Active Directory

Limites do Active Directory

Número máximo de objetos

Cada controlador de domínio em uma floresta AD pode criar um pouco menos de 2,15 bilhões de objetos durante sua vida.
Cada controlador de domínio AD tem um identificador único que é específico a esse controlador de domínio particular. Esses identificadores, que são chamados "Tags Distinguished Name (DNTS), não são replicados ou visível a outros DC. O intervalo de valores para DNTS é de 0 a 2147483393 (2 31 menos 255). Para cada objeto criado no DC, um único valor é usado. A DNT não é reutilizado quando um objeto é comparado, de modo que DC têm a limitação de criação de aprox. 2000 milhões de objetos (incluindo objetos que foram criados através de replicação). Este limite aplica-se à soma de todos os objetos de todas as partições (Domain NC, esquema de configuração, e qualquer outra partição de diretório de aplicativos.
Quando você chegar ao limite de DNT ao nível do banco de dados, ocorre o seguinte erro:
"Erro: Add: Erro de Operações. <1> Erro de servidor: 000020EF: SvcErr: DSID-0208044C,
problema 5012 (DIR_ERROR), os dados -1076 ".

Número máximo de identificadores de segurança

Há um limite de aprox. 1000000000 identificadores de segurança (SIDs) para a vida de um
domínio. Este limite é devido ao tamanho do conjunto de identificação relativa Global (RID) de 30 bits para criar cada SID (esta é atribuída a contas de usuários, computadores e grupos) em um único domínio. O limite atual é de 2 30 ou 1073741824 RIDs.

Participações no grupo de entidades de segurança

Os objetos de segurança (contas de usuário, grupos e computadores) podem ser membros de no máximo 1015 grupos. Esta limitação é devido ao limite de tamanho para o token de acesso que é criado para cada entidade de segurança.

Limitações comprimento – FQDN

O nome de domínio totalmente qualificado (nomes de domínio totalmente qualificado – FQDNs)
no AD não pode exceder 64 caracteres de comprimento, incluindo traços (-) e ponto (.). Por
exemplo, o nome do host que se segue é 65 caracteres, portanto, não válido em AD:
server10.branch-15.southaz.westernregion.northamerica.contoso.com

Limitações comprimento – Unidades Organizacionais

O comprimento máximo do nome para uma unidade organizacional (OU) é de 64 caracteres. Essa limitação impede que um nome de OU passe o limite de 260 caracteres no sistema de arquivos na construção de rotas UNC (Universal Naming Convention) para a Diretiva de Grupo.

Número máximo de aplicação do GPO

Limite de GPO que se aplicam a uma conta de usuário ou computador é de 999. Isso não significa que o número total de GPO no sistema é de 999, isso significa que uma única conta de usuário ou computador não consegue processar mais de 999 GPO. Este limite existe por razões de desempenho.

Número máximo de contas de operações LDAP

Quando você escreve scripts ou aplicações que executam transações LDAP, é aconselhável não mais de 5.000 operações por transação LDAP (como adicionar, modificar e apagar). Se mais de 5.000 operações em uma única transação LDAP, está em risco de ficar sem recursos e da ocorrência de um timeout, se isso acontecer, haverá um retrocesso de toda a operação
(alterações, acréscimos e modificações) de que a transação.

Número máximo recomendado de domínios em uma floresta
Para o Windows Server 2000, o valor recomendado é de 800 domínios.
Para o Windows Server 2003, o valor recomendado quando o nível funcional do Windows Server 2003 é 1200 domínios.

Número máximo de controladores de domínio em um domínio

Devido o FRS (File Replication Service) ser usado para replicar SYSVOL em um domínio Windows Server 2003, é recomendado um limite de 1200 controladores de domínio por domínio para garantir a recuperação constante do SYSVOL.

Mais informações:
Máxima do Active Directory Limites

 

Artigo Original:
http://geeks.ms/blogs/eliasmereb/archive/2008/05/11/limites-m-225-ximos-de-active-directory.aspx

Share

Post to Twitter

Mais uma maneira de importar dados em massa para o Active Directory

Introdução

Muitas vezes existe a necessidade de cadastrar diversas informações em objetos de usuário no Active Directory, como por exemplo, todos os ramais de cada usuário do domínio.

Importando os dados

Existe  uma maneira muito prática de fazer isso. Solicite ao RH que envie o nome do usuário e o ramal, formate a lista de acordo com o seguinte exemplo:

“Usuario 1”;”55 11 9999 9001”
“Usuario 2”;”55 11 9999 9002”
”Usuario 3”;”55 11 9999 9003”

Salve a lista no arquivo usuarios.txt. Depois crie o arquivo usuarios.bat com a seguinte linha:

for /F “tokens=1,2 delims=;” %%A IN (usuarios.txt) DO dsquery user –name %%A | dsmod user –tel %%B

Note que você fará um for, pegando os tokens 1 e 2 (primeira e segunda coluna), o que determina a divisão das colunas é ; (delims:;). Em cada linha, ele executará (DO) o dsquery para procurar o usuário no AD (-name %%A), note que a variável %%G é tudo que estiver na 1° coluna do .txt, depois usamos o pipe para pegar a saída do dsquery, e alterar o telefone com a variável da segunda coluna/token (-tel %%B).

