Compartir a través de

Actualizaciones de componentes de Servicios de directorio

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

Autor: Justin Turner, ingeniero sénior de escalación de soporte técnico con el grupo de Windows

Nota

Este contenido está escrito por un ingeniero de asistencia al cliente de Microsoft y está destinado a los arquitectos de sistemas y administradores con experiencia que están buscando explicaciones técnicas más detalladas de características y soluciones de Windows Server 2012 R2 que los temas que se suelen proporcionar en TechNet. Sin embargo, no ha experimentado los mismos pasos de edición, por lo que parte del lenguaje puede parecer menos perfeccionado de lo que se encuentra normalmente en TechNet.

En esta lección se explican las actualizaciones de componentes de Servicios de directorio en Windows Server 2012 R2.

Temas que se abordarán

Explique las siguientes nuevas actualizaciones de componentes de Servicios de directorio:

Niveles funcionales de dominios y bosques

Información general

En la sección se proporciona una breve introducción a los cambios de nivel funcional del dominio y del bosque.

Nuevo DFL y FFL

Con la versión, hay nuevos niveles funcionales del dominio y del bosque:

  • Nivel funcional del bosque: Windows Server 2012 R2

  • Nivel funcional del dominio: Windows Server 2012 R2

El nivel funcional del dominio de Windows Server 2012 R2 habilita la compatibilidad con lo siguiente:

  1. Protecciones en el lado del controlador de dominio para los usuarios protegidos

    Los usuarios protegidos que se autentiquen en un dominio de Windows Server 2012 R2 ya no podrán:

    • Autenticarse mediante la autenticación NTLM

    • Uso de los conjuntos de cifrado DES o RC4 en la autenticación previa de Kerberos

    • Delegarse mediante una delegación con o sin restricciones

    • Renovar los vales de usuario (TGT) más allá de las 4 horas de vigencia inicial

  2. Authentication Policies

    Nuevas directivas de Active Directory basadas en bosques que se pueden aplicar a las cuentas de los dominios de Windows Server 2012 R2 para controlar en qué host puede iniciar sesión una cuenta y aplicar condiciones de control de acceso para la autenticación en los servicios que se ejecutan como una cuenta.

  3. Authentication Policy Silos

    Nuevo objeto de Active Directory basado en bosques, que puede crear una relación entre el usuario, el servicio administrado y las cuentas de equipo que se van a usar para clasificar las directivas de autenticación o el aislamiento de autenticación.

Consulte Configuración de cuentas protegidas para obtener más información.

Además de las características anteriores, el nivel funcional del dominio de Windows Server 2012 R2 garantiza que cualquier controlador de dominio del dominio se ejecute en Windows Server 2012 R2. El nivel funcional del bosque de Windows Server 2012 R2 no proporciona características nuevas, pero garantiza que todo dominio nuevo creado en el bosque funcione automáticamente en el nivel funcional del dominio de Windows Server 2012 R2.

DFL mínimo aplicado en la creación de un dominio nuevo

DFL de Windows Server 2008 es el nivel funcional mínimo admitido en la creación de un dominio nuevo.

Nota

El desuso de FRS se logra quitando la capacidad de instalar un nuevo dominio con un nivel funcional del dominio inferior a Windows Server 2008 con el Administrador del servidor o a través de Windows PowerShell.

Reducción de los niveles funcionales del bosque y del dominio

Los niveles funcionales del bosque y del dominio se establecen en Windows Server 2012 R2 de manera predeterminada cuando se crea un dominio nuevo y un bosque nuevo, pero pueden reducirse mediante Windows PowerShell.

Para elevar o reducir el nivel funcional del bosque mediante Windows PowerShell, use el cmdlet Set-ADForestMode.

Para establecer el FFL de contoso.com en modo Windows Server 2008:

Set-ADForestMode -ForestMode Windows2008Forest -Identity contoso.com

Para elevar o reducir el nivel funcional del dominio mediante Windows PowerShell, use el cmdlet Set-ADDomainMode.

