Aggiornamenti dei componenti di Servizi directory

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Autore: Justin Turner, Senior Support Escalation Engineer del gruppo Windows

Nota

Questo contenuto è stato redatto da un ingegnere del Supporto tecnico Microsoft ed è destinato ad amministratori esperti e architetti di sistemi che desiderano una spiegazione tecnica delle funzionalità e delle soluzioni relative a Windows Server 2012 R2 più approfondita rispetto agli argomenti solitamente disponibili su TechNet. Non è stato tuttavia sottoposto agli stessi passaggi redazionali e, di conseguenza, per alcune lingue potrebbe essere meno accurato della documentazione che si trova in genere su TechNet.

Questa lezione illustra gli aggiornamenti del componente Servizi directory in Windows Server 2012 R2.

Contenuto dell'esercitazione

Spiegare i nuovi aggiornamenti del componente Servizi directory riportati di seguito:

Livelli di funzionalità di domini e foreste

Panoramica

La sezione fornisce una breve introduzione alle modifiche del livello funzionale del dominio e della foresta.

Nuova DFL e FFL

Con la versione rilasciata vengono resi disponibili nuovi livelli di funzionalità di dominio e foresta:

  • Livello funzionalità foresta: Windows Server 2012 R2

  • Livello funzionalità dominio: Windows Server 2012 R2

Il livello di funzionalità dominio di Windows Server 2012 R2 consente di supportare le seguenti funzioni:

  1. Protezioni sul lato controller di dominio per utenti protetti

    Gli utenti protetti che eseguono l'autenticazione a un dominio di Windows Server 2012 R2 non possono più:

    • Usare l'autenticazione NTLM

    • Usare suite di crittografia DES o RC4 nella preautenticazione Kerberos

    • Usare la delega vincolata o non vincolata

    • Rinnovare i ticket utente (TGT) oltre la durata iniziale di 4 ore.

  2. Authentication Policies

    Nuovi criteri di Active Directory basati su foresta che possono essere applicati agli account dei domini di Windows Server 2012 R2 per controllare quali host possono accedere da un account e applicare le condizioni di controllo di accesso per l'autenticazione ai servizi in esecuzione come account

  3. Authentication Policy Silos

    Nuovo oggetto di Active Directory basato su foresta, che può creare una relazione tra utente, servizio gestito e account computer da usare per classificare gli account per i criteri di autenticazione o per l'isolamento dell'autenticazione.

Vedere Come configurare gli account protetti per ulteriori informazioni.

Oltre alle funzionalità precedenti, il livello di funzionalità dominio di Windows Server 2012 R2 garantisce che qualsiasi controller di dominio nel dominio esegua Windows Server 2012 R2. Il livello di funzionalità foresta di Windows Server 2012 R2 non fornisce tutte le nuove funzionalità, ma garantisce che ogni nuovo dominio creato nella foresta venga automaticamente utilizzato a livello funzionale di dominio di Windows Server 2012 R2.

DFL minimo applicato alla creazione di un nuovo dominio

Windows Server 2008 DFL è il livello funzionale minimo supportato per la creazione di un nuovo dominio.

Nota

La deprecazione di FRS viene eseguita rimuovendo la possibilità di installare un nuovo dominio con un livello funzionale di dominio inferiore a Windows Server 2008 con Server Manager o tramite Windows PowerShell.

Riduzione dei livelli di funzionalità foresta e dominio

Quando si creano nuove foreste e nuovi domini, i livelli di funzionalità foresta e dominio sono settati su Windows Server 2012 R2 per impostazione predefinita, ma tali criteri possono essere regolati verso il basso utilizzando Windows PowerShell.

Per aumentare o abbassare il livello di funzionalità foresta tramite Windows PowerShell, usare il cmdlet Set-ADForestMode.

Per impostare la FFL contoso.com su modalità Windows Server 2008:

Set-ADForestMode -ForestMode Windows2008Forest -Identity contoso.com

Per aumentare o abbassare il livello di funzionalità dominio tramite Windows PowerShell, usare il cmdlet Set-ADDomainMode.

