Como elevar os níveis de funcionalidade do domínio e da floresta do Active Directory

Este artigo debate a elevação dos níveis de funcionalidade da floresta e do domínio suportados pelos controladores de domínio baseados no Microsoft Windows Server 2003 ou mais recente. Existem quatro versões do Active Directory e só os níveis que foram alterados desde o Windows NT Server 4.0 requerem consideração especial. Assim, as outras alterações de nível são mencionadas utilizando as versões mais recentes, actuais ou mais antigas do sistema operativo do controlador de domínio ou do nível de funcionalidade do domínio ou da floresta.

Os níveis de funcionalidade são uma extensão dos conceitos de modo misto e do modo nativo introduzidos no Microsoft Windows 2000 Server para activar as novas funcionalidades do Active Directory. Algumas funcionalidades adicionais do Active Directory estão disponíveis quando todos os controladores de domínio estão a executar a versão mais recente do Windows Server num domínio ou numa floresta e quando o administrador activa o nível de funcionalidade correspondente no domínio ou na floresta.

Para activar as funcionalidades de domínio mais recentes, todos os controladores de domínio têm de estar a executar a versão do sistema operativo mais recente do Windows Server no domínio. Se este requisito for satisfeito, o administrador pode elevar o nível de funcionalidade do domínio.
Para activar as funcionalidades mais recentes de toda a floresta, todos os controladores de domínio têm de estar a executar a versão do sistema operativo Windows Server que corresponde ao nível de funcionalidade pretendido da floresta. Além disso, o nível de funcionalidade do domínio actual tem de estar já ao nível mais recente. Se estes requisitos forem satisfeitos, o administrador pode elevar o nível de funcionalidade da floresta.

Normalmente, as alterações aos níveis de funcionalidade do domínio e da floresta são irreversíveis. Se não for possível anular a alteração, terá de ser utilizada uma recuperação da floresta. Com o sistema operativo Windows Server 2008 R2, as alterações aos níveis de funcionalidade do domínio e aos níveis de funcionalidade da floresta podem ser revertidas. No entanto, a reversão só pode ser efectuada em cenários específicos descritos no artigo da Technet sobre os níveis de funcionalidade do Active Directory (http://technet.microsoft.com/pt-pt/library/cc787290(WS.10).aspx) .

Nota: os níveis de funcionalidade do domínio mais recentes e os níveis de funcionalidade floresta mais recentes só afectam a forma como os controladores do domínio funcionam em conjunto como um grupo. Os clientes que interagem com o domínio ou com a floresta não são afectados. Além disso, as aplicações não são afectadas pelas alterações aos níveis de funcionalidade do domínio ou aos níveis de funcionalidade da floresta. No entanto, as aplicações podem tirar partido das funcionalidades do domínio mais recentes e das funcionalidades da floresta mais recentes.

Para mais informações, consulte o artigo da TechNet sobre as funcionalidades associadas aos vários níveis de funcionalidade (http://technet.microsoft.com/pt-pt/library/cc771294.aspx) .

Elevar o nível de funcionalidade

Atenção Não eleve o nível de funcionalidade se o domínio tiver ou vier a ter um controlador de domínio de uma versão anterior à versão citada para o nível em questão. Por exemplo, um nível de funcionalidade do Windows Server 2008 requer que todos os controladores de domínio tenham o Windows Server 2008 ou um sistema operativo posterior instalado no domínio ou na floresta. Depois de elevado o nível de funcionalidade do domínio para um nível superior, este só poderá ser revertido para um nível mais antigo utilizando uma recuperação da floresta. Esta restrição existe porque as funcionalidades alteram frequentemente a comunicação entre os controladores de domínio ou porque as funcionalidades alteram o armazenamento dos dados do Active Directory na base de dados.

