Quais as novidades do Active Directory do Windows Server 2012

Olá Pessoal,
Peguei um artigo muito interessante no site da Microsoft que fala de uma forma bem resumida sobre as principais novidades esperadas para o Active Directory no Windows Server 2012, vale muito apena ler….
Introdução
O Active Directory (AD) é uma parte fundamental do sistema do Windows Server, e quaisquer alterações devem abordar três grandes grupos e requisitos. O primeiro requisito é definido para todo o ecossistema do Windows Server que depende dela para autenticação e controle de acesso. Quer se trate de Exchange Server, System Center, Hyper-V, SQL Server, ou muitos outros produtos dentro e fora da Microsoft, milhares de soluções de software empresarial dependem do AD.
O segundo conjunto de requisitos é para proprietários de serviços no AD, os Administradores de Sistemas que realmente gerenciam a aplicação distribuída em toda a sua extensão de controladores de domínio (DCs). Embora o AD tenha feito vários avanços no gerenciamento desde os primórdios, ainda permanece complexo.
O terceiro, é claro, é para os milhões de usuários literalmente ao redor do mundo que trabalham com AD, direta ou indiretamente para o controle de acesso a vários recursos em seu domínio. Como será o envelhecimento do modelo de controle de acesso usuários/grupos para atender às complexas de segurança e requisitos de conformidade com o que vivemos hoje, e amadurecer para amanhã certamente expandir as necessidades? Como Nathan Muggli da Microsoft comentou, “Projetar alterações no Active Directory é como pedir uma pizza para um milhão de pessoas, todo mundo quer uma coisa diferente.”
Para o Windows Server 2012 a equipe de AD não alterou o produto de forma dramática. Não há um banco de dados do serviço de diretório baseado no SQL Server, e nem uma série de DC com mais de uma partição de domínio (por que você precisa mais, quando você pode criar um outro DC virtual?). Em vez disso, a equipe se concentrou em três objetivos principais que atendam a todas as suas partes interessadas em graus variados.
Primeiro, o AD precisa dar suporte a virtualização, segundo, o AD deve ser simples de implementar e finalmente, o AD deve ser simples de gerenciar.
AD Virtualizado – agora Simplesmente Funciona
Garantir que a virtualização do AD simplesmente funcione deve ser um grande alívio para muitos administradores de sistemas, porque mesmo que as regras para um AD virtualizado com segurança não são tão difíceis, a responsabilidade por isso está espalhada por várias equipes. Isto significa que guardar um AD em um ambiente virtual não é apenas um problema técnico, é um problema de pessoas ou organizacional. E as consequências para faze-lo podem ser grave, como ilustrado em artigos da Mimcrosoft sobre “USN e USN Rollback”.
O que causa problemas para o AD antes do Windows 8 Server em um ambiente virtualizado é que a aplicação distribuída não tem conhecimento qualquer sobre ações de virtualização específica tomadas por baixo nível do host. Especificadamente, você pode confundir o AD e, potencialmente, induzir uma condição insalubre conhecida como reversão do USN se você restaurar um DC virtualizado, a partir de um backup instantâneo ou imagem. Tudo isso porque um aplicativo distribuído como o AD tem muitas dependências de uma instância única. Quando um DC foi restaurado a partir de um backup de imagem, ele aparece magicamente como se fosse de uma hora mais cedo, mas de forma incompleta, pois nem os seus parceiros, nem o próprio DC restaurado o reconhece.
Em contraste, o Windows 8 garante que o Controlador de Dominio Virtual (VDC) seja capaz de detectar quando instantâneos são aplicados ou o VDC foi copiado. A detecção dessas mudanças é construído sobre o que é conhecido com um VM generation ID (gen ID) para detectar alterações e proteger o AD, ou tomar medidas corretivas. Isso exige mudanças para o Hyper-V e a Microsoft está trabalhando com outros fornecedores de virtualização para se certificar que esta tecnologia estará na versão mais recente do seu hypervisor. É do seu interesse faze-lo, pois até então a Microsoft tem uma vantagem competitiva em seu próprio Hyper-V.
Clonagem do AD Domain Controller
Segundo meta do time do AD, simples de implementar, foi possível graças a tecnologia ID gen. Por causa disso, é fácil e seguro criar um clone virtual do DC com o Windows Server8. Do ponto de vista do Administrador, o processo é bastante simples: você copia/cola/renomeia a fonte de arquivos virtuais em discos VHD para criar uma segunda cópia no disco. E depois realoca-lo na pasta de destino que você desejar. Use o Hyper-V Manager ou o Virtual Machine Manager para criar uma nova VM, e associar o VHD copiado com a nova VM. Em seguida basta inicia-lo.
