Como elevar os níveis funcionais de domínio e floresta do Active Directory

Este artigo descreve como elevar os níveis funcionais de domínio e floresta do Active Directory.

Aplica-se a: Windows Server 2003
Número de KB original: 322692

Resumo

Para obter informações sobre Windows Server 2016 e novos recursos no AD DS (Active Directory Domain Services), confira Novidades no Active Directory Domain Services para Windows Server 2016.

Este artigo discute a elevação dos níveis funcionais de domínio e floresta compatíveis com controladores de domínio do Microsoft Windows Server 2003 ou mais recentes. Há quatro versões do Active Directory e apenas os níveis alterados de Windows NT Server 4.0 exigem uma consideração especial. Portanto, as outras alterações de nível são mencionadas usando as versões mais recentes, atuais ou mais antigas do sistema operacional controlador de domínio, do domínio ou do nível funcional da floresta.

Os níveis funcionais são uma extensão do modo misto e os conceitos de modo nativo que foram introduzidos no Microsoft Windows 2000 Server para ativar novos recursos do Active Directory. Alguns recursos adicionais do Active Directory estão disponíveis quando todos os controladores de domínio estão executando a versão mais recente do Windows Server em um domínio ou em uma floresta e quando o administrador ativa o nível funcional correspondente no domínio ou na floresta.

Para ativar os recursos de domínio mais recentes, todos os controladores de domínio devem estar executando a versão mais recente do sistema operacional Windows Server no domínio. Se esse requisito for atendido, o administrador poderá elevar o nível funcional do domínio.

Para ativar os recursos mais recentes em toda a floresta, todos os controladores de domínio na floresta devem estar executando a versão do sistema operacional Windows Server que corresponde ao nível funcional de floresta desejado. Além disso, o nível funcional de domínio atual já deve estar no nível mais recente. Se esses requisitos forem atendidos, o administrador poderá elevar o nível funcional da floresta.

Geralmente, as alterações nos níveis funcionais de domínio e floresta são irreversíveis. Se a alteração puder ser desfeita, uma recuperação de floresta deve ser usada. Com o sistema operacional Windows Server 2008 R2, as alterações nos níveis funcionais do domínio e nos níveis funcionais da floresta podem ser revertidas. No entanto, a reversão pode ser executada apenas nos cenários específicos descritos no artigo do Technet sobre os níveis funcionais do Active Directory.

Elevando o nível funcional

O método mais comum para habilitar os níveis funcionais de domínio e floresta é usar as ferramentas de administração gui (interface do usuário) gráficas documentadas no artigo do TechNet sobre os níveis funcionais do Windows Server 2003 Active Directory. Este artigo discute o Windows Server 2003. No entanto, as etapas são as mesmas nas versões mais recentes do sistema operacional. Além disso, o nível funcional pode ser configurado manualmente ou pode ser configurado usando scripts Windows PowerShell. Para obter mais informações sobre como configurar manualmente o nível funcional, consulte a seção "Exibir e definir o nível funcional".

Para obter mais informações sobre como usar Windows PowerShell script para configurar o nível funcional, exiba Elevar o nível funcional da floresta.

Exibir e definir o nível funcional manualmente

As ferramentas LDAP (Protocolo de Acesso ao Diretório Leve), como Ldp.exe e Adsiedit.msc, podem ser usadas para exibir e modificar as configurações atuais de nível funcional de domínio e floresta. Quando você altera manualmente os atributos de nível funcional, a melhor prática é fazer alterações de atributo no controlador de domínio FSMO (Operações Mestras Simples Flexíveis) que normalmente é direcionado pelas ferramentas administrativas da Microsoft.

Configurações de nível funcional de domínio

O atributo msDS-Behavior-Version está na cabeça do contexto de nomenclatura (NC) para o domínio, ou seja, DC=corp, DC=contoso, DC=com.

