{"id":3002,"date":"2015-12-23T16:24:44","date_gmt":"2015-12-23T19:24:44","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=3002"},"modified":"2018-01-16T16:49:25","modified_gmt":"2018-01-16T19:49:25","slug":"test-7","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=3002","title":{"rendered":"Active Directory Error “Administrative limit for this request was exceeded" como solucionarlo?"},"content":{"rendered":"

\"www.radians.com.ar\"<\/a> Quer\u00eda comentarles sobre un problema con un entorno particular que puede ocurrir cuando se est\u00e1n integrando los sistemas UNIX y Active Directory. Microsoft tiene varios atributos en AD para facilitar esta tarea, y uno de esos atributos es el atributo memberUid<\/b> en los objetos del grupo de seguridad. Hemos agregaso los ID de usuario al atributo memberUid<\/b> del grupo de seguridad y Active Directory tratar\u00e1 que a medida que la pertenencia al grupo de los sistemas UNIX para los prop\u00f3sitos de autenticaci\u00f3n\/autorizaci\u00f3n.<\/p>\n

\"www.radians.com.ar\" <\/p>\n

Todo estaba muy bien durante mucho tiempo. El grupo creci\u00f3 y creci\u00f3 a m\u00e1s de un millar de usuarios, hasta que un d\u00eda quisimos agregar otro usuario de UNIX, y obtuvimos este error:<\/p>\n

\"www.radians.com.ar\"<\/a> <\/p>\n

\u201cSe ha superado el l\u00edmite administrativo para esta solicitud", <\/i>hay un l\u00edmite en este atributo? <\/p>\n

La documentaci\u00f3n MSDN<\/a> establece que la propiedad rangeUpper<\/b> del atributo memberUid<\/b> es 256.000. El KB2983975<\/a> tambi\u00e9n menciona que:<\/p>\n

"El l\u00edmite de tama\u00f1o de atributo para el atributo memberUid en el esquema es 256.000 caracteres. <\/i>Depende de la longitud valor individual de la cantidad de identificadores de usuario (UID) caben en el atributo ".<\/i><\/p>\n

E incluso se puede ver por ti mismo si te apetece un ganso en el esquema:<\/p>\n

\"www.radians.com.ar\"<\/a> <\/p>\n

Algo no cuadra aqu\u00ed – s\u00f3lo se han a\u00f1adido alrededor de 1200 usuarios al atributo memberUid<\/b> de este grupo de seguridad. Claro que es un grupo grande, pero que no exceda de 256.000 caracteres. Sumando todos los nombres que he a\u00f1adido al atributo, me imagino que se suma a alguna parte alrededor de 10.000 caracteres. No 256.000.<\/p>\n

Entonces, \u00bfqu\u00e9 pasa?<\/p>\n

El problema es que estamos tocando un l\u00edmite diferente<\/i> a medida que seguimos agregando miembros al atributo memberUid,<\/b> mucho antes de que lleguemos a 256k caracteres. El atributo memberUid<\/b> es un atributo multivalor, sin embargo, no es linked<\/a> attribute. Esto significa que tiene una limitaci\u00f3n en su tama\u00f1o m\u00e1ximo que es menor que los 256.000 caracteres que se muestran en el objeto memberUid<\/b> attributeSchema.<\/b><\/p>\n

podemos distinguir entre qu\u00e9 atributos est\u00e1n relacionados o no en funci\u00f3n de si esos objetos attributeSchema<\/b> tienen valores en su atributo linkID.<\/b><\/p>\n

Un ejemplo de un atributo multivalor y vinculadas:<\/u><\/p>\n

\"www.radians.com.ar\"<\/a><\/p>\n

Ejemplo de un atributo multivalor, pero no<\/u> vinculado:<\/p>\n

\"www.radians.com.ar\"<\/a><\/p>\n

As\u00ed que si el l\u00edmite no es realmente 256.000 caracteres, entonces \u00bfqu\u00e9 es?<\/p>\n

Seg\u00fan C\u00f3mo el almac\u00e9n de datos funciona<\/a><\/i> en TechNet:<\/p>\n

\n

"El tama\u00f1o m\u00e1ximo de un registro de base de datos es 8110 bytes, en base a un ni\u00f1o de 8 kilobytes (KB) el tama\u00f1o de p\u00e1gina.<\/i> Debido a los requisitos generales variable y el n\u00famero variable de atributos que un objeto puede tener, es imposible proporcionar un l\u00edmite preciso para el n\u00famero m\u00e1ximo de multivalues ??que un objeto puede almacenar en sus atributos.<\/i>..<\/i><\/p>\n

El \u00fanico valor que realmente se puede calcular es el n\u00famero m\u00e1ximo de valores de un atributo nonlinked, varios valores cuando el objeto tiene un solo atributo (lo cual es imposible).<\/i> En Windows 2000 Active Directory, este n\u00famero se calcula en 1575 valores.<\/i> A partir de este valor, tomando diversas estimaciones generales en cuenta y generalizar sobre los otros valores que el objeto puede almacenar, el l\u00edmite pr\u00e1ctico para el n\u00famero de multivalues ??almacenados por un objeto se estima en 800 valores nonlinked por objeto en todos los atributos.<\/i><\/p>\n

Atributos que representan enlaces no cuentan en este valor.<\/i><\/b> Por ejemplo, los miembros vinculados, atributo multivalor de un objeto de grupo puede almacenar miles de valores porque los valores son enlaces solamente.<\/i><\/b><\/p>\n

El l\u00edmite pr\u00e1ctico de 800 valores nonlinked por objeto aumenta en Windows Server 2003 y versiones posteriores.<\/i><\/b> Cuando el bosque tiene un nivel funcional de Windows Server 2003 o superior, para un registro te\u00f3rica de que s\u00f3lo tiene un atributo con el m\u00ednimo de gastos generales, el n\u00famero m\u00e1ximo de multivalues ??posibles en un registro se calcula en 3937. El uso de estimaciones similares para gastos generales, un l\u00edmite pr\u00e1ctico para multivalues ??nonlinked en un registro es de aproximadamente 1.200.<\/b> Estas cifras se proporcionan s\u00f3lo se\u00f1alan que el tama\u00f1o m\u00e1ximo de un objeto es algo mayor en Windows Server 2003 y posteriores".<\/i><\/p>\n<\/blockquote>\n

Entonces, si tenemos un dominio de Active Directory corriendo todo sobre Windows Server 2003 o superior, entonces un l\u00edmite "pr\u00e1ctico" para los atributos no vinculados<\/u> de valores m\u00faltiples debe ser de aproximadamente 1.200 valores.<\/p>\n

As\u00ed que vamos a poner esto a prueba, \u00bfde acuerdo?<\/p>\n

Se encuentra disponible en el sitio de Microsoft un script de prueba r\u00e1pida y sucia con PowerShell que generar\u00eda una cadena de 8 caracteres al azar de un grupo de caracteres (es decir, es un usuario ficticio al azar,) y luego a\u00f1ade el ID de usuario al azar al atributo memberUid<\/b> de un grupo de seguridad, en un bucle hasta que el script se encuentra con un error porque el gui\u00f3n no puede a\u00f1adir m\u00e1s valores:<\/p>\n

# This script is for testing purposes only!<\/strong>
$ValidChars = @(‘a’, ‘b’, ‘c’, ‘d’, ‘e’, ‘f’, ‘g’, ‘h’, ‘i’, ‘j’,
‘k’, ‘l’, ‘m’, ‘n’, ‘o’, ‘p’, ‘q’, ‘r’, ‘s’, ‘t’,
‘u’, ‘v’, ‘w’, ‘x’, ‘y’, ‘z’, ‘A’, ‘B’, ‘C’, ‘D’,
‘E’, ‘F’, ‘G’, ‘H’, ‘I’, ‘J’, ‘K’, ‘L’, ‘M’, ‘N’,
‘O’, ‘P’, ‘Q’, ‘R’, ‘S’, ‘T’, ‘U’, ‘V’, ‘W’, ‘X’,
‘Y’, ‘Z’, ‘0’, ‘1’, ‘2’, ‘3’, ‘4’, ‘5’, ‘6’, ‘7’,’8′, ‘9’)<\/font><\/p>\n

[String]$Str = [String]::Empty
[Int]$Bytes = 0
[Int]$Uids = 0
While ($Uids -LT 1000000)
{
$Str = [String]::Empty
1..8 | % { $Str += ($ValidChars | Get-Random) }
Try
{
Set-ADGroup ‘TestGroup’ -Add @{ memberUid = $Str } -ErrorAction Stop
}
Catch
{
Write-Error $_.Exception.Message
Write-Host "$Bytes bytes $Uids users added"
Break
}
$Bytes += 8
$Uids += 1
}<\/font><\/p>\n

Aqu\u00ed el resultado del script:<\/p>\n

\"www.radians.com.ar\"<\/a><\/p>\n

Aproximadamente 1.200 usuarios antes de llegar al "l\u00edmite administrativo", al igual que el art\u00edculo sugiere. Una forma de moverse por tama\u00f1o m\u00e1ximo de este atributo ser\u00eda utilizar grupos anidados, o para romper los ID de usuario separados en dos grupos separados, aunque esto puede hacer que usted tenga que cambiar algo de c\u00f3digo en los sistemas UNIX. <\/p>\n

Por lo general no es un buen d\u00eda cuando uno se da cuenta de que existe este l\u00edmite, por lo que es mejor que debe saberlo de antemano. Otro atributo en Active Directory que podr\u00eda tener un l\u00edmite similar es el atributo servicePrincipalName,<\/b> como se puede leer en este art\u00edculo AskPFEPlat.<\/a><\/p>\n

Espero les sea de interes y utilidad. Saludos. Roberto Di Lello<\/p>\n","protected":false},"excerpt":{"rendered":"

Quer\u00eda comentarles sobre un problema con un entorno particular que puede ocurrir cuando se est\u00e1n…<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[12,11,158,281],"tags":[217,215,194,195,243,290],"class_list":["post-3002","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-2003-r2","category-2008-r2","category-windows-server-2012","category-281","tag-ad-domain-services","tag-sbs-howto","tag-windows-server-2003-r2","tag-windows-server-2008-r2","tag-windows-server-2012-r2","tag-windows-server-2016"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3002","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3002"}],"version-history":[{"count":2,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3002\/revisions"}],"predecessor-version":[{"id":3004,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/3002\/revisions\/3004"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3002"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3002"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3002"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}