Windows Admin Center — Gestão de Servidores em 2026

Duarte Spínola · 27 junho 2026 · kbase.pt

1. O que é o Windows Admin Center

O Windows Admin Center (frequentemente abreviado como WAC) é uma consola de administração baseada na web, evolução natural das Microsoft Management Console (MMC) e do Server Manager. Permite gerir servidores Windows individuais, clusters de failover, clusters hiperconvergentes (HCI) e serviços em nuvem Azure a partir de um único portal local — sem custos de licenciamento adicionais.

O WAC foi lançado em 2018 (versão 1710, ainda como Project Honolulu) e desde então recebe actualizações regulares. Cada versão é suportada durante 18 meses, pelo que convém manter o gateway actualizado. Em 2026, a versão mais recente oferece suporte alargado ao Windows Server 2025, integração reforçada com Azure Arc e melhorias no módulo de Hyper-V.

Principais características

• Interface web acessível por navegador (Edge ou Chrome) — sem cliente pesado instalado na estação de trabalho do administrador.
• Comunicação remota via PowerShell e WMI/CIM sobre WinRM — o WAC não instala agente nos servidores geridos.
• Modelo de extensões que permite à comunidade e parceiros adicionar ferramentas (gestão de SDN, monitorização, backup de terceiros, etc.).
• Integração nativa com Azure — Azure Backup, Azure File Sync, Azure Update Manager, Azure Monitor, entre outros.
• Gratuito — não requer licença adicional para além do sistema operativo gerido.

A documentação oficial completa está disponível em learn.microsoft.com — Windows Admin Center Overview.

2. Requisitos do sistema

Antes de instalar o WAC, é importante compreender os requisitos em três frentes: a máquina onde o WAC corre (gateway ou desktop), os servidores alvo geridos e o navegador do administrador.

Requisitos do gateway / estação de instalação

Componente	Mínimo	Recomendado
Sistema operativo	Windows 10/11 ou Windows Server 2019	Windows Server 2022 ou 2025
Processador	1.4 GHz, 2 núcleos	2.4 GHz, 4 núcleos
Memória RAM	4 GB	8 GB (16 GB para ambientes grandes)
Espaço em disco	10 GB	20 GB + logs
.NET Framework	4.7.2	4.8 ou superior
Edge ou Chrome	Versão recente	Última versão estável

Requisitos dos servidores geridos

• Windows Server 2012 R2 ou superior (com WMF 5.1 instalado em versões mais antigas).
• WinRM activo (porta TCP 5985 para HTTP, 5986 para HTTPS) e configurado para aceitar ligações remotas.
• Conta com privilégios de administrador local no servidor alvo — ou delegação adequada via Just Enough Administration (JEA).
• Se o servidor estiver num domínio, o WAC pode usar Kerberos; em grupos de trabalho, é necessário configurar TrustedHosts ou um certificado.

Para detalhes actualizados, consulte learn.microsoft.com — Requirements.

3. Instalação: modo desktop vs gateway

O WAC pode ser instalado de duas formas com impacto directo na topologia de gestão:

Modo desktop (cliente)

Nesta modalidade, o WAC é instalado na própria estação de trabalho do administrador (Windows 10/11) e abre automaticamente uma porta local (tipicamente 6516) acessível apenas a partir desse computador. É adequado para administradores únicos ou ambientes pequenos.

# Instalar o WAC em modo desktop (cliente local)
Start-Process -FilePath ".\WindowsAdminCenter2110.0.0.msi" `
    -ArgumentList "/qn", "SME_PORT=6516", "SME_PATH=AdminCenter" `
    -Wait -NoNewWindow

# Verificar se o serviço está em execução
Get-Service -Name "ServerManagementGateway"

Modo gateway (servidor)

Em modo gateway, o WAC é instalado num servidor dedicado (tipicamente com Windows Server 2022 ou 2025) que actua como ponto central de gestão. Todos os administradores acedem ao mesmo portal via https://gateway.fqdn:443, permitindo gestão partilhada, registos centralizados e configuração de RBAC.

