- Identifique se o controlador de domínio está bloqueado no modo de segurança e diferencie entre inicialização mínima, inicialização pela rede e modo de reparo dos serviços de diretório.
- Utilize o msconfig, o bcdedit e a conta oculta de Administrador para reverter a Inicialização Segura e recuperar o acesso ao sistema.
- Verifique se há falhas de atualização, espaço disponível na partição reservada do sistema e possíveis conflitos com o software de backup.
- Recorra ao WinRE, à restauração do sistema e à documentação oficial da Microsoft quando as medidas básicas não forem suficientes.
Quando um controlador de domínio inicia em modo de segurança ou fica travado ao tentar... Reparar o Active Directory no modo de segurançaPodem surgir diversos problemas: loops de inicialização, erros na instalação de atualizações, problemas de login ou a impossibilidade de usar a rede. Embora possa parecer um desastre, na maioria dos casos o sistema pode ser recuperado com uma combinação de ferramentas do Windows, comandos e algumas verificações básicas de espaço em disco e software.
Neste artigo, veremos, em detalhes e em linguagem simples, como agir quando o domínio entra inesperadamente em modo de segurança, como sair dele, o que fazer se o problema surgir após uma atualização do Windows Server e como aproveitar as oportunidades de recuperação. opções avançadas de recuperação e o usuário administrador oculto, além de alternativas caso nenhuma dessas opções funcione. A ideia é fornecer um guia completo, do mais simples ao mais avançado, tanto para computadores cliente quanto para servidores Windows que atuam como controladores de domínio.
O que é o modo de segurança e por que ele afeta o Active Directory?
O modo de segurança é um ambiente de inicialização mínimo no qual o Windows carrega apenas os componentes essenciais. controladores e serviços essenciaisEm servidores que atuam como controladores de domínio, isso pode interferir nos serviços do Active Directory, na replicação, nas políticas de grupo e no acesso dos usuários à rede.
Quando um controlador de domínio é inicializado no modo de segurança sem rede, o serviço do Active Directory pode iniciar em um estado muito limitado ou até mesmo inativo. não estará disponível para clientes e outros controladoresEm estações de trabalho ou laptops, o modo de segurança também afeta o login, especialmente se contas da Microsoft ou serviços de rede forem usados para autenticação.
Existem duas variações principais que você precisa diferenciar: o Modo de Segurança padrão, que inicia sem rede, e o Modo de Segurança com Rede, no qual o Windows carrega os drivers e serviços necessários para ter recursos de rede. conectividade básicaPara trabalhar com o Active Directory e verificar a replicação ou o acesso, o modo seguro com rede é quase sempre o mais interessante.
Em alguns cenários de reparo do Active Directory, fala-se em "Modo de Reparo de Serviços de Diretório" ou "Modo de Restauração de Serviços de Diretório (DSRM)", que é um modo de inicialização especial no qual o controlador de domínio não atua como um controlador de domínio normal, mas é usado para... tarefas de manutenção e restauraçãoSe o servidor ficar preso iniciando sempre nesse modo, os usuários não conseguirão se autenticar normalmente e o domínio poderá ser afetado.
Problemas comuns ao reparar o Active Directory no modo de segurança
Um dos problemas mais comuns é que, após alterações nas configurações de inicialização, atualizações ou backups, o controlador de domínio começa a apresentar problemas. Iniciar diretamente no modo de segurança ou em modo de reparo do Active Directory sem sua solicitação. Isso pode causar pânico, especialmente se envolver o Controlador de Domínio Primário (PDC) ou um controlador de infraestrutura crítica.
Outro cenário comum é o computador, seja servidor ou cliente, entrar em modo de segurança sem recursos de rede. Nesse contexto, se você tentar fazer login com uma conta da Microsoft ou precisar de conectividade com o controlador de domínio, encontrará... erros de senha ou credenciais inválidas, quando na realidade o problema é simplesmente a falta de rede disponível.
Uma combinação perigosa também foi observada no Windows Server: a tentativa de instalar determinadas atualizações cumulativas (por exemplo, uma atualização de segurança de fevereiro de 2022 no Server 2012 R2) enquanto um processo de backup do Veeam está em execução, ou com uma partição reservada do sistema sem espaço livre. Isso pode resultar em erros de atualização, mensagens de “Erro nas atualizações… revertendo alterações” e inicializações anormais no modo de segurança.
Quando a partição Reservada do Sistema está completamente cheia, o Windows não tem espaço para gravar os dados necessários durante a instalação de patches. Se houver também um software de backup que monitora as alterações no disco (como o Rapid Recovery ou outros agentes de backup), isso pode preencher ainda mais a partição e causar problemas. falhas em cascata durante a atualização, com o consequente susto quando o controlador de domínio não inicia como de costume.
