Anzeigen und Festlegen von LDAP-Richtlinien mit "Ntdsutil.exe" in Active Directory

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 315071 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D315071
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel enthält eine schrittweise Anleitung zum Verwalten von Lightweight Directory Access Protocol (LDAP)-Richtlinien mit dem Programm "Ntdsutil.exe". Um sicherzustellen, dass Domänencontroller Servicelevel-Garantien unterstützen können, müssen Sie bestimmte operative Limits für eine Reihe von LDAP-Operationen definieren. Diese Limits verhindern, dass bestimmte Vorgänge die Serverleistung beeinträchtigen, und verringern außerdem die Anfälligkeit des Servers gegenüber Denial of Service-Angriffen.

LDAP-Richtlinien werden unter Verwendung von Objekten der queryPolicy-Klasse implementiert. Abfragerichtlinienobjekte können im Container "Abfragerichtlinien" erstellt werden, einem untergeordneten Element des Containers "Verzeichnisdienst" im Konfigurationsnamenskontext. Beispiel: cn=Query-Policies, cn=Directory Service, cn=Windows NT, cn=Services Konfigurationsnamenskontext.

LDAP-Verwaltungslimits in Windows 2000 und Windows Server 2003

Es gibt folgende LDAP-Verwaltungslimits:
  • InitRecvTimeout ? Dieser Wert definiert die maximale Zeitspanne in Sekunden, die ein Domänencontroller abwartet, bis der Client seine erste Anforderung sendet, nachdem der Domänencontroller eine neue Verbindung empfängt. Wenn der Client die erste Anforderung nicht innerhalb dieses Zeitraums sendet, trennt der Server die Verbindung des Client.

    Standardwert: 120 Sekunden
  • MaxActiveQueries - Die maximale Anzahl von parallelen LDAP-Suchvorgängen, die auf einem Domänencontroller gleichzeitig ausgeführt werden dürfen. Wenn dieses Limit erreicht wird, gibt der LDAP-Server einen "Belegt"-Fehler zurück.

    Standardwert: 20

    Hinweis Dieses Steuerelement arbeitet nicht richtig mit dem MaxPoolThreads-Wert zusammen. MaxPoolThreads ist ein Steuerelement, das auf einen Prozessor bezogen ist, während MaxActiveQueries eine absolute Zahl definiert. Ab Windows Server 2003 wird das Limit MaxActiveQueries nicht mehr erzwungen. Zudem wird MaxActiveQueries in der NTDSUTIL-Version für Windows Server 2003 nicht mehr angezeigt.

    Standardwert: 20
  • MaxConnections ? Die maximale Anzahl gleichzeitiger LDAP-Verbindungen, die ein Domänencontroller akzeptiert. Wenn eine Verbindung angefordert wird, nachdem der Domänencontroller dieses Limit erreicht hat, dann trennt der Domänencontroller eine andere Verbindung.

    Standardwert: 5000
  • MaxConnIdleTime ? Die maximale Zeitspanne in Sekunden, über die sich der Client im Leerlauf befinden kann, bevor der LDAP-Server die Verbindung trennt. Wenn sich eine Verbindung länger als diese Zeitspanne im Leerlauf befindet, gibt der LDAP-Server gibt eine LDAP-Benachrichtigung zum Trennen der Verbindung zurück.

    Standardwert: 900 Sekunden
  • MaxDatagramRecv ? Die maximale Größe einer Datagrammanforderung, die ein Domänencontroller verarbeiten wird. Anforderungen, die größer als der für MaxDatagramRecv angegebene Wert sind, werden ignoriert.

    Standardwert:
    • Windows 2000 ? 1.024 Byte
    • Windows Server 2003 ? 4.096 Byte
  • MaxNotificationPerConnection ? Die maximale Anzahl von ausstehenden Benachrichtigungsanforderungen, die bei einer einzelnen Verbindung zulässig sind. Wenn dieses Limit erreicht wird, gibt der LDAP-Server für jede Suche nach neuen Benachrichtigungen, die für diese Verbindung durchgeführt werden, einen "Belegt"-Fehler zurück.

    Standardwert: 5
  • MaxPageSize ? Dieser Wert steuert die maximale Anzahl von Objekten, die als Ergebnis eines einzelnen Suchlaufs zurückgegeben werden. Die Größe der einzelnen zurückgegebenen Objekte ist hierbei unerheblich. Um eine Suche durchführen zu können, deren Ergebnismenge mehr als diese Anzahl von Objekten enthält, muss der Client das Steuerelement für die Suche mit seitenweiser Ergebnisrückgabe angeben. Auf diese Weise sollen die zurückgegebenen Ergebnisse in Gruppen zusammengefasst werden, die nicht größer als der MaxPageSize-Wert sind. Kurz, der MaxPageSize-Wert steuert die Anzahl der Objekte, die in einem einzelnen Suchergebnis zurückgegeben werden.

    Standardwert: 1,000
  • MaxPoolThreads ? Die maximale Anzahl von Threads pro Prozessor, die ein Domänencontroller reserviert, um Netzwerkeingaben oder -ausgaben (E/A) zu überwachen. Dieser Wert bestimmt auch die maximale Anzahl von Threads pro Prozessor, die gleichzeitig LDAP-Anforderungen verarbeiten können.

    Standardwert: 4 Threads pro Prozessor
  • MaxResultSetSize ? Zwischen den einzelnen Suchläufen einer Suche mit seitenweiser Ergebnisrückgabe kann der Domänencontroller temporäre Daten für den Client speichern. Der Domänencontroller speichert diese Daten, um den nächsten Teil dieser Seitensuche zu beschleunigen. Mit dem MaxResultSize-Wert wird die Gesamtmenge der Daten gesteuert, welcher der Domänencontroller für diese Art von Suche speichert. Wenn dieses Limit erreicht wird, verwirft der Domänencontroller die ältesten Zwischenergebnisse, um Platz zum Speichern neuer Zwischenergebnisse zu schaffen.

    Standardwert: 262.144 Byte
  • MaxQueryDuration ? Die maximale Zeitspanne in Sekunden, die ein Domänencontroller für einen einzelnen Suchlauf aufwendet. Wenn dieses Limit erreicht wird, gibt der Domänencontroller einen "timeLimitExceeded"-Fehler zurück. Für Suchvorgänge, die mehr Zeit erfordern, muss das Steuerelement für die Suche mit seitenweiser Ergebnisrückgabe angegeben werden.

    Standardwert: 120 Sekunden
  • MaxTempTableSize ? Während der Verarbeitung einer Abfrage kann dblayer versuchen, eine temporäre Datenbanktabelle zum Sortieren und Auswählen der Zwischenergebnisse zu erstellen. Mit dem MaxTempTableSize-Grenzwert wird gesteuert, wie groß diese temporäre Datenbanktabelle werden kann. Wenn die Anzahl der Objekte in der temporären Datenbanktabelle den Wert von MaxTempTableSize übersteigt, wird von dblayer eine weniger effiziente Analyse der gesamten DS-Datenbank und der darin enthaltenen Objekte durchgeführt.

    Standardwert: 10.000 Datensätze
  • MaxValRange ? Dieser Wert steuert die Anzahl der Werte, die für ein Attribut eines Objekts zurückgegeben werden, unabhängig davon, wie viele Attribute ein Objekt besitzt oder wie viele Objekte das Suchergebnis enthält. In Windows 2000 ist der Grenzwert 1.000 in diesem Steuerelement festcodiert. Wenn die Anzahl der Werte eines Attributs den MaxValRange-Wert übersteigt, müssen Sie zum Abrufen der Werte, die den MaxValRange-Wert übersteigen, die Wertebereichssteuerelemente in LDAP verwenden. MaxValueRange steuert die Anzahl der Werte, die für ein einzelnes Attribut eines Objekts zurückgegeben werden.

    Standardwert:
    • Windows 2000 - 1.024
    • Windows Server 2003 - 1.500

Starten von "Ntdsutil.exe"


"Ntdsutil.exe" befindet sich auf der Windows 2000-Installations-CD-ROM im Ordner mit Supporttools. Standardmäßig wird "Ntdsutil.exe" im Ordner "System32" installiert.
  1. Klicken Sie auf Start und anschließend auf Ausführen.
  2. Geben Sie in das Feld Öffnen die Zeichenfolge ntdsutil ein, und drücken Sie anschließend die EINGABETASTE. Sie können jederzeit die Hilfe aufrufen, indem Sie ? an der Eingabeaufforderung eingeben.

Anzeigen der aktuellen Richtlinieneinstellungen

  1. Geben Sie an der Eingabeaufforderung von "Ntdsutil.exe" LDAP policies ein, und drücken Sie dann die EINGABETASTE.
  2. Geben Sie an der Eingabeaufforderung LDAP policies: connections ein, und drücken Sie dann die EINGABETASTE.
  3. Geben Sie an der Eingabeaufforderung Server connections den Befehl connect to server DNS-Name des Servers ein, und drücken Sie dann die EINGABETASTE. Sie möchten die Verbindung zu dem Server herstellen, mit dem Sie gerade arbeiten.
  4. Geben Sie an der Eingabeaufforderung Server connections den Befehl q ein, und drücken Sie dann die EINGABETASTE, um zum vorherigen Menü zurückzukehren.
  5. Geben Sie an der Eingabeaufforderung LDAP policies: den Befehl Show Values ein, und drücken Sie dann die EINGABETASTE.

    Es erscheint eine Anzeige der vorhandenen Richtlinien.

Ändern von Richtlinieneinstellungen

  1. Geben Sie an der Eingabeaufforderung von "Ntdsutil.exe" LDAP policies ein, und drücken Sie dann die EINGABETASTE.
  2. Geben Sie an der Eingabeaufforderung LDAP policies: den Befehl Set Einstellung to Variable ein, und drücken Sie dann die EINGABETASTE. Geben Sie beispielsweise Set MaxPoolThreads to 8 ein.

    Diese Einstellung ändert sich, wenn Sie dem Server einen weiteren Prozessor hinzufügen.
  3. Sie können den Befehl Show Values verwenden, um Ihre Änderungen zu überprüfen.

    Zum Speichern der Änderungen verwenden Sie den Befehl Commit Changes.
  4. Wenn Sie die gewünschten Einstellungen vorgenommen haben, geben Sie q ein, und drücken Sie dann die EINGABETASTE.
  5. Zum Beenden von "Ntdsutil.exe" geben Sie an der Eingabeaufforderung q ein, und drücken Sie dann die EINGABETASTE.
Hinweis In diesem Verfahren werden nur die Einstellungen für die Standarddomänenrichtlinie veranschaulicht. Wenn Sie eigene Richtlinieneinstellungen anwenden, wird diese nicht angezeigt.

Neustart

Wenn Sie die Werte für die Abfragerichtlinie, die der Domänencontroller derzeit verwendet, ändern, dann werden diese Änderungen ohne Neustart wirksam. Wenn jedoch eine neue Abfragerichtlinie erstellt wird, ist ein Neustart erforderlich, damit die neue Abfragerichtlinie wirksam wird.

Überlegungen zur Änderung von Abfragewerten

Zur Wahrung der Domänenserver-Stabilität wird empfohlen, den Timeout-Wert von 120 Sekunden nicht weiter zu erhöhen. Eine bessere Lösung ist die Formulierung effizienterer Abfragen. Weitere Informationen zum Erstellen effizienter Abfragen finden Sie auf folgender Microsoft-Website:
http://msdn2.microsoft.com/de-de/library/ms808539.aspx
Wenn die Abfrage nicht geändert werden kann, sollten Sie den Timeout-Wert nur auf einem Domänencontroller oder nur für eine Website erhöhen. Anweisungen hierzu finden Sie im nächsten Abschnitt. Wenn die Einstellung auf einen Domänencontroller angewendet wird, verringern Sie die DNS-LDAP-Priorität auf dem Domänencontroller, sodass die Clients den Server weniger häufig zum Authentifizieren verwenden. Verwenden Sie auf dem Domänencontroller mit der höheren Priorität folgende Registrierungseinstellung zum Festlegen von LdapSrvPriority:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie dann folgenden Registrierungswert hinzu:
Eintrag: LdapSrvPriority
Datentyp: REG_DWORD
Wert: Legen Sie den Wert auf den Wert der gewünschten Priorität fest.
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
306602 Optimieren der Position von einem Domänencontroller oder globalen Katalog, der sich außerhalb der Website des Clients befindet