O método mais comum para activar os níveis de funcionalidade do domínio e da floresta consiste em utilizar as ferramentas de administração da interface gráfica (GUI) documentadas no artigo da TechNet sobre os níveis de funcionalidade do Windows Server 2003 Active Directory (http://technet.microsoft.com/pt-pt/library/cc759280(WS.10).aspx) . Este artigo aborda o Windows Server 2003. No entanto, os passos são iguais nas versões de sistema operativo mais recentes. Além disso, o nível de funcionalidade pode ser configurado manualmente ou pode ser configurado utilizando os scripts do Windows PowerShell. Para mais informações sobre como configurar manualmente o nível de funcionalidade, consulte a secção ?Ver e definir o nível de funcionalidade".

Para mais informações sobre como utilizar o script do Windows PowerShell para configurar o nível de funcionalidade, consulte o artigo da TechNet que debate este método (http://technet.microsoft.com/pt-pt/library/cc730985.aspx) .

Ver e definir manualmente o nível de funcionalidade

As ferramentas LDAP (Lightweight Directory Access Protocol), tal como a Ldp.exe e a Adsiedit.msc podem ser utilizadas para ver e para modificar as definições do nível de funcionalidade do domínio e da floresta. Ao alterar manualmente os atributos de nível de funcionalidade, a melhor prática consiste em efectuar alterações ao atributo no controlador de domínio FSMO (Flexible Single Master Operations) que é normalmente alvo das ferramentas administrativas da Microsoft.

Definições do nível de funcionalidade do domínio

O atributo msDS-Behavior-Version encontra-se no cabeçalho do contexto de nomenclatura (NC) de raiz em cada um dos seguintes domínios:

• DC=Mydomain
• DC=ForestRootDom
• DC=tld object

Em seguida, são apresentados os valores que podem ser definidos para este atributo:

• Valor de 0 ou não definido=domínio de nível misto
• Valor de 1=nível de domínio do Windows Server 2003
• Valor de 2=nível de domínio do Windows Server 2003
• Valor de 3=nível de domínio do Windows Server 2008
• Valor de 4=nível de domínio do Windows Server 2008 R2

Definições do modo misto e do modo nativo

O atributo ntMixedDomain encontra-se no cabeçalho do contexto de nomenclatura (NC) de raiz em cada um dos seguintes domínios:

• DC=Mydomain
• DC=ForestRootDom
• DC=tld object

Em seguida, são apresentados os valores que podem ser definidos para este atributo:

• Valor de 0=Domínio de nível nativo
• Valor de 1=Domínio de nível misto

Definição de nível da floresta

O atributo msDS-Behavior-Version encontra-se no cabeçalho do contexto de nomenclatura (NC) de raiz em cada um dos seguintes domínios:

• CN=Partitions
• CN=Configuration
• DC=ForestRootDom
• DC=tld object

Em seguida, são apresentados os valores que podem ser definidos para este atributo:

• Valor de 0 ou não definido=floresta de nível misto
• Valor de 1=nível de floresta provisório do Windows Server 2003
• Valor de 2=nível de floresta do Windows Server 2003
  
  Nota: ao aumentar o atributo msDS-Behavior-Version do valor 0 para o valor 1 utilizando o Adsiedit.msc, recebe a seguinte mensagem de erro:
  Operação de modificação inválida. Algum aspecto da modificação não é permitido.
• Valor de 3=nível de domínio do Windows Server 2008
• Valor de 4=nível de domínio do Windows Server 2008 R2

Depois de utilizar as ferramentas LDAP (Lightweight Directory Access Protocol) para editar o nível de funcionalidade, clique em OK para continuar. Os atributos no contentor de partições e no cabeçalho do domínio são aumentados correctamente. Se for reportada uma mensagem de erro pelo ficheiro Ldp.exe, poderá ignorar em segurança a mensagem de erro. Para verificar se o aumento de nível foi concluído com êxito, actualize a lista de atributos e verifique a definição actual. Esta mensagem de erro também poderá ocorrer depois de efectuar o aumento de nível no FSMO autoritativo se a alteração ainda não tiver sido replicada para o controlador de domínio local.

