다음을 통해 공유

적절한 도메인 컨트롤러 배치 및 사이트 고려 사항

  • 아티클

적절한 사이트 정의는 성능에 매우 중요합니다. 사이트 외부에 있는 클라이언트는 인증 및 쿼리에 대한 성능 저하를 경험할 수 있습니다. 또한 클라이언트에 IPv6이 도입되면 요청은 IPv4 또는 IPv6 주소에서 올 수 있으며 Active Directory에는 IPv6에 대해 올바르게 정의된 사이트가 있어야 합니다. 운영 체제는 둘 다 구성된 경우 IPv4에 IPv6을 선호합니다.

Windows Server 2008부터 do기본 컨트롤러는 이름 확인을 사용하여 클라이언트가 있어야 하는 사이트를 결정하기 위해 역방향 조회를 수행하려고 시도합니다. 이로 인해 ATQ 스레드 풀이 고갈되고 do기본 컨트롤러가 응답하지 않게 될 수 있습니다. 이에 대한 적절한 해결 방법은 IPv6에 대한 사이트 토폴로지를 올바르게 정의하는 것입니다. 해결 방법으로 이름 확인 인프라를 최적화하여 신속하게 응답하여 컨트롤러 요청을 기본 수 있습니다. 자세한 내용은 LDAP 또는 Kerberos 요청에 대한 Windows Server 2008 또는 Windows Server 2008 R2 Do기본 컨트롤러 지연 응답을 참조하세요.

고려 사항의 추가 영역은 RODC가 사용 중인 시나리오에 대한 읽기/쓰기 DC를 찾는 것입니다. 특정 작업에는 쓰기 가능한 Do기본 컨트롤러에 액세스하거나 읽기 전용 Do기본 컨트롤러로 충분할 때 쓰기 가능한 Do기본 Controller를 대상으로 지정해야 합니다. 이러한 시나리오를 최적화하려면 다음 두 가지 경로가 사용됩니다.

  • 쓰기 가능한 Do기본 컨트롤러에 연결하면 읽기 전용 Do기본 컨트롤러로 충분합니다. 이렇게 하려면 애플리케이션 코드를 변경해야 합니다.
  • 쓰기 가능한 Do기본 컨트롤러가 필요할 수 있습니다. 대기 시간을 최소화하려면 중앙 위치에 읽기-쓰기 Do기본 컨트롤러를 배치합니다.

자세한 내용은 다음을 참조하세요.

조회 최적화

조회는 do기본 컨트롤러가 쿼리된 파티션의 복사본을 호스트하지 않을 때 LDAP 쿼리를 리디렉션하는 방법입니다. 조회가 반환되면 파티션의 고유 이름, DNS 이름 및 포트 번호가 포함됩니다. 클라이언트는 이 정보를 사용하여 파티션을 호스트하는 서버에서 쿼리를 계속합니다. 이것은 DCLocator 시나리오이며 모든 권장 사항 사이트 정의 및 할기본 컨트롤러 배치는 기본 달성되지만 조회에 의존하는 애플리케이션은 종종 간과됩니다. 사이트 정의를 포함한 AD 토폴로지와 수행기본 컨트롤러 배치가 클라이언트의 요구 사항을 제대로 반영하는지 확인하는 것이 좋습니다. 또한 여기에는 단일 사이트의 여러 do기본에서 수행기본 컨트롤러를 사용하거나, DNS 설정을 조정하거나, 애플리케이션 사이트를 재배치하는 것이 포함될 수 있습니다.

트러스트에 대한 최적화 고려 사항

포리스트 내 시나리오에서 트러스트는 다음 do기본 계층 구조에 따라 처리됩니다. Grand-Child Do기본 -> Child Do기본 -> 포리스트 루트 Do기본 -> 자식 할기본 -> Grand-Child Do기본. 즉, 트러스트 계층 구조에서 DC를 전송하는 인증 요청의 집계로 인해 포리스트 루트 및 각 부모의 보안 채널이 오버로드될 수 있습니다. 또한 인증이 위의 흐름에 영향을 미치기 위해 대기 시간이 긴 링크를 전송해야 할 때 대규모 지리적 분산의 Active Directories에서 지연이 발생할 수 있습니다. 오버로드는 포리스트 간 및 하위 수준 신뢰 시나리오에서 발생할 수 있습니다. 다음 권장 사항은 모든 시나리오에 적용됩니다.

  • MaxConcurrentAPI를 제대로 조정하여 보안 채널에서 부하를 지원합니다. 자세한 내용은 MaxConcurrentApi 설정을 사용하여 NTLM 인증에 대한 성능 튜닝을 수행하는 방법을 참조 하세요.

  • 부하에 따라 적절한 바로 가기 트러스트를 만듭니다.

  • do기본의 모든 do기본 컨트롤러가 이름 확인을 수행하고 신뢰할 수 있는 do기본 do기본 컨트롤러와 통신할 수 있는지 확인합니다.

  • 지역성 고려 사항이 트러스트에 대해 고려되는지 확인합니다.

