域控制器的正确放置和站点注意事项
10/16/2017
本文内容
正确的站点定义对性能至关重要。 站点外客户端可能会遇到身份验证和查询性能不佳的问题。 此外,在客户端上引入 IPv6 后,请求可能来自 IPv4 或 IPv6 地址,Active Directory 需要为 IPv6 正确定义站点。 在配置 IPv6 和 IPv4 时,操作系统首选 IPv6。
从 Windows Server 2008 开始,域控制器会尝试使用名称解析执行反向查找,以确定客户端应加入的站点。 这可能会导致 ATQ 线程池耗尽,导致域控制器无响应。 适当的解决方法是正确定义 IPv6 的站点拓扑。 解决方法之一是优化名称解析基础结构,以快速响应域控制器请求。 有关详细信息,请参阅 Windows Server 2008 或 Windows Server 2008 R2域控制器延迟对 LDAP 或 Kerberos 请求的响应。
另一个需要考虑的方面是,为使用 RODC 的方案找到读/写 DCS。 某些操作需要访问可写域控制器,或者当可写域控制器足以满足Read-Only时面向可写域控制器。 优化这些方案将采取两种路径:
当使用域控制器时,Read-Only可写域控制器。 这需要更改应用程序代码。
可能需要可写域控制器的地方。 将读写域控制器放在中心位置,以最大程度地降低延迟。
有关详细信息,请参阅:
优化引荐
引用是域控制器未托管所查询分区副本时重定向 LDAP 查询的一种方法。 返回引荐时,它包含分区的可分辨名称、DNS 名称和端口号。 客户端使用此信息在托管分区的服务器上继续查询。 这是 DCLocator 方案,所有建议站点定义和域控制器放置都保留,但依赖于引荐的应用程序经常被忽略。 建议确保 AD 拓扑(包括站点定义和域控制器放置)正确反映客户端的需求。 此外,这可能包括在单个站点中具有来自多个域的域控制器、优化 DNS 设置或重新定位应用程序的站点。
信任的优化注意事项
在林内方案中,信任根据以下域层次结构进行处理:Grand-Child域 - 子域 - 林根域 - 子域 - Grand-Child > > > > 域。 这意味着,由于在信任层次结构中传输 DC 的身份验证请求的聚合,林根目录和每个父级的安全通道可能会过载。 当身份验证还必须传输影响上述流的高潜在链接时,这还可能会导致大型地理分散的活动目录中出现延迟。 重载可以在林间和下级信任方案中发生。 以下建议适用于所有方案:
正确优化 MaxConcurrentAPI 以支持跨安全通道的负载。 有关详细信息,请参阅如何使用 MaxConcurrentApi 设置对 NTLM 身份验证执行性能优化。
根据负载创建相应的快捷方式信任。
确保域中每个域控制器都能执行名称解析并与受信任域中的域控制器进行通信。
确保在信任时考虑区域注意事项。
尽可能启用 Kerberos,并尽量减少安全通道的使用,以降低遇到 MaxConcurrentAPI 瓶颈的风险。
跨域信任方案一直是许多客户的一个重点。 名称解析和连接问题(通常是防火墙导致)会导致信任域控制器上的资源耗尽,并影响所有客户端。 此外,经常被忽略的方案是优化对受信任的域控制器的访问。 确保此操作正常工作的关键方面如下:
确保受信任的域控制器使用的 DNS 和 WINS 名称解析可以解析受信任域的域控制器的准确列表。
静态添加的记录有一种趋势,即随着时间的推移,连接问题会过时且容易出现。 从长期来看,DNS 转发、动态 DNS 和合并 WINS/DNS 基础结构更具可维护性。
确保为客户端可能需要访问的环境中每个资源的转发区域和反向查找区域正确配置转发器、条件转发和辅助副本。 同样,这需要手动维护,并且容易过时。 基础结构的整合是理想选择。
信任域中的域控制器将尝试先在同一站点中的受信任域中查找域控制器,然后故障回复到通用定位符。
有关 DCLocator 工作原理详细信息,请参阅在最靠近的站点 中查找域控制器。
在受信任的域和受信任的域之间聚合站点名称,以反映同一位置中的域控制器。 确保子网和 IP 地址映射正确链接到两个林中的站点。 有关详细信息,请参阅跨 林信任的域定位符。
确保根据域控制器位置的 DCLocator 需求打开端口。 如果域之间存在防火墙,请确保为"所有信任"正确配置防火墙。 如果防火墙未打开,则受信任的域控制器仍将尝试访问受信任的域。 如果由于任何原因通信失败,则受信任的域控制器最终会将请求排除给受信任的域控制器。 但是,每个请求的这些时间过长可能需要几秒钟,如果传入请求量较高,则可能会耗尽信任域控制器上的网络端口。 如果应用程序 (在前台线程中运行请求,则客户端可能会等待域控制器超时,因为线程挂起,这可能会导致应用程序挂起) 。 有关详细信息,请参阅 如何为域和信任配置防火墙。
使用 DnsAvoidRegisterRecords 可消除性能不佳或延迟较高的域控制器(如附属站点中的域控制器)无法向通用定位器进行广告。 有关详细信息,请参阅如何优化驻留在客户端站点外部的域控制器或全局 目录的位置。
备注
客户端可以使用的域控制器数量实际限制为大约 50 个。 这些应该是站点最佳且容量最高的域控制器。
请考虑将受信任域和受信任的域中的域控制器置于同一物理位置。
对于所有信任方案,凭据根据身份验证请求中指定的域进行路由。 对 LookupAccountName 和 LsaLookupNames (以及其他 API 的查询也是如此,这些 API 只是最常用的) API。 当这些 API 的域参数被传递为 NULL 值时,域控制器将尝试查找在可用的每个受信任域中指定的帐户名称。
其他参考