Como aumentar os níveis funcionais de domínio e floresta do Active Directory
Este artigo descreve como aumentar os níveis funcionais de domínio e floresta do Active Directory.
Aplica-se a: Windows Server 2003
Número original do KB: 322692
Resumo
Para obter informações sobre o Windows Server 2016 e os novos recursos do AD DS (Active Directory Domain Services), consulte Novidades no Active Directory Domain Services para Windows Server 2016.
Este artigo discute a criação dos níveis funcionais de domínio e floresta com suporte por controladores de domínio baseados no Microsoft Windows Server 2003 ou mais recentes. Há quatro versões do Active Directory e apenas os níveis que foram alterados em relação ao Windows NT Server 4.0 exigem consideração especial. Portanto, as outras alterações de nível são mencionadas usando as versões mais recentes, atuais ou mais antigas do sistema operacional do controlador de domínio, do domínio ou do nível funcional da floresta.
Os níveis funcionais são uma extensão dos conceitos de modo misto e modo nativo que foram introduzidos no Microsoft Windows 2000 Server para ativar novos recursos do Active Directory. Alguns recursos adicionais do Active Directory estão disponíveis quando todos os controladores de domínio estão executando a versão mais recente do Windows Server em um domínio ou em uma floresta e quando o administrador ativa o nível funcional correspondente no domínio ou na floresta.
Para ativar os recursos de domínio mais recentes, todos os controladores de domínio devem estar executando a versão mais recente do sistema operacional Windows Server no domínio. Se esse requisito for atendido, o administrador poderá aumentar o nível funcional do domínio.
Para ativar os recursos mais recentes em toda a floresta, todos os controladores de domínio na floresta devem estar executando a versão do sistema operacional Windows Server que corresponde ao nível funcional de floresta desejado. Além disso, o nível funcional do domínio atual já deve estar no nível mais recente. Se esses requisitos forem atendidos, o administrador poderá aumentar o nível funcional da floresta.
Geralmente, as mudanças nos níveis funcionais do domínio e da floresta são irreversíveis. Se a alteração puder ser desfeita, uma recuperação florestal deverá ser usada. Com o sistema operacional Windows Server 2008 R2, as alterações nos níveis funcionais de domínio e nos níveis funcionais de floresta podem ser revertidas. No entanto, a reversão pode ser executada apenas nos cenários específicos descritos no artigo do Technet sobre os níveis funcionais do Active Directory.
Observação
Os níveis funcionais de domínio mais recentes e os níveis funcionais de floresta mais recentes afetam apenas a maneira como os controladores de domínio operam juntos como um grupo. Os clientes que interagem com o domínio ou com a floresta não são afetados. Além disso, os aplicativos não são afetados por alterações nos níveis funcionais do domínio ou nos níveis funcionais da floresta. No entanto, os aplicativos podem aproveitar os recursos de domínio mais recentes e os recursos de floresta mais recentes.
Para obter mais informações, consulte o artigo do TechNet sobre os recursos associados aos vários níveis funcionais.
Elevando o nível funcional
Cuidado
Não aumente o nível funcional se o domínio tiver ou tiver um controlador de domínio que seja de uma versão anterior à versão citada para esse nível. Por exemplo, um nível funcional do Windows Server 2008 requer que todos os controladores de domínio tenham o Windows Server 2008 ou um sistema operacional posterior instalado no domínio ou na floresta. Depois que o nível funcional do domínio é elevado para um nível mais alto, ele só pode ser alterado de volta para um nível mais antigo usando uma recuperação de floresta. Essa restrição existe porque os recursos geralmente alteram a comunicação entre os controladores de domínio ou porque os recursos alteram o armazenamento dos dados do Active Directory no banco de dados.
O método mais comum para habilitar os níveis funcionais de domínio e floresta é usar as ferramentas de administração da interface gráfica do usuário (GUI) documentadas no artigo do TechNet sobre os níveis funcionais do Active Directory do Windows Server 2003. Este artigo aborda o Windows Server 2003. No entanto, as etapas são as mesmas nas versões mais recentes do sistema operacional. Além disso, o nível funcional pode ser configurado manualmente ou pode ser configurado usando scripts do Windows PowerShell. Para obter mais informações sobre como configurar manualmente o nível funcional, consulte a seção "Exibir e definir o nível funcional".