  • 가능한 경우 Kerberos를 사용하도록 설정하고 보안 채널 사용을 최소화하여 MaxConcurrentAPI 병목 현상이 발생할 위험을 줄입니다.

교차 기본 신뢰 시나리오는 많은 고객에게 일관되게 고통의 지점이 된 영역입니다. 이름 확인 및 연결 문제는 종종 방화벽으로 인해 트러스트할 기본 컨트롤러에 리소스가 소모되고 모든 클라이언트에 영향을 줍니다. 또한 종종 간과되는 시나리오는 신뢰할 수 있는 기본 컨트롤러에 대한 액세스를 최적화하는 것입니다. 이 작업이 제대로 작동하는지 확인하는 주요 영역은 다음과 같습니다.

  • 신뢰할 수 있는 기본 컨트롤러가 사용하는 DNS 및 WINS 이름 확인이 신뢰할 수 있는 do기본 대한 정확한 할 일기본 컨트롤러 목록을 확인할 수 있는지 확인합니다.

    • 정적으로 추가된 레코드는 부실해지고 시간이 지남에 따라 연결 문제를 다시 도입하는 경향이 있습니다. DNS 전달, 동적 DNS 및 WINS/DNS 인프라 병합은 장기적으로 더 기본 달성할 수 있습니다.

    • 클라이언트가 액세스해야 할 수 있는 환경의 모든 리소스에 대해 전달자, 조건부 전달 및 보조 복사본의 적절한 구성을 확인합니다. 다시 말하지만, 수동 기본 테넌스가 필요하며 부실해지는 경향이 있습니다. 인프라 통합이 이상적입니다.

  • do기본 신뢰할 수 있는 do기본 컨트롤러는 먼저 동일한 사이트에 있는 do기본에서 do기본 컨트롤러를 찾은 다음 제네릭 로케이터로 장애 복구하려고 시도합니다.

    • DCLocator 작동 방식에 대한 자세한 내용은 가장 가까운 사이트에서 Do기본 컨트롤러 찾기를 참조하세요.

    • 신뢰할 수 있는 사이트 이름과 신뢰할 수 있는 do기본 간에 사이트 이름을 수렴하여 동일한 위치에 do기본 컨트롤러를 반영합니다. 서브넷 및 IP 주소 매핑이 두 포리스트의 사이트에 제대로 연결되어 있는지 확인합니다. 자세한 내용은 포리스트 트러스트에서 Do기본 로케이터를 참조하세요.

    • DCLocator 요구 사항에 따라 컨트롤러 위치에 기본 포트가 열려 있는지 확인합니다. do기본 사이에 방화벽이 있는 경우 방화벽이 모든 트러스트에 대해 올바르게 구성되었는지 확인합니다. 방화벽이 열려 있지 않으면 트러스트할 기본 컨트롤러는 신뢰할 수 있는 do기본 액세스를 계속 시도합니다. 어떤 이유로든 통신이 실패하면 신뢰할 수 있는 do기본 컨트롤러는 결국 신뢰할 수 있는 do기본 컨트롤러에 대한 요청 시간이 초과됩니다. 그러나 이러한 시간 제한은 요청당 몇 초 정도 걸릴 수 있으며 들어오는 요청 볼륨이 높은 경우 신뢰할 수 있는 do기본 컨트롤러의 네트워크 포트를 소진할 수 있습니다. 클라이언트는 중단된 스레드로 할기본 컨트롤러에서 시간 초과 대기를 경험할 수 있으며, 이는 중단된 애플리케이션(애플리케이션이 포그라운드 스레드에서 요청을 실행하는 경우)으로 변환할 수 있습니다. 자세한 내용은 할 일기본 및 트러스트에 대한 방화벽을 구성하는 방법을 참조하세요.

    • DnsAvoidRegisterRecords를 사용하여 성능이 저하되거나 대기 시간이 긴 컨트롤러를 제거합니다기본 위성 사이트의 컨트롤러와 같이 일반 로케이터에 대한 광고에서 제거합니다. 자세한 내용은 클라이언트 사이트 외부에 있는 할 일기본 컨트롤러 또는 글로벌 카탈로그의 위치를 최적화하는 방법을 참조하세요.

      참고 항목

      클라이언트에서 사용할 수 있는 할 일기본 컨트롤러 수로 약 50개의 실질적인 제한이 있습니다. 이들은 가장 사이트 최적 및 가장 높은 용량 해야 할기본 컨트롤러.

    • 신뢰할 수 있고 신뢰할 수 있는 do기본 컨트롤러를 동일한 물리적 위치에 배치하는 기본 고려합니다.

모든 신뢰 시나리오의 경우 자격 증명은 인증 요청에 지정된 do기본 따라 라우팅됩니다. LookupAccountName 및 LsaLookupNames에 대한 쿼리(뿐만 아니라 가장 일반적으로 사용되는 API)에도 마찬가지입니다. 이러한 API에 대한 do기본 매개 변수가 NULL 값으로 전달되면 do기본 컨트롤러는 사용 가능한 모든 신뢰할 수 있는 do기본 지정된 계정 이름을 찾으려고 시도합니다.

추가 참조