Se a sua VM com Windows Server 2016 perde a relação de confiança com o domínio e mostra “The security database on the server does not have a computer account for this workstation trust relationship”, este guia explica como corrigir de forma definitiva e evitar recorrências.
Visão geral do problema
Em alguns ambientes, uma máquina virtual (VM) do Windows Server 2016 passa a falhar o logon no domínio, emitindo a mensagem acima. No Event Viewer, surgem eventos com NULL SID e o status 0xC000018B (falha de relacionamento de confiança). O administrador acaba “saindo e reentrando” a máquina no domínio a cada poucos dias, solução que funciona apenas temporariamente. Outras VMs não apresentam a falha, o que indica um problema específico daquela VM ou da sua interação com o Active Directory (AD).
Sintomas e indicadores
- Mensagem de erro ao tentar autenticar com contas de domínio: “The security database on the server does not have a computer account for this workstation trust relationship”.
- Eventos de falha de autenticação no Event Viewer com NULL SID e código
0xC000018B. - Eventos do Netlogon e Kerberos no log System e Security, como falhas de sessão do computador.
- Êxito ao logar com conta local, mas falha com contas de domínio.
- Recuperação temporária após leave/join do domínio, voltando a quebrar após alguns dias.
Causas prováveis
As causas mais comuns estão resumidas na tabela abaixo, incluindo o que observar em cada categoria:
| Categoria | Possível origem da falha | Como reconhecer |
|---|---|---|
| Conta de computador | Objeto no AD inexistente, desabilitado ou com senha de máquina fora de sincronia com a da VM. | Objeto DOM\VM01$ ausente/desativado; Test-ComputerSecureChannel retorna False. |
| Sincronismo de hora | Desvio > 5 minutos entre VM, host e DC invalida tickets Kerberos. | Comando w32tm /query /status mostra stratum ou offset incoerentes. |
| SPN duplicado | Conflitos de SPN detectados por setspn -X prejudicam autenticações de serviço. | Relatório de duplicidade para SPNs como HOST/VM01, HOST/vm01.dom.local. |
| DNS | DC não resolvido, cache DNS corrompido ou DNS externo configurado na VM. | Resolve-DnsName falha para DCs; ipconfig /all aponta DNS não-AD. |
| Políticas de Grupo | Falhas de gpupdate impedem a renovação automática da senha da máquina. | Eventos 1058/1030 (Userenv) e 1202 (SCE); gpresult /r sem GPOs esperadas. |
| Rede/virtualização | Perda intermitente de conectividade às portas Kerberos/LDAP ou uso de snapshots antigos. | Pacotes perdidos em portas 88/389/445/135; instantâneos que voltam senha de máquina antiga. |
Plano de ação recomendado
Execute o seguinte runbook em ordem. Após cada etapa, valide o resultado com os testes rápidos listados mais adiante.
- Validar o objeto da VM no AD
- Confirme se o nome NETBIOS e o FQDN da VM coincidem com o objeto (
DOM\VM01$) no AD. - Se estiver corrompido/desativado, recrie ou reative o objeto com o mesmo nome; evite duplicatas.
- Confirme se o nome NETBIOS e o FQDN da VM coincidem com o objeto (
- Restabelecer o canal seguro (secure channel) Execute um dos métodos abaixo na VM afetada (requer credenciais com permissão no domínio): PowerShell
$dc = "DC01" $cred = Get-Credential "DOM\Adm" Test-ComputerSecureChannel -Server $dc -Repair -Credential $cred -Verbose Validação Test-ComputerSecureChannel -VerboseCMDnetdom resetpwd /Server:DC01 /UserD:DOM\Adm /PasswordD:* nltest /sc_verify:DOM nltest /sc_reset:DOM\DC01Dica: se preferir, utilizeReset-ComputerMachinePassword -Server DC01 -Credential $cred. - Sincronizar o tempo
w32tm /config /syncfromflags:domhier /update w32tm /resync /force w32tm /query /status w32tm /query /configurationGaranta que a VM usa os DCs como fonte de tempo (hierarquia do domínio). O PDC Emulator do domínio raiz deve sincronizar com NTP externo confiável. - Eliminar SPNs duplicados
setspn -X setspn -X -F setspn -Q HOST/VM01 :: Se houver SPN errado associado a outra conta: setspn -D HOST/VM01 OUTRA_CONTA$ :: Reassociar corretamente: setspn -S HOST/VM01 DOM\VM01$ setspn -S HOST/vm01.dom.local DOM\VM01$ - Corrigir DNS
- Configure apenas controladores de domínio do AD como DNS primários/secundários da VM.
