Como aumentar os níveis funcionais de domínio e de floresta do Active Directory

Este artigo descreve como aumentar os níveis funcionais de domínio e de floresta suportados pelos controladores de domínios mais novos ou com base no Microsoft Windows Server 2003. Há quatro lançamentos do Active Directory e somente os níveis que foram alterados do Windows NT Server 4.0 exigem atenção especial. Portanto, as outras alterações de nível são mencionadas usando as versões mais recentes, atuais ou anteriores do sistema operacional do controlador do domínio, do nível funcional de domínio ou do nível funcional de floresta.

Os níveis funcionais são uma extensão dos conceitos de modo misto e de modo nativo apresentados no Microsoft Windows 2000 Server para ativar os novos recursos do Active Directory. Alguns recursos adicionais do Active Directory estão disponíveis quando todos os controladores de domínio estiverem executando a versão mais recente do Windows Server em um domínio ou em uma floresta e quando o administrador ativar o nível funcional correspondente no domínio ou na floresta.

Para ativar os recursos de domínio mais recentes, todos os controladores devem estar executando a versão mais recente do sistema operacional do Windows Server. Se este requisito é atendido, o administrador pode elevar o nível funcional de domínio.
Para ativar os recursos de floresta mais recentes, todos os controladores de domínio na floresta devem estar executando o sistema operacional do Windows Server correspondente ao nível funcional de floresta desejado. Além disso, o nível funcional de domínio atual já deve ser o mais recente. Se esses requisitos forem atendidos, o administrador poderá elevar o nível funcional de floresta.

Em geral, as alterações nos níveis funcionais de floresta e de domínio são irreversíveis. Se a alteração puder ser desfeita, será necessário usar uma recuperação de floresta. Com o sistema operacional do Windows Server 2008 R2, as alterações nos níveis funcionais de domínio e de floresta podem ser revertidas. No entanto, a reversão pode ser executada somente nos cenários específicos descritos no artigo da TechNet sobre níveis funcionais do Active Directory (http://technet.microsoft.com/pt-br/library/cc787290(WS.10).aspx) .

Observação Os níveis funcionais de domínio e de floresta mais recentes afetam somente a forma como os controladores de domínio operam em conjunto. Os clientes que interagem com o domínio ou a floresta não são afetados. Além disso, os aplicativos não são afetados pelas alterações feitas para os níveis funcionais de domínio ou de floresta. No entanto, os aplicativos podem tirar proveito dos recursos mais recentes de domínio e de floresta.

Para obter informações, consulte o artigo da TechNet sobre os recursos associados aos vários níveis funcionais (http://technet.microsoft.com/pt-br/library/cc771294.aspx) .

Aumentando o nível funcional

Cuidado Não aumente o nível funcional se o domínio tiver um controlador de uma versão anterior à citada para esse nível. Por exemplo, um nível funcional do Windows Server 2008 requer que todos os controladores de domínio tenham o Windows Server 2008 ou um sistema operacional superior instalado no domínio ou na floresta. Depois que um nível de funcionalidade de domínio é aumentado a um nível superior, ele poderá retornar a uma versão mais antiga usando uma recuperação de floresta. Essa restrição existe porque geralmente os recursos mudam a comunicação entre os controladores de domínio ou porque os recursos alteram o armazenamento de dados do Active Directory no banco de dados.

O método mais comum para habilitar os níveis funcionais de domínio e de floresta é usar as ferramentas de administração do interface gráfica do usuário (GUI) documentadas no artigo da TechNet sobre os níveis funcionais do Active Directory no Windows Server 2003 (http://technet.microsoft.com/pt-br/library/cc759280(WS.10).aspx) . Este artigo é sobre o Windows Server 2003. No entanto, as etapas são as mesmas para as versões de sistemas operacionais mais recentes. Além disso, o nível funcional pode ser configurado manualmente ou por meio de scripts do Windows PowerShell. Para obter mais informações sobre como configurar o nível funcional manualmente, consulte a seção "Exibir e definir o nível funcional".

