Upgrade de Controladores de Domínio para Windows Server 2022: compatibilidade com legados, Exchange e checklist de migração

Planeja atualizar os Controladores de Domínio para Windows Server 2022 e tem legados no ambiente? Este guia direto ao ponto explica o que realmente funciona, o que quebra, e entrega um checklist prático para migrar sem surpresas, cobrindo também Exchange 2007/2013 (Hybrid) e SMTP.

Visão geral e resposta rápida

Ao introduzir DCs Windows Server 2022 e manter os níveis funcionais (DFL/FFL) em Windows Server 2012, a regra geral é: membros de domínio antigos continuam a autenticar, porém sob risco operacional e de segurança. A maior parte das quebras pós-upgrade vem de endurecimento (hardening) — SMB1 desligado, assinaturas LDAP, mudanças no Netlogon seguro, desativação de DES/RC4, exigência de TLS 1.2 — e não do nível funcional em si.

Direto ao ponto

• Compatibilidade de membros antigos: Windows Server 2003/2008/2008 R2 e clientes Windows XP/7/8.1 tendem a continuar funcionando como membros de domínio com DCs 2022 e DFL/FFL 2012. Contudo, são não suportados pela Microsoft e vulneráveis a quebras após hardening.
• Exchange:
  • Exchange 2007: fora de suporte e incompatível com práticas modernas de DC/segurança. Remova-o e mova o SMTP para o Exchange 2013 (ou, idealmente, para Exchange Online ou um relay dedicado).
  • Exchange 2013 (Hybrid): pode coexistir com DCs 2022/DFL 2012, porém também está fora de suporte. Planeje migração para uma plataforma suportada.

O que muda com DCs 2022 e DFL/FFL 2012

• Protocolos e padrões por padrão mais rígidos: SMB1 ausente/desativado; LDAP com recomendações de assinatura e canal seguro; Netlogon seguro; políticas de criptografia Kerberos preferindo AES; TLS 1.2 como base.
• DFSR obrigatório para SYSVOL: DCs 2019/2022 não aceitam FRS. É preciso migrar o SYSVOL para DFSR antes de adicionar os novos DCs.
• Compatibilidade de membros ≠ suporte: DFL/FFL afeta DCs e recursos do AD, não impede que clientes antigos autentiquem. Mas clientes/servidores sem suporte podem depender de protocolos obsoletos.
• Novos recursos disponíveis (com DFL/FFL 2012): gMSA (contas de serviço gerenciadas de grupo), melhorias no KDC (armoring/claims), entre outros. Adoção é opcional e pode ser faseada.

Checklist de migração segura

Antes de introduzir DCs 2022

1. Inventário e testes de dependências
   • Liste XP/2003/2008/2008 R2/7/8.1 e aplicações legadas que dependam de SMB1, NTLMv1, DES/RC4, TLS 1.0/1.1 ou LDAP sem assinatura/canal seguro.
   • Mapeie dispositivos (MFPs, impressoras, scanners, DVRs, IoT) que enviam e-mail via SMTP antigo (sem TLS, AUTH LOGIN/PLAIN, TLS 1.0).
2. SYSVOL (FRS → DFSR)
   • Verifique o estado com: dfsrmig /getglobalstate dfsrmig /getmigrationstate
   • Migre até o estágio Eliminated antes de adicionar DCs 2022.
3. Saúde do AD e preparação de esquema
   • Cheque replicação/DNS: dcdiag /v repadmin /replsummary repadmin /showrepl nltest /dsgetdc:SEUDOMINIO
   • O assistente de promoção do 2022 executa automaticamente os adpreps. Se preferir manual: adprep /forestprep adprep /domainprep /gpprep
   • Confirme níveis atuais: Get-ADForest | fl ForestMode Get-ADDomain | fl DomainMode
4. SMTP/Exchange
   • Planeje remover Exchange 2007. Recrie conectores no Exchange 2013 com escopo por IP, autenticação adequada e TLS 1.2.
   • Se houver muitos legados, crie um smarthost dedicado (por exemplo, Postfix) para isolar requisitos antigos e proteger o Exchange e os DCs.
5. Backups e recuperação
   • Backups do System State dos DCs, backup do DNS, políticas de GPO (export), e snapshots de VMs não substituem backup do estado do sistema.

