Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Assistente de Configuração dos Serviços de Domínio Ative Directory (AD DS) é uma ferramenta no Gerenciador do Servidor que permite aos administradores promover servidores para controladores de domínio ou rebaixá-los conforme necessário. Este artigo fornece uma visão geral detalhada das páginas do assistente, incluindo seus controles e opções, para ajudá-lo a navegar pelos processos de instalação e remoção de forma eficaz. Quer esteja a criar uma nova floresta, a adicionar um controlador de domínio a um domínio existente ou a rebaixar um controlador de domínio, este guia descreve os passos e as considerações para cada operação.
Resumo de cada página
As tabelas nesta seção resumem as páginas que você vê quando usa o Assistente de Configuração dos Serviços de Domínio Ative Directory para promover um servidor a um controlador de domínio ou para rebaixar um controlador de domínio. Selecione o link para cada página para saber mais sobre as opções e os controles que você vê nessa página.
Ao promover um servidor para um controlador de domínio, você navega pelas seguintes páginas:
| Página de configuração do Ative Directory | Description |
|---|---|
| Deployment Configuration | Selecione o tipo de operação de implantação que deseja executar: crie uma nova floresta (primeiro controlador de domínio), crie um novo domínio dentro de uma floresta existente ou adicione um controlador de domínio adicional a um domínio existente. Esta página também valida requisitos básicos e solicita nomes de domínio. |
| Opções do controlador de domínio | Configure níveis funcionais de floresta e domínio, selecione funções de controlador de domínio, incluindo servidor DNS, Catálogo Global e opções de Controlador de Domínio Read-Only. Defina a senha do Modo de Restauração dos Serviços de Diretório (DSRM) necessária para operações e manutenção offline do AD DS. |
| DNS Options | Configure as configurações de delegação de DNS ao instalar a função de servidor DNS. Crie registros de delegação na zona DNS pai para garantir a resolução de nomes e a transferência de autoridade apropriadas para a zona DNS do novo controlador de domínio. |
| RODC Options | Configure contas de administrador delegado que possam gerenciar o controlador de domínio somente leitura localmente e configure a Política de Replicação de Senha (PRP) para controlar quais senhas de conta de usuário e computador podem ser armazenadas em cache no RODC para autenticação. |
| Additional Options | Especifique o nome de domínio NetBIOS para novos domínios, selecione um controlador de domínio específico como fonte de replicação e configure as opções de instalação a partir da mídia usando a mídia de backup criada com o Backup do Windows Server ou ntdsutil.exe para reduzir o tempo de instalação. |
| Paths | Defina locais personalizados do sistema de arquivos para o banco de dados do Ative Directory (ntds.dit), logs de transações do banco de dados e SYSVOL pastas compartilhadas em vez de usar os locais de unidade do sistema padrão para melhor desempenho ou gerenciamento de armazenamento. |
| Preparation Options | Forneça credenciais de Administradores de Empresa, Administradores de Esquema ou Administradores de Domínio para executar os comandos necessários adprep.exe (forestprep, domainprepou rodcprep) quando a conta de usuário atual não tiver permissões suficientes para a preparação do esquema ou do domínio. |
| Review Options | Revise e valide todas as definições de configuração selecionadas antes de iniciar o processo de instalação. Exporte a configuração como um script do Windows PowerShell para fins de automação ou documentação e faça ajustes finais, se necessário. |
| Prerequisites Check | Exiba resultados abrangentes de verificações de validação de pré-requisitos, incluindo conectividade de rede, resolução DNS, verificação de permissões e requisitos do sistema. Mostra quaisquer avisos ou erros que devem ser resolvidos antes de prosseguir. |
| Results | Mostrar os resultados finais e o status do processo de instalação ou promoção do controlador de domínio, incluindo confirmação de êxito, avisos pós-instalação e opções para reiniciar o servidor para concluir a configuração. |
Ao rebaixar um controlador de domínio, você navega pelas seguintes páginas:
| Página de configuração do Ative Directory | Description |
|---|---|
