Pular para o conteúdo principal

Active Directory - Erro de replicação entre sites

Em de comunicação entre SITES -  Erro 5 (Acesso Negado).

Quase sempre que esse erro ocorre entre Controladores de Domínio (DCs), o problema é um firewall bloqueando as portas de RPC (Remote Procedure Call).

O Active Directory usa um conjunto complexo de portas, mas elas podem ser divididas em algumas categorias principais. Para a replicação entre seus DCs, você precisa garantir que as seguintes portas estejam abertas:

🛡️ 1. Portas Críticas de Replicação (Onde o Erro 5 costuma ocorrer)

Este é o grupo mais importante e o mais provável de estar causando seu problema. A replicação do AD depende fortemente do RPC.

  • TCP 135 (RPC Endpoint Mapper): Pense nesta porta como a "recepcionista" do servidor. O seu DC contata o SERVER-DC1 na porta 135 e pergunta: "Em qual porta está o serviço de replicação do AD agora?"

  • TCP 49152 a 65535 (Faixa Dinâmica de RPC): A "recepcionista" (porta 135) responderá: "O serviço está em uma porta alta, como a 51234." O seu DC então inicia a replicação nessa porta alta.

    • Nota: Esta é a faixa padrão para Windows Server 2008 e mais recentes. Se seus servidores forem muito antigos (Windows 2003), a faixa era 1025-5000.

Ponto-chave: Muitos administradores liberam as portas LDAP (389) e Kerberos (88), mas esquecem de liberar a faixa dinâmica alta de RPC. Um firewall de rede entre os servidores (especialmente se um for EC2 na nuvem e o outro for local) é o suspeito número 1 para o Erro 5.

🔑 2. Portas de Autenticação e Consulta

Embora estas sejam mais usadas por clientes, os próprios DCs as usam para se autenticar e localizar serviços.

  • TCP/UDP 88 (Kerberos): A principal porta de autenticação do AD.

  • TCP/UDP 389 (LDAP): A porta padrão para consultar o AD (encontrar usuários, grupos, etc.).

  • TCP 636 (LDAP Seguro - SSL): Versão criptografada do LDAP.

  • TCP 3268 (Global Catalog): Usado para pesquisar objetos em toda a floresta (essencial em ambientes com múltiplos domínios).

  • TCP 3269 (Global Catalog Seguro - SSL): Versão criptografada do Catálogo Global.

  • TCP 445 (SMB): Usado para acessar GPOs (Group Policies) e scripts no SYSVOL. A replicação do SYSVOL (DFSR) também depende disso.

🗺️ 3. Portas Essenciais de Suporte

Sem estas, o AD nem consegue começar a conversa:

  • TCP/UDP 53 (DNS): A porta mais importante de todas. Os DCs se encontram usando registros DNS (SRV records). Se o DNS estiver bloqueado, nada mais funciona.

  • UDP 123 (NTP - Network Time Protocol): Sincronização de horário. Se o relógio dos DCs estiver diferente por mais de 5 minutos, o Kerberos falha e você recebe "Acesso Negado". 

🗺️ 4. Testar Conectividade de Portas (Test-NetConnection)

  • Isso é o mais importante para o seu Erro 5 (Acesso Negado), que pode ser um firewall. Execute estes comandos no seu DC local, apontando para o servidor problemático (ex: SERVER-DC1).
  • Use este comando do PowerShell:

    5. Comandos para executar (substitua pelo seu servidor):

PowerShell
# Teste o servidor com "Acesso Negado"

Test-NetConnection SERVER-DC1 -Port XX

O que procurar:

  • TcpTestSucceeded : True = BOM. A porta está aberta.

  • TcpTestSucceeded : False = RUIM. Isso confirma que um firewall, ou o serviço no servidor de destino, está bloqueando a conexão. Se a porta 135 falhar, a replicação é impossível.

💡 Resumo e Ação Recomendada

Para corrigir o Erro 5 (Acesso Negado) no servidor SERVER-DC1:

  1. Valide o Firewall: Verifique todos os firewalls entre os DCs (Firewall do Windows local, Firewalls de rede, Security Groups na AWS) e garanta que as portas TCP 135 e a faixa TCP 49152-65535 estão liberadas.

  2. Valide o DNS: Use nslookup de um DC para o outro para garantir que eles se resolvem corretamente.

  3. Valide o Horário: Force a sincronização de horário no servidor problemático.

  4. Teste a comunicação com as portas.




Comentários

Postar um comentário

Postagens mais visitadas deste blog

O que são FSMO - Flexible Single-Master Operation.

O Active Directory ou apenas AD é  o repositório central no qual todos os objetos de uma rede de computadores empresarial e seus respectivos atributos são armazenados. É um banco de dados hierárquico que pode armazenar milhões de objetos e as alterações nestes objetos podem ser processadas por qualquer servidor do AD, chamados de  controladores de domínio* . *No dia a dia de trabalho, muitas vezes nos referimos aos controladores de domínio, pelo termo em inglês, Domain Controller ou a sua sigla, DC. Leia também:  Active Directory e Microsoft Entra ID: A base do gerenciamento de identidade e acesso. As funções FSMO desempenham um papel fundamental na integridade do AD.  O Active Directory  fornece a flexibilidade de permitir que as alterações ocorram em qualquer controlador de domínio e a maneira que o AD lida com atualizações conflitantes é ter um algoritmo de resolução de conflitos, no qual as últimas alterações gravadas prevalecem.   Embora esse méto...
Postar um comentário
Leia mais »

Como transferir as FSMO no Windows Server

Um dos maiores medos de um administrador é perder os controladores de domínio que tem as FSMO - Flexible Single-Master Operation, m as não se preocupe tanto, porque há como transferi-las, mesmo perdendo definitivamente o servidor. Neste tutorial vamos abordar exclusivamente a transferência das FSMO com o utilitário Ntdsutil.exe pelo prompt de comando. Antes de transferir as FSMO, lembre-se que: A possibilidade de transferência não exclui a necessidade de backup dos Windows Servers do Active Directory. Recomenda-se manter as funções Domain Naming Master e Schema Master no mesmo DC, que deve ser um  servidor  de Catálogo Global (GC) simultaneamente; Se você perdeu o servidor com a função Schema Master, poderá   atribuir essa função a qualquer outro controlador de domínio   .  Mas tenha em mente que o Schema Master original não deverá aparecer na rede depois disso; Se você chegou aqui e não sabe o que são FSMO e a importância de cada uma das funções, leia o artig...
Postar um comentário
Leia mais »

Como obter sua chave do produto do Windows com o prompt de comando.

Se quiser obter sua chave do produto do Windows 10 ou do Windows 11, a maneira mais fácil de fazer é com o prompt de comando do Windows. O que é a chave do produto do Windows? Uma chave do produto ou licença do Windows é um código de 25 caracteres,   formatada como "XXXXX-XXXXX-XXXXX-XXXXX-XXXXX", que a Microsoft fornece para ativar uma única cópia do Windows em um computador. A chave do produto de ativação do Windows 10 é essencial se você deseja atualizar ou instalar o sistema de forma limpa. No entanto, muitos usuários não têm ideia de onde a chave está armazenada. Esse artigo vai ajudar a encontra-la. Vamos lá !! Primeiro, pressione a tecla Windows, procure por "cmd" e clique em "Run as administrator" (Executar como administrador, em português): Em seguida, execute o comando abaixo: wmic path softwarelicensingservice get OA3xOriginalProductKey Ou execute o comando em powershell: powershell "(Get-WmiObject -query ‘select * from SoftwareLicensingSer...
Postar um comentário
Leia mais »