Anweisungen zum Konfigurieren von auf einen Domänencontroller oder Standort bezogenen Richtlinien

  1. Erstellen Sie eine neue Abfragerichtlinie unter:
    CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Gesamtstruktur-Stammdomäne
  2. Geben Sie den definierten Namen der neuen Richtlinie im Attribut "Query-Policy-Object" an, damit der Domänencontroller bzw. die Website auf die neue Richtlinie verweist. Sie finden das Attribut an folgender Position:
    Position für den Domänencontroller:
    CN=NTDS Settings, CN=DomainControllerName, CN=Servers,CN=site name,CN=Sites,CN=Configuration,Gesamtstruktur-Stammdomäne
    Position für die Website:
    CN=NTDS Site Settings,CN=site name,CN=Sites,CN=Configuration,Gesamtstruktur-Stammdomäne

Beispielskript

Sie können folgenden Text zum Erstellen einer Ldifde-Datei verwenden. Sie können diese Datei importieren, um die Richtlinie mit einem Timeout-Wert von 10 Minuten zu erstellen. Kopieren Sie diesen Text in die Datei "Ldappolicy.ldf", und führen Sie dann folgenden Befehl aus, wobei Gesamtstruktur-Stammdomäne für den definierten Namen der Gesamtstruktur-Stammdomäne steht. Behalten Sie "DC=X" bei. Dies ist eine Konstante, die während der Skriptausführung durch den Namen der Gesamtstruktur-Stammdomäne ersetzt wird. Die Konstante X gibt keinen Domänencontrollernamen an.
ldifde -i -f ldappolicy.ldf -v -c DC=X DC=Gesamtstruktur-Stammdomäne

Starten Sie das Ldifde-Skript

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X changetype: add instanceType: 4 lDAPAdminLimits: MaxReceiveBuffer=10485760 lDAPAdminLimits: MaxDatagramRecv=1024 lDAPAdminLimits: MaxPoolThreads=4 lDAPAdminLimits: MaxResultSetSize=262144 lDAPAdminLimits: MaxTempTableSize=10000 lDAPAdminLimits: MaxQueryDuration=300 lDAPAdminLimits: MaxPageSize=1000 lDAPAdminLimits: MaxNotificationPerConn=5 lDAPAdminLimits: MaxActiveQueries=20 lDAPAdminLimits: MaxConnIdleTime=900 lDAPAdminLimits: InitRecvTimeout=120 lDAPAdminLimits: MaxConnections=5000 objectClass: queryPolicy showInAdvancedViewOnly: TRUE
Nach dem Importieren der Datei können Sie die Abfragewerte mit "Adsiedit.msc" oder "Ldp.exe" ändern. In diesem Skript wurde für die MaxQueryDuration-Einstellung ein Wert von 5 Minuten gewählt.

Hinweis "Ntdsutil.exe" zeigt nur den Wert in der Standard-Abfragerichtlinie an. Wenn benutzerdefinierte Richtlinien definiert sind, werden sie von "Ntdsutil.exe"nicht angezeigt.

Informationsquellen

243267 Ntdsutil.exe mithilfe eines Skripts automatisieren
Hinweis Dies ist ein Artikel, der im Schnellverfahren direkt von der Microsoft-Supportorganisation erstellt wurde. Die hierin enthaltenen Informationen werden als Reaktion auf neue Probleme wie besehen bereitgestellt. Da dieser Artikel im Schnellverfahren erstellt wurde, kann er Tippfehler enthalten und zu einem späteren Zeitpunkt ohne vorherige Ankündigung überarbeitet werden. Weitere zu berücksichtigende Informationen finden Sie in den Nutzungsbedingungen.

Eigenschaften

Artikel-ID: 315071 - Geändert am: Freitag, 2. August 2013 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Keywords: 
kbhowtomaster KB315071
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com