Comment faire pour afficher et définir une stratégie LDAP dans Active Directory à l'aide de Ntdsutil.exe

Traductions disponibles Traductions disponibles
Numéro d'article: 315071 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit étape par étape comment gérer les stratégies LDAP (Lightweight Directory Access Protocol) à l'aide de l'outil Ntdsutil.exe. Pour vous assurer que les contrôleurs de domaine peuvent prendre en charge des garanties de niveau de service, vous devez spécifier des limites opérationnelles pour certaines opérations LDAP. Ces limites empêchent des opérations spécifiques d'avoir un impact négatif sur les performances du serveur ; elles permettent également d'augmenter la résistance du serveur face à certains types d'attaques.

Les stratégies LDAP sont implémentées à l'aide d'objets de la classe queryPolicy. Les objets Stratégie de requête peuvent être créés dans le conteneur Stratégies de requête, qui est un enfant du conteneur Service d'annuaire dans le contexte de nommage de configuration. Par exemple : cn=Query-Policies, cn=Directory Service, cn=Windows NT, cn=Services contexte_nommage_configuration.

Limites d'administration LDAP dans Windows 2000 et Windows Server 2003


Les limites d'administration LDAP sont les suivantes :
  • InitRecvTimeout - Cette valeur définit le délai maximal, en secondes, pendant lequel un contrôleur de domaine attend la première demande du client après avoir reçu une nouvelle connexion. Si le client n'envoie pas sa première demande dans le délai défini, le serveur déconnecte le client.

    Valeur par défaut : 120 secondes
  • MaxActiveQueries - Nombre maximal d'opérations de recherche LDAP pouvant être exécutées simultanément sur un contrôleur de domaine. Lorsque cette limite est atteinte, le serveur LDAP retourne une erreur « occupé ».

    Valeur par défaut : 20

    Remarque Ce contrôle interagit de manière incorrecte avec la valeur MaxPoolThreads. MaxPoolThreads est un contrôle « par processeur », tandis que MaxActiveQueries définit un nombre absolu. À compter de Windows Server 2003, MaxActiveQueries n'est plus appliqué. En outre, MaxActiveQueries ne figure pas dans la version de NTDSUTIL pour Windows Server 2003.

    Valeur par défaut : 20
  • MaxConnections - Nombre maximal de connexions LDAP simultanées acceptées par un contrôleur de domaine. Si le contrôleur de domaine reçoit une connexion alors que cette limite est déjà atteinte, il interrompt une autre connexion.

    Valeur par défaut : 5000
  • MaxConnIdleTime - Délai maximal, en secondes, pendant lequel un client peut rester inactif avant que le serveur LDAP ne ferme la connexion. Si une connexion reste inactive pendant plus longtemps, le serveur LDAP retourne une notification de déconnexion LDAP.

    Valeur par défaut : 900 secondes
  • MaxDatagramRecv - Taille maximale de demande de datagramme qu'un contrôleur de domaine peut traiter. Les demandes supérieures à la valeur spécifiée pour MaxDatagramRecv sont ignorées.

    Valeur par défaut : 1 024 octets
  • MaxNotificationPerConnection - Nombre maximal de demandes de notification en attente autorisées pour une même connexion. Une fois cette limite atteinte, le serveur retourne une erreur « occupé » pour toute nouvelle recherche de notification exécutée sur cette connexion.

    Valeur par défaut : 5
  • MaxPageSize - Cette valeur contrôle le nombre maximal d'objets retournés dans un résultat de recherche. Ce nombre est indépendant de la taille des objets retournés. Pour exécuter une recherche dont le résultat est susceptible de dépasser ce nombre d'objets, le client doit spécifier un contrôle de recherche paginée. Ainsi, les résultats retournés seront répartis dans des groupes ne dépassant pas la valeur définie pour MaxPageSize. En résumé, MaxPageSize contrôle le nombre d'objets retournés dans un même résultat de recherche.

    Valeur par défaut : 1 000
  • MaxPoolThreads - Nombre maximal de threads par processeur qu'un contrôleur de domaine réserve à l'écoute d'entrées/sorties (E/S) de réseau. Cette valeur détermine également le nombre maximal de threads par processeur pouvant travailler sur des requêtes LDAP simultanément.

