Compartir a través de


Límites máximos y escalabilidad de los servicios de dominio de Active Directory

Este artículo describe los límites máximos para determinados aspectos de su entorno de Active Directory que pueden afectar a la escalabilidad. Te recomendamos que tengas en cuenta estos límites a la hora de planear la implantación de Active Directory.

Número máximo de objetos

Cada controlador de dominio de un bosque de Active Directory puede crear casi 2.150 millones de objetos durante su vida útil.

Cada controlador de dominio de Active Directory tiene un identificador único específico para el controlador de dominio individual. Estos identificadores, denominados Distinguished Name Tags (DNT), son valores únicos que no se replican ni son visibles para otros controladores de dominio. El rango de valores para los DNT va de 0 a 2.147.483.393 (231 menos 255). Cuando eliminas un objeto, los nuevos objetos que creas posteriormente no podrán utilizar el mismo DNT. Por lo tanto, los controladores de dominio están limitados a crear menos de dos mil millones de objetos, que también incluyen los objetos que el controlador de dominio replica. Este límite se aplica al agregado de todos los objetos de todas las particiones alojadas en el controlador de dominio, incluidos el equipo de red (NC) del dominio, la configuración, el esquema y cualquier partición de directorio de aplicaciones.

Existen posibles formas de evitar el límite de creación del controlador de dominio. Por ejemplo, puedes eliminar objetos del dominio borrándolos permanentemente. También puedes instalar un nuevo controlador de dominio que replique los objetos restantes del controlador de dominio potencial. Sin embargo, debes asegurarte de que el nuevo controlador de dominio recibe los objetos a través de la replicación y de que no lo promocionas utilizando la opción Instalar desde medios (IFM). Los controladores de dominio instalados mediante IFM heredan los valores DNT del controlador de dominio en el que se basó la copia de seguridad de IFM.

Cuando se alcanza el límite de DNT en una base de datos, aparece el siguiente mensaje de error:

Error: Add: Operations Error. <1> Server error: 000020EF: SvcErr: DSID-0208044C, problem 5012 (DIR_ERROR), data -1076.

Puedes ejecutar el siguiente comando para comprobar el atributo approximateHighestInternalObjectID para ver el DNT más alto que utiliza actualmente tu controlador de dominio:

$ossupported = $false
 
# max possible DNTs
$maxdnts = [System.Math]::Pow(2, 31) - 255
 
# connect rootDSE
$root = [ADSI]"LDAP://rootDSE"
 
# get operational attribute dsaVersionString
$root.RefreshCache("dsaVersionString")
 
# get version string usable in System.Version
$osverstring = $root.dsaVersionString[0].Substring(0, $root.dsaVersionString[0].IndexOf(" "))
 
try
{
    $osver = New-Object System.Version $osverstring
 
    # we need at least W2K12 DC to see the approximateHighestInternalObjectID exposed
    if ($osver.Major -gt 6)
    { $ossupported = $true }
 
    elseif ($osver.Major -eq 6)
    { $ossupported = ($osver.Minor -ge 2) }
}
 
catch
{ Write-Host "ERROR: Could not evaluate DC OsVer!"  }
 
if ($ossupported)
{
    # get operational attribute approximateHighestInternalObjectID
    $root.RefreshCache("approximateHighestInternalObjectID")
 
    Write-Host "Approx highest committed DNT: $($root.approximateHighestInternalObjectID[0])"
 
    Write-Host "DNTs left for new assignments: $($maxdnts - $root.approximateHighestInternalObjectID[0]) from $maxdnts"
}
 
else
{ Write-Host "approximateHighestInternalObjectID not exposed (DC OsVer: $osverstring)" }

Número máximo de identificadores de seguridad

El número máximo de identificadores de seguridad que se pueden crear durante la vida útil de un controlador de dominio es de 2.147.483.647 identificadores relativos (RID). Para obtener más información sobre la emisión y el control de los RID, consulta Gestión de la emisión de RID.

Este límite se debe al tamaño del conjunto global de identificadores relativos (RID) que hace que cada SID asignado a las cuentas de usuario, grupo y equipo de un dominio sea único. Los RIDs no se reutilizan aunque elimines sus principales de seguridad, por lo que el límite máximo siempre se aplica independientemente del número de principales de seguridad que haya en el dominio.

Nota:

Los RID se asignan en bloques de 500 por defecto desde el controlador de dominio que tiene el rol de maestro de operaciones RID en cada dominio. Si degrada un controlador de dominio, los RID no utilizados asignados originalmente al controlador de dominio no vuelven al grupo de RID globales y dejan de estar disponibles para su uso en el dominio.