Saindo do Modo de Segurança: Métodos Básicos no Windows
Em máquinas cliente ou servidores que já conseguem acessar a área de trabalho, a maneira mais fácil de sair do modo de segurança é usar a ferramenta de configuração do sistema, desde que você tenha acesso a uma sessão com privilégios de administrador e o sistema responda normalmente, mesmo que esteja em modo de segurança. bota mínima.
O método típico envolve abrir a caixa de diálogo Executar, iniciar o utilitário de configuração e desmarcar a opção Inicialização Segura. Se tudo correr bem, após a reinicialização, o Windows deverá iniciar no modo normal, retomar o carregamento usual de drivers e, no caso de um controlador de domínio, Ativar os serviços do Active Directory convencional
Em muitos casos, simplesmente reiniciar o computador será suficiente para sair do modo de segurança, especialmente se a entrada correspondente na configuração de inicialização não tiver sido selecionada permanentemente. No entanto, se o sistema tiver sido explicitamente configurado para inicializar em modo de segurança (por exemplo, usando o msconfig ou o bcdedit), serão necessárias outras ações. reverter essa configuração Bota.
Essa abordagem básica é válida tanto para estações de trabalho Windows 10/11 quanto para o Windows Server 2012 R2, 2016, 2019, 2022 e versões posteriores, desde que a interface gráfica do usuário (GUI) esteja acessível e não haja problemas. danos graves ao sistema de arquivos ou no início.
Usando o msconfig para desativar a inicialização segura
Um dos procedimentos mais diretos para forçar o Windows a parar de iniciar no modo de segurança é usar a ferramenta de configuração do sistema, acessível com o comando msconfigÉ um método conveniente quando você consegue acessar a área de trabalho, mesmo que esteja no modo de segurança.
Os passos gerais, que se aplicam tanto ao Windows 10 quanto a muitas edições do Windows Server, são os seguintes: Primeiro, abra a caixa de diálogo Executar usando o atalho de teclado apropriado, digite o comando do utilitário e confirme. Assim que a janela Configuração do Sistema for aberta, vá para a guia de inicialização do sistema operacional.
Nessa aba, você encontrará uma seção de opções de inicialização onde poderá marcar ou desmarcar a caixa Inicialização Segura. O importante é garantir que a opção esteja selecionada. A opção "Inicialização Segura" está desativada.Isso se aplica tanto à configuração em modo mínimo quanto à configuração com recursos de rede. Após aplicar e aceitar as alterações, o sistema geralmente solicitará que você o reinicie.
Após a reinicialização do computador, e desde que não haja outras entradas de inicialização especiais configuradas com o bcdedit ou outras ferramentas, o Windows deverá retornar ao seu modo de operação normal, carregando todos os serviços, incluindo o Componentes do Active Directory no caso de um controlador de domínio.
Ative a conta de administrador oculta para emergências.
Em situações em que seu perfil normal não permite o login, ou quando sua conta principal foi comprometida, uma estratégia útil é recorrer a... Conta de administrador integrada que o Windows mantém oculta por padrão. Essa conta, quando ativada, geralmente não requer senha se nunca tiver sido configurada anteriormente.
Para isso, o método usual é inicializar no ambiente de recuperação ou, se o sistema permitir uma sessão de linha de comando, abrir um console com privilégios elevados. A partir desse prompt de comando, você pode usar o comando clássico de gerenciamento de usuários de rede para ativar o gerenciador integrado, tornando-o disponível na tela de login.
O procedimento típico envolve digitar um comando que habilita a conta e marca seu status como ativo. Após a execução do comando correspondente, basta reiniciar o computador e, na tela de boas-vindas, selecionar o usuário Administrador que agora estará apto a fazer login. Acesso sem senha (desde que não tenha sido estabelecido anteriormente).
Essa conta é especialmente útil quando você está tentando sair de um loop no modo de segurança ou precisa alterar parâmetros críticos de inicialização e o usuário que você está tentando usar está bloqueado, esqueceu a senha ou não está disponível quando o sistema inicia.
Entrando no ambiente de recuperação (WinRE) e opções avançadas.
Se o Windows não iniciar corretamente ou ficar travado entre reinicializações e mensagens de reparo, a solução mais sensata é recorrer ao Opções avançadas de recuperação (WinRE). Este menu permite acessar o prompt de comando, restaurar o sistema, desinstalar atualizações problemáticas ou até mesmo realizar uma restauração de fábrica.
Existem várias maneiras de acessar o WinRE. Uma delas é diretamente do Windows, clicando no ícone de energia e mantendo pressionada a tecla Shift enquanto clica em Reiniciar. Isso instrui o sistema a abrir o menu de recuperação avançada em vez de uma reinicialização normal.
