“Event-ID 16644: The maximum domain account identifier value has been reached. No further account-identifier pools can be allocated to domain controllers in this domain.”

Wahrscheinlich haben Sie diese Meldung bisher noch nicht gesehen. Das Limit der SIDs (Security Identifier) in einer Domäne kann aber ebenso erreicht werden, wie andere Grenzen.

Microsoft schlägt in diesem Fall übrigens als Workaround vor, eine zusätzliche Domäne zu erstellen und eine Vertrauensstellung zwischen den Domänen einzurichten, damit Sie einen neuen SID-Pool zur Verfügung haben.

Sicherlich profitieren Sie davon, wenn dies nicht ad hoc und auf die Schnelle geschehen muss, sondern rechtzeitig von Ihnen eingeplant und vorbereitet werden kann.

Microsoft hat deshalb diese Beschränkungen des Active Directory nun veröffentlicht. Auch wenn die Grenzen natürlich so hoch gesteckt sind, dass sie nicht so schnell erreicht werden, sollten Sie als Administrator sie zumindest kennen.

Im Folgenden finden Sie eine Übersicht der Limits des Active Directory:

• SIDs: Eine Domäne kann ca. eine Milliarde SIDs erzeugen
• Gruppenmitgliedschaften: Maximal kann ein Objekt in 1.015 Gruppen Mitglied sein
• FQDN-Namen: Der vollständige FQDN (Fully Qualified Domain Name) in der Domäne darf 64 Zeichen nicht überschreiten
• Dateinamen: Dateinamen inklusive Pfad dürfen maximal 260 Zeichen lang sein
• Organisationseinheit: Der Name einer OU (Organizational Unit) kann maximal eine Länge von 64 Zeichen haben
• Gruppenrichtlinien: Es können maximal 999 Gruppenrichtlinien auf ein Benutzer- bzw. Computerkonto angewendet werden
• LDAP-Operationen: Die empfohlene maximale Anzahl liegt bei 5.000 Operationen pro LDAP-Transaktion
• Domains: Maximal dürfen 800 Domains in einem Forest sein, wenn die Gesamtstruktur-Funktionsebene allerdings auf Windows Server 2003 eingestellt ist, sind 1.200 Domains möglich.
• Domänencontroller: Empfohlen wird, die Anzahl von 1.200 Domänencontrollern pro Domäne nicht zu überschreiten. Nutzen Sie Active Directory integrierte DNS-Zonen, müssen Sie bereits ab 800 Domänencontrollern Besonderheiten beachten.

Besonders die Begrenzung des Fully Qualified Domain Name auf 64 Zeichen sollten Sie beachten, wenn Sie Ihre Domain einrichten. Wählen Sie hier keinen zu langen Namen, damit Sie später bei der Benennung von Objekten in der Domäne keine böse Überraschung erleben.

Weitere interessante Beiträge im Blog:

• April-Ausgabe von Windows Server: Freuen Sie sich auf diese Beiträge
• Große Featureübersicht: Laden Sie sich die Poster zum Windows Server 2008 herunter

Der Beitrag wurde am Samstag, den 26. April 2008 um 20:26 Uhr veröffentlicht und wurde unter Einschränkungen, Server-Verwaltung, Troubleshooting, Windows Server 2003, Windows Server 2008 abgelegt. du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.