Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A implantação do AD DS (Active Directory Domain Services) no Windows Server 2012 é mais simples e mais rápida se comparada às versões anteriores do Windows Server. O processo de instalação do AD DS agora está embutido no Windows PowerShell e foi integrado ao Gerenciador do Servidor. O número das etapas necessárias para introduzir controladores de domínio em um ambiente Active Directory existente foi reduzido. Isso simplifica e torna mais eficiente o processo de criação de um novo ambiente Active Directory. O novo processo de implantação de AD DS minimiza as possibilidades de erros que, de outra forma, bloqueariam a instalação.
Além disso, é possível instalar os binários da função de servidor AD DS (ou seja, a função de servidor AD DS) em vários servidores ao mesmo tempo. Também é possível executar remotamente o assistente de instalação do AD DS em um servidor individual. Essas melhorias fornecem mais flexibilidade para implantar controladores de domínio que executam o Windows Server, especialmente para implantações globais em larga escala, em que muitos controladores de domínio precisam ser implantados em escritórios em regiões diferentes.
A instalação do AD DS inclui os seguintes recursos:
Integração de Adprep.exe com o processo de instalação do AD DS. As etapas complicadas necessárias à preparação de um Active Directory existente, como a necessidade de usar uma variedade de credenciais diferentes, copiar os arquivos Adprep.exe ou fazer logon em controladores de domínio específicos, foram todas simplificadas ou ocorrem automaticamente. Isso reduz o tempo necessário para instalar o AD DS e diminui as possibilidades de erros que, de outra forma, bloqueariam a promoção do controlador de domínio. Nos ambientes em que é preferível executar os comandos adprep.exe antes da instalação de um novo controlador de domínio, ainda é possível executar os comandos adprep.exe separadamente da instalação do AD DS.
A nova instalação do AD DS se baseia no Windows PowerShell e pode ser chamada remotamente. A nova instalação do AD DS foi integrada ao Gerenciador do Servidor; portanto, para instalar o AD DS, você pode usar a mesma interface que é utilizada na instalação de outras funções de servidor. Para os usuários do Windows PowerShell, os cmdlets de implantação do AD DS fornecem mais funcionalidade e flexibilidade. Há uma paridade funcional entre as opções de instalação por linha de comando e GUI.
A nova instalação do AD DS inclui validação de pré-requisitos. Todos os possíveis erros são identificados antes do início da instalação. Você pode corrigir as condições de erro antes que elas ocorram sem as preocupações resultantes de uma atualização parcialmente completa. Por exemplo, se for preciso executar adprep /domainprep, o assistente de instalação verificará se o usuário tem direitos suficientes para executar a operação.
As páginas de configuração são agrupadas em uma sequência que espelha os requisitos das opções de promoção mais comuns com as opções relacionadas agrupadas em menos páginas do assistente. Isso fornece um melhor contexto para fazer escolhas de instalação.
Você pode exportar um script do Windows PowerShell contendo todas as opções que foram especificadas durante a instalação gráfica. No final de uma instalação ou remoção, você pode exportar as configurações para um script do Windows PowerShell para uso com a automação da mesma operação.
Somente a replicação essencial ocorre antes da reinicialização. Nova opção para permitir a replicação de dados não críticos antes da reinicialização. Para obter mais informações, consulte o cmdlet ADDSDeployment PowerShell.
O Assistente de Configuração dos Serviços de Domínio Active Directory
A partir do Windows Server 2012, o Assistente de Configuração do Active Directory Domain Services substitui a opção herdada do Assistente de Instalação do Active Directory Domain Services como a interface do usuário para especificar as configurações ao instalar um controlador de domínio. O Assistente de Configuração dos Serviços de Domínio Active Directory é iniciado após a conclusão do Assistente para Adicionar Funções.
No Install Active Directory Domain Services, os procedimentos de interface do usuário mostram como iniciar o Assistente para Adicionar Funções para instalar os binários de função de servidor do AD DS e, em seguida, executar o Assistente de Configuração do Active Directory Domain Services para concluir a instalação do controlador de domínio. Os exemplos do Windows PowerShell mostram como concluir as duas etapas usando um cmdlet de implantação do AD DS.
Adprep.exe integration
Os comandos do Adprep são executados automaticamente conforme necessário quando você instala um controlador de domínio que executa o Windows Server em um domínio ou floresta existente do Active Directory.
