…<\/p>\n
An welchen Stellen st\u00f6\u00dft das Active Directory und seine Werkzeuge an die Grenzen?<\/p>\n
<\/p>\n
Das \u201cActive Directory-Benutzer und -Computer\u201d Snap-In<\/strong><\/p>\n Screenshot vom Windows Server 2008 <\/p>\n Die maximal unterst\u00fctzte Seitengr\u00f6\u00dfe f\u00fcr LDAP-Antworten<\/strong><\/p>\n Um sich z.B. vor Denial of Service (DoS) Attacken zu sch\u00fctzen, liefert das Active Directory bei einer LDAP-Abfrage als Ergebnis 1.000 Datens\u00e4tze. \u00dcbersteigt das Ergebnis die Grenze von 1.000 Datens\u00e4tzen, wird nach den 1.000 Eintr\u00e4gen der folgende Fehler angezeigt: Size Limit Exceeded Error<\/em>.<\/p>\n Es bestehen zwei M\u00f6glichkeiten dieses Problem<\/em> zu umgehen. Zum einen ist es das \u00e4ndern der maximum Page Size auf dem LDAP-Client und zum anderen, dass Erh\u00f6hen des Wertes MaxPageSize in den LDAP-Richtlinien auf den DCs. Der Name einer Organisationseinheit (OU)<\/strong><\/p>\n <\/p>\n Die L\u00e4nge des Dateinamens<\/strong><\/p>\n <\/p>\n Der NetBIOS-Computername<\/strong><\/p>\n <\/p>\n Der NetBIOS-Name einer Dom\u00e4ne<\/strong><\/p>\n <\/p>\n Die L\u00e4nge des Fully Qualified Domain Name einer AD-Dom\u00e4ne<\/strong><\/p>\n <\/p>\n Weitere Beschr\u00e4nkungen bezgl. der Namenskonventionen<\/strong><\/p>\n <\/p>\n Die maximale Anzahl an Objekten die ein Dom\u00e4nencontroller erstellen kann<\/strong><\/p>\n <\/p>\n Die maximale Anzahl an SIDs die innerhalb einer Dom\u00e4ne erstellt werden kann<\/strong><\/p>\n <\/p>\n Die maximale Anzahl an GPOs die auf ein Objekt wirken k\u00f6nnen<\/strong><\/p>\n <\/p>\n Die maximale Anzahl an Benutzern pro Gruppe<\/strong><\/p>\n <\/p>\n Die maximale Anzahl an \u00c4nderungen innerhalb eines schreibvorgangs im AD<\/strong><\/p>\n <\/p>\n Die maximale Gruppenzugeh\u00f6rigkeiten eines Sicherheitsprinzipals<\/strong><\/p>\n Tats\u00e4chlich sollte sich das Benutzerkonto nicht in mehr als 1.015 Gruppen befinden, denn vom LSA werden standardm\u00e4\u00dfig bis zu 9 Well-Known SIDs dem Access-Token hinzugef\u00fcgt. <\/p>\n Die empfohlene maximale Anzahl an Dom\u00e4nen innerhalb einer Gesamtstruktur<\/strong><\/p>\n <\/p>\n Die empfohlene Anzahl an Dom\u00e4nencontrollern pro Dom\u00e4ne<\/strong><\/p>\n Die unterst\u00fctzte Anzahl an Dom\u00e4nencontrollern innerhalb einer Windows Server 2003-Dom\u00e4ne betr\u00e4gt 1.200. Diese Grenze wurde festgelegt, damit im Windows Server 2003 das SYSVOL-Verzeichnis, das durch das File Replication Service (kurz, FRS) repliziert wird, noch ordnungsgem\u00e4\u00df r\u00fcckgesichert werden kann.<\/p>\n thx Yusuf<\/p>\n","protected":false},"excerpt":{"rendered":" … An welchen Stellen st\u00f6\u00dft das Active Directory und seine Werkzeuge an die Grenzen? Das \u201cActive Directory-Benutzer und -Computer\u201d Snap-In Falls in der MMC Active Directory-Benutzer und -Computer in einem Container bzw. OU mehr als 2000 Objekte enthalten sind, … Weiterlesen \n
\n<\/em>Anschlie\u00dfend kann dem Hinweis gefolgt und somit die maximale Anzahl der angezeigten Elemente erh\u00f6ht werden. Dieses Verhalten trifft auf Windows 2000, Windows Server 2003 und Windows Server 2008 zu.<\/li>\n<\/ul>\n
\nHow to view and set LDAP policy in Active Directory by using Ntdsutil.exe<\/a><\/p>\n\n
\nSiehe auch: Windows 2000 Supports Fully Qualified Domain Names up to 64 UTF-8 Bytes Long<\/a><\/li>\n<\/ul>\n\n
\n
\nWindows 2000 Does Not Permit All-Numeric Computer Names<\/a><\/li>\n<\/ul>\n\n
\n
\n
\nNaming conventions in Active Directory for computers, domains, sites, and OUs<\/a><\/li>\n<\/ul>\n\n
\n
\nNeuerung mit Windows Server 8:<\/strong> Ab Windows Server 8 k\u00f6nnen nun 2,1 Milliarden\u00a0security principals\u00a0erstellt werden.<\/li>\n<\/ul>\n\n
\n
\nSiehe auch: Die Linked Value Replikation (LVR)<\/a><\/li>\n<\/ul>\n\n
\n<\/ul>\n
\n
\nUsers Who Are Members of More Than 1,015 Groups May Fail Logon Authentication<\/a>
\nIn der Praxis hat sich allerdings gezeigt, dass bereits Probleme auftauchen, in denen der Benutzer sich in weitaus weniger Guppen befindet. Unter Windows 2000 \u2013 dort je nach SP-Stand \u2013 kann es schon bei Gruppenmitgliedschaften zwischen 70-80 bzw. 120 Gruppenmitgliedschaften zu Problemen kommen.
\nGroup Policy may not be applied to users belonging to many groups<\/a> New resolution for problems with Kerberos authentication when users belong to many groups<\/a>
\nUnter Windows Server 2003 kann es ebenfalls zu Problemen kommen, wenn sich der Benutzer in weitaus mehr als 70 Gruppen befindet:
\nAuthentication Fails Due to User PAC<\/a> Troubleshooting Kerberos Errors<\/a> When you try to log on to a Windows Server 2003-based domain by using a domain user account, the logon request fails<\/a> What\u2019s in a Token<\/a><\/p>\n\n
\n
\nProblems with Many Domain Controllers with Active Directory Integrated DNS Zones<\/a><\/li>\n<\/ul>\n