Per impostare la DFL contoso.com su modalità Windows Server 2008:

Set-ADDomainMode -DomainMode Windows2008Domain -Identity contoso.com

Promozione di un controller di dominio (DC) che esegue Windows Server 2012 R2 come replica aggiuntiva in un dominio esistente che esegue le attività 2003 DFL.

Creazione di un nuovo dominio in una foresta esistente

Screenshot that shows the Domain Controller Options page.

ADPREP

In questa versione non sono presenti nuove operazioni foresta o dominio.

Questi file con estensione .ldf contengono modifiche dello schema per il Servizio registrazione dispositivi.

  1. Sch59

  2. Sch61

  3. Sch62

  4. Sch63

  5. Sch64

  6. Sch65

  7. Sch67

Cartelle di lavoro:

  1. Sch66

MSODS:

  1. Sch60

Criteri di autenticazione e silo

  1. Sch68

  2. Sch69

Elementi deprecati di NTFRS

Panoramica

Funzionalità rimosse (FRS) è stato deprecato in Windows Server 2012 R2. La deprecazione di FRS viene eseguita applicando un livello di funzionalità di dominio minimo (DFL) di Windows Server 2008. Tale imposizione è presente solo se il nuovo dominio viene creato tramite Server Manager o Windows PowerShell.

Usare il parametro -DomainMode con i cmdlet Install-ADDSForest o Install-ADDSDomain per specificare il livello di funzionalità del dominio. I valori supportati per questo parametro possono essere un numero intero valido o un valore stringa enumerato corrispondente. Ad esempio, per impostare il livello della modalità di dominio su Windows Server 2008 R2, è possibile specificare il valore 4 oppure "Win2008R2". Quando si eseguono questi cmdlet da Server 2012 R2, i valori validi comprendono quelli per Windows Server 2008 (3, Win2008) Windows Server 2008 R2 (4, Win2008R2) Windows Server 2012 (5, Win2012) e Windows Server 2012 R2 (6, Win2012R2). Il livello di funzionalità del dominio non può essere inferiore al livello di funzionalità della foresta, ma può essere superiore. Stante la deprecazione di FRS in questa versione, Windows Server 2003 (2, Win2003) non è un parametro riconosciuto con questi cmdlet nel momento in cui vengono eseguiti da Windows Server 2012 R2.

Screenshot of a terminal window that shows the -DomainMode parameter used with the Install-ADDSForest cmdlet.

Screenshot of a terminal window that shows how to use the Install-ADDSForest cmdlet.

Modifiche a Query Optimizer LDAP

Panoramica

L'algoritmo di Query Optimizer LDAP è stato rivalutato e ottimizzato ulteriormente. Ciò ha prodotto miglioramenti delle prestazioni nell'efficienza della ricerca LDAP e nei tempi di ricerca LDAP delle query complesse.

Nota

Dal Developer:miglioramenti delle prestazioni delle ricerche tramite i perfezionamenti apportati al mapping dalla query LDAP alla query ESE. I filtri LDAP oltre un determinato livello di complessità impediscono la selezione ottimizzata degli indici, con conseguente riduzione drastica delle prestazioni (1000x o più). Questa modifica cambia il modo in cui si selezionano gli indici per le query LDAP al fine di evitare il problema.

Nota

Revisione completa dell'algoritmo di Query Optimizer LDAP, il che ha portato a:

  • Tempi di ricerca più veloci
  • DC più produttivi a seguito dei miglioramenti in termini di efficienza
  • Meno chiamate di supporto legate a problemi prestazionali di Active Directory
  • Adattamento a Windows Server 2008 R2 (KB 2862304)

Background

La possibilità di eseguire ricerche in Active Directory è un servizio di base fornito dai controller di dominio. Altri servizi e applicazioni line-of-business si basano sulle ricerche di Active Directory. Le operazioni aziendali possono interrompersi se questa funzionalità non è disponibile. Essendo un servizio di base molto usato, è fondamentale che i controller di dominio gestiscano il traffico di ricerca LDAP in modo efficiente. L'algoritmo di Query Optimizer LDAP tenta di rendere le ricerche LDAP più efficienti possibile eseguendo il mapping dei filtri di ricerca LDAP per un set di risultati che può essere soddisfatto tramite record già indicizzati nel database. Questo algoritmo è stato rivalutato e ottimizzato ulteriormente. Ciò ha prodotto miglioramenti delle prestazioni nell'efficienza della ricerca LDAP e nei tempi di ricerca LDAP delle query complesse.

