Colocación adecuada de los controladores de dominio y consideraciones de sitio

La definición de sitio adecuada es fundamental para el rendimiento. Los clientes que quedan fuera del sitio pueden experimentar un rendimiento deficiente para las autenticaciones y las consultas. Además, con la introducción de IPv6 en los clientes, la solicitud puede proceder de la dirección IPv4 o IPv6 y Active Directory debe tener sitios definidos correctamente para IPv6. El sistema operativo prefiere IPv6 a IPv4 cuando ambos están configurados.

A partir de Windows Server 2008, el controlador de dominio intenta usar la resolución de nombres para realizar una búsqueda inversa con el fin de determinar el sitio en el que debe estar el cliente. Esto puede provocar el agotamiento del grupo de subprocesos ATQ y hacer que el controlador de dominio deje de responder. La solución adecuada es definir correctamente la topología del sitio para IPv6. Como solución alternativa, se puede optimizar la infraestructura de la resolución de nombres para responder rápidamente a las solicitudes del controlador de dominio. Para obtener más información, consulta Respuesta retrasada del controlador de dominio de Windows Server 2008 o Windows Server 2008 R2 a las solicitudes de LDAP o Kerberos.

Otro aspecto que se debe tener en cuenta es la ubicación de los controladores de dominio de lectura/escritura en los escenarios en los que se utiliza el controlador de dominio de solo lectura. Algunas operaciones requieren acceso a un controlador de dominio con permisos de escritura o se dirigen a un controlador de dominio con permisos de escritura cuando bastaría con un controlador de dominio de solo lectura (RODC). La optimización de estos escenarios tomaría dos caminos:

• Ponerse en contacto con los controladores de dominio con permiso de escritura cuando bastaría con un controlador de dominio de solo lectura. Esto requiere un cambio de código de la aplicación.
• Cuando sea necesario un controlador de dominio con permiso de escritura. Coloque controladores de dominio de lectura y escritura en ubicaciones centrales para minimizar la latencia.

Para obtener más información, consulte:

• Compatibilidad de aplicaciones con RODC
• Interfaz de servicio de Active Directory (ADSI) y controlador de dominio de solo lectura (RODC): evitar problemas de rendimiento

Optimización para referencias

Las referencias son la forma en que se redirigen las consultas LDAP cuando el controlador de dominio no hospeda una copia de la partición consultada. Cuando se devuelve una referencia, contiene el nombre distintivo de la partición, un nombre DNS y un número de puerto. El cliente usa esta información para continuar la consulta en un servidor que hospeda la partición. Se trata de un escenario DCLocator y se mantienen todas las definiciones de sitio de las recomendaciones y la ubicación de los controladores de dominio, pero a menudo se pasan por alto las aplicaciones que dependen de las referencias. Se recomienda asegurarse de que la topología de AD, incluidas las definiciones de sitio y la ubicación del controlador de dominio, reflejan correctamente las necesidades del cliente. Además, esto puede incluir tener controladores de dominio de varios dominios en un único sitio, ajustar la configuración de DNS o reubicar el sitio de una aplicación.

Consideraciones de optimización para las confianzas

En un escenario dentro del bosque, las confianzas se procesan de acuerdo con la siguiente jerarquía de dominios: Dominio nieto -> Dominio hijo -> Dominio raíz del bosque -> Dominio hijo -> Dominio nieto. Esto significa que los canales seguros en la raíz del bosque y cada elemento primario se pueden sobrecargar debido a la agregación de solicitudes de autenticación que transitan por los controladores de dominio en la jerarquía de confianza. Esto también puede provocar retrasos en las instancias de Active Directory de gran dispersión geográfica cuando la autenticación también tenga que transitar por vínculos muy latentes para afectar al flujo anterior. Las sobrecargas pueden producirse en escenarios de confianza entre bosques y niveles descendentes. Las siguientes recomendaciones se aplican a todos los escenarios:

• Ajuste correctamente MaxConcurrentAPI para admitir la carga en todo el canal seguro. Para obtener más información, consulte Ajuste del rendimiento de la autenticación NTLM mediante la configuración de MaxConcurrentApi.

• Cree confianzas de acceso directo según corresponda en función de la carga.

• Asegúrese de que todos los controladores de dominio del dominio puedan realizar la resolución de nombres y comunicarse con los controladores de dominio del dominio de confianza.

• Asegúrese de que se tienen en cuenta las consideraciones de localidad para las confianzas.

• Habilite Kerberos siempre que sea posible y minimice el uso del canal seguro para reducir el riesgo de encontrarse en cuellos de botella de MaxConcurrentAPI.

