Partilhar via


Descrições das páginas do assistente de instalação e remoção do AD DS

Este tópico fornece descrições dos controles localizados nas seguintes páginas do assistente que abrange a instalação e a remoção da função de servidor AD DS no Gerenciador do Servidor.

Configuração de Implantação

O Gerenciador do Servidor começa cada instalação de controlador de domínio na página Configuração de Implantação. As demais opções e campos exigidos mudam nessa página e nas páginas subsequentes, dependendo da operação de implantação selecionada. Por exemplo, se você criar uma floresta, a página Opções de Preparação não será exibida, mas se você instalar o primeiro controlador de domínio que executa o Windows Server 2012 em uma floresta ou em um domínio existente, a página será exibida.

Alguns testes de validação são executados nessa página e, mais tarde, serão executados novamente como parte das verificações de pré-requisitos. Por exemplo, se você tentar instalar o primeiro controlador de domínio do Windows Server 2012 em uma floresta com o nível funcional do Windows 2012, será exibido um erro nessa página.

As opções a seguir são exibidas quando uma nova floresta é criada.

Captura de tela da página Configuração de Implantação do Assistente de Configuração do Active Directory Domain Services que mostra as opções exibidas quando você cria uma floresta.

  • Ao criar uma nova floresta, especifique um nome para o domínio raiz da floresta. O rótulo do nome do domínio raiz da floresta não pode conter uma só palavra (por exemplo, o nome precisa ser "contoso.com" e não "contoso"). E deve usar as convenções de nomenclatura permitidas para domínios DNS. É possível especificar um IDN (Nome de Domínio Internacionalizado). Para saber mais sobre as convenções de nomenclatura de domínio DNS, consulte o artigo KB 909264.

  • Não crie novas florestas do Active Directory usando um nome igual ao nome DNS externo. Por exemplo, se a URL do DNS da Internet for http://contoso.com, escolha outro nome para a floresta interna a fim de evitar futuros problemas de compatibilidade. Esse nome deve ser exclusivo e de uso improvável no tráfego da Web; por exemplo, corp.contoso.com.

  • Você precisa ser membro do grupo Administradores no servidor em que será criada uma nova floresta.

Para obter mais informações sobre como criar uma floresta, consulte Instalar uma nova floresta do Active Directory do Windows Server 2012 (nível 200).

As opções a seguir são exibidas quando uma nova floresta é criada.

Captura de tela da página Configuração de Implantação do Assistente de Configuração do Active Directory Domain Services que mostra as opções exibidas quando você cria um domínio.

Observação

Ao criar um novo domínio de árvore, você precisa especificar o nome do domínio raiz da floresta, em vez do nome do domínio pai. As demais páginas e opções do assistente são as mesmas.

  • Clique em Selecionar para procurar o domínio pai ou a árvore do Active Directory ou digite um nome válido de domínio pai ou árvore. Depois, digite o nome do novo domínio em Novo nome de domínio.

  • Domínio de árvore: forneça um nome válido e totalmente qualificado de domínio raiz; o nome não pode conter apenas uma palavra e deve usar os requisitos de nome de domínio DNS.

  • Domínio filho: forneça um nome válido e com rótulo simples para o domínio filho; o nome deve usar os requisitos de nome de domínio DNS.

  • O Assistente de Configuração dos Serviços de Domínio Active Directory solicitará as credenciais de domínio se as suas credenciais atuais não forem de domínio. Clique em Alterar para fornecer as credenciais de domínio.

Para obter mais informações sobre como criar um domínio, consulte Instalar um novo domínio de árvore ou filho do Active Directory do Windows Server 2012 (nível 200).

As opções a seguir são exibidas quando você adiciona um novo controlador de domínio a um domínio existente.

Captura de tela da página Configuração de Implantação do Assistente de Configuração do Active Directory Domain Services que mostra as opções exibidas quando você adiciona um novo controlador de domínio a um domínio existente.

  • Clique em Selecionar para procurar o domínio ou digite um nome de domínio válido.

  • O Gerenciador do Servidor solicitará credenciais válidas, se necessário. A instalação de um controle de domínio adicional exige associação ao grupo Admins. do Domínio.

