適當地放置網域控制站與站台考量

• 適用於:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

適當的網站定義對於效能至關重要。 落在站台外的用戶端在驗證和查詢方面可能遇到效能不佳。 此外，在用戶端上引進 IPv6 時，要求可能來自 IPv4 或 IPv6 位址，而 Active Directory 必須為 IPv6 正確定義站台。 當兩者都已設定時，作業系統偏好使用 IPv6 到 IPv4。

從 Windows Server 2008 開始，網域控制站會嘗試使用名稱解析來執行反向對應，以便判斷用戶端應位於的站台。 這可能會導致 ATQ 執行緒集區耗盡，並導致網域控制站變得沒有回應。 適當的解決方法是正確定義 IPv6 的站台拓撲。 因應措施則是，您可以將名稱解析基礎結構最佳化，以快速回應網域控制站要求。 如需詳細資訊，請參閱 Windows Server 2008 或 Windows Server 2008 R2 網域控制站延遲回應 LDAP 或 Kerberos 要求。

另一個考慮領域是針對 RODC 的使用案例尋找讀取/寫入 DC。 當唯讀網域控制站足夠時，某些作業需要存取可寫入的網域控制站，或以可寫入的網域控制站為目標。 最佳化這些案例會採用兩個路徑：

• 當唯讀網域控制站足夠時，連絡可寫入的網域控制站。 這需要變更應用程式程式碼。
• 可能需要可寫入網域控制站的位置。 將讀寫網域控制站放在中央位置，以將延遲降到最低。

如需進一步資訊參考：

• RODC 的應用程式相容性
• Active Directory 服務介面 (ADSI) 和唯讀網域控制站 (RODC) – 避免效能問題

最佳化轉介

轉介是網域控制站未裝載所查詢分割區的複本時，LDAP 查詢的重新導向方式。 傳回轉介時，其會包含分割區的辨別名稱、DNS 名稱和連接埠號碼。 用戶端會使用這項資訊，在裝載分割區的伺服器上繼續查詢。 這是 DCLocator 案例，而且會維護所有建議網站定義和網域控制站位置，但通常會忽略相依於轉介的應用程式。 建議確保 AD 拓撲 (包括站台定義和網域控制站位置) 正確反映用戶端的需求。 此外，這可能包括在單一站台中有多個網域的網域控制站、微調 DNS 設定，或重新安置應用程式的站台。

信任的最佳化考量

在樹系內部案例中，信任會根據下列網域階層處理：孫系網域 -> 子系網域 -> 樹系根網域 -> 子系網域 -> 孫系網域。 這表示樹系根目錄和每個父代的安全通道可能會因為傳輸信任階層中 DC 的驗證要求彙總而變得超載。 當驗證也必須傳輸高度潛伏的連結以影響上述流程時，這可能會在大型地域分散的 Active Directory 中造成延遲。 多載可能發生在樹系間和下層信任案例中。 下列建議適用於所有案例：

• 適當微調 MaxConcurrentAPI 以支援跨安全通道的負載。 如需詳細資訊，請參閱如何使用 MaxConcurrentApi 設定調整 NTLM 驗證的效能。

• 根據負載適當地建立捷徑信任。

• 確保網域中的每個網域控制站都能夠執行名稱解析，並與受信任網域中的網域控制站通訊。

• 確保針對信任將位置納入考量。

• 盡可能啟用 Kerberos，並將安全通道的使用降到最低，以減少遇到 MaxConcurrentAPI 瓶頸的風險。

跨網域信任案例是一直是許多客戶的痛點領域。 名稱解析和連線問題 (通常是由於防火牆) 導致信任網域控制站的資源耗盡，並影響所有用戶端。 此外，最佳化對受信任網域控制站的存取是個經常被忽略的案例。 確保運作正常的關鍵領域如下：

• 確保信任網域控制站所使用的 DNS 和 WINS 名稱解析可以解析受信任網域的正確網域控制站清單。

  • 以靜態方式新增的記錄有過時的傾向，並隨著時間重新引入連線問題。 DNS 轉寄、動態 DNS 及合併 WINS/DNS 基礎結構從長遠來看更易於維護。

  • 確保針對用戶端可能需要存取之環境中每項資源的轉寄和反向對應區域，正確設定轉寄站、條件式轉寄和次要複本。 同樣地，這需要手動維護而且有過時的傾向。 基礎結構合併是理想的。

• 信任網域中的網域控制站會嘗試找出位於相同站台中受信任網域中的網域控制站，然後容錯回復至一般定位器。

  • 如需 DCLocator 運作方式的詳細資訊，請參閱在最接近的站台中尋找網域控制站。

  • 將受信任網域與信任網域之間的站台名稱彙聚，以反映相同位置的網域控制站。 確保子網路和 IP 位址對應已正確連結至這兩個樹系中的站台。 如需詳細資訊，請參閱跨樹系信任的網域定位器。

  • 根據網域控制站位置的 DCLocator 需求，確定連接埠已開啟。 如果網域之間存在防火牆，請確定防火牆已針對所有信任正確設定。 如果防火牆未開啟，信任網域控制站仍會嘗試存取受信任的網域。 如果通訊因任何原因而失敗，信任網域控制站最終會讓對受信任網域控制站的要求逾時。 不過，這些逾時可能需要數秒的時間，而如果傳入要求數量很高，則可能耗盡信任網域控制站上的網路連接埠。 用戶端可能因為停止回應的執行緒，而在網域控制站遇到等候逾時的情況，這可能會轉譯為停止回應的應用程式 (如果應用程式在前景執行緒中執行要求)。 如需詳細資訊，請參閱如何設定網域和信任的防火牆。

  • 使用 DnsAvoidRegisterRecords 來消除效能不佳或高延遲的網域控制站，例如衛星站台中的網域控制站 (從廣告到一般定位器)。 如需詳細資訊，請參閱如何最佳化位於用戶端站台外部之網域控制站或通用類別目錄的位置。

    注意

    用戶端可取用的網域控制站數目有大約 50 個的實際限制。 這些應該是站台最佳且容量最高的網域控制站。

  • 請考慮將受信任和信任網域中的網域控制站放在相同的實體位置。

針對所有信任案例，認證會根據驗證要求中指定的網域路由傳送。 這也適用於 LookupAccountName 和 LsaLookupNames (以及其他項目，這些只是最常用的) API 的查詢。 當這些 API 的網域參數被傳遞 Null 值時，網域控制站會嘗試尋找每個可用的受信任網域中指定的帳號名稱。

• 指定 Null 網域後，停用所有可用的信任檢查。 如何使用 LsaLookupRestrictIsolatedNameLevel 登錄項目限制外部受信任網域中隔離名稱的查閱

• 停用透過跨所有可用信任指定的 Null 網域傳遞驗證要求。 如果您對 Active Directory 網域控制站有許多外部信任，Lsass.exe 程序可能會停止回應

其他參考

• Active Directory 伺服器的效能調整
• 硬體考量
• LDAP 考量
• 針對 ADDS 效能問題進行疑難排解
• Active Directory Domain Services 的容量規劃