Outro método, disponível nas versões modernas do Windows 10 e do Windows Server, envolve acessar Configurações do Sistema, Atualização e Segurança e, em seguida, a seção Recuperação. Dentro desse menu, há uma opção para inicio avançado que permite reiniciar diretamente no WinRE, sem a necessidade de usar meios externos.
Você também pode forçar a entrada no ambiente de recuperação usando uma instrução de linha de comando, como um comando de desligamento que instrui o sistema a reiniciar no modo de opções avançadas. Uma vez dentro do WinRE, você terá acesso a ferramentas como o prompt de comando, a Restauração do Sistema, a Reparação de Inicialização e outros utilitários essenciais. Corrigir problemas de inicialização e serviço.
Usando o prompt de comando: comandos de teclado bcdedit e net user
O prompt de comando, seja do Windows ou do WinRE, é uma ferramenta fundamental para corrigir uma inicialização forçada em modo de segurança ou reparar o Active Directory em um controlador de domínio. Dois tipos de comandos são utilizados aqui: aqueles relacionados a... inicialização (bcdedit) e gerenciamento de usuários (usuário de rede).
Para desativar a inicialização segura persistente configurada no armazenamento de dados de inicialização, você pode usar a ferramenta bcdedit. Em alguns procedimentos, recomenda-se executar um comando que remova o valor de inicialização segura associado à entrada padrão, para que o sistema não seja mais forçado a inicializar sempre em modo de segurança, seja no modo mínimo ou no modo dsrepair.
O comando típico tem como alvo a entrada {default} do gerenciador de inicialização e remove a chave de inicialização segura que estava forçando esse comportamento. Após a execução desse comando e a reinicialização do sistema, o controlador de domínio deve parar de inicializar em modo de segurança e retornar ao seu processo de inicialização normal, permitindo novamente a inicialização em modo seguro. Carga completa dos serviços de domínio.
Em paralelo, a ferramenta net user permite a ativação da conta de Administrador integrada, como já mencionado. A partir do prompt de comando, seu status pode ser definido como ativo usando um comando que declara explicitamente que a conta deve estar disponível para login. Essa combinação de bcdedit e net user geralmente é suficiente para recuperar o controle do sistema na maioria dos cenários.
Problemas com atualizações do Windows Server e loops de inicialização.
Em ambientes de produção com Windows Server 2012 R2, 2016 ou 2019, há relatos de administradores que, após instalarem determinados patches de segurança cumulativos, descobriram que o controlador de domínio inicializava em modo de segurança ou exibia mensagens de erro. falhas contínuas de atualizaçãoPor vezes, isto tem sido associado a manchas específicas num determinado mês.
Em um exemplo prático, as atualizações de janeiro foram evitadas devido a preocupações com um loop de inicialização documentado, e as atualizações de fevereiro foram instaladas em seu lugar. Após a aplicação dessas atualizações, o controlador de domínio começou a inicializar em modo de segurança, o que causou considerável preocupação. Após investigação, descobriu-se que o pacote cumulativo de segurança não havia sido concluído.
Nesse cenário, o administrador verificou a configuração de inicialização e removeu manualmente todas as opções de inicialização em modo de segurança ou restauração do serviço de diretório, trazendo o servidor de volta a um estado aparentemente normal. A sincronização do Active Directory foi confirmada como bem-sucedida e, por precaução, decidiu-se adiar temporariamente Reinstalando atualizações com falha.
Em outros controladores de domínio da mesma organização (por exemplo, um controlador de domínio com Windows Server 2016 e outro com 2012 R2), as mesmas atualizações foram aplicadas sem problemas, embora tenha sido observado que, após uma hora, esses servidores ainda não haviam reiniciado, o que gerou algumas preocupações sobre a possibilidade de repetição do incidente anterior.
Software completo de backup e partição reservada do sistema
Ao investigar mais a fundo as falhas nas atualizações, o administrador descobriu um segundo fator crucial: a partição reservada do sistema estava completamente cheia, com zero bytes livresEssa partição é essencial para a inicialização e instalação de atualizações, pois o Windows precisa gravar determinados arquivos de inicialização e recuperação nela.
O motivo pelo qual a partição estava com 100% da capacidade ocupada foi rastreado até um software de backup antigo, neste caso um agente do Rapid Recovery que ainda estava instalado no servidor. Esses tipos de ferramentas podem tentar rastrear alterações e gerar dados de rastreamento que acabam na partição reservada, preenchendo-a se seus parâmetros não estiverem configurados corretamente ou se ela for abandonada sem ser desinstalada durante a migração para outra solução.
O administrador, que já havia presenciado o comportamento desse tipo de solução de backup na partição do sistema, procedeu à desinstalação completa do agente de Recuperação Rápida. Em seguida, reiniciou o controlador de domínio e verificou se a partição reservada agora possuía uma quantidade razoável de espaço livre para o funcionamento do Windows. Gerenciar inicialização e atualizações normalmente.
