Jak zobrazit a nastavit zásady LDAP služby Active Directory pomocí nástroje Ntdsutil.exe

Překlady článku Překlady článku
ID článku: 315071 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento podrobný článek popisuje, jak spravovat zásady protokolu LDAP (Lightweight Directory Access Protocol) pomocí nástroje Ntdsutil.exe. Ujistěte se, že řadiče domény může podporovat úroveň služeb záruky, musíte určit provozní limity pro počet operací protokolu LDAP. Tyto limity zabránit specifické operace z negativně ovlivňovat výkon serveru a také provádět server odolnější některé typy útoků.

Zásady LDAP jsou implementovány pomocí objektů třídy queryPolicy. Objekty zásad dotazování lze vytvořit v kontejneru zásad dotazu, který je podřízeným objektem kontejneru adresářové služby v názvovém kontextu konfigurace. Například: cn = Query-Policies, cn = Directory Service, cn = Windows NT, cn = Services názvový kontext konfigurace.

Limity pro správu systému Windows 2000 a Windows Server 2003 LDAP

Limity pro správu protokolu LDAP jsou:
  • InitRecvTimeout -Tato hodnota určuje maximální dobu v sekundách, po kterou řadič domény čeká na odeslání první požadavek po řadič domény přijímá nové připojení. Pokud klient neodesílá první požadavek v tomto množství času, server odpojí klienta.

    Výchozí hodnota: 120 sekund
  • MaxActiveQueries -Maximální počet souběžných operací hledání LDAP, které je povoleno spouštět současně v řadiči domény. Po dosažení tohoto limitu serveru LDAP vrátí chybu "zaneprázdněn".

    Výchozí hodnota: 20

    Poznámka: Tento ovládací prvek má nesprávný působení MaxPoolThreads hodnota. MaxPoolThreads ovládací prvek na procesor, zatímco MaxActiveQueries Určuje absolutní číslo. Počínaje systémy Windows Server 2003, MaxActiveQueries již vynucena. Navíc MaxActiveQueries nezobrazí se v systému Windows Server 2003 verze nástroje NTDSUTIL.

    Výchozí hodnota: 20
  • MaxConnections -Maximální počet současných připojení LDAP, která bude přijímat řadiče domény. Pokud připojení po této hodnoty dosáhne v řadiči domény, řadiče domény klesne jiné připojení.

    Výchozí hodnota: 5000
  • MaxConnIdleTime -Maximální dobu v sekundách, po kterou může být nečinné, než LDAP server klient ukončí připojení. Připojení více než tuto dobu nečinnosti, vrátí server LDAP LDAP odpojte oznámení.

    Výchozí hodnota: 900 sekund
  • MaxDatagramRecv -Maximální velikost datagramu požadavek, který bude zpracovávat řadiče domény. Požadavky, které jsou větší než hodnota MaxDatagramRecv jsou ignorovány.

    Výchozí hodnota:
    • Systém Windows 2000 - 1 024 bajtů
    • Windows Server 2003 - 4 096 bajtů
  • MaxNotificationPerConnection -Maximální počet požadavků nevyřízené oznámení, které jsou povoleny na jedno připojení. Po dosažení tohoto limitu server vrátí chybu "zaneprázdněn" nové vyhledávání oznámení provedené v této souvislosti.

    Výchozí hodnota: 5
  • MaxPageSize -Tato hodnota určuje maximální počet objektů, které jsou vráceny v jediný výsledek, nezávisle na to, jak velké jsou jednotlivé vráceného objektu. Klient provést hledání, kde může být výsledek překročí počet objektů, musíte zadat stránkované hledání ovládacího prvku. Je-li vrácené výsledky ve skupinách, které jsou větší než skupiny MaxPageSize hodnota. Shrnout, MaxPageSize Určuje počet objektů, které jsou vráceny v jeden výsledek.

    Výchozí hodnota: 10 000
  • MaxPoolThreads -Maximální počet podprocesů na procesor, přijímající sítě vstupní nebo výstupní (I/O) vyhrazuje vlastní řadiče domény. Tato hodnota určuje také maximální počet podprocesů na procesor, mohou současně pracovat na požadavků LDAP.

    Výchozí hodnota: 4 podprocesy na procesor
  • MaxResultSetSize -Mezi jednotlivé vyhledávání, tvořící stránkované výsledky hledání řadič domény může ukládat průběžné data pro klienta. Řadič domény ukládá tato data a urychlit tak další část stránkované výsledky hledání. Na MaxResultSize hodnota řídí celkové množství dat, který řadič domény ukládá pro tento druh hledání. Po dosažení tohoto limitu odstraní nejstarší těchto výsledků mezilehlých prostor pro uložení nové průběžné výsledky řadič domény.

    Výchozí hodnota: 262 144 bajtů
  • MaxQueryDuration -Maximální dobu v sekundách, po jejímž uplynutí bude věnovat jedním hledání řadiče domény. Po dosažení tohoto limitu je řadič domény vrátí chybu "timeLimitExceeded". Hledání, které vyžadují více času musíte zadat stránkované výsledky kontroly.

    Výchozí hodnota: 120 sekund
  • MaxTempTableSize -Při zpracování dotazu dblayer se může pokusit vytvořit dočasnou databázi tabulku seřadit a vybrat průběžné výsledky z. Na MaxTempTableSize limit určuje, jak velký dočasnou databázi lze. Pokud v tabulce dočasná databáze bude obsahovat více objektů, než je hodnota MaxTempTableSize, provede dblayer, mnohem méně efektivní analýzy kompletní databáze adresářové služby a všechny objekty v databázi adresářové služby.

    Výchozí hodnota: 10 000 záznamů.
  • MaxValRange -Tato hodnota řídí počet hodnot, které jsou vráceny atributu objektu, nezávisle na to, kolik atributy objektu má, nebo kolik objektů byly ve výsledcích hledání. V systému Windows 2000 tento ovládací prvek "pevný" kódovány 1 000. Pokud atribut má více než počet hodnot, které jsou určeny MaxValRange hodnota, je nutné použít hodnotu rozsahu kontrol v LDAP k načtení hodnot, které přesahují MaxValRange hodnota. MaxValueRange Určuje počet hodnot, které jsou vráceny na jediný atribut na jeden objekt.

    Výchozí hodnota:
    • Windows 2000-1 024
    • Systém Windows Server 2003-1 500

Spuštění nástroje Ntdsutil.exe


Ntdsutil.exe je umístěn ve složce Support tools na instalačním disku CD-ROM systému Windows 2000. Ve výchozím nastavení je nástroj Ntdsutil.exe nainstalován ve složce System32.
  1. Klepněte na tlačítko Spustita klepněte na tlačítko Spustit.
  2. V Otevřít typ textového pole Nástroj Ntdsutil, a pak stiskněte klávesu ENTER. Chcete-li zobrazit nápovědu, kdykoli, zadejte následující příkaz: ? na příkazovém řádku.

Zobrazení aktuálního nastavení zásad

  1. Zadejte do příkazového řádku Ntdsutil.exe Zásady LDAP, a pak stiskněte klávesu ENTER.
  2. LDAP zásad příkazového řádku zadejte následující příkaz: připojení, a pak stiskněte klávesu ENTER.
  3. Server připojení příkazového řádku zadejte následující příkaz: připojit k serveru Název DNS serveru, a pak stiskněte klávesu ENTER. Chcete-li se připojit k serveru, zobrazí se aktuálně pracujete.
  4. Server připojení příkazového řádku zadejte následující příkaz: q, a pak stiskněte klávesu ENTER se vrátíte k předchozí nabídce.
  5. LDAP zásad příkazového řádku zadejte následující příkaz: Zobrazit hodnoty, a pak stiskněte klávesu ENTER.

    Zásady tak, jak existují zobrazí.

Úprava nastavení zásad

  1. Zadejte do příkazového řádku Ntdsutil.exe Zásady LDAP, a pak stiskněte klávesu ENTER.
  2. LDAP zásad příkazového řádku zadejte následující příkaz: Nastavit nastavení k Proměnná, a pak stiskněte klávesu ENTER. Zadejte například Nastavit MaxPoolThreads 8.

    Toto nastavení změní, pokud přidáte jiný procesor serveru.
  3. Můžete použít Zobrazit hodnoty příkaz ověřit změny.

    Chcete-li uložit změny, použijte následující příkaz: Potvrdit změny.
  4. Po dokončení zadejte q, a pak stiskněte klávesu ENTER.
  5. Ukončíte Ntdsutil.exe, na příkazovém řádku zadejte následující příkaz:q, a pak stiskněte klávesu ENTER.
Poznámka: Tento postup se zobrazí pouze nastavení výchozích zásad domény. Pokud použijete vlastní nastavení zásad, vidět, ale..

Požadavek na restartování

Pokud změníte hodnoty zásad dotazování, který aktuálně používá řadič domény, tyto změny se projeví bez restartování počítače. Ale pokud je vytvořen nový zásady dotazování, je vyžadováno restartování nové zásady se projeví až po dotazu.

Důležité informace pro změnu hodnot dotazu

Chcete-li zachovat odolnost serveru domény, nedoporučujeme zvýšit hodnotu časového limitu 120 sekund. Tvořící efektivnější dotazy je preferovaným řešením. Další informace o vytváření dotazů efektivní navštivte následující Web společnosti Microsoft:
http://msdn2.microsoft.com/en-us/library/ms808539.aspx
Ale pokud změny dotazu není možnost, zvyšte hodnotu časového limitu pouze jeden řadič domény nebo pouze na jeden web. Pokyny naleznete v další části. Pokud nastavení se aplikuje na jednom řadiči domény, snížit prioritu DNS LDAP v řadiči domény tak, aby klienti pravděpodobně méně použít server pro ověřování. V řadiči domény s prioritou zvýšení LdapSrvPriority nastavit pomocí následujícího nastavení registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
V Upravit nabídky, klepněte na tlačítko Přidat hodnotua potom přidejte následující hodnotu registru:
Název položky: LdapSrvPriority
Typ dat: REG_DWORD
Hodnota: Nastavte hodnotu na hodnotu priority, kterou chcete.
Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
306602Jak optimalizovat umístění řadiče domény nebo globálního katalogu, umístěný mimo lokality klienta

Pokyny ke konfiguraci dle řadič domény nebo zásad serveru

  1. Vytvořte nové zásady dotazování podle:
    KN = Query-Policies, CN = Directory Service, CN = Windows NT, CN = Services, CN = konfigurace,Kořenová doména doménové struktury
  2. Nastavení řadiče domény nebo na webu, přejděte na položku Nová zásada zadáním rozlišující název nové zásady v atributu "Dotaz zásad objekt". Umístění atributu je tento:
    Umístění řadiče domény je:
    CN = NTDS Settings, CN =DomainControllerNameCN = servery, CN =název webuCN = Sites, CN = Configuration,Kořenová doména doménové struktury
    Umístění serveru je:
    CN = sítě NTDS Settings, CN =název webuCN = Sites, CN = Configuration,Kořenová doména doménové struktury

Ukázkový skript

Vytvoření souboru Ldifde můžete použít následující text. Můžete importovat tento soubor vytvořit zásady s hodnotu časového limitu 10 minut. Tento text zkopírovat do Ldappolicy.ldf a potom spusťte následující příkaz, kde Kořenová doména doménové struktury je-li rozlišující název vaší kořenové doménové struktury. Dovolená, DC = X-je. Toto je konstanta, která bude nahrazen název kořenové doménové struktury při spuštění skriptu. Konstantní x neznamená název řadiče domény.
ldifde -i -f ldappolicy.ldf - v - c DC = X, DC =Kořenová doména doménové struktury

Spuštění Nástroje Ldifde skriptu

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
changetype: add
instanceType: 4
lDAPAdminLimits: MaxReceiveBuffer=10485760
lDAPAdminLimits: MaxDatagramRecv=1024
lDAPAdminLimits: MaxPoolThreads=4
lDAPAdminLimits: MaxResultSetSize=262144
lDAPAdminLimits: MaxTempTableSize=10000
lDAPAdminLimits: MaxQueryDuration=300
lDAPAdminLimits: MaxPageSize=1000
lDAPAdminLimits: MaxNotificationPerConn=5
lDAPAdminLimits: MaxActiveQueries=20
lDAPAdminLimits: MaxConnIdleTime=900
lDAPAdminLimits: InitRecvTimeout=120
lDAPAdminLimits: MaxConnections=5000
objectClass: queryPolicy
showInAdvancedViewOnly: TRUE
Po importu souboru, můžete změnit hodnoty dotazu pomocí Adsiedit.msc nebo nástroj Ldp.exe. MaxQueryDuration nastavení v tomto skriptu je 5 minut.

Poznámka: Nástroj Ntdsutil.exe pouze zobrazí hodnotu ve výchozích zásadách dotazování. Pokud jsou definovány žádné vlastní zásady, nejsou zobrazeny pomocí nástroje Ntdsutil.exe.

Odkazy

243267 Jak automatizovat pomocí skriptu nástroje Ntdsutil.exe

Vlastnosti

ID článku: 315071 - Poslední aktualizace: 18. května 2011 - Revize: 9.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Klíčová slova: 
kbhowtomaster kbmt KB315071 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:315071

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com