# Instalar o WAC em modo gateway com certificado
Start-Process -FilePath ".\WindowsAdminCenter.msi" `
    -ArgumentList "/qn", `
        "SME_PORT=443", `
        "SME_SSL_CERTIFICATE_OPTION=installed", `
        "SME_THUMBPRINT=<thumbprint-do-certificado>", `
        "SME_PATH=AdminCenter" `
    -Wait -NoNewWindow

# Verificar o estado do gateway
Get-Service -Name "ServerManagementGateway"
Get-NetTCPConnection -LocalPort 443 -State Listen

Comparação rápida

Aspecto	Modo desktop	Modo gateway
Número de administradores	1 (local)	Múltiplos
Autenticação	Conta local Windows	Active Directory ou Azure AD
RBAC granular	Não	Sim (via JEA)
Certificado TLS	Auto-assinado local	Recomendado certificado válido
Integração Azure	Limitada	Completa
Logs centralizados	Não	Sim

Guia de instalação detalhado: learn.microsoft.com — Install.

4. Adicionar servidores e clusters

Depois de instalar o gateway, o passo seguinte é adicionar os recursos a gerir. O WAC suporta quatro tipos principais de ligação:

• Servidor individual — por nome ou endereço IP.
• Cluster de failover — pelo FQDN do cluster.
• Cluster hiperconvergente (HCI) — gestão conjunta de computação e storage.
• Computador com Windows PC — gestão de estações de trabalho.

Adicionar via interface web

1. Aceder ao portal do gateway (https://gateway.fqdn).
2. Clicar em + Add no canto superior.
3. Escolher a categoria (Servers, Clusters, Windows PCs).
4. Inserir o nome do servidor ou FQDN e clicar em Add.

Adicionar via PowerShell (API do gateway)

# O WAC não expõe cmdlets oficiais para adicionar conexões por API REST,
# mas é possível usar o módulo de gestão do gateway via Invoke-RestMethod
# depois de obter um token de sessão.

$gateway = "https://wac-gateway.contoso.pt"
$session = Invoke-RestMethod -Method Post -Uri "$gateway/api/connections" `
    -UseDefaultCredentials -ContentType "application/json" `
    -Body '{"name":"SRV-01.contoso.pt","type":"Server"}'

# Para ambientes maiores, recomenda-se adicionar servidores em massa
# via importação de ficheiro CSV na interface web (All Connections > Import)

Conexões persistentes

As conexões adicionadas ficam armazenadas no gateway e são visíveis a todos os administradores com permissão. Isto significa que, ao adicionar um servidor, qualquer outro utilizador autorizado vê imediatamente esse servidor no seu painel — desde que tenha credenciais válidas para o gerir.

Documentação: learn.microsoft.com — Manage Servers.

5. Gestão de servidores (eventos, serviços, processos, registry, firewall)

O coração do WAC é o conjunto de ferramentas disponíveis para cada servidor adicionado. Ao clicar num servidor, o painel apresenta um menu lateral com dezenas de ferramentas organizadas por categoria.

Visão geral e overview

O separador Overview mostra informação de sistema: nome, versão do SO, tempo de actividade, consumo de CPU/RAM/disco em tempo real e alertas. É a primeira paragem para diagnóstico rápido.

Eventos (Event Viewer)

O WAC também oferece gestão de actualizações (Windows Update e WSUS) com avaliação, instalação e histórico. É possível ver quais actualizações estão disponíveis, instalá-las individualmente ou em lote, e consultar o histórico de instalação. Para ambientes com muitos servidores, a integração com Azure Update Manager permite orquestrar patches em escala.

O WAC permite consultar os registos de eventos Application, Security, Setup, System sem abrir o Event Viewer local. É possível filtrar por nível (Erro, Aviso, Informação), origem e intervalo temporal.

