Você está na página 1de 6

Windows Server 2016 –

O que há de novo e como isso


impacta o seu Active Directory

INTRODUÇÃO um projeto específico. No entanto, vale ressaltar que esse recurso


requer que o Active Directory opere no nível funcional do Windows
O Windows Server 2016 representa um grande avanço para o
Server 2016. Portanto, agora as organizações devem começar a
sistema operacional Windows. Assim como o Windows Server
pensar no que será necessário para realizar a transição ao nível
2012 e o 2012 R2, o Windows Server 2016 inclui centenas de
funcional requerido.
novos recursos e fornece incríveis novas funcionalidades que
antes não estavam disponíveis aos administradores do Windows. Serviço de Federação do Active Directory
Embora possa ser tentador apressar a implementação de algumas
dessas novas funcionalidades com o lançamento do sistema A Microsoft também está aplicando mudanças significativas ao
operacional, administradores cautelosos usarão esse tempo até Serviço de Federação do Active Directory (AD FS). Estas são
a implementação para avaliar a integridade e a prontidão de seus especialmente importantes:
ambientes de Active Directory (AD).
• Controle de acesso condicional — Anteriormente, o controle de
O QUE HÁ DE NOVO NO WINDOWS SERVER 2016? acesso baseado no Active Directory era relativamente simples,
já que os administradores podiam, no geral, assumir que os
O Windows Server 2016 oferece uma variedade de novos recursos usuários fariam login de um computador associado a um domínio
e aprimoramentos. Veja algumas das melhorias do Active Directory adequadamente protegido pela diretiva de grupo. Após serem
que são especialmente notáveis: autenticados com sucesso no Active Directory, os usuários
podiam acessar quaisquer recursos aos quais tivessem recebido
Associação temporária a grupos permissão.
A associação temporária a grupos permite que os administradores Porém, atualmente, os usuários acessam os recursos a partir de to-
adicionem usuários a grupos de segurança por tempo limitado. Por dos os tipos de dispositivos, muitos dos quais não são associados
exemplo, um administrador pode conceder a um usuário apenas a um domínio e que operam além do perímetro da organização. A
o tempo necessário para que ele instale um aplicativo ou conclua fim de aperfeiçoar a segurança nesse contexto atual, a Microsoft
está introduzindo o recurso de Controle Endereço IP (IPAM) da Microsoft, que
de Acesso Condicional, o qual permite ajuda os administradores a manterem o
que os administradores controlem me- controle sobre o uso de endereços IP.
lhor as tentativas de acesso dos usuários Apesar de o Microsoft IPAM sempre ter
a recursos por meio do estabelecimen- apresentado uma integração bastante
to de critérios adicionais que podem abrangente de DHCP, sua integração
ser implementados por aplicativo. Por de DNS era mínima. O Windows Server
exemplo, um administrador pode exigir 2016 busca reverter isso por meio da
autenticação de vários fatores e um inclusão de coleção de inventário de
dispositivo compatível sempre que um registros de host e funcionalidades de
usuário acessar aplicativos empresariais gerenciamento de DNS. No entanto,
particularmente confidenciais. talvez o recurso de IPAM mais bem-
vindo seja o suporte a várias forests
• Suporte ao LDAP v3 — Outra importante
do Active Directory. O recurso IPAM do
mudança que a Microsoft está aplicando
Windows Server 2016 será capaz de
em relação ao AD FS é o suporte ao
gerenciar servidores DNS e DHCP em
LDAP v3. Essa nova funcionalidade
várias forests do Active Directory, desde
facilitará bastante a federação de
que haja uma relação de confiança entre
identidades em vários tipos de diretórios.
essas forests, e o IPAM do Windows
Por exemplo, uma organização que usa
Server 2016 esteja instalado em cada
um diretório que não seja da Microsoft
Antes de implementar para o controle de identidade e acesso
forest.
pode federar essas identidades para LIMPEZA OU REESTRUTURAÇÃO
o Windows Server o Office 365 ou a cloud do Azure. De DO ACTIVE DIRECTORY
maneira semelhante, o suporte ao LDAP
2016, dedique um v3 tornará mais fácil a configuração de Antes da implementação do Windows
tempo à limpeza login único para aplicativos SaaS. Server 2016, é importante dedicar um
tempo à limpeza e possivelmente até
e possivelmente DNS mesmo à reestruturação de seu Active
É impossível falar de Active Directory Directory. Seguir as etapas abaixo pode
até mesmo à sem abordar também o DNS. Desde sua reduzir seus custos e prazos de migração
do Windows Server 2016, assim como
reestruturação de concepção, o Windows Active Directory
tem tido uma dependência em relação ao fornecer um novo ambiente muito mais
seu Active Directory. DNS. Apesar de os serviços de DNS do econômico e fácil de gerenciar e proteger.
Windows terem permanecido relativamente
inalterados por muitos anos, o Windows Faça um inventário de seus controladores
Server 2016 apresenta muitas melhorias de domínio
de DNS e novos recursos, incluindo os Uma das primeiras etapas do processo
seguintes: de limpeza é fazer um inventário de seus
controladores de domínio. Idealmente,
• Políticas de DNS — Uma das todos os controladores de domínio
funcionalidades mais significativas é a devem ser atualizados para o Windows
capacidade de criar políticas de DNS.
Server 2016. Se sua organização precisar
As políticas de DNS permitem que os
preservar qualquer controlador de domínio
administradores assumam o controle
legado, certifique-se de remover ou
sobre a forma que o DNS responde
atualizar qualquer um que estiver com
a diversos tipos de consultas. Essas
políticas são úteis, por exemplo, o Windows Server 2003 em execução,
para balanceamento de carga e para pois ele não tem mais suporte. Além
bloquear solicitações DNS de domínios disso, garanta que os níveis funcionais de
ou endereços IP maliciosos. domínio e de forest estejam em um nível
além do Windows Server 2003.
• Limite de taxa de resposta — Agora, os
administradores também podem limitar Verifique seus aplicativos
a taxa ou as respostas de um servidor
Também certifique-se de fazer um inventário
DNS a consultas. Esse recurso foi
projetado para ajudar na proteção contra
de todos os aplicativos que dependam
ataques de negação de serviço por meio do Active Directory para garantir que
da limitação da quantidade de vezes que suas atualizações não causarão nenhum
um DNS pode responder a solicitações problema no nível do aplicativo. Como não
de um cliente por segundo. há ferramentas nativas que façam isso,
considere uma solução de terceiros, como
• Microsoft IPAM — A mais significativa o Change Auditor for Active Directory
melhoria no DNS está associada Queries da Quest.
ao recurso de Gerenciamento de

