可以在 Windows 2012 R2 本机活动目录的林根中定义的备用 UPN 后缀的数量是否有上限?我在某处读到 Windows 2000 林限制 = 863,Windows 2003 林限制 = 1300。询问的原因是我正在考虑为外联网身份验证设置一个新林,其中登录将是电子邮件地址(samAccountName 不接受“@”) - 我的数字比这个高得多。我已经看到可以在 OU 以及林根级别上设置 UPN 后缀 - 不确定这是否有帮助(可能会扩展最大值)?如果 2012 年仍有最大数量,是否仍然需要定义 UPN 后缀。即,我可以围绕它编写脚本,还是系统强制?在这种情况下,这是一个没有信任的单域林。我使用的是 Windows Exchange Server 2013。
问问题
1575 次
2 回答
1
在您的情况下,上限应该没有任何区别。如果您是 a) 依赖 GUI 工具来显示选项或 b) 创建林信任,则只需预定义所有 UPN 后缀。
如果您只需要将某人的电子邮件地址作为登录凭据存储在userPrincipalName属性中,则无需预先填充该uPNSuffixes属性。
于 2015-11-16T13:47:09.817 回答
1
理论:~3900,实际:~1200
(无论信托数量如何)
其原因归结为如何在 Active Directory 数据存储中按林存储 UPN 后缀。
UPN 后缀在森林范围内定义,并存储在ConfigurationsNC 中。您可以通过从以下位置检索uPNSuffixes属性值来查看列表CN=Partitions,CN=Configuration,DC=forestroot,DC=tld
现在,该uPNSuffixes属性是一个非链接的多值属性,而富有洞察力的 TechNet 文章“数据存储的工作原理”对这种类型的属性有这样的说法:
最大数据库记录大小
数据库记录的最大大小为 8110 字节,基于 8 千字节 (KB) 的页面大小。由于可变的开销要求和对象可能具有的可变数量的属性,不可能为对象可以存储在其属性中的最大多值数量提供精确的限制。出于所有实际目的,如果您使用本章后面“静态数据”中描述的推荐准则,则 Active Directory 中的对象大小并不重要。
当对象只有一个属性(这是不可能的)时,唯一可以实际计算的值是非链接的多值属性中的最大值数。在 Windows 2000 Active Directory 中,此数字按 1575 个值计算。根据该值,考虑到各种开销估计并概括对象可能存储的其他值,对象存储的多值数量的实际限制估计为跨所有属性的每个对象 800 个非链接值。
在 Windows Server 2003 及更高版本中,每个对象 800 个非链接值的实际限制有所增加。当林具有 Windows Server 2003 或更高的功能级别时,对于只有一个属性且开销最小的理论记录,在 3937 处计算一条记录中可能的最大多值数。使用类似的开销估计,一个记录中的非链接多值的实际限制约为 1200。提供这些数字只是为了指出对象的最大大小在 Windows Server 2003 及更高版本中稍大一些。(重点补充)
我相信这些可能是您在其他地方读到的价值观。如文章所示,这不是硬性限制,因此您可能会发现可以添加例如。2000 个 UPN 后缀,它们都可以正常工作
于 2015-11-16T11:54:58.040 回答