Ver rapidamente as definições actuais utilizando o ficheiro Ldp.exe

1. Inicie o ficheiro Ldp.exe.
2. No menu Ligação, clique em Ligar.
3. Especifique o controlador de domínio que pretende consultar ou deixe o espaço em branco para ligar a qualquer controlador de domínio.

Depois de ligar a um controlador de domínio, as informações RootDSE do controlador de domínio aparecem. Estas informações incluem informações sobre a floresta, o domínio e os controladores de domínio. Segue-se um exemplo de um controlador de domínio baseado no Windows Server 2003. No exemplo seguinte, suponha que o modo de domínio é o Windows Server 2003 e que o modo de floresta é o Windows 2000 Server.

Nota: a funcionalidade do controlador de domínio representa o nível de funcionalidade mais elevado possível para este controlador de domínio.

• 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
• 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
• 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Requisitos ao alterar manualmente o nível de funcionalidade

• Tem de alterar o modo de domínio para o modo nativo antes de elevar o nível do domínio se uma das seguintes condições se verificar:
  • O nível de funcionalidade do domínio é elevado programaticamente para o segundo nível de funcionalidade modificando directamente o valor do atributo msdsBehaviorVersion no objecto domainDNS.
  • O nível de funcionalidade do domínio é elevado para o segundo nível de funcionalidade através do utilitário Ldp.exe ou do utilitário Adsiedit.msc.
  Se não alterar o modo de domínio para o modo nativo antes de elevar o nível do domínio, a operação não é concluída com êxito e recebe as seguintes mensagens de erro:
  SV_PROBLEM_WILL_NOT_PERFORM
  ERROR_DS_ILLEGAL_MOD_OPERATION
  Além disso, a seguinte mensagem é registada no registo dos Serviços de Directório:
  O Active Directory não conseguiu actualizar o nível de funcionalidade do seguinte domínio porque o domínio está no modo misto.
  
  Neste cenário, pode alterar o modo de domínio para o modo nativo utilizando o snap-in Utilizadores e Computadores do Active Directory, utilizando o snap-in da MMC da IU dos Domínios e Fidedignidades do Active Directory ou alterando programaticamente o valor do atributo ntMixedDomain para 0 no objecto domainDNS. Quando este processo é utilizado para elevar o nível de funcionalidade do domínio para 2 (Windows Server 2003), o modo do domínio é alterado automaticamente para o modo nativo.
• A transição do modo misto para o modo nativo altera o âmbito do grupo de segurança Administradores de Esquema e o grupo de segurança Administradores da Empresa para grupos universais. Quando estes grupos forem alterados para grupos universais, é registada a seguinte mensagem no registo do Sistema:

  Tipo de Evento: Informações
  Origem do Evento: SAM
  ID do Evento: 16408
  Computador: Nome do Servidor
  Descrição: "O modo de funcionamento do domínio foi alterado para o Modo Nativo. A alteração não pode ser revertida."

• Quando as ferramentas administrativas do Windows Server 2003 são utilizadas para invocar o nível de funcionalidade do domínio, o atributo ntmixedmode e o atributo msdsBehaviorVersion são modificados pela ordem correcta. No entanto, esta situação nem sempre ocorre. No seguinte cenário, o modo nativo é definido implicitamente para um valor de 0 sem alterar o âmbito para o grupo de segurança Administradores de Esquema e o grupo de segurança Administradores da Empresa para universal:
  • O atributo msdsBehaviorVersion que controla o modo de funcionalidade do domínio é definido manualmente ou programaticamente para o valor de 2.
  • O nível de funcionalidade da floresta é definido como 2 utilizando qualquer método.
  Neste cenário, os controladores de Domínio bloqueiam a transição para o nível de funcionalidade da floresta até todos os domínios na rede local serem configurados para o modo nativo e a alteração de atributo necessário ser efectuada nos âmbitos do grupo de segurança:

Níveis de funcionalidade relevantes para o Windows 2000 Server

O Windows 2000 Server suporta apenas o modo misto e o modo nativo. Além disso, só aplica estes modos à funcionalidade de domínio. As seguintes secções listam os modos de domínio do Windows Server 2003, porque estes modos afectam a forma como os domínios do Windows NT 4.0 e do Windows 2000 Server são actualizados.