2
Verifique a integridade do Active Directory órfãos com o uso de uma ferramenta de
terceiros.
Objetos do Active Directory são
armazenados em bancos de dados
Considere uma reestruturação
localizados em controladores de domínio.
Como qualquer outro tipo de banco de A migração para o Windows Server 2016
dados, um banco de dados do Active oferece a você a oportunidade de entender
Directory pode apresentar problemas melhor os seus dados de servidor de
relacionados à integridade do banco de arquivos e como eles são organizados. Ela
dados (e isso ocasionalmente ocorre). A também permite que você reestruture o AD
ferramenta nativa NTDSUTIL da Microsoft para atender melhor às suas necessidades
pode verificar a soma de verificação atuais e futuras. Por exemplo, você precisará
(checksum) do banco de dados do Active entender quais dados do servidor de
Directory e realizar diversas verificações arquivos devem e não devem ser migrados.
de integridade do banco de dados. Porém, Também é possível que você perceba
o fato de que o Active Directory pode ser a necessidade de consolidar algumas
distribuído por vários controladores de forests ou de configurar novas partes da
domínio pode tornar essas verificações infraestrutura para escritórios remotos que
inviáveis em ambientes maiores. Isso é não existiam quando o AD foi originalmente
especialmente verdadeiro devido ao fato implantado. Muitas organizações
de que é importante testar a integridade implantaram o AD pela primeira vez no A migração para
do Active Directory continuamente. Windows Server em 2000, e a topologia do
Ferramentas de terceiros, como o Active AD ainda parece praticamente a mesma. o Windows Server
No entanto, é mais do que provável que as
Administrator for Active Directory Health
da Quest, podem apresentar melhores necessidades e os modelos de negócios 2016 possibilita
resultados com muito menos esforço. da sua organização tenham mudado
consideravelmente desde 2000.
a reestruturação
Identifique e remova objetos órfãos do seu AD para
Minimize o impacto nos negócios
Objetos órfãos do Active Directory podem
apresentar riscos à segurança e devem ser Uma análise completa de todos os
melhor atender às
removidos. Organizações menores podem aplicativos, processos e usuários que necessidades atuais
conseguir limpar manualmente objetos precisam de acesso ajudará você a
órfãos de computadores e de usuários do garantir que os recursos e os aplicativos e futuras de sua
apropriados estejam disponíveis no
Active Directory, mas esse tipo de limpeza
manual seria quase impossível em grandes momento da migração. É essencial organização.
organizações, devido à imensa quantidade identificar fluxos de trabalho, caixas de
de objetos de computadores e de usuários correio, programas e outras partes da
que há nelas e à dificuldade de diferenciar infraestrutura que podem ser afetadas
entre um objeto que já não é mais necessário antes de realizar a migração.
e um que ainda está em uso.
Faça a si mesmo as seguintes importantes
Um obstáculo adicional à limpeza manual perguntas: como garantir que não haja
é que ferramentas como o console de tempo de inatividade durante a transição?
Computadores e Usuários do Active O que é necessário fazer para garantir
Directory não expõem a maioria dos que a produtividade dos funcionários
objetos presentes no Active Directory. A não seja impactada antes, durante e
Microsoft fornece uma ferramenta gratuita, depois da migração? Um erro comum
a ADSIEdit, que expõe todos os objetos (e possivelmente fatal) é subestimar o
presentes no Active Directory. Entretanto, a impacto da migração nos usuários e nas
ADSIEdit ignora as proteções incorporadas operações e não analisar todos os pontos
ao console de Computadores e Usuários de acesso. É possível evitar esses desafios
do AD e pode, consequentemente, causar programando tarefas de migração intensiva
perda de dados ou corromper o Active de recursos fora dos horários de pico
Directory, se usada indevidamente. Por para minimizar o impacto nos sistemas
essa razão, caso deseje limpar seu Active de produção, nos usuários finais e na
Directory usando a ADSIEdit, certifique- produtividade.
se de primeiramente fazer o backup
do Active Directory, e de compreender Não fornecer a coexistência perfeita entre
completamente as repercussões de cada os sistemas existentes e os novos é outro
ação que você tomar. É possível reduzir tipo de negligência frequente, que pode
significativamente o risco e a complexidade levar a interrupções de serviço, perda
da identificação e remoção de objetos de produtividade e aumento dos custos
dos negócios. A coexistência é essencial

