Compartilhar via


Atualizar controladores de domínio para o Windows Server 2012 R2 e o Windows Server 2012

Este artigo fornece informações básicas sobre os Active Directory Domain Services no Windows Server 2012 R2 e no Windows Server 2012 e explica o processo de atualização de controladores de domínio do Windows Server 2008 ou Windows Server 2008 R2.

Etapas de atualização do controlador de domínio

A maneira recomendada de atualizar um domínio é promover controladores de domínio que executam versões mais recentes do Windows Server e rebaixam controladores de domínio anteriores conforme necessário. Esse método é preferível para atualizar o sistema operacional de um controlador de domínio existente. Essa lista aborda etapas gerais a seguir antes de promover um controlador de domínio que executa uma versão mais recente do Windows Server:

  1. Verifique se o servidor de destino atende aos requisitos de sistema.

  2. Verifique a compatibilidade do aplicativo.

  3. Verifique as configurações de segurança. Para obter mais informações, consulte Recursos preteridos e alterações de comportamento relacionadas ao AD DS no Windows Server 2012 e no Secure default settings in Windows Server 2008 e no Windows Server 2008 R2.

  4. Verifique a conectividade com o servidor de destino a partir do computador em que você planeja executar a instalação.

  5. Verifique a disponibilidade das funções mestras de operações necessárias:

    • Para instalar o primeiro controlador de domínio que executa o Windows Server 2012 em um domínio e floresta existentes, o computador em que você executa a instalação precisa de conectividade com o esquema principal para executar adprep/forestprep e com a infraestrutura principal para executar adprep/domainprep.
    • Para instalar o primeiro controlador de domínio em um domínio onde o esquema de árvore já está estendido, é necessário apenas ter conectividade com o mestre de infraestrutura.
    • Para instalar ou remover um domínio em uma floresta existente, é necessário ter conectividade com o mestre de nomeação de domínio.
    • Qualquer instalação de controlador de domínio também requer conectividade com o mestre RID.
    • Caso esteja instalando o primeiro controlador de domínio somente leitura em uma floresta existente, será necessário ter conectividade com o mestre de infraestrutura para cada partição do diretório de aplicativos, também conhecida como um contexto de nomeação não relacionado a domínio ou NDNC.
  6. Certifique-se de fornecer as credenciais necessárias para executar a instalação do AD DS.

    Ação de instalação Requisitos de credenciais
    Instalar uma nova floresta Administrador local no servidor de destino
    Instalar um novo domínio em uma floresta existente Administrador corporativo
    Instalar um controlador de domínio adicional em um domínio existente Administradores do domínio
    Executar adprep/forestprep Administradores de esquema, administradores corporativos e administradores do domínio
    Executar adprep/domainprep Administradores do domínio
    Executar adprep/domainprep/gpprep Administradores do domínio
    Executar adprep/rodcprep Administrador corporativo

    Você pode delegar permissões de instalação do AD DS. Para obter mais informações, consulte as tarefas de gerenciamento de instalação.

Os links a seguir contêm instruções passo a passo para promover controladores de domínio (novos e réplicas) do Windows Server 2012 usando cmdlets do Windows PowerShell e o Gerenciador do Servidor:

Considerações do Windows Update

Antes do lançamento do Windows 8, o Windows Update gerenciava seu próprio cronograma interno para verificar, baixar e instalar atualizações. O Windows Update Agent precisava sempre ser executado em segundo plano, consumindo memória e recursos de outros sistemas.

O Windows 8 e Windows Server 2012 introduzem um novo recurso chamado manutenção automática. A Manutenção Automática consolida diversos recursos diferentes que antes eram usados para gerenciar suas próprias agendas e lógica de execução. Esta consolidação permite que todos esses componentes usem muito menos recursos do sistema, funcionem de maneira consistente, respeitem o novo estado Modo de espera conectado para novos tipos de dispositivo e consumam menos bateria em dispositivos portáteis.

Como o Windows Update faz parte da Manutenção Automática no Windows 8 e Windows Server 2012, sua própria agenda interna não é mais usada para definir o dia e a hora para instalar atualizações. Para ajudar a garantir um comportamento de reinicialização consistente e previsível para todos os computadores e dispositivos da sua empresa, incluindo aqueles com Windows 8 e Windows Server 2012, confira o artigo da Microsoft KB 2885694 (ou veja a distribuição cumulativa de outubro de 2013 2883201). Então defina as configurações de política conforme descrito na postagem de blog do WSUS Habilitando uma experiência de Windows Update mais previsível para Windows 8 e Windows Server 2012 (2885694 do KB).

O que há de novo no AD DS no Windows Server 2012 R2?

A tabela a seguir resume os novos recursos do AD DS no Windows Server 2012 R2, com um link para informações mais detalhadas (quando disponíveis). Para obter uma explicação mais detalhada de alguns recursos, incluindo seus requisitos, consulte Novidades no Active Directory no Windows Server 2012 R2.

