Optimieren der Active Directory-Integration
Letztes Änderungsdatum des Themas: 2005-06-28
Alle Exchange-Server und -Benutzer sollten einen schnellen Zugriff auf einen globalen Katalogserver haben. Die Nähe des globalen Katalogservers zum Exchange-Server und zum Clientcomputer beeinflusst die Leistung des Clients. Mindestens ein globaler Katalogserver muss in jeder Domäne mit Exchange-Servern installiert werden. Um optimale Leistung in großen Organisationen zu erreichen, sind weitere globale Katalogserver erforderlich.
Zwischen den Prozessoren für Exchange und den Prozessoren für globale Katalogserver sollte ein Verhältnis von 4:1 bestehen, vorausgesetzt, die Prozessoren haben ähnliche Geschwindigkeiten. Es können jedoch weitere globale Katalogserver erforderlich werden, wenn diese stärker beansprucht werden, eine große Active Directory-Implementierung vorhanden ist, die Anwendungen häufig verwendet oder umfangreiche Verteilerlisten verwaltet werden müssen. Mit Exchange 2003 können globale Katalogserver mit bis zu acht installierten Prozessoren verwendet werden.
Verhältnisse von globalen Katalogen zu Exchange
Die Planung der erforderlichen Anzahl globaler Katalogserver für Ihre Exchange Server 2003-Installation kann viel Zeit in Anspruch nehmen. Sie sollten einen globalen Katalogprozessor für je vier Exchange Server 2003-Prozessoren einrichten und anschließend ggf. eine Feinabstimmung vornehmen. Bei dieser Regel müssen die Prozessoren die gleiche Klasse und Geschwindigkeit aufweisen. Beispiel:
- Ein globaler Katalogserver mit einem Prozessor ist für die Last von einem Exchange 2003-Server mit vier Prozessoren geeignet.
- Zwei globale Katalogserver mit je einem Prozessor sind für die Last von einem Exchange 2003-Server mit acht Prozessoren geeignet.
- Vier globale Katalogserver mit je vier Prozessoren sind für die Last von acht Exchange 2003-Servern mit je acht Prozessoren geeignet.
Mit Exchange Server 2003 können globale Katalogserver mit bis zu acht installierten Prozessoren verwendet werden. Sie müssen jedoch den Skalierungsfaktor von 75 % für Active Directory-Server mit 4 bis 8 Prozessoren berücksichtigen. Ein globaler Katalogserver mit 8 Prozessoren sollte somit für Berechnungen des Verhältnisses von globalen Katalogservern zu Exchange als Server mit 7 Prozessoren betrachtet werden.
Dedizierte Active Directory-Server für Exchange
Wenn Ihr Netzwerk viele Exchange 2003-Server enthält, müssen Sie einen Satz von globalen Katalogservern für Exchange dedizieren. Erstellen Sie einen dedizierten Active Directory-Standort, der die Exchange 2003-Server und die entsprechenden dedizierten globalen Katalogserver enthält. Daraus ergeben sich verschiedene Vorteile:
- Datenverkehr von anderen Systemen als Exchange Server 2003 wird an andere Active Directory-Server in der Organisation übermittelt.
- Die Leistungsanalyse und die Verwaltung von Active Directory wird vereinfacht.
- Der Exchange-Administrator kann die für Exchange dedizierten Active Directory-Server besser steuern.
Einrichten der PDC-Vermeidung
Andere Anwendungen als Exchange stellen mitunter sehr häufig Anfragen an den PDC-Emulatorcomputer (primärer Domänencontroller). Wenn Exchange Server 2003 den PDC-Emulatorcomputer ebenfalls für Anfragen nutzt, kann die Leistung des PDC-Emulators und von Exchange verringert werden. In der Standardeinstellung wird der PDC-Emulatorcomputer von DSAccess gemeinsam mit anderen Servern am lokalen Active Directory-Standort für Anfragen verwendet. Sie können allerdings den MinUserDC-Wert in die Registrierung eintragen, um dieses Verhalten zu ändern.
Ausführliche Anweisungen finden Sie unter Festlegen des Registrierungswerts „MinUserDC“.
Verwendung der Option „/3GB“ bei Active Directory-Servern
Im Active Directory-Prozess wird für die Datenbank die Extensible Storage Engine (ESE) verwendet. Die ESE-Standardcachegröße beträgt 512 MB. Wenn Sie für globale Katalogserver jedoch Windows 2000 Advanced Server oder Windows Server 2003 (beliebige Edition) verwenden und mehr als 1 GB physischen Arbeitsspeicher installiert haben, sollten Sie in der Datei Boot.ini dieser Server die Option /3GB angeben. Durch diesen Vorgang wird der ESE-Cache automatisch auf 1024 MB erhöht. In den meisten Fällen führt ein größerer Cache zu einer um 20 - 40 % verringerten Anzahl von Festplatten-Lesevorgängen und zu einer erheblichen Verkürzung der LDAP-Antwortzeiten.
