Partilhar via

Administração simplificada do AD DS

Este tópico explica os recursos e benefícios da implantação e administração do controlador de domínio do Windows Server 2012 e as diferenças entre a implantação anterior do DC do sistema operacional e a nova implementação do Windows Server 2012.

O Windows Server 2012 introduziu a próxima geração de Administração Simplificada dos Serviços de Domínio Ative Directory e foi a revisão de domínio mais radical desde o Windows 2000 Server. A Administração Simplificada do AD DS aproveita as lições aprendidas em doze anos de Ative Directory e proporciona uma experiência administrativa mais suportável, mais flexível e mais intuitiva para arquitetos e administradores. Isso significou criar novas versões de tecnologias existentes, bem como estender os recursos dos componentes lançados no Windows Server 2008 R2.

A Administração Simplificada do AD DS é uma reimaginação da implantação de domínio.

  • A implantação da função AD DS agora faz parte da nova arquitetura do Gerenciador do Servidor e permite a instalação remota
  • O mecanismo de implantação e configuração do AD DS agora é o Windows PowerShell, mesmo ao usar o novo Assistente de Configuração do AD DS
  • A extensão do esquema, a preparação da floresta e a preparação do domínio fazem parte automaticamente da promoção do controlador de domínio e não exigem mais tarefas separadas em servidores especiais, como o Mestre de Esquema
  • A promoção agora inclui a verificação de pré-requisitos que valida a prontidão da floresta e do domínio para o novo controlador de domínio, reduzindo a chance de falhas nas promoções.
  • O módulo Active Directory para Windows PowerShell agora inclui cmdlets para gestão de topologia de replicação, Controle de Acesso Dinâmico e outras operações.
  • O nível funcional de floresta do Windows Server 2012 não implementa novos recursos e o nível funcional de domínio é necessário apenas para um subconjunto de novos recursos Kerberos, aliviando os administradores da necessidade frequente de um ambiente de controlador de domínio homogêneo
  • Suporte completo adicionado para controladores de domínio virtualizados, para incluir implantação automatizada e proteção contra reversão

Além disso, há muitas melhorias administrativas e de manutenção:

  • O Centro Administrativo do Ative Directory inclui uma Lixeira gráfica do Ative Directory, gerenciamento de Política de Senha de Fine-Grained e visualizador de histórico do Windows PowerShell
  • O novo Gerenciador do Servidor tem interfaces específicas do AD DS em monitoramento de desempenho, análise de práticas recomendadas, serviços críticos e logs de eventos
  • As Contas de Gestão de Serviços de Grupo suportam vários computadores usando os mesmos principais de segurança
  • Melhorias na emissão e monitoramento do Identificador Relativo (RID) para melhor capacidade de gerenciamento em domínios maduros do Ative Directory

O AD DS lucra com outros novos recursos incluídos no Windows Server 2012, como:

  • Agrupamento NIC e ponte de datacenter
  • Segurança DNS e disponibilidade mais rápida da zona integrada ao AD após a inicialização
  • Hyper-V melhorias de confiabilidade e escalabilidade
  • Desbloqueio de Rede BitLocker
  • Módulos adicionais de administração de componentes do Windows PowerShell

Integração ADPREP

A extensão do esquema de floresta do Ative Directory e a preparação do domínio agora se integram ao processo de configuração do controlador de domínio. Se você promover um novo controlador de domínio em uma floresta existente, o processo detetará o status da atualização e as fases de extensão de esquema e preparação de domínio ocorrerão automaticamente. O usuário que instala o primeiro controlador de domínio do Windows Server 2012 ainda deve ser um administrador corporativo e um administrador de esquema ou fornecer credenciais alternativas válidas.

Adprep.exe permanece no DVD para a preparação separada das florestas e dos domínios. A versão da ferramenta incluída no Windows Server 2012 é compatível com versões anteriores do Windows Server 2008 x64 e do Windows Server 2008 R2. Adprep.exe também suporta os forestprep e domainprep remotos, assim como as ferramentas de configuração do controlador de domínio baseadas em AD DS Deployment.

Para obter informações sobre o Adprep e a preparação anterior da floresta do sistema operacional, consulte Executando o Adprep (Windows Server 2008 R2).

Integração do Gestor de Servidores com AD DS

Captura de tela que mostra o Painel do Gerenciador do Servidor.

O Gerenciador do Servidor atua como um hub para tarefas de gerenciamento de servidor. A sua aparência em estilo de painel atualiza periodicamente as visões dos grupos de servidores remotos e das funções instaladas. O Gerenciador do Servidor fornece gerenciamento centralizado de servidores locais e remotos, sem a necessidade de acesso ao console.

Os Serviços de Domínio Active Directory são uma dessas funções de hub; executando o Gestor de Servidor num controlador de domínio ou as Ferramentas de Administração de Servidor Remoto num Windows 8, poderá ver problemas recentes importantes nos controladores de domínio na sua floresta.

Esses pontos de vista incluem:

  • Disponibilidade do servidor
  • Alertas do monitor de desempenho para alto uso de CPU e memória
  • O estado dos serviços do Windows específicos do AD DS
  • Avisos recentes relacionados aos Serviços de Diretório e entradas de erro no log de eventos
  • Análise de práticas recomendadas de um controlador de domínio em relação a um conjunto de regras recomendadas pela Microsoft

Lixeira do Centro Administrativo do Active Directory

Captura de tela que mostra os objetos de exclusão na Lixeira do Centro Administrativo do Ative Directory.

O Windows Server 2008 R2 introduziu a Lixeira do Ative Directory, que recupera objetos excluídos do Ative Directory sem restaurar do backup, reiniciar o serviço AD DS ou reinicializar controladores de domínio.

O Windows Server 2012 aprimora os recursos de restauração existentes baseados no Windows PowerShell com uma nova interface gráfica no Centro Administrativo do Ative Directory. Isso permite que os administradores habilitem a Lixeira e localizem ou restaurem objetos excluídos nos contextos de domínio da floresta, tudo sem executar diretamente cmdlets do Windows PowerShell. O Centro de Administração do Active Directory e a Reciclagem do Active Directory ainda utilizam o Windows PowerShell por trás dos bastidores, assim, os scripts e procedimentos anteriores continuam a ser valiosos.

Para obter informações sobre a Lixeira do Ative Directory, consulte Guia Passo a Passo da Lixeira do Ative Directory (Windows Server 2008 R2).

Política de senha de Fine-Grained do Centro Administrativo do Ative Directory

Captura de ecrã que mostra a interface gráfica do Centro Administrativo do Ative Directory Fine-Grained Política de Palavra-passe.

O Windows Server 2008 introduziu a política de Senha de Fine-Grained, que permite que os administradores configurem várias diretivas de senha e bloqueio de conta por domínio. Isso permite que os domínios sejam uma solução flexível para impor regras de senha mais ou menos restritivas, com base em usuários e grupos. Ele não tinha interface gerencial e exigia que os administradores o configurassem usando Ldp.exe ou Adsiedit.msc. O Windows Server 2008 R2 introduziu o módulo Ative Directory para Windows PowerShell, que concedeu aos administradores uma interface de linha de comando para o FGPP.

Windows Server 2012 traz uma interface gráfica para a Política de Senhas Fine-Grained. O Centro Administrativo do Active Directory é o local desta nova interface, que oferece gestão simplificada de FGPP para todos os administradores.

Para obter informações sobre a Política de Senhas de Fine-Grained, consulte o Guia Passo a Passo da Política de Senhas e de Bloqueio de Conta do AD DS Fine-Grained (Windows Server 2008 R2).

Centro Administrativo do Ative Directory Visualizador de Histórico do Windows PowerShell

Captura de ecrã que mostra o Visualizador de Histórico do Windows PowerShell do Centro Administrativo do Active Directory.

O Windows Server 2008 R2 introduziu o Centro Administrativo do Ative Directory, que substituiu o antigo snap-in Usuários e Computadores do Ative Directory criado no Windows 2000. O Centro Administrativo do Ative Directory cria uma interface administrativa gráfica para o então novo módulo do Ative Directory para Windows PowerShell.

Embora o módulo Active Directory contenha mais de cem cmdlets, a curva de aprendizagem para um administrador pode ser íngreme. Como o Windows PowerShell se integra fortemente à estratégia de administração do Windows, o Centro Administrativo do Ative Directory agora inclui um visualizador que permite ver a execução do cmdlet na interface gráfica. Você pode pesquisar, copiar, limpar o histórico e adicionar notas com uma interface simples. A intenção é que um administrador use a interface gráfica para criar e modificar objetos e, em seguida, revise-os no visualizador de histórico para saber mais sobre scripts do Windows PowerShell e modificar os exemplos.

Replicação do AD no Windows PowerShell

Captura de ecrã que mostra como usar cmdlets de replicação do AD.

O Windows Server 2012 adiciona cmdlets adicionais de replicação do Active Directory no módulo Windows PowerShell do Active Directory. Eles permitem a configuração de sites, sub-redes, conexões, links de site e pontes novos ou existentes. Eles também retornam metadados de replicação do Active Directory, status de replicação, enfileiramento e informações de vetor de versão up-to-dateness. A introdução dos cmdlets de replicação - combinada com a implantação e outros cmdlets do AD DS existentes - torna possível administrar uma floresta usando apenas o Windows PowerShell. Isso cria novas oportunidades para os administradores que desejam provisionar e gerenciar o Windows Server 2012 sem uma interface gráfica, o que reduz a superfície de ataque e os requisitos de manutenção do sistema operacional. Isso é especialmente importante ao implantar servidores em redes de alta segurança, como SIPR (Secret Internet Protocol Router) e DMZs corporativas.

Para obter mais informações sobre a topologia de sites do AD DS e a replicação, consulte a Referência Técnica do Windows Server .

Melhorias no gerenciamento e emissão de RID

O Ative Directory do Windows 2000 introduziu o Mestre RID, que emite pools de identificadores relativos para controladores de domínio, a fim de criar identificadores de segurança (SIDs) de trustees de segurança, como usuários, grupos e computadores. Por padrão, esse espaço RID global é limitado a 230 (ou 1.073.741.823) SIDs totais criados em um domínio. Os SIDs não podem retornar ao pool nem ser reemitidos. Com o tempo, um domínio grande pode começar a ficar com poucos RIDs, ou acidentes podem levar ao esgotamento desnecessário dos RIDs e à exaustão eventual.

O Windows Server 2012 resolve uma série de problemas de emissão e gerenciamento de RID descobertos pelos clientes e pelo Suporte ao Cliente da Microsoft à medida que o AD DS amadureceu desde a criação dos primeiros domínios do Ative Directory em 1999. Estes incluem:

  • Avisos periódicos de consumo de RID são gravados no registo de eventos
  • Log de eventos quando um administrador invalida um pool de RID
  • Um limite máximo no tamanho do bloco RID da política RID agora é imposto
  • Os tetos artificiais de RID agora são aplicados e registrados quando o espaço RID global é baixo, permitindo que um administrador tome medidas antes que o espaço global se esgote
  • O espaço RID global agora pode ser aumentado em um bit, dobrando o tamanho para 231 (2.147.483.648 SIDs)

Para obter mais informações sobre RIDs e o Mestre de RID, consulte Como funcionam os identificadores de segurança.

Arquitetura de implantação e gerenciamento de funções do AD DS

O Gerenciador do Servidor e o ADDSDeployment Windows PowerShell dependem dos seguintes assemblies principais para funcionalidade ao implantar ou gerenciar a função AD DS:

  • Microsoft.ADroles.Aspects.dll
  • Microsoft.ADroles.Instrumentation.dll
  • Microsoft.ADRoles.ServerManager.Common.dll
  • Microsoft.ADRoles.UI.Common.dll
  • Microsoft.DirectoryServices.Deployment.Types.dll
  • Microsoft.DirectoryServices.ServerManager.dll
  • Addsdeployment.psm1
  • Addsdeployment.psd1

Ambos dependem do Windows PowerShell e de seu comando invoke-command remoto para instalação e configuração de função remota.

administração simplificada

O Windows Server 2012 também refatora várias operações de promoção anteriores fora do LSASS.EXE, como parte de:

  • Serviço de Servidor de Função DS (DsRoleSvc)
  • DSRoleSvc.dll (carregado pelo serviço DsRoleSvc)

Esse serviço deve estar presente e em execução para promover, rebaixar ou clonar controladores de domínio virtuais. A instalação da função AD DS adiciona este serviço e define o tipo de arranque como Manual, por predefinição. Não desative este serviço.

ADPrep e arquitetura de verificação de pré-requisitos

O Adprep não requer mais a execução no mestre de esquema. Pode ser executado remotamente a partir de um computador que execute o Windows Server 2008 x64 ou posterior.

Observação

O Adprep usa LDAP para importar arquivos Schxx.ldf e não se reconecta automaticamente se a conexão com o mestre de esquema for perdida durante a importação. Como parte do processo de importação, o mestre de esquema é definido em um modo específico e a reconexão automática é desativada porque se o LDAP se reconectar após a conexão ser perdida, a conexão restabelecida não estará no modo específico. Nesse caso, o esquema não seria atualizado corretamente.

A verificação de pré-requisitos garante que certas condições sejam verdadeiras. Essas condições são necessárias para uma instalação bem-sucedida do AD DS. Se algumas condições necessárias não forem verdadeiras, elas podem ser resolvidas antes de continuar a instalação. Ele também deteta que uma floresta ou domínio ainda não está preparado, de modo que o código de implantação do Adprep é executado automaticamente.

ADPrep executáveis, DLLs, LDFs, arquivos

  • ADprep.dll
  • Ldifde.dll
  • Csvde.dll
  • Sch14.ldf - Sch56.ldf
  • Schupgrade.cat
  • *dcpromo.csv

O código de Preparação do AD anteriormente alojado no ADprep.exe é refatorado para adprep.dll. Isso permite que o ADPrep.exe e o módulo ADDSDeployment do Windows PowerShell usem a biblioteca para as mesmas tarefas e tenham os mesmos recursos. Adprep.exe está incluído com a mídia de instalação, mas os processos automatizados não o chamam diretamente - apenas um administrador o executa manualmente. Ele só pode ser executado no Windows Server 2008 x64 e sistemas operacionais posteriores. Ldifde.exe e csvde.exe também têm versões refatoradas em forma de DLLs que são carregadas pelo processo de preparação. A extensão de esquema ainda usa os arquivos LDF verificados por assinatura, como em versões anteriores do sistema operacional.

Diagrama que mostra como ADprep.dll permite que o ADPrep.exe e o módulo ADDSDeployment do Windows PowerShell usem a biblioteca para as mesmas tarefas e tenham os mesmos recursos.

Importante

Não existe uma ferramenta de Adprep32.exe de 32 bits para o Windows Server 2012. Você deve ter pelo menos um computador Windows Server 2008 x64, Windows Server 2008 R2 ou Windows Server 2012, em execução como controlador de domínio, servidor membro ou em um grupo de trabalho, para preparar a floresta e o domínio. Adprep.exe não é executado no Windows Server 2003 x64.

Verificação de pré-requisitos

O sistema de verificação de pré-requisitos integrado ao código gerenciado do Windows PowerShell ADDSDeployment funciona em diferentes modos, com base na operação. As tabelas abaixo descrevem cada teste, quando é usado e uma explicação de como e o que ele valida. Essas tabelas podem ser úteis se houver problemas em que a validação falha e o erro não é suficiente para solucionar o problema.

Esses testes registram no DirectoryServices-Deployment canal de log de eventos operacionais sob a Categoria de Tarefa Principal, sempre como ID de Evento 103.

Pré-requisito: Windows PowerShell

Há cmdlets ADDSDeployment do Windows PowerShell disponíveis para todos os cmdlets de implantação de controladores de domínio. Eles têm mais ou menos os mesmos argumentos que os seus cmdlets associados.

  • Test-ADDSDomainControllerInstallation
  • Test-ADDSDomainControllerUninstallation
  • Test-ADDSDomainInstallation
  • Test-ADDSForestInstallation
  • Test-ADDSReadOnlyDomainControllerAccountCreation

Normalmente, não há necessidade de executar esses cmdlets, pois eles já são executados automaticamente com os cmdlets de implantação por padrão.

Testes de pré-requisitos

Nome do teste Protocolos

usados

 Explicação e notas
VerificarAdministradorConfiável

ForDelegationProvider

 LDAP Valida que você tem o privilégio "Habilitar contas de computador e usuário confiáveis para delegação" (SeEnableDelegationPrivilege) no controlador de domínio de parceiro existente. Isso requer acesso ao atributo tokenGroups construído.

Não é usado ao contatar controladores de domínio do Windows Server 2003. Você deve confirmar manualmente esse privilégio antes da promoção
Verificar ADPrep

Pré-requisitos (floresta)

 LDAP Descobre e contata o Mestre de Esquema usando o atributo rootDSE namingContexts e o atributo fsmoRoleOwner do contexto de nomeação de esquema. Determina quais operações preparatórias (forestprep, domainprep ou rodcprep) são necessárias para a instalação do AD DS. Valida se a versão do objeto é a esperada e se necessita de uma extensão adicional.
Verificar ADPrep

Pré-requisitos (domínio e RODC)

 LDAP Descobre e entra em contato com o Mestre de Infraestrutura usando o atributo namingContexts do rootDSE e o atributo fsmoRoleOwner do contêiner de Infraestrutura. No caso de uma instalação RODC, este teste descobre o mestre de nomenclatura de domínio e certifica-se de que está online.
Grupo de verificação

Adesão

 LDAP,

RPC sobre SMB (LSARPC)

 Validar se o usuário é membro do grupo Administradores de Domínio ou Administradores de Empresa, dependendo da operação (DA para adicionar ou rebaixar um controlador de domínio, EA para adicionar ou remover um domínio)
CheckForestPrep

Membro do Grupo

 LDAP,

RPC sobre SMB (LSARPC)

 Valide se o usuário é membro dos grupos Administradores de Esquema e Administradores Corporativos e tem o privilégio Gerenciar Logs de Eventos de Auditoria e Segurança (SesSecurityPrivilege) nos controladores de domínio existentes
CheckDomainPrep

Associação de Grupo

 LDAP,

RPC sobre SMB (LSARPC)

 Valide que o utilizador é membro do grupo Administradores do Domínio e tem o privilégio de Gerenciar Logs de Eventos de Auditoria e Segurança (SesSecurityPrivilege) nos controladores de domínio existentes.
CheckRODCPrep

Grupo de Membresia

 LDAP,

RPC sobre SMB (LSARPC)

 Valide se o usuário é membro do grupo Administradores de Empresa e tem o privilégio Gerenciar Logs de Eventos de Auditoria e Segurança (SesSecurityPrivilege) nos controladores de domínio existentes
VerifyInitSync

ApósReinício

 LDAP Valide se o Mestre de Esquema foi replicado pelo menos uma vez desde que foi reiniciado, definindo um valor fictício no atributo rootDSE becomeSchemaMaster
VerificarSFUHotFix

Aplicado

 LDAP Valide que o esquema da floresta existente não contenha a extensão SFU2 conhecida para o atributo UID com o OID 1.2.840.113556.1.4.7000.187.102.

(Impacto das alterações de esquema - Win32 apps)
Verificar o Exchange

EsquemaFixo

 LDAP, WMI, DCOM, RPC Validar que o esquema de floresta existente não contém mais as problemáticas extensões do Exchange 2000 ms-Exch-Assistant-Name, ms-Exch-LabeledURI e ms-Exch-House-Identifier (Sobre extensões de esquema - Configuration Manager)
VerifyWin2KSchema

Coerência

 LDAP Valide se o esquema de floresta existente tem atributos e classes principais consistentes (não modificados incorretamente por terceiros).
DCPromo DRSR sobre RPC,

LDAP,

DNS

RPC sobre SMB (SAMR)

 Valide a sintaxe da linha de comando passada para o código promocional e teste a promoção. Certifique-se de que a floresta ou domínio ainda não exista antes de criar um novo.
VerificarEnvio

ReplicaçãoAtivada

 LDAP, DRSR sobre SMB, RPC sobre SMB (LSARPC) Valide se o controlador de domínio existente, especificado como parceiro de replicação, tem a replicação de saída habilitada, verificando a opção do atributo do objeto Configurações NTDS NTDSDSA_OPT_DISABLE_OUTBOUND_REPL (0x00000004).
VerifyMachineAdmin

Palavra-passe

 DRSR sobre RPC,

LDAP,

DNS

RPC sobre SMB (SAMR)

 Valide que a senha definida para o Modo de Segurança do Servidor de Diretório (DSRM) cumpre os requisitos de complexidade do domínio.
VerifySafeModePassword N/A Validar o conjunto de senhas de administrador local atende aos requisitos de complexidade da diretiva de segurança do computador.