Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
2
Verifique a integridade do Active Directory órfãos com o uso de uma ferramenta de
terceiros.
Objetos do Active Directory são
armazenados em bancos de dados
Considere uma reestruturação
localizados em controladores de domínio.
Como qualquer outro tipo de banco de A migração para o Windows Server 2016
dados, um banco de dados do Active oferece a você a oportunidade de entender
Directory pode apresentar problemas melhor os seus dados de servidor de
relacionados à integridade do banco de arquivos e como eles são organizados. Ela
dados (e isso ocasionalmente ocorre). A também permite que você reestruture o AD
ferramenta nativa NTDSUTIL da Microsoft para atender melhor às suas necessidades
pode verificar a soma de verificação atuais e futuras. Por exemplo, você precisará
(checksum) do banco de dados do Active entender quais dados do servidor de
Directory e realizar diversas verificações arquivos devem e não devem ser migrados.
de integridade do banco de dados. Porém, Também é possível que você perceba
o fato de que o Active Directory pode ser a necessidade de consolidar algumas
distribuído por vários controladores de forests ou de configurar novas partes da
domínio pode tornar essas verificações infraestrutura para escritórios remotos que
inviáveis em ambientes maiores. Isso é não existiam quando o AD foi originalmente
especialmente verdadeiro devido ao fato implantado. Muitas organizações
de que é importante testar a integridade implantaram o AD pela primeira vez no A migração para
do Active Directory continuamente. Windows Server em 2000, e a topologia do
Ferramentas de terceiros, como o Active AD ainda parece praticamente a mesma. o Windows Server
No entanto, é mais do que provável que as
Administrator for Active Directory Health
da Quest, podem apresentar melhores necessidades e os modelos de negócios 2016 possibilita
resultados com muito menos esforço. da sua organização tenham mudado
consideravelmente desde 2000.
a reestruturação
Identifique e remova objetos órfãos do seu AD para
Minimize o impacto nos negócios
Objetos órfãos do Active Directory podem
apresentar riscos à segurança e devem ser Uma análise completa de todos os
melhor atender às
removidos. Organizações menores podem aplicativos, processos e usuários que necessidades atuais
conseguir limpar manualmente objetos precisam de acesso ajudará você a
órfãos de computadores e de usuários do garantir que os recursos e os aplicativos e futuras de sua
apropriados estejam disponíveis no
Active Directory, mas esse tipo de limpeza
manual seria quase impossível em grandes momento da migração. É essencial organização.
organizações, devido à imensa quantidade identificar fluxos de trabalho, caixas de
de objetos de computadores e de usuários correio, programas e outras partes da
que há nelas e à dificuldade de diferenciar infraestrutura que podem ser afetadas
entre um objeto que já não é mais necessário antes de realizar a migração.
e um que ainda está em uso.
Faça a si mesmo as seguintes importantes
Um obstáculo adicional à limpeza manual perguntas: como garantir que não haja
é que ferramentas como o console de tempo de inatividade durante a transição?
Computadores e Usuários do Active O que é necessário fazer para garantir
Directory não expõem a maioria dos que a produtividade dos funcionários
objetos presentes no Active Directory. A não seja impactada antes, durante e
Microsoft fornece uma ferramenta gratuita, depois da migração? Um erro comum
a ADSIEdit, que expõe todos os objetos (e possivelmente fatal) é subestimar o
presentes no Active Directory. Entretanto, a impacto da migração nos usuários e nas
ADSIEdit ignora as proteções incorporadas operações e não analisar todos os pontos
ao console de Computadores e Usuários de acesso. É possível evitar esses desafios
do AD e pode, consequentemente, causar programando tarefas de migração intensiva
perda de dados ou corromper o Active de recursos fora dos horários de pico
Directory, se usada indevidamente. Por para minimizar o impacto nos sistemas
essa razão, caso deseje limpar seu Active de produção, nos usuários finais e na
Directory usando a ADSIEdit, certifique- produtividade.
se de primeiramente fazer o backup
do Active Directory, e de compreender Não fornecer a coexistência perfeita entre
completamente as repercussões de cada os sistemas existentes e os novos é outro
ação que você tomar. É possível reduzir tipo de negligência frequente, que pode
significativamente o risco e a complexidade levar a interrupções de serviço, perda
da identificação e remoção de objetos de produtividade e aumento dos custos
dos negócios. A coexistência é essencial
3
em qualquer migração, consolidação de licenciamento do servidor do Azure AD
ou reestruturação do Active Directory, Connect. O Azure AD Connect armazena
pois os usuários precisam do acesso aos informações de identidade do usuário. Por
recursos que os mantêm produtivos. Você padrão, o Azure AD Connect usa o SQL
deve garantir que seus diretórios estejam Server 2012 Express, o qual a Microsoft
sincronizados e que os usuários possam disponibiliza gratuitamente para seus
sempre acessar seus dados. clientes. No entanto, vale ressaltar que
o SQL Server 2012 Express foi projetado
E QUANTO À CLOUD? para tarefas mais simples. Diferentemente
A Microsoft permite que as organizações de outras edições do SQL Server, o SQL
conectem seus ambientes do Active Server 2012 Express tem um limite de
Directory on-premises com o Azure AD e o tamanho de banco de dados de 10 GB.