Realizar Upgrades de Domínios e Florestas de forma simples – Melhorias do DCPROMO
Além de ser capaz de clonar VDCs, o processo de atualização e promoção foi completamente reformulado e agora é feito de forma mais simples. No AD no Windows Server 2012, você pode atualizar seus domínios e florestas a partir de uma versão anterior ao Windows Server 2012 inteiramente a partir do Server Manager. Ao contrário de versões anteriores, você não tem que fazer logon em diferentes DCs com diferentes conjuntos de credenciais, encontrar a versão correta do ADPREP, FORESTPREP na floresta em em cada domínio, e escolher o momento para atualizar o SYSVOL, tudo já é automaticamente cuidado para você (Caso você queira é possível executar uma etapa de atualização passo a passo, ainda está disponível). O processo do DCPROMO também foi simplificado e inclui uma significante mudança na resolução de problemas, porque esta área foi um dos geradores de maior apelo para a Divisão de Serviço de Suporte aos Clientes da Microsoft (CSS).
Centro Administrativo do Active Directory – Visutalizador do histórico do Power Shell
A terceira meta do AD do Windows Server 2012 é torna-lo mais fácil de gerenciar. Agora é possível fazer praticamente qualquer tarefa administrativa no AD com o Power Shell. Desde que o Power Shell aumentou sua cobertura de tarefas administrativas de 200 para mais de 2.300 cmdlets, isso realmente faz sua vida mais fácil, porque ao invés de ter uma série de cmdlets Power Shell para fazer algo, você pode muito provavelmente encontrar um cmdlet dedicado para o que você quer fazer.
Embora as ações do AD foram inseridas no Power Shell, curiosamente a lixeira do AD ganhou uma interface gráfica.
Além disso, o Centro Administrativo do AD (ADAC) tem um novo painel na parte inferior chamado Visuralizador de histórico Power Shell. Apesar de oculto por padrão, você pode expandir o painel para ver o que os comandos executados no Power Shell executam “sob as cobertas”, como resultado das ações que estamos tomando no ADAC. Desta forma, você pode aprender a sintaxe de cmdlets Power Shell relacionados por ve-los por fluxo. Você também pode facilmente copiar os cmdlets para coloca-los em um roteiro de sua preferencia, ou combinar cmdlets em tarefas com o recurso de Tarefas no painel. O histórico é mantido entre as sessões ADAC, para que você possa voltar os dias e encontrar a sintaxe de um comando específico que você executou um tempo atrás. O console Active Directory Users and Computers (ADUC) não vai desaparecer tão cedo porque tem extensibilidade que atualmente carece no ADAC, mas a ADUC não está sendo reforçada.
AD – Ativação de produto integrada
Outra característica que cai no âmbito do “fácil gerenciar” é algo que simplesmente faz sentido: A ativação do produto agora usa o AD em vez de uma infraestrutura separada. Ele usa LDAP para a comunicação com seus clientes em vez de RPC, e nenhum dado é escrito de volta para o diretório. Você não irá se livrar do KMS por um tempo, porém, como ainda é necessário para baixo nível (por exemplo, tudo que está em produção hoje) de licenciamento.
AD FS dá mais um passo rumo à integração
O Active Directory Federation Services (AD FS) tornou-se um pouco mais integrado aos bits de servidor do que as versões anteriores. No Windows Server 2012, o AD FS é instalado como um papel no Server Manager, em vez de um add-on para download. Ainda não foi dado um passo arquitetônico para se tornar um componente do AD, mas é um passo na direção certa. Com a adição de reivindicações para o token Kerberos, O AD FS será capaz de extrair e utilizar estas informações do token, e também utilizar reivindicações de dispositivos estáticos.
Active Directory e controle de acesso dinâmico
Finalmente, o Windows Server 2012 AD é um componente integral de um recurso de enorme novidades na identidade e na área de segurança para o sistema operacional: Controle de Acesso Dinâmico, uma maneira muito mais poderosa, flexível e natural de gerenciar o acesso a arquivos em volumes NTFS.
O Windows Server 8 Active Directory fez uma série de melhorias muito apreciada em virtualização, implementação e gestão concebido para facilitar as dores de cabeça, frustrações e apoio a dezenas de milhares de profissionais de TI que não são especialistas dedicados ao AD. Eles ajudam a melhorar e “diminuir o atrito de implantação” do Windows Server. E muitas mudanças menores para o AD são bases para ampla variedade de novas funcionalidades no sistema operacional. Quando o produto entrar em beta vai ser interessante ver o que os ajustes e adaptações serão feitas para um dos aplicativos mais amplamente implantado da Microsoft.

