…
An welchen Stellen stößt das Active Directory und seine Werkzeuge an die Grenzen?
Das “Active Directory-Benutzer und -Computer” Snap-In
- Falls in der MMC Active Directory-Benutzer und -Computer in einem Container bzw. OU mehr als 2000 Objekte enthalten sind, wird die folgende Meldung angezeigt:
Screenshot vom Windows Server 2008
Anschließend kann dem Hinweis gefolgt und somit die maximale Anzahl der angezeigten Elemente erhöht werden. Dieses Verhalten trifft auf Windows 2000, Windows Server 2003 und Windows Server 2008 zu.
Die maximal unterstützte Seitengröße für LDAP-Antworten
Um sich z.B. vor Denial of Service (DoS) Attacken zu schützen, liefert das Active Directory bei einer LDAP-Abfrage als Ergebnis 1.000 Datensätze. Übersteigt das Ergebnis die Grenze von 1.000 Datensätzen, wird nach den 1.000 Einträgen der folgende Fehler angezeigt: Size Limit Exceeded Error.
Es bestehen zwei Möglichkeiten dieses Problem zu umgehen. Zum einen ist es das ändern der maximum Page Size auf dem LDAP-Client und zum anderen, dass Erhöhen des Wertes MaxPageSize in den LDAP-Richtlinien auf den DCs.
How to view and set LDAP policy in Active Directory by using Ntdsutil.exe
Der Name einer Organisationseinheit (OU)
- Der Name einer OU kann maximal 64 Zeichen enthalten. Damit soll sichergestellt werden, dass beim aufrufen der Gruppenrichtlinien die sich im SYSVOL-Verzeichnis befinden durch einen UNC-Pfad, nicht die Grenze von insgesamt 260 Zeichen überschritten wird. Denn wenn der UNC-Pfad zu den GPOs 260 Zeichen überschreiten sollte, können somit die GPOs weder gelesen, noch an die DCs, Server und Clients angewendet werden.
Siehe auch: Windows 2000 Supports Fully Qualified Domain Names up to 64 UTF-8 Bytes Long
Die Länge des Dateinamens
- Der Pfad samt Dateiname der Active Directory-Datenbank (NTDS.dit), AD-Protokolldateien oder der GPOs die sich im SYSVOL-Verzeichnis befinden, ist auf 260 Zeichen beschränkt.
Der NetBIOS-Computername
- Der NetBIOS-Name eines Computerkontos ist auf 15 Zeichen beschränkt. Eigentlich enthält dieser 16 Zeichen, wobei aber das 16. Zeichen für das System reserviert ist. Der Computername darf auch nicht ausschließlich aus Zahlen bestehen.
Windows 2000 Does Not Permit All-Numeric Computer Names
Der NetBIOS-Name einer Domäne
- Der NetBIOS-Name einer Domäne kann maximal 15 Zeichen enthalten. Auch hier enthält der NetBIOS-Domänenname eigentlich 16 Zeichen, wobei aber das 16. Zeichen ebenfalls für das System reserviert ist.
Die Länge des Fully Qualified Domain Name einer AD-Domäne
- Der FQDN einer Active Directory-Domäne darf insgesamt 64 Zeichen (samt Punkten) enthalten.
Weitere Beschränkungen bezgl. der Namenskonventionen
- Welche weiteren Beschränkungen bei den Namenskonventionen noch existieren, werden in diesem Artikel erläutert:
Naming conventions in Active Directory for computers, domains, sites, and OUs
Die maximale Anzahl an Objekten die ein Domänencontroller erstellen kann
- Ein DC kann während seiner Lebensdauer etwas weniger als 2,15 Milliarden Objekte erstellen.
Die maximale Anzahl an SIDs die innerhalb einer Domäne erstellt werden kann
- Innerhalb einer Domäne können ca. eine Milliarde Security Identifier (SIDs) erstellt werden.
Neuerung mit Windows Server 8: Ab Windows Server 8 können nun 2,1 Milliarden security principals erstellt werden.