Você pode definir os seguintes valores para este atributo:

• Valor de 0 ou não set=domínio de nível misto
• Valor de 1=nível de domínio do Windows Server 2003
• Valor de 2=nível de domínio do Windows Server 2003
• Valor de 3=nível de domínio do Windows Server 2008
• Valor de 4=nível de domínio do Windows Server 2008 R2

Configurações de modo misto e modo nativo

O atributo ntMixedDomain está na cabeça do contexto de nomenclatura (NC) para o domínio, ou seja, DC=corp, DC=contoso, DC=com.

Você pode definir os seguintes valores para este atributo:

• Valor de 0=Domínio de nível nativo
• Valor de 1=Domínio de nível misto

Configuração de nível de floresta

O atributo msDS-Behavior-Version está no objeto CN=Partitions no contexto de nomenclatura de configuração (NC), ou seja, CN=Partições, CN=Configuration, DC= ForestRootDomain.

Você pode definir os seguintes valores para este atributo:

• Valor de 0 ou não set=floresta de nível misto

• Valor de 1=nível de floresta provisória do Windows Server 2003

• Valor de 2=nível de floresta do Windows Server 2003

  Observação

  Quando você aumenta o atributo msDS-Behavior-Version do valor 0 para o valor 1 usandoAdsiedit.msc, você recebe a seguinte mensagem de erro:
  Operação de modificação ilegal. Alguns aspectos da modificação não são permitidos.

• Valor de 3=nível de domínio do Windows Server 2008

• Valor de 4=nível de domínio do Windows Server 2008 R2

Depois de usar as ferramentas LDAP (Protocolo de Acesso ao Diretório Leve) para editar o nível funcional, clique em OK para continuar. Os atributos no contêiner de partições e na cabeça do domínio são corretamente aumentados. Se uma mensagem de erro for reportada pelo arquivo Ldp.exe, você poderá ignorar com segurança a mensagem de erro. Para verificar se o aumento de nível foi bem-sucedido, atualize a lista de atributos e, em seguida, marcar a configuração atual. Essa mensagem de erro também pode ocorrer depois que você tiver realizado o aumento de nível no FSMO autoritativo se a alteração ainda não tiver sido replicada para o controlador de domínio local.

Exibir rapidamente as configurações atuais usando o arquivo Ldp.exe

1. Inicie o arquivo Ldp.exe.
2. No menu Conexão, clique em Conectar.
3. Especifique o controlador de domínio que você deseja consultar ou deixe o espaço em branco para se conectar a qualquer controlador de domínio.

Depois de se conectar a um controlador de domínio, as informações do RootDSE para o controlador de domínio serão exibidas. Essas informações incluem informações sobre a floresta, o domínio e os controladores de domínio. A seguir está um exemplo de um controlador de domínio baseado no Windows Server 2003. No exemplo a seguir, suponha que o modo de domínio seja Windows Server 2003 e que o modo de floresta seja Windows 2000 Server.

Requisitos quando você altera manualmente o nível funcional

• Você deve alterar o modo de domínio para o modo nativo antes de elevar o nível de domínio se uma das seguintes condições for verdadeira:

  • O nível funcional de domínio é gerado programaticamente para o segundo nível funcional modificando diretamente o valor do atributo msdsBehaviorVersion no objeto domainDNS.
  • O nível funcional de domínio é elevado para o segundo nível funcional usando o utilitário Ldp.exe ou o utilitário Adsiedit.msc.

  Se você não alterar o modo de domínio para o modo nativo antes de elevar o nível de domínio, a operação não será concluída com êxito e você receberá as seguintes mensagens de erro:

  SV_PROBLEM_WILL_NOT_PERFORM

  ERROR_DS_ILLEGAL_MOD_OPERATION

  Além disso, a seguinte mensagem é registrada no log dos Serviços de Diretório:

  Active Directory could not update the functional level of the following domain because the domain is in mixed mode.
  

