Windows Server 2016 –
O que há de novo e como isso
impacta o seu Active Directory
INTRODUÇÃO
O Windows Server 2016 representa um grande avanço para o
sistema operacional Windows. Assim como o Windows Server
2012 e o 2012 R2, o Windows Server 2016 inclui centenas de
novos recursos e fornece incríveis novas funcionalidades que
antes não estavam disponíveis aos administradores do Windows.
Embora possa ser tentador apressar a implementação de algumas
dessas novas funcionalidades com o lançamento do sistema
operacional, administradores cautelosos usarão esse tempo até
a implementação para avaliar a integridade e a prontidão de seus
ambientes de Active Directory (AD).
O QUE HÁ DE NOVO NO WINDOWS SERVER 2016?
O Windows Server 2016 oferece uma variedade de novos recursos
e aprimoramentos. Veja algumas das melhorias do Active Directory
que são especialmente notáveis:
Associação temporária a grupos
A associação temporária a grupos permite que os administradores
adicionem usuários a grupos de segurança por tempo limitado. Por
exemplo, um administrador pode conceder a um usuário apenas
o tempo necessário para que ele instale um aplicativo ou conclua
um projeto específico. No entanto, vale ressaltar que esse recurso
requer que o Active Directory opere no nível funcional do Windows
Server 2016. Portanto, agora as organizações devem começar a
pensar no que será necessário para realizar a transição ao nível
funcional requerido.
Serviço de Federação do Active Directory
A Microsoft também está aplicando mudanças significativas ao
Serviço de Federação do Active Directory (AD FS). Estas são
especialmente importantes:
• Controle de acesso condicional — Anteriormente, o controle de
acesso baseado no Active Directory era relativamente simples,
já que os administradores podiam, no geral, assumir que os
usuários fariam login de um computador associado a um domínio
adequadamente protegido pela diretiva de grupo. Após serem
autenticados com sucesso no Active Directory, os usuários
podiam acessar quaisquer recursos aos quais tivessem recebido
permissão.
Porém, atualmente, os usuários acessam os recursos a partir de to-
dos os tipos de dispositivos, muitos dos quais não são associados
a um domínio e que operam além do perímetro da organização. A
fim de aperfeiçoar a segurança nesse contexto atual, a Microsoft
 está introduzindo o recurso de Controle
de Acesso Condicional, o qual permite
que os administradores controlem me-
lhor as tentativas de acesso dos usuários
a recursos por meio do estabelecimen-
to de critérios adicionais que podem
ser implementados por aplicativo. Por
exemplo, um administrador pode exigir
autenticação de vários fatores e um
dispositivo compatível sempre que um
usuário acessar aplicativos empresariais
particularmente confidenciais.
• Suporte ao LDAP v3 — Outra importante
mudança que a Microsoft está aplicando
em relação ao AD FS é o suporte ao
LDAP v3. Essa nova funcionalidade
facilitará bastante a federação de
identidades em vários tipos de diretórios.
Por exemplo, uma organização que usa
um diretório que não seja da Microsoft
Antes de implementar para o controle de identidade e acesso
pode federar essas identidades para
o Windows Server o Office 365 ou a cloud do Azure. De
maneira semelhante, o suporte ao LDAP
2016, dedique um v3 tornará mais fácil a configuração de
tempo à limpeza login único para aplicativos SaaS.
e possivelmente DNS
É impossível falar de Active Directory
até mesmo à sem abordar também o DNS. Desde sua
reestruturação de concepção, o Windows Active Directory
tem tido uma dependência em relação ao
seu Active Directory. DNS. Apesar de os serviços de DNS do
Windows terem permanecido relativamente
inalterados por muitos anos, o Windows
Server 2016 apresenta muitas melhorias
de DNS e novos recursos, incluindo os
seguintes:
• Políticas de DNS — Uma das
funcionalidades mais significativas é a
capacidade de criar políticas de DNS.
As políticas de DNS permitem que os
administradores assumam o controle
sobre a forma que o DNS responde
a diversos tipos de consultas. Essas
políticas são úteis, por exemplo,
para balanceamento de carga e para
bloquear solicitações DNS de domínios
ou endereços IP maliciosos.
• Limite de taxa de resposta — Agora, os
administradores também podem limitar
a taxa ou as respostas de um servidor
DNS a consultas. Esse recurso foi
projetado para ajudar na proteção contra
ataques de negação de serviço por meio
da limitação da quantidade de vezes que
um DNS pode responder a solicitações
de um cliente por segundo.
• Microsoft IPAM — A mais significativa
melhoria no DNS está associada
ao recurso de Gerenciamento de
2
Endereço IP (IPAM) da Microsoft, que
ajuda os administradores a manterem o
controle sobre o uso de endereços IP.
Apesar de o Microsoft IPAM sempre ter