Embora as operações de adprep sejam executadas automaticamente, é possível executar o Adprep.exe em separado. Por exemplo, se o usuário que instala o AD DS não for membro do grupo Administradores Corporativos, o que é exigido para a execução de Adprep /forestprep, poderá ser necessário executar o comando separadamente. Porém, você só precisará executar adprep.exe se estiver planejando atualizar in-loco seu primeiro controlador de domínio do Windows Server (em outras palavras, você planeja atualizar in-loco o sistema operacional de um controlador de domínio que executa o Windows Server 2012).
Adprep.exe está localizado na pasta \support\adprep do disco de instalação do Windows Server. O Adprep é capaz de executar remotamente.
For information about resolving other errors returned by Adprep.exe, see Known issues.
Sintaxe do Adprep no Windows Server 2012
Use a sintaxe a seguir para executar o adprep separadamente em uma instalação do AD DS:
Adprep.exe /forestprep /forest <forest name> /userdomain <user domain name> /user <user name> /password *
Use /logdsid no comando para gerar mais logs detalhados. O adprep.log fica localizado em %windir%\System32\Debug\Adprep\Logs.
Executando o adprep com cartão inteligente
A versão do Windows Server do adprep.exe funciona usando o cartão inteligente como credenciais, mas não há uma maneira fácil de especificar a credencial de cartão inteligente por meio da linha de comando. Uma forma de fazer isso é obter a credencial de cartão inteligente usando o cmdlet Get-Credential, do PowerShell. Depois, use o nome de usuário do objeto PSCredential retornado, que aparece como @@.... A senha é o PIN do cartão inteligente.
O Adprep.exe exigirá /userdomain se /user for especificado. Para credenciais de cartão inteligente, o /userdomain deve ser o domínio da conta de usuário subjacente, representada pelo cartão inteligente.
O comando adprep /domainprep /gpprep não é executado automaticamente
O comando adprep /domainprep /gpprep não é executado como parte da instalação do AD DS. Esse comando define as permissões exigidas para a funcionalidade de modo de planejamento RSOP (Conjunto de Políticas Resultante). Para saber mais sobre esse comando, consulte o artigo 324392 da Base de Dados de Conhecimento Microsoft. Se for preciso executar o comando no seu domínio Active Directory, execute-o separadamente da instalação do AD DS. Se o comando já tiver sido executado na preparação de controladores de domínio de implantação que executam o Windows Server 2003 SP1 ou posterior, não será necessário executar o comando novamente.
Você pode adicionar controladores de domínio com segurança que executam o Windows Server a um domínio existente sem executar adprep /domainprep /gpprep, mas o modo de planejamento RSOP não funcionará corretamente.
Validação de pré-requisitos da instalação do AD DS
O assistente de instalação do AD DS verifica se os seguintes pré-requisitos foram cumpridos antes de a instalação começar. Isso dá a você a chance de solucionar problemas que podem bloquear a instalação.
Por exemplo, os pré-requisitos relacionados ao Adprep incluem:
- Verificação de credencial do Adprep: se for preciso executar o adprep, o assistente de instalação verificará se o usuário tem direitos suficientes para executar as operações do Adprep.
- Verificação de disponibilidade do mestre do esquema: Se o assistente de instalação determinar que adprep /forestprep precisa ser executado, ele verificará se o mestre do esquema está online e falhará caso contrário.
- Verificação da disponibilidade do mestre de infraestrutura: se o assistente de instalação determinar que o adprep /domainprep precisa ser executado, ele verifica se o mestre de infraestrutura está online. Caso contrário, o processo falhará.
Outras verificações de pré-requisitos que foram transferidas do Assistente de Instalação do Active Directory herdado (dcpromo.exe) incluem:
- Verificação de nome da floresta: garante que o nome da floresta seja válido e não exista atualmente.
- Verificação de nome NetBIOS: verifica se o nome NetBIOS fornecido é válido e se não há conflitos com nomes existentes.
- Verificação de caminho de componente: verifica se os caminhos para bancos de dados Active Directory, logs e SYSVOL são válidos e se há suficiente espaço livre em disco a ser disponibilizado para eles.
- Verificação de nome de domínio filho: verifica se os nomes de domínio pai e filho são válidos e não entram em conflito com domínios existentes.
