto de computador antigo para AZxxx, remova-o e permita a recriação durante o ingresso.
Quando há suspeita de canal seguro quebrado, repare a confiança:
Test-ComputerSecureChannel
Test-ComputerSecureChannel -Repair -Credential xxx\Administrador
Serviços locais e firewall
Get-Service Netlogon, LanmanWorkstation, LanmanServer | Format-Table Name, Status, StartType
Restart-Service Netlogon
Confirme regras de firewall locais e perimetrais de forma coordenada com a equipe de rede.
Soluções recomendadas
| Área | Passos práticos recomendados |
|---|---|
| Conectividade | 1) Ping e telnet aos controladores nas portas 389, 445, 135, 88. 2) Revisar regras de firewall interno e externo. |
| DNS | 1) Configurar o servidor para usar apenas DNS dos controladores de domínio. 2) Executar nslookup -type=SRV ldap.tcp.dc._msdcs.xxx.local e conferir respostas corretas. |
| Credenciais e conta de computador | 1) Usar credenciais com direito de Add workstations to domain. 2) Excluir objeto de computador antigo no AD e permitir a recriação durante o ingresso. |
| Logs | Examinar Visor de Eventos → Logs do Sistema e de Segurança no cliente e no controlador próximo ao horário da tentativa. |
| Serviços | Garantir que Netlogon e Workstation estejam iniciados; reiniciar se necessário. |
Recomendações complementares
- Sincronize o horário com um NTP comum:
w32tm /resyncou configure uma origem autorizada. - Valide a saúde do AD no controlador:
dcdiagerepadmin /replsummary; corrija erros de replicação antes de novos testes. - Desative temporariamente antivírus ou endpoint protection de terceiros para descartar inspeção/bloqueio de portas.
- Revise a política Maximum machine account password age; objetos muito antigos podem ser rejeitados.
- Use linha de comando para obter diagnóstico verboso durante o ingresso:
Add-Computer -DomainName "xxx.local" -Credential (Get-Credential) -OUPath "OU=Servers,DC=xxx,DC=local" -VerboseA saída detalhada aponta a etapa exata da falha.
Portas e protocolos essenciais
Confirme com a equipe de rede que as seguintes portas estão abertas entre AZxxx e os controladores de domínio (entrada e saída conforme necessidade):
| Serviço | Porta e protocolo | Observação |
|---|---|---|
| DNS | 53 TCP/UDP | Resolução de nomes e SRV. |
| Kerberos | 88 TCP/UDP | Autenticação principal. |
| RPC Endpoint Mapper | 135 TCP | Negociação RPC. |
| LDAP | 389 TCP/UDP | Consulta ao diretório. |
| SMB | 445 TCP | SYSVOL e NETLOGON. |
| LDAP protegido | 636 TCP | Quando exigido por política. |
| Global Catalog | 3268 TCP, 3269 TCP | Consultas de floresta. |
| Kerberos alteração de senha | 464 TCP/UDP | Troca de senha de conta de máquina. |
| RPC dinâmico | 49152–65535 TCP | Intervalo padrão moderno para chamadas RPC. |
| NTP | 123 UDP | Sincronização de hora. |
Procedimento de ingresso
Com rede, DNS e hora validados, execute o ingresso pelo Server Manager ou pelo PowerShell. Em ambientes automatizados, prefira script para padronizar:
Rename-Computer -NewName "AZxxx" -Force -PassThru
Add-Computer -DomainName "xxx.local" -OUPath "OU=Servers,DC=xxx,DC=local" -Credential (Get-Credential) -Verbose
Restart-Computer
Se ocorrer erro informando canal seguro, repare e tente novamente:
nltest /sc_reset:xxx.local
nltest /sc_query:xxx.local
Logs úteis e interpretação
No cliente:
- Windows Logs → System: eventos de Netlogon (como 5719, 5722, 5805), DNS Client e Time-Service.
- Windows Logs → Security: auditorias de logon e falhas de credencial.
- Applications and Services → Microsoft → Windows → GroupPolicy/Operational: aplicação de GPO após o ingresso.
No controlador:
- Directory Service: erros de replicação e verificação de objetos.
- DNS Server: registos SRV e atualizações dinâmicas.
- Security: falhas de logon, bloqueios de conta.
