Cómo ver y configurar una directiva LDAP en Active Directory mediante Ntdsutil.exe

Seleccione idioma Seleccione idioma
Id. de artículo: 315071 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo paso a paso se describe cómo administrar directivas del Protocolo ligero de acceso a directorios (LDAP) utilizando la herramienta Ntdsutil.exe. Para asegurarse de que los controladores de dominio pueden admitir garantías de nivel de servicio, debe especificar límites operativos para diversas operaciones LDAP. Estos límites impiden que determinadas operaciones afecten negativamente al rendimiento del servidor y hacen que el servidor sea más resistente a algunos tipos de ataques.

Las directivas LDAP se implementan utilizando objetos de la clase queryPolicy. Los objetos Query Policy se pueden crear en el contenedor Query Policies, que es un elemento secundario del contenedor Directory Service en el contexto de nomenclatura de configuración. Por ejemplo: cn=Query-Policies, cn=Directory Service, cn=Windows NT, cn=Services contexto de nomenclatura de configuración.

Límites de administración de LDAP de Windows 2000 y Windows Server 2003


Los límites de administración de LDAP son los siguientes:
  • InitRecvTimeout: este valor define el tiempo máximo en segundos que un controlador de dominio espera que el cliente envíe la primera petición después de que el controlador de dominio reciba una nueva conexión. Si el cliente no envía la primera petición en este período de tiempo, el servidor desconecta el cliente.

    Valor predeterminado: 120 segundos
  • MaxActiveQueries: el número máximo de operaciones de búsqueda LDAP simultáneas que pueden ejecutarse al mismo tiempo en un controlador de dominio. Cuando se alcanza este límite, el servidor LDAP devuelve un error "ocupado".

    Valor predeterminado: 20

    Nota: este control tiene una interacción incorrecta con el valor MaxPoolThreads. MaxPoolThreads es un control por procesador, mientras que MaxActiveQueries define un número absoluto. A partir de Windows Server 2003, ya no se exige MaxActiveQueries. Además, MaxActiveQueries no aparece en la versión de Windows Server 2003 de NTDSUTIL.

    Valor predeterminado: 20
  • MaxConnections: el número máximo de conexiones LDAP simultáneas que un controlador de dominio aceptará. Si una conexión entra después de que el controlador de dominio alcance este límite, el controlador de dominio interrumpirá otra conexión.

    Valor predeterminado: 5000
  • MaxConnIdleTime: el tiempo máximo en segundos que el cliente puede estar inactivo antes de que el servidor LDAP cierre la conexión. Si una conexión está inactiva durante más de este tiempo, el servidor LDAP devuelve una notificación de desconexión LDAP.

    Valor predeterminado: 900 segundos
  • MaxDatagramRecv: el tamaño máximo de una petición de datagrama que un controlador de dominio procesará. Las peticiones que son mayores que el valor de MaxDatagramRecv se omiten.

    Valor predeterminado: 1024 bytes
  • MaxNotificationPerConnection: el número máximo de peticiones de notificación pendientes que se permiten en una única conexión. Cuando se alcanza este límite, el servidor devuelve un error "ocupado" a cualquier nueva búsqueda de notificaciones que se realice en esa conexión.

    Valor predeterminado: 5
  • MaxPageSize: este valor controla el número máximo de objetos que se devuelven en un único resultado de la búsqueda, independientemente de lo grande que sea cada objeto devuelto. Para realizar una búsqueda donde el resultado podría exceder este número de objetos, el cliente debe especificar el control de búsqueda paginado. De esta forma se agrupan los resultados devueltos en grupos que no son mayores que el valor MaxPageSize. En resumen, MaxPageSize controla el número de objetos que se devuelven en un único resultado de la búsqueda.

    Valor predeterminado: 1,000
  • MaxPoolThreads: el número máximo de subprocesos por procesador que un controlador de dominio dedica a escuchar la entrada o salida (E/S) de la red. Este valor también determina el número máximo de subprocesos por procesador que puede haber en peticiones LDAP al mismo tiempo.

