Synthèse de scénarios «piling» domaines Active Directory

Traductions disponibles Traductions disponibles
Numéro d'article: 305027 - Voir les produits auxquels s'applique cet article
important Cet article explique comment modifier le Registre. Veillez à sauvegarder le Registre avant de le modifier. Assurez-vous que que vous savez comment restaurer le Registre en cas de problème. Pour plus d'informations sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
322756Comment faire pour sauvegarder et restaurer le Registre de Windows
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit «piling sur» scénarios de domaines qui utilisent Windows 2000 Server, Windows Server 2003 et Windows Server 2008. Il décrit également comment dépanner et résoudre certains problèmes se produisent lorsque "piling" se produit.

Plus d'informations

Vue d'ensemble

Avec certaines exceptions, contrôleurs de domaine Active Directory forêt du service dans Windows 2000 Server, dans Windows Server 2003 et dans Windows Server 2008 sont égale homologues en termes des caractéristiques suivantes :
  • Création d'un objet
  • Suppression de l'objet
  • Réplication d'objet
  • Authentification
  • Réponses à LDAP (Lightweight Directory Access Protocol) requêtes
L'utilisation du processeur, mémoire et temps de réponse du serveur sont généralement les mêmes pour les contrôleurs de domaine qui utilisent le même matériel et qu'effectuez la même tâche dans un site Active Directory.

Certaines opérations dans membres de domaines ou contrôleurs de domaine en faveur d'un contrôleur de domaine spécifique ou une classe de contrôleurs de domaine (en ignorant la préférence de site). Cela entraîne la rencontrer supérieure de l'UC, utilisation de mémoire, le trafic réseau et d'e/S de disque ou d'une utilisation supérieure d'une combinaison de ces composants les contrôleurs de domaine spécifique.

Le ciblage d'un contrôleur de domaine spécifique ou d'un groupe de contrôleurs de domaine est appelé à un scénario «piling on». Ce problème peut se produire si certaines opérations à l'échelle du domaine et à l'échelle de l'entreprise qui ne sont pas destinées à sélection élective multimaître résident sur un contrôleur de domaine unique dans le domaine ou forêt. Autres opérations à maître unique qui se produisent dans autres environnements peuvent être résolues ou réduites par les modifications de configuration.

Scénarios de «Piling on»

La liste suivante résume les scénarios de piling qui peuvent se produire, décrit les problèmes que vous pouvez rencontrer dans chaque scénario et contient des informations sur la façon de résoudre chaque scénario :
  • Contrôleur principal enregistre deux enregistrements 1C
  • Enregistrement PDC apparaît en haut du nom Internet Windows liste de service (WINS) [1C]
  • Le sélecteur d'objet interroge le contrôleur principal de domaine en mode exclusif
  • L'authentification pass-through passe en mode exclusif au contrôleur de domaine
  • Les clients Windows 2000 dans le domaine Windows NT 4.0 sont authentifiés exclusivement par le contrôleur principal de domaine
  • Clients Windows 2000, Windows XP et Windows Server 2003 dans les domaines du système d'exploitation mixtes sont authentifiés exclusivement par les contrôleurs de domaine ultérieure modèle après avoir découvert en cours
  • Nombreux clients de version antérieure peuvent entraîner le PDC ne fonctionne pas correctement
  • Nombre élevé de tentatives de mot de passe incorrect peut provoquer une charge élevée sur PDC
  • Serveurs DFS extraire table de connaissances de partition (PKT) PDC des modifications de configuration DFS

Contrôleur principal enregistre deux enregistrements 1C

Pour résoudre ce problème sur les contrôleurs de domaine Windows 2000, procurez-vous et installez le dernier service pack Windows 2000. Pour plus d'informations sur la façon d'obtenir le dernier service pack Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
260910 Procédure pour obtenir le dernier Service Pack Windows 2000
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
269424WINS fonctionnalité aide aides-équilibrage entre les contrôleurs de domaine
Pour les contrôleurs de domaine Windows Server 2003, configurer uniquement le Registre.

Enregistrement PDC apparaît en haut de la liste WINS (Windows Internet Name Service) [1C]

Symptômes

La liste WINS [1C] est triée par adresse IP ; par conséquent, le serveur avec l'adresse IP le plus bas est renvoyé en premier et peut être raisons favorisée par les clients.