Recurso Descrição
Ingresso no local Permite que os operadores de informações ingressem com seus dispositivos pessoais para acessar os recursos e serviços da empresa.
Proxy de aplicativo Web Oferece acesso ao aplicativo Web usando um novo serviço de função de Acesso Remoto.
Serviços de Federação do Active Directory (AD FS) O AD FS traz uma implantação simplificada e melhorias para permitir que os usuários acessem recursos com dispositivos pessoais e ajuda os departamentos de TI a gerenciar o controle de acesso.
Exclusividade de SPN e UPN Os controladores de domínio com Windows Server 2012 R2 bloqueiam a criação de SPNs (Nomes de entidade de serviço) e UPNs (Nomes de entidade de usuário) duplicados.
ARSO (Logon de Reinicialização Automática) do Winlogon Habilita a reinicialização de aplicativos que bloqueiam a tela, também disponível para dispositivos com Windows 8.1.
Atestado de chave de TPM Habilita as CAs a atestarem criptograficamente um certificado emitido indicando que a chave privada do solicitante do certificado é de fato protegida por um TPM (Trusted Platform Module).
Proteção e gerenciamento de credenciais Nova proteção de credenciais e controles de autenticação de domínio para reduzir o risco de roubo de credenciais.
Substituição do FRS (Serviço de Replicação de Arquivos) O nível funcional de domínio do Windows Server 2003 também foi preterido pois, no nível funcional, o FRS é usado para replicar o SYSVOL. Isso significa que, ao criar um novo domínio em um servidor que executa o Windows Server 2012 R2, o nível do domínio funcional deve ser do Windows Server 2008 ou mais recente. Você ainda poderá adicionar um controlador de domínio que executa o Windows Server 2012 R2 a um domínio existente que tem um nível funcional de domínio do Windows Server 2003. Você simplesmente não pode criar um domínio nesse nível.
Novos níveis funcionais de domínio e de floresta Existem novos níveis funcionais no Windows Server 2012 R2. Novos recursos estão disponíveis no Windows Server 2012 R2 DFL.
Alterações do otimizador de consultas LDAP Melhoria no desempenho da eficiência de pesquisa LDAP e tempo de pesquisa LDAP de consultas complexas.
Melhorias no evento 1644 As estatísticas de resultado de pesquisa LDAP foram adicionadas ao ID do evento 1644 para auxiliar na solução de problemas.
Melhoria da taxa de transferência de replicação do Active Directory Ajustes da produtividade de replicação máxima de AD de 40 Mbps para cerca de 600 Mbps

O que há de novo no AD DS no Windows Server 2012?

A tabela a seguir resume os novos recursos do AD DS no Windows Server 2012, com um link para informações mais detalhadas (quando disponíveis). Para obter uma explicação mais detalhada de alguns recursos, incluindo seus requisitos, confira Novidades nos Serviços de Domínio do Active Directory (AD DS).

Recurso Descrição
AD BA (ativação baseada no Active Directory); consulte Visão Geral de Ativação de Volume Simplifica a tarefa de configuração de distribuição e gerenciamento de licenças de software por volume.
Serviços de Federação do Active Directory (AD FS) Adiciona instalação de funções pelo Gerenciador do Servidor, configuração de confiança simplificada, gerenciamento de confiança automático, suporte ao protocolo SAML e muito mais.
Eventos de liberação de páginas perdidas do Active Directory O evento ISAM NTDS 530 com erro de jet -1119 é registrado para detectar eventos de liberação de páginas perdidas em bancos de dados do Active Directory.
Interface do usuário da Lixeira do Active Directory O ADAC (Centro Administrativo do Active Directory) adiciona gerenciamento de GUI do recurso de lixeira introduzido originalmente no Windows Server 2008 R2.
Cmdlets do Windows PowerShell de replicação e topologia do Active Directory Suporte à criação e ao gerenciamento de sites do Active Directory, links de sites, objetos de conexão e muito mais usando o Windows PowerShell.
Controle de Acesso Dinâmico Nova plataforma de autorização baseada em declaração que melhora o antigo modelo de controle de acesso.
Interface do usuário da Política de Senha Refinada O ADAC adiciona suporte a GUI para criação, edição e atribuição de PSOs originalmente adicionados no Windows Server 2008.
gMSA (Contas de Serviço Gerenciado de Grupo) Um novo tipo de entidade de segurança, conhecido como uma gMSA. Os serviços em execução em vários hosts podem ser executados sob a mesma conta gMSA.
Ingresso no Domínio Offline do DirectAccess Amplia o ingresso em domínio offline ao incluir pré-requisitos do DirectAccess.
Implantação rápida por meio da clonagem de controlador de domínio virtual Os controladores de domínio virtualizados podem ser implantados rapidamente pela clonagem dos controladores de domínio virtuais existentes usando cmdlets do Windows PowerShell.
Alterações no pool RID Adiciona novos eventos de monitoramento e cotas para impedir o consumo excessivo do pool RID global. Como opção, dobra o tamanho do pool RID global caso o pool original se esgote.
Serviço de tempo de segurança Melhora a segurança de W32tm ao remover segredos da transmissão, remover as funções de hash MD5 e exigir a autenticação do servidor com clientes de tempo do Windows 8
Proteção contra reversão de USN para controladores de domínio virtualizados A restauração acidental de backups de instantâneos de controladores de domínio virtualizados não leva mais à reversão de USN.
Visualizador de Histórico do Windows PowerShell Permite que os administradores exibam os comandos do Windows PowerShell executados ao usar o ADAC.

Manutenção e alterações automáticas no comportamento de reinicialização são aplicadas pelo Windows Update

Antes do lançamento do Windows 8, o Windows Update gerenciava seu próprio cronograma interno para verificar, baixar e instalar atualizações. O Windows Update Agent precisava sempre ser executado em segundo plano, consumindo memória e recursos de outros sistemas.

O Windows 8 e Windows Server 2012 introduzem um novo recurso chamado manutenção automática. A Manutenção Automática consolida diversos recursos diferentes que antes eram usados para gerenciar suas próprias agendas e lógica de execução. Esta consolidação permite que todos esses componentes usem muito menos recursos do sistema, funcionem de maneira consistente, respeitem o novo estado Connected Standby (Modo de espera conectado) para novos tipos de dispositivo e consumam menos bateria em dispositivos portáteis.

Como o Windows Update faz parte da Manutenção Automática no Windows 8 e Windows Server 2012, sua própria agenda interna não é mais usada para definir o dia e a hora para instalar atualizações. Para ajudar a garantir um comportamento de reinicialização consistente e previsível para todos os computadores e dispositivos da sua empresa, incluindo aqueles com Windows 8 e Windows Server 2012, defina as seguintes configurações de Política de Grupo:

  • Configuração do Computador|Políticas|Modelos Administrativos|Componentes do Windows|Windows Update|Configurar Atualizações Automáticas
  • Configuração do Computador|Políticas|Modelos Administrativos|Componentes do Windows|Windows Update|Não reinicializar automaticamente com usuários logados
  • Configuração do Computador|Políticas|Modelos Administrativos|Componentes do Windows|Agendador de Manutenção|Atraso aleatório na manutenção

A tabela a seguir lista alguns exemplos de como definir essas configurações para obter o comportamento de reinicialização desejado.

