Cara melihat dan menetapkan kebijakan LDAP dalam Active Directory menggunakan Ntdsutil.exe

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 315071 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Artikel ini selangkah demi selangkah menjelaskan cara mengelola kebijakan Lightweight Directory Access Protocol (LDAP) dengan menggunakan alat Ntdsutil.exe. Untuk memastikan bahwa kontroler domain dapat mendukung tingkat layanan jaminan, Anda harus menentukan batas-batas operasional untuk sejumlah LDAP operasi. Batasan ini mencegah operasi tertentu dari negatif mempengaruhi performa server, dan juga membuat server lebih tahan untuk beberapa jenis serangan.

LDAP kebijakan dilaksanakan dengan menggunakan objek dari kelas queryPolicy. Objek kebijakan permintaan dapat dibuat dalam wadah Query kebijakan, yang adalah anak dari layanan direktori wadah dalam konteks penamaan konfigurasi. Sebagai contoh: cn = Query-Policies, cn = layanan direktori, cn = Windows NT, cn = layanan konfigurasi penamaan konteks.

Batas administrasi Windows 2000 dan Windows Server 2003 LDAP

Batas administrasi LDAP adalah:
  • InitRecvTimeout -Nilai ini mendefinisikan maksimum waktu dalam detik bahwa kontroler domain menunggu untuk klien untuk mengirim permintaan pertama setelah kontroler domain menerima sambungan baru. Jika klien tidak mengirim permintaan pertama dalam jumlah waktu ini, server memutuskan hubungan klien.

    Nilai default: 120 detik
  • MaxActiveQueries -Maksimum jumlah bersamaan LDAP pencarian operasi yang diperbolehkan untuk dijalankan pada waktu yang sama pada kontroler domain. Ketika batas ini tercapai, LDAP server kembali kesalahan "sibuk".

    Nilai default: 20

    Catatan Kontrol ini telah salah interaksi dengan MaxPoolThreads nilai. MaxPoolThreads kontrol per prosesor, sementara MaxActiveQueries mendefinisikan jumlah yang mutlak. Dimulai dengan Windows Server 2003, MaxActiveQueries tidak lagi didukung. Selain itu, MaxActiveQueries tidak muncul dalam versi Windows Server 2003 NTDSUTIL.

    Nilai default: 20
  • MaxConnections -Jumlah maksimum koneksi simultan LDAP yang kontroler domain akan menerima. Jika koneksi masuk setelah kontroler domain mencapai batas ini, kontroler domain tetes sambungan lain.

    Nilai default: 5000
  • MaxConnIdleTime -Maksimum waktu dalam detik bahwa klien dapat siaga sebelum LDAP server menutup koneksi. Jika sambungan siaga selama lebih dari waktu ini, LDAP server kembali LDAP putus pemberitahuan.

    Nilai default: 900 detik
  • MaxDatagramRecv -Ukuran maksimum permintaan datagram yang kontroler domain akan memproses. Permintaan yang lebih besar dari nilai untuk MaxDatagramRecv diabaikan.

    Nilai default:
    • Windows 2000-1.024 byte
    • Windows Server 2003 - 4,096 byte
  • MaxNotificationPerConnection -Jumlah maksimum permintaan pemberitahuan yang luar biasa yang diizinkan pada sambungan tunggal. Ketika batas ini tercapai server kembali kesalahan "sibuk" untuk setiap baru pemberitahuan pencarian yang dilakukan pada hubungan itu.

    Nilai default: 5
  • MaxPageSize -Nilai ini mengontrol jumlah maksimum objek yang dikembalikan dalam hasil pencarian tunggal, tergantung pada seberapa besar masing-masing kembali objek. Untuk melakukan pencarian di mana hasil mungkin melebihi jumlah benda-benda ini, klien harus menentukan kontrol paged pencarian. Ini adalah untuk kelompok hasil yang dikembalikan dalam kelompok-kelompok yang tidak lebih besar dari MaxPageSize nilai. Untuk meringkas, MaxPageSize mengontrol jumlah objek yang dikembalikan dalam hasil pencarian tunggal.

    Nilai default: 1.000
  • MaxPoolThreads -Jumlah maksimum benang per-prosesor yang kontroler domain mendedikasikan untuk mendengarkan jaringan input atau output (I/O). Nilai ini juga menentukan jumlah maksimum benang per-prosesor yang dapat bekerja pada LDAP permintaan pada waktu yang sama.