A análise dos arquivos cbs.log confirmou erros de "espaço insuficiente" e mensagens explícitas indicando que as atualizações falharam devido à falta de espaço na partição do sistema. Após a liberação desse espaço, a instalação dos novos patches (neste caso, as atualizações de março) foi tentada novamente e, após testes durante a noite, verificou-se que o processo foi concluído com sucesso, sem acionar novas inicializações em modo de segurança.
Restauração do sistema, redefinição de senha e outras opções de saída.
Se, após usar o WinRE, o bcdedit, ocultar a conta de Administrador e verificar o espaço disponível, o controlador de domínio ou o computador cliente continuar apresentando problemas, você precisará considerar opções mais drásticas, como a reinstalação do sistema. restauração do sistema até um ponto anterior à ocorrência da falha.
Nas opções avançadas de recuperação, você pode escolher um ponto de restauração criado automaticamente pelo Windows ou manualmente e retornar o sistema ao estado anterior. Isso pode reverter alterações no registro, atualizações problemáticas ou instalações de software de backup que possam ter afetado áreas sensíveis do sistema.
Em computadores com uma conta local onde a senha foi esquecida ou o acesso normal foi perdido após um reparo no modo de segurança, existe a possibilidade de redefinir senha seguindo os procedimentos oficiais da Microsoft. No caso do Windows 10 com uma conta local, a própria documentação de suporte descreve como. Recupere ou altere sua senha por meio de perguntas de segurança ou outros métodos.
Quando o problema afeta uma conta Microsoft conectada, a solução geralmente é garantir que o Modo de Segurança com rede tenha sido iniciado, para que o computador possa contatar os servidores de autenticação na nuvem. Se o computador foi iniciado em um modo sem rede, mensagens de erro com senhas aparentemente incorretas aparecerão, mesmo que o problema real seja a falta de rede. falta de conectividade.
Em última análise, se a instalação estiver muito danificada ou se não houver como recuperar o serviço de diretório com um nível aceitável de confiança, você terá que considerar outras opções. reconstruir o controlador de domínio de outra réplica íntegra, ou até mesmo realizar uma restauração completa a partir de um backup verificado, seguindo o Melhores práticas para recuperação de AD.
Avisos de segurança e sites de suporte não oficiais
Ao procurar soluções para reparar o Active Directory no modo de segurança, é comum acabar em fóruns, blogs técnicos e sites de terceiros que explicam comandos e procedimentos úteis. Muitos desses sites, mesmo que não sejam da Microsoft, compartilham informações precisas e se baseiam em... experiências reais de administradores que enfrentaram os mesmos problemas.
No entanto, é sempre prudente ter cautela: esses sites podem exibir anúncios de produtos frequentemente sinalizados como PUPs (programas potencialmente indesejados). Antes de baixar ou instalar qualquer ferramenta anunciada junto com um guia, é importante pesquisar cuidadosamente sua reputação, ler avaliações de usuários e verificar se ela é realmente legítima. Eles agregam valor ao seu ambiente. ou se elas podem causar mais dores de cabeça.
As respostas de consultores independentes e membros da comunidade Microsoft geralmente incluem links para documentação oficial, vídeos de MVPs ou tutoriais do fabricante (como alguns vídeos criados pela HP que são aplicáveis a qualquer marca). Esses recursos são um bom ponto de partida, mas você deve sempre adaptá-los ao seu ambiente específico. Windows Server e Active Directorylevando em consideração versões, funções e configuração atual.
Também é comum que as respostas oficiais esclareçam que foram traduzidas automaticamente, o que pode resultar em expressões um tanto incomuns ou erros gramaticais. Isso não invalida o conteúdo técnico, mas é aconselhável ler atentamente, validar os comandos e, em caso de dúvida, comparar as informações com a documentação original em inglês ou outras fontes confiáveis antes de aplicar alterações significativas. Controlador de domínio em produção.
Em última análise, reparar o Active Directory no modo de segurança e recuperar um controlador de domínio que inicializa de forma anormal envolve a combinação de vários elementos: compreender completamente o tipo de inicialização do sistema, usar o msconfig ou o bcdedit para sair do modo de segurança, recorrer ao administrador oculto quando necessário, verificar o espaço na partição reservada, monitorar o impacto dos backups e ter opções avançadas de recuperação, restauração do sistema e documentação oficial prontamente disponíveis — tudo feito com cuidado e sem tirar conclusões precipitadas com base em mensagens de erro alarmantes.
Escritor apaixonado pelo mundo dos bytes e da tecnologia em geral. Adoro compartilhar meu conhecimento por meio da escrita, e é isso que farei neste blog, mostrar a vocês tudo o que há de mais interessante sobre gadgets, software, hardware, tendências tecnológicas e muito mais. Meu objetivo é ajudá-lo a navegar no mundo digital de uma forma simples e divertida.