Importanto dados em Lote para o Active Directory

Olá pessoal,

As vezes precisamos Editar diversos usuários em um Active Directory para cadastrar dados do mesmo que ficaram em branco. Fazer isso usuário por usuário pode se tornar uma tarefa bastante complexa, por tanto segue uma dica interessante para esses casos:

Digamos que você precise cadastrar o Display Name, o telefone e o Departamento de vários usuários dentro do Active Directory. Depois de muito pesquisar na Internet, achei uma maneira bastante interessante de executar essa tarefa. Segue a dica abaixo:

1.o – Crie um arquivo chamado Usuarios.txt e dentro dele faça o seguinte:
        
“Joanesio”;”Joanesio da Silva”;”3232-2525”;”Depto de Tecnologia”
“Maria”;”Maria Joana”;”2543-2121”;”Depto Financeiro”

2.o – Agora crie um arquivo chamado Import.bat e dentro dele digite o seguinte comando:

for /F “tokens=1,2,3,4 delims=;” %%A IN (usuarios.txt) DO dsquery user –name %%A | dsmod user –Display %%B –tel %%C –dept %%D

Neste caso estamos definindo através do tokens as colunas que o arquivo.bat deverá ler, sendo que a primeira coluna A representa a pesquisa do usuário e as demais colunas as variáveis que devem ser adicionadas nas respectivas propriedades através do comando dsmod.

Configurando um Active Directory Parte 1 – Preparando o DNS

Para instalar um domínio, é recomendável começar pela correta configuração do DNS, assim garantiremos o perfeito funcionamento do mesmo. Nas linhas abaixo, iremos demonstrar em rápidos passos a configuração do Serviço DNS em um Servidor Windows 2003 para receber o Active Directory.

1 – Vamos definir o sufixo DNS do Servidor. Abrindo as propriedades do Sistema, selecione a Guia Nome do Computador / Alterar / Mais. Na tela sufixo DNS e nome NetBIOS do computador, digite como Sufixo DNS primário o nome que pretende utilizar como nome do seu domínio. Lembre-se que deve seguir um padrão de nomeação igual ao utilizado na Internet. No nosso exemplo usaremos o famoso nome contoso.msft. Após entrar com o nome do sufixo, confirme todas as telas clicando em OK e reinicie o servidor.

2 – Após reiniciar o Servidor, acesse as configurações de rede e nas propriedades TCP/IP, em Servidor DNS Preferencial informe o IP do Servidor em que irá configurar as Zonas DNS que irão hospedar os registros do seu domínio. Você pode utilizar o próprio controlador para tal Serviço ou utilizar outro servidor que possua o serviço disponível.

3 – Agora, vamos a criação e configuração das Zonas DNS que hospedarão os registros do seu domínio. Abra o Serviço de DNS em ferramentas administrativas (caso não tenha do serviço instalado ainda, vá até o Painel de Controle de instale o mesmo), abra o SNAP-IN DNS

4 – Na console do Servidor DNS, expanda o Servidor e selecione a opção Zonas de pesquisa direta, ainda em zonas de pesquisa direta clique com o botão direito e selecione a opção Nova Zona.

