科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道征服AD的内在限制:AD的尺寸限制

征服AD的内在限制:AD的尺寸限制

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

为了保护AD免受拒绝服务攻击(Denial of Service,DoS)和过渡搜索的负面性能影响,在返回LDAP搜索结果时,AD设置了一个最大不超过1000的限制。

来源:IT试验室 2008年4月2日

关键字: Windows 活动目录 微软 操作系统

  • 评论
  • 分享微博
  • 分享邮件
    搜索缓冲大小
  
  在克服了默认的2000个对象的显示限制之后,当你在设置组织单元显示超过10000个对象时又遇到另一个难题。这个问题来源于AD搜索默认的缓存大小,它还会影响用户图形界面工具(包括“AD用户和计算机”插件)。该缓存负责存储查询结果,默认情况下,考虑到AD的性能,它被设置为不超过10000个对象。
  
  微软文章“Controlling the Active Directory Search Buffer Size”和http://support.microsoft.com/?kbid=243281提供了两种修改上述限制的办法。第一种办法需要修改注册表。在“HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Directory UI”中创建一个名为QueryLimit的DWORD子键。根据需要设置QueryLimit的值。如果在注册表中没有找到上述子键,请根据需要创建\ Windows和\Directory UI项。
  
  第二种办法同样需要修改注册表,但是,是通过组策略来实施的。使用“组策略编辑器”(GPO)打开你希望编辑的组策略对象(例如,默认组策略)。在树状面板中,依次打开“用户配置”*“管理模板”*“桌面”*“Active Directory”,启用Active Directory搜索的最大大小策略,并且设置为你需要的值。
  
  我倾向于使用第二种办法,因为它避免了第一种办法手工修改注册表时潜在的巨大风险。而且在通过“运行为”修改注册表时还存在问题。注册表不接受由“运行为”指派的用户账号,原因可能是指定的账号无法修改“HKEY_CURRENT_USER”的设置。如果是通过“运行为”修改的组策略,那么为了使组策略设置生效,你需要至少进行一次正常的Windows登录。
  
  上述两种办法对“AD用户和计算机”都非常有效,但是对ADSI却是无能为力。到目前为止,我还没有找到一个使ADSI能显示超过10000个对象的办法。
  
  Kerberos票证大小
  
  Windows 2000和后续版本都默认支持Kerberos身份验证。如果某个用户账号属于过多的组(尤其是组嵌套),在进行身份验证时可能产生问题。身份验证问题在日常使用中比较寻常,例如:远程系统变得很慢或者无法登录、无法应用组策略、在将计算机加入域时出错等。但本例中讨论的身份验证问题,源自于所采用的 Kerberos验证方式自身的限制。
  
  当为用户颁发访问票证时,系统将在票证中包括用户的SID和所有用户所属的安全组的SID。如果AD中组嵌套严重,那么SID的大小将急剧膨胀,也就意味着票证可能太小。票证有固定大小,它的值由注册表中的 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters \MaxTokenSize”设置。而且,如果用户账号是从其他域迁移过来的,那么额外的SID将更加影响票证中要包括的SID数量。
  
  那么触发这种问题的阈值是多少呢?答案将根据注册表中设置的MaxToken Size值和安装的服务包版本的不同而不同。在Windows 2000 SP1中,不能超过70-80个组;在Windows 2000 SP2中,不能超过120个组。对于Windows 2000 SP4和Windows 2003,尤其是对于DC级别,微软为此限制提供了一个解决办法。针对这种可能出现的极端环境,微软公司为MaxTokenSize提供了一个计算公式。要了解关于计算公式、组嵌套限制和MaxTokenSize值的信息,请参考微软文章“New Resolution for Problems That Occur When Users Belong to Many Groups”(http://support.microsoft.com/?kbid=327825)。如你所见,针对这个问题目前还没有一个一劳永逸的解决办法,但如果你能够及时安装最新补丁也许会使这个问题不那么迫切。最坏的情况就是你需要根据微软文章计算能够使用多少组。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章