Das Active Directory (AD) ist in größeren Netzwerken ein wesentlicher Bestandteil der Infrastruktur. Im Großen und Ganzen ist zu sagen, dass das Active Directory für die Benutzer, Gruppen, Computer, Berechtigungen und weitere Objekte da ist. Sobald große Umgebungen verwaltet werden wird es brenzlich. Es gibt Active Directory Grenzen.
Active Directory Grenzen – Beispiele
Im folgenden möchte ich ein paar Grenzen des Active Directory zeigen. Wie bei jedem anderen System, ist irgendwann der Punkt erreicht, an dem es zu viel wird.
[thrive_text_block color=”light” headline=”‘Active Directory-Benutzer und -Computer’ Snap-In”]
In dem Falle, dass in der MMC “Active Directory-Benutzer und -Computer” in einer OU mehr als 2000 Objekte enthalten sind, wird die folgende Meldung ausgegeben:
Die Anzahl der angezeigten Elemente kann aber auch erhöht werden.
[/thrive_text_block]
[thrive_text_block color=”light” headline=”Maximale LDAP Abfragen”]
Um sich beispielsweise vor Denial of Service (DoS) Attacken zu schützen, gibt das AD bei einer LDAP-Abfrage als Ergebnis “nur” 1.000 Datensätze. Wird die Grenze von 1.000 Datensätzen überschritten, wird folgender Fehler angezeigt: “Size Limit Exceeded Error.”
Nun gibt es zwei Möglichkeiten dieses Problem zu umgehen:
- Andern der maximum Page Size auf dem LDAP Client
- Erhöhen des Wertes MaxPageSize in der LDAP Richtlinie auf dem Domain Controller
[/thrive_text_block]
[thrive_text_block color=”light” headline=”Name einer Organisationseinheit (OU)”]
Der Name einer Organisation Unit kann nicht mehr als 64 Zeichen enthalten. So wird sichergestellt, dass beim Aufruf von Gruppenrichtlinien (GPO) die sich im SYSVOL Verzeichnis befinden, nicht die Grenze von insgesamt 260 Zeichen überschritten wird. Falls der UNC Pfad mehr als 260 Zeichen überschreiten sollte, können die GPOs nicht mehr gelesen werden. Das bedeutet natürlich, dass sie auch nicht angewandt werden.
[/thrive_text_block]
[thrive_text_block color=”light” headline=”Länge des Dateinamens”]
Der Pfad inklusive Dateiname der Active Directory Datenbank (NTDS.dit), sowie Protokolldateien oder derGruppenrichtlinien die sich im SYSVOL-Verzeichnis befinden, sind auf 260 Zeichen beschränkt.
[/thrive_text_block]
[thrive_text_block color=”light” headline=”NetBIOS Name (Computer / Domäne)”]
Der NetBIOS-Name eines Computerkontos kann nicht länger als 15 Zeichen sein. Eigentlich sind 16 Zeichen möglich, wobei dieses 16. Zeichen für das System reserviert ist.
Außerdem darf der Computername nicht nur aus Zahlen bestehen.
Beim Namen der Domäne ist es genauso.
[/thrive_text_block]
[thrive_text_block color=”light” headline=”Länge des Fully Qualified Domain Name”]
Der Fully Qualified Domain Name (FQDN) einer Domäne darf insgesamt 64 Zeichen (inklusive Punkte) enthalten.
[/thrive_text_block]
[thrive_text_block color=”light” headline=”Anzahl an Objekten der DC erstellen kann”]
Ein Domain Controller (DC) kann ca. zwei Milliarden Objekte erstellen. Das sollte erstmal reichen 😉
[/thrive_text_block]
[thrive_text_block color=”light” headline=”maximale Anzahl von GPOs auf ein Benutzer- oder Computerobjekt”]
Es können höchstens 999 Gruppenrichtlinien auf ein Benutzerobjekt oder Computerobjekt angewendet werden. Das hat Performancegründe.
[/thrive_text_block]
Sicherlich gibt es noch mehr Einschränkungen, die Active Directory Grenzen aufweisen. Aber das sollten schon sehr hilfreiche und Interessante Daten sein – ich hoffe ich konnte euch weiterhelfen 🙂