Migrando o Active Directory para uma nova versão do Windows Server

1. INTRODUÇÃO
2. MIGRANDO O ACTIVE DIRECTORY
   1. ADPREP
   2. PREPARANDO A FLORESTA
   3. PREPARANDO O DOMÍNIO
   4. ADICIONANDO O NOVO DC
   5. SUBSTITUINDO O MESTRE DE OPERAÇÕES (FSMO)
      1. Mestre de Esquema
      2. Mestre de Nomeação de Domínios
      3. Mestre RID, PDC e Infra-estrutura
   6. SUBSTITUINDO O SERVIDOR DE TEMPO
   7. MIGRANDO O SERVIÇO DE CERTIFICADOS
   8. REPLICAÇÃO DOS DIRETÓRIOS SYSVOL E NETLOGON
      1. FRS
      2. DFS
   9. DESPROMOVENDO O ANTIGO CONTROLADOR DE DOMÍNIO (OPCIONAL)
3. MIGRANDO O SERVIÇO DHCP
4. CONCLUSÃO

Introdução

Em um ataque recente a uma vulnerabilidade ao protocolo RDP, os servidores de área de trabalho remota de uma das empresas na qual prestava suporte foram infectados com um ransomware. O antivírus Sophos não detectou a ameaça, possibilitando a criptografia dos arquivos do sistema. Tivemos de restaurar o sistema de um backup anterior.

Porém, aproveitando o tempo inesperado de manutenção, decidimos migrar a estrutura Active Directory do Server 2003 para Server 2008 R2, aumentando a segurança da rede (O Server 2003 não possuí suporte e atualizações da Microsoft desde Julho de 2015).

As principais dependências serão abordadas neste artigo, porém, mover o Active Directory pode tornar-se um grande desafio quando o procedimento não é planejado anteriormente.

No nosso exemplo possuímos dois servidores (12):

1. Um Controlador de domínio (DC) com Server 2003 (192.168.1.201) com todas as Operações Mestres, e
2. Um Server 2008 R2 (192.168.1.202) como Membro do domínio, que assumirá o Active Directory.

2. Migrando o Active Directory

No AD, todos os controladores de domínio são capazes de receber atualizações e assumir os papéis chave do Active Directory, agindo, portanto, de forma redundante para evitar que a falha em um controlador de domínio afete o funcionamento do AD. Porém, no intuito de evitar conflitos e inconsistências, existem algumas funções especiais atribuídas somente a um DC. Essas funções são chamadas de Operações Mestres, ou Flexible Single-Master Operations (FSMO). (1) Por padrão, o primeiro DC da floresta possuí as cinco funções e o primeiro DC de cada domínio possuí três dessas funções. (2)

A primeira coisa que você precisa fazer se você possuí múltiplos controladores de domínio, é descobrir qual servidor possuí as Operações Mestres.

netdom query fsmo

Como podemos ver, o 2003-ad.testdomain.local possuí todas as Operações Mestres que precisamos transferir.

Software Antivírus executando no Mestre de Esquemas podem interferir ao executar o comando adprep /forestprep com o erro “Adprep was unable to complete because the call back function failed.” (4)

2.1 Adprep

A Microsoft disponibilizou a ferramenta Adprep para preparar os controladores de domínio do Active Directory para uma nova versão do Windows Server. Ao executar o Adprep ele realiza as ações a seguir (4)(5):

1. Atualiza o Esquema do Active Directory.
2. Modifica Listas de Controle de Acesso (ACLs) em objetos do Active Directory e em arquivos do diretório SYSVOL.
3. Cria novos objetos, quando necessário.
4. Cria novos contêineres, quando necessário.

O Adprep é cumulativo. Em outras palavras, se você possuí controladores de domínio que executam Server 2003 e você deseja adicionar controladores de domínio 2008 R2, você só precisa executar o Adprep do DVD de instalação do 2008 R2. Não é necessário executar a versão do Server 2008 por quê a versão do Server 2008 R2 incluí todas as mudanças das versões anteriores. (4)

À partir do Server 2012, o Adprep é executado remotamente automaticamente (quando necessário) e exibe o resultado da operação como parte da instalação do Serviços de Domínio Active Directory (AD DS). O comando será executado automaticamente quando o novo controlador de domínio possuí uma versão do Windows Server mais recente que a versão do Windows Server existente no domínio. (4)

2.2 Preparando a floresta

Precisamos estender o Esquema (Schema) da floresta para o Server 2008 R2. A atualização do Esquema é necessária para suportar novos objetos (4).

O Esquema (na prática) é a definição da estrutura do banco de dados do Active Directory. Por exemplo, a definição do objeto usuário, quais atributos tem este objeto, o tipo de dados de cada atributo e demais informações sobre o objeto usuário, estão todas contidas no Esquema.

Todos os domínios de uma floresta tem que utilizar o mesmo esquema, ou seja, não podem ser utilizados diferentes esquemas para diferentes domínios de uma floresta. Imagine em um domínio um usuário ter o atributo “Descrição” e no outro domínio não. Este é o motivo de só haver um Mestre de Esquema por floresta.

Insira o DVD do Server 2008 R2 no Server 2003 e navegue para o diretório D:\support\adprep.