Correlacione a linha do tempo: compare Hora do cliente, Hora do DC e Hora do evento. Diferenças aqui traem problemas de NTP ou de fuso horário incorreto.
Casos especiais de rede
- MTU e fragmentação: ligações VPN e túneis podem exigir ajuste de MTU. Teste com:
ping -f -l 1472 dc01.xxx.localReduza o tamanho até obter êxito; aplique MTU consistente no caminho. - multihoming: múltiplas NICs com DNS misto podem registrar IPs errados para o nome do servidor. Mantenha apenas os NICs necessários e fixe ordem de resolução.
- proxy ou inspeção SSL: pode interferir em LDAP protegido, Kerberos e SMB. Desative a inspeção para o tráfego interno de AD.
- virtualização e snapshots: reverter um snapshot antigo pode invalidar a senha da conta de máquina. Em caso de “confiança quebrada”, repare canal seguro.
Script de verificação em PowerShell
O trecho abaixo automatiza checagens básicas. Ajuste o domínio e a lista de controladores conforme o seu ambiente.
$domain = "xxx.local"
$dcs = @("dc01.xxx.local","dc02.xxx.local")
$ports = 53,88,135,389,445,464,3268
Write-Host "Testes de conectividade e portas..."
foreach (\$dc in \$dcs) {
foreach (\$port in \$ports) {
\$ok = Test-NetConnection -ComputerName \$dc -Port \$port -InformationLevel Quiet
"{0}:{1} - {2}" -f \$dc,\$port,(\$(if(\$ok){"OK"}else{"FALHA"}))
}
}
Write-Host "\`nDNS e registos SRV..."
Resolve-DnsName -Type SRV "\ldap.\tcp.dc.\_msdcs.\$domain" -ErrorAction SilentlyContinue
Resolve-DnsName -Type SRV "\kerberos.\tcp.\$domain" -ErrorAction SilentlyContinue
Write-Host "\`nSincronização de hora..."
w32tm /query /status
w32tm /stripchart /computer:\$(\$dcs\[0]) /samples:3 /dataonly Fluxo de decisão resumido
- Testar rede: ping e testes de porta para os controladores. Se falhar, corrigir rota e firewall.
- Ajustar DNS: apontar para DNS do AD; validar SRV na zona _msdcs.
- Sincronizar hora: garantir desvio inferior a cinco minutos e limpar tickets.
- Rever permissões e objeto: limpar objeto de computador antigo, usar credenciais adequadas.
- Tentar o ingresso novamente e, em caso de falha, coletar logs lado a lado cliente↔controlador.
Seguindo essa sequência, na maioria dos ambientes o erro de mapeamento de conta e a falha genérica do Netlogon deixam de ocorrer e o servidor passa a ingressar no domínio normalmente.
Exemplos de comandos úteis
| Tarefa | Comando | Quando usar |
|---|---|---|
| Descobrir um controlador disponível | nltest /dsgetdc:xxx.local | Verificar visibilidade do domínio. |
| Listar controladores conhecidos | nltest /dclist:xxx.local | Confirmar replicação e nomes. |
| Reparar canal seguro | nltest /sc_reset:xxx.local | Quando há “trust relationship failed”. |
| Forçar registro DNS do cliente | ipconfig /registerdns | Após corrigir DNS e nome. |
| Validar políticas | gpupdate /force | Depois de ingressar com sucesso. |
Boas práticas para ambientes corporativos
- Padronize suffix DNS do servidor para o domínio principal.
- Evite misturar DNS público e interno no mesmo adaptador do membro do domínio.
- Documente a OU de destino e use
OUPathnos scripts para consistência de GPO. - Mantenha um runbook com testes e saídas esperadas para acelerar troubleshooting sob pressão.
- Monitore dcdiag e repadmin periodicamente; muitos problemas no cliente derivam de saúde deficiente do AD.
Conclusão
Erros de ingresso em domínio no Windows Server 2022 com mensagens de mapeamento de conta e falha genérica de Netlogon quase sempre se resolvem com uma sequência disciplinada: rede funcionando, DNS do AD configurado, hora sincronizada, credenciais certas e serviços ativos. O servidor AZxxx, ao seguir o passo a passo acima, tende a ingressar no domínio xxx.LOCAL sem surpresas, e os eventos 1332 e 1003 deixam de aparecer.