Exportar (0) Imprimir
Expandir Tudo

Apêndice A: Informações gerais sobre atualização de domínios do Active Directory para domínios AD DS do Windows Server 2008

Atualizado: fevereiro de 2010

Aplica-se a: Windows Server 2008, Windows Server 2008 R2

Antes de iniciar o processo de atualização de seu ambiente Active Directory do Windows 2000 ou do Windows Server 2003 para os Serviços de Domínio Active Directory (AD DS) do Windows Server 2008, familiarize-se com algumas questões importantes que afetam o processo de atualização.

Ferramenta de preparação do Active Directory

Para preparar florestas e domínios do Windows 2000 ou do Windows Server 2003 para a atualização para o AD DS do ou para a introdução de um controlador de domínio baseado no Windows Server 2008, você deve usar a ferramenta de preparação do Active Directory (Adprep.exe). A Adprep.exe encontra-se na pasta \sources\adprep do DVD do sistema operacional Windows Server 2008.

A Adprep.exe prepara florestas e domínios para uma atualização do AD DS executando várias operações antes da instalação do primeiro controlador de domínio baseado no Windows Server 2008. Essas operações incluem:

  • Ampliação do esquema atual com novas informações sobre esquema que a ferramenta Adprep.exe fornece, preservando, ao mesmo tempo, as modificações de esquema em seu ambiente.

  • Redefinição de permissões em contêineres e objetos do diretório para aumentar a segurança e a interoperabilidade com os domínios do .

  • Cópia de ferramentas administrativas para o computador local a fim de gerenciar os domínios do .

Para obter mais informações sobre como usar Adprep.exe para preparar seu ambiente, consulte Preparar sua infra-estrutura para atualização.

Partições de diretório de aplicativo do DNS

As partições de diretório de aplicativo oferecem armazenamento dos dados específicos de aplicativo que podem ser replicados para um determinado conjunto de controladores de domínio na mesma floresta. Se você tiver pelo menos um controlador de domínio da floresta executando o Windows Server 2008 e o mestre de nomeação de domínios também estiver executando o Windows Server 2008, poderá aproveitar as partições de diretório de aplicativo.

Por exemplo, você pode usar as partições de diretório de aplicativo para armazenar dados do sistema de nome de domínio (DNS) nos controladores de domínio baseados no Windows Server 2008. As partições de diretório de aplicativo específicas de DNS são criadas automaticamente na floresta e em cada domínio quando o serviço Servidor DNS é instalado em controladores de domínio do Windows Server 2008 novos ou atualizados. Se a criação da partição de diretório de aplicativo falhar durante a instalação do AD DS, o DNS tentará criar partições cada vez que o serviço for iniciado. A criação e a exclusão das partições de diretório de aplicativo (incluindo as partições padrão de diretório de aplicativo do DNS) exigem que o detentor da função de mestre de operações de nomeação de domínios resida em um controlador de domínio baseado no Windows Server 2008.

As seguintes partições de diretório de aplicativo específicas de DNS são criadas durante a instalação do AD DS:

  • ForestDnsZones — uma partição de diretório de aplicativo que abrange toda a floresta e é compartilhada por todos os servidores DNS nela contidos.

  • DomainDnsZones — partições de diretório de aplicativo que abrangem todo o domínio para cada servidor DNS no mesmo domínio.

Registros de recursos de serviços (SRV)

Um serviço de logon de rede de controlador de domínio baseado no Windows Server 2008 usa atualizações dinâmicas para registrar registros de recurso de serviços (SRV) no banco de dados de DNS. Esse registro de recurso de serviços é usado para mapear o nome de um serviço (como o serviço do protocolo LDAP) até o nome do computador DNS de um servidor que oferece esse serviço. Em uma rede do Windows Server 2008, um registro de recurso LDAP localiza um controlador de domínio. Uma estação de trabalho que esteja fazendo logon em um domínio baseado no Windows Server 2008, consulta o DNS em busca de registros de recurso de serviços no formato geral:

_<Service>._<Protocol>.<DnsDomainName>

Onde <Service> é o serviço solicitado, <Protocol> é o protocolo solicitado e <DnsDomainName>é o nome do DNS totalmente qualificado do domínio do AD DS.

Os servidores AD DS oferecem o serviço LDAP sobre o protocolo TCP; portanto, os clientes localizam um servidor LDAP consultando o DNS em busca de um registro do formato:

_ldap._tcp.<DnsDomainName>

noteObservação
As cadeias de caracteres de serviço e protocolo exigem um prefixo sublinhado ( _ ) para impedir possíveis conflitos com nomes já existentes no namespace.

