表示し、Ntdsutil.exe を使用して、Active Directory の LDAP ポリシーを設定する方法

文書翻訳 文書翻訳
文書番号: 315071
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Ntdsutil.exe ツールを使用して、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) のポリシーを管理する方法について説明します。ドメイン コント ローラーがサポート可能かどうかを確認するには、サービス ・ レベルを保証、操作上の制限が LDAP 操作の数を指定してください。これらの制限は、特定の操作から、サーバーのパフォーマンスの低下を防ぐためし、も、サーバーの復元力いくつかの種類の攻撃を行います。

LDAP ポリシーは、queryPolicy クラスのオブジェクトを使用して実装されています。クエリ ポリシー オブジェクト内の構成名前付けコンテキストのディレクトリ サービス コンテナーの子である [クエリ ポリシー] コンテナーを作成できます。例: cn クエリ ポリシー]、[cn = ディレクトリ サービス、cn = Windows NT、cn = サービス = 構成名前付けコンテキスト.

Windows 2000 および Windows Server 2003 の LDAP 管理制限

LDAP 管理制限は次のとおりです。
  • InitRecvTimeout -この値で、ドメイン コント ローラーが新しい接続を受信した後、最初の要求を送信するのには、クライアントはドメイン コント ローラーを待機する秒の最大時間を定義します。クライアントで、この時間単位での最初の要求を送信しない場合は、クライアントはサーバーを切断します。

    既定値: 120 秒
  • MaxActiveQueries -同時に、ドメイン コント ローラー上での実行を許可する LDAP 検索操作の同時実行の最大数。この制限に達すると、LDAP サーバーが「ビジー」エラーを返します。

    既定値: 20

    メモ このコントロールには正しくないとの対話が、 MaxPoolThreads 値です。 MaxPoolThreads プロセッサ固有のコントロールでは、ですが MaxActiveQueries 絶対数を定義します。Windows Server 2003 以降、 MaxActiveQueries されなく適用されます。さらに、 MaxActiveQueries Windows Server 2003 バージョンの NTDSUTIL では表示されません。

    既定値: 20
  • MaxConnections -ドメイン コント ローラーが受け付ける同時 LDAP 接続の最大数。ドメイン コント ローラーがこの制限に達した後、接続を受信する場合は、ドメイン コント ローラーは別の接続を削除します。

    既定値: 5000
  • MaxConnIdleTime LDAP サーバーが、接続を閉じるまでにクライアントがアイドル状態でことができます秒-最大時間。今回はアイドル状態の接続の場合は、LDAP サーバーの取得、LDAP 通知切断します。

    デフォルト値: 900 秒
  • MaxDatagramRecv -ドメイン コント ローラーを処理するデータグラムの要求の最大サイズ。要求の値より大きい MaxDatagramRecv 無視されます。

    既定値:
    • Windows 2000 では、1,024 バイト
    • Windows Server 2003 の 4,096 バイト
  • MaxNotificationPerConnection -1 つの接続で許可されている未処理の通知要求の最大数この制限に達すると、その接続で実行される新しい通知検索に、「ビジー」エラーを返します。

    既定値: 5
  • MaxPageSize -この値は、1 つ検索結果で、返された各オブジェクトのサイズでの独立が返されたオブジェクトの最大数を制御します。結果のオブジェクトの数を超える可能性がありますは、検索を実行するには、クライアントのページ単位の検索コントロールを指定してください。これは、サイズ以下のグループで結果を返すをグループ化するのには、 MaxPageSize 値です。要約すると、 MaxPageSize 1 つの検索結果で返されるオブジェクトの数を制御します。

    既定値: 1,000
  • MaxPoolThreads -スレッドは、ドメイン コント ローラーを入力または出力 (I/O) のネットワークをリッスンする専用プロセッサの最大数。この値もスレッド LDAP 要求を同時に使用できるプロセッサの最大数を指定します。

    既定値: 4 プロセッサごとのスレッド
  • MaxResultSetSize の検索の結果のページに、個々 の検索間、ドメイン コント ローラーはクライアントの中間データを格納できます。ドメイン コント ローラーは、検索結果のページの次の部分を高速化するには、このデータを格納します。は、 MaxResultSize 値は、この種の検索には、ドメイン コント ローラーを格納しているデータの合計量を制御します。この制限に達すると、ドメイン コント ローラーは、最も古いの新しいの中間結果を格納するために確保するために中間結果を破棄します。