    Além disso, a instalação do primeiro controlador de domínio que executa o Windows Server 2012 em uma floresta exigem credenciais incluindo associações aos grupos Administradores Corporativos e Administradores de Esquemas. O Assistente de Configuração dos Serviços de Domínio Active Directory avisará você se as suas credenciais não tiverem as permissões ou as associações de grupo adequadas.

Para obter mais informações sobre como adicionar um controlador de domínio a um domínio existente, consulte Instalar um controlador de domínio de réplica do Windows Server 2012 em um domínio existente (nível 200).

Opções de Controlador de Domínio

Ao criar uma nova floresta, este será o conteúdo da página Opções do Controlador de Domínio:

Captura de tela da página Opções do Controlador de Domínio do Assistente de Configuração do Active Directory Domain Services que mostra as opções exibidas quando você cria uma floresta.

  • Por padrão, os níveis funcionais de floresta e de domínio estão definidos no Windows Server 2012.

    Há um novo recurso disponível no nível funcional de domínio do Windows Server 2012: o suporte para o Controle de Acesso Dinâmico e Kerberos, que protege a política de modelo administrativo do KDC, tem duas configurações (Sempre fornecer declarações e Recusar solicitações de autenticação sem proteção) que exigem o nível funcional de domínio do Windows Server 2012. Para obter mais informações, confira "Suporte para declarações, autenticação composta e proteção do Kerberos" em Novidades da autenticação Kerberos. O nível funcional de floresta do Windows Server 2012 não fornece novos recursos, mas garante que todo domínio criado na floresta opere automaticamente no nível funcional de domínio do Windows Server 2012. O nível funcional de domínio do Windows Server 2012 não fornece outros recursos novos além do suporte ao Controle de Acesso Dinâmico e à proteção Kerberos, mas garante que qualquer controlador de domínio no domínio execute o Windows Server 2012. Para obter mais informações sobre outros recursos que estão disponíveis em diferentes níveis funcionais, consulte Noções básicas sobre níveis funcionais dos AD DS (Serviços de Domínio do Active Directory).

    Além dos níveis funcionais, um controlador de domínio que executa o Windows Server 2012 fornece recursos adicionais não disponíveis em um controlador de domínio que executa uma versão anterior do Windows Server. Por exemplo, um controlador de domínio que executa o Windows Server 2012 pode ser usado para a clonagem de controlador de domínio virtual, mas isso não é possível em um controlador de domínio que execute uma versão anterior do Windows Server.

  • O servidor DNS é selecionado por padrão quando você cria uma nova floresta. O primeiro controlador de domínio na floresta deve ser um servidor GC (de catálogo global) e não pode ser um RODC (controlador de domínio somente leitura).

  • A senha DSRM ( Modo de Restauração dos Serviços de Diretório) é necessária para fazer logon em um controlador de domínio em que o AD DS esteja em execução. A senha especificada deve cumprir a política de senha aplicada ao servidor, a qual, por padrão, não exige uma senha forte, somente uma senha que não esteja em branco. Escolha sempre uma senha forte e complexa. Para saber mais sobre como sincronizar a senha DSRM com a senha de uma conta de usuário de domínio, consulte o artigo KB 961320.

Para obter mais informações sobre como criar uma floresta, consulte Instalar uma nova floresta do Active Directory do Windows Server 2012 (nível 200).

Ao criar um domínio filho, este será o conteúdo da página Opções do Controlador de Domínio:

Captura de tela da página Opções do Controlador de Domínio do Assistente de Configuração do Active Directory Domain Services que mostra as opções exibidas quando você cria um domínio filho.

  • Por padrão, o nível funcional de domínio está definido no Windows Server 2012. Você pode especificar qualquer outro valor que seja pelo menos o valor do nível funcional de floresta ou superior.

  • As opções configuráveis de controlador de domínio incluem Servidor DNS e Catálogo Global; não é possível configurar um controlador de domínio somente leitura como o primeiro controlador de domínio em um novo domínio.

    A Microsoft recomenda que todos os controladores de domínio forneçam serviços DNS e de catálogo global para alta disponibilidade em ambientes distribuídos, e é por isso que o assistente habilita essas opções, por padrão, na criação de um novo domínio.

  • A página Opções do Controlador de Domínio também permite que você escolha o nome de site lógico do Active Directory, na configuração da floresta. Por padrão, o site é selecionado com a sub-rede mais correta. Se houver apenas um site, ele será selecionado automaticamente.