  Nesse cenário, você pode alterar o modo de domínio para o modo nativo usando o snap-in Usuários do Active Directory & Computadores, usando o snap-in do MMC da interface do usuário do Active Directory & Trusts ou alterando programaticamente o valor do atributo ntMixedDomain para 0 no objeto domainDNS. Quando esse processo é usado para elevar o nível funcional do domínio para 2 (Windows Server 2003), o modo de domínio é alterado automaticamente para o modo nativo.

• A transição do modo misto para o modo nativo altera o escopo do grupo de segurança administradores de esquema e do grupo de segurança administradores corporativos para grupos universais. Quando esses grupos são alterados para grupos universais, a seguinte mensagem é registrada no log do Sistema:

  Event Type: Information  
  Event Source: SAM  
  Event ID: 16408  
  Computer:Server Name  
  Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."
  

• Quando as ferramentas administrativas do Windows Server 2003 são usadas para invocar o nível funcional do domínio, o atributo ntmixedmode e o atributo msdsBehaviorVersion são modificados na ordem correta. No entanto, isso nem sempre ocorre. No cenário a seguir, o modo nativo é implicitamente definido como um valor 0 sem alterar o escopo para o grupo de segurança administradores de esquema e o grupo de segurança administradores empresariais para universal:

  • O atributo msdsBehaviorVersion que controla o modo funcional de domínio é definido manualmente ou programaticamente como o valor de 2.
  • O nível funcional da floresta é definido como 2 usando qualquer método. Nesse cenário, os controladores de domínio bloqueiam a transição para o nível funcional da floresta até que todos os domínios que estão na rede de área local sejam configurados para o modo nativo e a alteração de atributo necessária seja feita nos escopos do grupo de segurança.

Níveis funcionais relevantes para o Windows 2000 Server

O Windows 2000 Server dá suporte apenas ao modo misto e ao modo nativo. Além disso, ele só aplica esses modos à funcionalidade de domínio. As seções a seguir listam os modos de domínio do Windows Server 2003 porque esses modos afetam como Windows NT domínios 4.0 e Windows 2000 Server são atualizados.

Há muitas considerações ao elevar o nível do sistema operacional do controlador de domínio. Essas considerações são causadas pelas limitações de armazenamento e replicação dos atributos vinculados nos modos do Servidor do Windows 2000.

Windows 2000 Server misto (padrão)

• Controladores de domínio com suporte: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
• Recursos ativados: grupos locais e globais, suporte a catálogo global

Windows 2000 Server nativo

• Controladores de domínio com suporte: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Recursos ativados: aninhamento de grupo, grupos universais, Histórico do Sid, conversão de grupos entre grupos de segurança e grupos de distribuição, você pode aumentar os níveis de domínio aumentando as configurações de nível de floresta

Windows Server 2003 provisório

• Controladores de domínio com suporte: Windows NT 4.0, Windows Server 2003
• Recursos com suporte: não há recursos em todo o domínio ativados neste nível. Todos os domínios em uma floresta são automaticamente elevados a esse nível quando o nível da floresta aumenta para provisório. Esse modo só é usado quando você atualiza controladores de domínio em Windows NT domínios 4.0 para controladores de domínio do Windows Server 2003.

Windows Server 2003

• Controladores de domínio com suporte: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Recursos com suporte: renomeação do controlador de domínio, atributo de carimbo de data/hora de logon atualizado e replicado. Suporte à senha do usuário no objeto InetOrgPersonClass. Delegação restrita, você pode redirecionar os contêineres Usuários e Computadores.

Domínios atualizados do Windows NT 4.0 ou criados pela promoção de um computador baseado no Windows Server 2003 operam no nível funcional misto do Windows 2000. Os domínios do Windows 2000 Server mantêm o nível funcional de domínio atual quando os controladores de domínio do Windows 2000 Server são atualizados para o sistema operacional Windows Server 2003. Você pode elevar o nível funcional de domínio para o Windows 2000 Server nativo ou o Windows Server 2003.