Die maximale Anzahl an GPOs die auf ein Objekt wirken können
- Es können maximal 999 Gruppenrichtlinienobjekte auf ein Benutzer- oder Computerkonto angewendet werden. Dabei können auf einem System natürlich mehr als 999 GPOs existieren. Diese Grenze wurde aus Performancegründen festgelegt.
Die maximale Anzahl an Benutzern pro Gruppe
- Unter Windows 2000 kann eine Benutzergruppe maximal 5.000 Mitglieder enthalten. Unter Windows Server 2003 existiert diese Grenze nicht.
Siehe auch: Die Linked Value Replikation (LVR)
Die maximale Anzahl an Änderungen innerhalb eines schreibvorgangs im AD
- Werden automatisiert z.B. per Skript oder Management-Tools eine größere Menge an Änderungen im Active Directory durchgeführt (z.B. das erstellen, löschen oder bearbeiten von Benutzern), können innerhalb einer Transaktion nicht mehr als 5.000 Änderungen durchgeführt werden.
Die maximale Gruppenzugehörigkeiten eines Sicherheitsprinzipals
- In das Access-Token eines Sicherheitsprinzipals wie es z.B. Benutzer, Gruppen oder Computer darstellen, können maximal 1.024 Einträge existieren. Bei der Anmeldung eines Benutzers wird vom Local Security Authority (LSA) ein Access-Token generiert. In diesem Access-Token befindet sich der Security Identifier (SID) des Benutzers, die SIDs der direkten Gruppen in denen das Benutzerkonto Mitglied ist, die SIDs von Gruppenverschachtelungen und in einer Windows Server 2003 Umgebung noch die SID History. Befindet sich der Benutzer in mehr als 1.024 Gruppen, so schlägt die Authentifizierung des Benutzers fehl.
Tatsächlich sollte sich das Benutzerkonto nicht in mehr als 1.015 Gruppen befinden, denn vom LSA werden standardmäßig bis zu 9 Well-Known SIDs dem Access-Token hinzugefügt.
Users Who Are Members of More Than 1,015 Groups May Fail Logon Authentication
In der Praxis hat sich allerdings gezeigt, dass bereits Probleme auftauchen, in denen der Benutzer sich in weitaus weniger Guppen befindet. Unter Windows 2000 – dort je nach SP-Stand – kann es schon bei Gruppenmitgliedschaften zwischen 70-80 bzw. 120 Gruppenmitgliedschaften zu Problemen kommen.
Group Policy may not be applied to users belonging to many groups New resolution for problems with Kerberos authentication when users belong to many groups
Unter Windows Server 2003 kann es ebenfalls zu Problemen kommen, wenn sich der Benutzer in weitaus mehr als 70 Gruppen befindet:
Authentication Fails Due to User PAC Troubleshooting Kerberos Errors When you try to log on to a Windows Server 2003-based domain by using a domain user account, the logon request fails What’s in a Token
Die empfohlene maximale Anzahl an Domänen innerhalb einer Gesamtstruktur
- In einer Windows 2000 Gesamtstruktur wird empfohlen, nicht mehr als 800 Domänen zu betreiben. Die empfohlene Anzahl an Domänen innerhalb einer Windows Server 2003 Gesamtstruktur, die sich in der Gesamtstrukturfunktionsebene „Windows Server 2003“ befindet, ist auf 1.200 Domänen beschränkt. Diese Grenze gilt sicherlich auch für eine Windows Server 2008 Gesamtstruktur.
Die empfohlene Anzahl an Domänencontrollern pro Domäne
Die unterstützte Anzahl an Domänencontrollern innerhalb einer Windows Server 2003-Domäne beträgt 1.200. Diese Grenze wurde festgelegt, damit im Windows Server 2003 das SYSVOL-Verzeichnis, das durch das File Replication Service (kurz, FRS) repliziert wird, noch ordnungsgemäß rückgesichert werden kann.
- Dabei kann es bereits bei über 400 DCs pro Domäne zu problemen kommen, wenn das DNS auf den DCs betrieben wird und der AD-integirerte DNS-Name mit dem AD-Namen der Domäne gleich lautet.
Problems with Many Domain Controllers with Active Directory Integrated DNS Zones
thx Yusuf