# Equivalentes PowerShell para consultar eventos (útil em scripts)
Get-WinEvent -LogName System -MaxEvents 50 |
    Where-Object LevelDisplayName -eq "Error" |
    Select-Object TimeCreated, Id, ProviderName, Message |
    Format-Table -AutoSize

Serviços

O separador Services permite iniciar, parar, reiniciar e configurar serviços — incluindo tipo de arranque (Automático, Manual, Desactivado). Útil para gerir serviços como WinRM, Spooler, EventLog sem abrir services.msc remotamente.

Processos

Lista de processos em execução com consumo de CPU e memória. Permite terminar processos (End Process) — equivalente ao Task Manager remoto.

Registry Editor

O WAC expõe um editor de registo remoto. É possível navegar nas hives, criar/alterar/eliminar chaves e valores. Atenção: alterações no registo podem tornar o sistema instável — faça cópia de segurança antes.

Firewall

O separador Firewall permite visualizar e configurar regras de entrada e saída, activar/desactivar perfis (Domínio, Privado, Público) e criar regras novas — tudo sem aceder ao netsh advfirewall ou à consola wf.msc.

# Equivalentes PowerShell para firewall
# Ver regras activas de entrada
Get-NetFirewallRule -Direction Inbound -Enabled True |
    Select-Object DisplayName, Action, Profile |
    Format-Table -AutoSize

# Abrir porta 5985 (WinRM HTTP) em todos os perfis
New-NetFirewallRule -DisplayName "WinRM HTTP-In" `
    -Direction Inbound -Protocol TCP -LocalPort 5985 `
    -Action Allow -Profile Any

Outras ferramentas relevantes

Ferramenta	Função
Files & File Shares	Gerir pastas e partilhas SMB
PowerShell	Consola PowerShell remota interactiva
Roles & Features	Instalar/desinstalar roles via Server Manager remoto
Updates	Instalar actualizações do Windows Update/WSUS
Local Users & Groups	Gerir contas e grupos locais
Network	Configurar adaptadores, IP, DNS
Scheduled Tasks	Gerir tarefas agendadas
Settings	Aceder a definições do sistema

Para aprofundar o diagnóstico de conectividade (incluindo WinRM), veja Diagnóstico de Conectividade no Windows Server.

6. Gestão de Hyper-V

O WAC é uma das melhores interfaces para gerir Hyper-V sem instalar as ferramentas RSAT na estação de trabalho. A gestão de Hyper-V inclui hosts, máquinas virtuais, switches virtuais e discos VHDX.

O que se pode fazer

• Criar, iniciar, parar, pausar e eliminar máquinas virtuais.
• Gerir checkpoints (snapshots) — criar, aplicar, eliminar.
• Configurar CPU, memória, discos e adaptadores de rede de cada VM.
• Gerir switches virtuais (External, Internal, Private).
• Migrar VMs entre hosts (Live Migration) em clusters.
• Importar/exportar VMs e discos VHDX.

Exemplos PowerShell equivalentes

# Listar VMs de um host remoto
Get-VM -ComputerName HV-01.contoso.pt |
    Select-Object Name, State, ProcessorCount, MemoryAssigned |
    Format-Table -AutoSize

# Criar nova VM
New-VM -Name "APP-SRV-01" -ComputerName HV-01.contoso.pt `
    -MemoryStartupBytes 4GB -Generation 2 -SwitchName "External" `
    -NewVHDPath "C:\VMs\APP-SRV-01\disk.vhdx" -NewVHDSizeBytes 80GB

# Iniciar e ligar automaticamente ao host
Start-VM -Name "APP-SRV-01" -ComputerName HV-01.contoso.pt

Clusters hiperconvergentes (HCI)

Em clusters HCI (Storage Spaces Direct), o WAC oferece uma vista integrada de VMs, storage, rede e saúde do cluster. É possível ver o estado de discos físicos, pools de armazenamento e volumes virtuais — tudo num único painel. A documentação está em learn.microsoft.com — Manage HCI.

