Limites Máximos de Active Directory

Leyendo mi muy amado TechCenter me he encontrado con un articulo muy interesante, donde se habla sobre las limitaciones de Active Directory.


 


Número Máximo de Objetos


Cada controlador de dominio en un bosque de AD puede crear un poco menos de 2.15 billones de objetos durante su tiempo de vida.


Cada controlador de dominio AD tiene un identificador único que es específicoa ese controlador de dominio en particular. Estos identificadores, los cuales son llamados «Distinguished Name Tags (DNTs) o en español etiquetas de nombre distinguidas, NO son replicadas o visibles para otros DC’s. El rango de valores para los DNTs es desde 0 hasta 2,147,483,393 (231 menos 255). Para cada objeto creado en el DC, un valor único es usado. Un DNT no es reusado cuando un objeto es borado, así que que los DC’s tienen la limitación de crear aprox. 2 billones de objetos (incluyendo objetos que han sido creados a través de replicación). Este limite aplica a la sumatoria de todos los objetos de todas las particiones (dominio NC, configuración, esquema y cualquier otra partición de aplicación de directorio.


Cuando se llega al límite de DNT, a nivel de base de datos, ocurre el siguiente error:


“Error: Add: Operations Error. <1> Server error: 000020EF: SvcErr: DSID-0208044C, problem 5012 (DIR_ERROR), data -1076.”


A alguien le ha pasado? podria comentarnos su experiencia?


 


Número Máximo de Identificadores de Seguridad


Hay un límite de aprox. 1 billon de identificadores de seguridad (SIDs) durante la vida de un dominio. Este limite es debido al tamaño del pool de Global Relative Indetifier (RID) de de 30 bits que crean cada SID (esto es asignado a las cuentas de usuario, computadoras y grupos) en un dominio único. El límite actual es de 230 o 1,073,741,824 RIDs.


 


Membresía a Grupos para Principales de seguridad


Los principales de seguridad (cuentas de usuarios, grupos y computadoras) pueden ser miembros de un máximo aprox. de 1,015 grupos. Esta limitación es debido al limite de tamaño para el token de acceso que es creado para cada principal de seguridad.


 


Limitaciones de longitud – FQDN


Los nombre de dominio totalmente calificados (Fully qualified domain names – FQDNs) en AD no pueden exceder 64 caracteres de longitud total, incluyendo guiones (-) y puntos (.). Por ejemplo, el siguiente nombre host tiene 65 caracteres por ende, NO es valido en AD: server10.branch-15.southaz.westernregion.northamerica.contoso.com 


 


Limitaciones de longitud – Unidades Organizativas


La longitud máxima del nombre para una unidad organizativa (OU) es de 64 caracteres. Esta limitación previene que un nombre de OU pase el límite de 260 caracteres del sistema de archivos cuando se construyen rutas UNC (Universal Naming Convention) para Group Policy.


 


Número Máximo de GPO’s aplicadas


El límite de GPO’s que se pueeden aplicar a una cuenta de usuario o computadora es de 999. Esto no quiere decir que el número total de GPO’s en el sistema es de 999; si no que ua sola cuenta de usuario o computadora NO podrá procesar mas de 999 GPO´s. Este límite existe por razones de desempeño.


 


Número Máximo de Cuentas por transacción LDAP


Cuando se escriben scripts o aplicaciones que realizan transacciones LDAP, lo recomendado es NO realizar mas de 5,000 operaciones por transacción LDAP (tales como agregar, modificar y borrar). Si se realizan mas de 5,000 operaciones en una sola transacción LDAP, se pone en riesgo de quedarnos sin recursos y que suceda un timeout; si esto sucede, se realizará un roll back de todas las operacionees (cambios, adiciones y modificaciones) de esa transacción.


 


Número Máximo recomendado de dominios en un bosque


Para Windows  2000 Server, el valor recomendado es de 800.


Para Windows Server 2003, el valor recomendado cuando el nivel funcional a Windows Server 2003 es de 1,200.


 


Número Máximo de Controladores de Dominio en un Dominio


Debido a que FRS (File Replication Service) es usado para replicar SYSVOL en un dominio Windows Server 2003, se recomienda limitar a 1,200 controladores de dominio por dominio para asegurar la recuperación estable de SYSVOL.


 


 


De nuevo, me despido espero comentarios…


Alguien ha llegado a alguno de los limites anteriormente mencionados? en que escenario? que han hecho?


 


 


 


Más info:


Active Directory Maximum Limits


 


 


Saludos!

3 comentarios sobre “Limites Máximos de Active Directory”

  1. Lo que tu dices es cierto: cuando intento crear un grupo de usuario con nombre largo -superior a 64 caracteres- el sistema no lo permite. Sin embargo, tengo un servidor con SQL Server Reporting Services instalado que tiene grupos predeterminados creados con nombres de largo superior a 64 caracteres. Por ejemplo: SQLServer2005ReportingServicesWebServiceUser$SHAREPOINT2007$MSSQLSERVER.

    ¿Cómo es esto posible?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *