Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln beskrivs de maximala gränserna för vissa aspekter av din Active Directory-miljö som kan påverka skalbarheten. Vi rekommenderar att du har dessa gränser i åtanke när du planerar för din Active Directory-distribution.
Maximalt antal objekt
Varje domänkontrollant i en Active Directory-skog kan skapa nästan 2,15 miljarder objekt under sin livstid.
Varje Active Directory-domänkontrollant har en unik identifierare som är specifik för den enskilda domänkontrollanten. Dessa identifierare, som kallas unika namntaggar (DNT), är unika värden som inte replikeras eller på annat sätt är synliga för andra domänkontrollanter. Värdeintervallet för DNT är från 0 till 2 147 483 393 (231 minus 255). När du tar bort ett objekt kan inga nya objekt som du skapar efteråt använda samma DNT. Därför är domänkontrollanter begränsade till att skapa under två miljarder objekt, som även inkluderar objekt som domänkontrollanten replikerar. Den här gränsen gäller för summan av alla objekt från alla partitioner som finns på domänkontrollanten, inklusive domännätverksdatorn (NC), konfigurationen, schemat och eventuella programkatalogpartitioner.
Det finns möjliga sätt att kringgå gränsen för att skapa domänkontrollantens livslängd. Du kan till exempel ta bort objekt från domänen genom att ta bort dem permanent. Du kan också installera en ny domänkontrollant som replikerar de återstående objekten från den potentiella domänkontrollanten. Du måste dock se till att den nya domänkontrollanten tar emot objekten genom replikering och att du inte befordrar den med hjälp av alternativet Installera från media (IFM). Domänkontrollanter som installeras med IFM ärver DNT-värdena från domänkontrollanten som IFM-säkerhetskopieringen baserades på.
När du når DNT-gränsen för en databas visas följande felmeddelande:
Error: Add: Operations Error. <1> Server error: 000020EF: SvcErr: DSID-0208044C, problem 5012 (DIR_ERROR), data -1076.
Du kan köra följande kommando för att kontrollera attributet approximateHighestInternalObjectID för att se det högsta DNT som domänkontrollanten använder för närvarande:
$ossupported = $false
# max possible DNTs
$maxdnts = [System.Math]::Pow(2, 31) - 255
# connect rootDSE
$root = [ADSI]"LDAP://rootDSE"
# get operational attribute dsaVersionString
$root.RefreshCache("dsaVersionString")
# get version string usable in System.Version
$osverstring = $root.dsaVersionString[0].Substring(0, $root.dsaVersionString[0].IndexOf(" "))
try
{
$osver = New-Object System.Version $osverstring
# we need at least W2K12 DC to see the approximateHighestInternalObjectID exposed
if ($osver.Major -gt 6)
{ $ossupported = $true }
elseif ($osver.Major -eq 6)
{ $ossupported = ($osver.Minor -ge 2) }
}
catch
{ Write-Host "ERROR: Could not evaluate DC OsVer!" }
if ($ossupported)
{
# get operational attribute approximateHighestInternalObjectID
$root.RefreshCache("approximateHighestInternalObjectID")
Write-Host "Approx highest committed DNT: $($root.approximateHighestInternalObjectID[0])"
Write-Host "DNTs left for new assignments: $($maxdnts - $root.approximateHighestInternalObjectID[0]) from $maxdnts"
}
else
{ Write-Host "approximateHighestInternalObjectID not exposed (DC OsVer: $osverstring)" }
Maximalt antal säkerhetsidentifierare
Det maximala antalet säkerhetsidentifierare som du kan skapa under en domänkontrollants livslängd är 2 147 483 647 relativa identifierare (RID). Mer information om utfärdande och övervakning av RID:er finns i Hantera RID-utfärdande.
Den här gränsen beror på storleken på RID-poolen (Global Relative Identifier) som gör varje SID som tilldelats användar-, grupp- och datorkonton i en domän unik. RID:er återanvänds inte även om du tar bort deras säkerhetsobjekt, så maxgränsen gäller alltid oavsett hur många säkerhetsobjekt som finns i domänen.
Anmärkning
RID:er tilldelas som standard i block om 500 från domänkontrollanten som har rollen som RID-verksamhetshanterare i varje domän. Om du nedgraderar en domänkontrollant återgår inte de oanvända RID:er som ursprungligen allokerats till domänkontrollanten till den globala RID-poolen och blir otillgängliga för användning i domänen.
Windows Server börjar förbereda en konstgjord gräns för RID-utfärdande när antalet tillgängliga RID:er når 90 procent av det tillgängliga globala RID-utrymmet. När antalet tillgängliga RID:er når inom en procent av den gränsen får domänkontrollanter som begär RID-pooler den katalog-Services-SAM varningshändelsen 16656 i sin systemhändelselogg.
En partiell lösning på RID-gränsen är att skapa en extra domän för att lagra konton och sedan migrera konton till den nya domänen. Du måste dock skapa alla nödvändiga förtroenderelationer för den nya domänen innan du når gränsen. För att skapa en förtroenderelation krävs en säkerhetsprincip, även känd som ett förtroendeanvändarkonto.
Anmärkning
Active Directory-databasen anger inga gränser för antalet objekt i en container, men anger gränser när du arbetar med tusentals objekt. Microsoft konfigurerade dessa gränser för att tillhandahålla en viss nivå av program- eller tjänsttillgänglighet. Du kan justera dessa gränser genom att antingen konfigurera om inställningarna för Filteralternativ på Visa-menyn eller ändra LDAP-policyerna (Lightweight Directory Access Protocol). Mer information finns i KB 315071.
Maximalt antal poster i diskretionära och säkerhetsåtkomstkontrollistor
Den här begränsningen gäller för hur många poster du kan ha i en DACL (Discretionary Access Control List) eller en SACL (Security Access Control List) för ett Active Directory-objekt med hjälp av attributet ntSecurityDescriptor. Själva gränsen baseras på storleksbegränsningarna för åtkomstkontrollistan (ACL), som är 64 K. Eftersom åtkomstkontrollposter (ACE) kan variera i storlek på grund av att de innehåller en eller flera globalt unika identifierare (GUID) kan det faktiska maximala antalet poster (SID) vara mellan 1 100 och 1 820. Mer information finns i avsnittet Så här fungerar säkerhetsbeskrivningar och åtkomstkontrollistor.
Gruppmedlemskap för säkerhetsobjekt
Säkerhetsobjekt, till exempel användar-, grupp- och datorkonton, kan vara medlemmar i högst 1 015 grupper. Den här begränsningen beror på att den åtkomsttoken som du skapar för varje säkerhetsobjekt har en storleksgräns som inte påverkas av hur du kapslar grupperna. Mer information finns i KB 328889.
Mer information om hur en domänkontrollant skapar den datastruktur som används för auktoriseringsbeslut finns i följande artiklar:
Begränsningar för FQDN-längd
Fullständigt kvalificerade domännamn (FQDN) i Active Directory får inte vara längre än 64 tecken totalt, inklusive bindestreck och punkter. Den här begränsningen finns eftersom Win32-API:er (Application Programming Interfaces) och grupprincip objekt (GPO:er) som lagras i SYSVOL-resursen definierar det MAX_PATH värdet som 260 tecken. Mer information finns i KB 909264.
Begränsningar för filnamn och sökvägar
De fysiska filer som Active Directory-komponenter använder, till exempel SYSVOL, databas (NTDS. DIT) och loggfilssökvägar begränsas av den MAX_PATH längden på 260 tecken, enligt definitionen i Win32-API:erna. När du bestämmer var du ska placera dina SYSVOL- och databasfiler under Active Directory-installationen bör du undvika kapslade mappstrukturer som gör den fullständiga filsökvägen till fysiska filer i Active Directory längre än 260 tecken.
Andra begränsningar för namnlängd
Följande längdgränser för namn, som beskrivs i KB 909264, gäller även för resurs- och filnamn i Active Directory:
NetBIOS-dator- och domännamn får bara vara 15 tecken långa.
DNS-värdnamn (Domain Name System) får bara vara 24 tecken långa.
OU-namn får bara vara 64 tecken långa.
Längdgränser för namn från schemat
Schemat inför följande standardgränser för attributnamn för Active Directory-objekt:
Visningsnamn får bara vara 256 tecken långa, enligt beskrivningen iDisplay-Name attribut.
Vanliga namn får bara vara 64 tecken långa, enligt beskrivningen i attributetCommon-Name.
Attributet SAM-Account-Name får bara vara 256 tecken långt i schemat. Av bakåtkompatibilitetsskäl är dock Active Directory-gränsen för användare 20 tecken. Mer information finns i SAM-Account-Name Attribut.
Begränsningar av namnlängd för enkla LDAP-bindningsåtgärder
Under bindningar till katalogen begränsar enkla LDAP-bindningsåtgärder det unika namnet (DN) för användaren till 255 tecken. Om du försöker göra en enkel LDAP-bindning med fler än 255 tecken kan du stöta på följande autentiseringsfel:
Error <49>: ldap_simple_bind_s() failed: Invalid Credentials
Server error: 80090308: LdapErr: DSID-0C0903AA, comment: AcceptSecurityContext error, data 57, v1771
Error 0x80090308 The token supplied to the function is invalid
Du kan undvika det här problemet genom att se till att de program, skript och verktyg som försöker binda till din katalog använder säkra LDAP-bindningar. Du kan också prova att minska djupet på organisationsenhetsstrukturen eller längden på organisationsenhetsnamnen. Följande unika namn är till exempel 261 tecken:
CN=BobKelly,OU=CorporateVicePresidents,OU=CorporateOfficers,OU=ViewOfPugetSoundOffices,OU=TopFloor,OU=Building1557,OU=CorporateCampus,OU=Redmond,OU=Washington,OU=NorthWestern,OU=UnitedStatesOfAmerica,OU=NorthAmerica,DC=BusinessGroup,DC=humongousinsurance,DC=com
Om du förkortar organisationsenheten med namnet CorporateVicePresidents till CVPär det unika namnet för användarkontot BobKelly nu bara 242 tecken och ligger därför inom gränsen.
Maximalt antal GPO:er som används
Active Directory begränsar antalet grupprincipobjekt som du kan använda för ett användar- eller datorkonto till 999. Den här gränsen innebär inte att det totala antalet principinställningar i systemet är begränsat till 999. I stället kan en enskild användare eller dator inte bearbeta fler än 999 grupprincipobjekt. Den här begränsningen finns för att förhindra prestandaproblem som orsakas av bearbetning av för många grupprincipobjekt samtidigt.
Begränsningar av förtroende
Förtroendebegränsningar gäller för antalet betrodda domänobjekt (TDO:er), längden på förtroendesökvägar och klienternas möjlighet att identifiera tillgängliga förtroenden. Förtroendebegränsningarna för Active Directory omfattar följande gränser:
Kerberos-klienter kan passera upp till 10 förtroendelänkar för att hitta en begärd resurs i en annan domän. Om förtroendesökvägen mellan domänerna överskrider den här gränsen misslyckas försöket att komma åt domänen.
När en klient söker efter en förtroendesökväg är sökningen begränsad till förtroenden som upprättats direkt med en domän och förtroenden som är transitiva inom en skog.
Tidigare tester visar att den ökade tiden för att slutföra TDO-relaterade operationer, såsom autentisering över domäner, försämrar prestandan märkbart om Active Directory-implementeringen i en organisation innehåller fler än 2 400 TDO:er.
Mer information om förtroendebegränsningar finns i Praktiska begränsningar för förtroenden.
Maximalt antal konton per LDAP-transaktion
När du skriver skript eller designar program som utför LDAP-transaktioner rekommenderar vi att du inte utför fler än 5 000 åtgärder per LDAP-transaktion. En LDAP-transaktion är en grupp katalogåtgärder som behandlas som en enhet, till exempel lägga till, ta bort och ändra. Om du utför fler än 5 000 åtgärder i en LDAP-transaktion riskerar du att stöta på resursgränser och en tidsgräns för drift. Om du stöter på det problemet återställs alla åtgärder i transaktionen, vilket gör att du förlorar alla ändringar som du gjorde under transaktionen. Mer information om LDAP-datastrukturen som genomför ändringar finns i LDAPModA-struktur.
Rekommenderat maximalt antal användare i en grupp
För Windows 2000 Active Directory-miljöer är det rekommenderade maximala antalet medlemmar i en grupp 5 000. Den här rekommendationen baseras på antalet samtidiga atomiska ändringar som kan checkas in i en enda databastransaktion.
Från och med Windows Server 2003 introducerades möjligheten att replikera diskreta ändringar till länkade flervärdesegenskaper som en teknik som kallas Linked Value Replication (LVR). Om du vill aktivera LVR måste du öka skogens funktionsnivå till minst Windows Server 2003 interim. Om du ökar skogens funktionsnivå ändras hur gruppmedlemskap (och andra länkade flervärdesattribut) lagras i databasen och replikeras mellan domänkontrollanter. Detta gör att antalet gruppmedlemskap kan överskrida den tidigare rekommenderade gränsen på 5 000 för Windows 2000 eller Windows Server 2003 på skogsfunktionsnivån Windows 2000.
Hittills har tester på det här området ännu inte avslöjat några nya rekommenderade gränser för antalet medlemmar i en grupp eller något annat länkat flervärdesattribut. Produktionsmiljöer har rapporterats överstiga 4 miljoner medlemmar, och Microsofts skalbarhetstestning nådde 500 miljoner medlemmar.
Viktigt!
Att öka skogens funktionsnivå till Windows Server 2003 interim eller högre ändrar inte det sätt på vilket befintliga gruppmedlemmar lagras eller replikeras. Om du vill göra det måste du ta bort de medlemmar som lades till i gruppen innan skogens funktionsnivå höjdes till Windows Server 2003 och sedan lägga till dem igen i lämpliga grupper. Alla gruppmedlemmar som du antingen lägger till eller tar bort efter att skogens funktionsnivå har höjts kommer att vara LVR-aktiverade, även om gruppen innehåller andra medlemmar som inte är LVR-aktiverade. Mer information om länkade attribut finns i Länkade attribut. Mer information om replikeringsprocessen finns i Så här fungerar Active Directory-replikeringsmodellen.
Rekommenderat maximalt antal domäner i en skog
I följande tabell visas det rekommenderade maximala antalet domäner för varje domänfunktionsnivå.
| Domänens funktionsnivå | Rekommenderat maximalt antal domäner |
|---|---|
| Windows 2000 Server | 800 |
| Windows Server 2003 | 1 200 |
| Windows Server 2025 | 3 000 |
Gränsen på 1 200 för Windows Server 2003 är en begränsning av flervärdesattribut, icke-länkade attribut i Windows Server 2003. Mer information finns i "Maximal storlek på databasposten" i How the Data Store Works (/previous-versions/windows/it-pro/windows-server-2003/cc772829(v=ws.10)).
Rekommenderat maximalt antal domänkontrollanter i en domän
Vi rekommenderar att du begränsar antalet domänkontrollanter som du använder per domän till 1 200. Den här gränsen säkerställer att du kan återställa SYSVOL på ett tillförlitligt sätt om en katastrof inträffar.
Om du förväntar dig att en Active Directory-domän i nätverket ska ha fler än 1 200 domänkontrollanter, och dessa domänkontrollanter är värdar för Active Directory-integrerade DNS-zoner (Domain Name System), rekommenderar vi att du granskar KB 267855 planeringssyfte.
Rekommenderad maximal storlek på Kerberos-biljetter
Den maximala rekommenderade storleken för en Kerberos-biljett är 48 000 byte. Du kan ange biljettstorleken genom att konfigurera REG_DWORD värdet MaxTokenSize i HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lsa\Kerberos\Parameters registret eller via grupprincip enligt beskrivningen i KB 938118.
Anmärkning
Det högsta tillåtna värdet för MaxTokenSize är 65 535 byte. Om du använder Kerberos för hantering av IP-säkerhetsnycklar (IPsec) är gränsen 65 536 byte. Men på grund av HTTP base64-kodningen av autentiseringskontexttoken rekommenderar vi att du inte anger registerposten maxTokenSize till ett värde som är större än 48 000 byte. Från och med Windows Server 2012 är standardvärdet för registerposten MaxTokenSize 48 000 byte.
Mer information om Kerberos-biljetter finns i Ytterligare resurser för felsökning av Kerberos.
Maximalt antal icke-länkade attributvärden
Active Directory-databasen lagrar icke-länkade attributvärden i en länkad katalog som måste få plats på en databassida. Som ett resultat av detta storlekskrav är den maximala gränsen för icke-länkattribut för ett objekt som bara har ett attribut 1 200. I Windows Server 2025-skogar kan du öka gränsen till upp till 3 000.
I verkliga distributioner börjar fel visas när objektet närmar sig gränsen för icke-länkade attribut. Statuskoden för dessa typer av fel är 0x00000b och mappar till strängen "LDAP_ADMIN_LIMIT_EXCEEDED administrationsgränsen på servern har överskridits".
Mer information om gränsen finns i artikeln AD-databasinformation, många DNS-poster på ett enda DNS-namn och Active Directory-replikeringsfel8304: Den maximala storleken på ett objekt har överskridits.
Maximal storlek på Active Directory-objekt
Om du vill ändra ett attribut med mycket data måste du lagra de nya och gamla värdena i databastransaktionen. Genom att lagra värdena kan du återställa transaktionen om databasen stängs av mitt i transaktionen. Den maximala storleken på en transaktion begränsar den totala blobstorleken för attributvärdesdata till 5 MB.
Den maximala storleken på de Active Directory-transaktioner som du kan utföra påverkar också gränsen för hur många gruppmedlemmar du kan ha före länkvärdesreplikering och hur många transaktioner i gruppmedlemskapsändringar som finns.