Existem várias considerações a ter em conta ao elevar o nível do sistema operativo do controlador de domínio. Estas considerações são causadas pelas limitações ao armazenamento e à replicação dos atributos ligados nos modos do Windows 2000 Server.

Windows 2000 Server misto (predefinição)

• Controladores de domínio suportados: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Funcionalidades activadas: grupos locais e globais, suporte do catálogo global

Nativo do Windows 2000 Server

• Controladores de domínio suportados: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Funcionalidades activadas: aninhamento de grupos, grupos universais, Histórico do Sid, converter grupos entre grupos de segurança e grupos de distribuição, pode elevar os níveis do domínio aumentando as definições do nível da floresta

Windows Server 2003 provisório

• Controladores de domínio suportados: Windows NT 4.0, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Funcionalidades suportadas: Não existem funcionalidades ao nível do domínio activadas neste nível. Todos os domínios numa floresta são elevados automaticamente para este nível quando o nível da floresta aumenta para provisório. Este modo só é utilizado quando actualiza os controladores de domínio nos domínios do Windows NT 4.0 para os controladores de domínio do Windows Server 2003.

Windows Server 2003

• Controladores de domínio suportados: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Funcionalidades suportadas: mudança de nome do controlador de domínio, atributo de carimbo de data/hora de início de sessão actualizado e replicado. Suporte de palavra-passe de utilizador no InetOrgPerson objectClass. Delegação restrita, pode redireccionar os contentores Utilizadores e Computadores.

Os domínios actualizados a partir do Windows NT 4.0 ou criados pela promoção de um computador baseado no Windows Server 2003 funcionam no nível de funcionalidade misto do Windows 2000. Os domínios do Windows 2000 Server mantêm o respectivo nível de funcionalidade do domínio actual quando os controladores de domínio do Windows 2000 Server são actualizados para o sistema operativo Windows Server 2003. Pode elevar o nível de funcionalidade do domínio para o Windows 2000 Server nativo ou para o Windows Server 2003.

Nível provisório - actualizar a partir de um domínio do Windows NT 4.0

O Windows Server 2003 Active Directory permite uma floresta especial e um nível de funcionalidade do domínio denominado Windows Server 2003 provisório. Este nível de funcionalidade é fornecido para actualizações dos domínios existentes do Windows NT 4.0 em que um ou mais controladores de domínio de reserva (BDC) do Windows NT 4.0 tem de funcionar após a actualização. Os controladores de domínio do Windows 2000 Server não são suportados neste modo. O Windows Server 2003 provisório aplica-se aos seguintes cenários:

• Actualizações de domínio do Windows NT 4.0 para o Windows Server 2003.
• Os BDC do Windows NT 4.0 não são actualizados imediatamente.
• Os domínios do Windows NT 4.0 que contêm grupos com mais de 5000 membros (excluindo o grupo de utilizadores do domínio).
• Não existem planos para implementar os controladores de domínio do Windows Server 2000 na floresta a qualquer momento.

O Windows Server 2003 provisório fornece dois melhoramentos importantes, ao mesmo tempo que permite a replicação para os BDC do Windows NT 4.0:

1. Replicação eficaz dos grupos de segurança e suporte para mais de 5000 membros por grupo.
2. Algoritmos do gerador de topologia entre locais do KCC melhorado.