Para establecer el DFL de contoso.com en modo Windows Server 2008:

Set-ADDomainMode -DomainMode Windows2008Domain -Identity contoso.com

Promoción de un controlador de dominio que ejecuta Windows Server 2012 R2 como una réplica adicional en un dominio existente que ejecuta trabajos de DFL 2003.

Creación de un dominio nuevo en un bosque existente

Screenshot that shows the Domain Controller Options page.

ADPREP

No hay operaciones de bosque o dominio en esta versión.

Estos archivos .ldf contienen cambios de esquema para el servicio de registro de dispositivos.

  1. Sch59

  2. Sch61

  3. Sch62

  4. Sch63

  5. Sch64

  6. Sch65

  7. Sch67

Carpetas de trabajo:

  1. Sch66

MSODS:

  1. Sch60

Silos y directivas de autenticación

  1. Sch68

  2. Sch69

Degradación de NTFRS

Información general

FRS ha quedado en desuso en Windows Server 2012 R2. El desuso de FRS se logra aplicando un nivel funcional del dominio mínimo (DFL) de Windows Server 2008. Esta aplicación solo está presente si el nuevo dominio se crea con el Administrador del servidor o Windows PowerShell.

Debe usar el parámetro -DomainMode con los cmdlets Install-ADDSForest o Install-ADDSDomain para especificar el nivel funcional del dominio. Los valores admitidos para este parámetro pueden ser un entero válido o un valor de cadena enumerado correspondiente. Por ejemplo, para establecer el nivel de modo de dominio en Windows Server 2008 R2, puede especificar un valor de 4 o bien "Win2008R2". Al ejecutar estos cmdlets desde Server 2012 R2, los valores válidos incluyen los de Windows Server 2008 (3, Win2008) Windows Server 2008 R2 (4, Win2008R2) Windows Server 2012 (5, Win2012) y Windows Server 2012 R2 (6, Win2012R2). El nivel funcional del dominio no puede ser inferior que el del bosque, pero puede ser superior. Como FRS está en desuso en esta versión, Windows Server 2003 (2, Win2003) no es un parámetro reconocido con estos cmdlets cuando se ejecuta desde Windows Server 2012 R2.

Screenshot of a terminal window that shows the -DomainMode parameter used with the Install-ADDSForest cmdlet.

Screenshot of a terminal window that shows how to use the Install-ADDSForest cmdlet.

Cambios en el optimizador de consultas LDAP

Información general

El algoritmo del optimizador de consultas LDAP se ha reevaluado y optimizado aún más. El resultado es una mejora del rendimiento de la eficiencia de búsqueda LDAP y el tiempo de búsqueda LDAP de las consultas complejas.

Nota

Desde el Desarrollador: mejoras en el rendimiento de las búsquedas a través de mejoras en la asignación de la consulta LDAP a la consulta ESE. Los filtros LDAP más allá de un determinado nivel de complejidad impiden la selección de índices optimizada, lo que reduce drásticamente el rendimiento (en 1000 veces o más). Este cambio modifica la forma en que se seleccionan los índices para las consultas LDAP para evitar este problema.

Nota

Una revisión completa del algoritmo del optimizador de consultas LDAP, lo que da como resultado:

  • Tiempos de búsqueda más rápidos
  • Las mejoras en la eficiencia permiten a los controladores de dominio hacer más
  • Menos llamadas de soporte técnico relacionadas con problemas de rendimiento de AD
  • Migración inversa a Windows Server 2008 R2 (KB 2862304)

Información previa

La capacidad de buscar en Active Directory es un servicio básico que proporcionan los controladores de dominio. Otros servicios y aplicaciones de línea de negocio dependen de las búsquedas de Active Directory. Las operaciones empresariales pueden detenerse si esta característica no está disponible. Como servicio básico y muy usado, es fundamental que los controladores de dominio controlen el tráfico de búsquedas LDAP de forma eficaz. El algoritmo del optimizador de consultas LDAP intenta hacer que las búsquedas LDAP sean lo más eficaces posible mediante la asignación de filtros de búsqueda LDAP a un conjunto de resultados que se puede satisfacer a través de registros ya indexados en la base de datos. Este algoritmo se ha reevaluado y optimizado aún más. El resultado es una mejora del rendimiento de la eficiencia de búsqueda LDAP y el tiempo de búsqueda LDAP de las consultas complejas.