Cenário Configurações recomendadas
Gerenciado pelo WSUS

– Instalar atualizações uma vez por semana
– Reinicializar às sextas-feiras às 23h

Configurar as máquinas para instalação automática, impedir a reinicialização automática até a hora desejada

Política: Configurar as atualizações automáticas (Habilitado)

Configurar as atualizações automáticas: 4 – Baixar automaticamente e agendar a instalação

Política: não reinicializar automaticamente com usuários conectados (Desabilitado)

Datas limites de WSUS: definido para sextas-feitas às 23h

Gerenciado pelo WSUS

– Equilibrar as instalações entre diferentes dias e horas

Definir grupos de destino para diferentes grupos de máquinas que devem ser atualizados em conjunto

Usar as etapas acima para o cenário anterior

Definir datas limites diferentes para grupos de destino diferentes

Não gerenciado pelo WSUS – sem suporte a datas limites

– Equilibrar as instalações entre diferentes momentos

Política: Configurar as atualizações automáticas (Habilitado)

Configurar as atualizações automáticas: 4 – Baixar automaticamente e agendar a instalação

Chave do Registro: Habilitar a chave do Registro discutida no artigo da Base de Dados de Conhecimento da Microsoft 2835627

Política: Atraso aleatório na manutenção automática (Habilitado)

Defina Atraso aleatório na manutenção regular de PT6H para atraso aleatório de seis horas para obter o seguinte comportamento:

– As atualizações serão instaladas no tempo de manutenção configurado mais um atraso aleatório

– A reinicialização de cada computador ocorrerá exatamente três dias depois

Como alternativa, defina um horário de manutenção diferente para cada grupo de máquinas

Para obter mais informações sobre por que a equipe de engenharia do Windows implementou essas alterações, confira Como reduzir suas chances de ser solicitado a reiniciar o computador.

Alterações na instalação da função de servidor AD DS

Do Windows Server 2003 ao Windows Server 2008 R2, era necessário executar a versão x86 ou X64 da ferramenta de linha de comando Adprep.exe antes de executar o Assistente de Instalação do Active Directory, Dcpromo.exe. Além disso, Dcpromo.exe possuía variantes opcionais para instalação a partir de uma mídia ou instalação autônoma.

A partir do Windows Server 2012, as instalações por linha de comando são realizadas usando o Módulo ADDSDeployment no Windows PowerShell. As promoções baseadas em GUI são executadas no Gerenciador do Servidor usando um Assistente de Configuração do AD DS completamente novo. Para simplificar o processo de instalação o, ADPREP foi integrado à instalação do AD DS e é executado automaticamente quando necessário. O Assistente de configuração do AD DS baseado no Windows PowerShell é direcionado automaticamente às funções mestras de esquema e infraestrutura nos domínios em que os controladores de domínio estão sendo adicionados. Em seguida, ele executa remotamente os comandos necessários do ADPREP nos controladores de domínio relevantes.

As verificações de pré-requisitos no Assistente de Instalação do AD DS identificam erros potenciais antes do início da instalação. As condições de erro podem ser corrigidas para eliminar problemas de uma atualização parcialmente concluída. O assistente também exporta um script do Windows PowerShell contendo todas as opções que foram especificadas durante a instalação gráfica.

Consideradas em conjunto, as alterações de instalação do AD DS simplificam o processo de instalação de funções de controlador de domínio e reduzem a probabilidade de erros administrativos, especialmente quando ocorre a implantação de vários controladores de domínio em regiões e domínios globais. Para obter informações mais detalhadas sobre instalações baseadas em Windows PowerShell e GUI, incluindo sintaxe de linha de comando e instruções passo a passo do assistente, consulte Instalar os Serviços de Domínio do Active Directory. Para administradores que desejam controlar a introdução de alterações de esquema em uma floresta do Active Directory independentemente da instalação de controladores de domínio do Windows Server 2012 em uma floresta existente, os comandos do Adprep.exe ainda podem ser executados em um prompt de comando elevado.

Recursos preteridos e alterações de comportamento relacionadas ao AD DS no Windows Server 2012

Há algumas alterações relacionadas ao AD DS:

  • Adprep32.exe preterido
    • Há apenas uma versão do Adprep.exe, que pode ser executada quando necessário em servidores de 64 bits que executam o Windows Server 2008 ou mais recente. Ela pode ser executada remotamente, e isso deve ser feito quando uma função mestra de operações direcionada é hospedada em um sistema operacional de 32 bits ou no Windows Server 2003.
  • Dcpromo.exe preterido
    • O Dcpromo foi preterido, embora ele ainda possa ser executado somente no Windows Server 2012 com um arquivo de resposta ou parâmetros de linha de comando para proporcionar às organizações tempo para implementar as novas opções de instalação do Windows PowerShell nos recursos de automação existentes.
  • LMHash desabilitado em contas de usuário

A partir do Windows Server 2008, os controladores de domínio também possuem as seguintes configurações padrão de segurança em comparação com controladores de domínio que executam o Windows Server 2003 ou Windows 2000:

Tipo ou política de criptografia Padrão do Windows Server 2008 Padrão do Windows Server 2012 e Windows Server 2008 R2 Comentário
AllowNT4Crypto Desabilitado Desabilitado Os clientes do protocolo SMB podem ser incompatíveis com as configurações padrão seguras em controladores de domínio. Em todos os casos, essas configurações podem ser reduzidas a fim de permitir a interoperabilidade (porém, em detrimento da segurança). Para obter mais informações, confira Desabilitar a configuração AllowNT4Crypto em todos os controladores de domínio afetados na Base de Dados de Conhecimento Microsoft (/services-hub/unified/health/remediation-steps-ad/disable-the-allownt4crypto-setting-on-all-affected-domain-controllers).
DES habilitado Desabilitado Artigo 977321 na Base de Dados de Conhecimento Microsoft (https://go.microsoft.com/fwlink/?LinkId=177717)
Proteção CBT/estendida para autenticação integrada N/D habilitado Confira Microsoft Security Advisory (937811) (https://go.microsoft.com/fwlink/?LinkId=164559) e artigo 976918 na Base de Dados de Conhecimento Microsoft (https://go.microsoft.com/fwlink/?LinkId=178251).