Windows Server comienza a preparar un límite artificial para la emisión de RIDs cuando el número de RIDs disponibles alcanza el 90 por ciento del espacio global de RIDs disponible. Cuando el número de RID disponibles llega al uno por ciento de ese límite, los controladores de dominio que solicitan grupos de RID reciben el evento de advertencia 16656 de Directory-Services-SAM en su registro de eventos del sistema.

Una solución parcial al límite de RID es crear un dominio adicional para albergar cuentas y, a continuación, migrar las cuentas a ese nuevo dominio. Sin embargo, debes crear las relaciones de confianza necesarias para el nuevo dominio antes de alcanzar el límite. La creación de una relación de confianza requiere un principio de seguridad, también conocido como cuenta de usuario de confianza.

Nota:

La base de datos de Active Directory no establece límites en el número de objetos de un contenedor, pero sí lo hace cuando trabajas con muchos miles de objetos. Microsoft configuró estos límites para proporcionar un determinado nivel de disponibilidad de aplicaciones o servicios. Puedes ajustar estos límites reconfigurando la configuración de Opciones de filtro en el menú de vista o cambiando las políticas del Protocolo ligero de acceso a directorios (LDAP). Para obtener más información, consulte KB 315071.

Número máximo de entradas en las listas de control de acceso discrecional y de seguridad

Esta limitación se aplica al número de entradas que se pueden tener en una lista de control de acceso discrecional (DACL) o una lista de control de acceso de seguridad (SACL) de un objeto de Active Directory utilizando el atributo ntSecurityDescriptor. El límite en sí se basa en las limitaciones de tamaño de la lista de control de acceso (ACL), que es de 64 K. Dado que las entradas de control de acceso (ACE) pueden variar de tamaño por contener uno o varios identificadores únicos globales (GUID), el número máximo real de entradas (SID) puede oscilar entre 1.100 y 1.820. Para más información, consulta Cómo funcionan los descriptores de seguridad y las listas de control de acceso.

Afiliaciones a grupos para responsables de seguridad

Los principales de seguridad, como las cuentas de usuario, grupo y ordenador, pueden ser miembros de un máximo de 1.015 grupos. Esta limitación se debe a que el token de acceso que creas para cada entidad de seguridad tiene un límite de tamaño que no se ve afectado por cómo anidas los grupos. Para obtener más información, consulte KB 328889.

Para obtener más información sobre cómo un controlador de dominio crea la estructura de datos que se utiliza para las decisiones de autorización, consulta los siguientes artículos:

Limitaciones de longitud de FQDN

Los nombres de dominio completos (FQDN) de Active Directory no pueden superar los 64 caracteres de longitud total, incluidos guiones y puntos. Esta limitación existe porque las interfaces de programación de aplicaciones (API) Win32 y los objetos de directiva de grupo (GPO) almacenados en el recurso compartido SYSVOL definen el valor MAX_PATH como 260 caracteres. Para obtener más información, consulte KB 909264.

Limitaciones de nombre de archivo y ruta

Los archivos físicos que utilizan los componentes de Active Directory, como SYSVOL, la base de datos (NTDS.DIT) y las rutas de los archivos de registro, están limitados por la longitud MAX_PATH de 260 caracteres, definida por las API Win32. Al decidir dónde colocar los archivos SYSVOL y de base de datos durante la instalación de Active Directory, evita estructuras de carpetas anidadas que hagan que la ruta completa a cualquier archivo físico de Active Directory tenga más de 260 caracteres.

Otras limitaciones de longitud de los nombres

Los siguientes límites de longitud de nombre, que se describen en KB 909264, también aplican a los nombres de recursos y archivos en Active Directory:

  • Los nombres de computadora y dominio NetBIOS solo pueden tener 15 caracteres.

  • Los nombres de host del Sistema de Nombres de Dominio (DNS) solo pueden tener 24 caracteres.

  • Los nombres de OU solo pueden tener 64 caracteres.

Límites de longitud de los nombres del esquema

El esquema impone los siguientes límites por defecto a los nombres de atributos de los objetos de Active Directory:

  • Los nombres para mostrar solo pueden tener 256 caracteres, como se describe en Atributo Display-Name.

  • Los nombres comunes solo pueden tener 64 caracteres, como se describe en Atributo Common-Name.

  • El atributo SAM-Account-Name solo puede tener 256 caracteres en el esquema. Sin embargo, por razones de compatibilidad con versiones anteriores, el límite de Active Directory para usuarios es de 20 caracteres. Para más información, consulta Atributo SAM-Account-Name.

