Planeamiento de un número adecuado de controladores de dominio de Windows Server 2016 o posterior para implementaciones de Windows Hello para empresas

Se aplica a

  • Windows 10, versión 1703 o posterior, o Windows 11
  • Windows Server, versiones 2016 o posteriores
  • Implementación híbrida o local
  • Clave de confianza

Nota

Hubo un problema con la autenticación de confianza clave en Windows Server 2019. Para corregirlo, consulte KB4487044.

Cuántos son adecuados

¿Cómo puedes deducir cuántos controladores de dominios se necesitan? Puedes usar la supervisión de rendimiento en los controladores de dominio para determinar el tráfico de autenticación existente. Windows Server 2016 y versiones posteriores incluye el contador de rendimiento de solicitudes AS de KDC. Puede usar este contador para determinar la cantidad de carga de un controlador de dominio debido a la autenticación Kerberos inicial. Es importante recordar que la autenticación para una implementación de confianza de clave de Windows Hello para empresas no afecta a la autenticación Kerberos, ya que permanece sin cambios.

Windows 10 o Windows 11 logra la autenticación de confianza de clave de Windows Hello para empresas mediante la asignación de una cuenta de usuario de Active Directory a una o varias claves públicas. Esta asignación se produce en el controlador de dominio, por lo que la implementación necesita controladores de dominio de Windows Server 2016 o posteriores. La asignación de claves públicas solo es compatible con controladores de dominio de Windows Server 2016 y versiones posteriores. Por lo tanto, los usuarios de una implementación de confianza clave deben autenticarse en un controlador de dominio de Windows Server 2016 y versiones posteriores.

Determinar un número adecuado de controladores de dominio de Windows Server es importante para asegurarse de que tiene suficientes controladores de dominio para satisfacer todas las solicitudes de autenticación, incluidos los usuarios asignados a la confianza de clave pública. Lo que muchos administradores no se dan cuenta es que agregar un controlador de dominio que admita la asignación de claves públicas (en este caso Windows Server 2016 o posterior) a una implementación de controladores de dominio existentes que no admiten la asignación de claves públicas (Windows Server 2008R2, Windows Server 2012R2) hace que ese controlador de dominio único sea susceptible de llevar la mayor cantidad de carga, o lo que comúnmente se conoce como "apilamiento en". Para ilustrar el concepto "piling on", tenga en cuenta el siguiente escenario:

Piensa en un entorno controlado donde hay 1000 ordenadores cliente y la carga de autenticación de estos 1000 ordenadores cliente está distribuida uniformemente entre 10 controladores de dominio en el entorno. La carga de solicitudes AS de Kerberos tendría un aspecto similar al siguiente:

dc-chart1.

El entorno cambia. El primer cambio incluye DC1 actualizado a Windows Server 2016 o posterior para admitir la autenticación de confianza de claves de Windows Hello para empresas. A continuación, 100 clientes se inscriben en Windows Hello para empresas con la implementación de clave de confianza pública. Dado que todos los demás factores permanecen constantes, la autenticación sería ahora similar a la siguiente:

dc-chart2.

El controlador de dominio de Windows Server 2016 o posterior controla el 100 % de toda la autenticación de confianza de clave pública. Sin embargo, también controla el 10 por ciento de la autenticación con contraseña. ¿Por qué? Este comportamiento se produce porque los controladores de dominio 2 a 10 solo admiten la autenticación de confianza de certificados y contraseñas; solo un controlador de dominio de Windows Server 2016 y versiones posteriores admite la autenticación de confianza de clave pública. El controlador de dominio de Windows Server 2016 y versiones posteriores sigue entendiendo cómo autenticar la autenticación de confianza de certificados y contraseñas y seguirá compartir la carga de autenticación de esos clientes. Dado que DC1 puede controlar todas las formas de autenticación, soportará más de la carga de autenticación y se sobrecargará fácilmente. ¿Qué ocurre si se agrega otro controlador de dominio de Windows Server 2016 o posterior, pero sin implementar Windows Hello para empresas en más clientes?

dc-chart3.

Actualizar otro controlador de dominio a Windows Server 2016 o versiones posteriores distribuye la autenticación de confianza de clave pública entre dos controladores de dominio, cada uno de los cuales admite el 50 por ciento de la carga. Pero eso no cambia la distribución de la autenticación de contraseña y certificado de confianza. Ambos controladores de dominio de Windows Server 2019 todavía comparten el 10 por ciento de esta carga. Ahora examine el escenario en el que la mitad de los controladores de dominio se actualizan a Windows Server 2016 o posterior, pero el número de clientes de Windows Hello para empresas sigue siendo el mismo.

dc-chart4.