- Verificação de nome de domínio de árvore: garante que o nome especificado da árvore seja válido e que não exista atualmente.
Known issues
Esta seção lista alguns dos problemas conhecidos que afetam a instalação do AD DS no Windows Server 2012. Para ver mais problemas conhecidos, consulte Solucionando problemas na implantação do controlador de domínio.
Se o acesso WMI ao mestre de esquema for bloqueado pelo Firewall do Windows durante a execução remota de adprep /forestprep, o erro a seguir será registrado no log de adprep, em %systemroot%\system32\debug\adprep:
Adprep encountered a Win32 error. Error code: 0x6ba Error message: The RPC server is unavailable.Nesse caso, você pode contornar o erro executando o adprep /forestprep diretamente no mestre de esquema ou pode executar um dos seguintes comandos para permitir tráfego WMI através do Firewall do Windows.
netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yesDigite Ctrl + C para cancelar o cmdlet Install-ADDSForest. O cancelamento interrompe a instalação e todas as alterações feitas no estado do servidor serão revertidas. No entanto, após a emissão do comando de cancelamento, o controle não é devolvido ao Windows PowerShell e o cmdlet pode travar indefinidamente.
A instalação de outro controlador de domínio usando credenciais de cartão inteligente falhará se o servidor de destino não tiver ingressado no domínio antes da instalação.
A mensagem de erro apresentada nesse caso é a seguinte:
Unable to connect to the replication source domain controller source-domain-controller-name. (Exceção: Longonfailure: nome se usuário desconhecido ou senha incorreta)
Se você ingressar o servidor de destino no domínio e depois executar a instalação usando um cartão inteligente, a instalação será bem-sucedida.
O módulo ADDSDeployment não é executado em processos de 32 bits. Se você estiver automatizando a implantação e a configuração do Windows Server 2012 usando um script que inclui o cmdlet ADDSDeployment e qualquer outro cmdlet que não dê suporte a processos nativos de 64 bits, o script poderá falhar com um erro indicando que não é possível encontrar o cmdlet ADDSDeployment.
Nesse caso, é preciso executar o cmdlet ADDSDeployment separadamente do cmdlet que não dá suporte a processos nativos de 64 bits.
Há um novo sistema de arquivos no Windows Server 2012 chamado Sistema de Arquivos Resiliente. Não armazene o banco de dados Active Directory, nem os arquivos de log ou o SYSVOL em um volume de dados formatado com ReFS (Sistema de Arquivos Resiliente). Para saber mais sobre ReFS, consulte Criando a próxima geração de sistema de arquivos para Windows: ReFS.
No Gerenciador de Servidores, servidores que executam o AD DS ou outras funções de servidor em uma instalação do Server Core e foram atualizados, a função de servidor pode aparecer com o status vermelho, mesmo que eventos e status sejam coletados conforme o esperado. Os servidores que executam uma instalação do Server Core de uma versão preliminar do Windows Server também podem ser afetados.
A instalação dos Serviços de Domínio Active Directory será interrompida se um erro impedir a replicação crítica
Se a instalação do AD DS encontrar um erro durante a fase de replicação crítica, a instalação poderá ser interrompida indefinidamente. Por exemplo, se erros de rede impedirem a conclusão da replicação crítica, a instalação não continuará.
Se fizer a instalação usando o Gerenciador do Servidor, você poderá ver a página de andamento da instalação, que permanecerá aberta, mas nenhum erro será relatado em tela e o andamento poderá ficar inalterado por aproximadamente 15 minutos. Se usar o Windows PowerShell, o andamento mostrado na janela do Windows PowerShell não mudará durante mais de 15 minutos.
Caso ocorra esse problema, verifique o arquivo dcpromo.log na pasta %systemroot%/debug, no servidor de destino. O arquivo de log geralmente indica falhas repetidas para replicação. Algumas causas conhecidas desse problema são:
Problemas de rede impedem a replicação crítica entre o servidor de destino que está sendo promovido e o controlador de domínio de origem da replicação.
Por exemplo, o dcpromo.log mostra:
05/02/2012 14:16:46 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963 Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause. Process ID: 500 Reported error information: Error value: Could not find the domain controller for this domain. (1908) directory service: <domain>.com Extensive error information: Error value: A security package specific error occurred. 1825 directory service: <DC Name>Como o processo de instalação faz novas tentativas de replicação crítica indefinidamente, a instalação do controlador de domínio continuará se os problemas de rede subjacentes forem resolvidos. Investigue o problema de rede usando ferramentas como ipconfig, nslookup e netmon conforme a necessidade. Verifique se há conectividade entre o controlador de domínio que você está promovendo e o parceiro de replicação selecionado durante a instalação do AD DS. Verifique também se a resolução de nomes está funcionando.
Os requisitos da instalação do AD DS para conectividade de rede e resolução de nomes são validados durante a verificação de pré-requisitos, antes do início da instalação. Porém, podem surgir algumas condições de erro no período entre a ocorrência da validação de pré-requisitos e a conclusão da instalação, como se o parceiro de replicação se tornar indisponível durante a instalação.
Durante a instalação do controlador de domínio replicado, a conta local de Administrador do servidor de destino é especificada para as credenciais de instalação e a senha da conta local de Administrador coincide com a senha de uma conta Admin. do Domínio. Nesse caso, você poderá concluir o assistente de instalação e começar a instalação antes que a falha "Acesso negado" ocorra.
Por exemplo, o dcpromo.log mostra:
03/30/2012 11:36:51 [INFO] Creating the NTDS Settings object for this Active Directory Domain Controller on the remote AD DC DC2.contoso.com... 03/30/2012 11:36:51 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause. Process ID: 508 Reported error information: Error value: Access is denied. (5) directory service: DC2.contoso.comSe o erro for provocado pela especificação de uma conta e senha de Administrador local, para recuperar será necessário reinstalar o sistema operacional, executar uma limpeza de metadados da conta referente ao controlador de domínio que não pôde concluir a instalação e depois tentar instalar o AD DS novamente usando as credenciais de Administrador do Domínio. A reinicialização do servidor não corrigirá essa condição de erro porque o servidor indicará que o AD DS está instalado, embora a instalação não tenha sido concluída com êxito.
O Assistente de Configuração dos Serviços de Domínio Active Directory avisa quando um nome DNS não normalizado é especificado
Se você criar um novo domínio ou floresta e especificar um nome de domínio DNS incluindo caracteres internacionalizados, mas não normalizados, o Assistente de Configuração dos Active Directory Domain Services exibirá um aviso de que as consultas DNS para o nome poderão falhar. Embora o nome de domínio DNS seja especificado na página Configuração de Implantação, o aviso aparece na página Verificação de Pré-requisitos, posteriormente no assistente.
Se um nome de domínio DNS for especificado usando um nome não normalizado como füß ball.com ou 'ΣΤ'.com (as versões normalizadas são: füssball.com e βστα.com), os aplicativos cliente que tentam acessá-lo com WinHTTP normalizarão o nome antes de chamar APIs de resolução de nomes. Se o usuário digitar "'ΣΤ'.com" em uma caixa de diálogo, a consulta DNS será enviada como "βστα.com" e nenhum servidor DNS a corresponderá a um registro de recurso para "'ΣΤ'.com". O usuário não poderá resolver o nome.
O exemplo a seguir explica um dos problemas que podem surgir durante o uso de um nome IDN não normalizado:
- O domínio que usa um nome não normalizado é criado e registrado no servidor DNS: füßball.com
- O "nps" do computador é ingressado no domínio e obtém seu nome registrado: nps.füßball.com
- Um aplicativo cliente tenta se conectar ao servidor nps.füßball.com
- O aplicativo cliente tenta resolver o nome nps.füßball.com chamando APIs de resolução de nomes.
- Devido à normalização, o nome é convertido em nps.füssball.com e é consultado pela conexão como nps.füßball.com
- O aplicativo cliente não consegue resolver o nome, pois o nome registrado é nps.füßball.com
Se o aviso for exibido na página Verificação de Pré-requisitos, no Assistente de Configuração dos Serviços de Domínio Active Directory, volte para a página Configuração de Implantação e especifique um nome de domínio DNS normalizado. Ao instalar um novo domínio com o uso do Windows PowerShell, especifique um nome DNS normalizado para a opção -DomainName.
Para saber mais sobre IDNs, consulte Lidando com IDNs (Nomes de Domínio Internacionalizados).