| Credentials | Forneça as credenciais necessárias para a operação de rebaixamento, incluindo credenciais de administrador de domínio para controladores de domínio adicionais ou credenciais de administradores corporativos para o último controlador de domínio em um domínio. Configure opções de remoção forçada se o controlador de domínio não puder entrar em contato com outros controladores de domínio. |
| Warnings | Revise os avisos sobre a remoção de funções e serviços críticos hospedados pelo controlador de domínio, como servidor DNS, catálogo global ou funções de mestre de operações. Reconheça o impacto da remoção desses papéis antes de prosseguir com o rebaixamento. |
| Removal Options | Configure as opções de remoção da delegação de zona DNS quando o controlador de domínio que está a ser rebaixado está a alojar zonas DNS. Remova o servidor DNS das delegações de zona para evitar problemas de resolução de DNS após o rebaixamento. |
| Nova palavra-passe de administrador | Defina uma nova senha para a conta interna de Administrador local, que será usada após a despromoção, quando o computador se tornar um servidor membro ou um computador em grupo de trabalho em vez de um controlador de domínio. |
| Review Options | Revise e valide todas as configurações de despromoção antes de iniciar o processo. Exporte a configuração como um script do Windows PowerShell para fins de automação e confirme as configurações finais antes de iniciar o rebaixamento do controlador de domínio. |
Páginas para promover um servidor a um controlador de domínio
As seções a seguir descrevem as páginas que você vê quando usa o Assistente de Configuração dos Serviços de Domínio Ative Directory para promover um servidor a um controlador de domínio.
Deployment Configuration
Server Manager begins every domain controller installation with the Deployment Configuration page. As opções e os campos obrigatórios que você vê nesta página e nas páginas subsequentes dependem da operação de implantação selecionada.
The wizard runs some validations and tests on the Deployment Configuration page and again later as part of prerequisite checks. Por exemplo, uma verificação é executada quando você tenta instalar o primeiro controlador de domínio do Windows Server em uma floresta. Se o nível funcional da floresta não suportar a versão do Windows Server do controlador de domínio, será apresentado um erro nesta página.
As seções a seguir descrevem as operações de implantação que você pode selecionar nesta página.
Criar uma floresta
A captura de tela a seguir mostra as opções que aparecem quando você cria uma floresta:
Ao criar uma floresta, você deve especificar um nome para o domínio raiz da floresta.
- O nome de domínio raiz da floresta não pode ser de rótulo único. Por exemplo, deve ser
example-domain.comem vez deexample-domain. - Ele deve usar convenções de nomenclatura de domínio permitidas do Sistema de Nomes de Domínio (DNS). Para obter mais informações sobre convenções de nomenclatura de domínio DNS, consulte Convenções de nomenclatura no Ative Directory para computadores, domínios, sites e UOs.
- Você pode especificar um nome de domínio internacionalizado (IDN).
- O nome de domínio raiz da floresta não pode ser de rótulo único. Por exemplo, deve ser
O nome de qualquer floresta do Ative Directory que você criar deve ser diferente do seu nome DNS externo. Por exemplo, se o URL DNS da Internet for
https://example-domain.com, deve escolher um nome diferente para a floresta interna para evitar problemas de compatibilidade futuros. Esse nome deve ser exclusivo e improvável para o tráfego da web, comocorp.example-domain.com.Você deve ser membro do grupo Administradores no servidor no qual deseja criar uma floresta.
Para obter mais informações sobre como criar uma floresta, consulte Instalar uma nova floresta do Ative Directory do Windows Server 2012 (nível 200).
Criar um domínio
A captura de tela a seguir mostra as opções que aparecem quando você cria um domínio:
Note
Se você criar um domínio de árvore, precisará especificar o nome do domínio raiz da floresta em vez do domínio pai. Mas as páginas e opções restantes do assistente de configuração são as mesmas, independentemente de se criar um domínio filho ou um domínio de árvore.
Em Nome de domínio pai, selecione Selecionar para ir para o domínio pai ou árvore do Ative Directory ou insira um domínio pai ou nome de árvore válido.
Em Novo nome de domínio, insira o nome do novo domínio.
