Aracılığıyla paylaş

Dizin Hizmetleri bileşen güncelleştirmeleri

Yazar: Justin Turner, Windows grubunda Kıdemli Destek Yükseltme Mühendisi

Uyarı

Bu içerik bir Microsoft müşteri destek mühendisi tarafından yazılmıştır ve Windows Server 2012 R2'deki özelliklerin ve çözümlerin teknik açıklamalarını TechNet'teki konulardan daha derin teknik açıklamalar arayan deneyimli yöneticilere ve sistem mimarlarına yöneliktir. Ancak, aynı düzenleme süreçlerinden geçmemiştir, bu nedenle bazı ifadeler TechNet’te bulunandan daha az düzgün görünebilir.

Bu derste, Windows Server 2012 R2'deki Dizin Hizmetleri bileşen güncelleştirmeleri açıklanmaktadır.

Öğrenecekler

Aşağıdaki yeni Dizin Hizmetleri bileşen güncellemelerini açıklayın:

Etki Alanı ve Orman İşlevsel Düzeyleri

Genel Bakış

Bu bölümde, etki alanı ve orman işlev düzeyi değişikliklerine kısa bir giriş sağlanır.

Yeni DFL ve FFL

Sürümle birlikte yeni etki alanı ve orman işlev düzeyleri vardır:

  • Orman İşlevsel Düzeyi: Windows Server 2012 R2

  • Etki Alanı İşlevsel Düzeyi: Windows Server 2012 R2

Windows Server 2012 R2 Etki Alanı İşlev Düzeyi aşağıdakiler için destek sağlar:

  1. Korunan Kullanıcılar için DC tarafı korumaları

    Windows Server 2012 R2 etki alanında kimlik doğrulaması yapan Korumalı Kullanıcılarartık şunları yapamaz:

    • NTLM ile kimlik doğrulayın

    • Kerberos ön kimlik doğrulamasında DES veya RC4 şifreleme paketlerini kullanma

    • Kısıtlamasız veya kısıtlı temsil yetkisi verilebilir

    • İlk 4 saatlik ömrü aşan kullanıcı biletlerini (TGT) yenileme

  2. Kimlik Doğrulama İlkeleri

    Windows Server 2012 R2 etki alanlarındaki hesaplara uygulanabilen yeni orman tabanlı Active Directory ilkeleri, bir hesabın hangi ana bilgisayarlardan oturum açabileceğini denetlemek ve hesap olarak çalışan hizmetlere kimlik doğrulaması için erişim denetimi koşulları uygulamak için kullanılabilir

  3. Kimlik Doğrulama İlkesi Siloları

    Kimlik doğrulama ilkeleri veya kimlik doğrulama yalıtımı için hesapları sınıflandırmak üzere kullanıcı, yönetilen hizmet ve bilgisayar hesapları arasında bir ilişki oluşturabilen yeni orman tabanlı Active Directory nesnesi.

Daha fazla bilgi için Korumalı Hesapları Yapılandırma bölümüne bakın.

Yukarıdaki özelliklere ek olarak, Windows Server 2012 R2 etki alanı işlev düzeyi, etki alanındaki herhangi bir etki alanı denetleyicisinin Windows Server 2012 R2 çalıştırmasını sağlar. Windows Server 2012 R2 orman işlev düzeyi herhangi bir yeni özellik sağlamaz, ancak ormanda oluşturulan tüm yeni etki alanlarının otomatik olarak Windows Server 2012 R2 etki alanı işlev düzeyinde çalışmasını sağlar.

Yeni etki alanı oluşturmada uygulanan minimum DFL

Windows Server 2008 DFL, yeni etki alanı oluşturmada desteklenen en düşük işlev düzeyidir.

Uyarı

FRS'nin kullanımdan kaldırılması, Sunucu Yöneticisi ile Windows Server 2008'den daha düşük bir etki alanı işlev düzeyine sahip yeni bir etki alanı yükleme özelliği kaldırılarak veya Windows PowerShell aracılığıyla gerçekleştirilir.