Devido às eficiências na replicação de grupos que é activada no nível provisório, o nível provisório é o recomendado para todas as actualizações do Windows NT 4.0. Consulte a secção "Melhores Práticas" deste artigo para obter informações mais detalhadas.

Definir o nível de funcionalidade da floresta do Windows Server 2003 provisório

O Windows Server 2003 provisório pode ser activado de três formas diferentes. Os dois primeiros métodos são vivamente recomendados. Isto porque os grupos de segurança utilizam a replicação de valores ligados (LVR) depois de o controlador de domínio primário (PDC) do domínio do Windows NT 4.0 ter sido actualizado para um controlador de domínio do Windows Server 2003. A terceira opção não é tão recomendada porque a associação nos grupos de segurança utiliza um único atributo com múltiplos valores, o que poderá resultar em problemas de replicação. As formas nas quais o Windows Server 2003 provisório pode ser activado são:

1. Durante a actualização.
   
   A opção é apresentada no assistente de instalação Dcpromo quando actualiza o PDC de um domínio do Windows NT 4.0 que funciona como primeiro controlador de domínio no domínio de raiz de uma nova floresta.
2. Antes de actualizar o PDC do Windows NT 4.0 de um Windows NT 4.0 como primeiro controlador de domínio de um novo domínio numa floresta existente, configure manualmente o nível de funcionalidade da floresta utilizado as ferramentas LDAP (Lightweight Directory Access Protocol).
   
   Os domínios subordinados herdam as definições de funcionalidade ao nível de floresta da floresta para a qual são promovidos. A actualização do PDC de um domínio do Windows NT 4.0 como domínio subordinado numa floresta existente do Windows Server 2003, em que os níveis funcionais da floresta provisória foram configurados utilizando o ficheiro Ldp.exe ou o ficheiro Adsiedit.msc, permite aos grupos de segurança utilizar a replicação de valores ligados após a actualização do sistema operativo.
3. Após a actualização utilizando as ferramentas LDAP.
   
   Utilize as duas últimas opções quando se associar a uma floresta existente do Windows Server 2003 durante uma actualização. Este é um cenário comum quando um domínio de ?raiz vazia? está em posição. O domínio actualizado é associado como subordinado da raiz vazia e herda a definição do domínio a partir da floresta.

Melhores práticas

A secção que se segue debate as melhores práticas para aumentar os níveis de funcionalidade. A secção está dividida em duas partes. "Tarefas de Preparação" debate o trabalho necessário antes do aumento e "Aumento dos Caminhos Optimizados" debate as motivações e os métodos para diferentes cenários de aumento de nível.

Para detectar controladores de domínio do Windows NT 4.0, siga estes passos:

1. A partir de qualquer controlador de domínio baseado no Windows Server 2003, abra Utilizadores e Computadores do Active Directory.
2. Se o controlador de domínio ainda não estiver ligado ao domínio adequado, siga estes passos para ligar ao domínio adequado:
   1. Clique com o botão direito do rato no objecto de domínio actual e, em seguida, clique em Ligar ao domínio.
   2. Na caixa de diálogo Domínio, escreva o nome DNS do domínio ao qual pretende ligar e clique em OK. Em alternativa, clique em Procurar para seleccionar o domínio a partir da árvore de domínio e clique em OK.
3. Clique com o botão direito do rato no objecto de domínio e clique em Localizar.
4. Na caixa de diálogo Localizar, clique em Pesquisa Personalizada.
5. Clique no domínio para o qual pretende alterar o nível de funcionalidade.
6. Clique no separador Avançadas.
7. Na caixa Introduza a consulta LDAP, escreva o seguinte e não deixe espaços entre quaisquer caracteres:

   (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

   Nota: esta consulta não é sensível a maiúsculas e minúsculas.
8. Clique em Localizar Agora.
   
   Aparece uma lista dos computadores no domínio com o Windows NT 4.0 e a funcionarem como controladores de domínio.