- Para um domínio de árvore, forneça um nome de domínio raiz válido e totalmente qualificado. O nome não pode ser rotulado individualmente e deve atender aos requisitos de nome de domínio DNS.
- Para um domínio filho, forneça um nome de domínio filho válido e de rótulo único. O nome deve atender aos requisitos de nome de domínio DNS.
Se suas credenciais atuais não forem do domínio, o Assistente de Configuração dos Serviços de Domínio Ative Directory solicitará credenciais de domínio. Select Change to provide domain credentials.
Para obter mais informações sobre como criar um domínio, consulte Instalar um novo domínio filho ou de árvore do Ative Directory do Windows Server 2012 (nível 200).
Adicionar um controlador de domínio a um domínio existente
A captura de tela a seguir mostra as opções que aparecem quando você adiciona um novo controlador de domínio a um domínio existente:
For Domain, select Select to go to the domain, or enter a valid domain name.
Se necessário, o Gerenciador do Servidor solicitará credenciais válidas. A instalação de um controlador de domínio adicional requer a associação ao grupo Administradores do Domínio.
Além disso, a instalação do primeiro controlador de domínio que executa o Windows Server em uma floresta requer credenciais que incluam associações de grupo nos grupos Administradores de Empresa e Administradores de Esquema. O Assistente de Configuração dos Serviços de Domínio Active Directory irá avisá-lo mais tarde se as suas credenciais atuais não tiverem permissões ou associações de grupo adequadas.
Para obter mais informações sobre como adicionar um controlador de domínio a um domínio existente, consulte Instalar uma réplica do controlador de domínio do Windows Server 2012 em um domínio existente (nível 200).
Opções do controlador de domínio
As opções exibidas na página Opções do Controlador de Domínio dependem da operação de implantação. As seções a seguir descrevem as opções que você configura para cada operação.
Novas opções florestais
Quando você cria uma floresta, a página Opções do Controlador de Domínio exibe as opções mostradas na captura de tela a seguir:
Os valores padrão dos níveis funcionais de floresta e domínio dependem da sua versão do Windows Server.
A partir da versão do Windows Server 2012, o nível funcional do domínio oferece as seguintes configurações na política de modelo administrativo do KDC (centro de distribuição de chaves) Suporte KDC para declarações, autenticação composta e proteção Kerberos:
- Sempre forneça reclamações
- Rejeitar solicitações de autenticação não protegidas
Para obter mais informações, consulte Suporte para declarações, autenticação composta e proteção Kerberos.
Todos os domínios criados em uma floresta operam automaticamente no nível funcional do domínio igual ao nível funcional da floresta selecionado. Além disso, todos os controladores de domínio no domínio executam a versão do Windows Server do nível funcional de domínio selecionado.
Para obter mais informações sobre os recursos disponíveis em vários níveis funcionais, consulte Níveis funcionais dos Serviços de Domínio Ative Directory.
Os recursos disponíveis em um controlador de domínio dependem da versão do Windows Server que o controlador de domínio executa.
Quando você cria uma floresta, a opção de servidor DNS (Sistema de Nomes de Domínio) é selecionada por padrão. O primeiro controlador de domínio na floresta deve ser um servidor de catálogo global e não pode ser um controlador de domínio somente leitura (RODC).
Para entrar em um controlador de domínio que não esteja executando o AD DS, você precisa da senha do Modo de Restauração dos Serviços de Diretório (DSRM). A senha especificada deve aderir à política de senha aplicada ao servidor. Por padrão, essa política não exige uma senha forte. Requer apenas uma palavra-passe que não esteja em branco. Escolha sempre uma palavra-passe forte e complexa ou, de preferência, uma frase secreta. Para obter informações sobre como sincronizar a senha DSRM com a senha de uma conta de usuário de domínio, consulte o artigo de suporte sobre sincronização de senhas.
Para obter mais informações sobre como criar uma floresta, consulte Instalar uma nova floresta do Ative Directory do Windows Server 2012 (nível 200).
Novas opções de domínio filho
Quando você cria um domínio filho, a página Opções do Controlador de Domínio exibe as opções mostradas na captura de tela a seguir:
O valor padrão do nível funcional do domínio depende da sua versão do Windows Server. Você pode especificar qualquer valor maior ou igual ao nível funcional da floresta.