Por padrão, o adprep.exe é uma ferramenta 64-bits. Caso o controlador de domínio atual seja 32-bits, você deve executar o adprep32.exe. À partir do Windows Server 2012, existe somente uma versão 64-bit do Adprep. (4)

Certifique-se de logar no servidor com o usuário Administrador. Por padrão, ele é membro do grupo Administradores de Esquema (necessário para realizar a extensão do Esquema).

Abra o Prompt de comando e arraste o executável para o prompt e adicione /forestPrep a linha de comando.

D:\support\adprep\adprep32.exe /forestPrep

Caso o cursor fique piscando mas o Adprep não executa, possivelmente o controlador de domínio atual possuí um idioma diferente do DVD de instalação do novo DC (por exemplo, o Server 2003 é EN-US e o DVD do Server 2008 é PT-BR). É necessário copiar todo o conteúdo do diretório D:supportadprep para um diretório local e modificar o diretório PT-BR para o idioma do controlador de domínio atual (EN-US)

Digite “c” para continuar e pressione . Você deverá ver uma série de mensagens:

Ao completar, você deverá receber a mensagem abaixo:

2.3 Preparando o domínio

Para permitir a escalabilidade, uma floresta é particionada em domínios. Cada controlador de domínio pode se unir a um, e apenas um, domínio. Controladores de domínio de diferentes domínios compartilham a mesma configuração e esquema, mas não os mesmos dados (ex: usuários). Estes três itens são armazenados em partições dentro do Active Directory. (6)

As partições que são comuns entre controladores de domínio de um mesmo domínio são replicadas entre eles. As partições que são comuns à floresta, são replicadas para todos os controladores de domínio (ex: o Esquema). (6)

Assim como é necessário atualizar o Esquema (floresta), é necessário atualizar as partições de cada domínio no qual você irá adicionar um novo controlador de domínio.

Domínios nos quais você não irá adicionar um controlador de domínio com uma nova versão do Windows Server serão afetados pelo comando adprep /forestprep, mas não é necessário executar o comando adprep /domainprep. (4)

Antes de continuarmos, é necessário elevar o nível funcional do domínio para Windows Server 2003. Para isso, abra o snap-in Usuários e computadores do Active Directory (disponível em Painel de Controle > Ferramentas Administrativas), dê botão direito no ícone do servidor (localizado na barra lateral esquerda) e selecione Aumentar nível funcional do domínio.

Clique em OK, e você deverá receber uma mensagem de sucesso.

Agora, precisamos realizar a atualização da partição do domínio no Mestre de Infra-estrutura.

O Mestre de Infra-estrutura é o responsável por manter uma lista de objetos (usuários e grupos) de outros domínios que fazem parte de grupos no nosso domínio. Imagine a seguinte situação: Quando adicionamos um usuário do domínio SP em um grupo do domínio CE, um registro fantasma é criado no domínio CE para representar o usuário do domínio SP (como se fosse um ponteiro). Caso o GUID, SID ou DN do usuário mude, esta informação precisa ser atualizada no grupo do domínio CE.

No servidor Mestre de Infra-estrutura, execute novamente o Adprep com o argumento /domainPrep para atualizar a partição de domínio:

D:\support\adprep\adprep32.exe /domainPrep

Você deverá receber uma mensagem de sucesso.

2.4 Adicionando o novo DC

Agora, podemos nos mover para nosso novo controlador de domínio (DC) para iniciar o processo.

Abra o Gerenciador de Servidores e, em Funções (barra lateral esquerda), clique em Adicionar funções.

Em Funções de Servidor, selecione Serviços de Domínio Active Directory e clique em Próximo.

Após a instalação das ferramentas do Active Directory, pode ser necessário reiniciar o servidor.

Abra o Menu iniciar e na barra de pesquisa digite dcpromo.exe para iniciar o processo de instalação. Clique em Avançar para continuar.

Na próxima tela, será exibida uma mensagem de aviso sobre a incompatibilidade de servidores NT 4/Samba 3 com o Server 2008. Clique em Avançar para continuar.

Em Escolher uma Configuração de Implantação, selecione Floresta existente e Adicionar um controlador de domínio a um domínio existente.

Em Credenciais de rede, digite o nome da floresta existente que o novo servidor ingressará (testdomain.local). Uma floresta é criada quando criamos o nosso primeiro domínio. Quando promovemos o servidor “2003-ad” a DC, criamos o domínio “testdomain.local” e ao mesmo tempo a árvore “testdomain.local” e a floresta “testdomain.local”. O nome da floresta é o nome do primeiro domínio criado, o qual também chamamos de “domínio raiz da floresta”. Clique em Avançar.

Selecione o domínio (normalmente existe apenas um) e clique em Avançar.

Na próxima tela, será exibida uma caixa de aviso informando que o controlador de domínio não poderá ser configurado como somente leitura. Como não estamos implementando um Read-Only Domain Controller (RODC), clique em Sim para continuar.

Florestas, árvores, domínios e unidades organizacionais representam a divisão lógica do Active Directory, normalmente definida com base em critérios administrativos, ou seja, visando facilitar a administração dos recursos e usuários da rede.

