Limitation des relations d'approbation

Le
Vincent
Bonjour,

Juste une petite question, y a t'il une limite fonctionnelle ou technique
liée au nombre de relations d'approbation inter-forêt ? Par exemple, si je
décide de créer ce type de RA entre une forêt et 100 voire 200 autres, est ce
viable ?

Merci

Vincent
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Emmanuel Dreux [MS]
Le #652698
Bonjour,

dans le chapitre number of TDO: les perfs d'authentification s'écroulent au
dessus de 2400 trusts.
http://technet2.microsoft.com/windowsserver/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true

Maintenant, les perfs des DC peuvent s'écrouler beaucoup plus vite dans
certains cas particuliers (mais qui se résolvent une fois la cause
déterminée!).
Récemment, j'ai eu le problème suivant chez un client qui avait 400 domaines
seulement:
Dans le fonctionnement de netlogon, lorsqu'un dc doit procéder à
l'authentification ou au lookup (lookupnames ou lookupsid ) sur un domaine
distant, le netlogon local ouvre un mailslot vers le netlogon du domaine
distant.
Netlogon est limité à 1000 mailslots concurrents.

Le fait d'avoir 3 requêtes simultanée ( authentification et/ou lookupnames)
sans préciser de nom de domaine peut donc consommer 3*400 domaines = 1200
mailslots, soit plus que les 1000 autorisés.
Conclusion, les DC étaient en 100% cpu car ils passaient leur temps à
chercher des mailslots libres.

Il existe 2 moyens d'inhiber ce comportement, (mais risque de casser
certaines appli):
- Inhibation lors du lookupNames:
How to restrict the lookup of isolated names in external trusted domains by
using the LsaLookupRestrictIsolatedNameLevel registry entry:
http://support.microsoft.com/kb/818024/en-us

- Inhibation lors de l'authentification:
NeverPing' Parameter Recommended
https://www.microsoft.com/technet/prodtechnol/exchange/Analyzer/744043ce-1316-4bd7-bade-6ea266499757.mspx?mfr=true

Dans mon cas, c'était dû à une ou 2 applications mal configurées.
La solution a consisté à remonter à ces appli et les configurer correctement
(agents patrol sur certains serveurs mal configurés).

--
Cordialement,

Emmanuel Dreux.

"Vincent" news:
Bonjour,

Juste une petite question, y a t'il une limite fonctionnelle ou technique
liée au nombre de relations d'approbation inter-forêt ? Par exemple, si je
décide de créer ce type de RA entre une forêt et 100 voire 200 autres, est
ce
viable ?

Merci

Vincent






Vincent
Le #651526
Merci beaucoup pour votre réponse précise et argumentée !




Bonjour,

dans le chapitre number of TDO: les perfs d'authentification s'écroulent au
dessus de 2400 trusts.
http://technet2.microsoft.com/windowsserver/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true

Maintenant, les perfs des DC peuvent s'écrouler beaucoup plus vite dans
certains cas particuliers (mais qui se résolvent une fois la cause
déterminée!).
Récemment, j'ai eu le problème suivant chez un client qui avait 400 domaines
seulement:
Dans le fonctionnement de netlogon, lorsqu'un dc doit procéder à
l'authentification ou au lookup (lookupnames ou lookupsid ) sur un domaine
distant, le netlogon local ouvre un mailslot vers le netlogon du domaine
distant.
Netlogon est limité à 1000 mailslots concurrents.

Le fait d'avoir 3 requêtes simultanée ( authentification et/ou lookupnames)
sans préciser de nom de domaine peut donc consommer 3*400 domaines = 1200
mailslots, soit plus que les 1000 autorisés.
Conclusion, les DC étaient en 100% cpu car ils passaient leur temps à
chercher des mailslots libres.

Il existe 2 moyens d'inhiber ce comportement, (mais risque de casser
certaines appli):
- Inhibation lors du lookupNames:
How to restrict the lookup of isolated names in external trusted domains by
using the LsaLookupRestrictIsolatedNameLevel registry entry:
http://support.microsoft.com/kb/818024/en-us

- Inhibation lors de l'authentification:
NeverPing' Parameter Recommended
https://www.microsoft.com/technet/prodtechnol/exchange/Analyzer/744043ce-1316-4bd7-bade-6ea266499757.mspx?mfr=true

Dans mon cas, c'était dû à une ou 2 applications mal configurées.
La solution a consisté à remonter à ces appli et les configurer correctement
(agents patrol sur certains serveurs mal configurés).

--
Cordialement,

Emmanuel Dreux.

"Vincent" news:
Bonjour,

Juste une petite question, y a t'il une limite fonctionnelle ou technique
liée au nombre de relations d'approbation inter-forêt ? Par exemple, si je
décide de créer ce type de RA entre une forêt et 100 voire 200 autres, est
ce
viable ?

Merci

Vincent










Publicité
Poster une réponse
Anonyme