Orman ve etki alanı işlev düzeylerini düşürme

Orman ve etki alanı işlev düzeyleri, yeni etki alanı ve yeni orman oluşturmada varsayılan olarak Windows Server 2012 R2 olarak ayarlanır, ancak Windows PowerShell kullanılarak düşürülebilir.

Windows PowerShell kullanarak orman işlev düzeyini yükseltmek veya azaltmak için Set-ADForestMode cmdlet'ini kullanın.

FFL contoso.com Windows Server 2008 moduna ayarlamak için:

Set-ADForestMode -ForestMode Windows2008Forest -Identity contoso.com

Windows PowerShell kullanarak etki alanı işlev düzeyini yükseltmek veya azaltmak için Set-ADDomainMode cmdlet'ini kullanın.

DFL'contoso.com Windows Server 2008 moduna ayarlamak için:

Set-ADDomainMode -DomainMode Windows2008Domain -Identity contoso.com

Windows Server 2012 R2 çalıştıran bir DC'nin, 2003 DFL çalıştıran mevcut bir etki alanına ek bir çoğaltma olarak yükseltilmesi.

Varolan bir ormanda yeni etki alanı oluşturma

Etki Alanı Denetleyicisi Seçenekleri sayfasını gösteren ekran görüntüsü.

REKLAM HAZIRLIĞI

Bu sürümde yeni orman veya etki alanı işlemi yoktur.

Bu .ldf dosyaları, Cihaz Kayıt Hizmeti için şema değişiklikleri içerir.

  1. Sch59 Serisi

  2. Sch61 Serisi

  3. Sch62

  4. Sch63 (İngilizce)

  5. Sch64 Serisi

  6. Sch65 Serisi

  7. Sch67

Çalışma Klasörleri:

  1. Sch66

MSOD'ler:

  1. Sch60 Serisi

Kimlik Doğrulama İlkeleri ve Silolar

  1. Sch68

  2. Sch69 Serisi

NTFRS'nin kullanımdan kaldırılması

Genel Bakış

FRS, Windows Server 2012 R2'de kullanım dışıdır. FRS'nin kullanımdan kaldırılması, Windows Server 2008 işletim sisteminin en düşük etki alanı işlev düzeyi (DFL) zorlanarak gerçekleştirilir. Bu zorlama yalnızca yeni etki alanı Sunucu Yöneticisi veya Windows PowerShell kullanılarak oluşturulmuşsa kullanılabilir.

Etki alanı işlev düzeyini belirtmek için -DomainMode parametresini Install-ADDSForest veya Install-ADDSDomain cmdlet'leriyle birlikte kullanırsınız. Bu parametre için desteklenen değerler geçerli bir tamsayı veya karşılık gelen numaralandırılmış dize değeri olabilir. Örneğin, etki alanı modu düzeyini Windows Server 2008 R2 olarak ayarlamak için 4 veya "Win2008R2" değerini belirtebilirsiniz. Bu cmdlet'leri Server 2012 R2'den yürütürken, geçerli değerler Windows Server 2008 (3, Win2008), Windows Server 2008 R2 (4, Win2008R2), Windows Server 2012 (5, Win2012) ve Windows Server 2012 R2 (6, Win2012R2) için olanları içerir. Etki alanı işlev düzeyi orman işlev düzeyinden düşük olamaz, ancak daha yüksek olabilir. FRS bu sürümde kullanım dışı bırakıldığından, Windows Server 2003 (2, Win2003) Windows Server 2012 R2'den yürütüldüğünde bu cmdlet'lerle tanınan bir parametre değildir.

Install-ADDSForest cmdlet'i ile kullanılan -DomainMode parametresini gösteren bir terminal penceresinin ekran görüntüsü.

Install-ADDSForest cmdlet'inin nasıl kullanılacağını gösteren bir terminal penceresinin ekran görüntüsü.

LDAP Sorgu İyileştirici değişiklikleri

Genel Bakış

LDAP sorgu optimize edici algoritması yeniden değerlendirildi ve daha da optimize edildi. Sonuç, karmaşık sorguların LDAP arama verimliliğinde ve LDAP arama süresinde performans iyileştirmesidir.

Uyarı

Geliştiriciden:LDAP sorgusundan ESE sorgusuna eşlemedeki iyileştirmeler yoluyla aramaların performansındaki iyileştirmeler. Belirli bir karmaşıklık düzeyinin üzerindeki LDAP filtreleri, optimize edilmiş dizin seçimini engelleyerek performansın önemli ölçüde düşmesine (1000x veya daha fazla) neden olur. Bu değişiklik, bu sorunu önlemek için LDAP sorguları için dizinleri seçme şeklimizi değiştirir.

Uyarı

LDAP sorgu optimize edici algoritmasının tamamen elden geçirilmesi ve şunların sonucunda şunlar elde edildi:

  • Daha hızlı arama süreleri
  • Verimlilik kazanımları, DC'lerin daha fazlasını yapmasına olanak tanır
  • AD Performansı sorunlarıyla ilgili daha az destek çağrısı
  • Windows Server 2008 R2'ye geri taşındı (KB 2862304)

Arka plan

Active Directory'de arama yapabilme özelliği, etki alanı denetleyicileri tarafından sağlanan temel bir hizmettir. Diğer hizmetler ve iş kolu uygulamaları Active Directory aramalarını kullanır. Bu özellik kullanılamıyorsa iş operasyonları durabilir. Çekirdek ve yoğun olarak kullanılan bir hizmet olarak, etki alanı denetleyicilerinin LDAP arama trafiğini verimli bir şekilde işlemesi zorunludur. LDAP sorgusu iyileştirici algoritması, LDAP arama filtrelerini veritabanında zaten dizine eklenmiş kayıtlar aracılığıyla karşılanabilecek bir sonuç kümesiyle eşleyerek LDAP aramalarını mümkün olduğunca verimli hale getirmeye çalışır. Bu algoritma yeniden değerlendirildi ve daha da optimize edildi. Sonuç, karmaşık sorguların LDAP arama verimliliğinde ve LDAP arama süresinde performans iyileştirmesidir.

Değişikliğin detayları

Bir LDAP araması şunları içerir:

  • Aramayı başlatmak için hiyerarşi içinde bir konum (NC kafası, OU, Nesne)

  • Bir arama filtresi

  • Döndürülecek özniteliklerin listesi

Arama süreci şu şekilde özetlenebilir:

  1. Mümkünse arama filtresini basitleştirin.

  2. Kapsanan en küçük kümeyi döndürecek bir Dizin Anahtarları kümesi seçin.

  3. Kapsanan kümeyi azaltmak için Dizin Anahtarlarının bir veya daha fazla kesişimini gerçekleştirin.

  4. Kapsanan kümedeki her kayıt için, filtre ifadesinin yanı sıra güvenliği de değerlendirin. Filtre TRUE olarak değerlendirilir ve erişim verilirse, bu kaydı istemciye döndürün.

LDAP sorgusu iyileştirme çalışması, kapsanan kümenin boyutunu azaltmak için 2. ve 3. adımları değiştirir. Daha spesifik olarak, mevcut uygulama yinelenen Dizin Anahtarlarını seçer ve gereksiz kesişimler gerçekleştirir.