Um site do Active Directory é utilizado para representar a estrutura física da rede da empresa. Normalmente, sites são utilizados em empresas com filiais interligadas através de um link de WAN. Quando o usuário faz o logon no domínio, o Active Directory primeiro tenta localizar um DC dentro do site definido para a rede do usuário evitando que tráfego de autenticação seja gerado, desnecessariamente, no link de WAN.

Selecione o Site que o novo DC pertencerá (normalmente existe apenas um) e clique em Avançar.

Na próxima tela, é possível selecionar Opções Adicionais ao DC.

• O Servidor DNS é instalado por padrão ao realizar uma nova instalação do Active Directory. Ele é necessário para que seja possível localizar serviços na rede. Por exemplo: ao executar o comando nslookup testdomain.local, retornará o nome e endereço IP do DC do domínio. Os clientes necessitam destas informações para localizar o DC (ao realizar logon no domínio, por exemplo – como o cliente saberia a qual servidor enviar as credenciais de logon?) e outros dispositivos na rede.
• O Active Directory é bastante flexível, permitindo que usuários de um domínio acessem recursos de outros domínios ou até mesmo de outra floresta, sem ter que entrar novamente com seu login e senha. Para que isso seja possível, o Active Directory mantém uma base com algumas informações sobre objetos de todos os domínios. Esta base de informações é mantidas em Controladores de Domínio (DCs), configurados para atuar como Servidores de Catálogo Global.

Clique em Avançar.

Na próxima tela, é possível customizar a localização do banco de dados do Active Directory (NTDS) e arquivos de log, assim como a localização do diretório SYSVOL. Clique em Avançar.

Agora, é necessário informar uma senha de recuperação usada ao iniciar o servidor no Modo de Restauração dos Serviços de Diretório (por exemplo: quando o Active Directory falhar ao iniciar). Ela é uma senha diferente da conta Administrador do domínio. Digite uma senha e clique em Avançar.

Será exibido um resumo de todas as opções informadas durante o Assistente. Clique em Avançar para começar a instalação.

2.5 Substituindo o Mestre de Operações (FSMO)

Antes de iniciar a substituição das funções do antigo controlador de domínio para o novo DC, certifique-se que cada DC aponta para si mesmo como servidor DNS primário e para o outro servidor DNS interno como secundário, e que nenhum firewall está bloqueando o tráfego. Use o comando nslookup para certificar-se que você consegue resolver nomes DNS do seu domínio. (17)

Durante a instalação do Serviço de Diretório do Active Directory, o endereço DNS das Propriedades TCP/IPv6 do adaptador de rede do novo controlador de domínio é configurado para ::1 (localhost). Defina o endereço DNS como automático nas Propriedades TCP/IPv6.

As cinco funções Mestre de Operações são:

1. Mestre de Esquema
2. Mestre de Nomeação de Domínios
3. Mestre de Infra-estrutura
4. Mestre RID
5. Emulador PDC

Mestre de Esquema

Volte ao controlador de domínio primário, abra o Menu iniciar > Executar e digite:

regsvr32 schmmgmt.dll

Pressione , e você deverá receber uma mensagem de confirmação que a biblioteca foi registrada corretamente.

No Executar, digite “mmc” para abrir o Console de Gerenciamento da Microsoft, e abra o menu Arquivo > Adicionar um snap-in. Clique em Adicionar, e selecione Esquema do Active Directory.

Você deverá visualizar a janela abaixo:

1. Dê botão direito em Esquema do Active Directory e selecione Alterar Controlador de Domínio.
2. Clique em Especificar Nome, digite o nome do controlador de domínio que assumirá a função e clique em OK.
3. Expanda o Esquema do Active Directory clicando no ícone de “+” ao lado de Esquema do Active Directory.
4. Dê botão direito em Esquema do Active Directory e selecione Mestre de Operações. Altere o Mestre de Esquema. Aparecerá uma mensagem perguntando se você deseja confirmar a alteração. Clique em Sim.

Caso apareça a mensagem “The parameter is incorrect. The transfer of the current operations master could not be performed.“, você precisa clicar no ícone de “+” (passo 3) antes de alterar o DC. (13)

Mestre de Nomeação de Domínios

Assim como o Mestre de Esquema, só pode existir apenas um controlador de domínio responsável pela nomeação de domínios em toda a floresta. (6)

O controlador de domínio do Mestre de Nomeação de Domínio é responsável por:

• Adicionar, remover e renomear domínios na floresta,
• Adicionar ou remover partições comuns entre controladores de domínio.

Para transferir esta Função, abra o Domínios e relações de confiança do Active Directory (Painel de Controle > Ferramentas Administrativas).

1. Dê botão direito em Domínios e relações de confiança do Active Directory, clique em Conectar-se a um Controlador de Domínio… e conecte-se ao novo servidor.
2. Dê botão direito em Domínios e relações de confiança do Active Directory e clique em Mestre de Operações…
3. Clique em Alterar… para transferir a Função ao novo servidor.

Exibirá uma mensagem de sucesso.

Mestre RID, PDC e Infra-estrutura

O identificador relativo (RID) é um número variável que é atribuído ao objeto recém-criado e torna-se parte da identificação de segurança (SID) do objeto.

