Leistungsprobleme bei Active-Directory-Zugriff, Exchange & Co.
Liegen Leistungsprobleme in Exchange oder anderen Serverdiensten vor, die von Active Directory abhängen (zum Beispiel bezüglich des Postfachzugriffs oder des Versenden von Nachrichten), besteht häufig parallel auch ein Problem in Active Directory oder DNS. Nachfolgend gehen wir auf die Diagnose und auf Fehlerbehebungen in diesem Bereich ein.
Vor allem durch die Kommunikation zwischen virtuellem Server, virtuellem Netzwerk-Switch und physischem Netzwerk ist es oft schwer, Fehler zu erkennen. Exchange, aber auch andere Dienste, die Active Directory benötigen, greifen über die Systemdatei wldap32.dll auf Active Directory zu. Dabei laufen (vereinfacht) folgende Vorgänge ab:
1. Die Datei wldap32.dll auf dem Exchange-Server erhält durch einen Exchange-Prozess eine Anfrage, um auf den globalen Katalog zuzugreifen.
2. Per DNS versucht der Server, den globalen Katalogserver aufzulösen, um auf diesen zugreifen zu können. Dauert dieses Auflösen zu lange, verzögert sich bereits an dieser Stelle der Active-Directory-Zugriff.
3. Nach der Auflösung stellt die Datei eine Verbindung zum GC (Global Catalog, globaler Katalog) her und überträgt die Anfrage.
4. Anschließend werden eine TCP-Verbindung aufgebaut und eine LDAP-Abfrage gestartet. Damit die Verbindung funktioniert, benötigt die TCP-Verbindung drei Bestätigungen durch den Domänencontroller. Bei einer Latenz von 10 Millisekunden im Netzwerk dauert der Zugriff in diesem Fall also 30 Millisekunden, bevor der Exchange-Server die LDAP-Abfrage übertragen kann.
5. Die LDAP-Abfrage wird zur Datei lsass.exe auf dem Domänencontroller übertragen, die auf den LDAP-Port des Servers hört.
6. Der Domänencontroller nimmt die Abfrage an den GC entgegen und führt die Suche in seinem globalen Katalog durch.
7. Der GC sendet die Daten über die Netzwerkkarte zur Datei wldap32.dll auf dem Exchange-Server. Handelt es sich um eine hohe Anzahl an Daten, zum Beispiel beim Auflösen der Mitglieder einer Verteilergruppe, müssen erst alle Daten übertragen werden, bevor Exchange mit der Verarbeitung weitermachen kann.
Ein sehr großer Teil der Leistung hängt von der Netzwerkgeschwindigkeit zwischen dem Exchange-Server und dem globalen Katalog oder Domänencontroller ab, unabhängig davon, ob diese Server virtuell oder physisch installiert sind. Aus diesem Grund sollten Sie bei Leistungsproblemen der Exchange-Infrastruktur auch immer die Geschwindigkeit des Netzwerks messen.
Am besten messen Sie den Zugriff des virtuellen Servers und des Hyper-V-Hosts. Auch die Geschwindigkeit zum DNS-Server und eine schnelle, stabiler und korrekte Namensauflösung sind sehr wichtig. Die Geschwindigkeit zum DNS-Server darf 50 Millisekunden nicht überschreiten, wenn Sie die Leistung des Exchange-Servers optimieren wollen. Dauert die Anfrage länger, haben Sie schon den ersten Flaschenhals in der Exchange-Leistung.