    Importante

    Se o servidor não pertencer a uma sub-rede Active Directory e houver mais de um site, nada será selecionado e o botão Avançar ficará indisponível até você selecionar um site na lista.

Para obter mais informações sobre como criar um domínio, consulte Instalar um novo domínio de árvore ou filho do Active Directory do Windows Server 2012 (nível 200).

Se estiver adicionando um controlador de domínio a um domínio, este será o conteúdo da página Opções do Controlador de Domínio:

Captura de tela da página Opções do Controlador de Domínio do Assistente de Configuração do Active Directory Domain Services que mostra as opções exibidas quando você adiciona um controlador de domínio a um domínio.

  • As opções configuráveis de controlador de domínio incluem servidor DNS e Catálogo Global e o controlador de domínio somente leitura.

    A Microsoft recomenda que todos os controladores de domínio forneçam serviços DNS e de catálogo global para alta disponibilidade em ambientes distribuídos, e é por isso que o assistente habilita essas opções, por padrão. Para saber mais sobre a implantação de RODCs, consulte o Guia de Implantação e Planejamento do Controlador de Domínio Somente Leitura.

Para obter mais informações sobre como adicionar um controlador de domínio a um domínio existente, consulte Instalar um controlador de domínio de réplica do Windows Server 2012 em um domínio existente (nível 200).

Opções de DNS

Se você instalar o servidor DNS, a seguinte página Opções de DNS será exibida:

Captura de tela da página Opções de DNS do Assistente de Configuração do Active Directory Domain Services.

Quando o servidor DNS é instalado, a delegação registra esse ponto no servidor DNS como autoritativo para a zona a ser criada na zona DNS (Sistema de Nomes de Domínio). A delegação registra a autoridade de resolução de nome de transferência e fornece a referência correta a outros clientes e servidores DNS dos novos servidores que estão se tornando autoritativos da nova zona. Estes registros de recursos incluem:

  • Um registro de recurso de NS (servidor de nomes) para efetuar a delegação. Esse registro de recurso comunica que o servidor chamado ns1.na.example.microsoft.com é um servidor autoritativo do subdomínio delegado.

  • Um registro de recurso do host (A ou AAAA), também conhecido como registro cola, precisa estar presente para resolver o nome do servidor que é especificado no registro de recurso do NS (servidor de nomes) para o respectivo endereço IP. O processo de resolver o nome do host nesse registro de recurso para o servidor DNS delegado no registro de recurso do servidor de nomes, às vezes, é chamado de "caça a registros cola".

O Assistente de Configuração dos Serviços de Domínio Active Directory pode criá-los automaticamente. O assistente verifica se os registros adequados existem na zona DNS pai depois que você clica em Avançar na página Opções do Controlador de Domínio. Se o assistente não puder verificar a existência dos registros no domínio pai, o assistente dará a você a opção de criar automaticamente uma nova delegação DNS para um novo domínio (ou atualizar a delegação existente) e continuar com a instalação do novo controlador de domínio.

Outra alternativa é criar esses registros de delegação DNS antes de instalar o servidor DNS. Para criar uma delegação de zona, abra o Gerenciador DNS, clique com o botão direito do mouse no domínio pai e depois clique em Nova Delegação. Siga as etapas do Assistente de Nova Delegação para criar a delegação.

O processo de instalação tenta criar a delegação para assegurar que os computadores de outros domínios possam resolver consultas DNS para hosts, incluindo controladores de domínio e computadores membro, no subdomínio DNS. Observe que os registros de delegação podem ser criados automaticamente somente em servidores DNS da Microsoft. Se a zona pai de domínio DNS residir em servidores DNS de terceiros (por exemplo, BIND), um aviso informando que não foi possível criar registros de delegação DNS aparecerá na página Comprovação de requisitos anteriores. Para saber mais sobre esse aviso, consulte Problemas conhecidos relacionados à instalação de AD DS.

Delegações entre o domínio pai e o subdomínio que está sendo promovido podem ser criadas e validadas antes ou depois da instalação. Não há motivo para atrasar a instalação de um novo controlador de domínio porque você não pode criar ou atualizar a delegação DNS.