- Limpe e registre novamente:
ipconfig /flushdns ipconfig /registerdns Resolve-DnsName DC01 -Type A Resolve-DnsName ldap.tcp.dc._msdcs.DOM -Type SRV - Forçar a aplicação de GPOs
gpupdate /force gpresult /r /scope computerInvestigue eventos 1058/1030 (Userenv) e 1202 (SCE) se houver falhas de processamento. - Revisar configuração da VM
- NIC/VLAN corretas, firewall liberando portas para AD/Kerberos (ver tabela abaixo).
- Confirme que snapshots/clones não restauram o estado antigo da senha de máquina.
- Verifique integração de tempo com o host de virtualização para não competir com o AD.
- Examinar logs detalhadamente
- System: filtre eventos de Netlogon e falhas de sessão do computador.
- Security: monitore falhas Kerberos e NTLM.
- Arquivo
C:\Windows\debug\NetSetup.logpara erros de junção/rejunção de domínio. - Use captura de rede para ver TGS-REQ/TGS-REP e CLDAP.
- Automatizar a prevenção
- GPO Domain member: Disable machine account password changes deve permanecer Desativada.
- Mantenha Domain member: Maximum machine account password age no padrão (30 dias).
- Agende um
Test-ComputerSecureChannel -Repairsemanal como contingência.
- Escalonar se persistir Se a relação continuar se rompendo após as validações, investigue replicação do AD, saúde dos DCs e infraestrutura de virtualização. Pode haver corrupção no AD ou problemas de rede intermitentes.
Validações rápidas
- Canal seguro:
Test-ComputerSecureChannel -Verbosedeve retornar True. - Autenticação: logon com conta de domínio deve funcionar sem a mensagem de falha.
- Eventos: ausência de novos eventos de quebra de sessão do computador nas últimas 24–72 horas.
- Hora:
w32tm /query /statuscom offset pequeno (milissegundos).
Diagnóstico aprofundado
Eventos relevantes
Filtre eventos de Netlogon e Kerberos no Event Viewer para acelerar o diagnóstico. Um exemplo de consulta XML para o log System:
<QueryList>
<Query Id="0" Path="System">
<Select Path="System">*[System[Provider[@Name='NETLOGON'] and (EventID=5722 or EventID=5805 or EventID=5829 or EventID=5719)]]</Select>
</Query>
</QueryList>
No log Security, acompanhe 4768/4769/4771 (Kerberos) e 4776 (NTLM) para entender o padrão de falha.
Saúde do Active Directory
dcdiag /v
repadmin /replsummary
repadmin /showrepl
Falhas aqui indicam problemas maiores (replicação, DNS, SYSVOL) que podem afetar a renovação da senha da máquina e a criação de canais seguros.
Conectividade de rede e portas
Verifique se a VM alcança os DCs pelas portas necessárias. Uma política de firewall excessivamente restritiva causa quebras esporádicas.
| Serviço | Porta/Protocolo | Uso |
|---|---|---|
| DNS | 53/TCP, 53/UDP | Resolução de nomes |
| Kerberos | 88/TCP, 88/UDP | Autenticação |
| LDAP | 389/TCP, 389/UDP | Consultas ao AD |
| LDAPS | 636/TCP | LDAP seguro |
| Global Catalog | 3268/TCP, 3269/TCP | Consultas multi-domínio |
| RPC Endpoint Mapper | 135/TCP | Mapeamento RPC |
| SMB/Netlogon | 445/TCP | Canal seguro, GPOs |
| RPC dinâmico | 49152–65535/TCP | Chamadas RPC |
| NTP | 123/UDP | Sincronismo de hora |
Exemplos úteis:
Test-NetConnection DC01 -Port 88
Test-NetConnection DC01 -Port 389
Test-NetConnection DC01 -Port 445
DNS na prática
- Evite DNS público/externo na NIC da VM; use somente os DCs do AD.
- Cheque registros SRV do AD:
Resolve-DnsName ldap.tcp.dc._msdcs.DOM -Type SRV. - Recrie o registro A da VM se inconsistências persistirem (
ipconfig /registerdns).
Tempo e virtualização
O Kerberos rejeita tickets com desalinhamento de relógio acima da tolerância (padrão 5 minutos). Em VMs, o time sync com o host pode competir com a hierarquia do domínio. Recomendações:
- Mantenha
w32tmconfigurado para domhier na VM. - Em DCs, desabilite sincronização de tempo com o host e aponte o PDC Emulator para NTP externo confiável.
- Em servidores membro, prefira a hierarquia do domínio; ajuste o provedor de tempo do host apenas se necessário.
SPNs duplicados
SPNs em duplicidade redirecionam autenticações para a conta errada, quebrando o canal seguro ou GSSAPI. Corrija com setspn e replique as mudanças entre DCs.