5 – Na tela de boas vindas, clique em avançar e em seguida selecione Zona primária na tela Tipo de Zona, clique em avançar novamente. Agora na Tela Nome da zona, informe o nome completo do domínio que irá criar. (lembre-se que esse nome deve ser igual ao informado anteriormente na configuração do sufixo primário do Servidor).

6 – Após informar o nome da Zona, clique em avançar na tela Nome da Zona e Arquivo de Zona, em seguida na tela Atualização dinâmica, é muito importante que seja selecionada a opção Permitir atualizações dinâmicas seguras e não seguras, isso para que o Active Directory consiga criar todos os seus registros de forma automática dentro da zona no momento da sua instalação. Vá avançando nas próximas telas até finalizar a criação da Zona.

7 – Agora vamos criar a Zona Reversa, neste caso vamos selecionar a opção Zona de Pesquisa inversa, clique em avançar na tela de boas vidas, na tela Tipo de zona selecione Zona primária e clique em avançar.

8 – Na tela Nome de zona de pesquisa inversa, temos que indicar o nome da zona preenchendo o campo Identificação de rede, para isso precisamos identificar o ID de rede do nosso servidor (uma das maneiras de fazer isso é utilizando o comando IPConfig em um prompt de comando). No nosso caso o ID de Rede é o 192.168.0 conforme mostra a figura.

9 – Após informar o nome da zona, clique em avançar e na tela seguinte (Atualização dinâmica), não se esqueça de selecionar Permitir atualizações dinâmicas seguras e não seguras. Após a seleção, clique em avançar e concluir para encerrar a criação da Zona.

10 – Abra um prompt de comando do MS-DOS e digite o comando IPConfig /registerdns para forçar a atualização dos registros do DNS.

Pronto, o DNS está configurado para receber o nosso domínio, neste caso o contoso.msft

Como reconstruir a árvore SYSVOL e seu conteúdo em um domínio

Pessoal puxei do site da Microsoft um script passo a passo que já utilizei em clientes e que é muito importante para recuperar o SYSVOL dos controladores de domínio, vale a pena ler e depois até ter uma cópia sempre por perto.

Lista detalhada das etapas

A seguir é uma lista detalhada de etapas que são executadas em um hub ou ramificação for reiniciado:

1. Em todos os controladores de domínio no domínio, interromper o FRS e defina o valor de tipo de inicialização do serviço para o FRS para desativado .

2. Em um único controlador de domínio, configure o conjunto seja oficial de réplicas SYSVOL. Este controlador de domínio de referência contém a cópia com autoridade da árvore SYSVOL para todos os outros membros do conjunto de réplicas. Por exemplo, outros controladores de domínio no domínio diretamente ou transitivamente duplicará deste controlador de domínio de referência.

Escolha o controlador de domínio referência com base em conectividade e recursos de servidor físico. Este controlador de domínio será conhecido como o “controlador de domínio de referência” em todas as etapas subseqüentes.

Para configurar a réplica SYSVOL definida para ser autoritativo, execute essas etapas:

a. Clique em Iniciar , clique em Executar , digite regedit e, em seguida, clique em OK .

b. Localize e clique na entrada BurFlags sob a seguinte subchave do Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative réplica Sets\ GUID

GUIDé o GUID da réplica de volume de sistema do domínio definido que é mostrado na seguinte subchave do Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\ GUID

c. Clique com o botão direito do mouse BurFlags e, em seguida, clique em Modificar .

d. Digite D4 no campo dados de valor (HexaDecimal) e, em seguida, clique em OK .

3. Em todos os controladores de domínio no domínio, verifique se os pontos de junção e estrutura do arquivo estão corretos. Para fazer isso, execute as seguintes etapas:

. Verifique se existem as seguintes pastas na árvore SYSVOL:

\SYSVOL
\SYSVOL\domain
\SYSVOL\staging\domain
\SYSVOL\staging áreas
\SYSVOL\domain\Policies
\SYSVOL\domain\scripts
\SYSVOL\SYSVOL

Verifique se existem os seguintes pontos de nova análise:

\SYSVOL\SYSVOL\ DNS Domain Name

Este ponto de nova análise deve ser vinculado para a pasta \SYSVOL\domain.