Bei Systemen, die über 1 GB oder mehr physischen Arbeitsspeicher verfügen, wird die Startoption /3GB in der Datei Boot.ini empfohlen. Dies trägt zur Reduzierung der Fragmentierung des Arbeitsspeichers im virtuellen Adressraum des Active Directory-Prozesses bei.
Die Option /3GB sollte nur auf Active Directory-Servern mit 1 GB oder mehr Arbeitsspeicher verwendet werden, auf denen eines der folgenden Betriebssysteme ausgeführt wird:
- Microsoft Windows Server 2003 Standard Edition
- Microsoft Windows Server 2003 Enterprise Edition
- Microsoft Windows Server 2003 Datacenter Edition
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Datacenter Server
Wichtig
Der Schalter /3GB sollte unter Windows 2000 Server nicht verwendet werden, da er nicht unterstützt wird und den Absturz von Anwendungen oder des Betriebssystems verursachen kann. Außerdem wird die Option /3GB auf den obigen Betriebssystemen nur dann unterstützt, wenn 1 GB oder mehr physischer Arbeitsspeicher vorhanden ist.
Weitere Einzelheiten zum Festlegen dieser Option in der Datei boot.ini finden Sie unter Festlegen des Startschalters „/3GB“ in Windows.
Verwenden von Exchange Server 2003 auf Active Directory-Servern
Für eine optimale Skalierbarkeit und flexible Verwaltung sollte Exchange Server 2003 auf einem Windows-Mitgliedsserver installiert werden und nicht auf einem Domänencontroller oder einem globalen Katalogserver. Das letztere Szenario wird unterstützt, Sie sollten sich jedoch mit den Folgen auseinander setzen:
Threads im Prozess Lsass.exe werden mit höherer Priorität ausgeführt als Exchange-Threads. Ein Zuwachs im Prozess Lsass.exe kann sich nachteilig auf die Verarbeitungszeit für Exchange auswirken.
Wenn der Exchange-Server auch die Rolle eines Domänencontrollers übernimmt, werden Serverressourcen für andere, nicht auf Exchange bezogene Anfragen verbraucht, z. B. Benutzerauthentifizierung und Verzeichnissuchen für andere Anwendungen. Die zusätzlichen Aktivitäten haben Auswirkung auf die Leistung des Exchange 2003-Servers.
Obwohl DSAccess alle Domänencontroller und globalen Katalogserver am lokalen Active Directory-Standort erkennt, werden diese nicht verwendet. Alle Verzeichnisanfragen werden an den lokalen Verzeichnisdienst gesendet. Lastenausgleich und Failover finden in diesem Szenario nicht statt.
Zum Verwalten von Exchange Server 2003-Diensten muss der Administrator als lokaler Administrator definiert sein. Wenn Exchange Server 2003 auf einem Domänencontroller ausgeführt wird, muss der Exchange-Administrator der Administratorgruppe in der Domäne angehören. Über die Mitgliedschaft erhält der Exchange-Administrator implizit zusätzlichen Zugriff auf andere Computer in der Domäne.
Wenn Exchange Server als Teil von Microsoft Windows Small Business Server 2003 ausgeführt wird, kann Exchange Server auf einem Domänencontroller installiert werden. Wenn Exchange Server nicht als Teil von Windows Small Business Server ausgeführt wird, ist die Installation von Exchange Server auf einem Domänencontroller nicht zu empfehlen.
Wenn Exchange Server auf einem Domänencontroller ohne Small Business Server installiert ist, sollten Sie folgende Punkte beachten:
- Sowohl Exchange Server als auch Active Directory sind ressourcenintensive Anwendungen. Wenn beide auf demselben Computer ausgeführt werden, müssen Auswirkungen auf die Leistung berücksichtigt werden.
- Wenn Exchange Server auf einem Domänencontroller ausgeführt wird, muss dieser Domänencontroller ein globaler Katalogserver sein.
- Mehrere Verzeichniskomponenten von Exchange Server, z. B. der Verzeichnisdienstzugriff (DSAccess – Directory Service Access), Verzeichnisdienstproxy (DSProxy – Directory Service Proxy) und das Nachrichtenkategorisierungsmodul (Message Categorizer) erlauben keinen Failover auf einen anderen Domänencontroller oder globalen Katalogserver.
- Sie sollten die Startoption /3GB in Windows nicht verwenden, da sie dazu führen kann, dass Exchange Server den ganzen Arbeitsspeicher benötigt und keine weiteren Ressourcen für Active Directory zur Verfügung stehen.