S	1	5	21	3623811015-3361044348-30300820	1013
A string é um SID	Número de revisão (número da versão da especificação SID).	Autoridade de identificação que emitiu o SID. 5 é a representação numérica de SECURITY_NT_AUTHORITY.	21 (SECURITY_NT_NON_UNIQUE) é a primeira sub autoridade, indicando que este SID pode não ser universalmente único (podem existir outros computadores no mundo que possuem exatamente o mesmo SID).	Os próximos três blocos são sub autoridades que identificam o computador Local ou Domínio.	Relative ID (RID

RIDs são incrementados todas as vezes que adicionamos um usuário ou grupo. Ainda que um usuário seja deletado o mesmo RID nunca será reutilizado no mesmo sistema. Por isso você recebe o aviso que cada usuário é identificado com um identificador único quando você tenta deletar uma conta de usuário. Criar um novo usuário com o mesmo nome do usuário deletado ainda fará este usuário ser diferente por parte do sistema operacional devido ao novo usuário possuir um SID diferente.

O processo de gerar identificadores relativos únicos é uma operação single-master: Um controlador de domínio assume a função de identificador relativo (RID) principal, e aloca uma sequência de identificadores relativos para cada controlador de domínio no domínio. Quando o número de identificadores relativos está baixo, o controlador de domínio pede ao RID principal outro bloco.

Se o Mestre RID estiver fora da rede, o DC que está requisitando o bloco não poderá mais criar nenhum objeto até receber um novo bloco. (2)

O Emulador PDC (PDC Emulator) age como o Primary Domain Controller, conceito da era Windows NT. Com o servidor Windows NT, um controlador de domínio por domínio era configurado como o Controlador de Domínio Primário, do inglês Primary Domain Controller (PDC). Todos os outros controladores de domínio eram Controladores de Domínio de Backup, do inglês Backup Domain Controllers (BDC). Suas principais atribuições são:

• Sincronizar o horário de todos os DCs da rede com o seu.
• É o parceiro de replicação preferido para mudanças de senha (isso significa que, quando alteramos a nossa senha a partir, por exemplo, de um cliente, essa senha pode ser alterada em qualquer DC, mas esse DC terá que replicar imediatamente essa mudança para o Emulador PDC. Isso é importante por que quando você muda a sua senha em um DC; e logo tenta autenticar-se em outro DC, e esse DC ainda não recebeu a replicação do DC em que sua senha foi alterada, o comportamento padrão seria rejeitar a sua tentativa de autenticação, pois com as informações que ele possuí sua senha está incorreta. Porém, antes que qualquer DC rejeite uma tentativa de autenticação por senha incorreta, ele contacta o Emulador PDC para saber se houve alguma mudança. Neste caso, o DC que estamos tentando nos autenticar contacta o PDC, verifica que nossa senha foi alterada e autoriza o nosso logon).

Para alterar o Mestre RID, PDC e Infra-estrutura, abra o snap-in Usuários e Computadores do Active Directory (Painel de Controle > Ferramentas Administrativas) do novo servidor, dê botão direito no seu domínio e selecione Mestres de Operações…

Agora, altere o Mestre RID, PDC e Infra-estrutura para o novo servidor.

Verificando a transferência de Funções

Abra o Prompt de comando e digite o comando:

netdom query fsmo

Você verá que todas as Funções foram transferidas com sucesso.

2.6 Substituindo o Servidor de Tempo

Em relação ao Active Directory, a sincronização de data e hora é absolutamente necessária. Por exemplo: a autenticação Kerberos necessita da data e hora correta para prevenir ataques de repetição (replay attacks) e para resolver conflitos de replicação. A tolerância máxima do Active Directory é 5 minutos por padrão.

Para esta proposta, o Windows inclui o serviço “Horário do Windows”, que é crucial para o correto funcionamento do serviço de autenticação Kerberos. (10) Para manter todos o relógio de todos os computadores do Windows sincronizados, o serviço de Horário do Windows usa o Network Time Protocol (NTP).

Um ataque de repetição (replay attack) ocorre quando um invasor rouba um pacote da rede e encaminha o pacote para um serviço ou aplicativo como se o invasor fosse o usuário que originalmente enviou o pacote. Quando o pacote é um pacote de autenticação, o invasor pode usar um ataque de repetição para autenticar-se em nome de outra pessoa e consequentemente ter acesso a recursos e dados da pessoa. (9)

Se um atacante capturar o tráfego da rede por autenticadores, eles teriam 5 minutos para reutilizá-lo para ganhar acesso ao mesmo serviço do usuário. O Kerberos 5 introduziu um replay cache que previne o uso de autenticadores mais do que uma vez. (8)

Ao movermos uma estrutura Active Directory para um novo servidor, é necessário migrar o Servidor de Tempo marcando o antigo servidor como fonte de tempo não-confiável e o novo servidor como fonte de tempo confiável. (11)

CUIDADO!

