Health Check do Active Directory: 10 Passos para um DC de Alta Disponibilidade

Guia avançado de diagnóstico para Controladores de Domínio Windows. Aprenda a validar replicação, DNS, FSMO e integridade do Sysvol com comandos profissionais.

março 4, 2026
10:53 am

Reparar e manter a saúde de Controladores de Domínio (DCs) é uma das tarefas mais críticas de um Administrador de Sistemas. Este checklist avançado foi refinado ao longo de décadas de consultoria, sendo aplicável desde versões legadas até o Windows Server 2025. Se o seu AD apresenta lentidão no logon, falhas de GPO ou inconsistências de DNS, este protocolo de 10 passos é o seu ponto de partida.

Resumo Técnico: Auditoria de DC
Dificuldade	Avançada (Nível Senior SysAdmin)
Tempo Estimado	45 - 90 minutos
Requisitos	Domain Admin, Acesso ao CMD/PowerShell, DNS íntegro

O Checklist de Saúde do Active Directory

Utilize esta lista sempre que promover um novo servidor, após uma queda de energia ou durante auditorias preventivas de segurança.

01. Validar IPs estáticos e apontamento de DNS (Loopback e Peers).
02. Testar resolução SRV via nslookup (essencial para localização do DC).
03. Verificar Zonas Reversas e registros PTR correspondentes.
04. Testar acesso via UNC Path ao Servidor (\\nomedoservidor.dominio).
05. Validar acesso ao FQDN do domínio (\\seudominio.local).
06. Executar DCDIAG para testar Netlogon, Sysvol e serviços base.
07. Auditar topologia de replicação com REPADMIN /SHOWREPL.
08. Verificar saúde do Sysvol (Migração de FRS para DFS-R concluída).
09. Validar detentores das FSMO Roles (Netdom query fsmo).
10. Localizar Catálogos Globais (GC) via nslookup gc._msdcs.dominio.

⚡ Forçando a Replicação Manual via REPADMIN

Em cenários de convergência crítica — como após a criação de novos usuários ou alteração de GPOs que precisam ser aplicadas imediatamente — o Administrador deve intervir. O comando repadmin /syncall é o padrão ouro para sincronização forçada entre controladores de domínio.

        
        # Sincronização padrão (PULL) de todas as partições para o servidor destino

        repadmin /syncall /AdP <NomeDoServidorDestino>

        # Forçar sincronização de todas as partições do 'Server1' (Enterprise)

        repadmin /syncall /AdPe Server1

        # Sincronizar e forçar que o 'Server1' envie dados (PUSH)

        repadmin /syncall /AdP Server1

Parâmetros Estratégicos Utilizados:

/A: Sincroniza todas as partições (Domain, Configuration e Schema).
/d: Exibe o Distinguished Name (DN), facilitando a identificação dos servidores.
/P (Push): Empurra as alterações do servidor de destino para os demais parceiros.
/e (Enterprise): Expande a replicação para todos os sites da floresta.

🚨 Diagnóstico de Falhas em Tempo Real:
Se o comando retornar RPC server is unavailable ou Access Denied (8453), valide imediatamente:

Resolução DNS: Teste o ping pelo FQDN entre os DCs.
Portas RPC: Verifique se as portas dinâmicas não estão bloqueadas no firewall.
Sincronia de Horário: Diferenças superiores a 5 minutos quebram a autenticação Kerberos.

Para validar a eficácia, utilize os relatórios: repadmin /showrepl para status individual ou repadmin /replsummary para um panorama geral da floresta.

Protocolo de Diagnóstico em Arquivo

Para uma análise sênior, automatize a coleta de resultados para arquivos de texto. Isso permite comparar logs de diferentes DCs e identificar discrepâncias rapidamente.

:: Coletar status de replicação
repadmin /showrepl > C:\Logs\repadmin_showrepl.txt
repadmin /replsummary > C:\Logs\repadmin_summary.txt

:: Validar integridade geral do DC
dcdiag /v > C:\Logs\dcdiag_full.txt

:: Verificar papéis FSMO e Catálogo Global
netdom query fsmo > C:\Logs\fsmo_roles.txt

Visão Sênior: Ao utilizar o dcdiag /fix, faça-o com cautela extrema. Ele tentará corrigir registros DNS faltantes, mas não resolve problemas de rede subjacentes ou falhas de replicação física entre sites.

Dica Bônus: Auditoria de Logon

Para descobrir em qual DC uma estação de trabalho autenticou, execute o comando abaixo no terminal da máquina cliente. Isso é vital para diagnosticar falhas de latência em sites específicos.

echo %logonserver%

Conversão de Edição (Evaluation para Standard/Datacenter)

Se o seu servidor foi instalado como Evaluation e precisa ser licenciado em produção:

DISM /online /Get-TargetEditions
DISM /online /Set-Edition:ServerStandard /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

Sua Empresa sofre com Instabilidades no Active Directory?

A recuperação de um controlador de domínio corrompido exige precisão cirúrgica para evitar a perda de identidade da rede.

Consultoria de Infraestrutura Sênior

Suporte Especializado via WhatsApp: (21) 92023-0605

Aproveite Ofertas Imperdíveis
de Produtos Eletrônicos nos nossos links de Afiliado

Não perca estas ofertas incríveis em produtos eletrônicos disponíveis através dos nossos links de afiliado! Aproveite esta oportunidade única para adquirir itens de qualidade a preços imbatíveis. Visite agora e descubra as promoções que podem transformar sua experiência de compra!