- Das Herunterfahren des Systems nimmt erheblich mehr Zeit in Anspruch, wenn die Dienste von Exchange Server vor dem Herunterfahren oder Neustart nicht angehalten werden.
- Diese Konfiguration ist weniger sicher, da Exchange-Administratoren lokalen Administratorzugriff auf Active Directory besitzen und dadurch ihre eigenen Privilegien ausweiten können. Außerdem kompromittiert jede Sicherheitslücke in Exchange Server oder Active Directory jeweils die andere Seite.
- Wenn Exchange Server 2003 auf einem Domänencontroller ausgeführt wird, wird das Ändern der Rolle des Computers mit dem Heraufstufungstool für Domänencontroller (DCPromo) nicht unterstützt. Komponenten wie Outlook Mobile Access funktionieren danach nicht mehr.
- Das Ausführen von Exchange Server 2003 auf einem Knoten eines Clusters, der ebenfalls ein Active Directory-Domänencontroller ist, wird nicht unterstützt und sollte unter allen Umständen vermieden werden. Dies bedeutet, dass Sie einen Knoten eines Clusters, der Domänencontroller ist und auf dem Exchange 2000 Server ausgeführt wird, vor dem Aktualisieren von Exchange 2000 Server auf Exchange Server 2003 auf einen Mitgliedsserver herabstufen müssen.
Erhöhen der maximal aktiven LDAP-Abfragen
Wenn an einem Windows Active Directory-Standort mit Windows 2000-Verzeichnisservern viele Exchange 2003-Server vorhanden sind, kann für die Active Directory-Server eine große LDAP-Last auftreten. In der Standardeinstellung ist ein Active Directory-Server so konfiguriert, dass maximal 20 aktive LDAP-Abfragen unterstützt werden. Wenn diese Grenze erreicht wird, gibt Active Directory den Fehler LDAP_ADMIN_LIMIT_EXCEEDED zurück und bricht die Verarbeitung weiterer LDAP-Abfragen ab. Für die meisten Active Directory-Server ist die Einstellung 20 ausreichend. Wenn Sie Exchange Server 2003 jedoch auf Servern mit acht Prozessoren ausführen oder die Fehlermeldung LDAP_ADMIN_LIMIT_EXCEEDED protokolliert wird, muss dieser Wert erhöht werden.
Die maximale Anzahl von LDAP-Abfragen kann über das MaxActiveQueries-Attribut konfiguriert werden. Diese Einstellung kann mit dem Tool Ntdsutil.exe angepasst werden. Durch das Erhöhen dieser Einstellung wird vom Prozess Lsass.exe auf dem Active Directory-Server mehr Arbeitsspeicher verbraucht. Stellen Sie diesen Wert daher nicht höher ein als notwendig.
Ausführliche Anweisungen zum Erhöhen der maximalen Anzahl von aktiven LDAP-Anfragen finden Sie unter Festlegen des Attributs „MaxActiveQueries“.
.gif "note") Anmerkung: |
|---|
| Das MaxActiveQueries-Attribut ist nur auf Verzeichnisservern unter Windows 2000 Server von Bedeutung. Das MaxActiveQueries-Attribut kann auf Verzeichnisservern unter Windows 2003 Server nicht festgelegt werden. |
Optimieren von DSAccess auf Postfachservern
Exchange-Objekte werden in der Standardeinstellung von der DSAccess-Komponente zwischengespeichert. Der Cachespeicher wird in zwei Abschnitte unterteilt: einen Abschnitt für Benutzerobjekte (d. h. Domänennamenskontext) und einen weiteren Abschnitt für Konfigurationsdaten wie Informationsspeicher- und Routingobjekte. Benutzerobjekte werden für 5 Minuten zwischengespeichert und Konfigurationsdaten für 15 Minuten.
Cachepools in Exchange 2000 Server weisen eine Größe von 25 MB auf. Zur Steigerung der Leistung wurden die Standardeinstellungen geändert. Der Standardcache für Konfigurationsdaten in Exchange Server 2003 beträgt 5 MB, der Standardcache für Benutzerobjekte beträgt 140 MB.
In sehr großen Topologien mit mehr als 100 Administrator- oder Routinggruppen kann durch Optimierung der DSAccess-Cacheabschnitte eine Leistungssteigerung erzielt werden.
Ausführliche Anweisungen zum Optimieren des DSAccess-Konfigurationscaches finden Sie unter Konfigurieren des DSAccess-Konfigurationscaches.
Ausführliche Anweisungen zum Optimieren des DSAccess-Benutzercaches finden Sie unter Konfigurieren des DSAccess-Benutzercaches.