Detalles del cambio

Una búsqueda LDAP contiene:

  • Una ubicación (encabezado NC, OU, objeto) dentro de la jerarquía para comenzar la búsqueda

  • Un filtro de búsqueda

  • Una lista de atributos que se van a devolver

El proceso de búsqueda se puede resumir de la siguiente manera:

  1. Si es posible, simplifique el filtro de búsqueda.

  2. Seleccione un conjunto de claves de índice que devolverá el conjunto cubierto más pequeño.

  3. Realice una o varias intersecciones de claves de índice para reducir el conjunto cubierto.

  4. Para cada registro del conjunto cubierto, evalúe la expresión de filtro, así como la seguridad. Si el filtro se evalúa como TRUE y se concede acceso, devuelva este registro al cliente.

El trabajo de optimización de consultas LDAP modifica los pasos 2 y 3 para reducir el tamaño del conjunto cubierto. Más concretamente, la implementación actual selecciona claves de índice duplicadas y realiza intersecciones redundantes.

Comparación entre el algoritmo antiguo y el nuevo

El destino de la búsqueda LDAP ineficaz de este ejemplo es un controlador de dominio de Windows Server 2012. La búsqueda se completa en aproximadamente 44 segundos como resultado de no encontrar un índice más eficaz.

adfind -b dc=blue,dc=contoso,dc=com -f "(| (& (|(cn=justintu) (postalcode=80304) (userprincipalname=justintu@blue.contoso.com)) (|(objectclass=person) (cn=justintu)) ) (&(cn=justintu)(objectclass=person)))" -stats >>adfind.txt

Using server: WINSRV-DC1.blue.contoso.com:389

<removed search results>

Statistics
=====
Elapsed Time: 44640 (ms)
Returned 324 entries of 553896 visited - (0.06%)

Used Filter:
 ( |  ( &  ( |  (cn=justintu)  (postalCode=80304)  (userPrincipalName=justintu@blue.contoso.com) )  ( |  (objectClass=person)  (cn=justintu) ) )  ( &  (cn=justintu)  (objectClass=person) ) )

Used Indices:
 DNT_index:516615:N

Pages Referenced          : 4619650
Pages Read From Disk      : 973
Pages Pre-read From Disk  : 180898
Pages Dirtied             : 0
Pages Re-Dirtied          : 0
Log Records Generated     : 0
Log Record Bytes Generated: 0

Resultados de ejemplo con el nuevo algoritmo

En este ejemplo se repite exactamente la misma búsqueda que anteriormente, pero tiene como destino un controlador de dominio de Windows Server 2012 R2. La misma búsqueda se completa en menos de un segundo debido a las mejoras en el algoritmo del optimizador de consultas LDAP.

adfind -b dc=blue,dc=contoso,dc=com -f "(| (& (|(cn=justintu) (postalcode=80304) (userprincipalname=dhunt@blue.contoso.com)) (|(objectclass=person) (cn=justintu)) ) (&(cn=justintu)(objectclass=person)))" -stats >>adfindBLUE.txt

Using server: winblueDC1.blue.contoso.com:389

.<removed search results>

Statistics
=====
Elapsed Time: 672 (ms)
Returned 324 entries of 648 visited - (50.00%)

Used Filter:
 ( |  ( &  ( |  (cn=justintu)  (postalCode=80304)  (userPrincipalName=justintu@blue.contoso.com) )  ( |  (objectClass=person)  (cn=justintu) ) )  ( &  (cn=justintu)  (objectClass=person) ) )

Used Indices:
 idx_userPrincipalName:648:N
 idx_postalCode:323:N
 idx_cn:1:N

Pages Referenced          : 15350
Pages Read From Disk      : 176
Pages Pre-read From Disk  : 2
Pages Dirtied             : 0
Pages Re-Dirtied          : 0
Log Records Generated     : 0
Log Record Bytes Generated: 0

  • Si no se puede optimizar el árbol:

    • Por ejemplo: una expresión del árbol estaba sobre una columna no indizada.

