Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die richtige Websitedefinition ist für die Leistung von entscheidender Bedeutung. Clients, die von der Website ausgeschlossen werden, können bei Authentifizierungen und Abfragen eine schlechte Leistung erzielen. Darüber hinaus kann die Anforderung mit der Einführung von IPv6 auf Clients entweder von der IPv4- oder der IPv6-Adresse stammen, und Active Directory muss Über Standorte verfügen, die für IPv6 ordnungsgemäß definiert sind. Das Betriebssystem bevorzugt IPv6 zu IPv4, wenn beide konfiguriert sind.
Seit Windows Server 2008 versucht der Domänencontroller, die Namensauflösung zu verwenden, um eine umgekehrte Abfrage durchzuführen und den Ort zu bestimmen, an dem sich der Client befinden sollte. Dies kann zu Einer Erschöpfung des ATQ-Threadpools führen und dazu führen, dass der Domänencontroller nicht mehr reagiert. Die entsprechende Lösung hierfür besteht darin, die Websitetopologie für IPv6 ordnungsgemäß zu definieren. Als Problemumgehung kann man die Namensauflösungsinfrastruktur optimieren, um schnell auf Domänencontrolleranforderungen zu reagieren. Weitere Informationen finden Sie unter Windows Server 2008 oder Windows Server 2008 R2 Domänencontroller verzögerte Antwort auf LDAP- oder Kerberos-Anforderungen.
Ein weiterer zu berücksichtigender Aspekt ist die Suche nach Lese-/Schreib-Domänencontrollern für Szenarios, in denen schreibgeschützte Domänencontroller (Read-Only Domain Controller, RODC) verwendet werden. Bestimmte Vorgänge erfordern den Zugriff auf einen beschreibbaren Domänencontroller oder zielen auf einen solchen ab, obwohl ein Read-Only Domänencontroller ausreichen würde. Die Optimierung dieser Szenarien würde zwei Pfade in Anspruch nehmen:
- Die Kontaktaufnahme mit beschreibbaren Domänencontrollern, wenn ein schreibgeschützter Domänencontroller ausreichen würde. Dies erfordert eine Anwendungscodeänderung.
- Wo ein schreibbarer Domänencontroller erforderlich sein kann. Platzieren Sie Domänencontroller mit Lese-/Schreibzugriff an zentralen Standorten, um die Latenz zu minimieren.
Weitere Informationen siehe:
- Anwendungskompatibilität mit RODCs
- Active Directory Service Interface (ADSI) und der schreibgeschützte Domänencontroller (RODC) – Vermeiden von Leistungsproblemen
Optimieren für Weiterleitungen
Verweise sind, wie LDAP-Abfragen umgeleitet werden, wenn der Domänencontroller keine Kopie der abgefragten Partition hostet. Wenn eine Empfehlung zurückgegeben wird, enthält sie den Distinguished Name der Partition, einen DNS-Namen und eine Portnummer. Der Client verwendet diese Informationen, um die Abfrage auf einem Server fortzusetzen, auf dem die Partition gehostet wird. Dies ist ein DCLocator-Szenario, und alle Empfehlungen zu Standortdefinitionen und der Platzierung von Domänencontrollern werden beibehalten, aber Anwendungen, die auf Verweisungen angewiesen sind, werden häufig übersehen. Es wird empfohlen, sicherzustellen, dass die AD-Topologie einschließlich Websitedefinitionen und Domänencontrollerplatzierung die Anforderungen des Clients ordnungsgemäß widerspiegelt. Dies kann auch bedeuten, dass Domänencontroller von mehreren Domänen an einem einzigen Standort vorhanden sind, DNS-Einstellungen anpassen oder den Standort einer Anwendung verschieben.
Optimierungsüberlegungen für Treuhandfonds
In einem Szenario innerhalb der Gesamtstruktur werden Vertrauensstellungen gemäß der folgenden Domänenhierarchie verarbeitet: zwei Ebenen untergeordnete Domäne –> untergeordnete Domäne –> Gesamtstruktur-Stammdomäne >– Untergeordnete Domäne >– zwei Ebenen untergeordnete Domäne. Dies bedeutet, dass sichere Kanäle im Gesamtstrukturstamm und jedes übergeordnete Element aufgrund der Aggregation von Authentifizierungsanforderungen, die die Domänencontroller in der Vertrauenshierarchie übertragen, überlastet werden können. Dies kann auch zu Verzögerungen bei Active Directories mit großer geografischer Streuung führen, wenn die Authentifizierung auch sehr latente Verbindungen durchlaufen muss, um den oben genannten Ablauf zu beeinflussen. Überlastungen können in Szenarios mit Vertrauensstellungen in der Zwischengesamtstruktur und untergeordneten Vertrauensstellungen auftreten. Die folgenden Empfehlungen gelten für alle Szenarien:
Optimieren Sie die MaxConcurrentAPI ordnungsgemäß, um die Last über den sicheren Kanal zu unterstützen. Weitere Informationen finden Sie unter Wie man Performance-Tuning für NTLM-Authentifizierung durchführt, indem man die MaxConcurrentApi-Einstellung verwendet.
Erstellen Sie entsprechend der Last Vertrauensstellungsabkürzungen.
Stellen Sie sicher, dass jeder Domänencontroller in der Domäne die Namensauflösung ausführen und mit den Domänencontrollern in der vertrauenswürdigen Domäne kommunizieren kann.
Stellen Sie sicher, dass ortsspezifische Überlegungen für Treuhandverhältnisse berücksichtigt werden.
Aktivieren Sie Kerberos nach Möglichkeit, und minimieren Sie die Verwendung des sicheren Kanals, um das Risiko zu verringern, dass maxConcurrentAPI-Engpässe auftreten.
