Ao tentar ingressar um Windows 11 no Active Directory, erros como 0x525 e 0x54b costumam apontar para falhas de DNS, conectividade RPC/LDAP, hora fora de sincronia ou restrições recentes de “re‑uso de conta” do NetJoin. Este guia prático mostra como diagnosticar e corrigir de ponta a ponta.
Visão geral do problema
Um administrador tenta adicionar uma VM Windows 11 ao domínio HOMEDOMAIN. O Netsetup.log revela mensagens como:
failed to find a DC having account 'W11‑1$': 0x525
failed to find a DC in the specified domain: 0x54b
Apesar disso, o Controlador de Domínio (DC) responde a ping e a nltest /dsgetdc. Esse contraste é típico quando alguns pré‑requisitos do Active Directory não estão totalmente atendidos — especialmente DNS, portas RPC/LDAP e regras de segurança introduzidas a partir de outubro/2022 para o processo de ingresso no domínio (NetJoin hardening).
Sintomas observados
- Tela de ingresso no domínio apresenta erro imediato após informar credenciais.
- Event Viewer no cliente registra falhas do Netlogon e do DNS Client.
nltest /dsgetdc:homedomain.localfunciona, porémAdd‑Computerou a interface do Sistema falham.- Objeto de computador existe no AD (às vezes desativado ou em OU incorreta), mas o re‑uso não funciona com a conta usada para ingressar.
Interpretação dos códigos de erro
Esses dois códigos mapeiam causas distintas do ponto de vista do cliente e do DC. Entender o que cada um significa evita tentativa‑erro.
| Código | Significado prático | Implicações comuns |
|---|---|---|
0x525 | O DC não localizou um controlador que já possua a conta de computador solicitada (ou não permite re‑uso). | Objeto duplicado, desativado ou em OU diferente da esperada. Bloqueio de re‑uso de conta introduzido pelo domain‑join hardening de 10/2022 (KB 5020276): apenas o criador do objeto ou um Domain Admin pode reutilizá‑lo. Inconsistência de replicação entre DCs (o DC consultado não “vê” a conta). |
0x54b (ERRORNOSUCH_DOMAIN) | O cliente não conseguiu localizar/contatar um DC para o domínio indicado. | DNS do cliente apontando para servidor externo (ou misto) em vez de apenas para os DCs. Portas essenciais (53, 88, 135, 389, 445, 49152–65535/TCP) bloqueadas por firewall. Uso do nome NetBIOS “HOMEDOMAIN” em vez do FQDN “homedomain.local”. Falhas intermitentes de consulta SRV (ldap.tcp.dc._msdcs). |
Como o ingresso no domínio funciona
De forma resumida, o fluxo de domain join envolve:
- Resolver via DNS os registros SRV do domínio (
ldap.tcp.dc._msdcs.homedomain.local) e escolher um DC. - Autenticar e estabelecer sessão RPC/SMB/LDAP com o DC selecionado.
- Criar (ou reutilizar) o objeto de computador (computer account) na OU definida, definindo a senha da conta de máquina.
- Registrar o canal seguro (secure channel) e reiniciar.
Qualquer falha nesses passos costuma aparecer como 0x54b (não achou/contatou DC) ou 0x525 (problema com a conta de computador). A seguir, um playbook prático para corrigir.
Guia de diagnóstico
DNS e conectividade
O DNS é o alicerce do Active Directory. A regra de ouro: o Windows 11 deve apontar exclusivamente para os servidores DNS do domínio (os DCs).
- Confirme no cliente:
ipconfig /all. Os “Servidores DNS” devem ser os IPs dos DCs (ex.: 192.168.81.14). - Limpe o cache DNS:
ipconfig /flushdns. - Teste SRV:
nslookup -type=SRV ldap.tcp.dc._msdcs.homedomain.local. - Teste portas com PowerShell:
Test-NetConnection 192.168.81.14 -Port 53 # DNS Test-NetConnection 192.168.81.14 -Port 88 # Kerberos Test-NetConnection 192.168.81.14 -Port 135 # RPC Endpoint Mapper Test-NetConnection 192.168.81.14 -Port 389 # LDAP Test-NetConnection 192.168.81.14 -Port 445 # SMB - Se existe firewall intermediário, libere a faixa dinâmica de RPC:
49152–65535/TCP(padrão em Windows Server modernos). - Não confie em
pingcomo critério: ICMP liberado não garante bind LDAP nem RPC.
Conta de computador
Para re‑uso de uma conta de computador existente (W11‑1$):
- Garanta que a conta está habilitada e na OU correta.