apresentado uma integração bastante
abrangente de DHCP, sua integração
de DNS era mínima. O Windows Server
2016 busca reverter isso por meio da
inclusão de coleção de inventário de
registros de host e funcionalidades de
gerenciamento de DNS. No entanto,
talvez o recurso de IPAM mais bem-
vindo seja o suporte a várias forests
do Active Directory. O recurso IPAM do
Windows Server 2016 será capaz de
gerenciar servidores DNS e DHCP em
várias forests do Active Directory, desde
que haja uma relação de confiança entre
essas forests, e o IPAM do Windows
Server 2016 esteja instalado em cada
forest.
LIMPEZA OU REESTRUTURAÇÃO
DO ACTIVE DIRECTORY
Antes da implementação do Windows
Server 2016, é importante dedicar um
tempo à limpeza e possivelmente até
mesmo à reestruturação de seu Active
Directory. Seguir as etapas abaixo pode
reduzir seus custos e prazos de migração
do Windows Server 2016, assim como
fornecer um novo ambiente muito mais
econômico e fácil de gerenciar e proteger.
Faça um inventário de seus controladores
de domínio
Uma das primeiras etapas do processo
de limpeza é fazer um inventário de seus
controladores de domínio. Idealmente,
todos os controladores de domínio
devem ser atualizados para o Windows
Server 2016. Se sua organização precisar
preservar qualquer controlador de domínio
legado, certifique-se de remover ou
atualizar qualquer um que estiver com
o Windows Server 2003 em execução,
pois ele não tem mais suporte. Além
disso, garanta que os níveis funcionais de
domínio e de forest estejam em um nível
além do Windows Server 2003.
Verifique seus aplicativos
Também certifique-se de fazer um inventário
de todos os aplicativos que dependam
do Active Directory para garantir que
suas atualizações não causarão nenhum
problema no nível do aplicativo. Como não
há ferramentas nativas que façam isso,
considere uma solução de terceiros, como
o Change Auditor for Active Directory
Queries da Quest.
Verifique a integridade do Active Directory
Objetos do Active Directory são
armazenados em bancos de dados
localizados em controladores de domínio.
Como qualquer outro tipo de banco de
dados, um banco de dados do Active
Directory pode apresentar problemas
relacionados à integridade do banco de
dados (e isso ocasionalmente ocorre). A
ferramenta nativa NTDSUTIL da Microsoft
pode verificar a soma de verificação
(checksum) do banco de dados do Active
Directory e realizar diversas verificações
de integridade do banco de dados. Porém,
o fato de que o Active Directory pode ser
distribuído por vários controladores de
domínio pode tornar essas verificações
inviáveis em ambientes maiores. Isso é
especialmente verdadeiro devido ao fato
de que é importante testar a integridade
do Active Directory continuamente.
Ferramentas de terceiros, como o Active
Administrator for Active Directory Health
da Quest, podem apresentar melhores
resultados com muito menos esforço.
Identifique e remova objetos órfãos
Objetos órfãos do Active Directory podem
apresentar riscos à segurança e devem ser
removidos. Organizações menores podem
conseguir limpar manualmente objetos
órfãos de computadores e de usuários do
Active Directory, mas esse tipo de limpeza
manual seria quase impossível em grandes
organizações, devido à imensa quantidade
de objetos de computadores e de usuários
que há nelas e à dificuldade de diferenciar
entre um objeto que já não é mais necessário
e um que ainda está em uso.
Um obstáculo adicional à limpeza manual
é que ferramentas como o console de
Computadores e Usuários do Active
Directory não expõem a maioria dos
objetos presentes no Active Directory. A
Microsoft fornece uma ferramenta gratuita,
a ADSIEdit, que expõe todos os objetos
presentes no Active Directory. Entretanto, a
ADSIEdit ignora as proteções incorporadas
ao console de Computadores e Usuários
do AD e pode, consequentemente, causar
perda de dados ou corromper o Active
Directory, se usada indevidamente. Por
essa razão, caso deseje limpar seu Active
Directory usando a ADSIEdit, certifique-
se de primeiramente fazer o backup
do Active Directory, e de compreender
completamente as repercussões de cada
ação que você tomar. É possível reduzir
significativamente o risco e a complexidade
da identificação e remoção de objetos
3
órfãos com o uso de uma ferramenta de
terceiros.
Considere uma reestruturação
A migração para o Windows Server 2016
oferece a você a oportunidade de entender
melhor os seus dados de servidor de
arquivos e como eles são organizados. Ela
também permite que você reestruture o AD
para atender melhor às suas necessidades
atuais e futuras. Por exemplo, você precisará
entender quais dados do servidor de
arquivos devem e não devem ser migrados.
Também é possível que você perceba
a necessidade de consolidar algumas