Esse formato é aplicável às implementações de servidores LDAP que não sejam controladores de domínio baseados no Windows Server 2008 e também às possíveis implementações dos serviços de diretório LDAP que utilizam servidores de catálogo global que não sejam os servidores executando o Windows Server 2008.

Subdomínio _msdcs.domain_name

Esse subdomínio específico da Microsoft permite a localização de controladores de domínio que tenham funções específicas do Windows Server 2008 no domínio. Esse subdomínio permite a localização de controladores de domínio pelo identificador global exclusivo (GUID) quando um domínio foi renomeado.

Para facilitar a localização de controladores de domínio baseados no Windows Server 2008, o serviço de logon de rede (além dos registros de formato padrão _Service._Protocol.<NomeDomínioDNS>) também registra registros de recurso de serviços (SRV) que identificam os pseudônimos conhecidos de tipo de servidor "dc" (controlador de domínio), "gc" (catálogo global), "pdc" (controlador de domínio primário) e "domains" (GUID) como prefixos no subdomínio _msdcs.<nome_do_domínio>. Para acomodar a localização dos controladores de domínio por tipo de servidor ou por GUID ("dctype" abreviado), os controladores de domínio baseados no Windows Server 2008 registram os registros de recurso de serviços (SRV) no seguinte formato do subdomínio _msdcs.<nome_do_domínio>:

_Service._Protocol.DcTyle._msdcs.<DnsDomainName>

Subdomínio _msdcs.forest_root_domain

O subdomínio _msdcs.forest_root_domain armazena registros de recurso da floresta toda que são de interesse dos clientes e dos controladores de domínio de todas as partes da floresta. Por exemplo, todos os controladores de domínio da floresta registram registros de recurso de serviços de alias (CNAME) e LDAP, Kerberos e GC no subdomínio _msdcs.forest_root_domain. Os registros de recurso de alias (CNAME) são usados pelo sistema de replicação para localizar parceiros de replicação e os recursos de recurso de serviços GC são usados pelos clientes para pesquisar servidores de catálogo global.

Para haver replicação entre dois controladores de domínio, incluindo no mesmo domínio, eles devem estar aptos a pesquisar registros do localizador na floresta toda. Para um controlador de domínio recém-criado participar da replicação, ele deve ser capaz de registrar seus registros da floresta toda no DNS e outros controladores de domínio devem ser capazes de pesquisar esses registros. Portanto, os servidores DNS que são autoritativos para o subdomínio _msdcs.forest_root_domain precisam estar disponíveis para replicação e pesquisas do catálogo global.

Por esse motivo, recomendamos a criação de uma zona _msdcs.forest_root_domain separada e a definição de seu escopo de replicação para que seja replicada em todos os servidores DNS da floresta.

Algumas organizações que utilizam o Active Directory do Windows 2000 já criaram um _msdcs.forest_root_domain para ajudar os clientes a localizarem controladores de domínio de maneira mais eficiente. Se já houver um _msdcs.forest_root_domain no ambiente do Windows 2000, recomendamos mover a zona para a partição de diretório de aplicativo ForestDnsZones depois que todos os controladores de domínio da floresta estiverem executando o Windows Server 2008. Além disso, para cada domínio da floresta, mova a zona _msdcs.<nome_do_domínio> para a partição de diretório de aplicativo DomainDnsZones desse domínio.

Mover as zonas DNS integradas ao Active Directory para partições de diretório de aplicativo do domínio e da floresta toda oferece os seguintes benefícios:

  • Como a partição de diretório de aplicativo da floresta toda pode replicar fora de um domínio específico, e como mover _msdcs.forest_root_domain para a partição de diretório de aplicativo da floresta toda o replica em todos os controladores de domínio da floresta que estão executando o serviço Servidor DNS, não é preciso usar a transferência de zona do DNS para replicar as informações do arquivo de zona para os servidores DNS que estão fora do domínio.

  • A replicação no domínio todo pode ser direcionada para reduzir o tráfego da replicação, pois os administradores podem especificar os controladores de domínio com o serviço Servidor DNS que podem receber os dados da zona do DNS.

  • A replicação na floresta toda pode ser direcionada para reduzir o tráfego da replicação, pois os dados do DNS não podem mais ser replicados no catálogo global.

  • Os registros de DNS localizados nos servidores de catálogo global da floresta são removidos, o que reduz a quantidade de informações replicadas com o catálogo global.

Para obter mais informações sobre como usar partições de diretório de aplicativo para armazenar dados do DNS, consulte Mover dados do DNS para partições de diretório de aplicativo do DNS.