7. Gestão de Storage

O WAC inclui um conjunto de ferramentas para gestão de armazenamento, desde discos físicos até volumes e partilhas SMB.

Ferramentas disponíveis

Ferramenta	Descrição
Disks	Discos físicos e lógicos — inicializar, formatar, montar
Volumes	Gestão de volumes, quotas e pontos de montagem
Shares	Partilhas SMB — criar, configurar permissões, DFS
Storage Spaces Direct	Gestão de pools, discos e volumes em clusters HCI
iSCSI	Configurar target e iniciador iSCSI

Exemplos PowerShell

# Listar discos físicos
Get-PhysicalDisk | Select-Object DeviceId, FriendlyName, MediaType, Size, HealthStatus

# Inicializar e formatar um disco
Initialize-Disk -Number 2 -PartitionStyle GPT -PassThru |
    New-Partition -UseMaximumSize -AssignDriveLetter |
    Format-Volume -FileSystem NTFS -NewFileSystemLabel "Dados" -Confirm:$false

# Criar partilha SMB com permissões
New-SmbShare -Name "Departamento$" -Path "D:\Departamento" `
    -FullAccess "CONTOSO\Domain Admins" `
    -ChangeAccess "CONTOSO\Departamento-FS" `
    -Description "Partilha do departamento"

Documentação de storage: learn.microsoft.com — Storage Spaces Direct.

8. Integração com Azure (Backup, File Sync, Monitor)

Uma das grandes vantagens do WAC é a integração nativa com serviços Azure. É possível configurar e gerir estes serviços directamente a partir do painel do servidor, sem aceder ao portal Azure.

Azure Backup

O WAC permite configurar Azure Backup para proteger volumes individuais ou o estado completo do servidor (BMR). O agente MARS (Microsoft Azure Recovery Services) é instalado automaticamente e o servidor é registado num cofre dos Serviços de Recuperação.

1. No painel do servidor, seleccionar Backup.
2. Autenticar com uma conta Azure e seleccionar a subscrição.
3. Criar ou escolher um cofre (Recovery Services Vault).
4. Definir política de backup (frequência, retenção).
5. Seleccionar volumes/ficheiros a proteger.

Azure File Sync

Permite sincronizar uma partilha SMB local com uma partilha de ficheiros Azure, mantendo o acesso local rápido (cache) e a cópia na nuvem. O WAC instala o agente e configura o Server Endpoint numa partilha local.

# Instalar o agente Azure File Sync via PowerShell
$msi = "https://download.microsoft.com/download/.../StorageSyncAgent.msi"
Invoke-WebRequest -Uri $msi -OutFile "$env:TEMP\StorageSyncAgent.msi"
Start-Process msiexec.exe -ArgumentList "/i $env:TEMP\StorageSyncAgent.msi /qn" -Wait

# Registar o servidor num Storage Sync Service
Register-AzStorageSyncServer -ResourceGroupName "rg-sync" `
    -StorageSyncServiceName "sync-contoso"

Azure Monitor

A integração com Azure Monitor (antigo Log Analytics) permite enviar registos de eventos, contadores de desempenho e telemetria do IIS para um workspace centralizado. É útil para ambientes com múltiplos servidores onde se quer correlação de eventos.

Outras integrações

Serviço	Função no WAC
Azure Update Manager	Avaliar e instalar actualizações em escala
Azure Site Recovery	Configurar replicação e recuperação após desastre
Azure Network Adapter	Configurar ligação VPN ponto-a-site a partir do WAC
Azure Active Directory	Autenticar administradores no gateway via Entra ID
Azure Arc	Registar servidores não-Azure como recursos Arc

Documentação: learn.microsoft.com — Azure Integration e Azure Backup com WAC.