forests ou de configurar novas partes da
infraestrutura para escritórios remotos que
não existiam quando o AD foi originalmente
implantado. Muitas organizações
implantaram o AD pela primeira vez no A migração para
Windows Server em 2000, e a topologia do
AD ainda parece praticamente a mesma. o Windows Server
No entanto, é mais do que provável que as
necessidades e os modelos de negócios 2016 possibilita
da sua organização tenham mudado
consideravelmente desde 2000.
a reestruturação
do seu AD para
Minimize o impacto nos negócios
Uma análise completa de todos os
melhor atender às
aplicativos, processos e usuários que necessidades atuais
precisam de acesso ajudará você a
garantir que os recursos e os aplicativos e futuras de sua
apropriados estejam disponíveis no
momento da migração. É essencial organização.
identificar fluxos de trabalho, caixas de
correio, programas e outras partes da
infraestrutura que podem ser afetadas
antes de realizar a migração.
Faça a si mesmo as seguintes importantes
perguntas: como garantir que não haja
tempo de inatividade durante a transição?
O que é necessário fazer para garantir
que a produtividade dos funcionários
não seja impactada antes, durante e
depois da migração? Um erro comum
(e possivelmente fatal) é subestimar o
impacto da migração nos usuários e nas
operações e não analisar todos os pontos
de acesso. É possível evitar esses desafios
programando tarefas de migração intensiva
de recursos fora dos horários de pico
para minimizar o impacto nos sistemas
de produção, nos usuários finais e na
produtividade.
Não fornecer a coexistência perfeita entre
os sistemas existentes e os novos é outro
tipo de negligência frequente, que pode
levar a interrupções de serviço, perda
de produtividade e aumento dos custos
dos negócios. A coexistência é essencial
 em qualquer migração, consolidação
ou reestruturação do Active Directory,
pois os usuários precisam do acesso aos
recursos que os mantêm produtivos. Você
deve garantir que seus diretórios estejam
sincronizados e que os usuários possam
sempre acessar seus dados.
E QUANTO À CLOUD?
A Microsoft permite que as organizações
conectem seus ambientes do Active
Directory on-premises com o Azure AD e o
Office 365 por meio do Azure AD Connect.
Além de conectividade entre diretórios
no local e na cloud, o Azure AD Connect
também é capaz de fornecer serviços de
sincronização de diretórios. A fim de usar
o Azure AD Connect, uma organização
deve implantar um servidor do Azure AD
O tamanho do seu Connect. Esse servidor atua como um proxy
entre os diretórios no local e na cloud.
ambiente de AD
A limpeza do AD pode reduzir
pode ter um impacto significativamente os custos
direto e significativo As organizações que planejam usar o
Azure AD Connect devem concentrar seus
nos custos de uso do esforços em consolidar, reestruturar ou
Azure AD Connect. então limpar seus ambientes do Active
Directory previamente, já que os requisitos
Por isso, a limpeza do do Azure AD Connect variam com base na
quantidade de objetos no Active Directory,
diretório é essencial. e o tamanho do seu ambiente de Active
Directory pode ter um impacto direto e
significativo nos gastos relacionados ao
uso do Azure AD Connect.
De acordo com a Microsoft, o Azure AD
oferecerá suporte a até 50 mil objetos
de diretório como padrão. Esse limite
aumenta para 300 mil objetos uma vez
que um domínio tenha sido verificado em
preparação para o uso com o Azure AD.
Se uma organização exigir mais de 300
mil objetos de diretório, então a Microsoft
exigirá que um caso de suporte seja
aberto. Ainda assim, o limite é de 500 mil
objetos de diretório. Se o diretório precisar
acomodar mais de 500 mil objetos, a
Microsoft exigirá que a organização
adquira licenças do Office 365, Azure AD
Basic, Azure AD Premium ou o Enterprise
Mobility Suite. Portanto, organizações
com diretórios maiores poderão reduzir
seus custos se dedicarem determinado
tempo a reduzir a quantidade de objetos
armazenados em seus ambientes do Active
Directory.
A quantidade de objetos armazenados no
diretório de uma organização afeta não
somente os requisitos de licenciamento
do Azure AD, mas também os requisitos
4
de licenciamento do servidor do Azure AD
Connect. O Azure AD Connect armazena
informações de identidade do usuário. Por
padrão, o Azure AD Connect usa o SQL
Server 2012 Express, o qual a Microsoft
disponibiliza gratuitamente para seus
clientes. No entanto, vale ressaltar que
o SQL Server 2012 Express foi projetado
para tarefas mais simples. Diferentemente
de outras edições do SQL Server, o SQL
Server 2012 Express tem um limite de
tamanho de banco de dados de 10 GB.
De acordo com a Microsoft, um banco
de dados de 10 GB é suficiente para
armazenar aproximadamente 100 mil
objetos do Active Directory.
