Colocación adecuada de controladores de dominio y consideraciones de sitio

La definición de sitio adecuada es fundamental para el rendimiento. Los clientes que pierden conexión con el sitio pueden experimentar un rendimiento deficiente en las autenticaciones y consultas. Además, con la introducción de IPv6 en los clientes, la solicitud puede proceder de la dirección IPv4 o IPv6 y Active Directory debe tener sitios definidos correctamente para IPv6. El sistema operativo prefiere IPv6 a IPv4 cuando ambos están configurados.

A partir de Windows Server 2008, el controlador de dominio intenta usar la resolución de nombres para realizar una búsqueda inversa para determinar el sitio en el que debe estar el cliente. Esto puede provocar el agotamiento del grupo de subprocesos ATQ y hacer que el controlador de dominio deje de responder. La resolución adecuada para esto es definir correctamente la topología de sitio para IPv6. Como solución alternativa, puede optimizar la infraestructura de resolución de nombres para responder rápidamente a las solicitudes del controlador de dominio. Para obtener más información, consulta Windows Server 2008 o Windows Server 2008 R2 Domain Controller delayed response to LDAP or Kerberos requests (Respuesta retrasada del controlador de dominio de Windows Server 2008 o Windows Server 2008 R2 a solicitudes LDAP o Kerberos).

Otro aspecto que se debe tener en cuenta es la ubicación de los controladores de dominio de lectura/escritura en los escenarios en los que se utiliza el controlador de dominio de solo lectura. Algunas operaciones requieren acceso a un controlador de dominio grabable o tienen como destino un controlador de dominio grabable cuando un controlador de dominio de Read-Only basta. Optimizar estos escenarios seguiría dos caminos:

• Ponerse en contacto con los controladores de dominio con permiso de escritura cuando bastaría con un controlador de dominio de solo lectura. Esto requiere un cambio de código de aplicación.
• Cuando sea necesario un controlador de dominio escribible. Coloque controladores de dominio de lectura y escritura en ubicaciones centrales para minimizar la latencia.

Para más información, consulte:

• Compatibilidad de aplicaciones con RODC
• Interfaz de servicio de Active Directory (ADSI) y el controlador de dominio de solo lectura (RODC): evitar problemas de rendimiento

Optimización para referencias

Las referencias son cómo se redirigen las consultas LDAP cuando el controlador de dominio no hospeda una copia de la partición consultada. Cuando se devuelve una referencia, contiene el nombre distintivo de la partición, un nombre DNS y un número de puerto. El cliente usa esta información para continuar la consulta en un servidor que hospeda la partición. Se trata de un escenario DCLocator y se mantienen todas las definiciones de sitios y las recomendaciones así como la colocación del controlador de dominio; sin embargo, las aplicaciones que dependen de las referencias suelen pasarse por alto. Se recomienda asegurarse de que la topología de AD, incluidas las definiciones de sitio y la ubicación del controlador de dominio, reflejan correctamente las necesidades del cliente. Además, esto puede incluir tener controladores de dominio de varios dominios en un solo sitio, ajustar la configuración de DNS o reubicar el sitio de una aplicación.

Consideraciones de optimización para los fideicomisos

En un escenario dentro del bosque, las confianzas se procesan de acuerdo con la siguiente jerarquía de dominios: Dominio nieto -> Dominio hijo -> Dominio raíz del bosque -> Dominio hijo -> Dominio nieto. Esto significa que los canales seguros en la raíz del bosque y cada elemento primario se pueden sobrecargar debido a la agregación de solicitudes de autenticación que transitan por los controladores de dominio en la jerarquía de confianza. Esto también puede provocar retrasos en directorios activos de gran dispersión geográfica cuando la autenticación también tiene que transitar vínculos altamente latentes para afectar al flujo anterior. Las sobrecargas pueden producirse en escenarios de confianza entre bosques y niveles descendentes. Las siguientes recomendaciones se aplican a todos los escenarios:

• Ajuste correctamente el MaxConcurrentAPI para soportar la carga en el canal seguro. Para obtener más información, consulte Cómo realizar ajustes de rendimiento para la autenticación NTLM utilizando la configuración MaxConcurrentApi.

• Cree confianzas de acceso directo según corresponda en función de la carga.

• Asegúrese de que todos los controladores de dominio del dominio puedan realizar la resolución de nombres y comunicarse con los controladores de dominio del dominio de confianza.

• Asegúrese de tener en cuenta las consideraciones de localidad para los fideicomisos.

• Habilite Kerberos siempre que sea posible y minimice el uso del canal seguro para reducir el riesgo de enfrentar limitaciones de MaxConcurrentAPI.