Você pode configurar as seguintes opções de controlador de domínio:
- Servidor DNS (Sistema de Nomes de Domínio)
- Catálogo Global (GC)
Não é possível configurar o primeiro controlador de domínio em um novo domínio para ser um RODC.
Recomendamos que todos os controladores de domínio forneçam serviços de DNS e catálogo global para alta disponibilidade em ambientes distribuídos. Por esse motivo, o assistente habilita essas opções por padrão quando você cria um domínio.
Você também pode usar esta página para selecionar um nome de site lógico apropriado do Ative Directory na configuração da floresta. Por padrão, o site com a sub-rede mais correta é selecionado. Se houver apenas um site, esse site será selecionado automaticamente.
Important
Se o servidor não pertencer a uma sub-rede do Ative Directory e houver mais de um site, nada será selecionado. The Next button isn't available until you select a site from the list.
Para obter mais informações sobre como criar um domínio, consulte Instalar um novo domínio filho ou de árvore do Ative Directory do Windows Server 2012 (nível 200).
Opções para adicionar um controlador de domínio a um domínio
Quando você adiciona um controlador de domínio a um domínio, a página Opções do Controlador de Domínio exibe as opções mostradas na captura de tela a seguir:
Você pode configurar as seguintes opções de controlador de domínio:
- Servidor DNS (Sistema de Nomes de Domínio)
- Catálogo Global (GC)
- Controlador de domínio somente leitura (RODC)
Recomendamos que todos os controladores de domínio forneçam serviços de DNS e catálogo global para alta disponibilidade em ambientes distribuídos. Por esse motivo, essas opções são habilitadas por padrão. Para obter mais informações sobre como implantar RODCs, consulte Read-Only Guia de Planejamento e Implantação do Controlador de Domínio.
Para obter mais informações sobre como adicionar um controlador de domínio a um domínio existente, consulte Instalar uma réplica do controlador de domínio do Windows Server 2012 em um domínio existente (nível 200).
DNS Options
If you install the DNS server role, the following DNS Options page appears:
Quando você instala a função de servidor DNS, os registros de delegação que apontam para o servidor DNS como autoritativo para a zona devem ser criados na zona DNS pai. Os registos de delegação transferem a autoridade de resolução de nomes. Eles também fornecem referência correta para outros servidores DNS e clientes de novos servidores que são autorizados para a nova zona. Esses registros de recursos incluem os seguintes registros:
- Um registo de recurso do servidor de nomes (NS) para efetuar a delegação. Esse registro de recurso anuncia que o servidor nomeado
ns1.na.example.microsoft.comé um servidor autoritativo para o subdomínio delegado. - Um registro de recurso de host (A ou AAAA), que também é conhecido como um registro de cola. Esse registro deve estar presente para resolver o nome do servidor especificado no registro de recurso NS para seu endereço IP. The process of resolving the host name in this resource record to the delegated DNS server in the NS resource record is sometimes referred to as glue chasing.
Você pode fazer com que o Assistente de Configuração dos Serviços de Domínio Ative Directory crie esses registros automaticamente. Na página Opções do Controlador de Domínio , se você selecionar Avançar, o assistente verificará se os registros apropriados existem na zona DNS pai. Se o assistente não puder verificar se os registros existem no domínio pai, ele fornecerá a opção de criar uma delegação DNS para um novo domínio (ou atualizar a delegação existente) automaticamente e continuar com a instalação do novo controlador de domínio.
Como alternativa, você pode criar esses registros de delegação DNS antes de instalar a função de servidor DNS. To create a zone delegation, open DNS Manager, right-click the parent domain, and then select New Delegation. Siga as etapas no Assistente de Nova Delegação para criar a delegação.