Limitación de la longitud de los nombres en las operaciones de enlace simple de LDAP

Durante los enlaces al directorio, las operaciones de enlace LDAP simples limitan el nombre distinguido (DN) del usuario a 255 caracteres. Si intentas un enlace LDAP simple con más de 255 caracteres, puedes encontrarte con los siguientes errores de autenticación:

Error <49>: ldap_simple_bind_s() failed: Invalid Credentials
Server error: 80090308: LdapErr: DSID-0C0903AA, comment: AcceptSecurityContext error, data 57, v1771
Error 0x80090308 The token supplied to the function is invalid

Puedes evitar este problema asegurándote de que las aplicaciones, scripts y utilidades que intentan enlazarse a tu directorio utilizan enlaces LDAP seguros. También puedes intentar reducir la profundidad de la estructura de la OU o la longitud de los nombres de las OU. Por ejemplo, el siguiente nombre distinguido tiene 261 caracteres:

CN=BobKelly,OU=CorporateVicePresidents,OU=CorporateOfficers,OU=ViewOfPugetSoundOffices,OU=TopFloor,OU=Building1557,OU=CorporateCampus,OU=Redmond,OU=Washington,OU=NorthWestern,OU=UnitedStatesOfAmerica,OU=NorthAmerica,DC=BusinessGroup,DC=humongousinsurance,DC=com

Si acortas la OU llamada CorporateVicePresidents a CVP, el nombre distinguido para la BobKelly cuenta de usuario es ahora solo 242 caracteres y por lo tanto está dentro del límite.

Número máximo de GPO aplicados

Active Directory limita a 999 el número de GPO que se pueden aplicar a una cuenta de usuario o de equipo. Este límite no significa que el número total de configuraciones de políticas en el sistema esté limitado a 999. En cambio, un solo usuario u ordenador no puede procesar más de 999 GPO. Esta limitación existe para evitar problemas de rendimiento causados por el procesamiento de demasiados GPO al mismo tiempo.

Limitaciones de confianza

Las limitaciones de confianza se aplican al número de objetos de dominio de confianza (TDO), la longitud de las rutas de confianza y la capacidad de los clientes para descubrir las confianzas disponibles. Las limitaciones de confianza para Active Directory incluyen los siguientes límites:

  • Los clientes Kerberos pueden atravesar hasta 10 enlaces de confianza para localizar un recurso solicitado en otro dominio. Si la ruta de confianza entre los dominios supera este límite, el intento de acceder al dominio falla.

  • Cuando un cliente busca una ruta de confianza, la búsqueda se limita a las confianzas establecidas directamente con un dominio y a las confianzas que son transitivas dentro de un bosque.

  • Pruebas anteriores muestran que el aumento del tiempo para completar operaciones relacionadas con TDO, como la autenticación entre dominios, deteriora el rendimiento notablemente si la implementación de Active Directory en una organización contiene más de 2.400 TDO.

Para más información sobre limitaciones de confianza, consulta Limitaciones de confianza prácticas.

Número máximo de cuentas por transacción LDAP

Cuando escribas scripts o diseñes aplicaciones que realicen transacciones LDAP, te recomendamos que no realices más de 5.000 operaciones por transacción LDAP. Una transacción LDAP es un grupo de operaciones de directorio que se tratan como una unidad, como añadir, eliminar y modificar. Si realizas más de 5.000 operaciones en una transacción LDAP, corres el riesgo de encontrarte con límites de recursos y un tiempo de espera operativo. Si te encuentras con ese problema, todas las operaciones de la transacción se revertirán, con lo que perderás todos los cambios que hayas realizado durante la transacción. Para obtener más información sobre la estructura de datos LDAP que confirma los cambios, consulta Estructura LDAPModA.

Para entornos Windows 2000 Active Directory, el número máximo recomendado de miembros en un grupo es de 5.000. Esta recomendación se basa en el número de cambios atómicos simultáneos que pueden confirmarse en una única transacción de base de datos.

A partir de Windows Server 2003, se introdujo la capacidad de replicar cambios discretos en propiedades multivaluadas vinculadas como una tecnología denominada Replicación de valores vinculados (LVR). Para habilitar LVR, debes aumentar el nivel funcional del bosque al menos a Windows Server 2003 interino. El aumento del nivel funcional del bosque cambia la forma en que la pertenencia a grupos (y otros atributos multivaluados vinculados) se almacena en la base de datos y se replica entre controladores de dominio. Esto permite que el número de pertenencias a grupos supere el antiguo límite recomendado de 5.000 para Windows 2000 o Windows Server 2003 en un nivel funcional de bosque de Windows 2000.

Hasta ahora, las pruebas realizadas en este ámbito aún no han revelado nuevos límites recomendados para el número de miembros de un grupo o cualquier otro atributo multivalor vinculado. Se ha informado de que los entornos de producción superan los 4 millones de miembros, y las pruebas de escalabilidad de Microsoft alcanzaron los 500 millones de miembros.

Importante

El aumento del nivel funcional del bosque a Windows Server 2003 interino o superior no modifica la forma en que se almacenan o replican los miembros de grupo existentes. Para ello, debe eliminar los miembros que se añadieron al grupo antes de que se aumentara el nivel funcional del bosque a Windows Server 2003 y, a continuación, volver a añadirlos a los grupos correspondientes. Cualquier miembro del grupo que añada o elimine después de aumentar el nivel funcional del bosque estará habilitado para LVR, incluso si el grupo contiene otros miembros que no están habilitados para LVR. Para más información sobre los atributos vinculados, consulta Atributos vinculados. Para más información sobre el proceso de replicación, consulta Cómo funciona el modelo de replicación de Active Directory.

La siguiente tabla enumera el número máximo recomendado de dominios para cada nivel de funcionamiento de dominio.

Nivel de funcionamiento del dominio Número máximo recomendado de dominios
Servidor de Windows 2000 800
Windows Server 2003 1,200
Windows Server 2025 3,000

El límite de 1.200 para Windows Server 2003 es una limitación de los atributos multivaluados no vinculados en Windows Server 2003. Para obtener más información, consulta “Tamaño máximo de registro de base de datos” en Cómo funciona el almacenamiento de datos (/previous-versions/windows/it-pro/windows-server-2003/cc772829(v=ws.10)).

Te recomendamos que limites a 1.200 el número de controladores de dominio que utilizas por dominio. Este límite garantiza que puedas recuperar tu SYSVOL de forma fiable en caso de desastre.

Si esperas que un dominio de Active Directory en tu red tenga más de 1.200 controladores de dominio, y esos controladores de dominio alojan zonas del sistema de nombres de dominio (DNS) integradas en Active Directory, te recomendamos que revises KB 267855 para propósitos de planeamiento.

El tamaño máximo recomendado para un ticket Kerberos es de 48.000 bytes. Puedes establecer el tamaño del ticket configurando el valor MaxTokenSize REG_DWORD en el registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lsa\Kerberos\Parameters o a través de la política de grupo, como se describe en KB 938118.

Nota:

El valor máximo permitido de MaxTokenSize es 65.535 bytes. Si utiliza Kerberos para la gestión de claves de seguridad IP (IPsec), el límite es de 65.536 bytes. Sin embargo, debido a la codificación HTTP base64 de los tokens de contexto de autenticación, te recomendamos que no establezcas la entrada de registro maxTokenSize en un valor superior a 48.000 bytes. A partir de Windows Server 2012, el valor predeterminado de la entrada del registro MaxTokenSize es de 48.000 bytes.

Para obtener más información sobre los tickets Kerberos, consulta Recursos adicionales para la resolución de problemas de Kerberos.

Número máximo de valores de atributo no vinculados

La base de datos de Active Directory almacena valores de atributos no vinculados en un directorio vinculado que debe caber en una página de la base de datos. Como consecuencia de este requisito de tamaño, el límite máximo de atributos no vinculados para un objeto que solo lleva un atributo es de 1.200. En los bosques de Windows Server 2025, puedes aumentar el límite hasta 3.000.

En despliegues del mundo real, los errores empiezan a aparecer cuando el objeto se acerca al límite de atributos no vinculados. El código de estado para este tipo de errores es 0x00000b y corresponde a la cadena "LDAP_ADMIN_LIMIT_EXCEEDED Se ha superado el límite de administración en el servidor".

Para más información sobre el límite, consulta el artículo sobre la base de datos AD, muchos registros DNS en un único nombre DNS, y Error de replicación de Active Directory 8304: Se ha superado el tamaño máximo de un objeto.

Tamaño máximo de los objetos de Active Directory

Para cambiar un atributo con muchos datos, debes almacenar los valores nuevos y antiguos en la transacción de la base de datos. El almacenamiento de los valores te permite deshacer la transacción si la base de datos se cierra en medio de la transacción. El tamaño máximo de una transacción limita el tamaño total del blob de valores de atributos a 5 MB.

El tamaño máximo de las transacciones de Active Directory que puedes realizar también afecta al límite de cuántos miembros de grupo puedes tener antes de la replicación de valores de enlace y cuántas transacciones de cambios de miembros de grupo existen.