Examine e instale o hotfix em Instalar Service Packs e Hotfixes – Cliente Windows (/troubleshoot/windows-client/deployment/install-service-packs-hotfixes) na Base de Dados de Conhecimento Microsoft, conforme a necessidade.

LMv2 habilitado Desabilitado Artigo 976918 na Base de Dados de Conhecimento Microsoft (https://go.microsoft.com/fwlink/?LinkId=178251)

Requisitos do sistema operacional

A tabela a seguir mostra os requisitos mínimos de sistema do Windows Server 2012. Para obter mais informações sobre requisitos de sistema e informações de pré-instalação, consulte Instalando o Windows Server 2012. Não há requisitos de sistema adicionais para instalação de uma nova floresta do Active Directory, mas você deve adicionar memória suficiente para armazenar em cache o conteúdo do banco de dados do Active Directory, de modo a melhorar o desempenho de controladores de domínio, solicitações de cliente LDAP e aplicativos habilitados pelo Active Directory. Se estiver atualizando um controlador de domínio existente ou adicionando um novo controlador de domínio a uma floresta existente, examine a próxima seção para verificar se o servidor cumpre com os requisitos de espaço em disco.

Requisito Valor
Processador Processador de 1,4 Ghz e 64 bits
RAM 512 MB
Requisitos de espaço livre no disco 32 GB
Resolução da tela 800 x 600 ou mais
Diversos Unidade de DVD, teclado, acesso à Internet

Requisitos de espaço em disco para atualizar controladores de domínio

Esta seção aborda os requisitos de espaço em disco apenas para atualizar controladores de domínio do Windows Server 2008 ou do Windows Server 2008 R2. Para saber mais sobre os requisitos de espaço em disco para atualização de controladores de domínio em versões anteriores do Windows Server, consulte Requisitos de espaço em disco para atualizar para o Windows Server 2008 ou Requisitos de espaço em disco para atualizar para o Windows Server 2008 R2.

Forneça espaço no disco que hospeda o banco de dados do Active Directory e os arquivos de log para permitir o armazenamento das extensões de esquema orientadas a aplicativos e personalizadas, índices iniciados por administradores e aplicativos e objetos/atributos que serão adicionados ao diretório durante o tempo de implantação do controlador de domínio (normalmente de cinco a oito anos). O dimensionamento correto no momento da implantação costuma ser um bom investimento quando comparado aos grandes custos gerados para expandir o armazenamento em disco após a implantação. Para obter mais informações, consulte Planejamento de capacidade para os Serviços de Domínio do Active Directory.

Em controladores de domínio que serão atualizados, antes de começar a atualização do sistema operacional, verifique se a unidade que hospeda o banco de dados Active Directory (NTDS.DIT) possui espaço livre em disco que represente pelo menos 20% do arquivo NTDS.NIT. Se não houver espaço livre em disco suficiente no volume, poderá ocorrer falha na atualização e o relatório de compatibilidade de atualização retornará um erro indicando que não há espaço livre suficiente no disco:

Nesse caso, você poderá tentar uma desfragmentação offline do banco de dados Active Directory para recuperar espaço e então tentar novamente a atualização. Para saber mais, consulte Compactar o arquivo de banco de dados de diretório (desfragmentação offline).

SKUs disponíveis

Existem quatro edições do Windows Server: Foundation, Essentials, Standard e Datacenter. As duas edições com suporte à função do AD DS são Standard e Datacenter.

Nas versões anteriores, as edições do Windows Server eram diferentes em relação ao suporte a funções de servidor, número de processadores e suporte a uma grande quantidade de memória. As edições Standard e Datacenter do Windows Server dão suporte a todos os recursos e hardware subjacentes, mas variam com relação aos direitos de virtualização: na edição Standard, são permitidas duas instâncias virtuais; já a edição Datacenter dá suporte a um número ilimitado de instâncias virtuais.

Sistemas operacionais Windows Client e Windows Server dão suporte ao ingresso em domínios do Windows Server

Os sistemas operacionais Windows Client e Windows Server a seguir contam com suporte a computadores membros de domínios com controladores de domínios que executam o Windows Server 2012 ou mais recente:

  • Sistemas operacionais do servidor: Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 R2 e Windows Server 2003

Caminhos de atualização in-loco com suporte

Os controladores de domínio que executam versões de 64 bits do Windows Server 2008 ou do Windows Server 2008 R2 podem ser atualizados para o Windows Server 2012. Não é possível atualizar controladores de domínio que executam o Windows Server 2003 ou versões 32 bits do Windows Server 2008. Para substituí-los, instale controladores de domínio que executam uma versão mais recente do Windows Server no domínio e, então, remova os controladores de domínio com Windows Server 2003.

Se você estiver executando essas edições É possível atualizar para estas edições
Windows Server 2008 Standard com SP2

OU

Windows Server 2008 Enterprise com SP2

Windows Server 2012 Standard

OU

Windows Server 2012 Datacenter

Windows Server 2008 Datacenter com SP2 Windows Server 2012 Datacenter
Windows Web Server 2008 Windows Server 2012 Standard
Windows Server 2008 R2 Standard com SP1

OU

Windows Server 2008 R2 Enterprise com SP1

Windows Server 2012 Standard

OU

Windows Server 2012 Datacenter

Windows Server 2008 R2 Datacenter com SP1 Windows Server 2012 Datacenter
Windows Web Server 2008 R2 Windows Server 2012 Standard

Para obter mais informações sobre caminhos de atualização com suporte, consulte Versões de avaliação e opções de atualização para o Windows Server 2012. Observação: não é possível converter um controlador de domínio que executa uma versão de avaliação do Windows Server 2012 diretamente em um versão comercial. Em vez disso, instale um controlador de domínio adicional em um servidor que execute uma versão de avaliação e remova o AD DS do controlador de domínio executado na versão de avaliação.

