Se você implantou o Deep Freeze em máquinas ingressadas em domínio e encontrou o erro "O relacionamento de confiança entre esta estação de trabalho e o domínio principal falhou", você não está sozinho. Esta é uma das perguntas mais comuns que recebemos de administradores de TI que gerenciam ambientes do Active Directory.
Aqui estão as boas notícias de antemão: este problema é completamente evitável com a configuração adequada, e as versões modernas do Deep Freeze o tratam automaticamente na maioria dos casos. Mas entender por que ele acontece ajuda você a configurar as coisas corretamente desde o início - e a solucionar problemas se você herdar uma implantação mais antiga.
Vamos detalhar exatamente o que causa problemas de confiança de domínio com máquinas congeladas, como o Deep Freeze lida com isso internamente e o que você precisa fazer para garantir que seus PCs ingressados em domínio permaneçam saudáveis.
O que Realmente Causa a Perda de Confiança de Domínio
Para entender o problema, você precisa entender como a autenticação de computador do Active Directory funciona.
Quando um computador ingressa em um domínio do Active Directory, duas coisas acontecem: uma conta de computador é criada no AD e um segredo compartilhado (senha) é estabelecido entre esse computador e o domínio. Essa senha é armazenada tanto no Active Directory quanto localmente na máquina em um local protegido do registro.
Toda vez que o computador é iniciado e se conecta à rede, ele se autentica no AD usando essa senha - antes que qualquer usuário faça login. Se as senhas coincidirem, o canal seguro é estabelecido e tudo funciona normalmente.
Aqui está o ponto crucial: por padrão, o Windows altera automaticamente a senha dessa conta de computador a cada 30 dias. A máquina inicia a alteração, atualiza a cópia local e a cópia do AD, e a vida continua.
Em uma máquina congelada, esse processo falha.
Quando um computador congelado inicia uma alteração de senha, ele atualiza com sucesso o Active Directory. O AD agora espera a nova senha. Mas quando a máquina é reiniciada, o Deep Freeze apaga todas as alterações - incluindo a nova senha armazenada localmente. A máquina retorna à sua linha de base, que contém a senha antiga.
Agora você tem uma incompatibilidade: o AD tem a nova senha, a máquina local tem a senha antiga e elas não conseguem se autenticar. O login no domínio falha. Você vê o temido erro de relacionamento de confiança.
Isso não acontece imediatamente. O AD retém tanto a senha atual quanto a senha anterior (para lidar com breves lacunas de sincronização), então as máquinas normalmente sobrevivem a pelo menos um ciclo de alteração de senha. Mas se uma máquina congelada com uma linha de base desatualizada tentar se autenticar após o AD ter passado por duas alterações de senha, a confiança é quebrada.
Como o Deep Freeze Lida com Isso (Desde a Versão 7.6)
Reconhecemos esse problema anos atrás, e o Deep Freeze inclui tratamento automático desde a versão 7.6 (lançada em 2013). Veja como funciona:
Supressão de alteração de senha enquanto congelado. Quando uma máquina está em estado congelado, o Deep Freeze suprime as alterações de senha da conta de computador. A máquina não inicia uma solicitação de alteração de senha para o AD, portanto, nenhuma incompatibilidade pode ocorrer. A senha atual na linha de base congelada permanece válida.
Sincronização de senha ao descongelar. Quando a máquina entra em um estado descongelado (durante janelas de manutenção), o Deep Freeze permite o comportamento normal de alteração de senha. Se uma alteração de senha estiver pendente, ela ocorrerá enquanto descongelada, será gravada tanto no AD quanto na máquina local, e quando você recongelar, a nova senha será capturada na linha de base atualizada.
Este tratamento automático significa que, desde que você esteja executando uma versão razoavelmente atual do Deep Freeze e agendando janelas de manutenção regulares, problemas de confiança de domínio não devem ocorrer. O sistema se gerencia.
Observação importante: isso só funciona se você tiver períodos de descongelamento regulares. Se uma máquina permanecer congelada continuamente por meses sem nunca descongelar, a senha suprimida nunca terá a chance de ser atualizada, e eventualmente a incompatibilidade entre o que o AD espera e o que a linha de base contém pode causar problemas quando a máquina finalmente precisar restabelecer a confiança.
Como Prevenir Problemas de Confiança Totalmente
A prevenção é simples. Aqui estão suas opções, aproximadamente em ordem de preferência:
Opção 1: Agende janelas de manutenção regulares (recomendado). Esta é a abordagem mais simples e melhor. Se você está descongelando máquinas pelo menos mensalmente para atualizações do Windows - o que você já deveria estar fazendo - as senhas das contas de computador serão sincronizadas durante esses períodos de descongelamento. O Deep Freeze cuida do resto automaticamente.