Nível provisório – atualização de um domínio Windows NT 4.0

O Windows Server 2003 Active Directory permite um nível funcional especial de floresta e domínio chamado de nível provisório do Windows Server 2003. Esse nível funcional é fornecido para atualizações de domínios existentes Windows NT 4.0 em que um ou mais Windows NT BDCs (controladores de domínio de backup) 4.0 devem funcionar após a atualização. Não há suporte para controladores de domínio do Windows 2000 Server nesse modo. O ínterim do Windows Server 2003 se aplica aos seguintes cenários:

• Atualizações de domínio do Windows NT 4.0 para o Windows Server 2003.
• Windows NT BDCs 4.0 não são atualizados imediatamente.
• Windows NT domínios 4.0 que contêm grupos com mais de 5.000 membros (excluindo o grupo de usuários de domínio).
• Não há planos para implementar controladores de domínio do Windows Server2000 na floresta a qualquer momento.

O Windows Server 2003 provisório fornece dois aprimoramentos importantes, permitindo que a replicação Windows NT BDCs 4.0:

1. Replicação eficiente de grupos de segurança e suporte para mais de 5.000 membros por grupo.
2. Algoritmos de gerador de topologia inter-site do KCC aprimorados.

Devido à eficiência na replicação de grupo ativada no nível provisório, o nível provisório é o nível recomendado para todas as atualizações Windows NT 4.0. Consulte a seção "Melhores Práticas" deste artigo para obter mais detalhes.

Definir o nível funcional da floresta provisória do Windows Server 2003

O Windows Server 2003 provisório pode ser ativado de três maneiras diferentes. Os dois primeiros métodos são altamente recomendados. Isso ocorre porque os grupos de segurança usam a LVR (replicação de valor vinculado) depois que o PDC (controlador de domínio principal) do domínio do Windows NT 4.0 foi atualizado para um controlador de domínio do Windows Server 2003. A terceira opção é menos altamente recomendada porque a associação em grupos de segurança usa um único atributo com vários valores, o que pode resultar em problemas de replicação. As maneiras pelas quais o Windows Server 2003 provisório pode ser ativado são:

1. Durante a atualização.

   A opção é apresentada no assistente de instalação do Dcpromo quando você atualiza o PDC de um domínio Windows NT 4.0 que serve como o primeiro controlador de domínio no domínio raiz de uma nova floresta.

2. Antes de atualizar o Windows NT 4.0 PDC de um Windows NT 4.0 como o primeiro controlador de domínio de um novo domínio em uma floresta existente, configurando manualmente o nível funcional da floresta usando ferramentas LDAP (Protocolo de Acesso ao Diretório Leve).

   Os domínios filho herdam as configurações de funcionalidade em toda a floresta na qual são promovidos. Atualizar o PDC de um domínio 4.0 Windows NT como um domínio filho em uma floresta existente do Windows Server 2003 em que níveis funcionais de floresta provisória foram configurados usando o arquivo Ldp.exe ou o arquivo Adsiedit.msc permite que grupos de segurança usem replicação de valor vinculado após a atualização da versão do sistema operacional.

3. Após a atualização usando ferramentas LDAP.

   Use as duas últimas opções ao ingressar em uma floresta existente do Windows Server 2003 durante uma atualização. Esse é um cenário comum quando um domínio "raiz vazia" está em posição. O domínio atualizado é ingressado como filho da raiz vazia e herda a configuração de domínio da floresta.

Práticas recomendadas

A seção a seguir discute as melhores práticas para aumentar os níveis funcionais. A seção é dividida em duas partes. "Tarefas de Preparação" discute o trabalho que você deve fazer antes do aumento e "Aumento de Caminhos Ideais" discute as motivações e os métodos para diferentes cenários de aumento de nível.