Devido a um problema conhecido, não é possível atualizar um controlador de domínio que executa uma instalação Server Core do Windows Server 2008 R2 para uma instalação Server Core do Windows Server 2012. A atualização parará em uma tela totalmente preta no fim do processo de atualização. A reinicialização desses controladores de domínio expõe uma opção no arquivo boot.ini para reverter para a versão anterior do sistema operacional. Uma reinicialização adicionai aciona uma reversão automática para a versão anterior do sistema operacional. Até que haja uma solução disponível, recomenda-se que você instale um novo controlador de domínio que execute uma instalação Server Core do Windows Server 2012 em vez de fazer uma atualização in-loco de um controlador de domínio existente que executa uma instalação Server Core do Windows Server 2008 R2. Para obter mais informações, consulte o artigo da base de dados de conhecimento 2734222.

Recursos e requisitos em nível funcional

O Windows Server 2012 exige um nível funcional de floresta do Windows Server 2003. Ou seja, para que você possa adicionar um controlador de domínio executando o Windows Server 2012 a uma floresta Active Directory existente, o nível funcional de floresta deverá ser Windows Server 2003 ou mais recente. Isso significa que o controlador de domínio que executa o Windows Server 2008 R2, Windows Server 2008 ou Windows Server 2003 pode operar na mesma floresta, mas os controladores de domínio que executam o Windows 2000 Server não contam com suporte e bloquearão a instalação de um controlador de domínio que executa o Windows Server 2012. Caso a floresta contenha controladores de domínio que executam o Windows Server 2003 ou posterior, mas o nível funcional da floresta ainda seja Windows 2000, a instalação também será bloqueada.

Os controladores de domínio do Windows 2000 devem ser removidos antes da adição de controladores de domínio do Windows Server 2012 à floresta. Neste caso, considere o seguinte fluxo de trabalho:

  1. Instale controladores de domínio que executam o Windows Server 2003 ou posterior. Esses controladores de domínio podem ser implantados em uma versão de avaliação do Windows Server. Esta etapa também requer executar o adprep.exe para a versão do sistema operacional como um pré-requisito.
  2. Remova os controladores de domínio do Windows 2000. Especificamente, realize o rebaixamento normal ou a remoção forçada dos controladores de domínio do Windows Server 2000 do domínio e dos usuários e computadores do Active Directory utilizados para remover as contas de todos os controladores de domínio removidos.
  3. Eleve o nível funcional da floresta para Windows Server 2003 ou superior.
  4. Instale controladores de domínio que executem o Windows Server 2012.
  5. Remova controladores de domínio que executam versões anteriores do Windows Server.

O novo nível funcional de domínio do Windows Server 2012 habilita um novo recurso: o suporte ao KDC para declarações, autenticação composta e proteção Kerberos e a política de modelo administrativo KDC tem duas configurações (Sempre fornecer declarações e Reprovar solicitações de autenticação desprotegidas) que exigem o nível funcional de domínio do Windows Server 2012.

O nível funcional de floresta do Windows Server 2012 não fornece novos recursos, mas garante que todo domínio criado na floresta opere automaticamente no nível funcional de domínio do Windows Server 2012. O nível funcional de domínio do Windows Server 2012 não fornece outros novos recursos além do suporte do KDC para declarações, autenticação composta e proteção Kerberos. Porém, ele assegura que qualquer controlador de domínio do domínio execute o Windows Server 2012. Para obter mais informações sobre outros recursos que estão disponíveis em diferentes níveis funcionais, consulte Noções básicas sobre níveis funcionais dos AD DS (Serviços de Domínio do Active Directory).

Após a definição do nível funcional de floresta com um determinado valor, não é possível reverter ou diminuir um nível funcional de floresta, mas há exceções: depois de aumentar o nível funcional de floresta para o Windows Server 2012, você poderá reduzi-lo para Windows Server 2008 R2. Se a Lixeira do Active Directory não tiver sido habilitada, você também poderá reduzir o nível funcional da floresta do Windows Server 2012 para Windows Server 2008 R2 ou Windows Server 2008 ou do Windows Server 2008 R2 de volta para o Windows Server 2008 . Se o nível funcional de floresta estiver definido como Windows Server 2008 R2, não será possível revertê-lo; por exemplo, para o Windows Server 2003.

Após a definição do nível funcional de domínio com um determinado valor, não será possível reverter ou diminuir o nível funcional de domínio, mas há exceções: quando você aumenta o nível funcional de domínio para Windows Server 2008 R2 ou Windows Server 2012, se o nível funcional de floresta for Windows Server 2008 ou inferior, você poderá reverter o nível funcional de domínio para Windows Server 2008 ou Windows Server 2008 R2. Você pode reduzir o nível funcional do domínio somente de Windows Server 2012 para Windows Server 2008 R2 ou Windows Server 2008 ou de Windows Server 2008 R2 para Windows Server 2008. Se o nível funcional de domínio estiver definido como Windows Server 2008 R2, não será possível revertê-lo; por exemplo, para Windows Server 2003.

Para saber mais sobre os recursos disponíveis em níveis funcionais inferiores, consulte Compreendendo os níveis funcionais AD DS (Serviços de Domínio do Active Directory).

Além dos níveis funcionais, um controlador de domínio com o Windows Server 2012 em execução fornece outros recursos que não estão disponíveis em um controlador de domínio executando uma versão anterior do Windows Server. Por exemplo, um controlador de domínio que executa o Windows Server 2012 pode ser usado para a clonagem de controlador de domínio virtual, mas isso não é possível em um controlador de domínio que execute uma versão anterior do Windows Server. Entretanto, a clonagem e as garantias de controlador de domínio virtual no Windows Server 2012 não apresentam nenhum requisito de nível funcional.

Observação

A floresta do Microsoft Exchange Server 2013 deve ter nível funcional Windows Server 2003 ou superior.