Durante a transição

1. Adicione DCs 2022 e valide replicação/DNS imediatamente após a promoção.
2. Transfira as funções FSMO de forma controlada: Move-ADDirectoryServerOperationMasterRole -Identity DC2022 ` -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster
3. Verifique tempo (W32Time) no PDC Emulator: w32tm /config /manualpeerlist:"servidor.ntp" /syncfromflags:manual /update w32tm /resync w32tm /query /status
4. Despromova DCs antigos conforme plano, sempre após confirmar replicação estável (SEM erros no dcdiag).

Após a migração

1. Eleve DFL/FFL para 2012 apenas quando não houver DCs incompatíveis e SYSVOL em DFSR.
2. Hardening gradual (fases, com auditoria prévia):
   • LDAP: habilite assinatura e channel binding.
   • Netlogon seguro: aplique as políticas de proteção reforçada.
   • Criptografia: desative DES e avalie reduzir RC4. Atenção: XP/2003 dependem de RC4.
   • TLS: force TLS 1.2 nos serviços AD/Exchange/relay.
   • SMB1: não reative nos DCs. Elimine XP/2003 ou isole-os.
3. Monitorização:
   • Falhas de autenticação (Kerberos/Netlogon/LDAP), aplicação de GPO, DNS (dinâmico e scavenging).
   • Auditoria de NTLM (entrante/saínte) para mapear quem usa NTLMv1/RC4.

Matriz de compatibilidade de membros

Sistema	Funciona como membro com DC 2022 + DFL/FFL 2012?	Suporte	Riscos/atenções	Mitigações sugeridas
Windows Server 2003 / Windows XP	Autentica; acesso a SYSVOL/NETLOGON exige SMB1 (ausente por padrão nos DCs 2022).	Sem suporte	SMB1, NTLMv1, RC4/DES, TLS antigos. Alto risco de quebra com hardening.	Retirar ou isolar; não ativar SMB1 em DC. Considerar relay de arquivos/print em servidor isolado, segmentação de rede e contas locais temporárias.
Windows Server 2008/2008 R2	Em geral funciona como membro de domínio.	Sem suporte	Necessita TLS 1.2 e atualizações. Pode falhar com LDAP signing/Netlogon seguro.	Aplicar correções, habilitar TLS 1.2, testar LDAP/Netlogon em auditoria antes do modo obrigatório. Planejar upgrade.
Windows 7	Funciona como membro.	Sem suporte	Sem AES por padrão em SP1 antigo; exige patches. LDAP/Netlogon podem impactar.	Atualizar para últimos rollups, habilitar TLS 1.2, revisar criptografias Kerberos. Roteiro de retirada.
Windows 8.1	Funciona como membro.	Sem suporte	Idem ao Windows 7 com menos fricções. Fora de suporte.	Plano de atualização.
Windows Server 2012/2012 R2	Compatível como membro e inclusive como DC antes da elevação de DFL/FFL.	Suporte limitado/ESU	Vida útil curta; pode ser transição temporária.	Agendar upgrade para 2016/2019/2022 (dependendo do caso).
Windows Server 2016	Compatível	Suportado	Sem ressalvas relevantes.	Manter atualizado.

Armadilhas comuns e como evitá-las

• Ativar SMB1 no DC para “ajudar” XP/2003: não faça isso. Aumenta a superfície de ataque no núcleo do domínio. Preferir isolamento ou servidores de transição fora do domínio para compartilhamentos legados.
• Elevar DFL/FFL com DCs antigos presentes: bloqua a replicação e pode exigir recuperação. Eleve apenas quando todos os DCs forem 2012+ e o SYSVOL estiver em DFSR.
• Ignorar DNS: DCs 2022 dependem de DNS saudável. Corrija zonas AD-integradas, repasse condicional, e valide registros SRV (ldap.tcp.dc._msdcs).
• Esquecer do tempo (NTP): desvio de tempo quebra Kerberos. Ajuste o PDC Emulator e propague.
• Forçar hardening sem auditoria: habilite log-only (quando disponível), monitore por alguns dias e só então aplique o modo obrigatório.