Para obter mais informações sobre delegação, confira Noções básicas sobre delegação de zona (https://go.microsoft.com/fwlink/?LinkId=164773). Se a delegação de zona não for possível na sua situação, talvez você possa considerar outros métodos para fornecer resolução de nome de outros domínios para os hosts do seu domínio. Por exemplo, o administrador DNS de outro domínio poderia configurar o encaminhamento condicional, zonas de stub ou zonas secundárias para resolver nomes no seu domínio. Para obter mais informações, consulte estes tópicos:

Opções de RODC

As opções a seguir são exibidas quando um RODC (controlador de domínio somente leitura) é instalado.

Captura de tela da página Opções do RODC do Assistente de Configuração do Active Directory Domain Services que mostra as opções exibidas quando você instala um controlador de domínio somente leitura.

  • As contas de administrador delegadas obtêm permissões administrativas locais para o RODC. Esses usuários podem operar com privilégios equivalentes ao grupo Administradores do computador local. Eles não são membros do grupo Admins. do Domínio ou dos grupos Administradores embutidos no domínio. Essa opção é útil para a administração de filiais de delegação, mas sem emitir permissões administrativas de domínio. Não é preciso configurar a delegação de administração. Para saber mais, consulte Separação de função de administrador.

  • A Política de Replicação de Senha age como uma ACL (lista de controle de acesso). Ela determina se um RODC deve ter permissão para armazenar uma senha no cache. Depois que o RODC recebe um logon de usuário ou computador autenticado, ele consulta a Política de Replicação de Senha para determinar se a senha da conta deve ser armazenada em cache. A mesma conta poderá, então, executar logons subsequentes com mais eficiência.

    A PRP (Política de Replicação de Senha) lista as contas cujas senhas estão autorizadas para armazenamento em cache e as contas cujas senhas foram explicitamente recusadas para esse tipo de armazenamento. A lista das contas de usuário e computador que podem ser armazenadas no cache não obriga o RODC a armazenar no cache as senhas dessas contas. Um administrador pode, por exemplo, especificar antecipadamente todas as contas que o RODC armazenará no cache. Dessa forma, o RODC poderá autenticar tais contas, mesmo que o link WAN para o site do hub esteja offline.

    Todos os usuários ou computadores que não estiverem autorizados (inclusive os implícitos) ou que foram recusados não armazenarão suas senhas no cache. Se esses usuários ou computadores não tiverem acesso ao controlador de domínio gravável, eles não poderão acessar recursos ou funcionalidade fornecidos pelo AD DS. Para saber mais sobre a PRP, consulte Política de Replicação de Senha. Para saber mais sobre o gerenciamento da PRP, consulte Administrando a Política de Replicação de Senha.

Para obter mais informações sobre a instalação de RODCs, consulte Instalar um controlador de domínio somente leitura (RODC) do Active Directory do Windows Server 2012 (nível 200).

Opções adicionais

A opção a seguir aparecerá na página Opções Adicionais se você criar um novo domínio:

Captura de tela da página Opções Adicionais do Assistente de Configuração do Active Directory Domain Services que mostra as opções exibidas se você estiver criando um domínio.

As opções a seguir aparecerão na página Opções Adicionais se você instalar um controlador de domínio adicional em um domínio existente:

Captura de tela da página Opções Adicionais do Assistente de Configuração do Active Directory Domain Services que mostra as opções exibidas se você instalar um controlador de domínio adicional em um domínio existente.

  • Você pode especificar um controlador de domínio como a fonte de replicação ou permitir que o assistente selecione qualquer controlador de domínio como a fonte de replicação.

  • Também é possível optar pela instalação do controlador de domínio usando uma mídia de backup e escolhendo a opção Instalar da mídia (IFM). Se a mídia de instalação estiver armazenada localmente, a opção Instalar da mídia permitirá que você procure o local do arquivo. A opção de procura não está disponível para instalação remota. Você pode clicar em Verificar para garantir que o caminho fornecido é de uma mídia válida. A mídia usada pela opção IFM precisa ser criada com o Backup do Windows Server ou com o Ntdsutil.exe somente em outro computador Windows Server 2012 existente. Não é possível usar o Windows Server 2008 R2 ou um sistema operacional anterior para criar a mídia para um controlador de domínio do Windows Server 2012. Se a mídia for protegida por SYSKEY, o Gerenciador do Servidor solicitará a senha da imagem durante a verificação.

