Ordnungsgemäße Platzierung von Domänencontrollern und Überlegungen zum Standort

Die richtige Standortdefinition ist von entscheidender Bedeutung für die Leistung. Wenn sich Clients außerhalb des Standorts des Domänencontrollers befinden, kann dies zu einer Beeinträchtigung der Leistung bei Authentifizierungen und Abfragen führen. Darüber hinaus kann die Anforderung mit der Einführung von IPv6 auf Clients entweder von der IPv4- oder der IPv6-Adresse stammen, und für Active Directory müssen Standorte für IPv6 ordnungsgemäß definiert sein. Das Betriebssystem bevorzugt IPv6 gegenüber IPv4, wenn beide konfiguriert sind.

Ab Windows Server 2008 wird vom Domänencontroller versucht, die Namensauflösung zu verwenden, um eine umgekehrte Suche auszuführen und so den Standort zu bestimmen, an dem sich der Client befinden sollte. Dies kann zur Erschöpfung des ATQ-Threadpools führen und bewirken, dass der Domänencontroller nicht mehr reagiert. Die geeignete Lösung hierfür besteht darin, die Standorttopologie für IPv6 ordnungsgemäß zu definieren. Als Problemumgehung kann die Namensauflösungsinfrastruktur optimiert werden, damit schnell auf Domänencontrolleranforderungen reagiert werden kann. Weitere Informationen finden Sie unter Verzögerte Antwort des Domänencontrollers auf LDAP- oder Kerberos-Anforderungen unter Windows Server 2008 oder Windows Server 2008 R2.

Ein weiterer zu berücksichtigender Aspekt ist die Suche nach Lese-/Schreib-Domänencontrollern für Szenarios, in denen schreibgeschützte Domänencontroller (Read-Only Domain Controller, RODC) verwendet werden. Bei bestimmten Vorgängen ist es erforderlich, auf einen beschreibbaren Domänencontroller zuzugreifen bzw. diesen anzusteuern, auch wenn ein schreibgeschützter Domänencontroller ausreichen würde. Die Optimierung dieser Szenarios würde auf zwei Wegen erfolgen:

• Die Kontaktaufnahme mit beschreibbaren Domänencontrollern, wenn ein schreibgeschützter Domänencontroller ausreichen würde. Dies erfordert Änderungen am Code der Anwendung.
• Wenn möglicherweise ein beschreibbarer Domänencontroller erforderlich ist: Platzieren Sie Domänencontroller mit Lese-/Schreibzugriff an zentralen Standorten, um die Latenz zu minimieren.

Weitere Informationen finden Sie unter:

• Anwendungskompatibilität mit schreibgeschützten Domänencontrollern
• Active Directory Service Interface (ADSI) und der schreibgeschützte Domänencontroller (RODC) – Vermeiden von Leistungsproblemen

Optimieren für Weiterleitungen

Weiterleitungen bezeichnen die Vorgehensweise, wie LDAP-Abfragen umgeleitet werden, wenn der Domänencontroller keine Kopie der abgefragten Partition hostet. Wenn eine Weiterleitung zurückgegeben wird, enthält sie den Distinguished Name der Partition, einen DNS-Namen und eine Portnummer. Der Client verwendet diese Informationen, um die Abfrage auf einem Server fortzusetzen, auf dem die Partition gehostet wird. Dies ist ein DCLocator-Szenario, und alle Empfehlungen in Bezug auf Websitedefinitionen und Domänencontrollerplatzierung werden beibehalten, aber Anwendungen, die von Weiterleitungen abhängen, werden häufig übersehen. Es wird empfohlen, sicherzustellen, dass die AD-Topologie, einschließlich Standortdefinitionen und Domänencontrollerplatzierung, den Anforderungen des Clients ordnungsgemäß entspricht. Dies kann auch die Verwendung von Domänencontrollern von mehreren Domänen an einem einzigen Standort, das Optimieren von DNS-Einstellungen oder die Neupositionierung des Standorts einer Anwendung umfassen.