3
em qualquer migração, consolidação de licenciamento do servidor do Azure AD
ou reestruturação do Active Directory, Connect. O Azure AD Connect armazena
pois os usuários precisam do acesso aos informações de identidade do usuário. Por
recursos que os mantêm produtivos. Você padrão, o Azure AD Connect usa o SQL
deve garantir que seus diretórios estejam Server 2012 Express, o qual a Microsoft
sincronizados e que os usuários possam disponibiliza gratuitamente para seus
sempre acessar seus dados. clientes. No entanto, vale ressaltar que
o SQL Server 2012 Express foi projetado
E QUANTO À CLOUD? para tarefas mais simples. Diferentemente
A Microsoft permite que as organizações de outras edições do SQL Server, o SQL
conectem seus ambientes do Active Server 2012 Express tem um limite de
Directory on-premises com o Azure AD e o tamanho de banco de dados de 10 GB.
Office 365 por meio do Azure AD Connect. De acordo com a Microsoft, um banco
Além de conectividade entre diretórios de dados de 10 GB é suficiente para
no local e na cloud, o Azure AD Connect armazenar aproximadamente 100 mil
também é capaz de fornecer serviços de objetos do Active Directory.
sincronização de diretórios. A fim de usar
Organizações que tenham mais de 100
o Azure AD Connect, uma organização
mil objetos em seus diretórios devem
deve implantar um servidor do Azure AD
configurar o Azure AD Connect para usar
O tamanho do seu Connect. Esse servidor atua como um proxy
uma instalação separada do SQL Server.
entre os diretórios no local e na cloud.
ambiente de AD Como o Banco de dados SQL do Microsoft
Azure não apresenta suporte para uso
A limpeza do AD pode reduzir
pode ter um impacto significativamente os custos com o Azure AD Connect, a organização
precisará de um SQL Server totalmente
direto e significativo As organizações que planejam usar o licenciado no local. Esse requisito supõe
Azure AD Connect devem concentrar seus não apenas os custos de licenciamento,
nos custos de uso do esforços em consolidar, reestruturar ou mas também custos associados ao
Azure AD Connect. então limpar seus ambientes do Active
Directory previamente, já que os requisitos
hardware e à manutenção contínua do
SQL Server. Portanto, organizações que
Por isso, a limpeza do do Azure AD Connect variam com base na desejam usar o Azure AD podem alcançar
quantidade de objetos no Active Directory, uma economia significativa por meio da
diretório é essencial. e o tamanho do seu ambiente de Active limitação da quantidade de objetos em
Directory pode ter um impacto direto e seus Active Directory.
significativo nos gastos relacionados ao
uso do Azure AD Connect. Determinação da quantidade de objetos
no AD
De acordo com a Microsoft, o Azure AD
oferecerá suporte a até 50 mil objetos É relativamente fácil determinar a quantidade
de diretório como padrão. Esse limite de objetos armazenados em um Active
aumenta para 300 mil objetos uma vez Directory. Basta usar o cmdlet Get-ADObject
que um domínio tenha sido verificado em do PowerShell e especificar o nome do
preparação para o uso com o Azure AD. domínio a ser examinado. Por exemplo, para
Se uma organização exigir mais de 300 calcular a quantidade de objetos no domínio
mil objetos de diretório, então a Microsoft Contoso.com, você usaria o comando:
exigirá que um caso de suporte seja
Get-ADObject -Filter {name -like ‘*’}
aberto. Ainda assim, o limite é de 500 mil
-Searchbase ‘CN=Schema,
objetos de diretório. Se o diretório precisar CN=Configuration,DC=Contoso,DC=COM’
acomodar mais de 500 mil objetos, a -ResultSetSize $null | Measure-Object
Microsoft exigirá que a organização
adquira licenças do Office 365, Azure AD Soluções de terceiros podem fornecer até
Basic, Azure AD Premium ou o Enterprise mesmo uma avaliação pré-migração mais
Mobility Suite. Portanto, organizações abrangente de sua infraestrutura atual,
com diretórios maiores poderão reduzir incluindo o Active Directory, o Windows
seus custos se dedicarem determinado Server e o SQL Server. Por exemplo, o
tempo a reduzir a quantidade de objetos Enterprise Reporter for Active Directory
armazenados em seus ambientes do Active da Quest fornece visibilidade completa de
Directory. suas contas do Active Directory, incluindo
a capacidade de determinar quais estão
A quantidade de objetos armazenados no inativas ou desativadas. Isso permite que
diretório de uma organização afeta não você determine facilmente quantos grupos
somente os requisitos de licenciamento existem e se há grupos duplicados ou vazios
do Azure AD, mas também os requisitos que talvez não precisem ser migrados.