Políticas de Grupo
Se a aplicação de GPO falha, a VM pode deixar de alterar sua senha de máquina periodicamente. Verifique:
- Domain member: Disable machine account password changes = Desativada.
- Domain member: Maximum machine account password age = 30 dias (padrão).
- Acesso consistente a
\\DOM\SYSVOLe\\DOM\NETLOGON.
Snapshots e clones
Restaurar snapshots antigos faz a VM “voltar no tempo”, inclusive com a senha de máquina antiga, divergindo do AD. Boas práticas:
- Evite snapshots de longa duração em servidores membros de domínio.
- Se precisar clonar, use sysprep e crie novo objeto de computador.
- Após restore, execute o runbook de reparo do canal seguro.
Automação e prevenção
Verificação programada do canal seguro
Crie uma tarefa agendada que repara o canal se necessário (executar como conta com privilégio adequado):
$action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-NoProfile -WindowStyle Hidden -Command `"if (-not (Test-ComputerSecureChannel)) { Test-ComputerSecureChannel -Repair -Verbose }`""
$trigger = New-ScheduledTaskTrigger -Weekly -DaysOfWeek Sunday -At 03:00
Register-ScheduledTask -TaskName "Repair-SecureChannel" -Action $action -Trigger $trigger -RunLevel Highest
Políticas de senha de máquina
- Não desative a alteração automática de senha da conta de computador.
- Evite aumentar muito o “Maximum machine account password age”; valores altos retardam a detecção de corrupção.
Perguntas frequentes
Reentrar no domínio resolve de vez? Normalmente apenas mascara o problema. Se a causa raiz for tempo, DNS, SPN ou rede, a falha retornará.
Devo reiniciar o serviço Netlogon? Pode ajudar após o reparo: Restart-Service Netlogon -Force. Mas reiniciar sem corrigir a causa não evita nova quebra.
Posso usar a conta local para executar os passos? Sim, desde que você forneça credenciais de domínio quando solicitado (por exemplo, em Get-Credential ou /UserD).
Isso se aplica só ao Windows Server 2016? Os princípios valem para outras versões (2012 R2, 2019, 2022) e também para clientes Windows, com adequações.
Apêndice de comandos úteis
Reparo e verificação do canal
# PowerShell
Test-ComputerSecureChannel -Verbose
Test-ComputerSecureChannel -Repair -Verbose
Reset-ComputerMachinePassword -Server DC01 -Credential (Get-Credential)
CMD
netdom resetpwd /Server\:DC01 /UserD\:DOM\Adm /PasswordD:\*
nltest /sc\_verify\:DOM
nltest /sc\_reset\:DOM\DC01 Tempo
w32tm /config /syncfromflags:domhier /update
w32tm /resync /force
w32tm /query /status
w32tm /query /configuration
DNS e rede
ipconfig /flushdns
ipconfig /registerdns
Resolve-DnsName DC01 -Type A
Resolve-DnsName kerberos.tcp.DOM -Type SRV
Test-NetConnection DC01 -Port 88
Test-NetConnection DC01 -Port 389
SPN
setspn -X
setspn -X -F
setspn -Q HOST/VM01
setspn -D HOST/VM01 CONTA_ERRADA$
setspn -S HOST/VM01 DOM\VM01$
GPO e AD
gpupdate /force
gpresult /r /scope computer
dcdiag /v
repadmin /replsummary
repadmin /showrepl
Logs do Windows
notepad C:\Windows\debug\NetSetup.log
wevtutil qe System /q:"*[System[Provider[@Name='NETLOGON'] and (EventID=5722 or EventID=5805 or EventID=5829)]]" /f:text /c:20
Critérios de conclusão
- Canal seguro validado como True e estável.
- Sem novos eventos de quebra de relação de confiança por vários ciclos de senha de máquina (30 dias é uma boa referência).
- Tempo alinhado, DNS consistente e conectividade confiável com os DCs.
Resumo executivo
O erro de relacionamento de confiança costuma ter origem em três pilares: conta de computador fora de sincronia, tempo desalinhado e DNS/rede inconsistentes. Ao validar o objeto no AD, reparar o secure channel, ajustar o w32tm, eliminar SPNs duplicados, corrigir DNS e garantir a aplicação das GPOs, a VM volta a autenticar normalmente e permanece estável. Mantenha uma checagem agendada do canal seguro e evite snapshots antigos para prevenir recidivas.
Resultado esperado
Com o objeto de computador íntegro, o sincronismo de tempo garantido e o DNS correto, o canal seguro permanece válido e a VM volta a autenticar no domínio de forma contínua, eliminando a necessidade de desvincular e reingressar a cada poucos dias.