Interoperabilidade do AD DS com outras funções de servidor e sistemas operacionais Windows

O AD DS não é compatível com os seguintes sistemas operacionais Windows:

  • Windows MultiPoint Server
  • Windows Server 2012 Essentials

O AD DS não pode ser instalado em um servidor que também executa as seguintes funções de servidor ou serviços de função:

  • Hyper-V Server
  • Agente de Conexão de Área de Trabalho Remota

Funções de mestre de operações

Alguns novos recursos do Windows Server 2012 afetam as funções principais de operações:

  • O Windows Server 2012 deve estar em execução no emulador PDC para que seja possível dar suporte à clonagem de controladores de domínio virtuais. Há mais pré-requisitos para clonagem de DCs. Para saber mais, consulte Virtualização do AD DS (Serviços de Domínio do Active Directory).
  • Novas entidades de segurança são criadas quando o emulador PDC executa o Windows Server 2012.
  • O Mestre RID contém a nova funcionalidade de emissão e monitoramento de RID. Os aprimoramentos incluem melhorias no registro de log de evento, limites mais adequados e a capacidade de, em uma emergência, aumentar a alocação global do pool de RID em um bit. Para saber mais, consulte Gerenciando a emissão de RID.

Observação

Embora não sendo funções de mestre de operações, outra mudança na instalação do AD DS é que a função de servidor DNS e o catálogo global são instalados, por padrão, em todos os controladores de domínio que executam o Windows Server 2012.

Virtualizando controladores de domínio

Os aprimoramentos do AD DS introduzidos no Windows Server 2012 proporcionam virtualização mais segura de controladores de domínio e a capacidade de cloná-los. A clonagem de controladores de domínio, por sua vez, permite a rápida implantação de mais controladores de domínio em um novo domínio, além de outros benefícios. Para saber mais, consulte Introdução à virtualização do AD DS (Serviços de Domínio Active Directory) (Nível 100).

Administração de servidores Windows Server 2012

Use as Ferramentas de Administração de Servidor Remoto para Windows 8 para gerenciar controladores de domínio e outros servidores que executam o Windows Server 2012. Você pode executar as ferramentas de administração de servidor remoto Windows Server 2012 em um computador que executa Windows 8.

Compatibilidade de aplicativos

A tabela a seguir mostra aplicativos da Microsoft comuns integrados ao Active Directory. A tabela abrange as versões do Windows Server nas quais os aplicativos podem ser instalados e informa se a introdução de controladores de domínio do Windows Server 2012 afeta a compatibilidade dos aplicativos.

Product Observações
Microsoft SharePoint 2010 O SharePoint 2010 Service Pack 2 é obrigatório para a instalação e operação
do SharePoint 2010 em servidores com Windows Server 2012

O SharePoint 2010 Foundation Service Pack 2 é obrigatório para a instalação e operação do SharePoint 2010 Foundation em servidores com Windows Server 2012

O processo de instalação do SharePoint Server 2010 (sem Service Packs) apresenta uma falha no Windows Server 2012

O instalador de pré-requisitos do SharePoint Server 2010 (PrerequisiteInstaller.exe) falha com o erro "Este programa tem problemas de compatibilidade". Um clique em "Executar o programa sem obter ajuda" exibe o erro "Verificar se o SharePoint pode ser instalado | O SharePoint Server 2010 (sem service packs) não pode ser instalado no Windows Server 2012".

Microsoft SharePoint 2013 Requisitos mínimos para um servidor de banco de dados em um farm

A edição de 64 bits do Windows Server 2008 R2 Service Pack 1 (SP1) Standard, Enterprise ou Datacenter ou edição de 64 bits do Windows Server 2012 Standard ou Datacenter

Requisitos mínimos para um servidor único com banco de dados interno:

A edição de 64 bits do Windows Server 2008 R2 Service Pack 1 (SP1) Standard, Enterprise ou Datacenter ou edição de 64 bits do Windows Server 2012 Standard ou Datacenter

Requisitos mínimos para servidores Web front-end e servidores de aplicativos em um farm:

A edição de 64 bits do Windows Server 2008 R2 Service Pack 1 (SP1) Standard, Enterprise ou Datacenter ou edição de 64 bits do Windows Server 2012 Standard ou Datacenter.

Configuration Manager 2012 Configuration Manager 2012 Service Pack 1:

A Microsoft adicionará os seguintes sistemas operacionais à matriz de suporte a clientes com o lançamento do Service Pack 1:

– Windows 8 Pro
– O Windows 8 Enterprise
– Windows Server 2012 Standard
– Windows Server 2012 Datacenter

Todas as funções de servidor (incluindo servidores de sites, provedores de SMS e pontos de gerenciamento) podem ser implantadas nos servidores com as seguintes edições do sistema operacional:

– Windows Server 2012 Standard
– Windows Server 2012 Datacenter

Microsoft Endpoint Configuration Manager (branch atual) Sistemas operacionais compatíveis com servidores do sistema de site do Configuration Manager.
Microsoft Lync Server 2013 O Lync Server 2013 requer Windows Server 2008 R2 ou Windows Server 2012. Ele não pode ser executado em uma instalação Server Core. Ele pode ser executado em servidores virtuais.
Lync Server 2010 O Lync Server 2010 poderá ser instalado em uma instalação nova (não atualizada) do Windows Server 2012 caso as atualizações cumulativas do Lync Server de outubro de 2012 sejam instaladas. Não há suporte à atualização do sistema operacional para Windows Server 2012 a fim de contemplar uma instalação existente do Lync Server 2010. Também não há suporte ao Servidor de Chat de Grupo do Microsoft Lync Server 2010 no Windows Server 2012.
System Center 2012 Endpoint Protection O System Center 2012 Endpoint Protection Service Pack 1 atualizará a matriz de suporte a clientes para incluir os seguintes sistemas operacionais

– Windows 8 Pro
– O Windows 8 Enterprise
– Windows Server 2012 Standard
– Windows Server 2012 Datacenter

System Center 2012 Forefront Endpoint Protection O FEP 2010 com Pacote Cumulativo de Atualizações 1 atualizará a matriz de suporte a clientes para incluir os seguintes sistemas operacionais:

– Windows 8 Pro
– O Windows 8 Enterprise
– Windows Server 2012 Standard
– Windows Server 2012 Datacenter