Domänenübergreifende Vertrauensszenarien sind ein Bereich, der für viele Kunden konsistent einen Schmerzpunkt darstellt. Namensauflösungs- und Konnektivitätsprobleme, häufig aufgrund von Firewalls, führen zu Ressourcenausschöpfung auf dem vertrauenswürdigen Domänencontroller und wirken sich auf alle Clients aus. Darüber hinaus optimiert ein häufig übersehenes Szenario den Zugriff auf vertrauenswürdige Domänencontroller. Die wichtigsten Bereiche, um sicherzustellen, dass dies ordnungsgemäß funktioniert, sind wie folgt:
Stellen Sie sicher, dass die DNS- und WINS-Namensauflösung, die die vertrauenswürdigen Domänencontroller verwenden, eine genaue Liste der Domänencontroller für die vertrauenswürdige Domäne auflösen kann.
Statisch hinzugefügte Datensätze neigen dazu, veraltet zu werden und Probleme mit der Konnektivität im Laufe der Zeit wiedereinzuleiten. DNS-Forwards, Dynamic DNS und das Zusammenführen von WINS/DNS-Infrastrukturen können langfristig besser verwaltet werden.
Stellen Sie die ordnungsgemäße Konfiguration von Weiterleitungen, bedingten Weiterleitungen und sekundären Kopien für Forward- und Reverse-Lookupzonen für jede Ressource in der Umgebung sicher, auf die ein Client möglicherweise zugreifen muss. Auch hier ist eine manuelle Wartung erforderlich und hat die Tendenz, veraltet zu werden. Die Konsolidierung der Infrastrukturen ist ideal.
Domänencontroller in der vertrauenden Domäne versuchen zunächst, Domänencontroller in der vertrauenswürdigen Domäne zu ermitteln, die sich am selben Standort befinden, und dann ein Failback zu den generischen Locators durchzuführen.
Weitere Informationen zur Funktionsweise von DCLocator finden Sie unter Suchen eines Domänencontrollers am nächstgelegenen Standort.
Konvergieren Sie Standortnamen zwischen den vertrauenswürdigen und vertrauenden Domänen, um den Domänencontroller am selben Standort widerzuspiegeln. Vergewissern Sie sich, dass Subnetz- und IP-Adresszuordnungen ordnungsgemäß mit Standorten in beiden Gesamtstrukturen verknüpft sind. Weitere Informationen finden Sie unter Domain Locator Across a Forest Trust.
Stellen Sie sicher, dass die Ports gemäß den Anforderungen von DCLocator für den Domänencontrollerstandort geöffnet sind. Wenn Firewalls zwischen den Domänen vorhanden sind, stellen Sie sicher, dass die Firewalls für ALLE Vertrauensstellungen ordnungsgemäß konfiguriert sind. Wenn Firewalls nicht geöffnet sind, versucht der vertrauenswürdige Domänencontroller weiterhin, auf die vertrauenswürdige Domäne zuzugreifen. Wenn die Kommunikation aus irgendeinem Grund fehlschlägt, tritt beim vertrauenden Domänencontroller schließlich ein Timeout der an den vertrauenswürdigen Domänencontroller gesendeten Anforderung auf. Diese Timeouts können jedoch mehrere Sekunden pro Anforderung in Anspruch nehmen und Netzwerkports auf dem vertrauenswürdigen Domänencontroller ausschöpfen, wenn das Volumen eingehender Anforderungen hoch ist. Auf dem Client kann das Warten auf das Timeout auf dem Domänencontroller in Form hängender Threads auftreten. Dies kann wiederum zu hängenden Anwendungen führen (wenn die Anforderung von der Anwendung im Vordergrundthread ausgeführt wird). Weitere Informationen finden Sie unter Konfigurieren einer Firewall für Domänen und Vertrauensstellungen.
Verwenden Sie DnsAvoidRegisterRecords, um schlecht ausgeführte oder hochlatenzreiche Domänencontroller wie solche an Satellitenstandorten von Werbung bis hin zu generischen Locators zu beseitigen. Weitere Informationen finden Sie unter Optimieren des Speicherorts eines Domänencontrollers oder eines globalen Katalogs, der sich außerhalb der Website eines Clients befindet.
Hinweis
Es gibt einen praktischen Grenzwert von ca. 50 bis zur Anzahl der Domänencontroller, die der Client nutzen kann. Hierbei sollte es sich um die für den Standort optimalen und Domänencontroller mit höchster Kapazität handeln.
Erwägen Sie, Domänencontroller aus vertrauenswürdigen und vertrauenden Domänen am selben physischen Standort zu platzieren.
Für alle Vertrauensszenarien werden Anmeldeinformationen gemäß der in den Authentifizierungsanforderungen angegebenen Domäne weitergeleitet. Dies gilt auch für Abfragen an lookupAccountName und LsaLookupNames (sowie andere, dies sind nur die am häufigsten verwendeten) APIs. Wenn die Domänenparameter für diese APIs einen NULL-Wert übergeben werden, versucht der Domänencontroller, den in jeder verfügbaren vertrauenswürdigen Domäne angegebenen Kontonamen zu finden.
Deaktivieren Sie die Überprüfung aller verfügbaren Vertrauensstellungen, wenn NULL-Domäne angegeben wird. Einschränken der Suche von isolierten Namen in externen vertrauenswürdigen Domänen mithilfe des Registrierungseintrags "LsaLookupRestrictIsolatedNameLevel"
Deaktivieren Sie das Übergeben von Authentifizierungsanforderungen mit einer NULL-Domäne, die für alle verfügbaren Vertrauensstellungen angegeben ist. Der Lsass.exe Prozess reagiert möglicherweise nicht mehr, wenn Sie viele externe Vertrauensstellungen auf einem Active Directory-Domänencontroller haben.