Organizações que tenham mais de 100
mil objetos em seus diretórios devem
configurar o Azure AD Connect para usar
uma instalação separada do SQL Server.
Como o Banco de dados SQL do Microsoft
Azure não apresenta suporte para uso
com o Azure AD Connect, a organização
precisará de um SQL Server totalmente
licenciado no local. Esse requisito supõe
não apenas os custos de licenciamento,
mas também custos associados ao
hardware e à manutenção contínua do
SQL Server. Portanto, organizações que
desejam usar o Azure AD podem alcançar
uma economia significativa por meio da
limitação da quantidade de objetos em
seus Active Directory.
Determinação da quantidade de objetos
no AD
É relativamente fácil determinar a quantidade
de objetos armazenados em um Active
Directory. Basta usar o cmdlet Get-ADObject
do PowerShell e especificar o nome do
domínio a ser examinado. Por exemplo, para
calcular a quantidade de objetos no domínio
Contoso.com, você usaria o comando:
Get-ADObject -Filter {name -like ‘*’}
-Searchbase ‘CN=Schema,
CN=Configuration,DC=Contoso,DC=COM’
-ResultSetSize $null | Measure-Object
Soluções de terceiros podem fornecer até
mesmo uma avaliação pré-migração mais
abrangente de sua infraestrutura atual,
incluindo o Active Directory, o Windows
Server e o SQL Server. Por exemplo, o
Enterprise Reporter for Active Directory
da Quest fornece visibilidade completa de
suas contas do Active Directory, incluindo
a capacidade de determinar quais estão
inativas ou desativadas. Isso permite que
você determine facilmente quantos grupos
existem e se há grupos duplicados ou vazios
que talvez não precisem ser migrados.
Os administradores quase sempre se
surpreendem ao descobrir quantos objetos
realmente existem em um Active Directory.
Uma pequena empresa com apenas dez
funcionários, por exemplo, pode facilmente
ter 5 mil objetos ou mais em seu Active
Directory.
Avaliação da integridade do Active
Directory
Como mencionado anteriormente, bancos
de dados do Active Directory podem
apresentar problemas relacionados à
integridade. Apesar da possibilidade
de operações diárias nunca revelarem
sintomas de leves corrupções no Active
Directory, tais problemas podem causar
falhas na sincronização dos diretórios com
a cloud. Por esse motivo, é importante
realizar etapas de verificação da integridade
do Active Directory antes de usar o Azure
AD Connect.
Como vimos, a ferramenta nativa NTDSUTIL
da Microsoft pode verificar a soma de
verificação (checksum) do banco de dados
do Active Directory e realizar diversas
verificações de integridade do banco de
dados. Porém, ferramentas de terceiros,
como o Active Administrator for Active
Directory Health da Quest, geralmente
apresentam melhores resultados com
muito menos esforço.
5
CONCLUSÃO
O Windows Server 2016 inclui inúmeras
melhorias ao Active Directory e a serviços
relacionados a diretórios, como o DNS e
o IPAM. Apesar de a Microsoft fornecer
um caminho de atualização para o Active
Directory, suas recomendações são
baseadas na suposição de que o ambiente
atual do Active Directory encontra-se Soluções de terceiros
em um estado de funcionamento ideal. A
tentativa de atualizar um Active Directory podem ajudá-lo a
não íntegro para uma nova versão do
Windows, assim como a de ampliar um limpar e reestruturar
Active Directory não íntegro para a cloud,
pode causar diversos tipos de problemas
o seu Active Directory
sérios. Isso é especialmente preocupante melhor e com menos
considerando que a corrupção do Active
Directory nem sempre resulta em sintomas esforço do que
perceptíveis.
ferramentas nativas.
Portanto, antes de atualizar seus
controladores de domínio para o Windows
Server 2016, é uma boa ideia testar
completamente seu Active Directory
e otimizar sua integridade. Faça um
inventário de seus controladores de
domínio, verifique a integridade do seu
banco de dados do AD e remova quaisquer
objetos órfãos. Além disso, verifique
objetivamente a topologia atual de seu
Active Directory e determine se uma
reestruturação seria benéfica. Finalmente,
planeje cuidadosamente para minimizar
o impacto da migração nos negócios.
SOBRE A QUEST
A Quest ajuda os clientes a reduzir as tarefas administrativas enfadonhas para que eles possam se dedicar à inovação necessária
para ampliar os negócios. As soluções Quest® são escaláveis, acessíveis e simples de usar, proporcionando eficiência e produtividade
sem comparação. Juntamente com o convite da Quest à comunidade global para fazer parte de sua inovação, assim como nosso firme
compromisso em garantir a satisfação dos clientes, a Quest continuará a acelerar o fornecimento das soluções mais abrangentes para
gerenciamento de cloud do Azure, SaaS, segurança, mobilidade da força de trabalho e insights conduzidos por dados.