O processo de instalação tenta criar a delegação para garantir que computadores em outros domínios possam resolver consultas DNS para hosts, incluindo controladores de domínio e computadores membros, no subdomínio DNS. Os registros de delegação podem ser criados automaticamente somente em servidores DNS da Microsoft. If the parent DNS domain zone resides on third-party DNS servers such as Berkeley Internet Name Domain (BIND) servers, a warning about the failure to create DNS delegation records appears on the Prerequisites Check page. Para obter mais informações sobre o aviso, consulte Problemas conhecidos para instalar e remover o AD DS.
As delegações entre o domínio pai e o subdomínio que está sendo promovido podem ser criadas e validadas antes ou depois da instalação. Não há razão para atrasar a instalação de um novo controlador de domínio porque não é possível criar ou atualizar a delegação DNS.
Para obter mais informações sobre delegação, consulte Noções básicas sobre delegação de zona. Se a delegação de zona não for possível em sua situação, você poderá considerar outros métodos para fornecer resolução de nomes de outros domínios para os hosts em seu domínio. Por exemplo, o administrador DNS de outro domínio pode configurar o encaminhamento condicional, zonas de stub ou zonas secundárias para resolver nomes no seu domínio. Para obter mais informações, consulte os seguintes recursos:
RODC Options
A captura de tela a seguir mostra as opções que aparecem quando você instala um RODC.
Você pode usar a opção Conta de administrador delegado para especificar as contas às quais são atribuídas permissões administrativas locais ao RODC. Esses usuários podem operar com privilégios equivalentes ao grupo Administradores do computador local. Eles não são membros dos grupos Administradores do Domínio ou Administradores internos do domínio. Esta opção é útil para delegar a administração da filial sem conceder permissões administrativas de domínio. Não é necessário configurar a delegação de administração. Para obter mais informações, consulte Separação de funções de administrador.
Você pode usar as opções restantes na página para configurar a política de replicação de senha (PRP), que atua como uma lista de controle de acesso (ACL). Esta política determina se um RODC pode armazenar uma senha em cache. Após o RODC receber uma solicitação de entrada de um usuário autenticado ou de um computador, ele consulta o PRP para determinar se a senha da conta deve ser armazenada em cache. A mesma conta pode então executar entradas subsequentes de forma mais eficiente. Quando uma conta é armazenada em cache, o RODC pode autenticá-la mesmo que o link da WAN para o site do hub esteja offline.
O PRP lista dois tipos de contas:
- Contas que têm senhas que podem ser armazenadas em cache
- Contas que têm senhas que são explicitamente negadas de serem armazenadas em cache
Se uma conta de usuário ou computador estiver na lista de contas que podem ser armazenadas em cache, o RODC não necessariamente armazenou em cache a senha dessa conta. Por exemplo, um administrador pode especificar antecipadamente as contas que um RODC deve armazenar em cache.
As senhas não são armazenadas em cache para nenhuma conta de usuário ou computador que não seja negada ou permitida, explícita ou implicitamente. Se esses usuários ou computadores não tiverem acesso a um controlador de domínio gravável, eles não poderão acessar os recursos ou funcionalidades fornecidos pelo AD DS. Para obter mais informações sobre o PRP, consulte Política de replicação de senha. Para obter mais informações sobre como gerenciar o PRP, consulte Administrando a política de replicação de senha.
Para obter mais informações sobre como instalar RODCs, consulte Instalar um Ative Directory do Windows Server 2012 Read-Only Controlador de Domínio (RODC) (Nível 200).
Additional Options
The following screenshot shows the option that appears on the Additional Options page when you create a domain:
The following screenshot shows the options that appear on the Additional Options page when you add a domain controller to an existing domain:
You can use the Replicate from option to specify a domain controller as the replication source, or to allow the wizard to choose any domain controller as the replication source.
Você pode usar a opção Instalar da mídia para especificar uma fonte de mídia previamente copiada que será utilizada para instalar o controlador de domínio. If the installation media is stored locally, you can use the Path option to select the file location. Esta opção não está disponível para uma instalação remota. You can select Verify to ensure the provided path is valid media. Você deve criar a mídia a ser utilizada nesta opção usando o Backup do Windows Server ou
ntdsutil.exeproveniente de outro computador Windows Server existente. Não é possível usar um sistema operacional anterior ao Windows Server 2012 para criar mídia para o controlador de domínio. Se a mídia estiver protegida com uma senha SysKey, o Gerenciador do Servidor solicitará a senha da imagem durante a verificação.
Para obter mais informações sobre como criar um domínio, consulte Instalar um novo domínio filho ou de árvore do Ative Directory do Windows Server 2012 (nível 200). Para obter mais informações sobre como adicionar um controlador de domínio a um domínio existente, consulte Instalar uma réplica do controlador de domínio do Windows Server 2012 em um domínio existente (nível 200).
Paths
The following screenshot shows the options that appear on the Paths page:
You can use the Paths page to override the default folder locations of the AD DS database (NTDS.DIT), the database transaction logs, and the SYSVOL share. Os locais padrão estão sempre na %systemroot% pasta. Para uma instalação local, você pode selecionar um local para armazenar os arquivos.
Preparation Options
The following screenshot shows the Preparation Options page:
Esta página solicita que forneça credenciais para executar adprep.exe. O assistente exibe esta página quando ambas as condições a seguir se encontram satisfeitas:
- No momento, você não está conectado com credenciais suficientes para executar
adprep.execomandos. - Para concluir a instalação do AD DS, é necessário executar
adprep.exe.
A adprep.exe ferramenta é necessária para ser executada nas seguintes situações:
O
adprep /forestprepcomando deve ser executado para adicionar o primeiro controlador de domínio que executa o Windows Server 2012 a uma floresta existente. Para executar esse comando, você deve ser membro do grupo Administradores de Empresa, do grupo Administradores de Esquema e do grupo Administradores de Domínio do domínio que hospeda o mestre de esquema. Para que esse comando seja executado com êxito, deve haver conectividade entre o computador onde você executa o comando e o mestre de esquema para a floresta.O
adprep /domainprepcomando deve ser executado para adicionar o primeiro controlador de domínio que executa o Windows Server 2012 a um domínio existente. Este comando deve ser executado por um membro do grupo Administradores do Domínio do domínio onde você instala o controlador de domínio que executa o Windows Server. Para que esse comando seja executado com êxito, deve haver conectividade entre o computador onde você executa o comando e o mestre de infraestrutura do domínio.O
adprep /rodcprepcomando deve ser executado para adicionar o primeiro RODC a uma floresta existente. Este comando deve ser executado por um membro do grupo Administradores de Empresa. Para que esse comando seja executado com êxito, deve haver conectividade entre o computador onde você executa o comando e o mestre de infraestrutura para cada partição de diretório de aplicativos na floresta.
For more information about adprep.exe, see Adprep.exe integration and Running Adprep.exe.
Review Options
The following screenshot shows the Review Options page:
You can use the Review Options page to validate your settings and ensure that they meet your requirements before you start the installation. Esta página não é a última oportunidade no Gerenciador do Servidor para interromper a instalação. Pode utilizar esta página para rever e confirmar as suas definições antes de continuar a configuração.
On this page, you also have the option of using the View script button to create a Unicode text file that contains the current
ADDSDeploymentmodule configuration as a single Windows PowerShell script. Como resultado, você pode usar a interface gráfica do Gerenciador do Servidor como um estúdio de implantação do Windows PowerShell:- Use o Assistente de Configuração dos Serviços de Domínio Ative Directory para configurar opções.
- Exporte a configuração.
- Cancele o assistente.
Este processo cria uma amostra válida e sintaticamente correta para posterior modificação ou uso direto.
Prerequisites Check
The following screenshot shows the Prerequisites Check page:
Esta página exibe possíveis problemas detetados durante a verificação de pré-requisitos. Os resultados podem listar avisos, incluindo os seguintes:
Os controladores de domínio que executam o Windows Server têm uma configuração padrão, Permitir algoritmos de criptografia compatíveis com o Windows NT 4, que impede que os clientes que usam algoritmos de criptografia mais fracos estabeleçam sessões de canal seguras. Para obter mais informações sobre o impacto potencial e uma solução alternativa, consulte Desabilitar a configuração AllowNT4Crypto em todos os controladores de domínio afetados.
Não é possível criar ou atualizar uma delegação DNS. For more information, see DNS Options.
