andreas222 12 Geschrieben 15. April 2014 Melden Teilen Geschrieben 15. April 2014 Hallo zusammen, wir haben auf dem Campus ein Identity Management System welches User und Gruppen in unser Testsetup AD Windows 2012 R2 provisioniert. Nun gibt es den Fall, dass einige Gruppen mehr als 5000 Member haben Bisher hatten wir noch keine so große Anzahl User in einer Gruppe und sind daher erst jetzt auf diesen Sachverhalt gestoßen. Kennt jemand diesen Sachverhalt ? Warum darf dann die Built In Group "Domain Users " viel mehr Member enthalten ? Bzw. schaut man sich mit dem Attribut Editor "Domain Users" ist das Attribut Member leer ? Bei eigenen Gruppen ist das Attribut mit Member gefüllt ? MS schreibt hier max 5000 User pro Gruppe. http://technet.microsoft.com/de-de/library/active-directory-maximum-limits-scalability%28v=ws.10%29.aspx#BKMK_LDAP P.S Die Anzahl 20000 lässt sich dagegen in ein Open LDAP provisionieren. Verstehe ich nicht. Vielen Dank für Info Andi Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 15. April 2014 Melden Teilen Geschrieben 15. April 2014 Darf ich fragen, welches Problem Du nun hast ? Im verlinkten Artikel steht deutlich "Windows 2000". Zitieren Link zu diesem Kommentar
andreas222 12 Geschrieben 15. April 2014 Autor Melden Teilen Geschrieben 15. April 2014 Hi zahni, Ich hab mir mit Powershell in einer Test OU 20000 dummy Konten erstellt und wollte die in einer dummy Gruppe unterbringen. Bei 8200 ist Schluss ... zwar mehr als 5000 aber doch keine 20000. Hast Du schon so eine große Anzahl in einer Gruppe untergebracht ? Merci Andi Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 15. April 2014 Melden Teilen Geschrieben 15. April 2014 Welcher forest function level ? Wie fügst Du die User hinzu ? Zeige Dein Script. Welche Powershell Version ? Lt dem TechNet-Artikel hat Microsoft als "Limit" 500 Millionen "getestet" Führst Du das Script eventuell gegen den LDAP-Server aus ? Dann http://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability(v=ws.10).aspx#BKMK_LDAP lesen Zitieren Link zu diesem Kommentar
andreas222 12 Geschrieben 15. April 2014 Autor Melden Teilen Geschrieben 15. April 2014 Hi zusammen, hi Zahni, Forest Level ist (noch) Windows 2008 R2. Das PS Skript hat nur User in die OU angelegt. Hinzufügen zur Gruppe habe ich ganz naiv über => GUI Alle markieren hinzufügen gemacht. Aber richtig das Identity System spricht über LDAP/ LDAPs mit der AD. Sollte man evtl. eine andere Schnittstelle verwenden, wenn ja welche ? Dieser Artikel habe ich noch bezueglich LDAP etc. Die AD LDAP Poilcy Werte MaxValRange und MaxPagesize beziehen sich auf Lese Anfragen an AD. Doch aber nicht auf Schreibvorgänge... zumindest verstehe ich das so. Windows Server 2008 and newer domain controller returns only 5000 values in a LDAP response http://support.microsoft.com/kb/2009267 VG & Merci Andi Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 15. April 2014 Melden Teilen Geschrieben 15. April 2014 Wir haben bei uns am Campus eine Gruppe mit knapp 70.000 Benutzer drin, das ist kein Problem. Das Problem mit diesen Abfragen hatten wir auch. Man kann das mit ein paar kryptischen Befehlen am DC höher stellen, aber da gibt es dann auch irgendwo ein hartes Limit. Letztlich kann man das nur mit sauberer Programmierung lösen, wie genau das klappt - kA. Zitieren Link zu diesem Kommentar