Freqüência da replicação intra-site

Os controladores de domínio baseados no Windows 2000 que são atualizados para o Windows Server 2008 mantêm a freqüência de replicação intra-site padrão de 300/30. Ou seja, qualquer alteração feita no AD DS é replicada em todos os controladores de domínio do mesmo site 5 minutos (300 segundos) depois, com uma compensação de 30 segundos antes da notificação do próximo controlador de domínio, até o nível funcional da floresta ser elevado ao Windows Server 2008. Quando o nível funcional da floresta é elevado ao Windows Server 2008, a freqüência de replicação do AD DS é trocada pela configuração padrão do Windows Server 2008, que é de 15/3. Ou seja, as alterações serão replicadas em todos os controladores de domínio do mesmo site 15 minutos depois de feitas, com uma compensação de 3 segundos antes da notificação do próximo controlador de domínio. Se você modificou a configuração padrão de freqüência de replicação de 300/30 no Windows 2000, ela não será trocada pela configuração padrão de 15/3 no Windows Server 2008 depois de concluir a atualização. No entanto, uma nova instalação do Windows Server 2008 usará sempre a configuração de freqüência de replicação intra-site de 15/3.

ImportantImportante
Não modifique a freqüência de replicação intra-site padrão de 300/30 nos controladores de domínio baseados no Windows 2000. Em vez disso, atualize seu domínio baseado no Windows 2000 para o Windows Server 2008 e eleve o nível funcional da floresta ao Windows Server 2008 para aproveitar a freqüência de replicação intra-site de 15/3.

Grupos e associações de grupo novos criados após a atualização do controlador de domínio primário

Após a atualização do controlador de domínio baseado no Windows 2000 que tem a função de mestre de operações de emulador PDC (também conhecido como FSMO (Flexible Single Master Operations)) em cada domínio da floresta para o Windows Server 2003, são criados vários grupos novos, conhecidos e internos. Além disso, algumas novas associações de grupo são estabelecidas. Se você transferir a função de mestre de operações de emulador PDC para um controlador de domínio baseado no Windows Server 2003 ou no Windows Server 2008, em vez de atualizá-la, esses grupos serão criados quando a função for transferida. Os grupos novos, conhecidos e internos incluem:

  • Builtin\Usuários da Área de Trabalho Remota

  • Builtin\Operadores de Configuração de Rede

  • Usuários do Monitor de Desempenho

  • Usuários do Log de Desempenho

  • Builtin\Construtores de Confiança de Floresta de Entrada

  • Builtin\Usuários do Monitoramento de Desempenho

  • Builtin\Usuários do Log de Desempenho

  • Builtin\Grupo de Acesso de Autorização do Windows

  • Builtin\Servidores de Licenças do Terminal Server

As associações de grupo recém-estabelecidas incluem:

  • Se o grupo Todos estiver no grupo Acesso Compatível com Versões Anteriores ao Windows 2000, os grupos Logon Anônimo e Usuários Autenticados também serão adicionados ao grupo Acesso Compatível com Versões Anteriores ao Windows 2000.

  • O Grupo Servidores de Rede é adicionado ao alias Monitoramento de Desempenho.

  • O grupo Controladores de Domínio de Empresa é adicionado ao grupo Acesso de Autorização do Windows.

Além disso, na atualização do controlador de domínio baseado no Windows 2000 que tem a função de mestre emulador PDC no domínio raiz da floresta, as seguintes entidades de segurança adicionais são criadas:

  • Serviço Local

  • Serviço de Rede

  • Autenticação NTLM

  • Outra Organização

  • Logon Interativo Remoto

  • Autenticação SChannel

  • Esta Organização

Após a atualização do controlador de domínio baseado no Windows Server 2003 que tem a função de mestre emulador PDC em cada domínio da floresta para o Windows Server 2008 ou após a mudança da função de mestre de operações de emulador PDC para um controlador de domínio baseado no ou após a adição de um controlador de domínio somente leitura (RODC) ao seu domínio AD DS do Windows Server 2008, os seguintes grupos novos, conhecidos e internos são criados:

  • Builtin\IIS_IUSRS

  • Builtin\Operadores de Criptografia

  • Grupo de Replicação de Senha RODC Permitido

  • Grupo de Replicação de Senha RODC Negado

  • Controladores de Domínio Somente Leitura

  • Builtin\Leitores de Log de Eventos

  • Controladores de Domínio Somente Leitura de Empresa (criados apenas no domínio raiz da floresta)

  • Builtin\Acesso DCOM de Serviço de Certificados

As novas associações de grupo recém-estabelecidas são:

  • A entidade de segurança IUSR é adicionada ao grupo Builtin\IIS_IUSRS.