Eski ve yeni algoritma arasında karşılaştırma

Bu örnekteki verimsiz LDAP aramasının hedefi bir Windows Server 2012 etki alanı denetleyicisidir. Daha verimli bir dizin bulunamamasının bir sonucu olarak arama yaklaşık 44 saniye içinde tamamlanır.

adfind -b dc=blue,dc=contoso,dc=com -f "(| (& (|(cn=justintu) (postalcode=80304) (userprincipalname=justintu@blue.contoso.com)) (|(objectclass=person) (cn=justintu)) ) (&(cn=justintu)(objectclass=person)))" -stats >>adfind.txt

Using server: WINSRV-DC1.blue.contoso.com:389

<removed search results>

Statistics
=====
Elapsed Time: 44640 (ms)
Returned 324 entries of 553896 visited - (0.06%)

Used Filter:
 ( |  ( &  ( |  (cn=justintu)  (postalCode=80304)  (userPrincipalName=justintu@blue.contoso.com) )  ( |  (objectClass=person)  (cn=justintu) ) )  ( &  (cn=justintu)  (objectClass=person) ) )

Used Indices:
 DNT_index:516615:N

Pages Referenced          : 4619650
Pages Read From Disk      : 973
Pages Pre-read From Disk  : 180898
Pages Dirtied             : 0
Pages Re-Dirtied          : 0
Log Records Generated     : 0
Log Record Bytes Generated: 0

Yeni algoritmayı kullanarak örnek sonuçlar

Bu örnek, yukarıdakiyle aynı aramayı yineler, ancak bir Windows Server 2012 R2 etki alanı denetleyicisini hedefler. LDAP sorgu optimize edici algoritmasındaki iyileştirmeler sayesinde aynı arama bir saniyeden daha kısa sürede tamamlanır.

adfind -b dc=blue,dc=contoso,dc=com -f "(| (& (|(cn=justintu) (postalcode=80304) (userprincipalname=dhunt@blue.contoso.com)) (|(objectclass=person) (cn=justintu)) ) (&(cn=justintu)(objectclass=person)))" -stats >>adfindBLUE.txt

Using server: winblueDC1.blue.contoso.com:389

.<removed search results>

Statistics
=====
Elapsed Time: 672 (ms)
Returned 324 entries of 648 visited - (50.00%)

Used Filter:
 ( |  ( &  ( |  (cn=justintu)  (postalCode=80304)  (userPrincipalName=justintu@blue.contoso.com) )  ( |  (objectClass=person)  (cn=justintu) ) )  ( &  (cn=justintu)  (objectClass=person) ) )

Used Indices:
 idx_userPrincipalName:648:N
 idx_postalCode:323:N
 idx_cn:1:N

Pages Referenced          : 15350
Pages Read From Disk      : 176
Pages Pre-read From Disk  : 2
Pages Dirtied             : 0
Pages Re-Dirtied          : 0
Log Records Generated     : 0
Log Record Bytes Generated: 0

  • Ağaç optimize edilemiyorsa:

    • Örneğin: ağaçtaki bir ifade, dizine eklenmemiş bir sütunun üzerindeydi

    • Optimizasyonu engelleyen endekslerin bir listesini kaydedin

    • ETW izleme ve olay kimliği 1644 aracılığıyla kullanıma sunuldu

      Optimizasyonu Engelleyen Nitelikler değerini vurgulayan ekran görüntüsü.

LDP'de İstatistik denetimini etkinleştirmek için

  1. LDP.exeaçın ve bir etki alanı denetleyicisine bağlanın ve bağlanın.

  2. Seçenekler menüsünde Denetimler'i seçin.

  3. Denetimler iletişim kutusunda, Önceden Tanımlanmış Yükle açılır menüsünü genişletin, Arama İstatistikleri'ni ve ardından Tamam'ı seçin.

    Önceden Tanımlanmış Yükle listesini vurgulayan ekran görüntüsü.

  4. Gözat menüsünde Ara'yı seçin

  5. Ara iletişim kutusunda, Seçenekler düğmesini seçin.

  6. Arama Seçenekleri iletişim kutusunda Genişletilmiş onay kutusunun seçili olduğundan emin olun ve Tamam'ı seçin.

    Genişletilmiş seçeneğini vurgulayan ekran görüntüsü.