Résolution

Pour résoudre ce problème, appliquez l'une des méthodes suivantes (selon votre version de Windows) :
  • Windows NT 4.0

    Pour résoudre ce problème, installez Windows NT 4.0 Service Pack 4 (SP4) ou version ultérieure, puis activez la valeur de Registre
    Randomize1CList
    dans le Registre.Pour plus d'informations sur la façon d'obtenir le dernier service pack Windows NT 4.0, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
    152734Procédure pour obtenir le dernier Pack de Service Windows NT 4.0
    Pour plus d'informations sur l'activation de la fonctionnalité Randomize1cList, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
    231305WINS Randomize1cList fonction aides-équilibrage entre les contrôleurs de domaine
  • Windows 2000

    Pour résoudre ce problème, activez la valeur de Registre
    Randomize1CList
    en modifiant le Registre. Pour plus d'informations pour ce faire, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
    231305WINS Randomize1cList fonction aides-équilibrage entre les contrôleurs de domaine

Le sélecteur d'objet interroge le contrôleur principal de domaine en mode exclusif

Symptômes

Lorsque le sélecteur d'objet sur les clients antérieurs à Windows 2000 Service Pack 3 (SP3) énumère les utilisateurs, groupes ou comptes d'ordinateur d'un domaine basé sur un système d'exploitation antérieur, uniquement le contrôleur de domaine principal est contacté pour fournir la liste d'objets.

Résolution

Pour plus d'informations sur la façon d'obtenir le dernier service pack Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
260910 Procédure pour obtenir le dernier Service Pack Windows 2000

L'authentification pass-through passe en mode exclusif au contrôleur de domaine

Authentification demandes des clients Windows NT LAN Manager (NTLM) avec des canaux de sécurité Windows NT 4.0 et Windows 2000 secondaire de domaine contrôleurs secondaires de domaine sont transférés vers le contrôleur principal de domaine si la demande d'authentification échoue et des codes d'état suivants sont retournés :
  • STATUS_ACCOUNT_LOCKED_OUT
  • STATUS_WRONG_PASSWORD
  • STATUS_PASSWORD_MUST_CHANGE
  • STATUS_PASSWORD_EXPIRED
Remarque Les clients NTLM incluent LanMan, Microsoft Windows 95, Microsoft Windows 98, Windows NT 4.0 et parfois les clients Windows 2000.
Les scénarios suivants peuvent provoquer le PDC subir une utilisation supérieure de processeur, mémoire, disque ou autres ressources que les autres contrôleurs de domaine du domaine :
  • Comptes sur les mots de passe expiré qui ont des canaux de sécurité pour les contrôleurs de domaine non-PDC ordinateurs membres du domaine de service (STATUS_WRONG_PASSWORD).
  • Authentification d'ouverture de session pour l'utilisateur comptes lorsque la case à cocher l'utilisateur doit changer de mot de passe est activée dans domaines Windows NT 4.0, ou sur les clients de réseau Windows qui ne sont pas multimaîtres prenant en charge. Ou une réinitialisation de l'attribut utilisateur doit changer de mot de passe pour de nombreux utilisateurs.
  • Utilisateurs qui entrent les mots de passe pendant l'authentification d'ouverture de session ou un réseau qui ne correspondent pas à leurs mots de passe respectifs sur leur contrôleur de domaine canal de sécurité.
En quantité suffisante, ces opérations individuellement peuvent surcharger un contrôleur de domaine, ou elles peuvent provoquer suffisamment charge incrémentielle affecter des niveaux de service.

Résolution

  • Si vous tentez comptes de service d'une session avec les mots de passe obsolètes, identifier les comptes de service problème en utilisant votre outil de verrouillage de compte par défaut sur le contrôleur principal de domaine, puis arrêter les comptes de service ou réinitialiser les mots de passe.
  • Si un mot de passe réinitialisé se produit pour de nombreux utilisateurs, portée le nombre de comptes dans laquelle l'utilisateur doit changer de mot de passe est défini.
  • Le contrôleur CPD dans WINS et DNS «masquer» en modifiant le Registre pour activer la valeur de Registre
    Randomize1CList
    .

    Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
    231305WINS Randomize1cList fonction aides-équilibrage entre les contrôleurs de domaine
  • Examinez si le contrôleur principal de domaine contient les correctifs mise en cache négative décrits dans l'article suivant dans la base de connaissances Microsoft :
    272065Mot de passe infructueuses sont transférées plusieurs fois à partir de contrôleurs de domaine et le maître d'opérations PDC

Les clients Windows 2000 dans le domaine Windows NT 4.0 sont authentifiés exclusivement par le contrôleur principal de domaine

Symptômes

Les clients Windows 2000 dans les domaines Windows NT 4.0 sont initialement authentifiés uniquement par le contrôleur principal du domaine.

Résolution

Pour résoudre ce problème, installez Windows 2000 Service Pack 2 (SP) ou version ultérieure.

Clients Windows 2000, Windows XP et Windows Server 2003 dans les domaines du système d'exploitation mixtes sont authentifiés exclusivement par les contrôleurs de domaine ultérieure modèle après avoir découvert en cours

Symptômes

Clients Windows 2000, Windows XP et Windows Server 2003 appartenant à des domaines du système d'exploitation mixtes sont authentifiés uniquement par les contrôleurs de domaine Windows 2000 ou Windows Server 2003 après mise à jour le canal sécurisé.