    既定値: 262,144 バイト
  • MaxQueryDuration -ドメイン コント ローラーは、1 つの検索にかかる秒の最大時間。この制限を超えた場合は、ドメイン コント ローラーは、"timeLimitExceeded"エラーを返します。多くの時間を必要とする検索結果のページのコントロールを指定しなければなりません。

    既定値: 120 秒
  • MaxTempTableSize -クエリの処理中に、dblayer は、中間結果から選択してデータベースの一時テーブルを作成しようとします。は、 MaxTempTableSize この一時データベース テーブルの大きさを指定できます、制限を制御します。場合は、一時データベースのテーブルの値より多くのオブジェクトが含まれます MaxTempTableSizeは、dblayer は、はるかに効率的な DS データベース全体の DS データベース内のすべてのオブジェクトの解析および実行されます。

    既定値: 10,000 個のレコード
  • MaxValRange -この値コントロールをどのように多くのオブジェクト属性の独立したオブジェクトの属性が返される値の数は、または検索結果内のオブジェクトの数をしました。Windows 2000 では、このコントロールで 1,000 をコード化された「ハード」です。属性が指定されている値の数より多くを持っている、 MaxValRange 値、使用範囲のコントロールの値で LDAP を超える値を取得するのには、 MaxValRange 値です。 MaxValueRange 1 つの属性の 1 つのオブジェクトで返される値の数を制御します。

    既定値:
    • Windows 2000 1,024
    • Windows Server 2003 で 1,500

Ntdsutil.exe を起動します。


Ntdsutil.exe では、Windows 2000 インストール CD-ROM のサポート ツール フォルダーにあります。既定では、Ntdsutil.exe は、System32 フォルダーにインストールされます。
  1. クリックしてください。 開始、し 実行.
  2. で、 ファイルを開く テキスト ボックス、入力 ntdsutil、し、ENTER キーを押します。いつでもでもヘルプを表示するのには、入力します。 ? コマンド プロンプトで。

現在のポリシー設定を表示します。

  1. Ntdsutil.exe のコマンド プロンプトを入力します。 LDAP ポリシー、し、ENTER キーを押します。
  2. LDAP ポリシーのコマンド プロンプトで入力します。 接続、し、ENTER キーを押します。
  3. サーバー接続のコマンド プロンプトで入力します。 サーバーへの接続します。 サーバーの DNS 名、し、ENTER キーを押します。サーバーに接続することは現在作業します。
  4. サーバー接続のコマンド プロンプトで入力します。 qをクリックし、前のメニューに戻るには、ENTER キーを押します。
  5. LDAP ポリシーのコマンド プロンプトで入力します。 値を表示します。、し、ENTER キーを押します。

    存在するため、ポリシーの表示が表示されます。

ポリシーの設定を変更します。

  1. Ntdsutil.exe のコマンド プロンプトを入力します。 LDAP ポリシー、し、ENTER キーを押します。
  2. LDAP ポリシーのコマンド プロンプトで入力します。 セット 設定 するには 変数、し、ENTER キーを押します。たとえば、入力します。 MaxPoolThreads は 8 に設定します。.

    サーバーに別のプロセッサを追加する場合は、この設定を変更します。
  3. 使用できます、 値を表示します。 変更を確認するためには、[コマンド] をクリックします。

    変更を保存するには、使用してください。 変更をコミットします。.
  4. 完了したらを入力します。 q、し、ENTER キーを押します。
  5. Ntdsutil.exe では、コマンド プロンプトを終了するには、入力します。q、し、ENTER キーを押します。
メモ この手順は、既定のドメイン ポリシーの設定を示します。独自のポリシー設定を適用すると、表示されない.