Şunu deneyin: Sorgu istatistiklerini döndürmek için LDP'yi kullanın

Bir etki alanı denetleyicisinde veya AD DS araçlarının yüklü olduğu etki alanına katılmış bir istemci ya da sunucudan aşağıdakileri gerçekleştirin. Windows Server 2012 DC'nizi ve Windows Server 2012 R2 DC'nizi hedefleyerek aşağıdakileri tekrarlayın.

  1. "Daha Verimli Microsoft AD Etkin Uygulamalar Oluşturma" makalesini gözden geçirin ve gerektiğinde bu makaleye geri dönün.

  2. LDP'yi kullanarak arama istatistiklerini etkinleştirin (bkz. LDP'de İstatistik denetimini etkinleştirmek için)

  3. Birkaç LDAP araması yapın ve sonuçların en üstündeki istatistiksel bilgileri gözlemleyin. Aynı aramayı diğer etkinliklerde de tekrarlayacaksınız, bu nedenle bunları bir not defteri metin dosyasında belgeleyin.

  4. Öznitelik dizinleri nedeniyle sorgu optimize edicinin optimize edebilmesi gereken bir LDAP araması gerçekleştirin

  5. Tamamlanması uzun süren bir arama oluşturmaya çalışın (aramanın zaman aşımına uğramaması için Zaman sınırı seçeneğini artırmak isteyebilirsiniz).

Ek Kaynaklar

Active Directory aramaları nedir?

Active Directory Aramaları Nasıl Çalışır?

Daha Verimli Microsoft Etkin Directory-Enabled Uygulamaları Oluşturma

951581 LDAP sorguları AD veya LDS/ADAM dizin hizmetinde beklenenden daha yavaş yürütülür ve Olay Kimliği 1644 günlüğe kaydedilebilir

1644 Etkinlik iyileştirmeleri

Genel Bakış

Bu güncelleme, sorun giderme amaçlarına yardımcı olmak için olay kimliği 1644'e ek LDAP arama sonucu istatistikleri ekler. Ayrıca, zamana dayalı bir eşikte günlüğe kaydetmeyi etkinleştirmek için kullanılabilecek yeni bir kayıt defteri değeri vardır. Bu geliştirmeler Windows Server 2012 ve Windows Server 2008 R2 SP1'de KB 2800945 aracılığıyla kullanıma sunulmuştur ve Windows Server 2008 SP2'de kullanıma sunulacaktır.

Uyarı

  • Verimsiz veya pahalı LDAP aramalarında sorun gidermeye yardımcı olmak için olay kimliği 1644'e ek LDAP arama istatistikleri eklenir
  • Artık bir Arama Süresi Eşiği belirtebilirsiniz (örn. 100 ms'den uzun süren aramalar için günlük olayı 1644) Pahalı ve Verimsiz arama sonucu eşik değerlerini belirtmek yerine

Arka plan

Active Directory performans sorunlarını giderirken, LDAP arama etkinliğinin soruna katkıda bulunabileceği ortaya çıkıyor. Etki alanı denetleyicisi tarafından işlenen pahalı veya verimsiz LDAP sorgularını görebilmek için günlüğe kaydetmeyi etkinleştirmeye karar verdiniz. Günlüğe kaydetmeyi etkinleştirmek için Alan Mühendisliği tanılama değerini ayarlamanız gerekir ve isteğe bağlı olarak pahalı / verimsiz arama sonuçları eşik değerlerini belirtebilirsiniz. Alan Mühendisliği günlük düzeyi 5 değerine etkinleştirildikten sonra, bu ölçütlere uyan tüm aramalar Dizin Hizmetleri olay günlüğüne olay kimliği 1644 ile kaydedilir.

Etkinlik şunları içerir:

  • İstemci IP'si ve bağlantı noktası

  • Başlangıç Düğümü

  • Filtre

  • Arama kapsamı

  • Öznitelik seçimi

  • Sunucu kontrolleri

  • Ziyaret edilen girişler

  • Döndürülen girişler

Ancak, olayda arama işleminde harcanan süre ve hangi (varsa) dizinin kullanıldığı gibi önemli veriler eksiktir.

