可以在Windows 2012 R2本机活动目录的林根中定义的备用UPN后缀数量是否有上限?我在某处看到Windows 2000林限制= 863,Windows 2003林限制= 1300.询问的原因是我正在研究为外网认证设置新林,其中登录将是电子邮件地址(samAccountName不接受" @") - 我的数字远高于此数字。我已经看到可以在OU以及林根级别设置UPN后缀 - 不确定这是否有帮助(可能扩展最大值)?如果2012年仍有最大数量,是否仍需要定义UPN后缀。即,我可以围绕它编写脚本,还是系统必须的?在这种情况下,这是一个没有trust的单域林。我正在使用Windows交换机服务器2013。
答案 0 :(得分:1)
(无论信任号)
原因归结为如何在Active Directory数据存储中为每个林存储UPN后缀。
UPN后缀在全林范围内定义,并存储在Configurations NC中。您可以通过从CN=Partitions,CN=Configuration,DC=forestroot,DC=tld
uPNSuffixes attribute的值来查看自己的列表
现在,uPNSuffixes属性是一个非链接的多值属性,而富有洞察力的TechNet文章“数据存储如何工作”就此仅说明了这种类型的属性:
最大数据库记录大小
数据库记录的最大大小是 8110字节,基于8千字节(KB)页面大小。因为变数 开销要求和可变数量的属性 对象可能有,不可能提供精确的限制 对象可以存储在其中的最大多值数 属性。出于所有实际目的,对象的大小不是 如果您使用建议的准则,则在Active Directory中显着 在本章后面的“静态数据”中进行了描述。
实际可以计算的唯一值是最大数量 当对象只有时,非链接的多值属性中的值 一个属性(这是不可能的)。在Windows 2000 Active Directory中 此数字的计算值为1575。从这个价值来看,服用 考虑各种间接费用估算并对其进行概括 对象可能存储的其他值,实际限制 由对象存储的多值的数量估计为800 所有属性中每个对象的非链接值。
每个对象增加800个非链接值的实际限制 Windows Server 2003及更高版本。当森林具有功能水平 对于具有的理论记录,Windows Server 2003或更高版本 只有一个具有最小开销的属性,最大数量 一条记录中可能的多值计算为3937 。使用类似 对开销的估计,非连接多值的实际限制 一条记录约为1200条。这些数字仅提供给 指出一个对象的最大尺寸稍微大一些 Windows Server 2003及更高版本。 (重点补充)
我相信这些可能是你在其他地方读过的值。如文章所示,这不是硬限制,因此您可能会发现可以添加例如。 2000 UPN后缀,所有这些都很好用
答案 1 :(得分:1)
在您的情况下,上限不应有任何区别。如果您要么a)依赖GUI工具来显示选项,要么b)创建林信任,您只需要预先定义所有UPN后缀。
如果您只需将某人的电子邮件地址存储为userPrincipalName属性中的登录凭据,则无需预先填充uPNSuffixes属性。