andreas222 12 Geschrieben 16. April 2014 Autor Melden Teilen Geschrieben 16. April 2014 Hi zusammen, hi Doso, 70000 User in einer Gruppe ? Über welche Schnittstelle habt ihr das gemacht ? Mit welchen kryptischen Befehlen ? Ich vermute mal NICHT über LDAP ? VG & Merci Andi Zitieren Link zu diesem Kommentar
andreas222 12 Geschrieben 16. April 2014 Autor Melden Teilen Geschrieben 16. April 2014 Hi zusammen, ein anderer Ansatz wäre kleinere Gruppen bspw. Student-1, Student-2.... diese werden dann Mitglied in Gruppe Student-Alle. Allerdings erklärt das den Sachverhalt mit der max. Anzahl User in einer Gruppe so wie die zu verwendende Schnittstelle LDAP, RPC, Adsi nicht ? VG & Merci Andi Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 19. April 2014 Melden Teilen Geschrieben 19. April 2014 (bearbeitet) Hi zusammen, hi Doso, 70000 User in einer Gruppe ? Über welche Schnittstelle habt ihr das gemacht ? Mit welchen kryptischen Befehlen ? Ich vermute mal NICHT über LDAP ? VG & Merci Andi Schnittstelle ist LDAP, da Zielsystem ein AD ist und Quellsystem ein Novell eDirectory. Wurde halt dann anders programmiert, ein User nach dem anderen und nicht mehrere gleichzeitig. Das hat zwar bei der Erstsychronisierung ewig gedauert, ansonsten funktioniert das gut. Auf dem AD DC sind die Standardschwellenwerte drauf, wir hatten da in einer Testumgebung damit getestet. bearbeitet 19. April 2014 von Doso Zitieren Link zu diesem Kommentar
andreas222 12 Geschrieben 24. November 2014 Autor Melden Teilen Geschrieben 24. November 2014 Hallo zusammen, hier einmal unsere Lösung falls es jemand mal braucht. Lösung war der Parameter "maxReceivedMessageSize" der AD Web Services configuration zu erhöhen.In C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config den Wert "maxReceivedMessageSize" von 1048576 auf 2097152verdoppeln. <binding name="ActiveDirectoryWebServicesNetTcpBindingConfiguration" maxReceivedMessageSize="1048576" receiveTimeout="00:10:00" > Neustart des Active Directory Web Services (ADWS) Service, und siehe da 20000 User lassen sich anlegen. VG Andi 2 Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 24. November 2014 Melden Teilen Geschrieben 24. November 2014 Moin, hier stehen die dokumentierten Limits: [Active Directory Maximum Limits Scalability Capacity]http://technet.microsoft.com/de-de/library/active-directory-maximum-limits-scalability%28v=ws.10%29.aspx Bei sehr großen Objektzahlen ist das GUI oft überfordert, weil es dafür nicht gemacht ist. Die Gruppe "Domain Users" ist eine spezielle Gruppe, deren Mitgliedschaft i.d.R. anders gehandhabt wird. Daher stehen dort normalerweise "direkt" gar keine Mitglieder drin. [AD: “Domänen-Benutzer” per LDAP abfragen | faq-o-matic.net]http://www.faq-o-matic.net/2009/01/17/ad-domnen-benutzer-per-ldap-abfragen/ Gruß, Nils Zitieren Link zu diesem Kommentar
andreas222 12 Geschrieben 3. Dezember 2014 Autor Melden Teilen Geschrieben 3. Dezember 2014 Hallo Nils, hallo zusammen, vielen Dank die LDAP Infos auf FAQmatic kenne ich und schätze diese sehr. Du sprichst es an ... die GUi ist bei großen Objekt-Zahlen überfordert. In ADUC ist zum Glück eine Anzahl von 20000 über die Advanced Setting ( Filter) einstellbar. Danke für den MS Link. Wenn ich mich nicht irre hatte ich den Link schon an unsere IDM Entwickler weitergegeben. Inwiefern sie mit den Informationen etwas anfangen können... wir werden sehen. VG & Merci Andi Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.