  • Os seguintes grupos são adicionados ao Grupo de Replicação de Senha RODC Negado:

    • Proprietários criadores de diretiva de grupo

    • Admins. do Domínio

    • Editores de certificados

    • Controladores de Domínio

    • Krbtgt

    • Administradores de Empresa

    • Administradores de esquemas

    • Controladores de Domínio Somente Leitura

  • A entidade de segurança Serviço de Rede é adicionada a Builtin\Usuários do Log de Desempenho.

  • Além disso, as seguintes entidades de segurança novas são criadas no domínio raiz da floresta:

  • IUSR

  • Direitos do Proprietário

  • A entidade de segurança Well-Known-Security-Id-System tem o nome alterado para Sistema.

    noteObservação
    Se você mover a função de mestre de operações de emulador PDC de um controlador de domínio baseado no Windows 2000 para um controlador de domínio baseado no , todos os grupos novos, conhecidos e internos, assim como as associações de grupo recém-estabelecidas mencionadas acima, serão criados.

Considerações sobre diretiva de segurança ao atualizar do Windows 2000 para o Windows Server 2003

A assinatura de pacote do protocolo SMB e a assinatura de canal de segurança são diretivas de segurança habilitadas por padrão nos controladores de domínio baseados no Windows Server 2008. Para permitir que os clientes com versões anteriores do Windows se comuniquem com controladores de domínio baseados no Windows Server 2008, talvez seja necessário desabilitar temporariamente essas diretivas de segurança durante o processo de atualização.

Assinatura de pacote SMB

A assinatura de pacote SMB é um mecanismo de segurança que protege a integridade dos dados do tráfego SMB entre computadores cliente e servidores, além de impedir ataques de software mal-intencionado fornecendo uma forma de autenticação mútua. Isso é feito com a colocação de uma assinatura de segurança digital em cada pacote SMB, a qual é verificada pela parte receptora. A assinatura SMB no lado do servidor é exigida por padrão nos controladores de domínio baseados no Windows Server 2008; ou seja, todos os clientes precisam ter a assinatura de pacote SMB habilitada.

Os clientes que têm o Windows NT 4.0 com Service Pack 2 (SP2) ou anterior, ou determinados sistemas operacionais não fabricados pela Microsoft, não são compatíveis com assinatura de pacote SMB. Esses clientes não conseguirão fazer a autenticação em um controlador de domínio baseado no Windows Server 2008. Para garantir a autenticação bem-sucedida, atualize esses clientes com uma versão mais recente do sistema operacional ou Service Pack. Mas, se você não conseguir atualizar os clientes, poderá permitir que sejam autenticados configurando a assinatura de pacote SMB em todos os controladores de domínio baseados no Windows Server 2008 de maneira que ela seja permitida, mas não necessária.

Para obter mais informações sobre como configurar a assinatura de pacote SMB nos controladores de domínio baseados no Windows Server 2008, consulte Modificar as diretivas padrão de segurança em controladores de domínio baseados no Windows Server 2008.

Assinatura de canal de segurança e criptografia

Quando um computador se torna membro de um domínio, uma conta é criada para ele. Cada vez que o computador é iniciado, ele usa a senha da conta para criar um canal de segurança com um controlador de domínio do seu domínio. Esse canal de segurança é usado para garantir comunicações seguras entre o membro de um domínio e um controlador de domínio do seu domínio. A assinatura de canal de segurança é exigida por padrão nos controladores de domínio baseados no Windows Server 2008; ou seja, todos os clientes precisam habilitar assinatura de canal de segurança e criptografia.

Os clientes que têm o Windows NT 4.0 com Service Pack 3 (SP3) ou anterior instalado não são compatíveis com assinatura de canal de segurança. Esses clientes não conseguirão estabelecer comunicações um controlador de domínio baseado no Windows Server 2008. Para garantir a comunicação bem-sucedida, atualize esses clientes com uma versão mais recente do sistema operacional ou Service Pack. Mas, se você não atualizar seus clientes, terá de desabilitar a assinatura de canal de segurança em todos os controladores de domínio do Windows Server 2008 para que o tráfego que passa pelo canal de segurança não precise ser obrigatoriamente assinado ou criptografado.

Para obter mais informações sobre como configurar a assinatura de canal de segurança nos controladores de domínio baseados no Windows Server 2003, consulte Modificar as diretivas padrão de segurança em controladores de domínio baseados no Windows Server 2008.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft