Planejando um número adequado de controladores Windows Server 2016 ou posteriores para Windows Hello para Empresas implantações

Observação

Houve um problema com a autenticação de confiança de chave no Windows Server 2019. Para corrigi-lo, consulte KB4487044.

Qual é a quantidade adequada

Como descobrir quantos controladores de domínio são necessários? Você pode usar monitoramento de desempenho nos controladores de domínio para determinar o tráfego de autenticação existente. Windows Server 2016 e acima incluem o contador de desempenho de Solicitações AS do KDC. Você pode usar esse contador para determinar a quantidade de carga de um controlador de domínio devido à autenticação Kerberos inicial. É importante lembrar que a autenticação para uma implantação de confiança Windows Hello para Empresas chave não afeta a autenticação Kerberos– ela permanece inalterada.

Windows 10 ou Windows 11 realiza Windows Hello para Empresas de confiança de chave mapeando uma conta de usuário do Active Directory para uma ou mais chaves públicas. Esse mapeamento ocorre no controlador de domínio, e é por isso que a implantação precisa Windows Server 2016 ou controladores de domínio posteriores. O mapeamento de chave pública só tem suporte Windows Server 2016 controladores de domínio e superiores. Portanto, os usuários em uma implantação de confiança de chave devem se autenticar em um Windows Server 2016 e acima do controlador de domínio.

Determinar um número adequado de controladores de domínio do Windows Server é importante para garantir que você tenha controladores de domínio suficientes para atender a todas as solicitações de autenticação, incluindo usuários mapeados com confiança de chave pública. O que muitos administradores não percebem é que a adição de um controlador de domínio que dá suporte ao mapeamento de chave pública (nesse caso, Windows Server 2016 ou posterior) a uma implantação de controladores de domínio existentes que não dão suporte ao mapeamento de chave pública (Windows Server 2008R2, Windows Server 2012R2) torna instantaneamente esse controlador de domínio único suscetível a carregar mais carga ou o que normalmente é chamado de "acumulando". Para ilustrar o conceito de "acumulação", considere o seguinte cenário:

Considere um ambiente controlado com 1000 computadores cliente e a carga de autenticação desses 1000 computadores cliente é distribuída uniformemente entre 10 controladores de domínio no ambiente. A carga de solicitações as Kerberos seria semelhante à seguinte:

dc-chart1.

O ambiente muda. A primeira alteração inclui DC1 atualizado para Windows Server 2016 ou posterior para dar suporte Windows Hello para Empresas autenticação de confiança de chave. Em seguida, 100 clientes inscrevem-se no Windows Hello para Empresas usando a implantação de confiança de chave pública. Considerando que todos os outros fatores permanecem constantes, a autenticação agora seria semelhante ao seguinte:

dc-chart2.

O Windows Server 2016 ou controlador de domínio posterior está tratando 100% de toda a autenticação de confiança de chave pública. No entanto, ele também está tratando 10% da autenticação de senha. Por quê? Esse comportamento ocorre porque os controladores de domínio 2 a 10 só dão suporte à autenticação de confiança de senha e certificado; somente um controlador Windows Server 2016 e superior dá suporte à autenticação de confiança de chave pública. O Windows Server 2016 e o controlador de domínio acima ainda entendem como autenticar a autenticação de confiança de senha e certificado e continuarão compartilhando a carga de autenticação desses clientes. Como o DC1 pode lidar com todas as formas de autenticação, ele suportará mais da carga de autenticação e ficará facilmente sobrecarregado. E se outro Windows Server 2016 ou controlador de domínio posterior for adicionado, mas sem implantar Windows Hello para Empresas em mais clientes?

dc-chart3.

Atualizar outro controlador de domínio para Windows Server 2016 ou posterior distribui a autenticação de confiança de chave pública entre dois controladores de domínio, cada um com suporte a 50% da carga. Mas não altera a distribuição da autenticação de certificados confiáveis e senhas. Ambos os controladores de domínio do Windows Server 2019 ainda compartilham 10% dessa carga. Agora, examine o cenário em que metade dos controladores de domínio são atualizados para Windows Server 2016 ou posterior, mas o número de Windows Hello para Empresas clientes permanece o mesmo.

dc-chart4.

Os controladores de domínio de 1 a 5 agora compartilham a carga da autenticação de confiança de chave pública, cada um é responsável por 20% dessa carga, além de 10% da autenticação de certificados confiáveis e senhas. Eles ainda têm uma carga maior do que os controladores de domínio de 6 a 10; no entanto, a carga é distribuída adequadamente. Agora, veja o cenário quando metade dos computadores cliente é atualizada para o Windows Hello para Empresas usando uma implantação de confiança de chave.

dc-chart5.

Você observará que a distribuição não mudou. Cada Windows Server 2016 ou controlador de domínio posterior lida com 20% da autenticação de confiança de chave pública. No entanto, aumentar o volume de autenticação (aumentando o número de clientes) aumenta a quantidade de trabalho que é representada pelos mesmos 20%. No exemplo anterior, 20% da autenticação de confiança de chave pública era equivalente a um volume de 20 autenticações por controlador de domínio capaz de realizar autenticação de confiança de chave pública. No entanto, com clientes atualizados, esse mesmo percentual representa um volume de 100 autenticações de confiança de chave pública por controlador de domínio com capacidade de confiança de chave pública. Além disso, a distribuição da autenticação de confiança de chave não pública permaneceu em 10%, mas o volume de autenticações de confiança de senha e certificado diminuiu entre os controladores de domínio mais antigos.

Há várias conclusões aqui:

  • A atualização de controladores de domínio altera a distribuição de novas autenticações, mas não altera a distribuição de autenticações mais antigas.
  • A atualização de controladores de domínio não afeta a distribuição de autenticação de certificados confiáveis e senhas, porque controladores de domínio mais novos podem oferecer suporte a esse tipo de autenticação.
  • Controladores de domínio atualizados normalmente sustentam uma carga de autenticação maior do que controladores de domínio de nível inferior, pois oferecem suporte a mais formas de autenticação.
  • A atualização de clientes para o Windows Hello para Empresas aumenta o volume de autenticação de confiança de chave pública distribuído em controladores de domínio que oferecem suporte a ela e reduz o volume de autenticação de certificados confiáveis e senhas entre todos os controladores de domínio.
  • A atualização de clientes para o Windows Hello para Empresas não afeta a distribuição de autenticação, somente o seu volume.

O exemplo anterior mostra por que é irreal usar um número "único" para descrever o que significa "uma quantidade adequada". No mundo real, a autenticação não é distribuída uniformemente entre os controladores de domínio.

Determinando a carga total de Solicitação AS

Cada organização precisa ter uma linha de base da carga de solicitação as que ocorre em seu ambiente. O Windows Server fornece o contador de desempenho das Solicitações AS do KDC que ajuda a determinar isso.

Escolha um site onde você planeja atualizar os clientes para a confiança de chave pública do Windows Hello para Empresas. Escolha um horário em que o tráfego de autenticação seja mais significativo; a manhã de segunda-feira é um ótimo momento, pois todos estão retornando ao escritório. Habilite o contador de desempenho em todos os controladores de domínio nesse site. Colete contadores de desempenho das Solicitações AS do KDC por duas horas:

  • Meia hora antes do horário em que você espera que a autenticação inicial (entradas e desbloqueios) seja significativa
  • A hora em que a autenticação inicial é significativa
  • E meia hora após o momento em que você espera que a autenticação inicial seja significativa

Por exemplo, se os funcionários iniciam o expediente às 9h. A captura de desempenho deve começar às 8h30 e terminar às 10h30. Verifique se os logs de desempenho não encapsulam os dados. A autenticação deve aumentar, atingir um pico e diminuir.

Observação

Para capturar todo o tráfego de autenticação. Verifique se todos os computadores estão desligados para obter as informações de autenticação mais precisas (computadores e serviços fazem a autenticação quando ligados pela primeira vez, essa autenticação deve ser considerada em sua avaliação).

Agregue os dados de desempenho de todos os controladores de domínio. Procure o número máximo de Solicitações AS do KDC para cada controlador de domínio. Localize o tempo mediano em que o número máximo de solicitações ocorreu para o site, isso deve representar quando o site estiver enfrentando a maior quantidade de autenticação.

Adicione o número de autenticações de cada controlador de domínio ao tempo médio. Agora você tem a autenticação total para o site durante um horário de pico. Usando essa métrica, você pode determinar a distribuição de autenticação entre os controladores de domínio no site, dividindo o número de autenticação do controlador de domínio para o tempo médio pela autenticação total. Multiplique o quociente por 10 para converter a distribuição em um percentual. Para validar seus cálculos, todas as distribuições devem ser iguais a 100%.

Confira a distribuição de autenticação. Com sorte, nenhuma delas estará acima de 70%. É sempre bom reservar parte da capacidade para o inesperado. Além disso, as principais finalidades de um controlador de domínio são fornecer autenticação e manipular operações do Active Directory. Identifique os controladores de domínio com menores distribuições de autenticação como possíveis candidatos para as atualizações de controlador de domínio iniciais em conjunto com uma distribuição razoável de clientes provisionados para o Windows Hello para Empresas.

Monitorando a autenticação

Usando os mesmos métodos descritos acima, monitore a autenticação Kerberos depois de atualizar um controlador de domínio e sua primeira fase Windows Hello para Empresas implantações. Anote o delta da autenticação antes e depois de atualizar o controlador de domínio para Windows Server 2016 ou mais recente. Esse delta representa a autenticação resultante da primeira fase dos seus clientes do Windows Hello para Empresas. Ele fornece uma linha de base para seu ambiente, na qual você pode formar uma instrução como:

"Every n Windows Hello for Business clients results in x percentage of key-trust authentication."

Onde n é igual ao número de clientes que você alternou para Windows Hello para Empresas e x é igual ao percentual maior de autenticação do controlador de domínio atualizado. Armado com essas informações, você pode aplicar as observações de atualização de controladores de domínio e aumentar Windows Hello para Empresas contagem de clientes para a fase apropriada da implantação.

Lembre-se de que aumentar o número de clientes altera o volume de autenticação distribuído entre os Windows Server 2016 ou controladores de domínio mais recentes. Se houver apenas um Windows Server 2016 ou controlador de domínio mais recente, não haverá distribuição e você simplesmente aumentará o volume de autenticação para o qual esse controlador de domínio é responsável.

Aumentar o número de controladores de domínio distribui o volume de autenticação, mas não o altera. Portanto, à medida que você adiciona mais controladores de domínio, a carga de autenticação, para a qual cada controlador de domínio é responsável, diminui. A atualização de dois controladores de domínio altera a distribuição para 50%. A atualização de três controladores de domínio altera a distribuição para 33%, e assim por diante.

Estratégia

A estratégia mais simples que você pode empregar é atualizar um controlador de domínio e monitorar o controlador de domínio único enquanto continua a incluir novos clientes de confiança de chave do Windows Hello para Empresas até atingir um limite de 70% ou 80%.

Em seguida, atualize um segundo controlador de domínio. Monitore a autenticação nos dois controladores de domínio para determinar como a autenticação é distribuída entre eles. Inclua mais clientes do Windows Hello para Empresas ao monitorar a autenticação nos dois controladores de domínio atualizados. Depois que eles atingirem a capacidade designada do seu ambiente, você poderá atualizar outro controlador de domínio.

Repita até que a implantação para esse site seja concluída. Agora, monitore a autenticação em todos os controladores de domínio como fez na primeira vez. Determine a distribuição de autenticação para cada controlador de domínio. Identifique a porcentagem de distribuição pela qual ele é responsável. Se um único controlador de domínio for responsável por 70% ou mais da autenticação, considere a adição de um outro controlador de domínio para reduzir a distribuição do volume de autenticação.

No entanto, antes de considerar isso, verifique se a alta carga de autenticação não é resultado de aplicativos e serviços em que sua configuração tem um controlador de domínio configurado estaticamente. A adição de controladores de domínio não resolverá o problema de carga de autenticação adicional nesse cenário. Em vez disso, distribua manualmente a autenticação para controladores de domínio diferentes entre todos os serviços ou aplicativos. Como alternativa, tente simplesmente usar o nome do domínio, em vez de um controlador de domínio específico. Cada controlador de domínio tem um registro A registrado no DNS para o nome do domínio, com o qual o DNS fará um rodízio com cada consulta DNS. Não é o melhor balanceador de carga, no entanto, é uma alternativa melhor às configurações do controlador de domínio estático, desde que a configuração seja compatível com seu serviço ou aplicativo.