    Nilai default: 4 benang per prosesor
  • MaxResultSetSize -Antara pencarian individu yang membentuk paged hasil pencarian, kontroler domain dapat menyimpan data antara klien. Kontroler domain menyimpan data ini untuk mempercepat bagian selanjutnya dari paged hasil pencarian. The MaxResultSize nilai mengontrol jumlah data yang kontroler domain toko untuk jenis pencarian. Ketika batas ini tercapai, kontroler domain membuang tertua dari hasil ini menengah untuk membuat ruang untuk menyimpan hasil antara baru.

    Nilai default: byte 262.144
  • MaxQueryDuration -Maksimum waktu dalam detik bahwa kontroler domain akan menghabiskan satu pencarian. Ketika batas ini tercapai, kontroler domain kembali kesalahan "timeLimitExceeded". Pencarian yang membutuhkan lebih banyak waktu harus menentukan hasil paged kontrol.

    Nilai default: 120 detik
  • MaxTempTableSize -Sementara permintaan diproses, dblayer mungkin mencoba untuk membuat tabel database sementara untuk memilah dan memilih antara hasil dari. The MaxTempTableSize batas ini mengontrol bagaimana besar tabel database sementara ini dapat. Jika tabel database sementara akan berisi benda-benda yang lebih daripada nilai untuk MaxTempTableSize, dblayer melakukan jauh lebih efisien parsing di database DS lengkap dan semua objek dalam DS database.

    Nilai default: 10.000 catatan
  • MaxValRange -Ini nilai kontrol jumlah nilai-nilai yang dikembalikan untuk atribut objek, tergantung pada berapa banyak atribut objek telah, atau berapa banyak objek berada di hasil pencarian. Pada Windows 2000, kontrol ini "keras" kode pada 1.000. Jika atribut memiliki lebih dari jumlah nilai-nilai yang ditentukan oleh MaxValRange nilai, Anda harus menggunakan nilai jarak kontrol dalam LDAP untuk mengambil nilai-nilai yang melebihi MaxValRange nilai. MaxValueRange mengontrol jumlah nilai-nilai yang dikembalikan pada satu atribut pada objek tunggal.

    Nilai default:
    • Windows 2000-1.024
    • Windows Server 2003-1.500

Mulai Ntdsutil.exe


Ntdsutil.exe terletak di folder alat dukungan pada CD-ROM penginstalan Windows 2000. Secara default, Ntdsutil.exe diinstal dalam System32 folder.
  1. Klik Mulai, lalu klik Menjalankan.
  2. Dalam Terbuka kotak teks, ketik Ntdsutil, kemudian tekan ENTER. Untuk melihat bantuan setiap saat, ketik ? pada prompt perintah.

Melihat pengaturan kebijakan saat ini

  1. Pada prompt perintah Ntdsutil.exe, ketik Kebijakan LDAP, kemudian tekan ENTER.
  2. Pada prompt perintah kebijakan LDAP, ketik koneksi, kemudian tekan ENTER.
  3. Pada prompt perintah koneksi server, ketik menyambung ke server Nama DNS server, kemudian tekan ENTER. Anda ingin menyambung ke server yang Anda saat ini bekerja dengan.
  4. Pada prompt perintah koneksi server, ketik q, kemudian tekan ENTER untuk kembali ke menu sebelumnya.
  5. Pada prompt perintah kebijakan LDAP, ketik Menunjukkan nilai-nilai, kemudian tekan ENTER.

    Tampilan kebijakan sebagai mereka ada muncul.

Memodifikasi pengaturan kebijakan

  1. Pada prompt perintah Ntdsutil.exe, ketik Kebijakan LDAP, kemudian tekan ENTER.
  2. Pada prompt perintah kebijakan LDAP, ketik Set pengaturan untuk variabel, kemudian tekan ENTER. Sebagai contoh, ketik Set MaxPoolThreads-8.

    Pengaturan ini berubah jika Anda menambahkan prosesor lain ke server Anda.
  3. Anda dapat menggunakan Menunjukkan nilai-nilai perintah untuk memverifikasi perubahan Anda.

    Untuk menyimpan perubahan, gunakan Mengkomit perubahan.
  4. Ketika Anda selesai, ketik q, kemudian tekan ENTER.
  5. Untuk berhenti Ntdsutil.exe, pada prompt perintah, ketikq, kemudian tekan ENTER.
Catatan Prosedur ini hanya menunjukkan pengaturan Default Domain kebijakan. Jika Anda menerapkan pengaturan kebijakan Anda sendiri, Anda tidak bisa melihat itu...

Reboot persyaratan

Jika Anda mengubah nilai-nilai kebijakan permintaan bahwa kontroler domain saat ini menggunakan, perubahan tersebut berlaku tanpa reboot. Namun, jika kebijakan permintaan baru dibuat, reboot diperlukan untuk kebijakan permintaan baru untuk mengambil efek.