4
Os administradores quase sempre se CONCLUSÃO
surpreendem ao descobrir quantos objetos
O Windows Server 2016 inclui inúmeras
realmente existem em um Active Directory.
melhorias ao Active Directory e a serviços
Uma pequena empresa com apenas dez
relacionados a diretórios, como o DNS e
funcionários, por exemplo, pode facilmente
o IPAM. Apesar de a Microsoft fornecer
ter 5 mil objetos ou mais em seu Active
um caminho de atualização para o Active
Directory.
Directory, suas recomendações são
Avaliação da integridade do Active baseadas na suposição de que o ambiente
Directory atual do Active Directory encontra-se Soluções de terceiros
em um estado de funcionamento ideal. A
Como mencionado anteriormente, bancos tentativa de atualizar um Active Directory podem ajudá-lo a
de dados do Active Directory podem não íntegro para uma nova versão do
apresentar problemas relacionados à Windows, assim como a de ampliar um limpar e reestruturar
integridade. Apesar da possibilidade
de operações diárias nunca revelarem
Active Directory não íntegro para a cloud,
pode causar diversos tipos de problemas
o seu Active Directory
sintomas de leves corrupções no Active sérios. Isso é especialmente preocupante melhor e com menos
Directory, tais problemas podem causar considerando que a corrupção do Active
falhas na sincronização dos diretórios com Directory nem sempre resulta em sintomas esforço do que
a cloud. Por esse motivo, é importante
realizar etapas de verificação da integridade
perceptíveis.
ferramentas nativas.
do Active Directory antes de usar o Azure Portanto, antes de atualizar seus
AD Connect. controladores de domínio para o Windows
Server 2016, é uma boa ideia testar
Como vimos, a ferramenta nativa NTDSUTIL completamente seu Active Directory
da Microsoft pode verificar a soma de e otimizar sua integridade. Faça um
verificação (checksum) do banco de dados inventário de seus controladores de
do Active Directory e realizar diversas domínio, verifique a integridade do seu
verificações de integridade do banco de banco de dados do AD e remova quaisquer
dados. Porém, ferramentas de terceiros, objetos órfãos. Além disso, verifique
como o Active Administrator for Active objetivamente a topologia atual de seu
Directory Health da Quest, geralmente Active Directory e determine se uma
apresentam melhores resultados com reestruturação seria benéfica. Finalmente,
muito menos esforço. planeje cuidadosamente para minimizar
o impacto da migração nos negócios.