Para obter mais informações sobre como usar o script do Windows PowerShell para configurar o nível funcional, leia o artigo da TechNet que descreve esse método (http://technet.microsoft.com/pt-br/library/cc730985.aspx) .

Exibir e definir o nível funcional manualmente

As ferramentas do protocolo LDAP, tais como LDP.exe e Adsiedit.msc, podem ser usadas para exibir e modificar as configurações de nível funcional de domínio e de floresta. Quando você alterar os atributos do nível funcional manualmente, a melhor prática é fazer alterações de atributos no controlador de domínio de FSMO (operações de mestre único flexíveis) que é normalmente alvo das ferramentas administrativas da Microsoft.

Configurações do nível funcional de domínio

O atributo msDS-Behavior-Version está na raiz de nomeação de cabeçalho de contexto (NC) em cada um dos seguintes domínios:

• DC=Mydomain
• DC=ForestRootDom
• DC=objeto tld

Os valores que podem ser definidos para este atributo são:

• Valor de 0 ou não definido=domínio de nível misto
• Valor de 1=nível de domínio do Windows Server 2003
• Valor de 2=nível de domínio do Windows Server 2003
• Valor de 3=nível de domínio do Windows Server 2008
• Valor de 4=nível de domínio do Windows Server 2008 R2

Configurações do modo misto e do modo nativo

O atributo ntMixedDomain está na raiz de nomeação de cabeçalho de contexto (NC) em cada um dos seguintes domínios:

• DC=Mydomain
• DC=ForestRootDom
• DC=objeto tld

Os valores que podem ser definidos para este atributo são:

• Valor de 0=Domínio de nível nativo
• Valor de 1=Domínio de nível misto

Configurações do nível de floresta

O atributo msDS-Behavior-Version está na raiz de nomeação de cabeçalho de contexto (NC) em cada um dos seguintes domínios:

• CN=Partições
• CN=Configuração
• DC=ForestRootDom
• DC=objeto tld

Os valores que podem ser definidos para este atributo são:

• Valor de 0 ou não definido=floresta de nível misto
• Valor de 1=Nível de floresta provisório do Windows Server 2003
• Valor de 2=nível de floresta do Windows Server 2003
  
  Observação Ao aumentar o atributo msDS-Behavior-Version do valor 0 para o valor 1 por usingAdsiedit.msc, você receberá a seguinte mensagem de erro:
  Operação de modificação inválida. Algum aspecto da modificação não é permitido.
• Valor de 3=nível de domínio do Windows Server 2008
• Valor de 4=nível de domínio do Windows Server 2008 R2

Depois de usar as ferramentas do protocolo LDAP para editar o nível funcional, clique em OK para continuar. Os atributos no contêiner de partições e na cabeça do domínio foram aumentadas corretamente. Se uma mensagem de erro for reportada pelo arquivo LDP.exe, ignore-a. Para verificar se o aumento do nível foi bem-sucedido, atualize a lista de atributos e verifique a configuração atual. Esta mensagem de erro também poderá aparecer depois que você executar o aumento de nível do FSMO autoritativo se a alteração ainda não foi replicada para o controlador do domínio local.

Exibir rapidamente as configurações atuais usando o arquivo LDP.exe

1. Inicie o arquivo LDP.exe.
2. No menu Conexão, clique em Conectar.
3. Especifique o controlador do domínio que você deseja consultar ou deixe o espaço em branco para conectar-se a um controlador.

Depois que você se conectar a um controlador de domínio, as informações de RootDSE do controlador de domínio serão exibidas. Elas incluem informações sobre os controladores de domínio e de floresta. Este é um exemplo de um controlador de domínio baseado no Windows Server 2003. No exemplo a seguir, suponha que o modo de domínio é o Windows Server 2003 e que o modo de floresta é o Windows 2000 Server.

Observação A funcionalidade do controlador de domínio representa o nível funcional mais alto possível.