Um controlador de domínio pode aparecer na lista por qualquer um dos seguintes motivos:

• O controlador de domínio está a executar o Windows NT 4.0 e tem de ser actualizado.
• O controlador de domínio é actualizado para o Windows Server 2003, mas a alteração não é replicada para o controlador de domínio de destino.
• O controlador de domínio já não está no serviço, mas o objecto de computador do controlador de domínio não é removido do domínio.

Antes de alterar o nível de funcionalidade do domínio para o Windows Server 2003, tem de localizar fisicamente qualquer controlador de domínio na lista, determinar o estado actual do controlador de domínio e, em seguida, actualizar ou remover o controlador de domínio, conforme for adequado.

Nota: ao contrário dos controladores de domínio do Windows Server 2000, os controladores de domínio do Windows NT 4.0 não bloqueiam um aumento de nível. Ao alterar o nível de funcionalidade do domínio, a replicação para os controladores de domínio do Windows NT 4.0 pára. No entanto, ao tentar aumentar para o nível de floresta do Windows Server 2003 com domínios no Windows Server 2000, o nível misto é bloqueado. A falta de BDC do Windows NT 4.0 está implícita ao satisfazer o requisito do nível de floresta de todos os domínios no nível nativo do Windows Server 2000 ou posterior.

Exemplo: Tarefas de preparação antes do aumento do nível

Neste exemplo, o ambiente é elevado do modo misto do Windows Server 2000 para o modo de floresta do Windows Server 2003.

Inventário da floresta para versões anteriores dos controladores de domínio.
Se não estiver disponível uma lista de servidores exacta, siga estes passos:

1. Para detectar domínios de nível misto, controladores de domínio do Windows Server 2000 ou controladores de domínio com objectos danificados ou em falta, utilize o snap-in da MMC Domínios e Fidedignidades do Active Directory.
2. No snap-in, clique em Elevar Funcionalidade da Floresta e clique em Guardar Como para gerar um relatório detalhado.
3. Se não forem encontrados problemas, a opção para aumentar para o nível de floresta do Windows Server 2003 está disponível a partir da lista pendente "Níveis Funcionais da Floresta Disponíveis". Ao tentar elevar o nível da floresta, os objectos do controlador de domínio nos contentores de configuração são procurados para quaisquer controladores de domínio que não têm msds-behavior-version definido para o nível de destino pretendido. Assume-se que estes são controladores de domínio do Windows Server 2000 ou controladores de domínio do Windows Server mais recentes que estão danificados.
4. Se forem encontrados controladores de domínio anteriores ou controladores de domínio com objectos danificados ou em falta, estes são incluídos no relatório. O estado destes controladores de domínio tem de ser investigado e a representação do controlador de domínio no Active Directory tem de ser reparada ou removida utilizando o ficheiro Ntdsutil.

Para mais informações, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:

Verificar se a replicação Ponto-a-Ponto está a funcionar na floresta

Para verificar se a replicação Ponto-a-Ponto está a funcionar na floresta, utilize o Windows Server 2003 ou uma versão mais recente do Repadmin nos controladores de domínio do Windows Server 2000 ou do Windows Server 2003:

• Repadmin/Replsum * /Sort:Delta[/Errorsonly] for initial inventory.
• Repadmin/Showrepl * /CSV>showrepl.csv. Importar para Excel e utilizar Dados->Filtro Automático para identificar as funcionalidades de replicação.
  
  Utilize as ferramentas de replicação, tal como Repadmin para verificar se a replicação ao nível da floresta está a funcionar correctamente.

Verifique a compatibilidade de todos os programas ou serviços com os controladores de domínio do Windows Server mais recentes e com o domínio superior do Windows Server e o modo de floresta. Utilize um ambiente de laboratório para testar exaustivamente serviços e programas de produção para problemas de compatibilidade. Contacte os fornecedores para confirmar a capacidade.

