Juste une petite question, y a t'il une limite fonctionnelle ou technique
liée au nombre de relations d'approbation inter-forêt ? Par exemple, si je
décide de créer ce type de RA entre une forêt et 100 voire 200 autres, est ce
viable ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Emmanuel Dreux [MS]
Bonjour,
dans le chapitre number of TDO: les perfs d'authentification s'écroulent au dessus de 2400 trusts. http://technet2.microsoft.com/windowsserver/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true
Maintenant, les perfs des DC peuvent s'écrouler beaucoup plus vite dans certains cas particuliers (mais qui se résolvent une fois la cause déterminée!). Récemment, j'ai eu le problème suivant chez un client qui avait 400 domaines seulement: Dans le fonctionnement de netlogon, lorsqu'un dc doit procéder à l'authentification ou au lookup (lookupnames ou lookupsid ) sur un domaine distant, le netlogon local ouvre un mailslot vers le netlogon du domaine distant. Netlogon est limité à 1000 mailslots concurrents.
Le fait d'avoir 3 requêtes simultanée ( authentification et/ou lookupnames) sans préciser de nom de domaine peut donc consommer 3*400 domaines = 1200 mailslots, soit plus que les 1000 autorisés. Conclusion, les DC étaient en 100% cpu car ils passaient leur temps à chercher des mailslots libres.
Il existe 2 moyens d'inhiber ce comportement, (mais risque de casser certaines appli): - Inhibation lors du lookupNames: How to restrict the lookup of isolated names in external trusted domains by using the LsaLookupRestrictIsolatedNameLevel registry entry: http://support.microsoft.com/kb/818024/en-us
- Inhibation lors de l'authentification: NeverPing' Parameter Recommended https://www.microsoft.com/technet/prodtechnol/exchange/Analyzer/744043ce-1316-4bd7-bade-6ea266499757.mspx?mfr=true
Dans mon cas, c'était dû à une ou 2 applications mal configurées. La solution a consisté à remonter à ces appli et les configurer correctement (agents patrol sur certains serveurs mal configurés).
-- Cordialement,
Emmanuel Dreux.
"Vincent" wrote in message news:
Bonjour,
Juste une petite question, y a t'il une limite fonctionnelle ou technique liée au nombre de relations d'approbation inter-forêt ? Par exemple, si je décide de créer ce type de RA entre une forêt et 100 voire 200 autres, est ce viable ?
Merci
Vincent
Bonjour,
dans le chapitre number of TDO: les perfs d'authentification s'écroulent au
dessus de 2400 trusts.
http://technet2.microsoft.com/windowsserver/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true
Maintenant, les perfs des DC peuvent s'écrouler beaucoup plus vite dans
certains cas particuliers (mais qui se résolvent une fois la cause
déterminée!).
Récemment, j'ai eu le problème suivant chez un client qui avait 400 domaines
seulement:
Dans le fonctionnement de netlogon, lorsqu'un dc doit procéder à
l'authentification ou au lookup (lookupnames ou lookupsid ) sur un domaine
distant, le netlogon local ouvre un mailslot vers le netlogon du domaine
distant.
Netlogon est limité à 1000 mailslots concurrents.
Le fait d'avoir 3 requêtes simultanée ( authentification et/ou lookupnames)
sans préciser de nom de domaine peut donc consommer 3*400 domaines = 1200
mailslots, soit plus que les 1000 autorisés.
Conclusion, les DC étaient en 100% cpu car ils passaient leur temps à
chercher des mailslots libres.
Il existe 2 moyens d'inhiber ce comportement, (mais risque de casser
certaines appli):
- Inhibation lors du lookupNames:
How to restrict the lookup of isolated names in external trusted domains by
using the LsaLookupRestrictIsolatedNameLevel registry entry:
http://support.microsoft.com/kb/818024/en-us
- Inhibation lors de l'authentification:
NeverPing' Parameter Recommended
https://www.microsoft.com/technet/prodtechnol/exchange/Analyzer/744043ce-1316-4bd7-bade-6ea266499757.mspx?mfr=true
Dans mon cas, c'était dû à une ou 2 applications mal configurées.
La solution a consisté à remonter à ces appli et les configurer correctement
(agents patrol sur certains serveurs mal configurés).
--
Cordialement,
Emmanuel Dreux.
"Vincent" <Vincent@discussions.microsoft.com> wrote in message
news:582F0CDD-B5C8-430A-9D0D-8F33F7AA7F21@microsoft.com...
Bonjour,
Juste une petite question, y a t'il une limite fonctionnelle ou technique
liée au nombre de relations d'approbation inter-forêt ? Par exemple, si je
décide de créer ce type de RA entre une forêt et 100 voire 200 autres, est
ce
viable ?
dans le chapitre number of TDO: les perfs d'authentification s'écroulent au dessus de 2400 trusts. http://technet2.microsoft.com/windowsserver/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true
Maintenant, les perfs des DC peuvent s'écrouler beaucoup plus vite dans certains cas particuliers (mais qui se résolvent une fois la cause déterminée!). Récemment, j'ai eu le problème suivant chez un client qui avait 400 domaines seulement: Dans le fonctionnement de netlogon, lorsqu'un dc doit procéder à l'authentification ou au lookup (lookupnames ou lookupsid ) sur un domaine distant, le netlogon local ouvre un mailslot vers le netlogon du domaine distant. Netlogon est limité à 1000 mailslots concurrents.
Le fait d'avoir 3 requêtes simultanée ( authentification et/ou lookupnames) sans préciser de nom de domaine peut donc consommer 3*400 domaines = 1200 mailslots, soit plus que les 1000 autorisés. Conclusion, les DC étaient en 100% cpu car ils passaient leur temps à chercher des mailslots libres.
Il existe 2 moyens d'inhiber ce comportement, (mais risque de casser certaines appli): - Inhibation lors du lookupNames: How to restrict the lookup of isolated names in external trusted domains by using the LsaLookupRestrictIsolatedNameLevel registry entry: http://support.microsoft.com/kb/818024/en-us
- Inhibation lors de l'authentification: NeverPing' Parameter Recommended https://www.microsoft.com/technet/prodtechnol/exchange/Analyzer/744043ce-1316-4bd7-bade-6ea266499757.mspx?mfr=true
Dans mon cas, c'était dû à une ou 2 applications mal configurées. La solution a consisté à remonter à ces appli et les configurer correctement (agents patrol sur certains serveurs mal configurés).
-- Cordialement,
Emmanuel Dreux.
"Vincent" wrote in message news:
Bonjour,
Juste une petite question, y a t'il une limite fonctionnelle ou technique liée au nombre de relations d'approbation inter-forêt ? Par exemple, si je décide de créer ce type de RA entre une forêt et 100 voire 200 autres, est ce viable ?
Merci
Vincent
Vincent
Merci beaucoup pour votre réponse précise et argumentée !
Bonjour,
dans le chapitre number of TDO: les perfs d'authentification s'écroulent au dessus de 2400 trusts. http://technet2.microsoft.com/windowsserver/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true
Maintenant, les perfs des DC peuvent s'écrouler beaucoup plus vite dans certains cas particuliers (mais qui se résolvent une fois la cause déterminée!). Récemment, j'ai eu le problème suivant chez un client qui avait 400 domaines seulement: Dans le fonctionnement de netlogon, lorsqu'un dc doit procéder à l'authentification ou au lookup (lookupnames ou lookupsid ) sur un domaine distant, le netlogon local ouvre un mailslot vers le netlogon du domaine distant. Netlogon est limité à 1000 mailslots concurrents.
Le fait d'avoir 3 requêtes simultanée ( authentification et/ou lookupnames) sans préciser de nom de domaine peut donc consommer 3*400 domaines = 1200 mailslots, soit plus que les 1000 autorisés. Conclusion, les DC étaient en 100% cpu car ils passaient leur temps à chercher des mailslots libres.
Il existe 2 moyens d'inhiber ce comportement, (mais risque de casser certaines appli): - Inhibation lors du lookupNames: How to restrict the lookup of isolated names in external trusted domains by using the LsaLookupRestrictIsolatedNameLevel registry entry: http://support.microsoft.com/kb/818024/en-us
- Inhibation lors de l'authentification: NeverPing' Parameter Recommended https://www.microsoft.com/technet/prodtechnol/exchange/Analyzer/744043ce-1316-4bd7-bade-6ea266499757.mspx?mfr=true
Dans mon cas, c'était dû à une ou 2 applications mal configurées. La solution a consisté à remonter à ces appli et les configurer correctement (agents patrol sur certains serveurs mal configurés).
-- Cordialement,
Emmanuel Dreux.
"Vincent" wrote in message news:
Bonjour,
Juste une petite question, y a t'il une limite fonctionnelle ou technique liée au nombre de relations d'approbation inter-forêt ? Par exemple, si je décide de créer ce type de RA entre une forêt et 100 voire 200 autres, est ce viable ?
Merci
Vincent
Merci beaucoup pour votre réponse précise et argumentée !
Bonjour,
dans le chapitre number of TDO: les perfs d'authentification s'écroulent au
dessus de 2400 trusts.
http://technet2.microsoft.com/windowsserver/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true
Maintenant, les perfs des DC peuvent s'écrouler beaucoup plus vite dans
certains cas particuliers (mais qui se résolvent une fois la cause
déterminée!).
Récemment, j'ai eu le problème suivant chez un client qui avait 400 domaines
seulement:
Dans le fonctionnement de netlogon, lorsqu'un dc doit procéder à
l'authentification ou au lookup (lookupnames ou lookupsid ) sur un domaine
distant, le netlogon local ouvre un mailslot vers le netlogon du domaine
distant.
Netlogon est limité à 1000 mailslots concurrents.
Le fait d'avoir 3 requêtes simultanée ( authentification et/ou lookupnames)
sans préciser de nom de domaine peut donc consommer 3*400 domaines = 1200
mailslots, soit plus que les 1000 autorisés.
Conclusion, les DC étaient en 100% cpu car ils passaient leur temps à
chercher des mailslots libres.
Il existe 2 moyens d'inhiber ce comportement, (mais risque de casser
certaines appli):
- Inhibation lors du lookupNames:
How to restrict the lookup of isolated names in external trusted domains by
using the LsaLookupRestrictIsolatedNameLevel registry entry:
http://support.microsoft.com/kb/818024/en-us
- Inhibation lors de l'authentification:
NeverPing' Parameter Recommended
https://www.microsoft.com/technet/prodtechnol/exchange/Analyzer/744043ce-1316-4bd7-bade-6ea266499757.mspx?mfr=true
Dans mon cas, c'était dû à une ou 2 applications mal configurées.
La solution a consisté à remonter à ces appli et les configurer correctement
(agents patrol sur certains serveurs mal configurés).
--
Cordialement,
Emmanuel Dreux.
"Vincent" <Vincent@discussions.microsoft.com> wrote in message
news:582F0CDD-B5C8-430A-9D0D-8F33F7AA7F21@microsoft.com...
Bonjour,
Juste une petite question, y a t'il une limite fonctionnelle ou technique
liée au nombre de relations d'approbation inter-forêt ? Par exemple, si je
décide de créer ce type de RA entre une forêt et 100 voire 200 autres, est
ce
viable ?
Merci beaucoup pour votre réponse précise et argumentée !
Bonjour,
dans le chapitre number of TDO: les perfs d'authentification s'écroulent au dessus de 2400 trusts. http://technet2.microsoft.com/windowsserver/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx?mfr=true
Maintenant, les perfs des DC peuvent s'écrouler beaucoup plus vite dans certains cas particuliers (mais qui se résolvent une fois la cause déterminée!). Récemment, j'ai eu le problème suivant chez un client qui avait 400 domaines seulement: Dans le fonctionnement de netlogon, lorsqu'un dc doit procéder à l'authentification ou au lookup (lookupnames ou lookupsid ) sur un domaine distant, le netlogon local ouvre un mailslot vers le netlogon du domaine distant. Netlogon est limité à 1000 mailslots concurrents.
Le fait d'avoir 3 requêtes simultanée ( authentification et/ou lookupnames) sans préciser de nom de domaine peut donc consommer 3*400 domaines = 1200 mailslots, soit plus que les 1000 autorisés. Conclusion, les DC étaient en 100% cpu car ils passaient leur temps à chercher des mailslots libres.
Il existe 2 moyens d'inhiber ce comportement, (mais risque de casser certaines appli): - Inhibation lors du lookupNames: How to restrict the lookup of isolated names in external trusted domains by using the LsaLookupRestrictIsolatedNameLevel registry entry: http://support.microsoft.com/kb/818024/en-us
- Inhibation lors de l'authentification: NeverPing' Parameter Recommended https://www.microsoft.com/technet/prodtechnol/exchange/Analyzer/744043ce-1316-4bd7-bade-6ea266499757.mspx?mfr=true
Dans mon cas, c'était dû à une ou 2 applications mal configurées. La solution a consisté à remonter à ces appli et les configurer correctement (agents patrol sur certains serveurs mal configurés).
-- Cordialement,
Emmanuel Dreux.
"Vincent" wrote in message news:
Bonjour,
Juste une petite question, y a t'il une limite fonctionnelle ou technique liée au nombre de relations d'approbation inter-forêt ? Par exemple, si je décide de créer ce type de RA entre une forêt et 100 voire 200 autres, est ce viable ?