DNS Domain Name \SYSVOL\staging areas\
Este ponto de nova análise deve ser vinculado para a pasta \SYSVOL\staging\domain.

O caminho padrão para a árvore SYSVOL está na \Windows ou \WINNT pasta na partição em que o sistema operacional está instalado. No entanto, a árvore SYSVOL pode ser instalada em qualquer partição que é formatada usando o sistema de arquivos NTFS.

Verifique se que os pontos de nova análise existe e que cada controlador de domínio no domínio possui todas as pastas necessárias. Recrie todas as pastas ausentes conforme necessário. Não use o Windows Explorer para mover ou copiar conteúdo de árvore SYSVOL ou os pontos de nova análise podem estar danificados.

Árvore SYSVOL contém pontos de nova análise para outras pastas na árvore SYSVOL. Esses pontos de nova análise no sistema de arquivo NTFS. Pense em um ponto de nova análise como uma pasta de origem que mapeia ou aponta para uma pasta de destino quando a pasta de origem for acessada. O conteúdo das pastas reparsed aparece como imagens espelhadas uma da outra.

Os seguintes dois pontos de nova análise para uma árvore SYSVOL são instalados na pasta C:\WINNT\SYSVOL:

  • C:\WINNT\SYSVOL\SYSVOL\ DNS Domain Name.
    Este ponto de nova análise está vinculado a pasta C:\WINNT\SYSVOL\domain.
  • C:\WINNT\SYSVOL\staging areas\ DNS Domain Name
    Este ponto de nova análise está vinculado a C:\WINNT\SYSVOL\staging\domain pasta.

Em cada controlador de domínio no domínio, execute essas etapas:

1. Clique em Iniciar , clique em Executar , digite cmd e, em seguida, clique em OK .

2. Digite net start ntfrs para iniciar o serviço de duplicação de arquivos.

3. Digite ntfrsutl ds findstr /i “estágio raiz” e em seguida, pressione ENTER. O comando NTFRSUTIL retorna o diretório raiz atual de conjunto de réplicas SYSVOL é conhecido como a “ conjunto de réplicas raiz ” e a pasta de teste. Por exemplo, este comando retorna:

Raiz: C:\WINNT\SYSVOL\domain
Estágio: C:\WINNT\SYSVOL\staging\domain

4. Digite Linkd %systemroot%\SYSVOL\SYSVOL\ DNS Domain name e, em seguida, pressione ENTER. O comando LINKD retorna o seguinte:

DNS Domain Name de origem está vinculado a %systemroot%\SYSVOL\domain

5. Digite linkd “%systemroot%\SYSVOL\staging areas\ DNS Domain Name e, em seguida, pressione ENTER. Este comando retorna o seguinte:

DNS Domain Name de origem está vinculado a %systemroot%\SYSVOL\Staging\domain

Observação O caminho que é reportado pelo comando LINKD varia dependendo do local da pasta SYSVOL\SYSVOL\ DNS Domain Name. Se a pasta SYSVOL está no local padrão na pasta %systemroot%\SYSVOL, use os comandos que estão listados. Caso contrário, digite o caminho real das pastas SYSVOL.

Por exemplo, se os comandos NTFRSUTL e LINKD são executados em um controlador de domínio no domínio contoso.com e a pasta SYSVOL está na pasta C:\Windows\SYSVOL, a sintaxe de comando e os resultados para o SYSVOL e o preparo pastas aparecerá semelhantes à seguinte:

 C:\>ntfrsutl ds findstr /i "root stage"
  Root: C:\windows\sysvol\domain
 Stage: C:\windows\sysvol\staging\domain
 
C:\>Linkd %systemroot%\SYSVOL\SYSVOL\Contoso.com
Source domain.com is linked to
C:\WINDOWS\SYSVOL\domain
 
C:\>linkd “%systemroot%\SYSVOL\staging area>\Contoso.com
Source domain.com is linked to
C:\WINDOWS\SYSVOL\staging\domain

para recriar a junção pontos se o comando LINKD relatórios pontos de junção faltando ou é inválido, siga estas etapas:

1. Digite linkd C:\WINNT\SYSVOL\sysvol\ DNS_Domain_Name Source, onde Source é o caminho raiz que é determinado usando o comando NTFRSUTL .