Prepare um plano de anulação que inclua uma das seguintes acções:

• Desligue, pelo menos, dois controladores de domínio de cada domínio na floresta.
• Crie uma cópia de segurança do estado do sistema de, pelo menos, dois controladores de domínio de cada domínio na floresta.

Antes de poder utilizar o plano de anulação, todos os controladores de domínio na floresta têm de ser desactivados antes do processo de recuperação.

Nota: os aumentos de nível não podem ser restaurados de forma autoritativa. Isto significa que todos os controladores de domínio que replicaram o aumento de nível têm de ser desactivados.

Depois de desactivados todos os controladores de domínio anteriores, recupere os controladores de domínio desligados ou restaure os controladores de domínio a partir da cópia de segurança. Remova os metadados de todos os outros controladores de domínio e, em seguida, repromova-os. Este é um processo difícil e tem de ser evitado.

Exemplo: Como passar do nível misto do Windows Server 2000 para o nível de floresta do Windows Server 2003

Aumente todos os domínios para o nível nativo do Windows Server 2000. Após a conclusão deste processo, aumente o nível de funcionalidade do domínio de raiz da floresta para o nível de floresta do Windows Server 2003. Quando o nível de floresta é replicado para os PDCs para cada domínio na floresta, o nível do domínio é aumentado automaticamente para o nível de domínio do Windows Server 2003. Este método tem as seguintes vantagens:

• O aumento do nível ao nível da floresta só é efectuado uma vez. Não é necessário aumentar manualmente cada domínio na floresta para o nível de funcionalidade do domínio do Windows Server 2003.
• É efectuada uma verificação para os controladores de domínio do Windows Server 2000 antes do aumento do nível (consulte os passos de preparação). O aumento é bloqueado até os controladores de domínio com problema serem removidos ou actualizados. Pode ser gerado um relatório detalhado listando os controladores de domínio de bloqueio e fornecendo dados accionáveis.
• É efectuada uma verificação dos domínios no nível misto do Windows Server 2000 ou no nível provisório do Windows Server 2003. O aumento é bloqueado até os níveis do domínio serem aumentados para, pelo menos, o Windows Server 2000 nativo. Os domínios de nível provisório têm de ser aumentados para o nível de domínio do Windows Server 2003. Pode ser gerado um relatório detalhado listando os controladores de domínio de bloqueio.

Actualizações do Windows NT 4.0

As actualizações do Windows NT 4.0 utilizam sempre o nível provisório durante a actualização do PDC, salvo se tiverem sido introduzidos controladores de domínio do Windows Server 2000 na floresta para a qual o PDC é actualizado. Quando o modo provisório é utilizado durante a actualização do PDC, os grupos grandes existentes utilizam a replicação LVR imediatamente, evitando os potenciais problemas de replicação debatidos anteriormente neste artigo. Utilize um dos seguintes métodos para chegar ao nível provisório durante a actualização:

• Seleccione o nível provisório durante o Dcpromo. Esta opção só é apresentada quando o PDC é actualizado para uma nova floresta.
• Defina o nível da floresta de uma floresta existente como provisório e, em seguida, associe-se à floresta durante a actualização do PDC. O domínio actualizado herda a definição da floresta.
• Depois de actualizados ou removidos os BDCs do Windows NT 4.0, cada domínio tem de ser transitado para o nível de floresta e pode ser transitado para o modo de floresta do Windows Server 2003.

Evite utilizar o modo provisório se existirem planos para implementar os controladores de domínio do Windows Server 2000 após a actualização ou em qualquer altura no futuro.