• 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
• 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
• 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

Requisitos quando você altera manualmente o nível funcional

• Será necessário alterar o modo de domínio para o modo nativo antes de aumentar o nível de domínio se uma das seguintes condições for verdadeira:
  • O nível funcional de domínio foi programaticamente aumentado para o segundo nível funcional modificando diretamente o valor do atributo msdsBehaviorVersion no objeto domainDNS.
  • O nível funcional de domínio é aumentado para o segundo nível funcional usando o utilitário LDP.exe ou o Adsiedit.msc.
  Se você não alterar o modo de domínio para modo nativo antes de aumentar o nível de domínio, a operação não será concluída com êxito e você receberá as seguintes mensagens de erro:
  SV_PROBLEM_WILL_NOT_PERFORM
  ERROR_DS_ILLEGAL_MOD_OPERATION
  Além disso, a seguinte mensagem é registrada no log de Serviços de Diretório:
  O Active Directory não pôde atualizar o nível funcional do domínio a seguir porque o domínio está no modo misto.
  
  Neste cenário, é possível alterar o modo do domínio para nativo usando o snap-in Usuários e Computadores do Active Directory, usando o snap-in Console de Gerenciamento Microsoft de UI de Domínios e Relações de Confiança do Active Directory ou alterando programaticamente o valor do atributo ntMixedDomain para 0 no objeto domainDNS. Quando este processo é usado para aumentar o nível funcional para 2 (Windows Server 2003), o modo de domínio é alterado automaticamente para o nativo.
• A transição do modo misto para o modo nativo altera o escopo dos grupos de segurança Administradores de esquema e Administradores de empresas para grupos universais. Quando esses grupos forem alterados para grupos universais, a seguinte mensagem é registrada no log do Sistema:

  Tipo de Evento: Informações
  Origem do Evento: SAM
  Identificação do Evento: 16408
  Computador: Nome_do_servidor
  Descrição: "O modo de operação do domínio foi alterado para o modo nativo. Essa alteração não pode ser revertida."

• Quando as ferramentas administrativas do Windows Server 2003 são usadas para invocar o nível funcional do domínio, os atributos ntmixedmode e msdsBehaviorVersion são modificados na ordem correta. No entanto, isso não ocorre sempre. No cenário a seguir, o modo nativo está definido implicitamente como o valor 0 sem alterar o escopo dos grupos de segurança Administradores de esquema e Administradores de empresas para grupos universais:
  • O atributo msdsBehaviorVersion que controla o modo funcional de domínio é definido manualmente ou programaticamente como o valor 2.
  • O nível funcional da floresta é definido como 2 por qualquer método.
  Neste cenário, os Controladores de domínio bloqueiam a transição para o nível funcional de floresta até que todos os domínios da rede da área local estejam configurados para o modo nativo e que a alteração do atributo solicitado seja feita nos escopos do grupo de segurança.

Níveis funcionais relevantes para o Windows 2000 Server

O Windows 2000 Server oferece suporte somente aos modos misto e nativo. Além disso, ele só aplica esses modos à funcionalidade do domínio. As seções a seguir listam os modos de domínio do Windows Server 2003, pois eles afetam a maneira como os domínios do Windows NT 4.0 e do Windows 2000 Server são atualizados.

Há várias considerações relacionadas ao aumento do nível do sistema operacional do controlador de domínio. Essas considerações são causadas por limitações de armazenamento e replicação dos atributos vinculados nos modos do Windows Server 2000.

Windows 2000 Server misto (padrão)

• Suporte para controladores de domínio: Microsoft Windows NT 4.0, Windows 2000 Server , Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Recursos ativados: grupos locais e globais, suporte de catálogo global

Windows 2000 Server nativo

• Suporte para controladores de domínio: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Recursos ativados: aninhamento de grupos, grupos universais, Histórico SID, convertendo grupos entre grupos de segurança e de distribuição, é possível aumentar os níveis de domínio aumentando as configurações do nível de floresta

provisório do Windows Server 2003

• Suporte para controladores de domínio: Windows NT 4.0, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Recursos suportados: Não há recursos para o domínio ativados nesse nível. Todos os domínios em uma floresta são gerados automaticamente para este nível quando o nível torna-se provisório. Este modo é usado somente ao atualizar controladores de domínio do Windows NT 4.0 para os controladores de domínio do Windows Server 2003.