Résolution

Ce comportement est voulu par la conception même du produit, mais peut être atténué en déployant des contrôleurs de domaine Active Directory supplémentaires, particulièrement dans les sites Active Directory qui contiennent de nombreux utilisateurs. En outre, assurez-vous que la clé de Registre
NT4Emulator
est définie correctement pour empêcher la migration de canal de sécurité en bloc vers un contrôleur de domaine Active Directory.
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
298713Procédure pour empêcher la surcharge sur le premier contrôleur de domaine pendant la mise à niveau du domaine

Nombreux clients de version antérieure peuvent entraîner le PDC ne fonctionne pas correctement

Symptômes

Si vous avez de nombreux clients Windows NT (plus de 25 000) et tous les envoyer au contrôleur principal de domaine une demande pour modifier le mot de passe de l'utilisateur ou le mot de passe du compte d'ordinateur, les demandes du client sont ? rejetés comme obsolète."

Ce problème est dû une demande pour modifier le mot de passe de l'utilisateur ou le mot de passe d'ordinateur est envoyée spécifiquement pour le PDC sous la forme d'un mailslot Request for principal . Par défaut, comme étant les mailslots reçues par le contrôleur principal de domaine, ils placés en file de sont attente pendant 15 secondes avant rejeté comme trop ancien. Toutefois, dans Windows 2000 Service Pack 3 (SP3) ou version antérieure, le mappage client nom vers IP est conservé dans le cache NBT pour seulement 10 secondes. Par conséquent, le contrôleur principal de domaine devrez peut-être contacter le serveur WINS pour résoudre le nom du client à une adresse IP pour chaque demande du client. Si Impossible de terminer la résolution de noms avant expiration de limite de 15 secondes du cache de la boîte aux lettres, le contrôleur principal mailslot traitement ne peut pas récupérer à partir de cette situation. Par conséquent, les demandes du client va être ? rejetés comme obsolète."

Résolution

Windows 2000 Service Pack 4 (SP4) contient un correctif qui augmente la limite de cache NBT pour être égal au délai de mailslot de 15 secondes.
Pour plus d'informations sur ce correctif, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
316803Les clients antérieurs peuvent ne pas modifier les mots de passe ou ne pas joindre dans un Windows domaine 2000
Pour résoudre ce problème, procurez-vous le dernier service pack pour Windows 2000. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
260910Procédure pour obtenir le dernier Service Pack Windows 2000

Nombre élevé de tentatives de mot de passe incorrect peut provoquer une charge élevée sur PDC

Symptômes

Par défaut, lorsqu'un utilisateur entre un mot de passe incorrect, le mot de passe est envoyé au contrôleur de domaine au cas où le mot de passe a été modifié récemment. Dans un domaine de nombreux utilisateurs, cela peut entraîner une charge élevée sur ressources du contrôleur principal. Ou, de nombreux ordinateurs du domaine peuvent exécuter un programme ou un service qui utilise les informations d'identification d'ouverture de session incorrecte et peut recommencer ces informations d'identification à plusieurs reprises.

Résolution

Pour résoudre ce problème, vous définissez la clé de Registre AvoidPdcOnWan pour prendre cette charge désactiver le contrôleur principal de domaine.

Pour plus d'informations sur ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
225511Nouvelle modification de mot de passe et de fonctionnalité de résolution de conflits dans Windows

Serveurs DFS extraire table de connaissance de partition (PKT) PDC des modifications de configuration DFS

Symptômes

Lorsque la configuration DFS d'une racine DFS de tolérance de panne, toutes les cibles racines sont avertis de la modification de configuration. Puis, ils reçoivent la PKT nouvelle du contrôleur principal du domaine. Si vous avez plusieurs cibles racines et des modifications fréquentes, il peut être une charge importante sur le contrôleur principal de domaine.

Résolution

Windows Server 2003 implémente une fonctionnalité appelée mode évolutivité racine. Lorsque cette fonctionnalité est activée, modifications ne sont pas envoyées comme les notifications pour les cibles racine et les cibles ne retirez pas la PKT du contrôleur principal. Au lieu de cela, ils extraient la PKT sur leur contrôleur de domaine le plus proche. Bien que les modifications de configuration déplacement plus lentement sur le réseau, la charge sur le contrôleur de domaine principal est nettement inférieure. Pour activer le mode évolutivité racine, exécutez la commande suivante :
dfsutil /root: \\ domain \ dfsroot /RootScalability /Enable
Remarque Seuls les serveurs qui exécutent Windows Server 2003 peuvent utiliser ce paramètre.

Propriétés

Numéro d'article: 305027 - Dernière mise à jour: lundi 3 décembre 2007 - Version: 6.7
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT 4.0
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Mots-clés : 
kbmt kbinfo KB305027 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 305027
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com