9. Gestão de Active Directory

O WAC inclui um conjunto de ferramentas básicas para gestão de Active Directory, acessíveis a partir de servidores ou do próprio gateway (se o gateway for membro do domínio).

O que está disponível

• Visão geral da floresta e domínio.
• Listagem de utilizadores, computadores e grupos.
• Criação e modificação de contas (nome, descrição, pertença a grupos).
• Reset de passwords e desbloqueio de contas.
• Gestão de OUs (Organizational Units) básica.

Exemplos PowerShell para AD

# Listar utilizadores inactivos há mais de 90 dias
Search-ADAccount -AccountInactive -TimeSpan (New-TimeSpan -Days 90) `
    -UsersOnly | Select-Object Name, SamAccountName, LastLogonDate

# Criar novo utilizador
New-ADUser -Name "Ana Costa" -GivenName "Ana" -Surname "Costa" `
    -SamAccountName "acosta" -UserPrincipalName "[email protected]" `
    -Path "OU=Utilizadores,DC=contoso,DC=pt" `
    -AccountPassword (Read-Host -AsSecureString "Password") `
    -Enabled $true

# Adicionar a grupo
Add-ADGroupMember -Identity "Departamento-FS" -Members "acosta"

Para ambientes mistos Windows/Linux, o artigo Samba AD como Controlador de Domínio para PME mostra como integrar Samba-AD como controlador adicional num domínio existente.

Documentação oficial: learn.microsoft.com — AD DS Overview.

10. Extensões e marketplace

Uma das maiores forças do WAC é o modelo de extensões. Para além das ferramentas nativas, é possível instalar extensões desenvolvidas pela Microsoft, parceiros e comunidade a partir do Marketplace integrado.

Marketplace

O Marketplace está disponível em Settings > Extensions e apresenta dezenas de extensões categorizadas. Algumas das mais relevantes:

Extensão	Função
Azure Arc	Registar e gerir servidores como recursos Arc
Azure Container Registry	Gerir registos de contentores
Cluster Manager	Gestão avançada de clusters de failover
SDN (Software Defined Networking)	Gerir redes definidas por software em HCI
DNS	Gestão básica de zonas DNS
Remote Desktop	Lançar sessões RDP a partir do WAC
Defender for Endpoint	Integração com Microsoft Defender

Gestão de extensões via PowerShell

# Listar extensões instaladas
Get-Module -ListAvailable | Where-Object Name -like "SME.*"

# O WAC expõe API REST para gestão de extensões.
# Em modo gateway, é possível instalar extensões programaticamente:
$gateway = "https://wac-gateway.contoso.pt"
Invoke-RestMethod -Method Get -Uri "$gateway/api/extensions" `
    -UseDefaultCredentials |
    Select-Object Name, Version, Installed

Desenvolvimento de extensões personalizadas

A Microsoft disponibiliza um SDK baseado em TypeScript e Angular para desenvolver extensões próprias. Útil para empresas que querem integrar ferramentas internas no WAC. Documentação: learn.microsoft.com — Extend WAC SDK.

11. Segurança e RBAC

A segurança do WAC passa por várias camadas: autenticação no gateway, autorização por servidor (permissões locais) e, opcionalmente, Role-Based Access Control (RBAC) granular via JEA.

Autenticação no gateway

• Windows Authentication (Kerberos ou NTLM) — por defeito.
• Azure Active Directory (Entra ID) — configurável para exigir MFA.
• Smart Card — suportado em ambientes com PKI.

Autorização por servidor

Quando um administrador tenta gerir um servidor, o WAC delega as credenciais usadas no gateway para esse servidor. Ou seja, o administrador só consegue gerir servidores onde a sua conta tenha privilégios. Isto significa que o RBAC é, por defeito, determinado pelas permissões de administrador local (ou membro de Domain Admins) no servidor alvo.