Windows Server 2003

• Suporte para controladores de domínio: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
• Recursos suportados: renomear controlador de domínio, atributo do carimbo de data e hora de logon atualizado e replicado. Suporte de senha de usuário no objectClass do InetOrgPerson. Delegação restrita, você pode redirecionar os contêineres Usuários e Computadores.

Os domínios que são atualizados do Windows NT 4.0 ou criados pela promoção de um computador baseado no Windows Server 2003 operam no nível funcional misto do Windows 2000. Os domínios do Windows 2000 Server mantêm seus níveis funcionais de domínio atuais quando os controladores de domínio são atualizados para o sistema operacional Windows Server 2003. Você pode aumentar o nível funcional nativo do Windows 2000 Server ou do Windows Server 2003.

Nível provisório - atualize um domínio do Windows NT 4.0

O Active Directory do Windows Server 2003 permite um nível funcional de domínio e floresta especial chamado provisório do Windows Server 2003. Esse nível funcional é fornecido para atualizações de domínios existentes do Windows NT 4.0, onde um ou mais controladores de domínio de backup (BDCs) do Windows NT 4.0 devem funcionar após a atualização. Não há suporte para controladores de domínio do Windows 2000 Server neste modo. O provisório do Windows Server 2003 interim se aplica aos seguintes cenários:

• Atualizações de domínio do Windows NT 4.0 para Windows Server 2003.
• Os BDCs do Windows NT 4.0 não são atualizados imediatamente.
• Domínios do Windows NT 4.0 que contêm grupos com mais de 5000 membros (exceto o grupo de usuários do domínio).
• Não existem planos para implementar os controladores de domínio do Windows Server 2000 na floresta a qualquer momento.

O provisório do Windows Server 2003 fornece dois aprimoramentos importantes e ainda permite replicação para os BCDs do Windows NT 4.0:

1. Duplicação eficiente dos grupos de segurança e suporte a mais de 5000 membros por grupo.
2. Algoritmos do gerador de topologia entre sites aprimorados KCC.

Devido às eficiências na replicação do grupo ativado, o nível provisório é recomendado para todas as atualizações do Windows NT 4.0. Consulte a seção "Práticas Recomendadas" deste artigo para obter mais detalhes.

Definindo o nível funcional de floresta do Windows Server 2003 interim

O provisório do Windows Server 2003 interim pode ser ativado de três formas diferentes. Os dois primeiros métodos são altamente recomendáveis. Isso ocorre porque os grupos de segurança usam replicação de valor vinculado (LVR) depois que o controlador de domínio primário (PCD) do Windows NT 4.0 for atualizado para o Windows Server 2003. A terceira opção é menos recomendada, pois a associação a grupos de segurança usam um atributo de valores múltiplos que pode resultar em problemas de replicação. As formas nas quais o provisório do Windows Server 2003 pode ser ativado são:

1. Durante a atualização.
   
   A opção é apresentada no assistente de instalação do Dcpromo quando você atualiza o PDC de um domínio do Windows NT 4.0 que serve como o primeiro controlador no domínio raiz de uma nova floresta.
2. Primeiro, atualize o PDC do Windows NT 4.0 como o primeiro controlador de um novo domínio em uma floresta existente configurando o nível funcional de floresta manualmente com as ferramentas do protocolo LDAP.
   
   Os domínios filhos herdam as configurações de funcionalidade de floresta para as quais são promovidos. Atualizar o PDC de um domínio do Windows NT 4.0 como filho em uma floresta existente do Windows Server 2003 no qual os níveis funcionais de floresta provisórios foram configurados usando o arquivo LDP.exe ou o arquivo Adsiedit.msc permite que os grupos de segurança usem a replicação de valor vinculada após a atualização de versão do sistema operacional.
3. Após a atualização com as ferramentas LDAP.
   
   Use as duas últimas opções ao ingressar em uma floresta existente do Windows Server 2003 durante a atualização. Este é um cenário comum no qual um domínio "caminho raiz" está na posição. O domínio atualizado é conectado como um filho da raiz vazia e herda a configuração de domínio da floresta.