As chamadas WMI (Instrumentação de Gerenciamento do Windows) falham. A verificação de pré-requisitos requer chamadas WMI. Se uma chamada WMI estiver bloqueada por regras de firewall, ela poderá falhar e retornar um erro de servidor de chamada de procedimento remoto (RPC) indisponível.
For more information about the specific prerequisite checks that are performed for AD DS installation, see Prerequisite tests.
Results
The following screenshot shows the Results page:
Nesta página, você pode revisar os resultados da instalação.
Você também pode reiniciar o servidor de destino a partir desta página após o assistente terminar. Mas se a instalação for bem-sucedida, o servidor será reiniciado, independentemente de você selecionar essa opção.
Em alguns casos, o servidor de destino não consegue reiniciar. Se o assistente completar num servidor de destino que não esteja ligado ao domínio antes da instalação, o estado do sistema do servidor de destino pode tornar o mesmo inacessível na rede. O estado do sistema também pode impedir que você tenha permissões para gerenciar o servidor remoto.
Se o servidor de destino falhar ao reiniciar nesses casos, você deverá reiniciá-lo manualmente. Você não pode usar ferramentas, como shutdown.exe o Windows PowerShell, para reiniciá-lo. Você pode usar os Serviços de Área de Trabalho Remota para entrar e desligar remotamente o servidor de destino.
Páginas ao rebaixar um controlador de domínio
As seções a seguir descrevem as páginas que você vê quando usa o Assistente de Configuração dos Serviços de Domínio Ative Directory para rebaixar um controlador de domínio.
Credentials
The following screenshot shows the Credentials page that appears at the start of the demotion process.
Nesta página, você configura as opções de rebaixamento. As seguintes credenciais são necessárias para executar o rebaixamento em várias situações:
Rebaixar um controlador de domínio adicional requer credenciais de administrador de domínio. Selecionar Forçar remoção do controlador de domínio rebaixa o controlador de domínio sem remover os metadados associados ao objeto do controlador de domínio no Active Directory.
Important
Não selecione a opção Forçar a remoção deste controlador de domínio , a menos que o controlador de domínio não possa entrar em contato com outros controladores de domínio e não haja uma maneira razoável de resolver esse problema de rede. O rebaixamento forçado deixa metadados órfãos no Active Directory nos restantes controladores de domínio na foresta. Além disso, todas as alterações não replicadas nesse controlador de domínio, como senhas ou novas contas de usuário, são perdidas para sempre. Os metadados órfãos são a causa raiz em uma porcentagem significativa dos casos de suporte da Microsoft para AD DS, Microsoft Exchange, SQL Server e outros softwares. If you forcibly demote a domain controller, you must manually perform metadata cleanup immediately. Para obter instruções, consulte Limpar metadados do servidor.
Rebaixar o último controlador de domínio em um domínio requer a associação ao grupo Administradores Corporativos, porque essa ação remove o próprio domínio. Se o domínio for o último na floresta, essa ação também removerá a floresta. O Gerenciador do Servidor informa se o controlador de domínio atual é o último controlador de domínio no domínio. Selecione Último controlador de domínio no domínio para confirmar que o controlador de domínio é o último controlador de domínio no domínio.
Para obter mais informações sobre como remover o AD DS, consulte Remover Active Directory Domain Services (Nível 100) e Despromover controladores de domínio e domínios.
Warnings
Quando você usa o Gerenciador do Servidor para rebaixar um controlador de domínio, o assistente exibe avisos em determinados casos. If the domain controller also hosts other roles, such as the DNS server or global catalog server roles, the following Warnings page appears:
Before you can select Next to continue, you must select Proceed with removal to acknowledge that demoting the domain controller makes those roles unavailable.
Se forçar a remoção de um controlador de domínio:
Todas as alterações de objeto do Ative Directory que não são replicadas para outros controladores de domínio no domínio são perdidas.
Todas as partições de diretório de aplicativos no controlador de domínio são removidas. Se o controlador de domínio mantiver a última réplica de uma ou mais partições de diretório de aplicativos, essas partições não existirão mais quando a operação de remoção for concluída.