Você não deve usar o comando Net time para configurar nem definir a hora em que o Serviço de Tempo do Windows está em execução. Esse comando já foi depreciado. (24)

No servidor NTP antigo, execute os comandos abaixo para marcá-lo como fonte de tempo não-confiável:

w32tm /config /syncfromflags:domhier /reliable:no /update
net stop w32time
net start w32time

No novo controlador de domínio, precisamos definir a lista de servidores de tempo que ele usará para sincronizar a data e hora do sistema (23):

w32tm.exe /config /manualpeerlist:"0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8" /syncfromflags:manual /update

• /Syncfromflags:manual — habilita a sincronização do serviço NetTime com um servidor de horário externo. (23)
• /manualpeerlist:"0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8" — lista servidores NTP externos para sincronização, consistindo em um ou mais nomes DNS ou endereços IP. O parâmetro 0x8 significa que a sincronização será realizada no modo cliente NTP de acordo com o intervalo sugerido pelo servidor NTP. (23)

Exceto em modo broadcast, uma associação NTP é formada quando dois pares (peers) trocam mensagens e um ou ambos criam e mantém uma instância do protocolo, chamada de associação. A associação pode operar em um ou cinco modos indicados pelo variável de modo de host (peer.mode): symmetric active, symmetric passive, client, server e broadcast. (25)

Os seguintes valores são suportados pelo Serviço de Tempo do Windows para sincronização com servidores NTP externos (23)(24)(25):

• 0x1 — SpecialInterval, uso de um intervalo de sondagem (sincronização) especial;
• 0x2 — UseAsFallbackOnly;
• 0x4 — SymmetricActive, ao operar nesse modo, o host anuncia que deseja sincronizar e ser sincronizado pelo peer;
• 0x8 — Client, ao operar nesse modo, o host anuncia que deseja ser sincronizado, mas não sincronizar o peer.

O valor padrão em clientes e servidores autônomos é time.windows.com,0x1. (25)

Para verificarmos se as configurações do serviço de Horário do Windows foram salvas, use o comando:

w32tm /query /configuration

[Configuração]

EventLogFlags: 2 (Local)
AnnounceFlags: 10 (Local)
TimeJumpAuditOffset: 28800 (Local)
MinPollInterval: 10 (Local)
MaxPollInterval: 15 (Local)
MaxNegPhaseCorrection: 54000 (Local)
MaxPosPhaseCorrection: 54000 (Local)
MaxAllowedPhaseOffset: 1 (Local)

FrequencyCorrectRate: 4 (Local)
PollAdjustFactor: 5 (Local)
LargePhaseOffset: 50000000 (Local)
SpikeWatchPeriod: 900 (Local)
LocalClockDispersion: 10 (Local)
HoldPeriod: 5 (Local)
PhaseCorrectRate: 1 (Local)
UpdateInterval: 360000 (Local)

[Provedores de Tempo]

NtpClient (Local)
DllName: C:\Windows\system32\w32time.dll (Local)
Enabled: 1 (Local)
InputProvider: 1 (Local)
AllowNonstandardModeCombinations: 1 (Local)
ResolvePeerBackoffMinutes: 15 (Local)
ResolvePeerBackoffMaxTimes: 7 (Local)
CompatibilityFlags: 2147483648 (Local)
EventLogFlags: 1 (Local)
LargeSampleSkew: 3 (Local)
SpecialPollInterval: 32768 (Local)
Type: NTP (Local)
NtpServer: 0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8 (Local)

NtpServer (Local)
DllName: C:\Windows\system32\w32time.dll (Local)
Enabled: 0 (Local)
InputProvider: 0 (Local)

Agora, nós precisamos publicar o Emulador PDC como uma fonte confiável de tempo para clientes do domínio (23):

w32tm /config /reliable:yes

Agora, você precisará reiniciar o serviço Horário do Windows no PDC (23):

net stop w32time
net start w32time

Para sincronizar o horário imediatamente, execute o comando (23):

w32tm /resync

Para verificarmos se o novo controlador de domínio está sincronizando com pool.ntp.org, use o comando:

w32tm /query /status

Indicador de Salto: 0(sem aviso)
Camada: 3(referência secundária - sincronizado por (S)NTP)
Precisão: -6 (15.625ms por pulso)
Atraso de Raiz: 0.1404500s
Dispersão de Raiz: 7.8550070s
ID de referência: 0x40040A21 (IP da fonte: 192.36.143.130)
Última Sincronização com Êxito: 10/04/2016 10:23:56
Fonte: 1.pool.ntp.org,0x8
Intervalo de Sondagem: 6 (64s)

Dica: A lista de servidores NTP de origem são armazenadas na chave de registro HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters no parâmetro NtpServer. (23)(24)

Para verificar os servidores de tempo NTP e seus status, execute o comando (23):

w32tm /query /peers

Caso queira, você pode redefinir as configurações do serviço de tempo e limpar a lista de servidores NTP externos, executando os seguintes comandos (23):

net stop w32time
w32tm /unregister
w32tm /register
net start w32time

Por padrão, clientes Windows no Active Directory sincronizam automaticamente data e hora com o controlador de domínio através do serviço “Horário do Windows”. Se você não deseja usar um servidor diferente ou configurar múltiplos servidores de tempo, você não precisa realizar nenhuma configuração nos clientes ou na política de grupo.