Práticas recomendadas

A seção a seguir descreve as práticas recomendadas para aumentar os níveis funcionais. A seção é dividida em duas partes. "Tarefas de Preparação" descreve o trabalho que você deverá fazer antes do aumento e "Aumento de Caminhos Ideais" descreve as motivações e os métodos para obter cenários de aumento de nível diferentes.

Para descobrir controladores de domínio do Windows NT 4.0, execute estas etapas:

1. Abra Usuários e Computadores do Active Directory em qualquer controlador de domínio baseado no Windows Server 2003.
2. Siga estas etapas para conectar o controlador ao domínio apropriado:
   1. Clique com o botão direito no objeto de domínio atual e clique em Conectar-se ao domínio.
   2. Na caixa de diálogo Domínio, digite o nome DNS do domínio que você deseja conectar e clique em OK. Ou clique em Procurar para selecionar o domínio na árvore e clique em OK.
3. Clique com o botão direito no objeto do domínio e clique em Localizar.
4. Na caixa de diálogo Localizar, clique em Pesquisa Personalizada.
5. Clique no domínio para o qual você deseja alterar o nível funcional.
6. Clique na guia Avançado.
7. Na caixa de consulta Inserir LDAP, digite o seguinte texto (sem deixar espaços entre caracteres):

   (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

   Observação Esta consulta não diferencia maiúsculas de minúsculas.
8. Clique em Localizar.
   
   Será exibida uma lista dos computadores que estão executando o Windows NT 4.0 e funcionando como controladores no domínio.

Um controlador de domínio pode aparecer na lista por um dos seguintes motivos:

• O controlador de domínio está executando o Windows NT 4.0 e deve ser atualizado.
• O controlador de domínio é atualizado para o Windows Server 2003, mas a alteração não é duplicada para o controlador do domínio de destino.
• O controlador do domínio não está mais no serviço, mas o objeto de computador do controlador de domínio não é removido.

Antes de alterar o nível funcional de domínio para o Windows Server 2003, é necessário localizar fisicamente todos os controladores de domínio na lista, determinar o status atual do controlador e atualizar ou removê-lo conforme apropriado.

Observação Ao contrário dos controladores de domínio do Windows Server 2000, os controladores do Windows NT 4.0 não bloqueiam um aumento de nível. Quando você altera o nível funcional do domínio, a replicação para os controladores de domínio do Windows NT 4.0 será interrompida. No entanto, quando você tenta aumentar para o nível de floresta do Windows Server 2003 com domínios no Windows Server 2000, o nível misto é bloqueado. A falta de BDCs do Windows NT 4.0 é implícita ao atender os requisitos do nível de floresta de todos os domínios no nível nativo do Windows Server 2000 ou superior.

Exemplo: Tarefas de preparação antes do aumento de nível

Neste exemplo, o ambiente é aumentado do modo misto do Windows Server 2000 para o modo de floresta do Windows Server 2003.

Inventário da floresta para as versões anteriores dos controladores de domínio.
Se uma lista de servidores precisa não estiver disponível, siga estas etapas:

1. Para descobrir domínios de níveis mistos, controladores de domínio do Windows Server 2000 ou controladores de domínio com objetos danificados ou ausentes, use os domínios do Active Directory e o snap-in MMC de Relações de Confiança.
2. No snap-in, clique em Aumentar Funcionalidade de Floresta e em Salvar como para gerar um relatório detalhado.
3. Se nenhum problema for encontrado, a opção para aumentar o nível de floresta do Windows Server 2003 estará disponível na lista suspensa "Níveis Funcionais de Floresta Disponíveis". Quando você tenta aumentar o nível de floresta, os objetos do controlador de domínio nos contêineres de configuração são pesquisados para obter controladores que não possuem o msds-behavior-version definido para o nível de destino desejado. Eles são considerados controladores de domínio do Windows Server 2000 ou objetos mais recentes do controlador do Windows Server que estão danificados.
4. Se for encontrada uma versão anterior dos controladores de domínio ou controladores com objetos do comutador ausentes ou danificados, eles serão incluídos no relatório. O status desses controladores de domínio devem ser investigados e a representação do controlador no Active Directory deve ser reparada ou removida usando o arquivo Ntdsutil.

Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

Verifique se a replicação Extremidade-a-extremidade está funcionando na floresta

Para verificar se a replicação Extremidade-a-extremidade está funcionando na floresta, use o Windows Server 2003 ou uma versão mais recente do Repadmin nos controladores de domínio do Windows Server 2000 ou do Windows Server 2003:

• Repadmin/Replsum * /Sort:Delta[/Errorsonly] para o inventário inicial.
• Repadmin/Showrepl * /CSV>showrepl.csv. Importe para o Excel e use o Data->Autofilter para identificar os recursos de replicação.
  
  Use as ferramentas de replicação como Repadmin para verificar se a replicação de toda a floresta está funcionando corretamente.

Verifique a compatibilidade de todos os programas ou serviços com os novos controladores de domínio e os modos de floresta e de domínio mais altos do Windows Server. Use um ambiente de laboratório para testar programas de produção e serviços para problemas de compatibilidade. Entre em contato com os fornecedores para obter a confirmação da capacidade.

Prepare um plano de remoção de bases, incluindo uma das seguintes ações:

• Desconecte pelo menos dois controladores de cada domínio na floresta.
• Crie um backup de estado do sistema de pelo menos dois controladores de cada domínio na floresta.

Antes que o plano de remoção de bases possa ser usado, todos os controladores de domínio na floresta devem ser descomissionados antes do processo de recuperação.

Observação Os aumentos de nível não podem ser restaurados de forma autoritativa. Isso significa que todos os controladores de domínio que replicaram o aumento do nível devem ser descomissionados.

Depois que todos os controladores de domínio forem descomissionados, abra os os controladores desconectados ou restaure-os no backup. Remova os metadados dos demais controladores de domínio e, em seguida, promova-os novamente. Este é um processo difícil e deve ser evitado.

Exemplo: Como ir do nível misto do Windows Server 2000 para o nível de floresta do Windows Server 2003

Aumente todos os domínios para o nível nativo do Windows Server 2000. Depois de concluir, aumente o nível funcional do domínio de raiz de floresta para o nível de floresta do Windows Server 2003. Quando o nível de floresta replica os PDCs para cada domínio, o nível é aumentado automaticamente para o nível do Windows Server 2003. Esse método tem as seguintes vantagens:

• O aumento do nível de toda a floresta é executado apenas uma vez. Não é necessário aumentar cada domínio da floresta manualmente para o nível funcional do Windows Server 2003.
• É realizada uma verificação para controladores de domínio do Windows Server 2000 antes do aumento de nível (consulte as etapas de preparação). O aumento é bloqueado até que os controladores de domínio com problemas sejam removidos ou atualizados. A lista de bloqueio de controladores de domínio pode gerar um relatório detalhado contendo dados úteis.
• Uma verificação é executada no nível misto do Windows Server 2000 ou no nível provisório do Windows Server 2003. O aumento é bloqueado até que os níveis de domínio sejam aumentados para o nativo do Windows Server 2000. Os domínios de nível provisórios devem ser aumentados para o nível do Windows Server 2003. Um relatório detalhado pode ser gerado ao listar os domínios de bloqueio.

Atualizações do Windows NT 4.0

As atualizações do Windows NT 4.0 sempre usam nível provisório durante a atualização do PDC, a menos que os controladores de domínio do Windows Server 2000 tenham sido introduzidos na floresta em que o PDC foi atualizado. Quando o modo provisório é usado durante a atualização do PDC, os grupos grandes existentes usam a replicação LVR imediatamente, evitando os problemas de replicação potenciais que já foram discutidos neste artigo. Para obter o nível provisório durante a atualização, use um dos seguintes métodos:

• Selecione o nível provisório durante o Dcpromo. Esta opção só é apresentada quando o PDC for atualizado em uma nova floresta.
• Defina o nível de floresta para provisório e ingresse na floresta com a atualização do PDC. O domínio atualizado herda a configuração da floresta.
• Depois que todos os BDCs do Windows NT 4.0 forem atualizados ou removidos, cada domínio deverá ser transferido para o nível de floresta e poderá ser transferido para o modo de floresta do Windows Server 2003.