Vamos para outro exemplo. Você precisa indicar além do ramal, o cargo:

usuarios.txt:

“Usuario 1”;”55 11 9999 9001”;”Analista de recursos humanos”
“Usuario 2”;”55 11 9999 9002”;”Técnico em contabilidade”
”Usuario 3”;”55 11 9999 9003”;”Analista de compras”

usuarios.bat:

for /F “tokens=1,2,3 delims=;” %%A IN (usuarios.txt) DO dsquery user –name %%A | dsmod user –tel %%B –title %%C

Note que criamos mais um token (tokens=1,2,3), e no final do comando, inserimos o parâmetro –title (cargo) usando o próximo token (-title %%C). Note também que os tokens seguem ordem alfabética, você pode utilizar até 26.

Um detalhe, poderiamos utilizar o “dsmod user” para alterar os usuários diretamente sem pesquisar com o “dsquery user”, porém perderiamos um pouco o dinâmismo, já que para indicar qual usuário alterar diretamente no dsmod, teriamos que indicar através da convenção LDAP:

dsmod user “cn=Usuario 1,ou=notebooks,ou=usuarios,dc=dominio,dc=corp” –tel “55 11 9999 9001” –title “Analista de recursos humanos”

Perceba que seria um problema utilizar somente uma linha de .bat para alterar usuários em diferentes OUs. Por exemplo, você armazena usuários de notebooks em uma OU diferente dos usuários de desktops. Usando o dsquery para indicar o usuário, você simplesmente aponta o displayName, que normalmente é único no domínio, e poderá efetuar alterações utilizando apenas uma linha de .bat para todo o domínio, e se quiser, ainda pode utilizar o –filter no dsquery para alterar em todos os domínio de toda uma floresta, apenas com uma linha de .bat.

Conclusão

Foi possível, com este procedimento, efetuar a inclusão de dados em massa para diversos usuário, e o esforço maior provavelmente é a obtenção das listas com os dados desejados. Importante destacar a necessidade de ter a lista com pelo menos uma infomação única para usar como identificador de cada usuário. Lembrando que outra alternativa para este procedimento é o csvde. Acredito que não haja dificuldades maiores entre um e outro, são apenas procedimentos diferentes para um mesmo objetivo.

Smiley piscando

Share

Post to Twitter

Utilizando a ferramenta Klist para deletar tickets Kerberos que estão em cache

Como já sabemos, o protocolo Kerberos é o principal protocolo de autenticação utilizado em domínios do AD, algumas vezes podemos encontrar problemas relacionados com os tickets Kerberos distribuídos na rede.

A Microsoft disponibiliza uma ferramenta de linha de comando chamada “Klist.exe” que faz parte do resource kit do Windows Server. Utilizamos essa ferramenta principalmente para deletar tickets Kerberos que estão em cache e suspeitamos de problemas com esse ticket.

Para utilizar essa ferramenta precisamos primeiro fazer o download do resource kit do Windows Server, e instalar no Servidor. Após ter instalado o resource kit, vá em iniciar > todos os programas > Windows Resources Kit Tools > selecione command shell, isso irá abrir o prompt de command.

Agora basta digitar > klist purge, ele irá mostrar quantos tickets estão em cache, para deletar digite “y” para cada ticket.

Use esse comando com cautela, pois após deletar um ticket a máquina pode não conseguir se autenticar para os recursos, se isso acontecer faça um logoff e logon.

[]´s

Diogo Molina

Share

Post to Twitter

Utilizando a ferramenta Kerbtray para verificar os tickets Kerberos

O protocolo Kerberos é utilizado para fazer autenticação de clientes e Servidores ou de Servidores para Servidores. O AD utiliza por padrão o protocolo Kerberos para fazer a autenticação, segue link que explica como o Kerberos trabalha:

http://technet.microsoft.com/pt-br/library/cc780469(WS.10).aspx

As vezes temos alguns problemas relacionados com os tickets Kerberos, para identificarmos os problemas do protocolo Kerberos a Microsoft disponibiliza algumas ferramentas para ajudar na identificação e resolução do problema.

Nesse artigo vou falar da ferramenta “Kerbtray”, utilizamos ela para verificar algumas informações sobre o tickets Kerberos, como por exemplo, quando o ticket irá expirar.

Antes de utilizar essa ferramenta, precisamos instalar o “resource kit do Windows Server”, para isso vá no site de downloads da Microsoft e faça o download e instalação do resource kit.

Após a instalação, vá no diretório de instalação do resource kit que por padrão esta localizado em > c:\Program Files\Windows Resource Kit\Tools, procure pelo arquivo “kerbtray.exe” clique duas vezes sobre o arquivo, isso irá abrir o kerberos tickets. Nessa janela temos informações sobre o ticket kerberos como o dia em que o ticket foi concedido, quando irá expirar, período de renovação, tipos de criptografia utilizados, etc.

Essa ferramenta é útil quando estamos suspeitando de erro com a distribuição de tickets kerberos, como por exemplo, se por algum motivo o ticket não está sendo renovado.`

Se ao abrir a janela do ticket kerberos a opção de “Client Principal” estiver com a frase “No Network Credentials”, provavelmente está com problema no protocolo Kerberos, verifique se o serviço do kerberos está iniciado.

Irei postar mais artigos com outras ferramentas que podemos utilizar para fazer o troubleshooting do protocolo Kerberos.

[]´s

Diogo Molina

Share

Post to Twitter