2. Tipo C:\linkd “C:\WINNT\SYSVOL\staging areas\ DNS_Domain_Name Source, onde a Source é o caminho do estágio é determinado pelo usando o comando NTFRSUTL .

6. Em todos os controladores de domínio no domínio, verifique se espaço temporário está disponível. A taxa de tamanho da área de preparo para tamanho do conjunto de dados depende de um intervalo de fatores.

Para determinar o tamanho da raiz do conjunto de réplica, clique com o botão direito do mouse raiz do conjunto de réplicas que usa a pasta Winnt\SYSVOL\domain no Windows Explorer e, em seguida, clique em Propriedades .

Para ajustar o tamanho da pasta temporário, execute estas etapas:

a. Clique em Iniciar , clique em Executar , digite regedit e, em seguida, clique em OK .

b. Localize e, em seguida, clique na seguinte subchave do Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters

c. Clique com o botão direito Limite de espaço de teste em KB e, em seguida, clique em Modificar .

d. Clique em decimal , digite o tamanho da pasta temporária em kilobytes e, em seguida, clique em OK .

e. Feche o Editor do Registro.

7. No controlador de domínio de referência, criar um bom conjunto de diretivas e scripts e, em seguida, colocá-los em uma pasta temporária fora as pastas de conjunto de réplicas SYSVOL no controlador de domínio de referência de FRS.

Para concluir esta etapa, examine o Active Directory para determinar as diretivas de grupo que ainda são usadas e que contêm dados órfãos. Informações de diretiva estão localizadas no recipiente de diretivas de grupo. Para exibir este contêiner, execute estas etapas:

. Inicie usuários do Active Directory e computadores.

a. No menu Exibir , clique em Recursos avançados se ele não ainda estiver selecionado.

b. Expanda o recipiente de domínio, expanda o recipiente System e, em seguida, expanda o recipiente diretivas .

No painel direito do Active Directory Users and Computers, todos os a diretiva de grupo objetos (GPOs) no Active Directory está listadas. Deve haver um mapeamento um-para-um entre GPOs válidos no Active Directory com pastas de diretiva de grupo na árvore SYSVOL.

§ Se a pasta SYSVOL contiver um nome de pasta que tenha um GUID que não esteja listado no Active Directory, o sistema de arquivos contém um GPO órfão e você pode excluir a pasta do sistema de arquivos com segurança.

§ Se o Active Directory contém um GUID de diretiva de grupo que não mapeia para um GUID na pasta SYSVOL\domain\policies qualquer controlador de domínio no domínio, você pode excluir com segurança essa configuração de diretiva do Active Directory.

Observação Se qualquer controlador de domínio que está participando no domínio tiver uma versão mais recente de uma diretiva de grupo na sua árvore SYSVOL local, certifique-se de que ele é copiado para um local temporário no controlador de domínio de referência.

c. No controlador de domínio de referência, exclua os arquivos ou pastas que estão na réplica do FRS set root ou na réplica definir estágio pastas.

Para conjuntos de réplica SYSVOL padrão, exclua arquivos e pastas em duas seguintes pastas:

C:\WINNT\SYSVOL\domain
C:\WINNT\SYSVOL\staging\domain

Observação Não exclua as pastas propriamente ditas.

d. No controlador de domínio de referência, mova as pastas de diretivas e scripts e o conteúdo da pasta do local temporário que você usou na etapa c para a réplica do FRS Definir pasta raiz. Para a pasta SYSVOL, o local padrão para o conjunto de réplicas raiz é a seguinte pasta:

C:\WINNT\SYSVOL\domain

e. Em todos os controladores de domínio, exceto o controlador de domínio de referência, configure o FRS para ser não-autorizada. Para fazer isso, execute as seguintes etapas:

1. Clique em Iniciar , clique em Executar , digite regedit e, em seguida, clique em OK .

2. Localize e clique na entrada BurFlags sob a seguinte subchave do Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative réplica Sets\ GUID

GUID é o GUID da réplica de volume de sistema do domínio definido que é mostrado na seguinte subchave do Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\ GUID

3. No menu Editar , aponte para novo e, em seguida, clique em Valor DWORD .

4. Digite D2 para o nome do DWORD e pressione ENTER.

Observação Para controladores de domínio que não estão participando de replicação de sistema de arquivos distribuídos (DFS), defina o valor de DWORD como D2 na seguinte subchave do Registro para modificações em massa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process atStartup\BurFlags

f. Feche o Editor do Registro.