    Valeur par défaut : 4 threads par processeur
  • MaxResultSetSize - Entre les diverses recherches individuelles constituant un résultat de recherche paginée, le contrôleur de domaine peut également stocker des résultats intermédiaires pour le client. Le contrôleur de domaine stocke ces données afin d'accélérer l'étape suivante de la recherche paginée. La valeur MaxResultSize contrôle la quantité totale de données que le contrôleur de domaine stocke pour ce type de recherche. Une fois cette limite atteinte, le contrôleur de domaine supprime le résultat intermédiaire le plus ancien afin de pouvoir stocker de nouveaux résultats intermédiaires.

    Valeur par défaut : 262 144 octets
  • MaxQueryDuration - Délai maximal, en secondes, qu'un contrôleur de domaine consacre à une recherche. Une fois cette limite atteinte, le contrôleur de domaine retourne une erreur « timeLimitExceeded ». Pour les recherches nécessitant plus de temps, vous devez spécifier le contrôle de recherche paginée.

    Valeur par défaut : 120 secondes
  • MaxTempTableSize - Pendant le traitement d'une requête, il est possible que dblayer tente de créer une table de base de données temporaire de manière à trier les résultats intermédiaires et à effectuer une sélection. La limite MaxTempTableSize définit la taille de cette base de données temporaire. Si la table de base de données temporaire contient plus d'objets que la valeur spécifiée pour MaxTempTableSize, dblayer exécute une analyse nettement moins performante de l'ensemble de la base de données DS et de tous les objets qu'elle contient.

    Valeur par défaut : 10 000 enregistrements
  • MaxValRange - Cette valeur contrôle le nombre de valeurs retournées pour l'attribut d'un objet, indépendamment du nombre d'attributs de l'objet et du nombre d'objets inclus dans le résultat de la recherche. Dans Windows 2000, ce contrôle est codé « en dur » avec la valeur 1 000. Si le nombre de valeurs d'un attribut est supérieur à MaxValRange, vous devez utiliser des contrôles de plage de valeurs dans LDAP afin de récupérer les valeurs supérieures à MaxValRange. MaxValueRange contrôle le nombre des valeurs retournées pour un seul attribut d'un seul objet.

Démarrage de Ntdsutil.exe


Ntdsutil.exe se trouve dans le dossier Support Tools du CD-ROM d'installation de Windows 2000. Par défaut, Ntdsutil.exe est installé dans le dossier System32.
  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez ntdsutil, puis appuyez sur ENTRÉE. Pour afficher l'Aide à tout moment, tapez ? à l'invite de commandes.

Affichage des paramètres de stratégies actuels

  1. À l'invite de commandes de Ntdsutil.exe, tapez LDAP policies, puis appuyez sur ENTRÉE.
  2. À l'invite de commandes des stratégies LDAP, tapez connections, puis appuyez sur ENTRÉE.
  3. À l'invite de commandes de la connexion serveur, tapez connect to server nom_DNS_serveur, puis appuyez sur ENTRÉE. Vous devez vous connecter au serveur avec lequel vous travaillez actuellement.
  4. À l'invite de commandes de la connexion serveur, tapez q, puis appuyez sur ENTRÉE pour revenir au menu précédent.
  5. À l'invite de commandes des stratégies LDAP, tapez Show Values, puis appuyez sur ENTRÉE.

    La liste des stratégies existantes s'affiche.

Modification des paramètres de stratégie

  1. À l'invite de commandes de Ntdsutil.exe, tapez LDAP policies, puis appuyez sur ENTRÉE.
  2. À l'invite de commandes des stratégies LDAP, tapez Set paramètre to variable, puis appuyez sur ENTRÉE. Par exemple, tapez Set MaxPoolThreads to 8.

    Ce paramètre change si vous ajoutez un autre processeur à votre serveur.
  3. Vous pouvez utiliser la commande Show Values pour vérifier vos modifications.

    Pour enregistrer vos modifications, utilisez Commit Changes.
  4. Lorsque vous avez terminé, tapez q, puis appuyez sur ENTRÉE.
  5. Pour fermer Ntdsutil.exe, à l'invite de commandes, tapez q, puis appuyez sur ENTRÉE.


Remarque Cette procédure affiche uniquement les paramètres de la Stratégie de domaine par défaut. Si vous appliquez vos propres paramètres de stratégie, ils ne seront pas affichés.

