Jump to content

Maximale Anzahl Gruppenmitglieder 5000 ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

wir haben auf dem Campus ein Identity Management System welches User und Gruppen in unser Testsetup AD Windows 2012 R2

provisioniert.

 

Nun gibt es den Fall, dass einige Gruppen mehr als 5000 Member haben

Bisher hatten wir noch keine so große Anzahl User in einer Gruppe und sind daher erst jetzt auf diesen Sachverhalt gestoßen.

 

Kennt jemand diesen Sachverhalt ?

Warum darf dann die Built In Group "Domain Users " viel mehr Member enthalten ?

Bzw. schaut man sich mit dem Attribut Editor "Domain Users" ist das Attribut Member leer ?

 

Bei eigenen Gruppen ist das Attribut mit Member gefüllt ?

 

MS schreibt hier max 5000 User pro Gruppe.

http://technet.microsoft.com/de-de/library/active-directory-maximum-limits-scalability%28v=ws.10%29.aspx#BKMK_LDAP

 

P.S Die Anzahl 20000 lässt sich dagegen in ein Open LDAP provisionieren.

Verstehe ich nicht.

 

Vielen Dank für Info

Andi

Link to comment

Welcher forest function level ?

 

Wie fügst Du die User hinzu ? Zeige Dein Script.

Welche Powershell Version ?

 

Lt dem TechNet-Artikel hat Microsoft als "Limit" 500 Millionen "getestet"

 

Führst Du das Script eventuell gegen den LDAP-Server aus ?

 

Dann http://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability(v=ws.10).aspx#BKMK_LDAP lesen

Link to comment

Hi zusammen, hi Zahni,

 

Forest Level ist (noch) Windows 2008 R2.

Das PS Skript hat nur User in die OU angelegt. Hinzufügen zur Gruppe habe ich ganz naiv über => GUI Alle markieren hinzufügen gemacht.

 

Aber richtig das Identity System spricht über LDAP/ LDAPs mit der AD.

Sollte man evtl. eine andere Schnittstelle verwenden, wenn ja welche ?

 

Dieser Artikel habe ich noch bezueglich LDAP etc. Die AD LDAP Poilcy Werte MaxValRange und MaxPagesize beziehen sich auf Lese Anfragen an AD.

Doch aber nicht auf Schreibvorgänge... zumindest verstehe ich das so.

 

Windows Server 2008 and newer domain controller returns only 5000 values in a LDAP response

http://support.microsoft.com/kb/2009267

 

VG & Merci

Andi

Link to comment

Wir haben bei uns am Campus eine Gruppe mit knapp 70.000 Benutzer drin, das ist kein Problem. Das Problem mit diesen Abfragen hatten wir auch. Man kann das mit ein paar kryptischen Befehlen am DC höher stellen, aber da gibt es dann auch irgendwo ein hartes Limit. Letztlich kann man das nur mit sauberer Programmierung lösen, wie genau das klappt - kA.

Link to comment

Hi zusammen, hi Doso, 70000 User in einer Gruppe ? Über welche Schnittstelle habt ihr das gemacht ? Mit welchen kryptischen Befehlen ? Ich vermute mal NICHT über LDAP ? VG & Merci Andi

 

Schnittstelle ist LDAP, da Zielsystem ein AD ist und Quellsystem ein Novell eDirectory. Wurde halt dann anders programmiert, ein User nach dem anderen und nicht mehrere gleichzeitig. Das hat zwar bei der Erstsychronisierung ewig gedauert, ansonsten funktioniert das gut. Auf dem AD DC sind die Standardschwellenwerte drauf, wir hatten da in einer Testumgebung damit getestet.

Edited by Doso
Link to comment
  • 7 months later...

Hallo zusammen,

 

 

hier einmal unsere Lösung falls es jemand mal braucht. Lösung war der Parameter "maxReceivedMessageSize" 
der AD Web Services configuration zu erhöhen.

In C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config den Wert "maxReceivedMessageSize" von 1048576 auf 2097152
verdoppeln.

<binding name="ActiveDirectoryWebServicesNetTcpBindingConfiguration" maxReceivedMessageSize="1048576" receiveTimeout="00:10:00" >

Neustart des  Active Directory Web Services (ADWS) Service, und siehe da 20000 User  lassen sich anlegen.

 

VG

Andi

  • Like 2
Link to comment

Moin,

 

hier stehen die dokumentierten Limits:

 

[Active Directory Maximum Limits Scalability Capacity]
http://technet.microsoft.com/de-de/library/active-directory-maximum-limits-scalability%28v=ws.10%29.aspx
 

Bei sehr großen Objektzahlen ist das GUI oft überfordert, weil es dafür nicht gemacht ist.

 

Die Gruppe "Domain Users" ist eine spezielle Gruppe, deren Mitgliedschaft i.d.R. anders gehandhabt wird. Daher stehen dort normalerweise "direkt" gar keine Mitglieder drin.

 

[AD: “Domänen-Benutzer” per LDAP abfragen | faq-o-matic.net]
http://www.faq-o-matic.net/2009/01/17/ad-domnen-benutzer-per-ldap-abfragen/

 

Gruß, Nils

Link to comment
  • 2 weeks later...

Hallo Nils, hallo zusammen,

 

vielen Dank die LDAP Infos auf FAQmatic kenne ich und schätze diese sehr.

Du sprichst es an ... die GUi ist bei großen Objekt-Zahlen überfordert.

In ADUC ist zum Glück eine Anzahl von 20000 über die Advanced Setting ( Filter) einstellbar.

 

Danke für den MS Link.

Wenn ich mich nicht irre hatte ich den Link schon an unsere IDM Entwickler

weitergegeben.

Inwiefern sie mit den Informationen etwas anfangen können... wir werden sehen.

 

VG & Merci

Andi

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...