Pertimbangan untuk mengubah nilai-nilai permintaan

Untuk mempertahankan domain server ketahanan, kami tidak menganjurkan bahwa Anda meningkatkan nilai timeout 120 detik. Membentuk permintaan lebih efisien adalah solusi yang lebih disukai. Untuk informasi lebih lanjut tentang menciptakan permintaan yang efisien, kunjungi Web site Microsoft berikut:
http://msdn2.Microsoft.com/en-us/library/ms808539.aspx
Namun, jika mengubah query bukanlah pilihan, meningkatkan nilai timeout hanya pada satu kontroler domain saja atau hanya satu situs. Untuk petunjuk, lihat bagian berikutnya. Jika pengaturan diterapkan ke satu domain controller, mengurangi DNS LDAP prioritas pada domain controller sehingga klien yang kurang cenderung menggunakan server untuk otentikasi. Pada kontroler domain dengan peningkatan prioritas, menggunakan pengaturan registri berikut untuk mengatur LdapSrvPriority:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Pada Mengedit menu, klik Tambahkan nilai, dan kemudian menambahkan nilai registri berikut:
Catatan nama: LdapSrvPriority
Tipe data: REG_DWORD
Nilai: Tetapkan nilai ke nilai prioritas yang Anda inginkan.
Untuk informasi tambahan, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
306602Cara mengoptimalkan lokasi kontroler domain atau global katalog yang berada di luar dari klien 's site

Petunjuk untuk mengkonfigurasi per kontroler domain atau per situs kebijakan

  1. Membuat kebijakan permintaan baru di bawah:
    CN = Query-Policies, CN = layanan direktori, CN = Windows NT, CN = layanan, CN = konfigurasi,hutan akar
  2. Tetapkan kontroler domain atau situs untuk menunjuk ke kebijakan baru dengan memasukkan nama dibedakan dari kebijakan baru dalam atribut "Objek kebijakan permintaan". Lokasi atribut adalah berikut:
    Lokasi untuk kontroler domain adalah:
    CN = NTDS pengaturan, CN =DomainControllerNameCN = server, CN =nama situsCN = situs, CN = konfigurasi,hutan akar
    Lokasi untuk situs adalah:
    CN = pengaturan NTDS situs, CN =nama situsCN = situs, CN = konfigurasi,hutan akar

Contoh script

Anda dapat menggunakan teks berikut untuk membuat berkas Ldifde. Anda dapat mengimpor file ini untuk membuat kebijakan dengan nilai batas waktu 10 menit. Menyalin teks ini ke Ldappolicy.ldf, dan kemudian jalankan perintah berikut, di mana hutan akar adalah nama dibedakan dari akar hutan. Tinggalkan DC = X sebagai-adalah. Ini adalah sebuah konstanta yang akan diganti dengan nama akar hutan ketika script berjalan. X konstan tidak menunjukkan nama kontroler domain.
ldifde -i -f ldappolicy.ldf - v - c DC = X DC =hutan akar

Mulai Ldifde skrip

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
changetype: add
instanceType: 4
lDAPAdminLimits: MaxReceiveBuffer=10485760
lDAPAdminLimits: MaxDatagramRecv=1024
lDAPAdminLimits: MaxPoolThreads=4
lDAPAdminLimits: MaxResultSetSize=262144
lDAPAdminLimits: MaxTempTableSize=10000
lDAPAdminLimits: MaxQueryDuration=300
lDAPAdminLimits: MaxPageSize=1000
lDAPAdminLimits: MaxNotificationPerConn=5
lDAPAdminLimits: MaxActiveQueries=20
lDAPAdminLimits: MaxConnIdleTime=900
lDAPAdminLimits: InitRecvTimeout=120
lDAPAdminLimits: MaxConnections=5000
objectClass: queryPolicy
showInAdvancedViewOnly: TRUE
Setelah mengimpor file, Anda dapat mengubah nilai-nilai permintaan dengan menggunakan Adsiedit.msc atau Ldp.exe. Pengaturan MaxQueryDuration dalam script ini adalah 5 menit.

Catatan Ntdsutil.exe hanya menampilkan nilai dalam kebijakan permintaan default. Jika berlaku setiap kustom didefinisikan, mereka tidak ditampilkan oleh Ntdsutil.exe.

REFERENSI

243267 Cara mengotomatisasi Ntdsutil.exe menggunakan script

Properti

ID Artikel: 315071 - Kajian Terakhir: 24 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Kata kunci: 
kbhowtomaster kbmt KB315071 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:315071

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com