Luiz Henrique Lima Campos – Microsoft MVP

Verificando a Saúde do Active Directory no Windows Server 2025

3 de dezembro de 2024 por luizhenriquelima | 0 comentários

Garantir que o Active Directory (AD) está funcionando corretamente é essencial para a segurança e estabilidade do ambiente. O Windows Server 2025 traz diversas ferramentas para monitoramento e diagnóstico da integridade do AD, da replicação, do DNS e das contas de usuários. Aqui estão os principais comandos para verificar a saúde do Active Directory.

1. Verificando a Saúde Geral do Active Directory

Para verificar se o Controlador de Domínio (DC) está funcionando corretamente, utilize o seguinte comando:

Executar um diagnóstico completo do DC:

dcdiag /v

Se houver erros, eles serão listados na saída do comando.

Testar todos os Controladores de Domínio da Floresta

dcdiag /e /v

Esse comando verifica todos os Controladores de Domínio na floresta e exibe detalhes sobre falhas ou problemas.

Verificar um Controlador de Domínio específico

dcdiag /s:NomeDoServidor

Substitua NomeDoServidor pelo nome do seu DC para verificar apenas esse servidor.

2. Verificando a Replicação do Active Directory

O Active Directory precisa estar sincronizado entre os Controladores de Domínio. Para verificar o status da replicação, utilize:

Obter um resumo da replicação:

repadmin /replsummary

Este comando exibe um resumo geral do status de replicação entre os DCs.

Exibir detalhes de replicação de um Controlador de Domínio:

repadmin /showrepl

Isso mostrará a replicação entre os DCs e indicará possíveis problemas.

Forçar a replicação manualmente entre todos os DCs:

repadmin /syncall /AeD

Esse comando sincroniza imediatamente todos os Controladores de Domínio.

3. Verificando a Integridade do Banco de Dados do Active Directory

Se o banco de dados do AD estiver corrompido, pode ocorrer falha na autenticação dos usuários e problemas de replicação.

Verificar a integridade do banco de dados do AD (NTDS):

ntdsutil "activate instance ntds" "files" "integrity" quit quit

Caso o comando retorne erros, pode ser necessário reparar o banco de dados ou restaurar a partir de um backup.

4. Monitorando o Active Directory com PowerShell

O PowerShell fornece comandos para analisar o estado do AD e identificar problemas rapidamente.

Listar todos os Controladores de Domínio no ambiente:

Get-ADDomainController -Filter * | Select-Object Name, IPv4Address, Site, IsGlobalCatalog, OperatingSystem

Esse comando exibe informações detalhadas sobre os DCs ativos, como nome, endereço IP e função de Global Catalog.

Verificar contas bloqueadas no AD:

Search-ADAccount -LockedOut | Select-Object Name, SamAccountName, LockedOut

Isso retorna uma lista de usuários que foram bloqueados por falhas na autenticação.

Identificar contas de usuários inativos há mais de 90 dias:

Get-ADUser -Filter {LastLogonDate -lt (Get-Date).AddDays(-90)} -Properties LastLogonDate | Select Name, LastLogonDate

Este comando ajuda a identificar contas que não estão mais em uso, permitindo desativação ou exclusão.

5. Verificando a Configuração de DNS do Active Directory

O DNS é um componente essencial para o funcionamento do Active Directory. Se houver falhas no DNS, pode ocorrer problemas de login, replicação e autenticação.

Verificar se os registros DNS do AD estão corretos:

dcdiag /test:dns /v

Se houver problemas de DNS, esse comando os listará para correção.

Testar a resolução DNS manualmente:

nslookup -type=SRV _ldap._tcp.dc._msdcs.dominio.com

Substitua dominio.com pelo nome do seu domínio. Se o comando não retornar um servidor válido, pode haver um problema de configuração do DNS.

6. Verificando Logs de Eventos do Active Directory

O Windows Server mantém logs de eventos que ajudam na identificação de problemas críticos do Active Directory.

Verificar eventos críticos de replicação:

Get-EventLog -LogName Directory Service -EntryType Error -Newest 10

Esse comando lista os 10 erros mais recentes no log do AD.

Verificar tentativas de login mal-sucedidas:

Get-EventLog -LogName Security -InstanceId 4625 -Newest 20

Isso retorna as 20 falhas de autenticação mais recentes, útil para identificar possíveis ataques.

Conclusão

Monitorar o Active Directory é essencial para evitar falhas de autenticação, problemas de replicação e falhas no DNS. Com esses comandos, você pode: Verificar a saúde geral do AD
Testar a replicação entre DCs
Identificar contas bloqueadas ou inativas
Corrigir problemas de DNS
Monitorar falhas de login e segurança

Deixe uma resposta

Campos requeridos estão marcados *.