Para verificarmos se clientes estão sincronizando com o novo controlador de domínio, execute os três comandos abaixo em outros servidores/clientes (23):

w32tm /config /update /syncfromflags:DOMHIER

w32tm /resync

w32tm /query /status /verbose

Indicador de Salto: 0(sem aviso)
Camada: 12(referência secundária - sincronizado por (S)NTP)
Precisão: -6 (15.625ms por pulso)
Atraso de Raiz: 0.0312500s
Dispersão de Raiz: 15.7233695s
ID de referência: 0x0A1AA810 (IP da fonte: 192.168.1.202)
Última Sincronização com Êxito: 10/04/2016 10:26:35
Fonte: 2008R2-AD.testdomain.local
Intervalo de Sondagem: 10 (1024s)

Diferença de Fase: -15.0091363s
Velocidade do Clock: 0.0156001s
Máquina de Estado: 1 (Esperar)
Sinalizadores de Fonte de Tempo: 2 (Autenticado )
Função do Servidor: 0 (Nenhum)
Último Erro de Sincronização: 0 (O comando foi concluído com êxito.)
Tempo desde Última Sincronização Correta: 10.3584628s

Note que na linha 16, a sincronização de data e hora é autenticada. Em clientes Windows, a data e hora somente são sincronizadas por fontes confiáveis de tempo do domínio para evitar que membros do domínio sincronizem sua data e hora com servidores de tempo mal-intencionados.

2.7 Migrando o serviço de certificados

A principal responsabilidade de Autoridades Certificadoras (CA) é emitir certificados para confirmar digitalmente indivíduos ou organizações na internet (como uma “assinatura digital”). A Autoridade Certificadora (CA) garante que as informações de identificação do certificado são confiáveis.

Uma CA realiza os seguintes tipos de serviços:

• Emitir, renovar e revogar certificados.
• Autenticar a identidade de indivíduos e organizações.
• Verificar a validade das informações de indivíduos e organizações.
• Publicar e manter uma Lista de Certificados Revogados (CRL) de todos os certificados que a CA já revogou.

Normalmente, quando você é apresentado com um certificado emitido por uma autoridade que não é uma Autoridade de Certificação (CA) confiável pelo seu navegador ou sistema operacional, é perguntado se você quer estabelecer uma conexão confiável com a CA que emitiu o certificado.

A migração do Serviço de Certificados do Active Directory é importante devido ao EFS (Encrypted File System) e logons de cartões inteligentes.

Ocorreu um evento de aviso. EventID: 0x8000001D
Tempo gerado: 12/14/2016 15:33:21
Cadeia de Eventos:
O KDC (Centro de Distribuição de Chaves) não encontra um certificado adequado para usar em logons de cartões inteligentes, ou então o certificado KDC não pôde ser verificado. O logon de cartões inteligentes pode não funcionar corretamente se esse problema não for resolvido. Para corrigir o problema, verifique o certificado KDC existente usando o certutil.exe ou inscreva-se em um novo certificado KDC.

Um usuário somente conseguirá criptografar arquivos quando um Agente de recuperação EFS estiver definido na Default Domain Policy. Para que um Agente de recuperação EFS possa ser configurado, é necessário emitir um certificado para um Agente de recuperação EFS do domínio (por padrão, a conta Administrador do domínio). Além disso, caso a migração do Serviço de Certificados não seja realizada, todos os arquivos criptografados atualmente não poderão ser recuperados.

A migração pode levar entre uma a duas horas, dependendo do número e do tamanho do banco de dados de CAs. Durante a migração, o CA não poderá emitir certificados ou publicar CRLs. É necessário ser membro do grupo Administradores de empresa ou Administradores do domínio para instalar/desinstalar o CA. (22)

O blog oficial da Microsoft CanItPro disponibilizou um passo-a-passo completo para migração do Serviço de Certificados (2003 para 2012 R2 ou 2008 R2 para 2019).

2.8 Replicação dos diretórios SYSVOL e NETLOGON

Controladores de domínio usam o compartilhamento especial SYSVOL para replicar políticas de grupo (GPO) e scripts de logon. O Windows Server 2008 e superiores usam o novo serviço de Replicação DFS quando o nível funcional do domínio é Windows Server 2008 ou superior, e o Serviço de Replicação de Arquivo (FRS) para domínios com nível funcional Windows Server 2000/2003.

Caso você despromova o antigo controlador de domínio antes de realizar a replicação, você verá erros no Visualizador de eventos > Logs de Aplicativos e Serviços > Replicação DFS/File Replication Service relacionados a ausência dos compartilhamentos SYSVOL e NETLOGON e das políticas Default Domain Policy e Default Domain Controller Policy ({6AC1786C-016F-11D2-945F-00C04fB984F9} and {31B2F340-016D-11D2-945F-00C04FB984F9}); o novo servidor não responderá solicitações de autenticação enquanto os compartilhamentos SYSVOL e NETLOGON não sejam restaurados. (14)(15)

Ocorreu um evento de erro. EventID: 0x0000164A
 O serviço de Logon de rede não pôde criar o serviço compartilhado C:\Windows\SYSVOL\sysvol\testdomain.local\SCRIPTS.

2.7.1 FRS

Para restaurar todos os membros de replicação FRS como novos membros em domínios com nível funcional Windows Server 2000/2003 (14)(15):

No antigo controlador de domínio, precisamos configurá-lo como servidor autoritativo para replicação (14)(15):

1. Abra o Menu iniciar, e clique em Executar.
2. Na caixa de diálogo, digite cmd e pressione Enter.
3. Na janela do Prompt de comando, digite net stop ntfrs e pressione Enter.
4. Na janela do Prompt de comando, digite regedit e pressione Enter.
5. Localize a seguinte sub-chave no registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
6. No painel direito, dê dois cliques em BurFlags.
7. Na caixa Editar Valor DWORD, digite D4 e então clique em OK.
8. Feche o editor do registro.
9. Na janela do Prompt de comando, digite net start ntfrs e pressione Enter.