Para obter mais informações sobre como usar o script do Windows PowerShell para configurar o nível funcional, consulte Aumentar o nível funcional da floresta.
Visualize e defina o nível funcional manualmente
As ferramentas LDAP (Lightweight Directory Access Protocol), como Ldp.exe e Adsiedit.msc, podem ser usadas para exibir e modificar as configurações atuais de nível funcional de domínio e floresta. Quando você altera os atributos de nível funcional manualmente, a prática recomendada é fazer alterações de atributo no controlador de domínio FSMO (Flexible Single Master Operations) que normalmente é direcionado pelas ferramentas administrativas da Microsoft.
Configurações de nível funcional do domínio
O atributo msDS-Behavior-Version está no cabeçalho NC (contexto de nomenclatura) do domínio, ou seja, DC=corp, DC=contoso, DC=com.
Você pode definir os seguintes valores para esse atributo:
- Valor de 0 ou não definido = domínio de nível misto
- Valor de 1=nível de domínio do Windows Server 2003
- Valor de 2=Nível de domínio do Windows Server 2003
- Valor de 3=Nível de domínio do Windows Server 2008
- Valor de 4=Nível de domínio do Windows Server 2008 R2
Configurações de modo misto e modo nativo
O atributo ntMixedDomain está no cabeçalho do contexto de nomenclatura (NC) do domínio, ou seja, DC=corp, DC=contoso, DC=com.
Você pode definir os seguintes valores para esse atributo:
- Valor de 0=Domínio de nível nativo
- Valor de 1=Domínio de nível misto
Configuração de nível de floresta
O atributo msDS-Behavior-Version está no objeto CN=Partitions no contexto de nomenclatura de configuração (NC), ou seja, CN=Partitions, CN=Configuration, DC= ForestRootDomain.
Você pode definir os seguintes valores para esse atributo:
Valor de 0 ou não definido = floresta de nível misto
Valor de 1=Nível de floresta provisório do Windows Server 2003
Valor de 2=nível de floresta do Windows Server 2003
Observação
Ao aumentar o atributo msDS-Behavior-Version do valor 0 para o valor 1 usandoAdsiedit.msc, você recebe a seguinte mensagem de erro:
Operação de modificação ilegal. Alguns aspectos da modificação não são permitidos.Valor de 3=Nível de domínio do Windows Server 2008
Valor de 4=Nível de domínio do Windows Server 2008 R2
Depois de usar as ferramentas LDAP (Lightweight Directory Access Protocol) para editar o nível funcional, clique em OK para continuar. Os atributos no contêiner de partições e no cabeçalho do domínio são aumentados corretamente. Se uma mensagem de erro for relatada pelo arquivo Ldp.exe, você poderá ignorar a mensagem de erro com segurança. Para verificar se o aumento de nível foi bem-sucedido, atualize a lista de atributos e verifique a configuração atual. Essa mensagem de erro também pode ocorrer depois que você tiver executado o aumento de nível no FSMO autoritativo se a alteração ainda não tiver sido replicada para o controlador de domínio local.
Exibir rapidamente as configurações atuais usando o arquivo Ldp.exe
- Inicie o arquivo Ldp.exe.
- No menu Conexão, clique em Conectar.
- Especifique o controlador de domínio que você deseja consultar ou deixe o espaço em branco para se conectar a qualquer controlador de domínio.
Depois de se conectar a um controlador de domínio, as informações do RootDSE para o controlador de domínio são exibidas. Essas informações incluem informações sobre a floresta, o domínio e os controladores de domínio. Veja a seguir um exemplo de um controlador de domínio baseado no Windows Server 2003. No exemplo a seguir, suponha que o modo de domínio seja Windows Server 2003 e que o modo de floresta seja Windows 2000 Server.
Observação
A funcionalidade do controlador de domínio representa o nível funcional mais alto possível para esse controlador de domínio.
- > 1 domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
- > 1 forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
- > 1 domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)
Requisitos quando você altera manualmente o nível funcional
Você deve alterar o modo de domínio para o modo nativo antes de aumentar o nível de domínio se uma das seguintes condições for verdadeira:
- O nível funcional do domínio é gerado programaticamente para o segundo nível funcional modificando diretamente o valor do atributo msdsBehaviorVersion no objeto domainDNS.