Consideração especial para grupos grandes no Windows NT 4.0

Em domínios maduros do Windows NT 4.0, podem existir grupos de segurança com mais de 5000 membros. No Windows NT 4.0, quando um membro de um grupo de segurança é alterado, só a alteração única da associação é replicada para os controladores de domínio de cópia de segurança. No Windows Server 2000, as associações a grupos são atributos ligados armazenados num atributo único de vários valores do objecto de grupo. Quando é efectuada uma única alteração à associação de um grupo, todo o grupo é replicado como uma unidade única. Uma vez que a associação a grupos é replicada como uma unidade única, existe um potencial para a "perda" das actualizações à associação a grupos quando são adicionados ou removidos diferentes membros ao mesmo tempo em diferentes controladores de domínio. Além disso, o tamanho deste objecto único pode ser superior à memória intermédia utilizada para consolidar uma entrada na base de dados. Para mais informações, consulte a secção "Problemas do Arquivo de Versões com Grandes Grupos" deste artigo. Por estes motivos, o limite recomendado para os membros de grupos é de 5000.

A excepção para a regra de 5000 membros é o grupo primário (por predefinição, este é o grupo ?Utilizadores do Domínio?). O grupo primário utiliza um mecanismo "calculado" baseado no "primarygroupID" do utilizador para determinar a associação. O grupo primário não armazena os membros como atributos ligados com múltiplos valores. Se o grupo primário do utilizador for alterado para um grupo personalizado, a respectiva associação no grupo Utilizadores do Domínio é escrita no atributo ligado para o grupo e já não é calculada. O novo grupo primário Rid é escrito em "primarygroupID" e o utilizador é removido do atributo de membro do grupo.

Se o administrador não seleccionar o nível provisório para o domínio de actualização, terá de seguir estes passos antes da actualização:

1. Faça o inventário de todos os grupos de grande dimensão e identifique quaisquer grupos acima dos 5000, excepto o grupo de utilizadores do domínio.
2. Todos os grupos com mais de 5000 membros têm de ser divididos em grupos mais pequenos com menos de 5000 membros.
3. Localize todas as Listas de Controlo de Acesso em que os grupos de grande dimensão foram introduzidos e adiciona os grupos pequenos criados no passo 2.

O nível de floresta provisório do Windows Server 2003 liberta os administradores de terem de detectar e realocar grupos de segurança global com mais de 5000 membros.

Problemas do arquivo de versões com grupos de grande dimensão

Durante as operações de longa duração, tais como pesquisas exaustivas ou consolidações para um atributo grande e único, o Active Directory tem de certificar-se de que o estado da base de dados é estático até a operação estar concluída. Um exemplo das consolidações ou pesquisas exaustivas para atributos de grande dimensão é um grupo grande que utiliza o armazenamento legado.

Como as actualizações à base de dados ocorrem de forma contínua localmente e a partir dos parceiros da replicação, o Active Directory fornece um estado estático ao colocar em fila todas as alterações a receber até a operação de longa duração estar concluída. Assim que a operação termina, as alterações em fila são aplicadas à base de dados.

A localização de armazenamento para estas alterações em fila é denominada "arquivo de versões" e tem aproximadamente 100 megabytes. O tamanho do arquivo de versões varia e baseia-se na memória física. Se uma operação de longa duração não terminar antes de esgotado o arquivo de versões, o controlador de domínio deixará de aceitar actualizações até a operação de longa duração e as alterações em fila serem consolidadas. Os grupos que atingem números elevados (mais de 5000 membros) colocam o controlador de domínio em risco de esgotar o arquivo de versões, desde que o grupo de grande dimensão seja consolidado.

O Windows Server 2003 apresenta um novo mecanismo de replicação para atributos ligados com múltiplos valores denominado replicação de valores ligados (LVR). Em vez de replicar todo o grupo numa única operação de replicação, o LVR aborda este problema replicando cada membro de grupo como uma operação de replicação separada. O LVR fica disponível quando o nível de funcionalidade da floresta for elevado para o nível de floresta provisório do Windows Server 2003 ou para o nível de floresta do Windows Server 2003. Neste nível de funcionalidade, o LVR é utilizado para replicar grupos entre controladores de domínio do Windows Server 2003.