Optimierungsüberlegungen für Vertrauensstellungen

In einem Szenario innerhalb der Gesamtstruktur werden Vertrauensstellungen gemäß der folgenden Domänenhierarchie verarbeitet: zwei Ebenen untergeordnete Domäne –> untergeordnete Domäne –> Gesamtstruktur-Stammdomäne >– Untergeordnete Domäne >– zwei Ebenen untergeordnete Domäne. Dies bedeutet, dass sichere Kanäle im Gesamtstrukturstamm und jedes übergeordnete Element aufgrund der Aggregation von Authentifizierungsanforderungen, die die Domänencontroller in der Vertrauenshierarchie übertragen, überlastet werden können. Dies kann auch zu Verzögerungen in Active Directorys mit breiter geografischer Verteilung führen, wenn die Authentifizierung auch hochgradig latente Verbindungen durchlaufen muss, um den oben genannten Fluss zu beeinflussen. Überlastungen können in Szenarios mit Vertrauensstellungen in der Zwischengesamtstruktur und untergeordneten Vertrauensstellungen auftreten. Die folgenden Empfehlungen gelten für alle Szenarios:

• Optimieren Sie die MaxConcurrentAPI ordnungsgemäß, um die Last im sicheren Kanal zu unterstützen. Weitere Informationen hierzu finden Sie unter Leistungsoptimierung für NTLM-Authentifizierung mithilfe der Einstellung „MaxConcurrentApi“.

• Erstellen Sie entsprechend der Last Vertrauensstellungsabkürzungen.

• Vergewissern Sie sich, dass jeder Domänencontroller in der Domäne die Namensauflösung durchführen und mit den Domänencontrollern in der vertrauenswürdigen Domäne kommunizieren kann.

• Achten Sie darauf, dass Standortüberlegungen für Vertrauensstellungen berücksichtigt werden.

• Aktivieren Sie nach Möglichkeit Kerberos, und minimieren Sie die Verwendung des sicheren Kanals, um das Risiko zu verringern, dass MaxConcurrentAPI-Engpässe auftreten.

Szenarios mit domänenübergreifenden Vertrauensstellungen sind ein Bereich, der für viele Kunden durchweg ein Problem darstellt. Namensauflösungs- und Konnektivitätsprobleme, häufig aufgrund von Firewalls, führen zu Ressourcenauslastung auf dem vertrauenden Domänencontroller und wirken sich auf alle Clients aus. Darüber hinaus ist ein häufig übersehenes Szenario die Optimierung des Zugriffs auf vertrauenswürdige Domänencontroller. Die wichtigsten Aspekte, mit denen sichergestellt wird, dass dies ordnungsgemäß funktioniert:

• Vergewissern Sie sich, dass die DNS- und WINS-Namensauflösung, die von den vertrauenswürdigen Domänencontrollern verwendet wird, die Auflösung einer genauen Liste der Domänencontroller für die vertrauenswürdige Domäne ermöglicht.

  • Statisch hinzugefügte Einträge neigen dazu, zu veralten und im Laufe der Zeit wiederholt Konnektivitätsprobleme zu verursachen. DNS-Weiterleitungen, Dynamic DNS und das Zusammenführen von WINS/DNS-Infrastrukturen sind langfristig wartungsfähiger.

  • Stellen Sie die ordnungsgemäße Konfiguration von Weiterleitungen, bedingten Weiterleitungen und sekundären Kopien für Forward- und Reverse-Lookupzonen für jede Ressource in der Umgebung sicher, auf die ein Client möglicherweise zugreifen muss. Auch dies erfordert manuelle Wartung und hat eine Tendenz zu veralten. Die Konsolidierung von Infrastrukturen ist ideal.

• Domänencontroller in der vertrauenden Domäne versuchen zunächst, Domänencontroller in der vertrauenswürdigen Domäne zu ermitteln, die sich am selben Standort befinden, und dann ein Failback zu den generischen Locators durchzuführen.

  • Weitere Informationen zur Funktionsweise von DCLocator finden Sie unter Suche nach einem Domänencontroller am nächstgelegenen Standort.