Para descobrir Windows NT controladores de domínio 4.0, siga estas etapas:

1. Em qualquer controlador de domínio baseado no Windows Server 2003, abra Usuários e Computadores do Active Directory.

2. Se o controlador de domínio ainda não estiver conectado ao domínio apropriado, siga estas etapas para se conectar ao domínio apropriado:

   1. Clique com o botão direito do mouse no objeto de domínio atual e clique em Conectar ao domínio.
   2. Na caixa de diálogo Domínio , digite o nome DNS do domínio ao qual você deseja se conectar e clique em OK. Ou clique em Procurar para selecionar o domínio na árvore de domínio e clique em OK.

3. Clique com o botão direito do mouse no objeto de domínio e clique em Localizar.

4. Na caixa de diálogo Localizar , clique em Pesquisa Personalizada.

5. Clique no domínio para o qual você deseja alterar o nível funcional.

6. Clique na guia Avançado.

7. Na caixa de consulta Enter LDAP , digite o seguinte e não deixe espaços entre caracteres: (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

   Observação

   Essa consulta não é sensível a casos.

8. Clique em Localizar agora.

   Uma lista dos computadores no domínio que estão executando Windows NT 4.0 e funcionando à medida que os controladores de domínio são exibidos.

Um controlador de domínio pode aparecer na lista por qualquer um dos seguintes motivos:

• O controlador de domínio está executando Windows NT 4.0 e deve ser atualizado.
• O controlador de domínio é atualizado para o Windows Server 2003, mas a alteração não é replicada para o controlador de domínio de destino.
• O controlador de domínio não está mais em serviço, mas o objeto de computador do controlador de domínio não é removido do domínio.

Antes de poder alterar o nível funcional do domínio para o Windows Server 2003, você deve localizar fisicamente qualquer controlador de domínio na lista, determinar o status atual do controlador de domínio e, em seguida, atualizar ou remover o controlador de domínio conforme apropriado.

Exemplo: Tarefas de preparação antes do aumento do nível

Neste exemplo, o ambiente é gerado do modo misto do Windows Server 2000 para o modo florestal do Windows Server 2003.

Inventário da floresta para versões anteriores de controladores de domínio.

Se uma lista de servidores precisa não estiver disponível, siga estas etapas:

1. Para descobrir domínios de nível misto, controladores de domínio do Windows Server 2000 ou controladores de domínio com objetos danificados ou ausentes, use domínios do Active Directory e o snap-in do Trusts MMC.
2. No snap-in, clique em Aumentar a Funcionalidade florestal e clique em Salvar Como para gerar um relatório detalhado.
3. Se nenhum problema for encontrado, a opção de aumentar para o nível florestal do Windows Server 2003 estará disponível na lista suspensa "Níveis Funcionais da Floresta Disponível ". Quando você tenta elevar o nível da floresta, os objetos do controlador de domínio nos contêineres de configuração são pesquisados em busca de controladores de domínio que não tenham msds-behavior-version definidos para o nível de destino desejado. Presume-se que sejam controladores de domínio do Windows Server 2000 ou objetos mais recentes do controlador de domínio do Windows Server que estão danificados.
4. Se controladores de domínio da versão anterior ou controladores de domínio que danificaram ou perderam objetos de computador forem encontrados, eles serão incluídos no relatório. O status desses controladores de domínio deve ser investigado e a representação do controlador de domínio no Active Directory deve ser reparada ou removida usando o arquivo Ntdsutil.

Para obter mais informações, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft:
216498 Como remover dados no active directory após um rebaixamento mal sucedido do controlador de domínio

Verifique se a replicação de ponta a ponta está funcionando na floresta

Para verificar se a replicação De Ponta a Ponta está funcionando na floresta, use o Windows Server 2003 ou a versão mais recente do Repadmin em relação ao Windows Server 2000 ou aos controladores de domínio do Windows Server 2003:

• Repadmin/Replsum * /Sort:Delta[/Errorsonly] para inventário inicial.

• Repadmin/Showrepl * /CSV>showrepl.csv. Importe para o Excel e, em seguida, use o Data-Autofilter> para identificar recursos de replicação.