As operações críticas no domínio e na floresta podem ser afetadas das seguintes maneiras se o controlador de domínio hospedar determinadas funções:
Role Resultado da remoção do controlador de domínio Medidas a tomar antes de continuar Global catalog Os usuários podem ter problemas para entrar em domínios na floresta. Verifique se há servidores de catálogo global suficientes na floresta e no site para atender as entradas do usuário. Se necessário, designe outro servidor de catálogo global e atualize clientes e aplicativos com as novas informações. servidor DNS Todos os dados DNS armazenados em zonas integradas ao Ative Directory são perdidos. Depois de remover o AD DS, o servidor DNS não consegue executar a resolução de nomes para as zonas DNS que estavam integradas ao Ative Directory. Atualize a configuração DNS de todos os computadores que atualmente se referem ao endereço IP do servidor DNS para resolução de nomes. Configure-os com o endereço IP de um novo servidor DNS. Infrastructure master Os clientes no domínio podem ter dificuldade em localizar objetos em outros domínios. Transfira a função de mestre de infraestrutura para um controlador de domínio que não seja um servidor de catálogo global. Mestre de ID relativa (RID) Você pode ter problemas para criar contas de usuário, contas de computador e grupos de segurança. Transfira a função de mestre RID para um controlador de domínio no mesmo domínio que o controlador de domínio que está a ser rebaixado. Emulador de controlador de domínio primário (PDC) As operações executadas pelo emulador de PDC, como atualizações de Diretiva de Grupo e redefinições de senha para contas que não sejam do AD DS, não funcionam corretamente. Transfira a função de mestre do emulador PDC para um controlador de domínio que esteja no mesmo domínio do controlador de domínio que você está rebaixando. Schema master Não é mais possível modificar o esquema da floresta. Transfira a função de mestre de esquema para um controlador de domínio no domínio raiz da floresta. Mestre de nomenclatura de domínio Não é mais possível adicionar ou remover domínios da floresta. Transfira a função de mestre de nomeação de domínio para um controlador de domínio no domínio raiz da floresta.
Antes de remover um controlador de domínio que hospeda quaisquer funções de mestre de operações, tente transferir a função para outro controlador de domínio.
Se não for possível transferir a função, primeiro remova o AD DS do computador. Em seguida, capture a função usando ntdsutil.exe no controlador de domínio para o qual pretende transferir a função. Se possível, use um parceiro de replicação recente no mesmo local do controlador de domínio que está a ser rebaixado. Para obter mais informações sobre como transferir e apreender funções de mestre de operações, consulte Transferir ou apreender funções de mestre de operação nos Serviços de Domínio Ative Directory.
Se o assistente não puder determinar se o controlador de domínio hospeda uma função de mestre de operações, execute o netdom.exe comando para determinar se o controlador de domínio executa quaisquer funções de mestre de operações.
Depois de desinstalar o AD DS do último controlador de domínio no domínio, o domínio não existe mais.
Removal Options
Se o controlador de domínio rebaixado for um servidor DNS delegado para hospedar a zona DNS, você verá a página a seguir. Ele fornece a opção de remover o servidor DNS da delegação da zona DNS.
Para obter mais informações sobre como remover o AD DS, consulte Remover Active Directory Domain Services (Nível 100) e Despromover controladores de domínio e domínios.
Nova palavra-passe de administrador
A página Nova Senha de Administrador exige que você forneça uma senha para a conta de Administrador do computador local interno. Essa senha é usada quando o rebaixamento é concluído e o computador se torna um servidor membro do domínio ou um computador do grupo de trabalho.
Para obter mais informações sobre como remover o AD DS, consulte Remover Active Directory Domain Services (Nível 100) e Despromover controladores de domínio e domínios.
Review Options
The following screenshot shows the Review Options page that you see when you demote a domain controller:
Você pode usar esta página para rever suas seleções e iniciar o rebaixamento.
Esta página também oferece a chance de exportar as definições de configuração para despromoção para um script do Windows PowerShell, para que você possa automatizar outras despromoções.
To demote the server, select Demote.