Dettagli della modifica

Una ricerca LDAP contiene:

  • Posizione (head NC, OU, Oggetto) all'interno della gerarchia per iniziare la ricerca

  • Un filtro di ricerca

  • Un elenco degli attributi da restituire

Il processo di ricerca può essere così riassunto:

  1. Se possibile, semplificare il filtro di ricerca.

  2. Selezionare un set di chiavi di indice che restituirà il set interessato più piccolo.

  3. Eseguire una o più intersezioni di chiavi di indice per ridurre il set interessato.

  4. Per ogni record nel set interessato, valutare espressione del filtro e sicurezza. Se il filtro restituisce TRUE e viene concesso l'accesso, restituire il record al client.

Il lavoro di ottimizzazione query LDAP modifica i passaggi 2 e 3 per ridurre le dimensioni del set interessato. In particolare, l'implementazione corrente seleziona chiavi di indice duplicate ed esegue intersezioni ridondanti.

Confronto tra l’algoritmo precedente e quello nuovo

La destinazione della ricerca LDAP inefficiente riportata in questo esempio è un controller di dominio di Windows Server 2012. La ricerca viene completata in circa 44 secondi in seguito alla mancata individuazione di un indice più efficiente.

adfind -b dc=blue,dc=contoso,dc=com -f "(| (& (|(cn=justintu) (postalcode=80304) (userprincipalname=justintu@blue.contoso.com)) (|(objectclass=person) (cn=justintu)) ) (&(cn=justintu)(objectclass=person)))" -stats >>adfind.txt

Using server: WINSRV-DC1.blue.contoso.com:389

<removed search results>

Statistics
=====
Elapsed Time: 44640 (ms)
Returned 324 entries of 553896 visited - (0.06%)

Used Filter:
 ( |  ( &  ( |  (cn=justintu)  (postalCode=80304)  (userPrincipalName=justintu@blue.contoso.com) )  ( |  (objectClass=person)  (cn=justintu) ) )  ( &  (cn=justintu)  (objectClass=person) ) )

Used Indices:
 DNT_index:516615:N

Pages Referenced          : 4619650
Pages Read From Disk      : 973
Pages Pre-read From Disk  : 180898
Pages Dirtied             : 0
Pages Re-Dirtied          : 0
Log Records Generated     : 0
Log Record Bytes Generated: 0

Risultati di esempio che utilizzano il nuovo algoritmo

In questo esempio viene ripetuta la stessa ricerca precedente, ma la stessa è destinata a un controller di dominio Windows Server 2012 R2. La stessa ricerca viene completata in meno di un secondo a seguito dei miglioramenti apportati all'algoritmo di Query Optimizer LDAP.

adfind -b dc=blue,dc=contoso,dc=com -f "(| (& (|(cn=justintu) (postalcode=80304) (userprincipalname=dhunt@blue.contoso.com)) (|(objectclass=person) (cn=justintu)) ) (&(cn=justintu)(objectclass=person)))" -stats >>adfindBLUE.txt

Using server: winblueDC1.blue.contoso.com:389

.<removed search results>

Statistics
=====
Elapsed Time: 672 (ms)
Returned 324 entries of 648 visited - (50.00%)

Used Filter:
 ( |  ( &  ( |  (cn=justintu)  (postalCode=80304)  (userPrincipalName=justintu@blue.contoso.com) )  ( |  (objectClass=person)  (cn=justintu) ) )  ( &  (cn=justintu)  (objectClass=person) ) )

Used Indices:
 idx_userPrincipalName:648:N
 idx_postalCode:323:N
 idx_cn:1:N

Pages Referenced          : 15350
Pages Read From Disk      : 176
Pages Pre-read From Disk  : 2
Pages Dirtied             : 0
Pages Re-Dirtied          : 0
Log Records Generated     : 0
Log Record Bytes Generated: 0

  • Se non è possibile ottimizzare l'albero:

    • Ad esempio: un'espressione nell'albero si trova su una colonna non indicizzata

    • Registrare un elenco di indici che impediscono l'ottimizzazione

    • Esposto tramite traccia ETW e ID evento 1644

      Screenshot that highlights the Attributes Preventing Optimization value.