No novo controlador de domínio, realize uma restauração FRS não-autoritativa (o conteúdo do diretório SYSVOL do antigo controlador de domínio substituirá o conteúdo do novo controlador de domínio) (14)(15):

1. Abra o Menu iniciar, e clique em Executar.
2. Na caixa de diálogo, digite cmd e pressione Enter.
3. Na janela do Prompt de comando, digite net stop ntfrs e pressione Enter.
4. Na janela do Prompt de comando, digite regedit e pressione Enter.
5. Localize a seguinte sub-chave no registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
6. No painel direito, dê dois cliques em BurFlags.
7. Na caixa Editar Valor DWORD, digite D2 e então clique em OK.
8. Feche o editor do registro.
9. Na janela do Prompt de comando, digite net start ntfrs e pressione Enter.

Após a reiniciação do serviço FRS, os servidores restaurados voltarão ao estado multi-mestre. (14)

Para visualizar o estado da replicação, abra o Visualizador de eventos > Logs de Aplicativos e Serviços > File Replication Service e espere pelo Evento 13516. (15)

Description:
The File Replication Service is no longer preventing the computer 2008R2-AD from becoming a domain controller. The system volume has been successfully initialized and the Netlogon service has been notified that the system volume is now ready to be shared as SYSVOL.

Caso você tenha despromovido o antigo servidor antes de realizar a replicação FRS, você pode definir o valor D4 em BurFlags no novo controlador de domínio para configurá-lo como servidor autoritativo de replicação e reiniciar o servidor. Você poderá digitar o comando net share no Prompt de comando para confirmar a existência do compartilhamento SYSVOL.

Você precisará definir o valor SysvolReady na sub-chave de registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters para 1 e reiniciar o serviço netlogon através do comando net stop netlogon && net start netlogon para restaurar o compartilhamento NETLOGON. (18)

Caso o compartilhamento não seja restaurado, será necessário criar manualmente o diretório SCRIPTS em C:\Windows\SYSVOL\sysvol\testdomain.local e reiniciar o serviço netlogon. (14)

Para recriar as políticas de grupo padrão (caso você não possua um backup dos GPOs), você precisará usar o comando dcgpofix (16):

[sourcecode lang="bash"]
dcgpofix
[/sourcecode]

2.7.2 DFS

Para forçar a replicação DFS em domínios com nível funcional Windows Server 2008 ou superior (onde “2003-ad.testdomain.local” é o nome DNS do controlador de domínio ativo atual):

repadmin /syncall 2003-ad.testdomain.local /APed

1. /A: Realiza /SyncAll para todas as partições (também chamadas de NC, ou naming context) do Active Directory. Padrão: sincroniza somente a partição de configuração (não sincroniza a partição de domínio [usuários, computadores, grupos e outros objetos da partição] e de esquema).
2. /P: Envia alterações para todos os controladores de domínio. Padrão: somente controlador de domínio especificado.
3. /e: Sincronização entre-sites. Padrão: somente site-atual.
4. /d: Identifica os servidores através da notação DN. Padrão: GUID DNS.

Espere alguns minutos e você deverá ver os Eventos 2002 e 4602.

Caso a replicação falhe, você precisará configurar manualmente a sincronização DFS.

Caso a replicação DFS do diretório SYSVOL e NETLOGON não ocorra e os compartilhamentos “SYSVOL” e “NETLOGON” estejam ausentes no controlador de domínio (DC), você precisará reconstruir a árvore SYSVOL usando o DFSR.

2.9 Despromover o antigo controlador de domínio (opcional)

Caso você queira manter apenas o novo controlador de domínio na rede, é possível rebaixar o antigo controlador de domínio para servidor membro.

No antigo controlador de domínio:

1. Abra o Menu iniciar, e clique em Executar.
2. Na caixa de diálogo, digite dcpromo e pressione a tecla [Enter].

O DCPROMO pode falhar ao rebaixar o controlador de domínio com a mensagem de erro “Could not contact a replica for partition DC=DomainDnsZones,DC=testdomain,DC=local” caso o Mestre de infra-estrutura não possa ser encontrado na partição de domínio. Precisamos alterar o atributo fSMORoleOwner para um Mestre de infra-estrutura ativo usando o script fixfsmo.vbs, que pode ser encontrado no KB949257 do Suporte da Microsoft.

[sourcecode lang="bash"]
cscript fixfsmo.vbs DC=DomainDnsZones,DC=contoso,DC=com
[/sourcecode]

Caso apareça mensagens de erro durante o rebaixamento do domínio, você pode usar o DCDiag para realizar um diagnóstico no domínio (17):

ipconfig /all >C:\ipconfig.txt
dcdiag /v /c /d /e >C:\dcdiag.txt

Caso a mensagem de erro durante o rebaixamento do domínio persista, você pode despromover o servidor membro através do comando dcpromo /FORCEREMOVAL. Você precisará realizar a limpeza de metadados manualmente.