    • Registro de una lista de índices que impiden la optimización

    • Expuesto a través del seguimiento ETW y el identificador de evento 1644

      Screenshot that highlights the Attributes Preventing Optimization value.

Habilitación del control Stats en LDP

  1. Abra LDP.exe y, después, conéctese y enlácese a un controlador de dominio.

  2. En el menú Opciones, seleccione Controles.

  3. En el cuadro de diálogo Controles, expanda el menú desplegable Cargar predefinidos, seleccione Estadísticas de búsqueda y después Aceptar.

    Screenshot that highlights the Load Predefined list.

  4. En el menú Examinar, seleccione Buscar

  5. En el cuadro de diálogo Buscar, seleccione el botón Opciones.

  6. Asegúrese de que la casilla Extendida está activada en el cuadro de diálogo Opciones de búsqueda y seleccione Aceptar.

    Screenshot that highlights the the Extended option.

Pruébelo: uso de LDP para devolver estadísticas de consulta

Realice lo siguiente en un controlador de dominio o desde un cliente o servidor unido a un dominio que tenga instaladas las herramientas de AD DS. Repita lo siguiente indicando como destino el controlador de dominio de Windows Server 2012 y el controlador de dominio de Windows Server 2012 R2.

  1. Revise el artículo "Creación de aplicaciones habilitadas para Microsoft AD más eficaces" y vuelva a consultarlo según sea necesario.

  2. Con LDP, habilite las estadísticas de búsqueda (consulte Habilitación del control Stats en LDP).

  3. Realice varias búsquedas LDAP y observe la información estadística en la parte superior de los resultados. Repetirá la misma búsqueda en otras actividades, por lo que debe documentarlas en un archivo de texto del Bloc de notas.

  4. Realización de una búsqueda LDAP que el optimizador de consultas debería ser capaz de optimizar debido a índices de atributos

  5. Intente construir una búsqueda que tarde mucho tiempo en completarse (es posible que quiera aumentar la opción Límite de tiempo para que no se agote el tiempo de espera de la búsqueda).

Recursos adicionales

¿Qué son las búsquedas de Active Directory?

Funcionamiento de las búsquedas de Active Directory

Creación de aplicaciones habilitadas para Microsoft Active Directory más eficaces

951581 Las consultas LDAP se ejecutan más lentamente de lo esperado en el servicio de directorio AD o LDS/ADAM y se puede registrar el identificador de evento 1644.

Mejoras en el evento 1644

Información general

En esta actualización se agregan estadísticas adicionales de resultados de búsqueda LDAP al identificador de evento 1644 para ayudar a solucionar problemas. Además, hay un nuevo valor del Registro que se puede usar para habilitar el registro en un umbral basado en el tiempo. Estas mejoras estaban disponibles en Windows Server 2012 y Windows Server 2008 R2 SP1 a través de Knowledge Base 2800945 y estarán disponibles para Windows Server 2008 SP2.

Nota

  • Se agregan estadísticas de búsqueda LDAP adicionales al identificador de evento 1644 para ayudar a solucionar problemas relacionados con búsquedas LDAP ineficaces o costosas.
  • Ahora puede especificar un umbral de tiempo de búsqueda (por ejemplo, Evento de registro 1644 para búsquedas que tardan más de 100 ms) en lugar de especificar los valores de umbral de resultados de búsqueda costosos e ineficaces.

