Posicionamento adequado dos controladores de domínio e considerações sobre o local

• Aplica-se a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

A definição de site adequada é essencial para o desempenho. Os clientes que estão saindo de um site podem ter um desempenho ruim de autenticações e consultas. Além disso, com a introdução do IPv6 nos clientes, a solicitação pode vir do endereço IPv4 ou IPv6, e o Active Directory precisa ter sites definidos corretamente para o IPv6. O sistema operacional prefere o IPv6 ao IPv4 quando ambos estão configurados.

Começando no Windows Server 2008, o controlador de domínio tenta usar a resolução de nomes para fazer uma pesquisa inversa para determinar o site em que o cliente deve estar. Isso pode causar o esgotamento do Pool de Threads do ATQ e fazer com que o controlador de domínio não responda. A resolução apropriada para isso é definir corretamente a topologia do site para o IPv6. Como solução alternativa, é possível otimizar a infraestrutura de resolução de nomes para responder rapidamente a solicitações do controlador de domínio. Para obter mais informações, confira Resposta atrasada do Controlador de Domínio do Windows Server 2008 ou Windows Server 2008 R2 a solicitações LDAP ou Kerberos.

Uma área adicional de consideração é localizar DCs de leitura/gravação para cenários em que RODCs estão em uso. Determinadas operações exigem acesso a um controlador de domínio gravável ou direcionam um controlador de domínio gravável quando um controlador de domínio somente leitura seria suficiente. A otimização desses cenários ocorreria em dois caminhos:

• Entrar em contato com os controladores de domínio graváveis quando um controlador de domínio somente leitura seria suficiente. Isso requer alterações no código do aplicativo.
• Quando um controlador de domínio gravável pode ser necessário. Coloque controladores de domínio de leitura/gravação em locais centrais para minimizar a latência.

Para obter mais informações, confira:

• Compatibilidade do aplicativo com RODCs
• ADSI (Interface de Serviço do Active Directory) e RODC (controlador de domínio somente leitura) – Evitando problemas de desempenho

Otimizar para indicações

As indicações são como as consultas LDAP são redirecionadas quando o controlador de domínio não hospeda uma cópia da partição consultada. Quando uma indicação é retornada, ela contém o nome diferenciado da partição, um nome DNS e um número de porta. O cliente usa essas informações para continuar a consulta em um servidor que hospeda a partição. Esse é um cenário DCLocator e todas as definições de site recomendadas e o posicionamento do controlador de domínio são mantidos, mas os aplicativos que dependem de indicações geralmente são ignorados. É recomendável garantir que a Topologia do AD, incluindo definições de site e o posicionamento do controlador de domínio, reflita corretamente as necessidades do cliente. Além disso, isso pode incluir ter controladores de domínio de vários domínios em um só site, ajustar as configurações de DNS ou realocar o site de um aplicativo.

Considerações de otimização para relações de confiança

Em um cenário dentro da floresta, as relações de confiança são processadas de acordo com a seguinte hierarquia de domínio: Domínio neto –> Domínio filho –> Domínio raiz da floresta –> Domínio filho –> Domínio neto. Isso significa que os canais seguros na raiz da floresta e em cada pai podem ficar sobrecarregados devido à agregação de solicitações de autenticação que transitam pelos DCs na hierarquia de confiança. Isso também pode incorrer em atrasos nos Active Directories com grande dispersão geográfica quando a autenticação também precisa transitar links altamente latentes para afetar o fluxo acima. Sobrecargas podem ocorrer em cenários de confiança entre florestas e de nível inferior. As seguintes recomendações se aplicam a todos os cenários:

• Ajuste corretamente o MaxConcurrentAPI para dar suporte à carga no canal seguro. Para saber mais, confira Como executar ajustes de desempenho para a autenticação NTLM usando a configuração MaxConcurrentApi.

• Crie relações de confiança de atalho conforme apropriado com base na carga.

• Verifique se todos os controladores de domínio no domínio podem executar a resolução de nomes e se comunicar com os controladores de domínio no domínio confiável.

• Verifique se as considerações de localidade são levadas em conta para as relações de confiança.

• Habilite o Kerberos sempre que possível e minimize o uso do canal seguro para reduzir o risco de encontrar gargalos de MaxConcurrentAPI.