Após rebaixar o controlador de domínio (DC) ou limpeza de metadados manualmente, você pode verificar se o controlador de domínio foi rebaixado consultando os DCs disponíveis através do comando (26):

netdom query dc

Após despromover o antigo controlador de domínio, você precisará remover o endereço IP do antigo controlador de domínio (servidor DNS secundário) das Propriedades TCP/IPv4 do adaptador de rede do novo controlador de domínio.

Propriedades TCP/IPv4 do novo controlador de domínio (2008R2)

3. Migrando o serviço DHCP

O blog oficial do Microsoft Windows DNS e DHCP team da Microsoft e o livro “Windows Server 2008: Guia de Bolso do Administrador” de William R. Stanek recomendam o uso do comando netsh para exportar o escopo DHCP e reservas para outro servidor. Porém, a importação falhava e não exibia nenhuma mensagem de erro.

Copiar os arquivos de banco de dados do servidor DHCP (C:\Windows\System32\DHCP) somente é suportado quando a versão e idioma do Windows Server são os mesmos (19)(20).

A Microsoft disponibilizou uma ferramenta que realiza a migração do banco de dados Jet do DHCP para outro servidor, porém, devido a complexidade do procedimento para redes de pequenas e médias empresas; é mais fácil reconfigurar o escopo DHCP e reservas manualmente no novo servidor.

Ao configurar o escopo DHCP, é necessário substituir o endereço IP do antigo controlador de domínio da lista de servidores DNS (opção 006) pelo endereço IP do novo DC caso você tenha rebaixado o antigo controlador de domínio ou adicionar o endereço IP do novo controlador de domínio a lista de servidores DNS do servidor DHCP.

Por padrão, o serviço DHCP somente verifica seu pool de endereços disponíveis e atribui ao cliente a concessão de um endereço IPv4 disponível. Ele não consulta realmente a rede para ver se o endereço está sendo usado. É recomendado ativar a detecção de conflitos de endereços durante o tempo máximo de concessão de endereços IP do antigo servidor DHCP para evitar conflitos de endereços IP. (21)

1. No console DHCP, expanda o nó do servidor com o qual deseja trabalhar, clique com o botão direito do mouse em IPv4 e selecione Propriedades.
2. Na guia Avançado, configure Tentativas de detecção de conflitos com um valor maior do que zero.

Conclusão

Caso você tenha rebaixado o antigo controlador de domínio, você pode querer substituir fisicamente o antigo DC pelo novo DC. Você pode usar o Clonezilla para esta tarefa. Infelizmente, o Clonezilla (na verdade, o Linux em si) possuí dificuldades para lidar com controladores RAID de software. Se você precisa restaurar ou clonar um disco rígido com RAID, você pode usar o EaseUS Todo Backup Advanced Server para clonar o disco.

Referências

1. Marcelo Nogueira, 2011. Conhecendo as Operações Mestres do AD (FSMO).
2. Administrador de Rede Windows II (Apostila). Informatize.
3. Marcelo Nogueira, 2011. Conhecendo as Operações Mestres do AD: Schema Master.
4. Microsoft TechNet, 2014. Running Adprep.exe.
5. IP loging, 2015. Adprep – Add Windows 2012 R2 domain controller to 2008 R2 domain.
6. Marcelo Nogueira, 2011. Conhecendo as Operações Mestres do AD: Domain Naming Master.
7. Marcelo Nogueira, 2011. Conhecendo as Operações Mestres do AD: PDC Emulator.
8. Ken Hornstein, 2000. Frequent Asked Questions about Kerberos. Naval Research Laboratory, Computational Meta-Facility.
9. Understanding Kerberos & Replay Attacks. Windows IT Pro.
10. What is Kerberos Authentication?: Logon and Authentication. Microsoft TechNet.
11. Moving Windows NTP Server. Zwiegnet Blog.
12. Migrate Server 2003 to 2008R2 Active Directory and FSMO Roles. Zwiegnet Blog.
13. Schema Master role not transfering. Experts Exchange.
14. How to rebuild the SYSVOL tree and its content in a domain. Microsoft Support.
15. Missing SYSVOL and NETLOGON after upgrade from Windows 2003 SBS to 2012 Standard. Microsoft Support.
16. Group Policy Management – “The system cannot find the file specified”. Experts Exchange.
17. Error Message: The specified domain either does not exist or could not be contacted. Windows Server General Forum (Microsoft TechNet), 2011.
18. The NETLOGON share is not present after you install Active Directory Domain Services on a new full or read-only Windows Server 2008-based domain controller. Microsoft Support.
19. More About DHCP Backup and Restore. Microsoft TechNet.
20. How to backup and restore DHCP server in Windows server 2008. Server Labs, 2014.
21. William R. Stanek, 2009. Windows Server 2008: Guia de Bolso do Administrador. bookman, ISBN 978-85-7780-380-4.
22. Active Directory Certificate Services Migration Guide for Windows Server 2012 R2. Microsoft TechNet.
23. Cyril Kardashevsky, 2019. Configuring DC for Sync Time with External NTP Server. TheITBros.
24. Ferramentas e configurações do Serviço de Tempo do Windows. Microsoft Docs.
25. Windows Time Server – 3.3 Modes of Operation. Bytefusion.
26. Why does second domain controller not display [closed]. Server Fault.