Ao instalar os Serviços de Domínio Active Directory (AD DS), você escolhe uma das seguintes configurações possíveis de implantação:

  • Adicionando um novo controlador de domínio a um domínio

  • Adicionar um novo domínio filho a uma floresta ou, como opção, adicionar uma nova árvore de domínio

    Observação

    A opção de instalar uma nova árvore de domínio é exibida apenas se você marcar a caixa de seleção Usar instalação em modo avançado na página Assistente de Instalação dos Serviços de Domínio Active Directory do Assistente de Instalação dos Serviços de Domínio Active Directory.

  • Criando uma nova floresta

As seções seguintes descrevem detalhadamente cada uma das configurações de implantação.

Adicionando um novo controlador de domínio a um domínio

Caso já possua um controlador de domínio em um domínio, será possível adicionar outros controladores ao domínio para melhorar a disponibilidade e a confiabilidade dos serviços de rede. A adição de outros controladores de domínio pode ajudá-lo a fornecer tolerância à falhas, balancear a carga dos controladores de domínio existentes e oferecer suporte de infraestrutura adicional aos sites.

Mais de um controlador de domínio em um domínio faz com que o domínio continue a funcionar no caso de falha ou de desconexão de um controlador de domínio. Vários controladores de domínio também podem melhorar o desempenho, ao tornar fácil para os clientes a conexão com um controlador quando eles fazem logon na rede.

Preparando um domínio existente

Antes de adicionar um controlador de domínio que está executando o Windows Server 2008 R2 a um domínio Active Directory existente, é necessário preparar a floresta e o domínio executando Adprep.exe. Execute a versão do Adprep incluída na mídia de instalação do Windows Server 2008 R2. Essa versão do Adprep adiciona objetos de esquema e atributos necessários para os controladores de domínio que executam o Windows Server 2008 R2, e modifica as permissões em objetos novos e existentes.

Execute os seguintes parâmetros adprep conforme forem necessários para o seu ambiente:

  • Execute adprep /forestprep uma vez no controlador de domínio da floresta que contém a função mestre de operações do esquema (o mestre do esquema) antes de adicionar um controlador de domínio que execute o Windows Server 2008 R2. Para executar esse comando, é necessário ser um membro do grupo Administradores Corporativos, do grupo Administradores de Esquema e do grupo Administradores de Domínio do domínio que contém o mestre de esquema.

  • Além disso, execute adprep /domainprep /gpprep uma vez no controlador de domínio que contém a função mestre de operações de infraestrutura (o mestre de infraestrutura) em cada domínio no qual você planeja adicionar um controlador de domínio que execute o Windows Server 2008 R2. Para executar este comando, é necessário ser um membro do grupo Administradores de Domínio.

  • Se você pretende implantar um controlador de domínio somente leitura (RODC) em qualquer domínio da floresta, também deverá executar adprep /rodcprep uma vez na floresta. Você pode executar esse comando em qualquer computador da floresta. Para executar esse comando, é necessário ser um membro do grupo Administradores Corporativos. Para obter mais informações, consulte Preparar uma Floresta para um Controlador de Domínio Somente Leitura (https://go.microsoft.com/fwlink/?LinkId=93244).

Instalação pela mídia

Ao instalar um novo controlador de domínio em um domínio existente, será possível escolher se deverá instalar pela mídia (IFM), na qual o banco de dados de domínio é copiado da mídia em vez de pela rede. Essa opção está disponível no Assistente de Instalação dos Serviços de Domínio Active Directory Domain apenas se a caixa de seleção Usar a instalação em modo avançado na página de Bem-vindo estiver marcada. A ferramenta recomendável para criar a mídia de instalação é o subcomando ntdsutil ifm. Para obter mais informações sobre o uso do IFM, consulte Instalando da mídia.