O FRS é instruído para reinicializar seu banco de dados e para substituir o conteúdo da árvore SYSVOL com dados de um parceiro superior.

Em sites grandes, recomendamos que você use uma abordagem irregular para recriar a árvore SYSVOL. Essa abordagem ajuda a evitar sobrecarga de um controlador de domínio único ou fazendo com que o FRS, seu conteúdo de um controlador de domínio não concluiu seu próprio re-sourcing do volume do sistema de origem. Este processo envolve definindo a entrada de registro Burflags como D2 em todos os controladores de hub site domínio antes de prosseguir para filial ou para sites de satélite.

Use a entrada de registro Pai do conjunto de réplica para especificar um controlador de domínio de origem para a configuração de D2:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\SYSVOL Seeding\DOMAIN SYSTEM VOLUME (SYSVOL SHARE)

o conjunto de réplica pai
Tipo: REG_SZ
Valor: The source domain controller

Observação Se essa entrada do Registro não existir, você deve criá-la.

É recomendável que um único controlador de domínio não se a fonte de controladores de domínio mais de 10 a 15 ao mesmo tempo. Se você deve fonte mais de 15 controladores de domínio fora uma única fonte iniciar o FRS em apenas 15 parceiros downstream de qualquer controlador de domínio de origem específica e espere para que eles concluir usar como fonte árvore SYSVOL antes que o serviço FRS seja iniciado no próximo grupo de 15 computadores.

anotações

o Não é recomendável que mais de 15 controladores de domínio de origem seu conteúdo fora de um controlador de domínio único ao mesmo tempo.

o Replicação de entrada depende de uma agenda que está definida no link de site relevantes ou no objeto de conexão que é usado pelo controlador de domínio de destino que permite a duplicação. Se a agenda de replicação estiver desativada, duplicação de entrada será atrasada.

o Se a entrada de registro “ réplica definir pai ” for usada, o FRS será fonte de dados durante a reinicialização do serviço, independentemente se replicação é ativada ou desativada no dia ou a hora em que ocorreu a reinicialização do serviço. Depois que a fonte inicial for concluída, todos os replicação adicionais se baseará no agendas de conexão. Se a entrada do Registro não for usada, o FRS irá iniciar a duplicação com base no agendamento que é definido no objeto de link ou conexão do site relevantes.

8. Em todos os controladores de domínio no domínio, exceto o controlador de domínio de referência, exclua os arquivos ou pastas sob a raiz do conjunto de réplicas FRS e os diretórios de estágio de conjunto de réplicas. Por exemplo, para conjuntos de réplica SYSVOL padrão, exclua arquivos e pastas nos dois seguintes locais:

C:\WINNT\SYSVOL\domain
C:\WINNT\SYSVOL\staging\domain

Observação Não exclua as pastas propriamente ditas.

Esta etapa permite que a replicação mais rápida de árvore SYSVOL para a fonte determinada. Esta etapa elimina a necessidade de servidor de FRS mover o conteúdo existente antes de replicar os novos dados. Essa etapa não será necessária, mas é recomendável.

9. Em todos os controladores de domínio no site de hub, exceto controlador de domínio de referência, reinicie FRS e, em seguida, verifique se que são compartilhadas SYSVOL e NETLOGON.

Observação O tipo de inicialização do serviço para o FRS deve ser definido como automático .

10. Em todos os controladores de referência não domínio nos sites da ramificação, inicie o serviço FRS e verifique se que são compartilhadas NETLOGON e SYSVOL.

Como temporariamente estabilizar árvore SYSVOL domínio

1. Interromper o FRS em todos os controladores de domínio no domínio e defina o serviço como desativado .

2. Copie manualmente o conjunto completo de diretivas para a pasta seguinte em cada controlador de domínio:

\SYSVOL\SYSVOL\dns domínio name\policies

Normalmente, as duas diretivas a seguir são necessárias para autenticação:

o Diretiva de controladores de domínio padrão {6AC1786C-016F-11 D 2-945F-00C04FB984F9}

o Diretiva de domínio padrão {31B2F340-D-11 D 2-945F-00C04FB984F9}

Observação Talvez você precise copiar diretivas adicionais dependendo dos requisitos de diretiva de grupo para o ambiente.