  Use ferramentas de replicação, como Repadmin, para verificar se a replicação em toda a floresta está funcionando corretamente.

Verifique a compatibilidade de todos os programas ou serviços com os controladores de domínio mais recentes do Windows Server e com o modo de floresta e domínio do Windows Server mais alto. Use um ambiente de laboratório para testar completamente programas e serviços de produção para problemas de compatibilidade. Entre em contato com fornecedores para obter a confirmação da funcionalidade.

Prepare um plano de back-out que inclua uma das seguintes ações:

• Desconecte pelo menos dois controladores de domínio de cada domínio na floresta.
• Crie um backup de estado do sistema de pelo menos dois controladores de domínio de cada domínio na floresta.

Antes que o plano de backup possa ser usado, todos os controladores de domínio na floresta devem ser desativados antes do processo de recuperação.

Depois que todos os controladores de domínio anteriores forem desativados, traga os controladores de domínio desconectados ou restaure os controladores de domínio do backup. Remova os metadados de todos os outros controladores de domínio e, em seguida, repromote-os. Este é um processo difícil e deve ser evitado.

Exemplo: como obter do nível misto do Windows Server 2000 para o nível de floresta do Windows Server 2003

Aumente todos os domínios para o nível nativo do Windows Server 2000. Depois que isso for concluído, aumente o nível funcional do domínio raiz da floresta para o nível de floresta do Windows Server 2003. Quando o nível da floresta é replicado para os PDCs para cada domínio na floresta, o nível de domínio é automaticamente aumentado para o nível de domínio do Windows Server 2003. Este método tem as seguintes vantagens:

• O aumento do nível da floresta só é realizado uma vez. Você não precisa aumentar manualmente cada domínio na floresta para o nível funcional de domínio do Windows Server 2003.
• Um marcar para controladores de domínio do Windows Server 2000 é executado antes do aumento de nível (consulte etapas de preparação). O aumento é bloqueado até que os controladores de domínio de problema sejam removidos ou atualizados. Um relatório detalhado pode ser gerado listando os controladores de domínio de bloqueio e fornecendo dados acionáveis.
• Um marcar para domínios no nível provisório do Windows Server 2000 misto ou windows Server 2003 é executado. O aumento é bloqueado até que os níveis de domínio sejam aumentados para pelo menos o Windows Server 2000 nativo. Os domínios de nível provisório devem ser aumentados para o nível de domínio do Windows Server 2003. Um relatório detalhado pode ser gerado listando os domínios de bloqueio.

Windows NT atualizações 4.0

Windows NT atualizações 4.0 sempre usam o nível provisório durante a atualização do PDC, a menos que os controladores de domínio do Windows Server 2000 tenham sido introduzidos na floresta em que o PDC é atualizado. Quando o modo provisório é usado durante a atualização do PDC, os grandes grupos existentes usam a replicação LVR imediatamente, evitando os possíveis problemas de replicação que são discutidos anteriormente neste artigo. Use um dos seguintes métodos para chegar ao nível provisório durante a atualização:

• Selecione nível provisório durante o Dcpromo. Essa opção só é apresentada quando o PDC é atualizado para uma nova floresta.
• Defina o nível da floresta de uma floresta existente como provisório e, em seguida, junte-se à floresta durante a atualização do PDC. O domínio atualizado herda a configuração da floresta.
• Depois que todos os BDCs do Windows NT 4.0 forem atualizados ou removidos, cada domínio deve ser transferido para o nível da floresta e pode ser transferido para o modo florestal do Windows Server 2003.

Um motivo para evitar o uso do modo provisório é se houver planos para implementar controladores de domínio do Windows Server 2000 após a atualização ou em qualquer momento no futuro.

