Limites do Active Directory

Pessoal,

Sempre que sou questionado sobre as limitações do AD eu respondo algumas delas como a de mais de 2 bilhões de objetos suportados. Mas vejamos os números reais do AD abaixo:

Número máximo de objetos

Cada controlador de domínio em uma floresta AD pode criar um pouco menos de 2,15 bilhões de objetos durante sua vida.

Cada controlador de domínio AD tem um identificador único que é específico a esse controlador de domínio particular. Esses identificadores, que são chamados "Tags Distinguished Name (DNTS), não são replicados ou visível a outros DC. O intervalo de valores para DNTS é de 0 a 2147483393 (2 ³¹ menos 255). Para cada objeto criado no DC, um único valor é usado. A DNT não é reutilizado quando um objeto é comparado, de modo que DC têm a limitação de criação de aprox. 2000 milhões de objetos (incluindo objetos que foram criados através de replicação). Este limite aplica-se à soma de todos os objetos de todas as partições (Domain NC, esquema de configuração, e qualquer outra partição de diretório de aplicativos.

Quando você chegar ao limite de DNT ao nível do banco de dados, ocorre o seguinte erro:
"Erro: Add: Erro de Operações. <1> Erro de servidor: 000020EF: SvcErr: DSID-0208044C,
problema 5012 (DIR_ERROR), os dados -1076 ".

Número máximo de identificadores de segurança

Há um limite de aprox. 1000000000 identificadores de segurança (SIDs) para a vida de um
domínio. Este limite é devido ao tamanho do conjunto de identificação relativa Global (RID) de 30 bits para criar cada SID (esta é atribuída a contas de usuários, computadores e grupos) em um único domínio. O limite atual é de 2 ³⁰ ou 1073741824 RIDs.

Participações no grupo de entidades de segurança

Os objetos de segurança (contas de usuário, grupos e computadores) podem ser membros de no máximo 1015 grupos. Esta limitação é devido ao limite de tamanho para o token de acesso que é criado para cada entidade de segurança.

Limitações comprimento – FQDN

O nome de domínio totalmente qualificado (nomes de domínio totalmente qualificado – FQDNs) no AD não pode exceder 64 caracteres de comprimento, incluindo traços (-) e ponto (.). Por exemplo, o nome do host que se segue é 65 caracteres, portanto, não válido em AD:
server10.branch-15.southaz.westernregion.northamerica.contoso.com

Limitações comprimento – Unidades Organizacionais

O comprimento máximo do nome para uma unidade organizacional (OU) é de 64 caracteres. Essa limitação impede que um nome de OU passe o limite de 260 caracteres no sistema de arquivos na construção de rotas UNC (Universal Naming Convention) para a Diretiva de Grupo.

Número máximo de aplicação do GPO

Limite de GPO que se aplicam a uma conta de usuário ou computador é de 999. Isso não significa que o número total de GPO no sistema é de 999, isso significa que uma única conta de usuário ou computador não consegue processar mais de 999 GPO. Este limite existe por razões de desempenho.

Número máximo de contas de operações LDAP

Quando você escreve scripts ou aplicações que executam transações LDAP, é aconselhável não mais de 5.000 operações por transação LDAP (como adicionar, modificar e apagar). Se mais de 5.000 operações em uma única transação LDAP, está em risco de ficar sem recursos e da ocorrência de um timeout, se isso acontecer, haverá um retrocesso de toda a operação
(alterações, acréscimos e modificações) de que a transação.

Número máximo recomendado de domínios em uma floresta

Para o Windows Server 2000, o valor recomendado é de 800 domínios.
Para o Windows Server 2003, o valor recomendado quando o nível funcional do Windows Server 2003 é 1200 domínios.

Número máximo de controladores de domínio em um domínio

Devido o FRS (File Replication Service) ser usado para replicar SYSVOL em um domínio Windows Server 2003, é recomendado um limite de 1200 controladores de domínio por domínio para garantir a recuperação constante do SYSVOL.

Artigo Original:
http://geeks.ms/blogs/eliasmereb/archive/2008/05/11/limites-m-225-ximos-de-active-directory.aspx

Até a próxima!

Grande Abraço!