- O nível funcional do domínio é elevado ao segundo nível funcional usando o utilitário Ldp.exe ou o utilitário Adsiedit.msc.
Se você não alterar o modo de domínio para o modo nativo antes de aumentar o nível de domínio, a operação não será concluída com êxito e você receberá as seguintes mensagens de erro:
SV_PROBLEM_WILL_NOT_PERFORM
ERROR_DS_ILLEGAL_MOD_OPERATION
Além disso, a seguinte mensagem é registrada no log dos Serviços de Diretório:
Active Directory could not update the functional level of the following domain because the domain is in mixed mode.
Nesse cenário, você pode alterar o modo de domínio para o modo nativo usando o snap-in Usuários e Computadores do Active Directory, usando o snap-in MMC da interface do usuário de Domínios e Relações de Confiança do Active Directory ou alterando programaticamente o valor do atributo ntMixedDomain para 0 no objeto domainDNS. Quando esse processo é usado para elevar o nível funcional do domínio para 2 (Windows Server 2003), o modo de domínio é alterado automaticamente para o modo nativo.
A transição do modo misto para o modo nativo altera o escopo do grupo de segurança Administradores de esquema e do grupo de segurança Administradores corporativos para grupos universais. Quando esses grupos são alterados para grupos universais, a seguinte mensagem é registrada no log do sistema:
Event Type: Information Event Source: SAM Event ID: 16408 Computer:Server Name Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."
Quando as ferramentas administrativas do Windows Server 2003 são usadas para invocar o nível funcional do domínio, o atributo ntmixedmode e o atributo msdsBehaviorVersion são modificados na ordem correta. No entanto, isso nem sempre ocorre. No cenário a seguir, o modo nativo é definido implicitamente como um valor de 0 sem alterar o escopo do grupo de segurança Administradores de Esquema e o grupo de segurança Administradores Corporativos para universal:
- O atributo msdsBehaviorVersion que controla o modo funcional de domínio é definido manual ou programaticamente como o valor de 2.
- O nível funcional da floresta é definido como 2 usando qualquer método. Nesse cenário, os controladores de domínio bloqueiam a transição para o nível funcional da floresta até que todos os domínios que estão na rede local sejam configurados para o modo nativo e a alteração de atributo necessária seja feita nos escopos do grupo de segurança.
Níveis funcionais relevantes para o Windows 2000 Server
O Windows 2000 Server oferece suporte apenas ao modo misto e ao modo nativo. Além disso, ele aplica esses modos apenas à funcionalidade do domínio. As seções a seguir listam os modos de domínio do Windows Server 2003 porque esses modos afetam a forma como os domínios do Windows NT 4.0 e do Windows 2000 Server são atualizados.
Há muitas considerações ao aumentar o nível do sistema operacional do controlador de domínio. Essas considerações são causadas pelas limitações de armazenamento e replicação dos atributos vinculados nos modos Windows 2000 Server.
Windows 2000 Server misto (padrão)
- Controladores de domínio suportados: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
- Recursos ativados: grupos locais e globais, suporte a catálogo global
Windows 2000 Server nativo
- Controladores de domínio com suporte: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
- Recursos ativados: aninhamento de grupo, grupos universais, histórico de Sid, conversão de grupos entre grupos de segurança e grupos de distribuição, você pode aumentar os níveis de domínio aumentando as configurações de nível de floresta
Provisório do Windows Server 2003
- Controladores de domínio com suporte: Windows NT 4.0, Windows Server 2003
- Recursos compatíveis: não há recursos de todo o domínio ativados nesse nível. Todos os domínios em uma floresta são automaticamente elevados a esse nível quando o nível da floresta aumenta para provisório. Esse modo só é usado quando você atualiza controladores de domínio em domínios do Windows NT 4.0 para controladores de domínio do Windows Server 2003.
Windows Server 2003
- Controladores de domínio com suporte: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
- Recursos com suporte: renomeação do controlador de domínio, atributo de carimbo de data/hora de logon atualizado e replicado. Suporte à senha do usuário no objectClass InetOrgPerson. Delegação restrita, você pode redirecionar os contêineres Usuários e Computadores.