    Valor predeterminado: 4 subprocesos por procesador
  • MaxResultSetSize: entre las búsquedas individuales que componen una búsqueda de resultados paginada, el controlador de dominio puede almacenar datos intermedios para el cliente. El controlador de dominio almacena estos datos para acelerar la siguiente parte de la búsqueda de resultados paginada. El valor MaxResultSize controla la cantidad total de datos que el controlador de dominio almacena para este tipo de búsqueda. Cuando se alcanza este límite, el controlador de dominio descarta el más antiguo de estos resultados intermedios para hacer sitio y poder almacenar nuevos resultados intermedios.

    Valor predeterminado: 262144 bytes
  • MaxQueryDuration: el tiempo máximo en segundos que un controlador de dominio dedicará a una única búsqueda. Cuando se alcanza este límite, el controlador de dominio devuelve un error "timeLimitExceeded". Las búsquedas que necesiten más tiempo deben especificar el control de resultados paginado.

    Valor predeterminado: 120 segundos
  • MaxTempTableSize: mientras se procesa una consulta, el dblayer pueden intentar crear una tabla de base de datos temporal desde la que ordenar y seleccionar los resultados intermedios. MaxTempTableSize controla lo grande que puede ser esta tabla de base de datos temporal. Si la tabla de base de datos temporal contiene más objetos que el valor de MaxTempTableSize, dblayer realiza un análisis mucho menos eficaz de la base de datos DS completa y de todos los objetos de la base de datos DS.

    Valor predeterminado: 10000 registros
  • MaxValRange: este valor controla el número de valores que se devuelven para un atributo de un objeto, independientemente de cuántos atributos tenga el objeto o de cuántos objetos haya en el resultado de la búsqueda. En Windows 2000 este control está "codificado" en 1000. Si un atributo tiene más que el número de valores especificado por MaxValRange, debe utilizar controles de intervalo de valores en LDAP para recuperar los valores que exceden el valor de MaxValRange. MaxValueRange controla el número de valores que se devuelven en un único atributo de un único objeto.

Iniciar Ntdsutil.exe


Ntdsutil.exe está situada en la carpeta Support\Tools del CD-ROM de instalación de Windows 2000. De forma predeterminada, Ntdsutil.exe se instala en la carpeta System32.
  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro de texto Abrir, escriba ntdsutil y presione ENTRAR. Para ver Ayuda en cualquier momento, escriba ? en el símbolo del sistema.

Ver la configuración de directiva actual

  1. En el símbolo del sistema de Ntdsutil.exe, escriba LDAP policies y presione ENTRAR.
  2. En el símbolo del sistema de directivas LDAP, escriba connections y presione ENTRAR.
  3. En el símbolo del sistema de conexión al servidor, escriba connect to server nombre DNS del servidor y presione ENTRAR. Desea conectar con el servidor con el que está trabajando actualmente.
  4. En el símbolo del sistema de conexión al servidor, escriba q y presione ENTRAR para volver al menú anterior.
  5. En el símbolo del sistema de directivas LDAP, escriba Show Values y presione ENTRAR.

    Aparecerán las directivas que existan.

Modificar la configuración de directiva

  1. En el símbolo del sistema de Ntdsutil.exe, escriba LDAP policies y presione ENTRAR.
  2. En el símbolo del sistema de directivas LDAP, escriba Set configuración to variable y presione ENTRAR. Por ejemplo, escriba Set MaxPoolThreads to 8.

    Esta configuración cambiará si agrega otro procesador al servidor.
  3. Puede utilizar el comando Show Values para comprobar los cambios.

    Para guardar los cambios, utilice Guardar cambios.
  4. Cuando termine, escriba q y presione ENTRAR.
  5. Para salir de Ntdsutil.exe, en el símbolo del sistema, escriba q y presione ENTRAR.


Nota: este procedimiento sólo muestra la configuración de Directiva predeterminada de dominio. Si aplica su propia configuración de directiva, no podrá verla.