Para obter mais informações sobre como criar um domínio, consulte Instalar um novo domínio de árvore ou filho do Active Directory do Windows Server 2012 (nível 200). Para obter mais informações sobre como adicionar um controlador de domínio a um domínio existente, consulte Instalar um controlador de domínio de réplica do Windows Server 2012 em um domínio existente (nível 200).

Caminhos

As opções a seguir aparecem na página Rotas.

Captura de tela da página Caminhos do Assistente de Configuração do Active Directory Domain Services.

  • A página Rotas permite substituir os locais de pasta padrão do banco de dados AD DS, os logs de transação de banco de dados e o compartilhamento SYSVOL. Os locais padrão estão sempre em %systemroot%.

Especifique o local do banco de dados AD DS (NTDS.DIT), dos arquivos de log e do SYSVOL. Para uma instalação local, é possível procurar o local onde você quer armazenar os arquivos.

Opções de preparação

Captura de tela da página Opções de Preparação do Assistente de Configuração do Active Directory Domain Services.

Se, no momento, você não estiver conectado com credenciais suficientes para executar os comandos adprep.exe. e for necessário executar o adprep para concluir a instalação do AD DS, você será solicitado a fornecer as credenciais para executar adprep.exe. A execução do adprep é necessária para adicionar o primeiro controlador de domínio que executa o Windows Server 2012 em um domínio ou em uma floresta existente. Mais especificamente:

  • O adprep /forestprep precisa ser executado para adicionar o primeiro controlador de domínio que executa o Windows Server 2012 em uma floresta existente. Esse comando deve ser executado por um membro do grupo Administradores Corporativos, Administradores de Esquema e Administradores de Domínio do domínio que hospeda o mestre do esquema. Para esse comando ser concluído com êxito, deve haver conectividade entre o computador em que você executa o comando e o mestre do esquema da floresta.

  • O adprep /domainprep precisa ser executado para adicionar o primeiro controlador de domínio que executa o Windows Server 2012 em um domínio existente. Esse comando precisa ser executado por um membro do grupo Administradores do Domínio, pertencente ao domínio em que você está instalando o controlador de domínio que executa o Windows Server 2012. Para esse comando ser concluído com êxito, deve haver conectividade entre o computador em que você executa o comando e o mestre da infraestrutura do domínio.

  • O adprep /rodcprep deve ser executado para adicionar o primeiro RODC a uma floresta existente. Esse comando deve ser executado por um membro do grupo Administradores Corporativos. Para esse comando ser concluído com êxito, deve haver conectividade entre o computador em que você executa o comando e o mestre da infraestrutura do domínio.

Para obter mais informações sobre o Adprep.exe, consulte Integração do Adprep.exe e Executando o Adprep.exe.

Examinar Opções

Captura de tela da página Revisar Opções do Assistente de Configuração do Active Directory Domain Services.

  • A página Opções de revisão permite que você valide suas configurações e se assegure de que elas cumprem os requisitos, antes de iniciar a instalação. Esta não é a última oportunidade de interromper a instalação usando o Gerenciador do Servidor. Essa página simplesmente permite que você examine e confirme suas configurações antes de continuar.

  • A página Opções de revisão do Gerenciador do Servidor também oferece um botão Exibir Script para criar um arquivo de texto Unicode contendo a configuração atual de ADDSDeployment como um script simples do Windows PowerShell. Isso permite que você use a interface gráfica do Gerenciador do Servidor como um estúdio de implantação do Windows PowerShell. Use o Assistente de Configuração dos Serviços de Domínio do Active Directory para configurar opções, exportar a configuração e então cancelar o assistente. Esse processo cria um exemplo válido e sintaticamente correto para modificações adicionais ou uso direto.

Verificação de pré-requisitos

Captura de tela da página Verificação de Pré-requisitos do Assistente de Configuração do Active Directory Domain Services.

Alguns dos avisos apresentados nessa página incluem:

  • Os controladores de domínio que executam o Windows Server 2008 ou posterior têm uma configuração padrão "Permitir algoritmos de criptografia compatíveis com o Windows NT 4" que impede algoritmos de criptografia fraca ao estabelecer sessões de canal seguras. Para obter mais informações sobre o impacto potencial e uma solução alternativa, confira Desabilitar a configuração AllowNT4Crypto em todos os controladores de domínio afetados.