5
SOBRE A QUEST
A Quest ajuda os clientes a reduzir as tarefas administrativas enfadonhas para que eles possam se dedicar à inovação necessária
para ampliar os negócios. As soluções Quest® são escaláveis, acessíveis e simples de usar, proporcionando eficiência e produtividade
sem comparação. Juntamente com o convite da Quest à comunidade global para fazer parte de sua inovação, assim como nosso firme
compromisso em garantir a satisfação dos clientes, a Quest continuará a acelerar o fornecimento das soluções mais abrangentes para
gerenciamento de cloud do Azure, SaaS, segurança, mobilidade da força de trabalho e insights conduzidos por dados.

© 2017 Quest Software Inc. TODOS OS DIREITOS RESERVADOS.

Este guia contém informações confidenciais protegidas por direitos autorais. O software descrito nesse guia é oferecido sob
uma licença de software ou um contrato de confidencialidade. Ele pode ser usado ou copiado apenas de acordo com os termos
do acordo aplicável. Nenhuma parte deste guia pode ser reproduzida ou transmitida em qualquer forma ou por qualquer meio,
eletrônico ou mecânico, inclusive fotocópia e gravação para qualquer propósito, sem a permissão por escrito da Quest Software Inc.

As informações deste documento são fornecidas em relação aos produtos da Quest Software. Este documento, isoladamente ou em
conjunto com a venda de produtos da Quest Software, não concede nenhuma licença, expressa ou implícita, por preclusão ou de
qualquer outra forma, a qualquer direito de propriedade intelectual. SALVO CONFORME DEFINIDO NOS TERMOS E CONDIÇÕES
DA QUEST SOFTWARE ESPECIFICADOS NOS CONTRATOS DE LICENÇA PARA ESTE PRODUTO, A QUEST SOFTWARE NÃO
ASSUME QUALQUER RESPONSABILIDADE E RENUNCIA A QUALQUER GARANTIA, EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA,
RELACIONADA A SEUS PRODUTOS, INCLUINDO, ENTRE OUTROS, A GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO
A DETERMINADO PROPÓSITO OU NÃO VIOLAÇÃO. EM HIPÓTESE ALGUMA, A QUEST SOFTWARE SERÁ RESPONSÁVEL POR
QUALQUER DANO DIRETO, INDIRETO, CONSEQUENCIAL, PUNITIVO, ESPECIAL OU INCIDENTAL (INCLUINDO, SEM LIMITAÇÕES,
DANOS POR LUCROS CESSANTES, INTERRUPÇÃO DOS NEGÓCIOS OU PERDA DE INFORMAÇÕES) DECORRENTES DO USO
OU DA INCAPACIDADE DE USO DESTE DOCUMENTO, MESMO QUE A QUEST SOFTWARE TENHA SIDO ALERTADA SOBRE A
POSSIBILIDADE DE TAIS DANOS. A Quest Software não se responsabiliza por qualquer garantia ou declaração referente à exatidão
ou à integridade deste documento e reserva-se o direito de fazer alterações em especificações e descrições de produtos a qualquer
momento, sem aviso prévio. A Quest Software não se compromete em atualizar as informações contidas neste documento.

Patentes

A Quest Software tem orgulho de nossa tecnologia avançada. Este produto pode ter a aplicação de patentes e de patentes pendentes.
Para ver as informações mais recentes sobre as patentes aplicáveis a esse produto, visite nosso site em www.quest.com/legal.

Marcas comerciais

Quest, Active Administrator e o logotipo Quest são marcas comerciais e marcas registradas da Quest Software Inc. Para conferir a
lista completa de marcas da Quest, acesse www.quest.com/legal/trademark-information.aspx. Todas as outras marcas comerciais
pertencem a seus respectivos proprietários.

Se você tiver dúvidas sobre o possível uso deste material, entre


em contato:

Quest Software Inc.


A/C: LEGAL Dept
4 Polaris Way
Aliso Viejo, CA 92656

Acesse nosso site (www.quest.com) para obter informações sobre


escritórios regionais ou internacionais.

WhitePaper-WindowsServer2016-US-GM-pt_BR-WL-25459