Los escenarios de confianza entre dominios son un área que ha sido constantemente un punto problemático para muchos clientes. Los problemas de resolución de nombres y conectividad, a menudo debido a los firewalls, provocan el agotamiento de recursos en el controlador de dominio de confianza y afectan a todos los clientes. Además, un escenario que a menudo se pasa por alto es la optimización del acceso a los controladores de dominio de confianza. Las esferas clave para asegurarse de que funciona correctamente son las siguientes:

• Asegúrese de que la resolución de nombres DNS y WINS que usan los controladores de dominio de confianza puede resolver una lista precisa de controladores de dominio para el dominio de confianza.

  • Los registros agregados estáticamente tienen tendencia a volverse obsoletos y volver a plantear problemas de conectividad a lo largo del tiempo. Los reenvíos de DNS y DNS dinámico y la combinación de infraestructuras WINS/DNS son más fáciles de mantener a largo plazo.

  • Asegúrese de que la configuración es adecuada en los reenviadores, reenvíos condicionales y copias secundarias para las zonas de búsqueda directa e inversa de cada recurso del entorno al que un cliente pueda necesitar acceder. De nuevo, esto requiere mantenimiento manual y tiene tendencia a quedar obsoleto. La consolidación de infraestructuras es ideal.

• Los controladores de dominio del dominio que confía intentarán buscar controladores de dominio en el dominio de confianza que se encuentren en el mismo sitio primero y, a continuación, realizar la conmutación por recuperación a los localizadores genéricos.

  • Para obtener más información sobre cómo funciona DCLocator, consulte Búsqueda de un controlador de dominio en el sitio más cercano.

  • Converja los nombres de sitio entre los dominios que confía y de confianza para reflejar el controlador de dominio en la misma ubicación. Asegúrese de que las asignaciones de direcciones IP y subredes están vinculadas correctamente a sitios de ambos bosques. Para obtener más información, consulte Localizador de dominios en una confianza de bosque.

  • Asegúrese de que los puertos están abiertos, según las necesidades de DCLocator, para la ubicación del controlador de dominio. Si existen firewalls entre los dominios, asegúrese de que están configurados correctamente para todas las confianzas. Si los firewalls no están abiertos, el controlador de dominio que confía seguirá intentando acceder al dominio de confianza. Si se produce un error en la comunicación por cualquier motivo, el controlador de dominio que confía agotará el tiempo de espera de la solicitud al controlador de dominio de confianza. Sin embargo, estos tiempos de espera pueden tardar varios segundos por solicitud y pueden agotar los puertos de red en el controlador de dominio de confianza si el volumen de solicitudes entrantes es alto. El cliente puede experimentar el periodo hasta que se agote el tiempo de espera en el controlador de dominio como subprocesos bloqueados, lo que podría traducirse en aplicaciones bloqueadas (si la aplicación ejecuta la solicitud en el subproceso en primer plano). Para obtener más información, vea Configuración de un firewall para dominios y confianzas.

  • Use DnsAvoidRegisterRecords para eliminar controladores de dominio con un rendimiento deficiente o de alta latencia, como los de los sitios satélite, de la publicidad a los localizadores genéricos. Para obtener más información, consulte Optimización de la ubicación de un controlador de dominio o un catálogo global que reside fuera del sitio de un cliente.

    Nota

    Hay un límite práctico de aproximadamente 50 para el número de controladores de dominio que puede consumir el cliente. Deben ser los controladores de dominio de mayor capacidad y óptimos para el sitio.

  • Considere la posibilidad de colocar controladores de dominio de dominios que confían y de confianza en la misma ubicación física.

En todos los escenarios de confianza, las credenciales se enrutan según el dominio especificado en las solicitudes de autenticación. Esto también es cierto para las consultas a las API LookupAccountName y LsaLookupNames (así como a otras, estas son solo las más usadas). Cuando los parámetros de dominio de estas API se pasan a un valor NULL, el controlador de dominio intentará encontrar el nombre de cuenta especificado en cada dominio de confianza disponible.

• Deshabilite la comprobación de todas las confianzas disponibles cuando se especifica un dominio NULL. Restricción de la búsqueda de nombres aislados en dominios de confianza externos mediante la entrada del Registro LsaLookupRestrictIsolatedNameLevel

• Deshabilite el paso de solicitudes de autenticación con el dominio NULL especificado en todas las confianzas disponibles. El proceso Lsass.exe puede dejar de responder si tiene muchas confianzas externas en un controlador de dominio de Active Directory

Referencias adicionales

• Optimización del rendimiento para servidores de Active Directory
• Consideraciones de hardware
• Consideraciones de LDAP
• Solución de problemas de rendimiento de AD DS
• Capacity Planning for Active Directory Domain Services (Planeamiento de la capacidad para Active Directory Domain Services)