Consideração especial para grupos grandes no Windows NT 4.0

Em domínios maduros Windows NT 4.0, podem existir grupos de segurança que contêm muito mais de 5.000 membros. No Windows NT 4.0, quando um membro de um grupo de segurança é alterado, apenas a alteração única de associação é replicada para os controladores de domínio de backup. No Windows Server 2000, as associações de grupo são atributos vinculados armazenados em um único atributo multi-valor do objeto de grupo. Quando uma única alteração é feita na associação de um grupo, todo o grupo é replicado como uma única unidade. Como a associação de grupo é replicada como uma única unidade, há um potencial para que as atualizações da associação de grupo sejam "perdidas" quando diferentes membros são adicionados ou removidos ao mesmo tempo em diferentes controladores de domínio. Além disso, o tamanho desse objeto único pode ser maior do que o buffer usado para confirmar uma entrada no banco de dados. Para obter mais informações, confira a seção "Problemas do Repositório de Versões com Grupos Grandes" deste artigo. Por esses motivos, o limite recomendado para membros do grupo é 5000.

A exceção à regra de 5.000 membros é o grupo primário (por padrão, este é o grupo "Usuários de Domínio"). O grupo primário usa um mecanismo "computado" com base no "primarygroupID" do usuário para determinar a associação. O grupo primário não armazena membros como atributos vinculados com vários valores. Se o grupo primário do usuário for alterado para um grupo personalizado, sua associação no grupo Usuários de Domínio será escrita no atributo vinculado para o grupo e não será mais calculada. O novo grupo primário Rid é gravado em "primarygroupID" e o usuário é removido do atributo membro do grupo.

Se o administrador não selecionar o nível provisório para o domínio de atualização, você deverá seguir estas etapas antes da atualização:

1. Faça o inventário de todos os grupos grandes e identifique todos os grupos acima de 5000, exceto o grupo de usuários de domínio.
2. Todos os grupos com mais de 5.000 membros devem ser divididos em grupos menores de menos de 5.000 membros.
3. Localize todas as Controle de Acesso Listas em que os grandes grupos foram inseridos e adicione os pequenos grupos que você criou na etapa 2.O nível provisório da floresta do Windows Server 2003 alivia os administradores de terem que descobrir e realocar grupos de segurança global com mais de 5.000 membros.

Problemas do repositório de versões com grupos grandes

Durante operações de longa execução, como pesquisas profundas ou confirmações em um único atributo grande, o Active Directory deve garantir que o estado do banco de dados esteja estático até que a operação seja concluída. Um exemplo de pesquisas profundas ou confirmações com atributos grandes é um grande grupo que usa o armazenamento herdado.

À medida que as atualizações no banco de dados estão ocorrendo continuamente localmente e de parceiros de replicação, o Active Directory fornece um estado estático, enfileirando todas as alterações futuras até que a operação de longa duração seja concluída. Assim que a operação for concluída, as alterações na fila serão aplicadas ao banco de dados.

O local de armazenamento dessas alterações na fila é chamado de "repositório de versão" e é de aproximadamente 100 megabytes. O tamanho do repositório de versões varia e é baseado na memória física. Se uma operação de longa execução não for concluída antes que o repositório de versões seja esgotado, o controlador de domínio deixará de aceitar atualizações até que a operação de longa execução e as alterações na fila sejam confirmadas. Grupos que atingem grandes números (mais de 5.000 membros) colocam o controlador de domínio em risco de esgotar o repositório de versões desde que o grande grupo seja confirmado.

O Windows Server 2003 apresenta um novo mecanismo de replicação para atributos com vários valores vinculados que é chamado de LVR (replicação de valor de link). Em vez de replicar todo o grupo em uma única operação de replicação, o LVR resolve esse problema replicando cada membro do grupo como uma operação de replicação separada. O LVR fica disponível quando o nível funcional da floresta é elevado para o nível de floresta provisória do Windows Server 2003 ou para o nível florestal do Windows Server 2003. Nesse nível funcional, o LVR é usado para replicar grupos entre controladores de domínio do Windows Server 2003.