Archive

Posts Tagged ‘AD’

Limites do Active Directory

August 15th, 2011 No comments

Número máximo de objetos

Cada controlador de domínio em uma floresta AD pode criar um pouco menos de 2,15 bilhões de objetos durante sua vida.
Cada controlador de domínio AD tem um identificador único que é específico a esse controlador de domínio particular. Esses identificadores, que são chamados "Tags Distinguished Name (DNTS), não são replicados ou visível a outros DC. O intervalo de valores para DNTS é de 0 a 2147483393 (2 31 menos 255). Para cada objeto criado no DC, um único valor é usado. A DNT não é reutilizado quando um objeto é comparado, de modo que DC têm a limitação de criação de aprox. 2000 milhões de objetos (incluindo objetos que foram criados através de replicação). Este limite aplica-se à soma de todos os objetos de todas as partições (Domain NC, esquema de configuração, e qualquer outra partição de diretório de aplicativos.
Quando você chegar ao limite de DNT ao nível do banco de dados, ocorre o seguinte erro:
"Erro: Add: Erro de Operações. <1> Erro de servidor: 000020EF: SvcErr: DSID-0208044C,
problema 5012 (DIR_ERROR), os dados -1076 ".

Número máximo de identificadores de segurança

Há um limite de aprox. 1000000000 identificadores de segurança (SIDs) para a vida de um
domínio. Este limite é devido ao tamanho do conjunto de identificação relativa Global (RID) de 30 bits para criar cada SID (esta é atribuída a contas de usuários, computadores e grupos) em um único domínio. O limite atual é de 2 30 ou 1073741824 RIDs.

Participações no grupo de entidades de segurança

Os objetos de segurança (contas de usuário, grupos e computadores) podem ser membros de no máximo 1015 grupos. Esta limitação é devido ao limite de tamanho para o token de acesso que é criado para cada entidade de segurança.

Limitações comprimento – FQDN

O nome de domínio totalmente qualificado (nomes de domínio totalmente qualificado – FQDNs)
no AD não pode exceder 64 caracteres de comprimento, incluindo traços (-) e ponto (.). Por
exemplo, o nome do host que se segue é 65 caracteres, portanto, não válido em AD:
server10.branch-15.southaz.westernregion.northamerica.contoso.com

Limitações comprimento – Unidades Organizacionais

O comprimento máximo do nome para uma unidade organizacional (OU) é de 64 caracteres. Essa limitação impede que um nome de OU passe o limite de 260 caracteres no sistema de arquivos na construção de rotas UNC (Universal Naming Convention) para a Diretiva de Grupo.

Número máximo de aplicação do GPO

Limite de GPO que se aplicam a uma conta de usuário ou computador é de 999. Isso não significa que o número total de GPO no sistema é de 999, isso significa que uma única conta de usuário ou computador não consegue processar mais de 999 GPO. Este limite existe por razões de desempenho.

Número máximo de contas de operações LDAP

Quando você escreve scripts ou aplicações que executam transações LDAP, é aconselhável não mais de 5.000 operações por transação LDAP (como adicionar, modificar e apagar). Se mais de 5.000 operações em uma única transação LDAP, está em risco de ficar sem recursos e da ocorrência de um timeout, se isso acontecer, haverá um retrocesso de toda a operação
(alterações, acréscimos e modificações) de que a transação.

Número máximo recomendado de domínios em uma floresta
Para o Windows Server 2000, o valor recomendado é de 800 domínios.
Para o Windows Server 2003, o valor recomendado quando o nível funcional do Windows Server 2003 é 1200 domínios.

Número máximo de controladores de domínio em um domínio

Devido o FRS (File Replication Service) ser usado para replicar SYSVOL em um domínio Windows Server 2003, é recomendado um limite de 1200 controladores de domínio por domínio para garantir a recuperação constante do SYSVOL.