Ahora, los controladores de dominio 1a 5 comparten la carga de autenticación de clave de confianza pública, donde cada controlador de dominio maneja el 20 por ciento de la carga de clave de confianza pública, pero cada uno sigue manejando el 10 por ciento de la autenticación de contraseña y certificado de confianza. Estos controladores de dominio siguen teniendo una carga mayor que los controladores de dominio 6a 10; sin embargo, la carga se distribuye adecuadamente. Ahora, atiende al escenario en el que la mitad de los equipos cliente se actualizan a Windows Hello para empresas con una implementación de clave de confianza.

dc-chart5.

Verás que la distribución no ha cambiado. Cada controlador de dominio de Windows Server 2016 o posterior controla el 20 % de la autenticación de confianza de clave pública. Sin embargo, un aumento del volumen de autenticación (aumentando el número de clientes) hace subir la cantidad de trabajo que queda representada por el mismo 20 por ciento. En el ejemplo anterior, el 20 por ciento de la autenticación de clave de confianza pública era igual a un volumen de 20 autenticaciones por controlador de dominio capaz de autenticación de clave de confianza pública. Sin embargo, con los clientes actualizados, ese mismo 20 % representa un volumen de 100 autenticaciones de confianza de clave pública por controlador de dominio compatible con la confianza de clave pública. Además, la distribución de la autenticación de confianza de clave no pública se mantuvo en el 10 %, pero el volumen de autenticaciones de contraseña y confianza de certificados disminuyó en los controladores de dominio anteriores.

De aquí pueden extraerse varias conclusiones:

  • La actualización de controladores de dominio cambia la distribución de la nueva autenticación, pero no cambia la distribución de la anterior autenticación.
  • La actualización de controladores de dominio no afecta a la distribución de la autenticación de contraseña y certificado de confianza, debido a los controladores de dominio más recientes pueden admitir la autenticación de contraseña y certificado de confianza.
  • Los controladores de dominio actualizados normalmente soportan una carga de autenticación mayor que los controladores de dominio de nivel inferior, ya que admiten más formas de autenticación.
  • La actualización de clientes a Windows Hello para empresas aumenta el volumen de autenticación de clave de confianza pública distribuida entre los controladores de dominio que la admiten, y reduce el volumen de autenticación de contraseña y certificado de confianza en todos los controladores de dominios
  • Sin embargo, la actualización de clientes a Windows Hello para empresas no afecta a la distribución de la autenticación; solamente al volumen de autenticación.

Lo anterior es un ejemplo para mostrar por qué es poco realista usar un número del tipo "una talla sirve para todos" para describir lo que significa "una cantidad adecuada". En el mundo real, la autenticación no se distribuye uniformemente entre los controladores de dominio.

Determinación de la carga total de solicitudes AS.

Cada organización debe tener una línea base de la carga de solicitudes AS que se produce en su entorno. Windows Server proporciona el contador de rendimiento de solicitudes KDC AS, que te ayudará a determinar esto.

Elige un sitio donde pienses actualizar los clientes a clave de confianza pública de Windows Hello para empresas. Elige un momento en el que el tráfico de autenticación sea más importante: el lunes por la mañana es un gran momento, dado que todo el mundo vuelve a la oficina. Habilita el contador de rendimiento en todos los controladores de dominio de ese sitio. Recopila los contadores de rendimiento de las solicitudes KDC AS durante dos horas:

  • Media hora antes de cuando esperes que la autenticación inicial (inicios de sesión y desbloqueos) sea significativa
  • La hora en la que crees que la autenticación inicial será significativa
  • Y la media hora después de cuando esperes que la autenticación inicial será significativa

Por ejemplo, si los empleados se programan para entrar en la oficina a las 9:00a.m. La captura del rendimiento debería empezar a las 8:30a.m. y terminar a las 10:30a.m. Asegúrate de que los registros de rendimiento no envuelven los datos. Quieres ver la tendencia ascendente, el pico y la tendencia descendente de la autenticación.

Nota

Para capturar todo el tráfico de autenticación. Asegúrate de que todos los ordenadores estén apagados para obtener la información de autenticación más precisa (los ordenadores y los servicios se autentican en el primer encendido: debes tener en cuenta esta autenticación en la evaluación).

Agrega los datos de rendimiento de todos los controladores de dominio. Busca el máximo de solicitudes KDC AS para cada controlador de dominio. Busque la mediana de tiempo en que se produjo el número máximo de solicitudes para el sitio, que debe representar cuándo el sitio está experimentando la mayor cantidad de autenticación.