  • A delegação DNS não pôde ser criada, nem atualizada. Para saber mais, consulte Opções DNS.

  • A verificação de pré-requisitos exige chamadas WMI. Poderá haver falhas se estiverem bloqueadas por regras de firewall, e isso retornará um erro de servidor RPC indisponível.

Para obter mais informações sobre verificações de pré-requisito específicas que são executadas para a instalação do AD DS, consulte Testes de pré-requisito.

Resultados

Captura de tela da página Resultados do Assistente de Configuração do Active Directory Domain Services.

Nessa página, é possível revisar os resultados da instalação.

Você também pode optar por reiniciar o servidor de destino após a conclusão do assistente, porém, se houver êxito na instalação, o servidor será sempre reiniciado, independentemente da opção que você escolher. Em alguns casos, após a conclusão do assistente em um servidor de destino que não foi ingressado no domínio antes da instalação, o estado do sistema do servidor de destino poderá tornar o servidor inatingível na rede, ou o estado do sistema poderá impedir você de obter as permissões para gerenciar o servidor remoto.

Se não for possível reiniciar o servidor de destino, reinicie-o manualmente. Ferramentas como shutdown.exe ou Windows PowerShell não podem reiniciá-lo. Os Serviços de Área de Trabalho Remota podem ser usados para fazer logon e desligar remotamente o servidor de destino.

Credenciais de Remoção de Função

Captura de tela da página Credenciais do Assistente de Configuração do Active Directory Domain Services.

Você pode configurar opções de rebaixamento na página Credenciais. Forneça as credenciais necessárias à execução do rebaixamento na lista a seguir:

  • O rebaixamento de um controlador de domínio adicional exige credenciais de Admin. do Domínio. A seleção de Forçar remoção do controlador de domínio rebaixa o controlador de domínio sem remover os metadados do objeto de controlador de domínio do Active Directory.

    Importante

    Não selecione essa opção, a menos que o controlador de domínio não possa contatar outros controladores de domínio e não haja outra maneira razoável de solucionar o problema de rede. O rebaixamento forçado resulta em metadados órfãos no Active Directory, nos controladores de domínio remanescentes na floresta. Além disso, todas as alterações que não foram replicadas nesse controlador de domínio, como senhas ou novas contas de usuário, serão perdidas definitivamente. Metadados órfãos são a principal causa da significativa porcentagem de casos no Atendimento ao Cliente da Microsoft para AD DS, Exchange, SQL e outros softwares. Se você forçar o rebaixamento de um controlador de domínio, execute manual e imediatamente a limpeza dos metadados. Para conhecer as etapas, examine Limpar metadados do servidor.

  • O rebaixamento do último controlador de domínio em um domínio exige associação ao grupo Administradores Corporativos, pois esse processo remove o domínio propriamente dito (e se este for o último domínio da floresta, removerá a floresta). O Gerenciador do Servidor informará se o atual controlador de domínio for o último no domínio. Selecione Último controlador de domínio no domínio para confirmar que esta é a condição do controlador de domínio.

Para obter mais informações sobre a remoção do AD DS, consulte Remover Serviços de Domínio Active Directory (nível 100) e Rebaixar controles de domínio e domínios (nível 200).

Opções e Avisos de Remoção de AD DS

Se precisar de ajuda na página Opções de revisão, consulte Opções de revisão

Se o controlador de domínio hospeda funções adicionais, como uma função de servidor DNS ou um servidor de catálogo global, a seguinte página de aviso será exibida:

Captura de tela da página Avisos do Assistente de Configuração do Active Directory Domain Services.

Clique em Continuar remoção para reconhecer que as funções adicionais só serão disponibilizadas depois que você clicar em Avançar para continuar.

Se você forçar a remoção de um controlador de domínio, todas as alterações de objeto Active Directory que não foram replicadas para outros controladores de domínio no domínio serão perdidas. Além disso, se o controlador de domínio hospedar funções de mestres de operações, o catálogo global ou a função de servidor DNS, as operações essenciais no domínio e na floresta poderão ser impactadas da seguinte forma. Antes de remover um controlador de domínio que hospeda qualquer função de mestre de operações, tente transferir a função para outro controlador de domínio. Se não for possível transferir a função, primeiro remova os Serviços de Domínio Active Directory desse computador e então use Ntdsutil.exe para executar a função. Use Ntdsutil no controlador de domínio que contém a função a ser executada; se possível, use um parceiro de replicação recente do mesmo site como esse controlador de domínio. Para saber mais sobre transferência e execução de funções de mestres de operações, consulte o artigo 255504 na Base de Dados de Conhecimento Microsoft. Caso o assistente não possa determinar se o controlador de domínio hospeda uma função de mestre de operações, execute o comando netdom.exe para determinar se esse controlador de domínio executa alguma função de mestre de operações.