- Se deseja reutilizar: autentique‑se com o mesmo usuário que criou o objeto originalmente ou use uma conta de Domain Admins.
- Para eliminar dúvidas, delete/mova qualquer objeto
W11‑1$antigo antes de tentar novamente, ou pré‑crie a conta:New-ADComputer -Name "W11-1" ` -SamAccountName "W11-1$" ` -Path "OU=Workstations,DC=homedomain,DC=local"
Erros persistentes de 0x525 com a conta presente indicam, com frequência, que o DC consultado não replica a alteração (atraso de replicação) ou que a política de NetJoin bloqueia o re‑uso.
Hardening do NetJoin
Atualizações publicadas em outubro/2022 adicionaram uma proteção para evitar que usuários que não criaram a conta de computador a reutilizem. Efeitos práticos:
- Se você pré‑criou o computador, entre no domínio com as mesmas credenciais do criador ou com uma conta de Domain Admins.
- Se outra equipe criou a conta, peça que faça o ingresso ou delegue a permissão adequada para a OU em questão.
- Ambientes desatualizados podem “funcionar” de forma permissiva, mas falhar após aplicar cumulativos recentes; ajuste o processo de join ao padrão endurecido.
Política de segurança NTLM
Políticas muito restritivas de NTLM no DC podem impedir o ingresso inicial (especialmente se o cliente ainda não tem canal Kerberos plenamente funcional). Durante o teste, verifique:
- Network security: Restrict NTLM → Incoming NTLM traffic não deve estar em Deny all.
- Após a correção, você pode reendurecer a política — o objetivo é não bloquear a fase de ingresso.
Hora e nome de domínio
Kerberos rejeita autenticações quando a diferença de horário ultrapassa alguns minutos.
- Sincronize:
w32tm /resync - Confirme fonte:
w32tm /query /statusew32tm /query /source - Ao digitar o domínio, prefira o FQDN (
homedomain.local) em vez do nome NetBIOS (HOMEDOMAIN).
Coleta de logs e evidências
- Compare o
C:\Windows\debug\Netsetup.logda estação problemática com o de uma estação que ingressa com sucesso. - Habilite Netlogon debug temporariamente no cliente:
reg add HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters ` /v DbFlag /t REG_DWORD /d 0x2080FFFF /f net stop netlogon & net start netlogon - Captura integrada:
netsh trace start scenario=NetConnection capture=yes report=yes :: Reproduza o erro de ingresso netsh trace stop - No DC, verifique eventos nos logs Directory Service, DNS Server, Security (falhas de logon, carimbo de hora, SPNs, etc.).
Procedimento de correção, do zero
- Fixar DNS no Windows 11 apenas para os DCs; remover DNS externo do adaptador de rede.
- Limpar cache e testar SRV conforme comandos acima.
- Validar portas com
Test‑NetConnection(ou PortQry) para cada serviço crítico. - Sincronizar hora e confirmar a origem NTP.
- Tratar a conta de computador: pré‑criar na OU correta ou remover duplicatas/desativadas.
- Rever o hardening do NetJoin: use credenciais do criador do objeto ou uma conta com permissão explícita.
- Verificar política NTLM nos DCs e relaxar temporariamente se necessário.
- Tentar o ingresso com FQDN:
Add-Computer -DomainName homedomain.local ` -Credential HOMEDOMAIN\Administrator ` -OUPath "OU=Workstations,DC=homedomain,DC=local" -Restart
Script pronto para uso
Execute no cliente (PowerShell como Administrador). Ajuste IPs/OU conforme o seu ambiente.
# Limpeza e sincronização
ipconfig /flushdns
w32tm /resync
Testes rápidos de portas com o DC principal
Test-NetConnection 192.168.81.14 -Port 53
Test-NetConnection 192.168.81.14 -Port 88
Test-NetConnection 192.168.81.14 -Port 135
Test-NetConnection 192.168.81.14 -Port 389
Test-NetConnection 192.168.81.14 -Port 445
(Opcional) remover conta antiga do lado do DC, execute a partir de uma sessão remota com privilégios
Remove-ADComputer -Identity "W11-1" -Confirm:$false
Ingresso com OU explícita e credenciais de administrador do domínio
Add-Computer ` -DomainName homedomain.local`
-Credential HOMEDOMAIN\Administrator ` -OUPath "OU=Workstations,DC=homedomain,DC=local"`
-Restart Portas, serviços e como testar
| Serviço | Porta/Protocolo | Uso no ingresso | Como validar |
|---|---|---|---|
| DNS | 53/TCP, 53/UDP | Resolver SRV e DCs | nslookup, Test-NetConnection -Port 53 |
| Kerberos | 88/TCP, 88/UDP | Autenticação | Test-NetConnection -Port 88 |
| RPC Endpoint Mapper | 135/TCP | Descoberta de serviços | Test-NetConnection -Port 135 |
| LDAP | 389/TCP | Criação/consulta da conta | Test-NetConnection -Port 389 |
| SMB | 445/TCP | Canal seguro/arquivos | Test-NetConnection -Port 445 |
| RPC dinâmico | 49152–65535/TCP | Chamadas DCOM/RPC | Firewall/NAT com exceção para a faixa |
Checklist rápido
- DNS do cliente aponta exclusivamente para os DCs.