Office 365 por meio do Azure AD Connect. De acordo com a Microsoft, um banco
Além de conectividade entre diretórios de dados de 10 GB é suficiente para
no local e na cloud, o Azure AD Connect armazenar aproximadamente 100 mil
também é capaz de fornecer serviços de objetos do Active Directory.
sincronização de diretórios. A fim de usar
Organizações que tenham mais de 100
o Azure AD Connect, uma organização
mil objetos em seus diretórios devem
deve implantar um servidor do Azure AD
configurar o Azure AD Connect para usar
O tamanho do seu Connect. Esse servidor atua como um proxy
uma instalação separada do SQL Server.
entre os diretórios no local e na cloud.
ambiente de AD Como o Banco de dados SQL do Microsoft
Azure não apresenta suporte para uso
A limpeza do AD pode reduzir
pode ter um impacto significativamente os custos com o Azure AD Connect, a organização
precisará de um SQL Server totalmente
direto e significativo As organizações que planejam usar o licenciado no local. Esse requisito supõe
Azure AD Connect devem concentrar seus não apenas os custos de licenciamento,
nos custos de uso do esforços em consolidar, reestruturar ou mas também custos associados ao
Azure AD Connect. então limpar seus ambientes do Active
Directory previamente, já que os requisitos
hardware e à manutenção contínua do
SQL Server. Portanto, organizações que
Por isso, a limpeza do do Azure AD Connect variam com base na desejam usar o Azure AD podem alcançar
quantidade de objetos no Active Directory, uma economia significativa por meio da
diretório é essencial. e o tamanho do seu ambiente de Active limitação da quantidade de objetos em
Directory pode ter um impacto direto e seus Active Directory.
significativo nos gastos relacionados ao
uso do Azure AD Connect. Determinação da quantidade de objetos
no AD
De acordo com a Microsoft, o Azure AD
oferecerá suporte a até 50 mil objetos É relativamente fácil determinar a quantidade
de diretório como padrão. Esse limite de objetos armazenados em um Active
aumenta para 300 mil objetos uma vez Directory. Basta usar o cmdlet Get-ADObject
que um domínio tenha sido verificado em do PowerShell e especificar o nome do
preparação para o uso com o Azure AD. domínio a ser examinado. Por exemplo, para
Se uma organização exigir mais de 300 calcular a quantidade de objetos no domínio
mil objetos de diretório, então a Microsoft Contoso.com, você usaria o comando:
exigirá que um caso de suporte seja
Get-ADObject -Filter {name -like ‘*’}
aberto. Ainda assim, o limite é de 500 mil
-Searchbase ‘CN=Schema,
objetos de diretório. Se o diretório precisar CN=Configuration,DC=Contoso,DC=COM’
acomodar mais de 500 mil objetos, a -ResultSetSize $null | Measure-Object
Microsoft exigirá que a organização
adquira licenças do Office 365, Azure AD Soluções de terceiros podem fornecer até
Basic, Azure AD Premium ou o Enterprise mesmo uma avaliação pré-migração mais
Mobility Suite. Portanto, organizações abrangente de sua infraestrutura atual,
com diretórios maiores poderão reduzir incluindo o Active Directory, o Windows
seus custos se dedicarem determinado Server e o SQL Server. Por exemplo, o
tempo a reduzir a quantidade de objetos Enterprise Reporter for Active Directory
armazenados em seus ambientes do Active da Quest fornece visibilidade completa de
Directory. suas contas do Active Directory, incluindo
a capacidade de determinar quais estão
A quantidade de objetos armazenados no inativas ou desativadas. Isso permite que
diretório de uma organização afeta não você determine facilmente quantos grupos
somente os requisitos de licenciamento existem e se há grupos duplicados ou vazios
do Azure AD, mas também os requisitos que talvez não precisem ser migrados.
4
Os administradores quase sempre se CONCLUSÃO
surpreendem ao descobrir quantos objetos
O Windows Server 2016 inclui inúmeras
realmente existem em um Active Directory.
melhorias ao Active Directory e a serviços
Uma pequena empresa com apenas dez
relacionados a diretórios, como o DNS e
funcionários, por exemplo, pode facilmente
o IPAM. Apesar de a Microsoft fornecer
ter 5 mil objetos ou mais em seu Active
um caminho de atualização para o Active
Directory.