Os domínios atualizados do Windows NT 4.0 ou criados pela promoção de um computador baseado no Windows Server 2003 operam no nível funcional misto do Windows 2000. Os domínios do Windows 2000 Server mantêm seu nível funcional de domínio atual quando os controladores de domínio do Windows 2000 Server são atualizados para o sistema operacional Windows Server 2003. Você pode elevar o nível funcional do domínio para Windows 2000 Server nativo ou Windows Server 2003.
Nível provisório - atualizar de um domínio do Windows NT 4.0
O Active Directory do Windows Server 2003 permite um nível funcional especial de floresta e domínio chamado Windows Server 2003 provisório. Esse nível funcional é fornecido para atualizações de domínios existentes do Windows NT 4.0 em que um ou mais controladores de domínio de backup (BDCs) do Windows NT 4.0 devem funcionar após a atualização. Não há suporte para controladores de domínio do Windows 2000 Server nesse modo. O Windows Server 2003 provisório se aplica aos seguintes cenários:
- Atualizações de domínio do Windows NT 4.0 para o Windows Server 2003.
- Os BDCs do Windows NT 4.0 não são atualizados imediatamente.
- Domínios do Windows NT 4.0 que contêm grupos com mais de 5000 membros (excluindo o grupo de usuários do domínio).
- Não há planos para implementar controladores de domínio do Windows Server 2000 na floresta a qualquer momento.
O Windows Server 2003 provisório fornece dois aprimoramentos importantes e ainda permite a replicação para BDCs do Windows NT 4.0:
- Replicação eficiente de grupos de segurança e suporte para mais de 5000 membros por grupo.
- Algoritmos geradores de topologia entre sites KCC aprimorados.
Devido às eficiências na replicação de grupo ativada no nível provisório, o nível provisório é o nível recomendado para todas as atualizações do Windows NT 4.0. Consulte a seção "Práticas recomendadas" deste artigo para obter mais detalhes.
Definindo o nível funcional da floresta temporária do Windows Server 2003
O Windows Server 2003 interim pode ser ativado de três maneiras diferentes. Os dois primeiros métodos são altamente recomendados. Isso ocorre porque os grupos de segurança usam a LVR (replicação de valor vinculado) depois que o PDC (controlador de domínio primário) do domínio do Windows NT 4.0 foi atualizado para um controlador de domínio do Windows Server 2003. A terceira opção é menos recomendada porque a associação em grupos de segurança usa um único atributo de vários valores, o que pode resultar em problemas de replicação. As maneiras pelas quais o Windows Server 2003 provisório pode ser ativado são:
Durante a atualização.
A opção é apresentada no assistente de instalação do Dcpromo quando você atualiza o PDC de um domínio do Windows NT 4.0 que serve como o primeiro controlador de domínio no domínio raiz de uma nova floresta.
Antes de atualizar o PDC do Windows NT 4.0 de um Windows NT 4.0 como o primeiro controlador de domínio de um novo domínio em uma floresta existente, configurando manualmente o nível funcional da floresta usando ferramentas LDAP (Lightweight Directory Access Protocol).
Os domínios filhos herdam as configurações de funcionalidade de toda a floresta da floresta para a qual são promovidos. A atualização do PDC de um domínio do Windows NT 4.0 como um domínio filho em uma floresta existente do Windows Server 2003 em que os níveis funcionais da floresta temporária foram configurados usando o arquivo Ldp.exe ou o arquivo Adsiedit.msc permite que os grupos de segurança usem a replicação de valor vinculado após a atualização da versão do sistema operacional.
Após a atualização usando ferramentas LDAP.
Use as duas últimas opções ao ingressar em uma floresta existente do Windows Server 2003 durante uma atualização. Esse é um cenário comum quando um domínio "raiz vazio" está em posição. O domínio atualizado é ingressado como filho da raiz vazia e herda a configuração de domínio da floresta.
Práticas recomendadas
A seção a seguir discute as práticas recomendadas para aumentar os níveis funcionais. A seção é dividida em duas partes. "Tarefas de preparação" discute o trabalho que você deve fazer antes do aumento e "Aumento de caminhos ótimos" discute as motivações e métodos para diferentes cenários de aumento de nível.