- SRV de
ldap.tcp.dc._msdcs.<domínio>retorna registros válidos. - Portas 53/88/135/389/445 + RPC dinâmico liberadas.
- Hora sincronizada (< 5 minutos de diferença do DC).
- Conta de computador corrigida (pré‑criada ou limpa) e permissão para re‑uso conforme hardening.
- Política de NTLM não bloqueia entradas (teste com Allow all temporariamente).
- Ingresso feito com FQDN do domínio.
Perguntas frequentes
“O DC responde a ping e o nltest /dsgetdc funciona. Por que ainda recebo 0x54b?”
Porque ping e a consulta de descoberta não garantem o êxito do bind LDAP/RPC. Se portas como 135/389/445 ou a faixa de RPC dinâmico estiverem bloqueadas, a descoberta funciona, mas a etapa de criação da conta falha — resultando em 0x54b.
Tenho a conta de computador no AD, mas recebo 0x525.
Com o endurecimento do NetJoin, o re‑uso só é permitido para o criador do objeto ou membros de Domain Admins. Use as mesmas credenciais do criador ou pré‑crie a conta com uma conta administrativa na OU correta.
Posso ingressar usando apenas o nome NetBIOS do domínio?
É possível, mas aumenta a chance de erro se houver homônimos ou problemas de sufixo DNS. O recomendado é usar sempre o FQDN (ex.: homedomain.local).
Como diferenciar um problema de replicação de um erro de permissão?
Se um DC “vê” o objeto e outro não, há indício de replicação. Teste com nltest /dclist:homedomain.local para listar os DCs e valide a presença do computador em cada um. Permissões negadas tendem a registrar eventos de falha de logon/ACEs insuficientes no log de Segurança do DC contatado.
Devo desativar o hardening do NetJoin?
Não. O ideal é ajustar processos e permissões para trabalhar com o padrão seguro: pré‑criar objetos na OU correta, delegar direitos de “Create/Delete Computer Objects” e utilizar credenciais adequadas para re‑uso.
Boas práticas adicionais
- Delegue criação de computadores nas OUs corretas (sem “liberar” todo o domínio).
- Padronize nomes de estações e limite re‑uso “criativo” de objetos antigos.
- Mantenha dcdiag e repadmin no radar do time de infraestrutura para detectar rapidamente falhas de DNS e replicação.
- Automatize o ingresso via Autopilot/Intune ou scripts assinados, reduzindo erros humanos.
Exemplo prático do início ao fim
- Defina DNS do cliente para 192.168.81.14 e limpe cache.
- Valide SRV e portas conforme seções anteriores.
- No AD, remova objetos antigos
W11‑1$ou pré‑crie na OUOU=Workstations,DC=homedomain,DC=local. - Faça o ingresso com
Add‑Computere credenciais adequadas; reinicie automaticamente. - Após o reboot, confirme o canal seguro:
nltest /sc_query:homedomain.local
Conclusão e resumo
As falhas 0x525 e 0x54b ao ingressar um Windows 11 no domínio quase sempre se explicam por quatro pilares: DNS correto, portas abertas, hora sincronizada e tratamento adequado da conta de computador segundo o hardening atual do NetJoin. Ao aplicar o roteiro acima, você ataca diretamente cada variável crítica: garante a descoberta via SRV, viabiliza o bind LDAP/RPC, elimina discrepâncias de tempo e respeita as regras modernas de re‑uso de objetos. Com isso, o ingresso volta a funcionar sem exibir 0x525/0x54b e o ambiente permanece aderente às melhores práticas de segurança.
Resumo operacional
- Use apenas DNS do AD no cliente.
- Teste SRV e portas 53/88/135/389/445 e RPC dinâmico.
- Sincronize
w32tme use FQDN do domínio. - Pré‑crie ou limpe a conta de computador e respeite o hardening de re‑uso.
- Revise NTLM apenas para testes, reendurecendo depois.