Políticas e configurações recomendadas

Considere aplicar de forma faseada, começando por auditoria:

Política: Network security: LDAP client signing requirements
Política: Domain controller: LDAP server signing requirements
Política: Domain controller: Allow vulnerable Netlogon secure channel connections (definir exceções somente temporárias)
Política: Network security: Restrict NTLM: Audit Incoming/Outgoing NTLM traffic
Registro: LdapEnforceChannelBinding (habilitar, começar em modo compatível quando aplicável)
Kerberos: desativar DES; avaliar redução de RC4; preferir AES

Procedimento para migrar SYSVOL (FRS → DFSR)

1. Confirme FRS/DFSR: dfsrmig /getglobalstate dfsrmig /getmigrationstate
2. Avance os estados (aguarde convergência entre cada um): dfsrmig /setglobalstate 1 (Prepared) dfsrmig /getmigrationstate dfsrmig /setglobalstate 2 (Redirected) dfsrmig /getmigrationstate dfsrmig /setglobalstate 3 (Eliminated) dfsrmig /getmigrationstate
3. Valide backlog e integridade: dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:DC1 /rmem:DC2 dcdiag /test:sysvolcheck /test:advertising

SMTP após remover Exchange 2007

• No Exchange 2013: crie um Receive Connector dedicado para dispositivos e aplicações, restrito por IP, com autenticação apropriada (Anonymous apenas quando estritamente necessário) e TLS 1.2.
• Smarthost dedicado: quando muitos legados exigirem TLS fraco ou autenticações antigas, use um relay intermediário fora dos DCs/Exchange para isolar riscos e aplicar traduções de protocolo.
• Firewall e reputação: ajuste saídas TCP 25/587, verifique DNS reverso e política de envio para evitar bloqueios por provedores.

Fluxo recomendado de migração

1. Inventariar legados e mapear dependências sensíveis (SMB1, NTLMv1, DES/RC4, TLS < 1.2, LDAP sem assinatura).
2. Migrar SYSVOL para DFSR e normalizar DNS/replicação.
3. Adicionar primeiros DCs 2022; validar.
4. Transferir FSMO; despromover DCs antigos.
5. Remover Exchange 2007; consolidar SMTP no Exchange 2013 ou smarthost.
6. Elevar DFL/FFL para 2012.
7. Aplicar hardening faseado (LDAP, Netlogon, TLS, criptografias, NTLM, SMB).
8. Monitorar e ajustar conforme telemetria.

Testes de validação pós-upgrade

• Autenticação: login interativo e via RDP em estações antigas e novas; teste de Kerberos (klist) e fallback NTLM controlado.
• GPO: aplicação de políticas (User/Computer), scripts de logon, preferências; checar gpresult /h.
• DNS/DHCP: registros SRV, atualizações dinâmicas seguras, escopo DHCP com opções 006/015/044/046 quando aplicável.
• Aplicações: acesso a compartilhamentos, IIS/LDAP, impressoras, serviços que usam service accounts (avaliar migração para gMSA onde possível).
• SMTP: envio por dispositivos e aplicações via Exchange 2013/relay; validação de TLS 1.2.

Perguntas frequentes

Elevar DFL/FFL para 2016 trará ganhos imediatos?
Somente se você pretende usar recursos específicos (por exemplo, políticas de autenticação/silos de 2012 R2+, melhorias em proteção de credenciais). Para ambientes com muitos legados, 2012 equilibra compatibilidade e governança.

Windows 7/2008 sem os últimos patches vai funcionar?
Pode até autenticar, mas quebrará com hardening (LDAP/Netlogon/TLS). Aplique as últimas atualizações possíveis e trate como life support temporário.

