Maximale Anzahl Gruppenmitglieder 5000 ?

[andreas222 12]

Hallo zusammen,

 

wir haben auf dem Campus ein Identity Management System welches User und Gruppen in unser Testsetup AD Windows 2012 R2

provisioniert.

 

Nun gibt es den Fall, dass einige Gruppen mehr als 5000 Member haben

Bisher hatten wir noch keine so große Anzahl User in einer Gruppe und sind daher erst jetzt auf diesen Sachverhalt gestoßen.

 

Kennt jemand diesen Sachverhalt ?

Warum darf dann die Built In Group "Domain Users " viel mehr Member enthalten ?

Bzw. schaut man sich mit dem Attribut Editor "Domain Users" ist das Attribut Member leer ?

 

Bei eigenen Gruppen ist das Attribut mit Member gefüllt ?

 

MS schreibt hier max 5000 User pro Gruppe.

http://technet.microsoft.com/de-de/library/active-directory-maximum-limits-scalability%28v=ws.10%29.aspx#BKMK_LDAP

 

P.S Die Anzahl 20000 lässt sich dagegen in ein Open LDAP provisionieren.

Verstehe ich nicht.

 

Vielen Dank für Info

Andi

[zahni 550]

Darf ich fragen, welches Problem Du nun hast ? Im verlinkten Artikel steht deutlich "Windows 2000".

[andreas222 12]

Hi zahni,

 

Ich hab mir mit Powershell in einer Test OU 20000 dummy Konten erstellt und wollte die in einer dummy Gruppe unterbringen.

 

Bei 8200 ist Schluss ... zwar mehr als 5000 aber doch keine 20000.

 

Hast Du schon so eine große Anzahl in einer Gruppe untergebracht ?

 

Merci

Andi

[zahni 550]

Welcher forest function level ?

 

Wie fügst Du die User hinzu ? Zeige Dein Script.

Welche Powershell Version ?

 

Lt dem TechNet-Artikel hat Microsoft als "Limit" 500 Millionen "getestet"

 

Führst Du das Script eventuell gegen den LDAP-Server aus ?

 

Dann http://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability(v=ws.10).aspx#BKMK_LDAP lesen

[andreas222 12]

Hi zusammen, hi Zahni,

 

Forest Level ist (noch) Windows 2008 R2.

Das PS Skript hat nur User in die OU angelegt. Hinzufügen zur Gruppe habe ich ganz naiv über => GUI Alle markieren hinzufügen gemacht.

 

Aber richtig das Identity System spricht über LDAP/ LDAPs mit der AD.

Sollte man evtl. eine andere Schnittstelle verwenden, wenn ja welche ?

 

Dieser Artikel habe ich noch bezueglich LDAP etc. Die AD LDAP Poilcy Werte MaxValRange und MaxPagesize beziehen sich auf Lese Anfragen an AD.

Doch aber nicht auf Schreibvorgänge... zumindest verstehe ich das so.

 

Windows Server 2008 and newer domain controller returns only 5000 values in a LDAP response

http://support.microsoft.com/kb/2009267

 

VG & Merci

Andi

[Doso 77]

Wir haben bei uns am Campus eine Gruppe mit knapp 70.000 Benutzer drin, das ist kein Problem. Das Problem mit diesen Abfragen hatten wir auch. Man kann das mit ein paar kryptischen Befehlen am DC höher stellen, aber da gibt es dann auch irgendwo ein hartes Limit. Letztlich kann man das nur mit sauberer Programmierung lösen, wie genau das klappt - kA.

[andreas222 12]

Hi zusammen, hi Doso,

 

70000 User in einer Gruppe ?

Über welche Schnittstelle habt ihr das gemacht ?

Mit welchen kryptischen Befehlen ?

Ich vermute mal NICHT über LDAP ?

 

VG & Merci

Andi

 

 

[andreas222 12]

Hi zusammen,

 

ein anderer Ansatz wäre kleinere Gruppen bspw. Student-1, Student-2.... diese werden dann Mitglied in Gruppe Student-Alle.

 

Allerdings erklärt das den Sachverhalt mit der max. Anzahl User in einer Gruppe so wie die zu verwendende Schnittstelle LDAP, RPC, Adsi nicht ?

 

VG &

Merci

 

Andi

[Doso 77]

Hi zusammen, hi Doso, 70000 User in einer Gruppe ? Über welche Schnittstelle habt ihr das gemacht ? Mit welchen kryptischen Befehlen ? Ich vermute mal NICHT über LDAP ? VG & Merci Andi

 

Schnittstelle ist LDAP, da Zielsystem ein AD ist und Quellsystem ein Novell eDirectory. Wurde halt dann anders programmiert, ein User nach dem anderen und nicht mehrere gleichzeitig. Das hat zwar bei der Erstsychronisierung ewig gedauert, ansonsten funktioniert das gut. Auf dem AD DC sind die Standardschwellenwerte drauf, wir hatten da in einer Testumgebung damit getestet.

bearbeitet 19. April 2014 von Doso

[andreas222 12]

Hallo zusammen,

 

 

hier einmal unsere Lösung falls es jemand mal braucht. Lösung war der Parameter "maxReceivedMessageSize" 
der AD Web Services configuration zu erhöhen.

In C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config den Wert "maxReceivedMessageSize" von 1048576 auf 2097152
verdoppeln.

<binding name="ActiveDirectoryWebServicesNetTcpBindingConfiguration" maxReceivedMessageSize="1048576" receiveTimeout="00:10:00" >

Neustart des  Active Directory Web Services (ADWS) Service, und siehe da 20000 User  lassen sich anlegen.

 

VG

Andi

[NilsK 2.930]

Moin,

 

hier stehen die dokumentierten Limits:

 

[Active Directory Maximum Limits Scalability Capacity]
http://technet.microsoft.com/de-de/library/active-directory-maximum-limits-scalability%28v=ws.10%29.aspx
 

Bei sehr großen Objektzahlen ist das GUI oft überfordert, weil es dafür nicht gemacht ist.

 

Die Gruppe "Domain Users" ist eine spezielle Gruppe, deren Mitgliedschaft i.d.R. anders gehandhabt wird. Daher stehen dort normalerweise "direkt" gar keine Mitglieder drin.

 

[AD: “Domänen-Benutzer” per LDAP abfragen | faq-o-matic.net]
http://www.faq-o-matic.net/2009/01/17/ad-domnen-benutzer-per-ldap-abfragen/

 

Gruß, Nils

[andreas222 12]

Hallo Nils, hallo zusammen,

 

vielen Dank die LDAP Infos auf FAQmatic kenne ich und schätze diese sehr.

Du sprichst es an ... die GUi ist bei großen Objekt-Zahlen überfordert.

In ADUC ist zum Glück eine Anzahl von 20000 über die Advanced Setting ( Filter) einstellbar.

 

Danke für den MS Link.

Wenn ich mich nicht irre hatte ich den Link schon an unsere IDM Entwickler

weitergegeben.

Inwiefern sie mit den Informationen etwas anfangen können... wir werden sehen.

 

VG & Merci

Andi