再起動の必要性

クエリ ポリシーを使用すると、ドメイン コント ローラーが現在使用している値を変更する場合は、それらの変更を再起動しなくても有効に。ただし、新しいクエリ ポリシーを作成する場合は、再起動が有効にするのには、新しいクエリ ポリシーを必要です。

クエリの値を変更する際の考慮事項

ドメイン サーバーの堅牢性を維持するには 120 秒のタイムアウト値を大きくこと勧めしません。効率的なクエリの形成をお勧めします。効率的なクエリの作成方法の詳細については、次のマイクロソフト Web サイトを参照してください。
http://msdn2.microsoft.com/en-us/library/ms808539.aspx
ただし、クエリを変更するオプションがない場合は、タイムアウト値は、1 つのドメイン コント ローラーでのみまたは 1 つのサイトに対してのみを増やします。詳細については、次のセクションを参照してください。1 つのドメイン コント ローラーに設定が適用される場合は、小さい使用可能性、サーバー認証用のクライアントをできるように、ドメイン コント ローラー上で DNS の LDAP 優先順位を減らします。増加の優先順位を持つドメイン コント ローラーで、LdapSrvPriority の設定するのには、次のレジストリ設定を使用します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
で、 編集 メニューをクリックして 値を追加します。、し、次のレジストリ値を追加します。
エントリ名: LdapSrvPriority
データ型: REG_DWORD
値: 値必要な優先度の値に設定します。
詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
306602ドメイン コント ローラーまたはクライアントのサイト外にあるグローバル カタログの場所を最適化する方法

ドメイン コント ローラーごとまたはサイトのポリシーごとに構成する手順について

  1. 新しいクエリ ポリシーを作成します。
    CN クエリ ポリシー]、[CN = ディレクトリ サービス、CN = Windows NT、CN = サービス、CN = 構成、=フォレスト ルート
  2. ドメイン コント ローラーまたはサイトを新しいポリシーには、「クエリ ポリシー オブジェクト」属性に、新しいポリシーの識別名を入力してポイントを設定します。属性の場所は次のとおりです。
    ドメイン コント ローラー用の場所です。
    CN = NTDS 設定、CN =DomainControllerName、CN サーバー、CN = =サイト名、CN サイトでは、CN = 構成、=フォレスト ルート
    サイトの場所です。
    CN = NTDS サイト設定、[CN =サイト名、CN サイトでは、CN = 構成、=フォレスト ルート

サンプル スクリプト

Ldifde ファイルを作成するのには、次のテキストを使用できます。10 分間のタイムアウト値をポリシーを作成するには、このファイルをインポートできます。Ldappolicy.ldf には、このテキストをコピーし、次のコマンドを実行、 フォレスト ルート フォレスト ルートの識別名です。休暇の DC として X =-です。これは、スクリプトを実行するときに、フォレスト ルート名によって置き換えられますが定数です。定数の X は、ドメイン コント ローラー名を示していません。
ldifde-i-f ldappolicy.ldf v-c DC = X を DC = =フォレスト ルート

Ldifde スクリプトの開始

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
changetype: add
instanceType: 4
lDAPAdminLimits: MaxReceiveBuffer=10485760
lDAPAdminLimits: MaxDatagramRecv=1024
lDAPAdminLimits: MaxPoolThreads=4
lDAPAdminLimits: MaxResultSetSize=262144
lDAPAdminLimits: MaxTempTableSize=10000
lDAPAdminLimits: MaxQueryDuration=300
lDAPAdminLimits: MaxPageSize=1000
lDAPAdminLimits: MaxNotificationPerConn=5
lDAPAdminLimits: MaxActiveQueries=20
lDAPAdminLimits: MaxConnIdleTime=900
lDAPAdminLimits: InitRecvTimeout=120
lDAPAdminLimits: MaxConnections=5000
objectClass: queryPolicy
showInAdvancedViewOnly: TRUE
ファイルをインポートした後、Adsiedit.msc または Ldp.exe を使用して、クエリの値を変更できます。このスクリプトで、MaxQueryDuration の設定は 5 分です。

メモ Ntdsutil.exe は既定のクエリ ポリシーの値のみが表示されます。カスタム ポリシーを定義すると、Ntdsutil.exe では表示されません。

関連情報

243267 スクリプトを使って Ntdsutil.exe を自動化する方法

プロパティ

文書番号: 315071 - 最終更新日: 2011年7月25日 - リビジョン: 9.0
キーワード:?
kbhowtomaster kbmt KB315071 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:315071
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com