Agrega el número de autenticaciones para cada controlador de dominio en el tiempo medio. Ya tienes la autenticación total para el sitio durante un momento de pico. Con esta medida, puedes determinar la distribución de la autenticación entre los controladores de dominio en el sitio, dividiendo el número de autenticación del controlador de dominio en el tiempo medio entre la autenticación total. Multiplique el cociente por 10 para convertir la distribución en un porcentaje. Puedes validar tus cálculos comprobando que la suma de todas las distribuciones sea el 100 por cien.

Revisa la distribución de autenticación. Afortunadamente, ninguna de estas supera el 70 por ciento. Siempre es bueno reservar cierta capacidad para lo inesperado. Además, los propósitos principales de un controlador de dominio son proporcionar autenticación y controlar las operaciones de Active Directory. Identifica los controladores de dominio con distribuciones más bajas de autenticación como posibles candidatos para las actualizaciones iniciales de controladores de dominio, junto con una distribución razonable de clientes aprovisionados para Windows Hello para empresas.

Supervisión de autenticación

Con los mismos métodos descritos anteriormente, supervise la autenticación Kerberos después de actualizar un controlador de dominio y la primera fase de las implementaciones de Windows Hello para empresas. Anote la diferencia de autenticación antes y después de actualizar el controlador de dominio a Windows Server 2016 o una versión posterior. Esta variación es representativa de la autenticación resultante de la primera fase de los clientes de Windows Hello para empresas. Proporciona una línea base para su entorno en la que puede formar una instrucción como:

"Every n Windows Hello for Business clients results in x percentage of key-trust authentication."

Donde n es igual al número de clientes que cambió a Windows Hello para empresas y x es igual al porcentaje mayor de autenticación del controlador de dominio actualizado. Con esta información, puede aplicar las observaciones de actualizar los controladores de dominio y aumentar el número de clientes de Windows Hello para empresas para que la implementación sea adecuada.

Recuerde que el aumento del número de clientes cambia el volumen de autenticación distribuido entre los controladores de dominio de Windows Server 2016 o más recientes. Si solo hay un controlador de dominio de Windows Server 2016 o más reciente, no hay ninguna distribución y simplemente aumenta el volumen de autenticación del que es responsable ese controlador de dominio.

El aumento del número de controladores de dominio distribuye el volumen de autenticación, pero no lo cambia. Por lo tanto, a medida que agrega más controladores de dominio, la carga de la autenticación, de la que cada controlador de dominio es responsable, disminuye. Actualizar dos controladores de dominio cambia la distribución al 50 por ciento. Actualizar tres controladores de dominio cambia la distribución al 33 por ciento, y así sucesivamente.

Estrategia

La estrategia más sencilla que puedes emplear es actualizar un controlador de dominio y supervisar el controlador de dominio a medida que sigas enganchando nuevos clientes de clave de confianza de Windows Hello para empresas, hasta que llegue a un umbral del 70 u 80 por ciento.

A continuación, actualiza un segundo controlador de dominio. Supervisa la autenticación de ambos controladores de dominio para determinar cómo se distribuye la autenticación entre ellos. Introduce más clientes de Windows Hello para empresas mientras que supervisas la autenticación en los dos controladores de dominio actualizados. Una vez que lleguen a la capacidad designada del entorno, puede actualizar otro controlador de dominio.

Repite hasta que se complete la implementación para ese sitio. Ahora, supervisa la autenticación por todos los controladores de dominio, al igual que hiciste la primera de todas las veces. Determina la distribución de la autenticación para cada controlador de dominio. Identifica el porcentaje de distribución del que es responsable. Si un único controlador de dominio es responsable del 70 por ciento o más de la autenticación, puede interesarte considerar la posibilidad de agregar un controlador de dominio para reducir la distribución de volumen de autenticación.

Sin embargo, antes de considerar esto, asegúrese de que la alta carga de autenticación no es el resultado de aplicaciones y servicios en los que su configuración tiene un controlador de dominio configurado estáticamente. Agregar controladores de dominio no resolverá el problema de carga de autenticación adicional en este escenario. En su lugar, distribuye manualmente la autenticación a diferentes controladores de dominio, para todos los servicios o aplicaciones. Como alternativa, intenta simplemente usar el nombre de dominio en lugar de un controlador de dominio específico. Cada controlador de dominio tiene un registro registrado en DNS para el nombre de dominio, de manera que el DNS se asociará por turnos con cada consulta DNS. No es el mejor equilibrador de carga, pero es una alternativa mejor a las configuraciones de controladores de dominio estáticos, siempre que la configuración sea compatible con el servicio o aplicación.