Etkinlik 1644'e ek arama istatistikleri eklendi

  • Kullanılan dizinler

  • Başvurulan sayfalar

  • Diskten okunan sayfalar

  • Diskten önceden okunan sayfalar

  • Değiştirilen temiz sayfalar

  • Kirli sayfalar değiştirildi

  • Arama zamanı

  • Optimizasyonu Engelleyen Nitelikler

Olay 1644 günlüğü için yeni zaman tabanlı eşik kayıt defteri değeri

Pahalı ve Verimsiz arama sonucu eşik değerlerini belirtmek yerine, Arama Süresi Eşiği'ni belirtebilirsiniz. 50 ms veya daha uzun süren tüm arama sonuçlarını günlüğe kaydetmek isterseniz, 50 ondalık / 32 onaltılık belirtirsiniz (Alan Mühendisliği değerini ayarlamaya ek olarak).

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Search Time Threshold (msecs)"=dword:00000032

Eski ve yeni olay kimliği 1644'ün karşılaştırılması

ESKİ

Eski olay kimliği 1664'ü gösteren ekran görüntüsü.

YENİ

Dizin Hizmetleri Güncelleştirmeleri

Şunu Deneyin: Sorgu istatistiklerini döndürmek için olay günlüğünü kullanın

  1. Windows Server 2012 DC'nizi ve Windows Server 2012 R2 DC'nizi hedefleyerek aşağıdakileri tekrarlayın. Her aramadan sonra her iki DC'de de olay kimliği 1644'leri gözlemleyin.

  2. Regedit'i kullanarak, Windows Server 2012 R2 DC'de zamana dayalı bir eşik ve Windows Server 2012 DC'de eski yöntemi kullanarak olay kimliği 1644 günlüğünü etkinleştirin.

  3. Eşiği aşan birkaç LDAP araması yapın ve sonuçların en üstünde istatistiksel bilgileri gözlemleyin. Daha önce belgelediğiniz LDAP sorgularını kullanın ve aynı aramaları tekrarlayın.

  4. Bir veya daha fazla özellik dizine eklenmediği için sorgu optimize edicinin optimize edemediği bir LDAP araması gerçekleştirin.

Active Directory Çoğaltma aktarım hızı iyileştirmesi

Genel Bakış

AD çoğaltması, çoğaltma taşıması için RPC'yi kullanır. Varsayılan olarak, RPC bir 8K iletim arabelleği ve 5K paket boyutu kullanır. Bu, gönderen örneğin üç paket (yaklaşık 15K değerinde veri) ileteceği ve daha fazlasını göndermeden önce bir ağ gidiş dönüşünü beklemesi gereken net bir etkiye sahiptir. 3 ms'lik bir gidiş dönüş süresi varsayarsak, 1 Gb/sn veya 10 Gb/sn ağlarda bile en yüksek aktarım hızı 40 Mb/sn civarında olacaktır.

Uyarı

  • Bu güncelleştirme, en yüksek AD Çoğaltma aktarım hızını 40 Mb/sn'den yaklaşık 600 Mb/sn'ye ayarlar.

    • RPC gönderme arabelleği boyutunu artırır ve bu da ağ gidiş dönüş sayısını azaltır

  • Etki, yüksek hızlı, yüksek gecikmeli ağda en belirgin olacaktır.

Bu güncellemeler, RPC gönderme arabelleği boyutunu 8K'dan 256 KB'a değiştirerek maksimum verimi yaklaşık 600 Mb/sn'ye çıkarır. Bu değişiklik, TCP pencere boyutunun 8K'nın üzerine çıkmasına olanak tanıyarak ağ gidiş dönüş sayısını azaltır.

Uyarı

Bu davranışı değiştirmek için yapılandırılabilir bir ayar yoktur.

Ek Kaynaklar

Active Directory Çoğaltma Modeli Nasıl Çalışır?