A maioria das organizações agenda manutenção semanal ou quinzenal. Isso é mais do que suficiente. O ciclo de alteração de senha de 30 dias tem bastante oportunidade de ser concluído com sucesso.
Opção 2: Desative as alterações de senha da conta de máquina via Política de Grupo. Se você tem máquinas que raramente ou nunca descongelam - quiosques, por exemplo - você pode desativar as alterações automáticas de senha completamente. Defina a seguinte Política de Grupo:
Configuração do Computador → Configurações do Windows → Configurações de Segurança → Políticas Locais → Opções de Segurança → Membro do domínio: Desabilitar alterações de senha da conta de computador → Habilitado
Com esta política, o computador nunca tenta alterar sua senha, então nenhuma incompatibilidade pode ocorrer. A senha original do ingresso no domínio permanece válida indefinidamente.
Consideração de segurança: Alguns frameworks de segurança recomendam a rotação regular de senhas. Desabilitar alterações de senha de máquina tecnicamente enfraquece isso. Para máquinas de acesso compartilhado em ambientes de baixa segurança (laboratórios de escolas, computadores de biblioteca), isso geralmente é aceitável. Para máquinas que lidam com dados sensíveis, janelas de manutenção regulares são preferíveis.
Opção 3: Estenda o intervalo de alteração de senha. Em vez de desabilitar as alterações de senha completamente, você pode estender o intervalo. Por padrão, são 30 dias; você pode definir para 90, 180 ou 365 dias via Política de Grupo:
Configuração do Computador → Configurações do Windows → Configurações de Segurança → Políticas Locais → Opções de Segurança → Membro do domínio: Idade máxima da senha da conta de computador → [dias]
Isso lhe dá mais margem de manobra se as janelas de manutenção forem infrequentes, mantendo a rotação de senha.
Opção 4: Inclua a política em sua linha de base congelada. Você também pode definir a desativação da alteração de senha via registro antes de congelar. Adicione isso à sua imagem de linha de base:
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange = 1
Isso alcança o mesmo resultado da abordagem da Política de Grupo, mas está embutido na imagem em vez de ser aplicado dinamicamente.
Melhores Práticas para Estabilidade a Longo Prazo
Além do problema específico da senha, aqui estão recomendações mais amplas para executar o Deep Freeze sem problemas em ambientes do Active Directory:
Certifique-se de estar em uma versão atual do Deep Freeze. O tratamento automático de senhas que descrevemos está no produto desde a versão 7.6, e as versões subsequentes refinaram o comportamento. Se você estiver executando algo antigo, atualize. As versões atuais lidam com a integração de domínio de forma muito mais graciosa.
Agende janelas de manutenção consistentemente. Manutenção semanal ou quinzenal para atualizações do Windows fornece naturalmente os períodos de descongelamento necessários para a sincronização de senhas. Não deixe as máquinas ficarem meses sem descongelar.
Atualize sua linha de base após a manutenção. Quando as máquinas descongelam e atualizam, elas devem recongelar com o novo estado - incluindo quaisquer alterações de senha. Se você estiver gerenciando linhas de base manualmente, certifique-se de que o estado pós-manutenção se torne a nova linha de base.
Monitore máquinas que perdem a manutenção. O Deep Freeze Cloud fornece relatórios sobre a conclusão de tarefas de manutenção. Máquinas que estão desligadas durante a manutenção agendada perdem sua janela de descongelamento. Identifique-as e certifique-se de que elas se atualizem.
Documente sua configuração de domínio. Registre se você está usando a rotação de senha padrão, senhas desabilitadas ou intervalos estendidos. O próximo administrador agradecerá.
Teste com um grupo piloto. Antes da implantação em massa, execute um pequeno piloto por 60-90 dias - tempo suficiente para passar por múltiplos ciclos de alteração de senha. Verifique se os relacionamentos de confiança permanecem saudáveis antes de implantar amplamente.
Resolvendo Problemas de Confiança Quando Eles Ocorrem
Se você já encontrou uma falha no relacionamento de confiança, veja como resolvê-la:
Etapa 1: Descongele a máquina afetada. Você precisará fazer login com uma conta de administrador local (não uma conta de domínio, já que a autenticação de domínio está quebrada). Descongele a máquina para que as alterações persistam.
Etapa 2: Redefina a senha da conta do computador. Você tem várias opções:
PowerShell (recomendado): Abra um prompt do PowerShell elevado e execute:
Reset-ComputerMachinePassword -Server SeuControladorDeDominio -Credential Dominio\Admin
Ou use:
Test-ComputerSecureChannel -Repair -Credential Dominio\Admin
Qualquer um dos comandos redefine a senha do computador e a sincroniza com o AD. Se bem-sucedido, a autenticação de domínio deve funcionar imediatamente.