Para descobrir controladores de domínio do Windows NT 4.0, siga estas etapas:
Em qualquer controlador de domínio baseado no Windows Server 2003, abra Usuários e Computadores do Active Directory.
Se o controlador de domínio ainda não estiver conectado ao domínio apropriado, siga estas etapas para se conectar ao domínio apropriado:
- Clique com o botão direito do mouse no objeto de domínio atual e clique em Conectar-se ao domínio.
- Na caixa de diálogo Domínio, digite o nome DNS do domínio ao qual você deseja se conectar e clique em OK. Ou clique em Procurar para selecionar o domínio na árvore de domínio e clique em OK.
Clique com o botão direito do mouse no objeto de domínio e clique em Localizar.
Na caixa de diálogo Localizar , clique em Pesquisa personalizada.
Clique no domínio para o qual você deseja alterar o nível funcional.
Clique na guia Avançado.
Na caixa Inserir consulta LDAP , digite o seguinte e não deixe espaços entre os caracteres: (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))
Observação
Essa consulta não diferencia maiúsculas de minúsculas.
Clique em Localizar Agora.
Uma lista dos computadores no domínio que estão executando o Windows NT 4.0 e funcionando como controladores de domínio é exibida.
Um controlador de domínio pode aparecer na lista por qualquer um dos seguintes motivos:
- O controlador de domínio está executando o Windows NT 4.0 e deve ser atualizado.
- O controlador de domínio é atualizado para o Windows Server 2003, mas a alteração não é replicada para o controlador de domínio de destino.
- O controlador de domínio não está mais em serviço, mas o objeto de computador do controlador de domínio não é removido do domínio.
Antes de alterar o nível funcional do domínio para o Windows Server 2003, você deve localizar fisicamente qualquer controlador de domínio na lista, determinar o status atual do controlador de domínio e, em seguida, atualizar ou remover o controlador de domínio conforme apropriado.
Observação
Ao contrário dos controladores de domínio do Windows Server 2000, os controladores de domínio do Windows NT 4.0 não bloqueiam um aumento de nível. Quando você altera o nível funcional do domínio, a replicação para os controladores de domínio do Windows NT 4.0 é interrompida. No entanto, quando você tenta aumentar para o nível de floresta do Windows Server 2003 com domínios no Windows Server 2000, o nível misto é bloqueado. A falta de BDCs do Windows NT 4.0 está implícita no atendimento ao requisito de nível de floresta de todos os domínios no nível nativo do Windows Server 2000 ou posterior.
Exemplo: Tarefas de preparação antes do aumento de nível
Neste exemplo, o ambiente é elevado do modo misto do Windows Server 2000 para o modo de floresta do Windows Server 2003.
Faça o inventário da floresta em busca de versões anteriores dos controladores de domínio.
Se uma lista de servidores precisa não estiver disponível, siga estas etapas:
- Para descobrir domínios de nível misto, controladores de domínio do Windows Server 2000 ou controladores de domínio com objetos danificados ou ausentes, use domínios do Active Directory e o snap-in Trusts MMC.
- No snap-in, clique em Aumentar Funcionalidade de Floresta e clique em Salvar como para gerar um relatório detalhado.
- Se nenhum problema for encontrado, a opção de aumentar para o nível de floresta do Windows Server 2003 estará disponível na lista suspensa "Níveis Funcionais de Floresta Disponíveis". Quando você tenta elevar o nível da floresta, os objetos do controlador de domínio nos contêineres de configuração são pesquisados em busca de todos os controladores de domínio que não tenham msds-behavior-version definido para o nível de destino desejado. Supõe-se que sejam controladores de domínio do Windows Server 2000 ou objetos de controlador de domínio do Windows Server mais recentes danificados.
- Se controladores de domínio de versão anterior ou controladores de domínio com objetos de computador danificados ou ausentes forem encontrados, eles serão incluídos no relatório. O status desses controladores de domínio deve ser investigado e a representação do controlador de domínio no Active Directory deve ser reparada ou removida usando o arquivo Ntdsutil.
Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
216498 Como remover dados no Active Directory após um rebaixamento malsucedido do controlador de domínio
Verifique se a replicação de ponta a ponta está funcionando na floresta
Para verificar se a replicação de ponta a ponta está funcionando na floresta, use o Windows Server 2003 ou a versão mais recente do Repadmin nos controladores de domínio do Windows Server 2000 ou do Windows Server 2003:
Repadmin/Replsum * /Sort:Delta[/Errorsonly]
para inventário inicial.Repadmin/Showrepl * /CSV>showrepl.csv
. Importe para o Excel e use o Filtro Automático de Dados para identificar os recursos de> replicação.Use ferramentas de replicação, como Repadmin, para verificar se a replicação em toda a floresta está funcionando corretamente.
Verifique a compatibilidade de todos os programas ou serviços com os controladores de domínio mais recentes do Windows Server e com o modo de domínio e floresta superior do Windows Server. Use um ambiente de laboratório para testar completamente os programas e serviços de produção em busca de problemas de compatibilidade. Entre em contato com os fornecedores para confirmação da capacidade.
Prepare um plano de retirada que inclua uma das seguintes ações:
- Desconecte pelo menos dois controladores de domínio de cada domínio na floresta.
- Crie um backup de estado do sistema de pelo menos dois controladores de domínio de cada domínio na floresta.
Antes que o plano de restauração possa ser usado, todos os controladores de domínio na floresta devem ser desativados antes do processo de recuperação.
Observação
Aumentos de nível não podem ser restaurados com autoridade. Isso significa que todos os controladores de domínio que replicaram o aumento de nível devem ser desativados.
Depois que todos os controladores de domínio anteriores forem desativados, ative os controladores de domínio desconectados ou restaure os controladores de domínio do backup. Remova os metadados de todos os outros controladores de domínio e promova-os novamente. Este é um processo difícil e deve ser evitado.
Exemplo: como passar do nível misto do Windows Server 2000 para o nível de floresta do Windows Server 2003
Aumente todos os domínios para o nível nativo do Windows Server 2000. Depois que isso for concluído, aumente o nível funcional do domínio raiz da floresta para o nível de floresta do Windows Server 2003. Quando o nível da floresta é replicado para os PDCs de cada domínio na floresta, o nível de domínio é automaticamente aumentado para o nível de domínio do Windows Server 2003. Este método tem as seguintes vantagens:
- O aumento do nível em toda a floresta é realizado apenas uma vez. Você não precisa aumentar manualmente cada domínio na floresta para o nível funcional de domínio do Windows Server 2003.
- Uma verificação de controladores de domínio do Windows Server 2000 é executada antes do aumento de nível (consulte as etapas de preparação). O aumento é bloqueado até que os controladores de domínio problemáticos sejam removidos ou atualizados. Um relatório detalhado pode ser gerado listando os controladores de domínio de bloqueio e fornecendo dados acionáveis.
- É executada uma verificação de domínios no nível misto ou provisório do Windows Server 2000 do Windows Server 2003. O aumento é bloqueado até que os níveis de domínio sejam aumentados para pelo menos o Windows Server 2000 nativo. Os domínios de nível provisório devem ser aumentados para o nível de domínio do Windows Server 2003. Um relatório detalhado pode ser gerado listando os domínios de bloqueio.
Atualizações do Windows NT 4.0
As atualizações do Windows NT 4.0 sempre usam o nível provisório durante a atualização do PDC, a menos que os controladores de domínio do Windows Server 2000 tenham sido introduzidos na floresta para a qual o PDC é atualizado. Quando o modo provisório é usado durante a atualização do PDC, os grupos grandes existentes usam a replicação LVR imediatamente, evitando os possíveis problemas de replicação discutidos anteriormente neste artigo. Use um dos seguintes métodos para chegar ao nível provisório durante a atualização:
- Selecione o nível provisório durante o Dcpromo. Essa opção só é apresentada quando o PDC é atualizado para uma nova floresta.
- Defina o nível da floresta de uma floresta existente como provisório e, em seguida, junte-se à floresta durante a atualização do PDC. O domínio atualizado herda a configuração de floresta.
- Depois que todos os BDCs do Windows NT 4.0 forem atualizados ou removidos, cada domínio deverá ser transferido para o nível de floresta e poderá ser transferido para o modo de floresta do Windows Server 2003.