Per abilitare il controllo Stats in LDP

  1. Aprire LDP.exe e connettersi e associare a un controller di dominio.

  2. Scegliere Controlli dal menu Opzioni.

  3. Nella finestra di dialogo Controlli espandere il menu a discesa Carica predefinito, selezionare Statistiche di ricerca, quindi fare clic suOK.

    Screenshot that highlights the Load Predefined list.

  4. Nel menu Sfoglia, selezionare Cerca

  5. Nella finestra di dialogo Cerca, selezionare il pulsante Opzioni.

  6. Verificare che la casella di controllo Estesa sia selezionata nella finestra di dialogo Opzioni di ricerca e selezionare OK.

    Screenshot that highlights the the Extended option.

Provare a usare LDP per restituire le statistiche delle query

Eseguire le operazioni seguenti in un controller di dominio o da un client o un server aggiunto a un dominio in cui sono installati gli strumenti di Active Directory Domain Services. Ripetere quanto segue, inserendo come destinazione il controller di dominio Windows Server 2012 e il controller di dominio Windows Server 2012 R2.

  1. Vedere l'articolo "Creating More Efficient Microsoft AD Enabled Applications" (Creazione di applicazioni abilitate per Microsoft AD più efficienti) e farvi riferimento a esso in base alle esigenze.

  2. Usando LDP, abilitare le statistiche di ricerca (vedere Per abilitare il controllo Statistiche in LDP)

  3. Eseguire diverse ricerche LDAP e osservare le informazioni statistiche nella parte superiore dei risultati. Ripetere la stessa ricerca in altre attività in modo da documentarle in un file di testo del Blocco note.

  4. Eseguire una ricerca LDAP che Query Optimizer deve essere in grado di ottimizzare per via di indici di attributi

  5. Tentare di costruire una ricerca che richieda molto tempo per essere completata (è consigliabile aumentare l'opzione Limite di tempo in modo che la ricerca non vada in timeout).

Risorse aggiuntive

Che cosa sono le ricerche di Active Directory?

Funzionamento delle ricerche di Active Directory

Creazione di applicazioni abilitate per Microsoft Active Directory più efficienti

951581 Le query LDAP vengono eseguite più lentamente del previsto nel servizio directory AD o LDS/ADAM ed è possibile registrare l'ID evento 1644

Miglioramenti dell'evento 1644

Panoramica

Questo aggiornamento aggiunge altre statistiche dei risultati della ricerca LDAP all'ID evento 1644 per facilitare la risoluzione dei problemi. Inoltre, è disponibile un nuovo valore del Registro di sistema che può essere utilizzato per abilitare la registrazione di una soglia basata sul tempo. Questi miglioramenti sono stati resi disponibili in Windows Server 2012 e Windows Server 2008 R2 SP1 tramite KB 2800945 e saranno resi disponibili per Windows Server 2008 SP2.

Nota

  • Altre statistiche di ricerca LDAP vengono aggiunte all'ID evento 1644 per facilitare la risoluzione dei problemi di ricerche LDAP inefficienti o costose
  • È ora possibile specificare una soglia di tempo di ricerca, ad esempio Registrare l'evento 1644 per le ricerche che richiedono più di 100 ms, anziché specificare i valori soglia dei risultati di ricerca costosi e inefficienti

Background

Durante la risoluzione dei problemi di prestazioni di Active Directory, è evidente che l'attività di ricerca LDAP potrebbe contribuire al problema. Si decide di abilitare la registrazione in modo da visualizzare query LDAP costose o inefficienti elaborate dal controller di dominio. Per abilitare la registrazione, è necessario impostare il valore di diagnostica Field Engineering e, facoltativamente, specificare i valori di soglia dei risultati della ricerca costosi/inefficienti. Quando si abilita il livello di registrazione Field Engineering su un valore pari a 5, qualsiasi ricerca che soddisfi talii criteri viene registrata nel registro eventi di Servizi directory con un ID evento 1644.