Información previa

Al solucionar problemas de rendimiento de Active Directory, resulta evidente que la actividad de búsqueda LDAP puede contribuir al problema. Decide habilitar el registro para poder ver las consultas LDAP costosas o ineficaces que ha procesado el controlador de dominio. Para habilitar el registro, debe establecer el valor de diagnóstico de ingeniería de campo y, opcionalmente, puede especificar los valores de umbral de resultados de búsqueda costosos o ineficaces. Al habilitar el nivel de registro de ingeniería de campo en un valor de 5, cualquier búsqueda que cumpla estos criterios se registrará en el registro de eventos de Servicios de directorio con un identificador de evento 1644.

El evento contiene lo siguiente:

  • Dirección IP y puerto del cliente

  • Nodo de inicio

  • Filtrar

  • Ámbito de búsqueda

  • Selección de atributos

  • Controles de servidor

  • Entradas visitadas

  • Entradas devueltas

Sin embargo, faltan datos clave del evento, como la cantidad de tiempo invertido en la operación de búsqueda y qué índice (si existe) se ha usado.

Estadísticas de búsqueda adicionales agregadas al evento 1644

  • Índices usados

  • Páginas a las que se hace referencia

  • Páginas leídas del disco

  • Páginas preleídas del disco

  • Páginas limpias modificadas

  • Páginas desfasadas modificadas

  • Tiempo de búsqueda

  • Atributos que impiden la optimización

Nuevo valor del registro de umbral basado en tiempo para el registro del evento 1644

En lugar de especificar los valores de umbral de resultados de búsqueda costosos e ineficaces, puede especificar el umbral de tiempo de búsqueda. Si quiere registrar todos los resultados de búsqueda que tomaron 50 ms o más, especificaría 50 decimales / 32 hexadecimales (además de establecer el valor de Ingeniería de campo).

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Search Time Threshold (msecs)"=dword:00000032

Comparación del identificador de evento 1644 antiguo y nuevo

OLD

Screenshot that shows the old event ID 1664.

Nuevo...

directory services updates

Pruébelo: uso del registro de eventos para devolver estadísticas de consulta

  1. Repita lo siguiente indicando como destino el controlador de dominio de Windows Server 2012 y el controlador de dominio de Windows Server 2012 R2. Observe el identificador de evento 1644 en ambos controladores de dominio después de cada búsqueda.

  2. Con regedit, habilite el registro del identificador de evento 1644 mediante un umbral basado en el tiempo en el controlador de dominio de Windows Server 2012 R2 y mediante el método antiguo en el controlador de dominio de Windows Server 2012.

  3. Realice varias búsquedas LDAP que superen el umbral y observe la información estadística en la parte superior de los resultados. Use las consultas LDAP que documentó anteriormente y repita las mismas búsquedas.

  4. Realice una búsqueda LDAP que el optimizador de consultas no pueda optimizar porque uno o varios atributos no están indexados.

Mejora del rendimiento de replicación de Active Directory

Información general

La replicación de AD usa RPC para su transporte de replicación. De manera predeterminada, RPC usa un búfer de transmisión de 8K y un tamaño de paquete de 5K. Esto tiene el efecto neto en el que la instancia de envío transmitirá tres paquetes (unos 15 000 datos) y, a continuación, tendrá que esperar un recorrido de ida y vuelta de la red antes de enviar más. Suponiendo un tiempo de ida y vuelta de 3 ms, el rendimiento más alto sería de aproximadamente 40 Mbps, incluso en redes de 1 Gbps o 10 Gbps.

Nota

  • En esta actualización se ajusta el rendimiento máximo de replicación de AD de 40 Mbps a unos 600 Mbps.

    • Se aumenta el tamaño de búfer de envío RPC, lo que reduce el número de recorridos de ida y vuelta de red.

  • El efecto será más notable en la red de alta velocidad y latencia alta.

En esta actualización se aumenta el rendimiento máximo a unos 600 Mbps cambiando el tamaño de búfer de envío RPC de 8K a 256 KB. Este cambio permite que el tamaño de la ventana TCP crezca más allá de 8K, lo que reduce el número de recorridos de ida y vuelta de red.

Nota

No hay ninguna opción configurable para modificar este comportamiento.

Recursos adicionales

Funcionamiento del modelo de replicación de Active Directory