3. Copie manualmente todos os scripts necessários para a seguinte pasta:

\SYSVOL\SYSVOL\DNS domínio name\scripts

Fonte: http://support.microsoft.com/kb/315457/pt-br

Controlando a quantidade de micros que um usuário não administrador pode ingressar no domínio

Você tenta ingressar um micro ao domínio com seu usuário não administrador e o sistema retorna a seguinte mensagem de erro para você:

O computador não pôde ingressar no domínio. Você ultrapassou o limite máximo de contas de computador que pode criar nesse domínio. Contate o administrador do sistema para redefinir esse limite ou para aumentá-lo

E agora?! O que fazer?!

Por padrão o Windows Server 2003 permite que um usuário autenticado no Active Directory possa adicionar até 10 máquinas ao domínio, quando você atingir esse limite irá receber essa mensagem. É possível alterar essa quantidade usando uma Ferramenta chamada Active Directory Services Interface (ADSI). O A.D. possui um atributo chamado ms-DS-MachineAccountQuota, é neste atribuído que o Active Directory registra a quantidade de micros que podem ser adicionados por um usuário, você pode aumentar ou diminuir esse valor a qualquer momento, para tal, basta seguir os seguintes procedimentos:

1 – Instale as ferrametas de suporte do Windows 2003, caso elas ainda não estejam instaladas. Para instalar as ferramentas, basta executar o arquivo suptools.msi que está na pasta Support\tools na raiz do CD de instalação do Windows (Server ou XP).

2- Execute ADSIEDIT.MSC como Administrador do domínio

3- Expanda o nó Domain NC. Esse nó contém um objeto que começa com “DC=” e reflete o nome do seu domínio. Clique com o botão direito do mouse nesse objeto e clique em Propriedades.

4 – Na caixa Selecione propriedades para exibir, clique em Ambas.

5 – Na caixa Selecione uma propriedade para exibir, clique em ms-DS-MachineAccountQuota.

6- Na caixa Editar atributo, digite um número. Esse número representa o número de estações de trabalho que você deseja que os usuários possam adicionar ao domínio.

Mais informações em: http://support.microsoft.com/kb/251335/pt-br

Alterando o nome de um domínio no Windows 2003

Olá Pessoal, segue uma dica para aqueles que precisam trocar o nome do domínio no Windows 2003.

1 – Criar uma zona DNS com o nome do novo domínio
Configurar a zona para suportar atualização dinâmica

2 – Aumentar o nível funcional da floresta para Servidor 2003

3 – Executar o comando rendom /list
http://technet.microsoft.com/en-us/windowsserver/bb405948.aspx

4 – Editar o arquivo domainlist.xml e alterar as entradas de DNS e NETBIOS com o novo nome de domínio.
Salvar o arquivo e executar o comando rendom /showforest

5 – Executar o comando rendom /upload
Será criado um arquivo chamado dclist.xml, que lista os DCs que a rotina de renomeação de domínio terá de encontrar e alterar

6 – Agora use o comando rendom /prepare
Este irá ler o arquivo dclist.xml e o usará para encontrar DCs e deixá-los prontos para a renomeação de domínio.

7 – Agora use o comando rendom /execute para executar a troca de nome.

8 – Reiniciar o servidor e todas as estações 2 vezes

9 – Alterar manualmente o sulfixo DNS do Server para o novo domínio.

10 – Rodar o gpfixup para atualizar as referências de GPO.
gpfixup /olddns:nomedodominioantigo /newdns:novonomedodominio /oldnb:nomenetbiosantigo /newnb:novonomenetbios
/dc:ServidorX.novonomededominio

Links relacionados:

http://technet.microsoft.com/en-us/library/cc738208(ws.10).aspx

Sei que todos sempre fazem isso, mas é sempre bom recomendar um backup antes por garantia.

boa sorte a todos.