  • Catálogo global: os usuários talvez tenham problemas ao fazer logon nos domínios da floresta. Antes de remover um servidor de catálogo global, verifique se há servidores de catálogo global suficientes na floresta e no site para atender aos logons de usuários. Se necessário, designe outro servidor de catálogo global e atualize clientes e aplicativos com as novas informações.

  • Servidor DNS: todos os dados DNS armazenados nas zonas integradas ao Active Directory serão perdidos. Após a remoção do AD DS, esse servidor DNS não poderá mais executar resolução de nomes para as zonas DNS que foram integradas ao Active Directory. Portanto, recomendamos que você atualize a configuração DNS de todos os computadores que, no momento, fazem referência ao endereço IP desse servidor DNS para resolução de nomes, usando o endereço IP de um novo servidor DNS.

  • Mestre de infraestrutura: clientes do domínio podem ter dificuldade para localizar objetos em outros domínios. Antes de continuar, transfira a função de mestre de infraestrutura para um controlador de domínio que não seja um servidor de catálogo global.

  • Mestre de RID: você pode ter problemas para criar novas contas de usuário, contas de computador e grupos de segurança. Antes de continuar, transfira a função de mestre de RID para um controlador de domínio no mesmo domínio desse controlador de domínio.

  • Emulador de PDC (controlador de domínio primário): as operações executadas pelo emulador de PDC, como atualizações de Política de Grupo e redefinições de senhas para contas não AD DS, não funcionarão adequadamente. Antes de continuar, transfira a função de mestre de emulador de PDC para um controlador de domínio que esteja no mesmo domínio desse controlador de domínio.

  • Mestre de esquema: você não poderá mais modificar o esquema dessa floresta. Antes de continuar, transfira a função de mestre de esquema para um controlador de domínio no domínio raiz da floresta.

  • Mestre de nomeação de domínio: você não poderá mais adicionar domínios ou removê-los dessa floresta. Antes de continuar, transfira a função de mestre de nomeação de domínio para um controlador de domínio no domínio raiz da floresta.

  • Todas as partições do diretório de aplicativos nesse controlador de domínio do Active Directory serão removidas. Se um controlador de domínio contiver a última réplica de uma ou mais partições do diretório de aplicativos, quando a operação de remoção for concluída, essas partições não existirão mais.

Tenha em mente que o domínio não existirá mais após a desinstalação dos Serviços de Diretório Active Directory do último controlador de domínio do domínio.

Se o controlador de domínio for um servidor DNS delegado para hospedar a zona DNS, a seguinte página fornecerá a opção de remover o servidor DNS da delegação de zona DNS.

Captura de tela da página Opções de Remoção do Assistente de Configuração do Active Directory Domain Services.

Para obter mais informações sobre a remoção do AD DS, consulte Remover Serviços de Domínio Active Directory (nível 100) e Rebaixar controles de domínio e domínios (nível 200).

Nova Senha do Administrador

A página Nova Senha do Administrador exige que você forneça uma senha para a conta Administrador do computador local interno assim que o rebaixamento é concluído e o computador passa a ser um servidor membro do domínio ou um computador de grupo de trabalho.

Captura de tela da nova página Senha do Administrador do Assistente de Configuração do Active Directory Domain Services.

Para obter mais informações sobre a remoção do AD DS, consulte Remover Serviços de Domínio Active Directory (nível 100) e Rebaixar controles de domínio e domínios (nível 200).

Página Revisar Opções

A página Opções de revisão fornece a possibilidade de exportar as definições de configuração para rebaixamento em um script do Windows PowerShell, assim você pode automatizar outros rebaixamentos. Clique em Rebaixar para remover AD DS.

Captura de tela da página final Revisar Opções do Assistente de Configuração do Active Directory Domain Services.