Usuários e Computadores do Active Directory: Alternativamente, a partir de um controlador de domínio ou estação de trabalho de gerenciamento, abra o ADUC, localize o objeto do computador, clique com o botão direito e selecione "Redefinir Conta". Em seguida, reingresse a máquina do lado do cliente.
Etapa 3: Recongele com o estado corrigido. Uma vez que a confiança seja restaurada, recongele a máquina. A nova senha correta agora faz parte da linha de base congelada.
Etapa 4: Prevenha a recorrência. Implemente uma das estratégias de prevenção descritas acima - janelas de manutenção regulares, alterações de senha desabilitadas ou intervalos estendidos - para que isso não aconteça novamente.
Perguntas Frequentes
Com que frequência isso realmente acontece?
Com versões atuais do Deep Freeze e janelas de manutenção regulares, é raro. Nós o vemos principalmente em dois cenários: implantações legadas executando versões muito antigas do Deep Freeze sem tratamento automático de senhas, ou máquinas que não descongelaram por longos períodos (meses). Implantações modernas configuradas corretamente não experimentam esse problema.
Isso é um bug do Deep Freeze?
Não, é uma consequência natural de como a tecnologia de restauração em reinicialização interage com o mecanismo de rotação de senhas do Active Directory. Qualquer sistema que restaura o estado na reinicialização enfrentaria o mesmo desafio. O Deep Freeze aborda isso suprimindo alterações de senha enquanto congelado e permitindo-as durante os períodos de descongelamento - o que funciona perfeitamente quando a manutenção é agendada regularmente.
Os problemas de confiança podem ser totalmente prevenidos?
Sim. Agende janelas de manutenção regulares (recomendado) ou desabilite as alterações de senha da conta de computador via Política de Grupo. Qualquer uma das abordagens elimina a possibilidade de incompatibilidade de senha. Milhares de organizações executam o Deep Freeze em máquinas ingressadas em domínio sem problemas de confiança porque configuraram uma dessas abordagens.
Isso afeta máquinas ingressadas no Azure AD?
O Azure AD (agora Entra ID) usa mecanismos de autenticação diferentes do Active Directory tradicional. O comportamento específico de rotação de senha da conta de computador discutido aqui se aplica a ingressos em domínio AD local. Máquinas ingressadas no Azure AD e híbridas têm suas próprias considerações. Entre em contato conosco se você estiver implantando em ambientes do Azure AD e poderemos fornecer orientação específica.
E se eu não souber a senha de administrador local?
Esta é uma complicação comum. Se a confiança estiver quebrada e você não tiver credenciais de administrador local, você pode tentar fazer login com credenciais de domínio em cache enquanto desconectado da rede. Alternativamente, você precisará usar ferramentas de recuperação de senha ou reimplantar. Este é um bom argumento para garantir que as credenciais de administrador local sejam documentadas e acessíveis - ou usar o LAPS (Local Administrator Password Solution) para gerenciá-las.
Devo desabilitar as alterações de senha em todas as máquinas congeladas?
É a abordagem mais simples, mas nem sempre necessária. Se você já está agendando manutenção regular (semanal ou quinzenal), as senhas sincronizam naturalmente durante os períodos de descongelamento e a desabilitação não é necessária. A desabilitação faz mais sentido para máquinas que raramente descongelam - quiosques dedicados, por exemplo - ou em ambientes onde a simplicidade supera os requisitos rigorosos de rotação de senha.
A Conclusão: Um Problema Resolvido
Problemas de confiança de domínio com o Deep Freeze são bem compreendidos e totalmente evitáveis. Versões modernas do Deep Freeze lidam com a complexidade automaticamente - desde que você agende janelas de manutenção regulares, a sincronização de senhas ocorre perfeitamente em segundo plano.
Para máquinas que raramente descongelam, desabilitar as alterações de senha da conta de computador via Política de Grupo elimina o problema completamente.
Se você herdou uma implantação com problemas de confiança, a correção é simples: descongele, redefina a senha, recongele e implemente a prevenção adequada daqui para frente.
Milhares de organizações executam o Deep Freeze em máquinas ingressadas em domínio em escolas, empresas e agências governamentais sem problemas de confiança. Com a configuração adequada, você também o fará.
Precisa de Ajuda com Sua Implantação de Domínio?
Nossa equipe de suporte tem vasta experiência com ambientes do Active Directory. Entre em contato se precisar de orientação de implantação.