  • Konvergieren Sie Standortnamen zwischen den vertrauenswürdigen und vertrauenden Domänen, um den Domänencontroller am selben Standort widerzuspiegeln. Vergewissern Sie sich, dass Subnetz- und IP-Adresszuordnungen ordnungsgemäß mit Standorten in beiden Gesamtstrukturen verknüpft sind. Weitere Informationen finden Sie unter Domänenlocator in einer Gesamtstruktur-Vertrauensstellung.

  • Vergewissern Sie sich, dass die Ports entsprechend den DCLocator-Anforderungen für den Domänencontrollerstandort geöffnet sind. Vergewissern Sie sich, dass die Firewalls ordnungsgemäß für ALLE Vertrauensstellungen konfiguriert sind, wenn zwischen den Domänen Firewalls vorhanden sind. Wenn Firewalls nicht geöffnet sind, versucht der vertrauende Domänencontroller weiterhin, auf die vertrauenswürdige Domäne zuzugreifen. Wenn die Kommunikation aus irgendeinem Grund fehlschlägt, tritt beim vertrauenden Domänencontroller schließlich ein Timeout der an den vertrauenswürdigen Domänencontroller gesendeten Anforderung auf. Diese Timeouts können jedoch mehrere Sekunden pro Anforderung dauern und zu viele Netzwerkports auf dem vertrauenden Domänencontroller beanspruchen, wenn die Menge eingehender Anforderungen hoch ist. Auf dem Client kann das Warten auf das Timeout auf dem Domänencontroller in Form hängender Threads auftreten. Dies kann wiederum zu hängenden Anwendungen führen (wenn die Anforderung von der Anwendung im Vordergrundthread ausgeführt wird). Weitere Informationen finden Sie unter Konfigurieren einer Firewall für Domänen und Vertrauensstellungen.

  • Verwenden Sie DnsAvoidRegisterRecords, um Domänencontroller mit schlechter Leistung oder hoher Latenz, z. B. an Satellitenstandorten, aus der Ankündigung für die generischen Locators zu entfernen. Weitere Informationen finden Sie unter Optimieren des Standorts eines Domänencontrollers oder eines globalen Katalogs, der sich außerhalb des Standorts eines Clients befindet.

    Hinweis

    Bei der Anzahl der Domänencontroller, die der Client nutzen kann, gibt es eine praktische Grenze von etwa 50. Bei diesen Domänencontrollern sollte es sich um die Domänencontroller mit dem optimalen Standort und der höchsten Kapazität handeln.

  • Erwägen Sie, Domänencontroller aus vertrauenswürdigen und vertrauenden Domänen am selben physischen Standort zu platzieren.

In allen Vertrauensstellungsszenarios werden Anmeldeinformationen entsprechend der Domäne weitergeleitet, die in den Authentifizierungsanforderungen angegeben ist. Dies gilt auch für Abfragen an die LookupAccountName- und LsaLookupNames-API (sowie andere; dies sind nur die am häufigsten verwendeten). Wenn den Domänenparametern für diese APIs ein NULL-Wert übergeben wird, versucht der Domänencontroller, den Kontonamen zu finden, der in jeder verfügbaren vertrauenswürdigen Domäne angegeben ist.

• Deaktivieren Sie die Überprüfung aller verfügbaren Vertrauensstellungen, wenn eine NULL-Domäne angegeben wird. Einschränken der Suche nach isolierten Namen in externen vertrauenswürdigen Domänen mithilfe des Registrierungseintrags LsaLookupRestrictIsolatedNameLevel

• Deaktivieren Sie das Übergeben von Authentifizierungsanforderungen mit einer NULL-Domäne, die für alle verfügbaren Vertrauensstellungen angegeben ist. Der Lsass.exe-Prozess reagiert möglicherweise nicht mehr, wenn Sie über viele externe Vertrauensstellungen auf einem Active Directory-Domänencontroller verfügen.

Weitere Verweise

• Optimierung der Leistung von Active Directory-Servern
• Hardwareaspekte
• Überlegungen zu LDAP
• Problembehandlung bezüglich der ADDS-Leistung
• Kapazitätsplanung für Active Directory Domain Services