Uma razão para evitar o modo provisório é se houver planos para implementar o domínio dos controladores do Windows Server 2000 após a atualização ou a qualquer momento no futuro.

Consideração especial para grupos grandes no Windows NT 4.0

Em domínios mais antigos do Windows NT 4.0, pode haver grupos de segurança com muito mais que 5000 membros. No Windows NT 4.0, quando o membro de um grupo de segurança é alterado, apenas a alteração de associação é replicada nos controladores de domínio de backup. No Windows Server 2000, as associações de grupos são atributos vinculados armazenados em um atributo de valores múltiplos do objeto do grupo. Quando uma alteração é feita na associação de um grupo, todo o grupo é replicado como uma única unidade. Como a associação do grupo é replicada como uma única unidade, há a possibilidade de que suas atualizações sejam "perdidas" quando diferentes membros forem adicionados ou removidos ao mesmo tempo em controladores de domínio diferentes. Além disso, o tamanho deste objeto pode ser maior que o buffer usado para confirmar uma entrada no banco de dados. Para obter mais informações, consulte a seção "Problemas de armazenamento de versão com grupos grandes" deste artigo. Por esses motivos, o limite recomendados para membros do grupo é 5000.

A exceção da regra de 5000 membros é o grupo primário (por padrão, o grupo "Usuários do Domínio"). O grupo primário usa um mecanismo"computado" com base na "primarygroupID" do usuário para determinar a associação. O grupo primário não armazena membros como atributos vinculados de valores múltiplos. Se o grupo primário do usuário for alterado para grupo personalizado, sua associação a Usuários do Domínio será gravada no atributo vinculado para o grupo e não será mais calculada. O novo grupo primário Rid será gravado na "primarygroupID" e o usuário será removido do atributo de membro do grupo.

Se o administrador não selecionar o nível provisório para o domínio de atualização, siga estas etapas antes de atualizar:

1. Insira todos os grupos grandes no inventário e identifique os grupos com mais de 5000 (exceto o grupo de usuários do domínio).
2. Todos os grupos com mais de 5000 membros devem ser divididos em grupos menores.
3. Localize todas as Listas de Controle de Acesso nas quais os grupos grandes foram inseridos e adicione os grupos pequenos criados na etapa 2.

O nível de floresta provisório do Windows Server 2003 ajuda os administradores a descobrir e realocar grupos de segurança globais com mais de 5000 membros.

Armazenamento da versão versus armazenamento com grupos grandes

Durante operações de longa execução, como pesquisas ou confirmações de um atributo grande, o Active Directory deve verificar se o estado do banco de dados está estático até que a operação seja concluída. Um exemplo de pesquisas ou confirmações de atributos grandes é de um grupo grande que usa armazenamento herdado.

Como as atualizações do banco de dados ocorrem localmente e nos parceiros de replicação, o Active Directory fornece um estado estático ao enfileirar todas as alterações de entrada até que a operação de longa execução seja concluída. Assim que a operação for concluída, as alterações enfileiradas serão aplicadas ao banco de dados.

O local de armazenamento dessas alterações é referido como "armazenamento da versão" e tem aproximadamente 100 MB. O tamanho do armazenamento da versão é baseado na memória física e pode variar. Se uma operação de longa execução não for concluída antes que o armazenamento da versão seja esgotado, o controlador do domínio não aceitará receber mais atualizações até que a operação e as alterações enfileiradas sejam confirmadas. Grupos grandes (com mais de 5000 membros) põem o controlador de domínio em risco de esgotar o armazenamento da versão quando o grupo for confirmado.

O Windows Server 2003 apresenta um novo mecanismo de replicação para atributos com valores múltiplos vinculados denominado LVR (Replicação de Valor Vinculado). Em vez de replicar o grupo inteiro em uma única operação, o LVR corrige esse problema replicando cada membro do grupo como uma operação de replicação separada. O LVR é disponibilizado quando o nível funcional de floresta é aumentado para o nível de floresta ou provisório do Windows Server 2003. No nível funcional, o LVR é usado para replicar grupos em controladores de domínio do Windows Server 2003.