RBAC granular via JEA

Para cenários onde se quer delegar gestão parcial (ex.: um operador só pode reiniciar serviços mas não instalar software), o WAC suporta Just Enough Administration (JEA). O JEA cria endpoints PowerShell restritos que limitam os cmdlets disponíveis e executam com contas virtuais privilegiadas.

# Exemplo de configuração JEA para WAC
# Ficheiro: RoleCapabilities\WACOperator.psrc
VisibleCmdlets = 'Restart-Service', 'Get-Service', 'Get-Process', 'Stop-Process'
VisibleFunctions = 'Get-EventLog', 'Get-WinEvent'

# Ficheiro: SessionConfigurations\WACJEA.pssc
SessionType = 'RestrictedRemoteServer'
RunAsVirtualAccount = $true
RoleDefinitions = @{
    'CONTOSO\WAC-Operators' = @{ RoleCapabilities = 'WACOperator' }
}

Boas práticas de segurança

• Usar certificado TLS válido (CA interna ou pública) — nunca auto-assinado em produção.
• Activar MFA via Entra ID para todos os administradores.
• Restringir acesso ao gateway por IP (firewall ou NSG).
• Aplicar princípio do menor privilégio via JEA para operadores.
• Activar auditoria de acesso no gateway (logs em C:\Program Files\Server Management Gateway\Logs).
• Actualizar o gateway e extensões regularmente.

Documentação: learn.microsoft.com — User Access Control e JEA Overview.

12. Diagnóstico e resolução de problemas

Apesar de robusto, o WAC pode apresentar problemas — sobretudo em ambientes com firewalls restritivos, grupos de trabalho ou versões antigas do Windows Server.

Logs do gateway

Os logs do WAC estão em C:\Program Files\Server Management Gateway\Logs. O ficheiro principal é o SME.log, onde são registados todos os pedidos, erros de comunicação e falhas de extensões.

# Ver últimos 50 erros no log do WAC
Get-Content "C:\Program Files\Server Management Gateway\Logs\SME.log" -Tail 500 |
    Select-String "Error|Exception" |
    Select-Object -Last 50

Testar conectividade WinRM

A maioria dos problemas do WAC resulta de falhas de WinRM entre o gateway e o servidor alvo.

# Testar WinRM a partir do gateway
Test-NetConnection -ComputerName SRV-01.contoso.pt -Port 5985

# Testar sessão remota
Enter-PSSession -ComputerName SRV-01.contoso.pt -Credential (Get-Credential)

# Se falhar, verificar TrustedHosts (em workgroup)
Set-Item WSMan:\localhost\Client\TrustedHosts -Value "SRV-01" -Force
Restart-Service WinRM

Comandos úteis de diagnóstico

Comando	Objectivo
Test-WsMan -ComputerName SRV-01	Verificar se o serviço WinRM responde
winrm quickconfig	Configurar WinRM no servidor alvo
Get-Service WinRM	Confirmar que o serviço está a correr
Enable-PSRemoting -Force	Activar remoting no servidor alvo
Get-EventLog -LogName Windows PowerShell -Newest 20	Ver erros de execução remota

Actualizar o WAC

Para actualizar o gateway, basta descarregar a nova versão .msi e executar — o instalador preserva as configurações e conexões existentes. Recomenda-se fazer backup da pasta C:\Program Files\Server Management Gateway antes de actualizar.

# Backup das conexões e settings antes de actualizar
Copy-Item "C:\Program Files\Server Management Gateway" `
    -Destination "D:\Backup\WAC-$(Get-Date -Format yyyyMMdd)" -Recurse

# Actualizar (a nova versão é instalada por cima)
Start-Process -FilePath ".\WindowsAdminCenter.msi" -ArgumentList "/qn" -Wait

Documentação de troubleshooting: learn.microsoft.com — Troubleshooting.