© 2017 Quest Software Inc. TODOS OS DIREITOS RESERVADOS.

Este guia contém informações confidenciais protegidas por direitos autorais. O software descrito nesse guia é oferecido sob
uma licença de software ou um contrato de confidencialidade. Ele pode ser usado ou copiado apenas de acordo com os termos
do acordo aplicável. Nenhuma parte deste guia pode ser reproduzida ou transmitida em qualquer forma ou por qualquer meio,
eletrônico ou mecânico, inclusive fotocópia e gravação para qualquer propósito, sem a permissão por escrito da Quest Software Inc.

As informações deste documento são fornecidas em relação aos produtos da Quest Software. Este documento, isoladamente ou em
conjunto com a venda de produtos da Quest Software, não concede nenhuma licença, expressa ou implícita, por preclusão ou de
qualquer outra forma, a qualquer direito de propriedade intelectual. SALVO CONFORME DEFINIDO NOS TERMOS E CONDIÇÕES
DA QUEST SOFTWARE ESPECIFICADOS NOS CONTRATOS DE LICENÇA PARA ESTE PRODUTO, A QUEST SOFTWARE NÃO
ASSUME QUALQUER RESPONSABILIDADE E RENUNCIA A QUALQUER GARANTIA, EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA,
RELACIONADA A SEUS PRODUTOS, INCLUINDO, ENTRE OUTROS, A GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO
A DETERMINADO PROPÓSITO OU NÃO VIOLAÇÃO. EM HIPÓTESE ALGUMA, A QUEST SOFTWARE SERÁ RESPONSÁVEL POR
QUALQUER DANO DIRETO, INDIRETO, CONSEQUENCIAL, PUNITIVO, ESPECIAL OU INCIDENTAL (INCLUINDO, SEM LIMITAÇÕES,
DANOS POR LUCROS CESSANTES, INTERRUPÇÃO DOS NEGÓCIOS OU PERDA DE INFORMAÇÕES) DECORRENTES DO USO
OU DA INCAPACIDADE DE USO DESTE DOCUMENTO, MESMO QUE A QUEST SOFTWARE TENHA SIDO ALERTADA SOBRE A
POSSIBILIDADE DE TAIS DANOS. A Quest Software não se responsabiliza por qualquer garantia ou declaração referente à exatidão
ou à integridade deste documento e reserva-se o direito de fazer alterações em especificações e descrições de produtos a qualquer
momento, sem aviso prévio. A Quest Software não se compromete em atualizar as informações contidas neste documento.

Patentes

A Quest Software tem orgulho de nossa tecnologia avançada. Este produto pode ter a aplicação de patentes e de patentes pendentes.
Para ver as informações mais recentes sobre as patentes aplicáveis a esse produto, visite nosso site em www.quest.com/legal.

Marcas comerciais

Quest, Active Administrator e o logotipo Quest são marcas comerciais e marcas registradas da Quest Software Inc. Para conferir a
lista completa de marcas da Quest, acesse www.quest.com/legal/trademark-information.aspx. Todas as outras marcas comerciais
pertencem a seus respectivos proprietários.

Se você tiver dúvidas sobre o possível uso deste material, entre

em contato:

Quest Software Inc.

A/C: LEGAL Dept
4 Polaris Way
Aliso Viejo, CA 92656

Acesse nosso site (www.quest.com) para obter informações sobre

escritórios regionais ou internacionais.

WhitePaper-WindowsServer2016-US-GM-pt_BR-WL-25459