E se eu realmente precisar de SMB1?
Não habilite nos DCs. Use um servidor bridge isolado (member ou Linux) apenas para atender XP/2003, com ACLs rigorosas e rede segmentada, enquanto acelera a retirada dos legados.

Posso deixar o Exchange 2013 indefinidamente?
É tecnicamente possível, mas fora de suporte e arriscado. Defina um plano para Exchange suportado (idealmente Exchange Online) e reduza a superfície on-premises.

Scripts e comandos úteis (referência rápida)

:: Saúde do AD
dcdiag /v
repadmin /replsummary
repadmin /showrepl

\:: FSMO
netdom query fsmo
PowerShell:
Move-ADDirectoryServerOperationMasterRole -Identity DC2022 \`
-OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

\:: Níveis funcionais
PowerShell:
(Get-ADForest).ForestMode
(Get-ADDomain).DomainMode

\:: Tempo (no PDC Emulator)
w32tm /config /manualpeerlist:"ntp1 ntp2" /syncfromflags\:manual /update
w32tm /resync
w32tm /query /status

\:: DFSR (SYSVOL)
dfsrmig /getglobalstate
dfsrmig /setglobalstate 1
dfsrmig /setglobalstate 2
dfsrmig /setglobalstate 3
dfsrmig /getmigrationstate

\:: Auditoria de NTLM (via GPO)
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

- Network security: Restrict NTLM: Audit Incoming/Outgoing NTLM traffic

\:: LDAP Signing e Channel Binding (GPO/Registro)

- Domain controller: LDAP server signing requirements
- LdapEnforceChannelBinding

\:: TLS 1.2 (schannel): preferir 1.2 e desabilitar 1.0/1.1 de forma faseada

Dicas finais para coexistência com legados

• Isolamento: VLANs dedicadas, listas de controle de acesso, negação de acesso à Internet para XP/2003.
• Contas e permissões: privilégios mínimos, senhas de alta entropia, rotação de credenciais, service accounts sem delegações desnecessárias.
• Telemetria: centralize eventos de segurança (Kerberos, NTLM, LDAP, SMB) e crie painéis para detectar padrões de legado.
• Planejamento de fim de vida: inclua hardware, drivers e aplicações dependentes (ex.: controladores industriais) no roteiro de modernização.

Conclusão

Sim, membros Windows Server 2003/2008/2008 R2 e clientes XP/7/8.1 costumam continuar a funcionar após a introdução de DCs Windows Server 2022 mantendo DFL/FFL em 2012. Porém, por estarem fora de suporte, eles representam riscos significativos e são suscetíveis a quebras quando você aplica os endurecimentos recomendados (LDAP Signing/Channel Binding, Netlogon seguro, desativação de DES/RC4, forçar TLS 1.2, SMB1 desabilitado). O Exchange 2007 deve ser removido e o SMTP consolidado no Exchange 2013 ou, preferencialmente, em um relay dedicado/Exchange Online. O sucesso da migração depende de migrar o SYSVOL para DFSR, manter a saúde do AD/DNS, aplicar hardening em fases com auditoria e acelerar a retirada de sistemas legados.

---

Anexo útil: plano de rollback

• Mantenha pelo menos dois DCs 2022 antes de despromover os antigos.
• Não eleve DFL/FFL até concluir a validação de replicação e GPO.
• Se algo crítico quebrar após hardening, reverta somente a política específica; evite retroceder níveis funcionais (não suportado).
• Preserve backups do estado do sistema anteriores à mudança e documente as alterações de GPO.

Resumo executivo para decisão

• Risco técnico: médio — compatibilidade geralmente preservada, mas legados frágeis a hardening.
• Risco de segurança: alto — manter XP/2003/2008 expõe o domínio a ataques conhecidos.
• Estratégia: migrar DCs para 2022, DFL/FFL 2012, retirar Exchange 2007, endurecer em ondas e acelerar o decommission de legados.