Mais informações:
Máxima do Active Directory Limites

 

Artigo Original:
http://geeks.ms/blogs/eliasmereb/archive/2008/05/11/limites-m-225-ximos-de-active-directory.aspx

Share

Post to Twitter

Importando usuários com o CSVDE

August 9th, 2011 No comments

Objetivo: Utilizar a ferramenta de linha de comando CSVDE para fazer a importação dos objetos usuários do Active Directory 

CSVDE é uma ferramenta de linha comando que importa e exporta objetos do Active Directory de ou para um arquivo de texto delimitado por vírgula (também conhecido como arquivos de texto com valores separados por virgula, ou arquivo .csv). Os arquivos dilimitados por vírgula podem ser criados, modificados e abertos com ferramentas familiares como o Notepad e o Microsoft Office Excel. Se houver informações sobre usuários nos bando de dados Excel ou Microsoft Office Access existentes, você descobrirá que o CSVDE é uma maneira poderosa de tirar proveito dessas informações para automatizar a criação de contas de usuários.

A sintaxe básica do comando CSVDE é:

csvde [-i] [-f Filename] [-k]

O parâmetro i especifica o modo de importação: sem ele, o modo padrão do csvde é de exportação. O parâmetro -f identifica o nome do arquivo a importar ou exportar. O parâmetro -k é útil durante as operações de importação porque ele instrui o csvde a ignorar erros que incluem Object Already Exists,Constraint Violation e Attribute Already Exists.

O próprio arquivo de importação é um arquivo de texto delimitado po virgula (.csv ou .txt ) no qual a primeira linha define os atributos importados pelos nomes e atributos do LDAP. Cada objeto que vem em seguida, um por linha, deve conter exatamente os atributos listados na primeira linha. Eis o arquivo de exemplo:

DN,objectClass,sAMAccountName,givenName,sn,userPrincipalName
“cn=Flavio Honda, ou=CPD,dc=microsoft,dc=com”, user,flavio.honda,
Flavio,Honda,flavio.honda@microsoft.com

Esse arquivo quando importado pelo comando CSVDE, criará um objeto usuário para Flavio Honda na OU CPD.Os nomes de logon do usuário,primeiro nome e sobrenome, são configurados pelo arquivo.Você não pode utilizar o CSVDE para importar senhas,e, sem uma senha a conta do usuário permanecerá desabilitada inicialmente. Depois de redefinir a senha, você pode habilitar o objeto.

Até a próxima,

Flávio Honda

http://flaviohonda.wordpress.com

Share

Post to Twitter

Categories: Active Directory Tags: ,

Utilizando a ferramenta Ntdsutil para capturar o Sytem State

August 3rd, 2011 No comments

Objetivo: Nesse artigo iremos copiar a base de dados do AD DS com a ferramenta Ntdsutil.exe.
Iremos fazer um backup de dados do diretorio ntds.dit, para futuramente utilizar essa base de dados para criar um novo Dc a partir desses dados de backup, isso trás um grande beneficio visto que irá reduzir a quantidade de replicação do Dc.

1- Efetuar logon no servidor com conta de adminsitrador
2-criar uma pasta chamada bkp na unidade c.
3-iniciar o prompt de comando elevado clicando com o botao direito do mouse em command prompt no menu iniciar e escolhendo Run As Administrador.
4- Digite os seguinte comandos:
ntdsutil
activate isntance NTDS
ifm
create sysvol full c:bkp

o sistema deve exibir uma mensagem de Creando Instantaneo enquanto a operaçaõ estiver em andamento e listar uam serie de outras informaçõpes a medida que conclui a operação.
Note que o sistema desfragmenta o instantaneo recem capturado;

5-quit
quit

Pronto seus dados foram copiados para a pasta c:bkp

Para fazer uma futura instalação através da base de dados compartilhe a pasta bkp e de permissão ao grupo como contribuidor.

Assim você já podera utilizar esses dados para criar um novo DC através da isntalação IFM(install from media)

Até a proxima,

Flavio Honda
http://flaviohonda.wordpress.com

Share

Post to Twitter