13. Erros comuns (tabela)

A tabela seguinte resume os erros mais frequentes, a causa provável e a acção correctiva.

Erro / Sintoma	Causa provável	Acção correctiva
“Unable to connect to <server>”	WinRM desactivado ou porta 5985 bloqueada	Executar Enable-PSRemoting -Force no alvo; abrir porta 5985 na firewall
“Access denied” ao gerir servidor	Conta sem privilégios de administrador local	Adicionar conta a Administrators local ou delegar via JEA
Certificado TLS inválido no navegador	Certificado auto-assinado ou expirado	Instalar certificado válido de CA interna; actualizar SME_THUMBPRINT
“WinRM cannot complete the operation” em workgroup	TrustedHosts não configurado	Set-Item WSMan:\localhost\Client\TrustedHosts -Value "*" -Force
Extensão não aparece no Marketplace	Feed do marketplace inacessível (proxy/firewall)	Configurar proxy no gateway; garantir acesso a *.azureedge.net
Gateway lento ou sem resposta	Memória insuficiente ou demasiadas conexões	Aumentar RAM para 8+ GB; verificar extensões instaladas
“Kerberos authentication failed”	SPN mal configurado ou relógios dessincronizados	Verificar SPN com setspn -L; sincronizar NTP
Hyper-V tools não aparecem	Role Hyper-V não instalado no alvo	Instalar role: Install-WindowsFeature Hyper-V -IncludeManagementTools
Erro ao integrar Azure Backup	Subscrição não registada ou cofre inacessível	Verificar permissões RBAC no Azure; reinstalar agente MARS
“The gateway server is not reachable”	Serviço do gateway parado ou porta bloqueada	Get-Service ServerManagementGateway; verificar firewall
Registry Editor não carrega	Remote Registry service parado no alvo	Iniciar serviço RemoteRegistry no servidor alvo
Actualização do gateway falha	Instalador anterior deixou locks	Parar serviço do gateway; reiniciar servidor; reinstalar

14. Checklist de implementação

Use esta checklist para garantir uma implementação robusta do Windows Admin Center no seu ambiente.

• Confirmar que o servidor gateway cumpre os requisitos mínimos (SO, RAM, .NET).
• Obter e instalar um certificado TLS válido (CA interna ou pública).
• Instalar o WAC em modo gateway com SME_SSL_CERTIFICATE_OPTION=installed.
• Configurar DNS para que o FQDN do gateway resolva correctamente.
• Activar autenticação via Entra ID com MFA para todos os administradores.
• Configurar firewall para restringir acesso ao gateway por IP/VPN.
• Verificar que WinRM está activo em todos os servidores alvo (Enable-PSRemoting).
• Abrir portas 5985 (HTTP) ou 5986 (HTTPS) na firewall entre gateway e alvos.
• Adicionar servidores e clusters ao gateway (via interface ou importação CSV).
• Configurar JEA para operadores que não devem ter privilégios totais.
• Instalar extensões necessárias do Marketplace (DNS, Defender, SDN, etc.).
• Registar o gateway com subscrição Azure para integrações (Backup, File Sync, Monitor).
• Configurar Azure Backup para servidores críticos (política de retenção testada).
• Configurar Azure File Sync para partilhas que requerem sincronização na nuvem.
• Testar recuperação de backup (não basta configurar — é preciso restaurar pelo menos uma vez).
• Activar logs e auditoria no gateway; configurar rotação de logs.
• Documentar topologia, certificados, contas e procedimentos de recuperação.
• Agendar revisão trimestral: actualizações do gateway, extensões e revisão de acessos.
• Verificar que todos os administradores têm formação no uso do WAC e nas ferramentas.
• Definir procedimento de resposta a incidentes (ex.: gateway comprometido).

Para ambientes que estão a migrar do Windows Server 2019/2022 para 2025, consulte o guia Windows Server 2025: Novidades e Migração — o WAC 2411+ suporta totalmente a nova versão.