Consideraciones para cambiar los valores de consulta

Para mantener la resistencia del servidor de dominio, no se recomienda que aumente el valor de tiempo de espera de 120 segundos. Es preferible crear consultas más eficaces. Para obtener más información acerca de cómo crear consultas eficaces, visite el siguiente sitio web de Microsoft:
http://msdn2.microsoft.com/en-us/library/ms808539.aspx
Sin embargo, si no puede cambiar la consulta, aumente el valor de tiempo de espera sólo en un controlador de dominio o sólo en un sitio. Para obtener instrucciones al respecto, consulte la próxima sección. Si la configuración se aplica a un controlador de dominio, reduzca la prioridad LDAP de DNS en el controlador de dominio para que sea menos probable que los clientes utilicen el servidor para la autenticación. En el controlador de dominio con la prioridad aumentada, utilice la configuración del Registro siguiente para establecer LdapSrvPriority:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
En el menú Edición, haga clic en Agregar valor y agregue el valor siguiente al Registro:
Nombre de la entrada: LdapSrvPriority
Tipo de datos: REG_DWORD
Valor: establezca el valor de la prioridad que desee.
Para obtener información adicional al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
306602 Cómo optimizar la ubicación de un controlador de dominio o de un catálogo global que reside fuera del sitio de un cliente

Instrucciones para configurar por controlador de dominio o por directiva del sitio

  1. Cree una nueva directiva de consulta bajo:
    CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,raíz del bosque
  2. Haga que el controlador de dominio o el sitio señale a la nueva directiva escribiendo el nombre completo de la nueva directiva en el atributo "Query-Policy-Object". La ubicación del atributo es la siguiente:
    La ubicación para el controlador de dominio es:
    CN=NTDS Settings, CN=nombreDeControladorDeDominio, CN=Servers,CN=nombre del sitio,CN=Sites,CN=Configuration,raíz del bosque
    La ubicación para el sitio es:
    CN=NTDS Site Settings,CN=nombre del sitio,CN=Sites,CN=Configuration,raíz del bosque

Secuencia de comandos de ejemplo

Puede utilizar el texto siguiente para crear un archivo Ldifde. Puede importar este archivo para crear la directiva con un valor de tiempo de espera de 10 minutos. Copie este texto a Ldappolicy.ldf y ejecute el comando siguiente, donde raíz del bosque es el nombre completo de la raíz del bosque. Deje DC=X como está. Se trata de una constante que se reemplazará por el nombre de la raíz del bosque cuando se ejecute la secuencia de comandos. La constante X no indica un nombre de controlador de dominio.
ldifde -i -f ldappolicy.ldf -v -c DC=X DC=raíz del bosque

Iniciar la secuencia de comandos Ldifde

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
changetype: add
instanceType: 4
lDAPAdminLimits: MaxReceiveBuffer=10485760
lDAPAdminLimits: MaxDatagramRecv=1024
lDAPAdminLimits: MaxPoolThreads=4
lDAPAdminLimits: MaxResultSetSize=262144
lDAPAdminLimits: MaxTempTableSize=10000
lDAPAdminLimits: MaxQueryDuration=300
lDAPAdminLimits: MaxPageSize=1000
lDAPAdminLimits: MaxNotificationPerConn=5
lDAPAdminLimits: MaxActiveQueries=20
lDAPAdminLimits: MaxConnIdleTime=900
lDAPAdminLimits: InitRecvTimeout=120
lDAPAdminLimits: MaxConnections=5000
objectClass: queryPolicy
showInAdvancedViewOnly: TRUE
Después de importar el archivo, puede cambiar los valores de consulta utilizando Adsiedit.msc o Ldp.exe. La configuración de MaxQueryDuration en esta secuencia de comandos es de 5 minutos.

Nota: Ntdsutil.exe sólo muestra el valor en la directiva de consulta predeterminada. Si se definen directivas personalizadas, Ntdsutil.exe no las mostrará.

Referencias

243267 Cómo automatizar Ntdsutil.exe utilizando una secuencia de comandos

Propiedades

Id. de artículo: 315071 - Última revisión: miércoles, 13 de junio de 2007 - Versión: 5.3
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Palabras clave: 
kbhowtomaster KB315071

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com