Directory, suas recomendações são
Avaliação da integridade do Active baseadas na suposição de que o ambiente
Directory atual do Active Directory encontra-se Soluções de terceiros
em um estado de funcionamento ideal. A
Como mencionado anteriormente, bancos tentativa de atualizar um Active Directory podem ajudá-lo a
de dados do Active Directory podem não íntegro para uma nova versão do
apresentar problemas relacionados à Windows, assim como a de ampliar um limpar e reestruturar
integridade. Apesar da possibilidade
de operações diárias nunca revelarem
Active Directory não íntegro para a cloud,
pode causar diversos tipos de problemas
o seu Active Directory
sintomas de leves corrupções no Active sérios. Isso é especialmente preocupante melhor e com menos
Directory, tais problemas podem causar considerando que a corrupção do Active
falhas na sincronização dos diretórios com Directory nem sempre resulta em sintomas esforço do que
a cloud. Por esse motivo, é importante
realizar etapas de verificação da integridade
perceptíveis.
ferramentas nativas.
do Active Directory antes de usar o Azure Portanto, antes de atualizar seus
AD Connect. controladores de domínio para o Windows
Server 2016, é uma boa ideia testar
Como vimos, a ferramenta nativa NTDSUTIL completamente seu Active Directory
da Microsoft pode verificar a soma de e otimizar sua integridade. Faça um
verificação (checksum) do banco de dados inventário de seus controladores de
do Active Directory e realizar diversas domínio, verifique a integridade do seu
verificações de integridade do banco de banco de dados do AD e remova quaisquer
dados. Porém, ferramentas de terceiros, objetos órfãos. Além disso, verifique
como o Active Administrator for Active objetivamente a topologia atual de seu
Directory Health da Quest, geralmente Active Directory e determine se uma
apresentam melhores resultados com reestruturação seria benéfica. Finalmente,
muito menos esforço. planeje cuidadosamente para minimizar
o impacto da migração nos negócios.
5
SOBRE A QUEST
A Quest ajuda os clientes a reduzir as tarefas administrativas enfadonhas para que eles possam se dedicar à inovação necessária
para ampliar os negócios. As soluções Quest® são escaláveis, acessíveis e simples de usar, proporcionando eficiência e produtividade
sem comparação. Juntamente com o convite da Quest à comunidade global para fazer parte de sua inovação, assim como nosso firme
compromisso em garantir a satisfação dos clientes, a Quest continuará a acelerar o fornecimento das soluções mais abrangentes para
gerenciamento de cloud do Azure, SaaS, segurança, mobilidade da força de trabalho e insights conduzidos por dados.
Este guia contém informações confidenciais protegidas por direitos autorais. O software descrito nesse guia é oferecido sob
uma licença de software ou um contrato de confidencialidade. Ele pode ser usado ou copiado apenas de acordo com os termos
do acordo aplicável. Nenhuma parte deste guia pode ser reproduzida ou transmitida em qualquer forma ou por qualquer meio,
eletrônico ou mecânico, inclusive fotocópia e gravação para qualquer propósito, sem a permissão por escrito da Quest Software Inc.
As informações deste documento são fornecidas em relação aos produtos da Quest Software. Este documento, isoladamente ou em
conjunto com a venda de produtos da Quest Software, não concede nenhuma licença, expressa ou implícita, por preclusão ou de
qualquer outra forma, a qualquer direito de propriedade intelectual. SALVO CONFORME DEFINIDO NOS TERMOS E CONDIÇÕES
DA QUEST SOFTWARE ESPECIFICADOS NOS CONTRATOS DE LICENÇA PARA ESTE PRODUTO, A QUEST SOFTWARE NÃO
ASSUME QUALQUER RESPONSABILIDADE E RENUNCIA A QUALQUER GARANTIA, EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA,
RELACIONADA A SEUS PRODUTOS, INCLUINDO, ENTRE OUTROS, A GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO
A DETERMINADO PROPÓSITO OU NÃO VIOLAÇÃO. EM HIPÓTESE ALGUMA, A QUEST SOFTWARE SERÁ RESPONSÁVEL POR
QUALQUER DANO DIRETO, INDIRETO, CONSEQUENCIAL, PUNITIVO, ESPECIAL OU INCIDENTAL (INCLUINDO, SEM LIMITAÇÕES,
DANOS POR LUCROS CESSANTES, INTERRUPÇÃO DOS NEGÓCIOS OU PERDA DE INFORMAÇÕES) DECORRENTES DO USO
OU DA INCAPACIDADE DE USO DESTE DOCUMENTO, MESMO QUE A QUEST SOFTWARE TENHA SIDO ALERTADA SOBRE A
POSSIBILIDADE DE TAIS DANOS. A Quest Software não se responsabiliza por qualquer garantia ou declaração referente à exatidão
ou à integridade deste documento e reserva-se o direito de fazer alterações em especificações e descrições de produtos a qualquer
momento, sem aviso prévio. A Quest Software não se compromete em atualizar as informações contidas neste documento.
Patentes
A Quest Software tem orgulho de nossa tecnologia avançada. Este produto pode ter a aplicação de patentes e de patentes pendentes.
Para ver as informações mais recentes sobre as patentes aplicáveis a esse produto, visite nosso site em www.quest.com/legal.
Marcas comerciais
Quest, Active Administrator e o logotipo Quest são marcas comerciais e marcas registradas da Quest Software Inc. Para conferir a
lista completa de marcas da Quest, acesse www.quest.com/legal/trademark-information.aspx. Todas as outras marcas comerciais
pertencem a seus respectivos proprietários.
WhitePaper-WindowsServer2016-US-GM-pt_BR-WL-25459