Cenários de confiança entre domínios são uma área que tem sido consistentemente um ponto problemático para muitos clientes. Problemas de resolução de nomes e conectividade, geralmente devido a firewalls, causam esgotamento de recursos no controlador de domínio confiável e afetam todos os clientes. Além disso, um cenário muitas vezes ignorado é otimizar o acesso a controladores de domínio confiáveis. As principais áreas para garantir que isso funcione corretamente são as seguintes:

• Verifique se a resolução de nomes DNS e WINS que os controladores de domínio confiáveis estão usando pode resolver uma lista precisa de controladores de domínio para o domínio confiável.

  • Registros adicionados estaticamente tendem a se tornar obsoletos e reintroduzir problemas de conectividade ao longo do tempo. Os encaminhamentos de DNS, o DNS dinâmico e a mesclagem de infraestruturas WINS/DNS são mais fáceis de manter no longo prazo.

  • Garanta a configuração adequada de encaminhadores, encaminhamentos condicionais e cópias secundárias para zonas de pesquisa direta e inversa para cada recurso no ambiente que um cliente pode precisar acessar. Novamente, isso requer manutenção manual e tende a se tornar obsoleto. A consolidação de infraestruturas é o ideal.

• Controladores de domínio no domínio de confiança tentarão localizar controladores de domínio no domínio confiável que estão no mesmo site primeiro e, em seguida, fazer failback para os localizadores genéricos.

  • Para obter mais informações sobre como o DCLocator funciona, consulte Localizando um controlador de domínio no site mais próximo.

  • Faça a convergência dos nomes de site entre os domínios confiáveis e de confiança para refletir o controlador de domínio no mesmo local. Verifique se os mapeamentos de sub-rede e endereço IP estão corretamente vinculados a sites em ambas as florestas. Para obter mais informações, consulte Localizador de domínio em uma relação de confiança de floresta.

  • Verifique se as portas estão abertas, de acordo com as necessidades do DCLocator, para o local do controlador de domínio. Se houver firewalls entre os domínios, verifique se estão configurados corretamente para TODAS as relações de confiança. Se os firewalls não estiverem abertos, o controlador de domínio de confiança ainda tentará acessar o domínio confiável. Se a comunicação falhar por qualquer motivo, o controlador de domínio de confiança acabará atingindo o tempo limite da solicitação para o controlador de domínio confiável. No entanto, esses tempos limite poderão levar vários segundos por solicitação e poderão esgotar as portas de rede no controlador de domínio de confiança se o volume de solicitações de entrada for alto. O cliente pode enfrentar as esperas para o tempo limite no controlador de domínio como threads suspensos, o que poderá ser convertido em aplicativos suspensos (se o aplicativo executar a solicitação no thread em primeiro plano). Para obter mais informações, consulte Como configurar um firewall para domínios e relações de confiança.

  • Use DnsAvoidRegisterRecords para impedir controladores de domínio de baixo desempenho ou de alta latência, como aqueles em sites satélites, de anunciar aos localizadores genéricos. Para obter mais informações, consulte Como otimizar o local de um controlador de domínio ou catálogo global que reside fora do site de um cliente.

    Observação

    Há um limite prático de cerca de 50 para o número de controladores de domínio que o cliente pode consumir. Esses devem ser os controladores de domínio de maior capacidade e ideais para o site.

  • Considere colocar controladores de domínio de domínios confiáveis e de confiança no mesmo local físico.

Para todos os cenários de confiança, as credenciais são roteadas de acordo com o domínio especificado nas solicitações de autenticação. Isso também é verdadeiro para consultas para as APIs LookupAccountName e LsaLookupNames (assim como outras, essas são apenas as mais usadas). Quando os parâmetros de domínio dessas APIs forem passados para um valor NULL, o controlador de domínio tentará localizar o nome da conta especificado em todos os domínios confiáveis disponíveis.

• Desabilite a verificação de todas as relações de confiança disponíveis quando o domínio NULL for especificado. Como restringir a pesquisa de nomes isolados em domínios confiáveis externos usando a entrada do registro LsaLookupRestrictIsolatedNameLevel

• Desabilite a passagem de solicitações de autenticação com o domínio NULL especificado em todas as relações de confiança disponíveis. O processo Lsass.exe poderá parar de responder se você tiver muitas relações de confiança externas em um controlador de domínio do Active Directory

Referências adicionais

• Ajuste de desempenho de servidores do Active Directory
• Considerações sobre hardware
• Considerações sobre LDAP
• Solução de problemas de desempenho do ADDS
• Planejamento de capacidade para o Active Directory Domain Services