Considérations à prendre en compte lors de la modification de valeurs de requête

Pour maintenir la résistance du serveur de domaine, nous vous recommandons de ne pas accroître la valeur du délai d'attente de 120 secondes. Il est préférable de formuler des requêtes plus performantes. Pour plus d'informations sur la création de requêtes performantes, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnactdir/html/efficientadapps.asp
Toutefois, si la modification de la requête n'est pas une option, augmentez la valeur du délai d'attente sur un contrôleur de domaine ou sur un site uniquement. Pour obtenir des instructions sur la façon de procéder, consultez la section suivante. Si le paramètre est appliqué à un contrôleur de domaine, réduisez la priorité LDAP DNS sur le contrôleur de domaine afin que les clients soient moins susceptibles d'utiliser le serveur pour l'authentification. Sur le contrôleur de domaine ayant une priorité plus élevée, utilisez le paramètre de Registre suivant pour définir LdapSrvPriority :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Dans le menu Edition, cliquez sur Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
Nom de l'entrée : LdapSrvPriority
Type de données : REG_DWORD
Valeur : Définissez la valeur sur la valeur de priorité requise.
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
306602 Comment faire pour optimiser l'emplacement d'un contrôleur de domaine ou d'un catalogue global résidant en dehors du site d'un client

Instructions pour la configuration par contrôleur de domaine ou par stratégie de site

  1. Créez une nouvelle stratégie de requête sous :
    CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,racine_forêt
  2. Configurez le contrôleur de domaine ou le site de manière à ce qu'il pointe sur la nouvelle stratégie en entrant le nom unique de la nouvelle stratégie dans l'attribut « Query-Policy-Object ». L'attribut se trouve à l'emplacement suivant :
    L'emplacement du contrôleur de domaine est le suivant :
    CN=NTDS Settings, CN=nom_contrôleur_domaine, CN=Servers,CN=nom_site,CN=Sites,CN=Configuration,racine_forêt
    L'emplacement du site est le suivant :
    CN=NTDS Site Settings,CN=nom_site,CN=Sites,CN=Configuration,racine_forêt

Exemple de script

Vous pouvez utiliser le texte suivant pour créer un fichier Ldifde. Importez ensuite ce fichier pour créer la stratégie avec un délai d'attente égal à 10 minutes. Copiez le texte dans Ldappolicy.ldf, puis exécutez la commande suivante, dans laquelle racine_forêt est le nom unique de votre racine de forêt. Laissez DC=X tel quel. Cette constante sera remplacée par le nom de la racine de forêt lors de l'exécution du script. La constante X n'indique pas le nom d'un contrôleur de domaine.
ldifde -i -f ldappolicy.ldf -v -c DC=X DC=racine_forêt

Démarrez le script Ldifde

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X changetype: add 
instanceType: 4 
lDAPAdminLimits: MaxReceiveBuffer=10485760 
lDAPAdminLimits: MaxDatagramRecv=1024 
lDAPAdminLimits: MaxPoolThreads=4 
lDAPAdminLimits: MaxResultSetSize=262144 
lDAPAdminLimits: MaxTempTableSize=10000 
lDAPAdminLimits: MaxQueryDuration=300 
lDAPAdminLimits: MaxPageSize=1000 
lDAPAdminLimits: MaxNotificationPerConn=5 
lDAPAdminLimits: MaxActiveQueries=20 
lDAPAdminLimits: MaxConnIdleTime=900 
lDAPAdminLimits: InitRecvTimeout=120 
lDAPAdminLimits: MaxConnections=5000 objectClass: queryPolicy showInAdvancedViewOnly: TRUE
Après l'importation du fichier, vous pouvez modifier les valeurs de requête à l'aide de Adsiedit.msc ou de Ldp.exe. Dans ce script, la valeur du paramètre MaxQueryDuration est égale à 5 minutes.

Remarque Ntdsutil.exe affiche uniquement la valeur de la stratégie de requête par défaut. L'outil n'affiche pas les stratégies personnalisées.

Références

243267 Comment faire pour automatiser Ntdsutil.exe à l'aide d'un script

Propriétés

Numéro d'article: 315071 - Dernière mise à jour: lundi 11 septembre 2006 - Version: 5.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Mots-clés : 
kbhowtomaster KB315071
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com