Forefront Threat Management Gateway (TMG) A execução do TMG é possível somente no Windows Server 2008 e Windows Server 2008 R2. Para obter mais informações, consulte Requisitos de sistema para o Forefront TMG.
Windows Server Update Services Esta versão do WSUS já oferece suporte para computadores baseados em Windows 8 ou computadores baseados em Windows Server 2012 como clientes.
Windows Server Update Services 3.0 O artigo de atualização de KB 2734608 permite que os servidores que estão executando Windows Server Update Services (WSUS) 3.0 SP2 forneçam atualizações para computadores que estão executando Windows 8 ou Windows Server 2012: Observação: clientes com ambientes WSUS 3.0 SP2 autônomos ou ambientes do Configuration Manager 2007 Service Pack 2 com WSUS 3.0 SP2 exigem 2734608 para gerenciar corretamente computadores baseados em Windows 8 ou computadores baseados em Windows Server 2012 como clientes.
Exchange 2013 As edições Standard e Datacenter do Windows Server 2012 oferecem suporte às seguintes funções: mestre de esquema, servidor de catálogo global, controlador de domínio, caixa de correio e função de servidor Acesso para Cliente

Nível funcional de floresta: Windows Server 2003 ou mais recente

Fonte: Requisitos do sistema do Exchange 2013

Exchange 2010 Fonte: Exchange 2010 Service Pack 3

O Exchange 2010 com Service Pack 3 pode ser instalado em servidores membros do Windows Server 2012.

OsRequisitos de sistema do Exchange 2010 listam o mestre de esquema mais recente com suporte, o catálogo global e o controlador de domínio como Windows Server 2008 R2.

Nível funcional de floresta: Windows Server 2003 ou mais recente

SQL Server 2012 Fonte: Base de dados de conheicimento 2681562

O SQL Server 2012 RTM conta com suporte no Windows Server 2012.

SQL Server 2008 R2 Fonte: Base de dados de conheicimento 2681562

Requer o SQL Server 2008 R2 com Service Pack 1 ou posterior para instalação no Windows Server 2012.

SQL Server 2008 Fonte: Base de dados de conheicimento 2681562

Requer o SQL Server 2008 com Service Pack 3 ou posterior para instalação no Windows Server 2012.

SQL Server 2005 Fonte: Base de dados de conheicimento 2681562

Sem suporte à instalação no Windows Server 2012.

Problemas conhecidos

A tabela abaixo apresenta problemas conhecidos relacionados à instalação do AD DS:

Número e título do artigo da KB Área tecnológica influenciada Problema/descrição
2830145: Não é possível mapear o SID S-1-18-1 e SID S-1-18-2 em computadores com Windows 7 ou Windows Server 2008 R2 em um ambiente de domínio Gerenciamento do AD DS/Compatibilidade do aplicativo Aplicativos que mapeiam o SID S-1-18-1 e SID S-1-18-2, que são novos no Windows Server 2012, podem falhar, pois os SIDs não poderão ser resolvidos em computadores com Windows 7 ou Windows Server 2008 R2. Para resolver este problema, instale o hotfix em computadores com o Windows 7 e Windows Server 2008 R2 no domínio.
2737129: a preparação de Política de Grupo não é executada quando você prepara automaticamente um domínio existente para o Windows Server 2012 Instalação do AD DS Adprep/domainprep/gpprep não é automaticamente executado como parte da instalação do primeiro controlador de domínio que executa o Windows Server 2012 em um domínio. Caso ele nunca tenha sido executado no domínio, a execução deverá ser manual.
2737416: Avisos de repetições de implantação do controlador de domínio baseado em Windows PowerShell Instalação do AD DS Os avisos podem aparecer durante a validação de pré-requisitos e surgir novamente durante a instalação.
2737424: Erro "O formato do nome de domínio especificado é inválido" ao tentar remover os Serviços de Domínio Active Directory de um controlador de domínio Instalação do AD DS Este erro aparece quando você remove o último controlador de domínio em um domínio que ainda contém contas RODC pré-criadas. Isso afeta o Windows Server 2012, Windows Server 2008 R2 e Windows Server 2008.
2737463: O controlador de domínio não inicia, o erro c00002e2 ocorre ou a mensagem "Selecione uma opção" é exibida Instalação do AD DS Um controlador de domínio não é iniciado porque um administrador usou Dism.exe, Pkgmgr.exe ou Ocsetup.exe para remover a função DirectoryServices-DomainController.
2737535: Cmdlet Install-AddsDomainController retorna erro de conjunto de parâmetros para RODC Instalação do AD DS Você poderá receber um erro ao tentar conectar um servidor a uma conta RODC caso especifique argumentos que já foram preenchidos na conta RODC pré-criada.
2737560: Erro "Não é possível realizar a verificação de conflitos de esquema do Exchange" e falha na verificação de pré-requisitos Instalação do AD DS A verificação de pré-requisitos falha quando você configura o primeiro controlador de domínio do Windows Server 2012 DC em um domínio existente, pois os controladores de domínio não possuem SeServiceLogonRight para o Serviço de Rede ou porque os protocolos WMI ou DCOM estão bloqueados.
2737797: O módulo AddsDeployment com argumento -Whatif mostra resultados de DNS incorretos Instalação do AD DS O parâmetro -WhatIf mostra que o servidor DNS não será instalado, mas isso ocorrerá.
2737807: o botão Avançar não está disponível na página Opções do Controlador de Domínio Instalação do AD DS O botão Avançar é desabilitado na página Opções do Controlador de Domínio porque o endereço IP do controlador de domínio de destino não faz o mapeamento para uma sub-rede ou site existente, ou porque a senha de DSRM não foi digitada e confirmada corretamente.
2737935: A instalação do Active Directory fica parada no estágio "Criando o objeto de Configurações NTDS" Instalação do AD DS A instalação não continua porque a senha do administrador local corresponde à senha do administrador do domínio ou porque há problemas de rede que impedem a conclusão da replicação crítica.
2738060: Mensagem de erro "Acesso negado" ao criar um domínio filho remotamente usando Install-AddsDomain Instalação do AD DS Você recebe um erro ao executar Install-ADDSDomain com o cmdlet Invoke-Command quando DNSDelegationCredential possui uma senha inválida.
2738697: Erro de configuração do controlador de domínio "O servidor não está operacional" quando você configura um servidor usando o Gerenciador do Servidor Instalação do AD DS Você recebe este erro quando tenta instalar o AD DS em um computador do grupo de trabalho porque a autenticação NTLM está desabilitada.
2738746: Você recebe erros de acesso negado após fazer logon em uma conta de domínio de administrador local Instalação do AD DS Quando você faz logon usando uma conta de administrador local em vez de uma conta de administrador interna e cria um novo domínio, a conta não é adicionada ao grupo Administradores do Domínio.
2743345: Erro "O sistema não pode encontrar o arquivo especificado" do Adprep/gpprep ou falha da ferramenta Instalação do AD DS Você recebe este erro quando executa o adprep/gpprep, pois o mestre da infraestrutura implementa um namespace não contíguo
2753560: Erros de instalação de ADMT 3.2 e PES 3.1 no Windows Server 2012 ADMT Por padrão, o ADMT 3.2 não pode ser instalado no Windows Server 2012.
2750857: Relatórios de diagnóstico de Replicação do DFS não são exibidos corretamente no Internet Explorer 10 Replicação do DFS O relatório de Replicação DFS não é exibido corretamente em função de alterações no Internet Explorer 10.
2741537: Atualizações de Política de Grupo Remota são visíveis aos usuários Política de Grupo Isso ocorre em função de tarefas agendadas executadas no contexto de cada usuário que fez logon. O projeto do Agendador de Tarefas do Windows requer um prompt interativo neste cenário.
2741591: Os arquivos ADM não estão presentes no SYSVOL na opção de status de infraestrutura GPMC Política de Grupo A replicação GP pode informar "replicação em andamento" porque o status de infraestrutura GPMC não segue as regras de filtragem personalizada.
2737880: Erro "Não é possível iniciar o serviço" durante a configuração do AD DS Clonagem de controlador de domínio virtual Você recebe este erro ao instalar/remover o AD DS ou realizar clonagens, pois o serviço Servidor de Função de SD está desabilitado.
2742836: Duas concessões de DHCP são criadas para cada controlador de domínio quando você usa o recurso de clonagem de controlador de domínio virtual Clonagem de controlador de domínio virtual Isso ocorre porque o controlador de domínio clonado recebeu uma concessão antes da clonagem e recebeu outra quando a clonagem foi concluída.
2742844: O controlador de domínio falha e o servidor é reiniciado em DSRM no Windows Server 2012 Clonagem de controlador de domínio virtual O controlador de domínio clonado é iniciado em DSRM, pois houve uma falha de clonagem por qualquer um dos motivos listados no artigo da KB.
2742874: A clonagem do controlador de domínio não cria todos os nomes de entidades de serviço novamente Clonagem de controlador de domínio virtual Alguns SPNs de três partes não são criados novamente no controlador de domínio clonado em função de uma limitação do processo de renomeação de domínio.
2742908: Erro "Nenhum servidor de logon disponível" após clonar controlador de domínio Clonagem de controlador de domínio virtual Você recebe este erro quando tenta fazer logon após clonar um controlador de domínio virtualizado, pois há uma falha de clonagem e o controlador de domínio é iniciado em DSRM. Faça logon como .\administrator para corrigir a falha de clonagem.
2742916: Falha na clonagem do controlador de domínio com erro 8610 em dcpromo.log Clonagem de controlador de domínio virtual Ocorre uma falha na clonagem porque o emulador PDC não realizou replicação de entrada da partição do domínio, provavelmente em função da transferência da função.
2742927: Erro "O índice está fora do intervalo" em New-AdDcCloneConfig Clonagem de controlador de domínio virtual Você recebe este erro após executar o cmdlet New-ADDCCloneConfigFile no momento da clonagem de controladores de domínio virtuais, porque o cmdlet não foi executado por meio de um prompt de comando elevado ou porque o token de acesso não contém o grupo Administradores.
2742959: Falha na clonagem do controlador de domínio com erro 8437: "Um parâmetro inválido foi especificado para esta operação de replicação" Clonagem de controlador de domínio virtual Houve uma falha na clonagem porque foi especificado um nome inválido para o clone ou um nome de NetBIOS duplicado.
2742970: Falha na clonagem de controlador de domínio sem DSRM, origem duplicada e computador clone Clonagem de controlador de domínio virtual O controlador de domínio virtual clonado é iniciado no DSRM (Modo de Reparo de Serviços de Diretório) usando um nome duplicado como controlador de domínio de origem, pois o arquivo DCCloneConfig.xml não foi criado no local correto ou porque o controlador de domínio de origem foi reiniciado antes da clonagem.
2743278: Erro de clonagem do controlador de domínio 0x80041005 Clonagem de controlador de domínio virtual O controlador de domínio virtual é iniciado em DSRM porque somente um servidor WINS foi especificado. Caso seja especificado algum servidor WINS, será necessário especificar os servidores WINS preferencial e alternativo.
2745013: Mensagem de erro "O servidor não está operacional" quando New-AdDcCloneConfigFile é executado no Windows Server 2012 Clonagem de controlador de domínio virtual Você recebe este erro após executar o cmdlet New-ADDCCloneConfigFile porque o servidor não pode entrar em contato com um servidor de catálogo global.
2747974: O evento 2224 de clonagem do controlador de domínio fornece orientações incorretas Clonagem de controlador de domínio virtual O evento com ID 2224 informa incorretamente que as contas de serviço gerenciado devem ser removidas antes da clonagem. As MSAs autônomas devem ser removidas, mas as MSAs de grupo não bloqueiam a clonagem.
2748266: Não é possível desbloquear uma unidade criptografada com BitLocker após a atualização para Windows 8 BitLocker Você recebe um erro "Aplicativo não encontrado" quando tenta desbloquear uma unidade em um computador atualizado a partir do Windows 7.

Consulte Também

Recursos de Avaliação do Windows Server 2012Guia de Avaliação do Windows Server 2012Instalar e implantar o Windows Server 2012