Um motivo para evitar o uso do modo provisório é se houver planos para implementar controladores de domínio do Windows Server 2000 após a atualização ou a qualquer momento no futuro.
Consideração especial para grupos grandes no Windows NT 4.0
Em domínios maduros do Windows NT 4.0, podem existir grupos de segurança que contêm muito mais de 5000 membros. No Windows NT 4.0, quando um membro de um grupo de segurança é alterado, somente a única alteração de associação é replicada para os controladores de domínio de backup. No Windows Server 2000, as associações de grupo são atributos vinculados armazenados em um único atributo de vários valores do objeto de grupo. Quando uma única alteração é feita na associação de um grupo, todo o grupo é replicado como uma única unidade. Como a associação de grupo é replicada como uma única unidade, há um potencial para que as atualizações da associação de grupo sejam "perdidas" quando membros diferentes são adicionados ou removidos ao mesmo tempo em controladores de domínio diferentes. Além disso, o tamanho desse único objeto pode ser maior do que o buffer usado para confirmar uma entrada no banco de dados. Para obter mais informações, consulte a seção "Problemas do repositório de versão com grupos grandes" deste artigo. Por esses motivos, o limite recomendado para membros do grupo é 5000.
A exceção à regra de 5000 membros é o grupo primário (por padrão, esse é o grupo "Usuários do Domínio"). O grupo primário usa um mecanismo "computado" com base no "primarygroupID" do usuário para determinar a associação. O grupo primário não armazena membros como atributos vinculados de vários valores. Se o grupo primário do usuário for alterado para um grupo personalizado, sua associação no grupo Usuários do Domínio será gravada no atributo vinculado do grupo e não será mais calculada. O novo grupo primário Rid é gravado em "primarygroupID" e o usuário é removido do atributo membro do grupo.
Se o administrador não selecionar o nível provisório para o domínio de atualização, você deverá seguir estas etapas antes da atualização:
- Faça um inventário de todos os grupos grandes e identifique todos os grupos acima de 5000, exceto o grupo de usuários do domínio.
- Todos os grupos com mais de 5000 membros devem ser divididos em grupos menores com menos de 5000 membros.
- Localize todas as Listas de Controle de Acesso em que os grupos grandes foram inseridos e adicione os pequenos grupos que você criou na etapa 2.O nível de floresta provisório do Windows Server 2003 dispensa os administradores de ter que descobrir e realocar grupos de segurança globais com mais de 5000 membros.
Problemas de repositório de versão com grupos grandes
Durante operações de execução longa, como pesquisas profundas ou confirmações em um único atributo grande, o Active Directory deve garantir que o estado do banco de dados seja estático até que a operação seja concluída. Um exemplo de pesquisas profundas ou confirmações em atributos grandes é um grupo grande que usa armazenamento herdado.
Como as atualizações do banco de dados ocorrem continuamente localmente e de parceiros de replicação, o Active Directory fornece um estado estático enfileirando todas as alterações de entrada até que a operação de execução longa seja concluída. Assim que a operação é concluída, as alterações enfileiradas são aplicadas ao banco de dados.
O local de armazenamento para essas alterações enfileiradas é chamado de "repositório de versão" e tem aproximadamente 100 megabytes. O tamanho do repositório de versão varia e é baseado na memória física. Se uma operação de execução longa não for concluída antes que o repositório de versão seja esgotado, o controlador de domínio deixará de aceitar atualizações até que a operação de execução longa e as alterações enfileiradas sejam confirmadas. Grupos que atingem um grande número (mais de 5000 membros) colocam o controlador de domínio em risco de esgotar o repositório de versão, desde que o grupo grande esteja confirmado.
O Windows Server 2003 apresenta um novo mecanismo de replicação para atributos vinculados de vários valores, chamado de LVR (replicação de valor de link). Em vez de replicar todo o grupo em uma única operação de replicação, o LVR resolve esse problema replicando cada membro do grupo como uma operação de replicação separada. O LVR fica disponível quando o nível funcional da floresta é elevado para o nível de floresta provisório do Windows Server 2003 ou para o nível de floresta do Windows Server 2003. Nesse nível funcional, o LVR é usado para replicar grupos entre controladores de domínio do Windows Server 2003.