L'evento contiene:

  • IP client e porta

  • Nodo iniziale

  • Filtro

  • Ambito di ricerca

  • Selezione attributi

  • Controlli server

  • Voci visitate

  • Voci restituite

Tuttavia, i dati chiave non sono presenti nell'evento, come la quantità di tempo impiegato per l'operazione di ricerca e quale indice (se presente) è stato usato.

Altre statistiche di ricerca aggiunte all'evento 1644

  • Indici usati

  • Pagine a cui si fa riferimento

  • Pagine lette dal disco

  • Pagine prelette dal disco

  • Pagine pulite modificate

  • Pagine dirty modificate

  • Tempo di ricerca

  • Attributi che impediscono l'ottimizzazione

Nuovo valore soglia del Registro di sistema basato sul tempo per la registrazione dell'evento 1644

Anziché specificare i valori soglia dei risultati di ricerca costosi e inefficienti, è possibile specificare la soglia del tempo di ricerca. Se si desidera registrare tutti i risultati della ricerca che hanno richiesto 50 ms o un tempo superiore, è necessario specificare 50 decimale / 32 esadecimale (oltre a impostare il valore di Field Engineering).

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Search Time Threshold (msecs)"=dword:00000032

Confronto tra l'ID evento 1644 precedente e quello nuovo

OLD

Screenshot that shows the old event ID 1664.

Nuovo…

directory services updates

Provare a usare il registro eventi per restituire le statistiche della query

  1. Ripetere quanto segue, inserendo come destinazione il controller di dominio Windows Server 2012 e il controller di dominio Windows Server 2012 R2. Osservare l'ID evento 1644 in entrambi i controller di dominio dopo ogni ricerca.

  2. Usando regedit, abilitare la registrazione dell'ID evento 1644 usando una soglia basata sul tempo nel controller di dominio Windows Server 2012 R2 e il metodo precedente nel controller di dominio di Windows Server 2012.

  3. Eseguire diverse ricerche LDAP che superano la soglia e osservare le informazioni statistiche nella parte superiore dei risultati. Usare le query LDAP documentate in precedenza e ripetere le stesse ricerche.

  4. Eseguire una ricerca LDAP che Query Optimizer non è in grado di ottimizzare perché uno o più attributi non sono indicizzati.

Miglioramento della velocità effettiva della Replica di Active Directory

Panoramica

La replica di Active Directory usa Replica di Active Directory (RPC) per il trasporto di replica. Per impostazione predefinita, RPC usa un buffer di trasmissione 8K e una dimensione di pacchetto 5K. Questo ha l'effetto netto laddove l'istanza di invio trasmette tre pacchetti (circa 15.000K di dati) e quindi deve attendere un round trip di rete prima di inviarne altri. Supponendo un tempo di round trip di 3 ms, la velocità effettiva più elevata sarebbe di circa 40 Mbps, anche su reti da 1 Gbps o da 10 Gbps.

Nota

  • Ciò regola la velocità effettiva massima della replica AD facendola passare da 40 Mbps a circa 600 Mbps.

    • Aumenta la dimensione del buffer di invio RPC, riducendo il numero di round trip di rete

  • L'effetto sarà più evidente su una rete ad alta velocità e latenza.

Questo aggiornamento aumenta la velocità effettiva massima a circa 600 Mbps, modificando le dimensioni del buffer di trasmissione RPC da 8K a 256 kB. Tale modifica consente di aumentare le dimensioni della finestra TCP oltre 8K, riducendo il numero di round trip di rete.

Nota

Non sono presenti impostazioni configurabili per la modifica di questo comportamento.

Risorse aggiuntive

Funzionamento del modello di replica di Active Directory