Los escenarios de confianza entre dominios son un área que ha sido constantemente un punto problemático para muchos clientes. Los problemas de conectividad y resolución de nombres, a menudo debido a firewalls, provocan el agotamiento de recursos en el controlador de dominio de confianza y afectan a todos los clientes. Además, un escenario a menudo pasado por alto es optimizar el acceso a controladores de dominio de confianza. Las áreas clave para asegurarse de que funciona correctamente son las siguientes:

• Asegúrese de que la resolución de nombres DNS y WINS que usan los controladores de dominio de confianza puede resolver una lista precisa de controladores de dominio para el dominio de confianza.

  • Los registros agregados estáticamente tienen una tendencia a quedar obsoletos y volver a introducir problemas de conectividad a lo largo del tiempo. Los reenvíos de DNS, DNS dinámico y la combinación de infraestructuras WINS/DNS son más fáciles de mantener a largo plazo.

  • Asegúrese de una configuración adecuada de reenviadores, reenvíos condicionales y copias secundarias para zonas de búsqueda directa e inversa para cada recurso del entorno al que puede que un cliente necesite acceder. De nuevo, esto requiere mantenimiento manual y tiene una tendencia a quedar obsoleto. La consolidación de infraestructuras es ideal.

• Los controladores de dominio del dominio que confía intentarán buscar controladores de dominio en el dominio de confianza que se encuentren en el mismo sitio primero y, a continuación, realizar la conmutación por recuperación a los localizadores genéricos.

  • Para obtener más información sobre cómo funciona DCLocator, consulta Buscar un controlador de dominio en el sitio más cercano.

  • Converja los nombres de sitio entre los dominios que confía y de confianza para reflejar el controlador de dominio en la misma ubicación. Asegúrese de que las asignaciones de direcciones IP y subredes están vinculadas correctamente a sitios de ambos bosques. Para obtener más información, consulta Domain Locator Across a Forest Trust.

  • Asegúrese de que los puertos estén abiertos, según las necesidades de DCLocator, para la ubicación del controlador de dominio. Si existen firewalls entre los dominios, asegúrese de que los firewalls están configurados correctamente para todas las confianzas. Si los firewalls no están abiertos, el controlador de dominio de confianza seguirá intentando acceder al dominio de confianza. Si se produce un error en la comunicación por cualquier motivo, el controlador de dominio que confía agotará el tiempo de espera de la solicitud al controlador de dominio de confianza. Sin embargo, estos tiempos de espera pueden tardar varios segundos por solicitud y pueden agotar los puertos de red en el controlador de dominio de confianza si el volumen de solicitudes entrantes es alto. El cliente puede experimentar los tiempos de espera hasta que se agote el tiempo en el controlador de dominio como si fueran subprocesos bloqueados, lo que podría traducirse en aplicaciones bloqueadas (si la aplicación ejecuta la solicitud en el subproceso en primer plano). Para obtener más información, consulte Configuración de un firewall para dominios y confianzas.

  • Use DnsAvoidRegisterRecords para eliminar controladores de dominio de bajo rendimiento o de alta latencia, como los de sitios satélite, desde la publicidad a los localizadores genéricos. Para obtener más información, consulte Optimización de la ubicación de un controlador de dominio o catálogo global que reside fuera del sitio de un cliente.

    Note

    Hay un límite práctico de aproximadamente 50 a la cantidad de controladores de dominio que puede consumir el cliente. Estos deben ser los controladores de dominio más óptimos del sitio y de mayor capacidad.

  • Considere la posibilidad de colocar controladores de dominio de dominios que confían y de confianza en la misma ubicación física.

En todos los escenarios de confianza, las credenciales se enrutan según el dominio especificado en las solicitudes de autenticación. Esto también es cierto para las consultas a las API LookupAccountName y LsaLookupNames (así como a otras, estas son solo las API más usadas). Cuando los parámetros de dominio de estas API se pasan a un valor NULL, el controlador de dominio intentará encontrar el nombre de cuenta especificado en cada dominio de confianza disponible.

• Deshabilite la comprobación de todas las confianzas disponibles cuando se especifica un dominio NULL. Cómo restringir la búsqueda de nombres aislados en dominios de confianza externos mediante la entrada del Registro LsaLookupRestrictIsolatedNameLevel

• Deshabilite el paso de solicitudes de autenticación con el dominio NULL especificado en todas las confianzas disponibles. El proceso de Lsass.exe puede dejar de responder si tiene muchas confianzas externas en un controlador de dominio de Active Directory

Referencias adicionales

• Optimización del rendimiento de servidores de Active Directory
• Consideraciones sobre hardware
• Consideraciones de LDAP
• Solución de problemas de rendimiento de ADDS
• Planeamiento de capacidad para Active Directory Domain Services