Adicionando um novo domínio a uma floresta

Por padrão, a nova floresta criada conterá um domínio, conhecido como domínio raiz da floresta. Esse único domínio pode acomodar milhares de usuários, mesmo que apenas uma pequena quantidade de largura de banda na rede esteja disponível para a replicação do Active Directory. Portanto, um único domínio normalmente é suficiente para a maioria das organizações de pequeno é médio porte. A adição de mais domínios à floresta aumenta de forma significativa as necessidades de administração da floresta.

Organizações maiores, portanto, podem decidir adicionar domínios filhos à floresta para que os dados do domínio sejam replicados apenas onde são necessários. Um domínio filho compartilha um namespace contínuo com seu domínio pai. Por exemplo, sales.contoso.com é um domínio filho de contoso.com. Um domínio filho automaticamente possui uma confiança transitiva mútua com seu domínio pai.

Um novo domínio que não compartilha um namespace contínuo com seu domínio pai é conhecido como uma nova árvore de domínio. Para obter mais informações sobre a criação de uma nova árvore de domínio, consulte Criação de uma nova árvore de domínio posteriormente neste tópico.

Ao adicionar domínios à floresta, você estará particionando o AD DS, o que permite que os dados sejam replicados apenas nos locais nos quais são necessários. Desse modo, uma única floresta do Active Directory pode dimensionar de forma global para acomodar centenas de milhares—ou ainda milhões—de usuários em uma rede que possui largura de banda limitada.

Requisitos para a criação de um novo domínio

Ao criar um novo domínio filho, você deve ser membro do grupo Admins. do Domínio no domínio pai ou do grupo Administradores Corporativos para prosseguir. Ao criar uma nova árvore de domínio, é necessário ser um membro do grupo Administradores Corporativos.

O Assistente de Instalação dos Serviços de Domínio Active Directory permite nomes de domínio Active Directory de até 64 caracteres ou de até 155 bytes. Ainda que o limite de 64 caracteres normalmente seja atingido antes do limite de 155 bytes, o oposto pode acontecer caso o nome contenha caracteres Unicode que consomem três bytes. Esses limites não se aplicam aos nomes dos computadores.

Durante a instalação, uma delegação de zona DNS é criada por Dcpromo.exe. Se a criação da delegação de zona DNS falhar ou você optar por não criá-la (o que não é recomendável), será necessário criar uma zona de delegação de forma manual. Para obter mais informações sobre a criação de uma delegação de zona, consulte Criando ou atualizando uma Delegação de DNS.

Antes da adição do domínio, é necessário criar uma delegação DNS na a zona DNS que corresponde ao nome do domínio Active Directory a ser adicionado. O Assistente de Instalação dos Serviços de Domínio Active Directory verifica se existe a delegação de DNS. Caso ela não exista, o assistente oferecerá uma opção para criá-la automaticamente durante a criação do novo domínio.

Criando uma nova árvore de domínio

A nova árvore de domínio deve ser criada apenas quando você precisar criar um domínio cujo namespace DNS não esteja relacionado aos outros domínios na floresta. Isso significa que o nome do domínio raiz da árvore (e todos os domínios filhos abaixo dele) não precisam conter o nome completo do domínio pai.

Por exemplo, treyresearch.net pode ser uma árvore de domínio na floresta contoso.com. As novas árvores de domínio normalmente são criadas como parte de uma aquisição comercial ou pela incorporação de várias empresas. Uma floresta pode conter uma ou mais árvores de domínio.

Antes de criar uma nova árvore de domínio, considere a criação de outra floresta quando desejar um namespace DNS diferente. Várias florestas oferecem a autonomia administrativa, o isolamento do esquema e configuração de partições de diretório, limites de segurança separados e a flexibilidade de usar um design de namespace diferente para cada floresta.

Criando uma nova floresta

Para criar uma nova floresta, é necessário ser um membro do grupo Administradores local no qual você está instalando o AD DS.

Nomes DNS e NetBIOS

Antes de criar uma nova floresta, verifique se sua infraestrutura DNS está totalmente planejada. Para criar uma nova floresta, é necessário saber o nome DNS completo dela. É possível instalar o serviço de Servidor DNS antes de instalar o AD DS ou, preferencialmente, você pode optar para que o Assistente de Instalação dos Serviços de Domínio Active Directory Domain Services instale o serviço de Servidor DNS para você.

Caso o assistente instale o serviço do Servidor DNS, o assistente usa o nome DNS fornecido para gerar automaticamente um nome NetBIOS para o primeiro domínio na floresta. O assistente verifica se os nomes DNS e NetBIOS são exclusivos na rede antes de continuar. É necessário marcar a caixa postal Usar a instalação em modo avançado na página Assistente de Instalação dos Serviços de Domínio Active Directory para especificar um nome NetBIOS diferente do gerado automaticamente pelo assistente.

Observação

A página Nome NetBIOS do Domínio do assistente também é exibida caso o nome NetBIOS gerado automaticamente entre em conflito com um nome existente.

Por padrão, o serviço de Servidor DNS é instalado no primeiro controlador de domínio em uma floresta. Caso já possua uma infraestrutura DNS configurada para oferecer suporte a resolução de nome na nova floresta, você pode desmarcar a caixa de seleção Servidor DNS na página Opções Adicionais do assistente. No entanto, se não tiver uma infraestrutura que ofereça suporte a DNS já instalada, aceite a configuração padrão para que o assistente instale o serviço de Servidor DNS no primeiro controlador de domínio da floresta.

Depois que você clicar em Avançar para prosseguir, o Assistente de Instalação dos Serviços de Domínio Active Directory examina a infraestrutura DNS existente. Se tiver desmarcado a caixa de seleção Servidor DNS, o assistente executará testes de diagnóstico para verificar se a infraestrutura de suporte à DNS está instalada corretamente. Se os testes de diagnóstico falharem, você novamente terá a opção de instalar o serviço de Servidor DNS usando assistente.

Níveis funcionais

Em uma nova floresta, o nível funcional de floresta padrão é Windows 2000 e o nível funcional de domínio é Windows 2000 nativo. Esses são os níveis funcionais mais baixos possíveis e permitem que os controladores de domínio executem o Windows Server 2003, Windows® 2000 Server, o Windows Server 2008 ou o Windows Server 2008 R2.

Caso não pretenda adicionar controladores de domínio que executem essas versões anteriores do Windows Server, selecione níveis funcionais mais altos para habilitar os recursos avançados. Se você selecionar Windows Server 2008 R2 como o nível funcional da floresta, todos os domínios adicionados à floresta posteriormente serão criados no nível funcional de domínio Windows Server 2008 R2. Portanto, a página Definir Nível Funcional de Domínio não será exibida no Assistente de Instalação dos Serviços de Domínio Active Directory. Se você selecionar um nível funcional de floresta diferente, será possível definir o nível funcional do domínio de forma independente para cada domínio na floresta. Para obter mais informações sobre níveis funcionais, consulte Configurando o nível funcional do domínio ou da floresta.

Funções do mestre de operações

O primeiro controlador de domínio desse domínio hospeda todas as funções mestre de operações (também conhecidas como flexible single master operations, FSMO) da floresta.

Controladores de domínio adicionais no domínio são recomendados para aumentar a disponibilidade e a tolerância à falhas do AD DS. Depois de criar controladores de domínio adicionais, você pode desejar transferir algumas das funções mestre de operações que estão hospedadas no primeiro controlador de domínio para esses outros controladores. Se pretende criar uma floresta de vários domínios e os controladores de domínio no domínio raiz da floresta não serão servidores de catálogo global, será necessário transferir pelo menos a função mestre de infraestrutura do domínio raiz da floresta para outro controlador de domínio no domínio que não é um servidor de catálogo global.

Para obter mais informações sobre as funções mestre de operações de gerenciamento, consulte Garanta o êxito das operações do Active Directory gerenciando funções de mestre de operações.


Sumário