Ntdsutil.exe를 사용하여 Active Directory에서 LDAP 정책을 설정하는 방법

기술 자료 번역 기술 자료 번역
기술 자료: 315071 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에서는 Ntdsutil.exe 도구를 사용하여 경량 디렉터리 액세스 프로토콜 (LDAP) 정책을 관리하는 방법에 대해 설명합니다. 도메인 컨트롤러를 지원할 수 있도록 보장하는 서비스 수준, LDAP 작업 수에 대한 작업 제한을 지정해야 합니다. 이러한 제한은 특정 작업이 서버의 성능을 저하시키지 않도록 및 서버가 보다 탄력성 일부 유형의 공격 만들 수도.

LDAP 정책은 queryPolicy 클래스의 개체를 사용하여 구현됩니다. 구성 명명 컨텍스트에 있는 디렉터리 서비스 컨테이너를 자식입니다 쿼리 정책 컨테이너에 쿼리 정책 개체는 만들 수 있습니다. 예를 들어,: cn 쿼리 정책을 cn = 디렉터리 서비스가 CN = NT cn = 서비스 configuration naming context =.

Windows 2000 및 Windows Server 2003 LDAP 관리 제한

LDAP 관리 제한 다음과 같습니다.
  • InitRecvTimeout - 이 값 은 최대 시간을 도메인 컨트롤러와 클라이언트에 대한 새 연결을 도메인 컨트롤러가 수신한 후 첫 번째 요청을 보낼 때까지 대기하는 시간 (초)을 정의합니다. 클라이언트가 이 시간 동안 첫 번째 요청을 보내는 경우 서버에 클라이언트 연결을 끊습니다.

    기본값: 120초
  • MaxActiveQueries - 도메인 컨트롤러에서 동시에 실행할 수 있도록 허용된 동시 LDAP 검색 작업 최대 수입니다. 이 제한에 도달하면 LDAP 서버 사용"오류를 반환합니다.

    기본값: 20

    참고 이 컨트롤이 잘못된 상호 MaxPoolThreads 값이 있습니다. MaxActiveQueries 절대 번호를 정의하는 동안 MaxPoolThreads 프로세서 당 컨트롤이 있습니다. Windows Server 2003 시작, MaxActiveQueries 더 이상 적용되지 않습니다. 또한 MaxActiveQueries NTDSUTIL Windows Server 2003 버전에서 나타나지 않습니다.

    기본값: 20
  • MaxConnections - 도메인 컨트롤러 수락할 동시 LDAP 연결의 최대 수입니다. 도메인 컨트롤러가 이 제한에 도달하면 연결을 가져오는 경우 도메인 컨트롤러가 다른 연결을 삭제합니다.

    기본값: 5000
  • MaxConnIdleTime - 최대 시간 LDAP 서버 연결을 닫기 전에 클라이언트가 유휴 상태로 있을 수 (초) 입니다. LDAP 서버 반환합니다 LDAP 연결을 이 시간 이상 유휴 상태에 있으면 알림 연결을 끊습니다.

    기본값: 900 초
  • MaxDatagramRecv - 도메인 컨트롤러를 처리할 데이터그램 요청의 최대 크기 를. MaxDatagramRecv 값보다 큰 요청이 무시됩니다.

    기본 값:
    • Windows 2000 - 1, 024바이트
    • Windows Server 2003 - 4, 096바이트
  • MaxNotificationPerConnection - 최대 하나의 연결에서 허용되는 해결되지 않은 알림 요청 수입니다. 서버가 이 제한에 도달하면 해당 연결에서 수행되는 모든 새 알림 검색을 위해 "사용" 오류를 반환합니다.

    기본값: 5
  • MaxPageSize - 이 값 은 단일 검색 결과를 있는 독립적인 각 반환된 개체는 큰 어떻게 중 반환되는 개체의 최대 수를 제어합니다. 그 결과 이 개체 수를 초과할 수 검색을 수행할 수 있는 클라이언트 페이징된 검색 컨트롤을 지정해야 합니다. MaxPageSize 값보다 더 큰 그룹의 반환된 결과를 그룹화할 수 있습니다. 요약하면 MaxPageSize 단일 검색 결과로 반환되는 개체의 수를 제어합니다.

    기본값: 1,000
  • MaxPoolThreads - 스레드 단위 - 도메인 컨트롤러 입력 또는 출력 네트워크 (I/O) 수신 지정했습니다 프로세서를 최대 수입니다. 또한 이 값을 최대 스레드 LDAP 요청을 동시에 작업할 수 있는 프로세서 수를 결정합니다.

    기본값: 4 프로세서 당 스레드
  • MaxResultSetSize - 페이지 단위 결과 검색 백업해야 할 개별 검색 간 도메인 컨트롤러가 중간 데이터 클라이언트에 대해 저장할 수 있습니다. 도메인 컨트롤러가 페이지 단위 결과 검색 다음 부분에는 속도를 높이기 위해 이 데이터를 저장합니다. MaxResultSize 값은 총 검색 이러한 종류의 도메인 컨트롤러가 저장하는 데이터의 양을 제어합니다. 도메인 컨트롤러가 이 제한에 도달하면 가장 오래된 새 중간 결과를 저장할 공간을 만들기 위해 이러한 중간 결과를 삭제합니다.

    기본값: 262,144 바이트
  • MaxQueryDuration - 있는 최대 시간을 초 단위로 도메인 컨트롤러에 대한 단일 검색을 소비할 것입니다. 이 한도에 도달할 때 도메인 컨트롤러 "timeLimitExceeded" 오류를 반환합니다. 더 많은 시간을 필요로 하는 검색 페이지 단위 결과 컨트롤을 지정해야 합니다.

    기본값: 120초
  • 쿼리를 처리하는 동안 MaxTempTableSize-, 정렬 및 중간 결과를 선택할 수 있는 임시 데이터베이스 테이블을 만들 수 있는 dblayer 볼 수 있습니다. 이 임시 데이터베이스 테이블을 어떻게 커질 수 MaxTempTableSize 제한을 제어합니다. 임시 데이터베이스 테이블을 값보다 많은 개체에 대한 MaxTempTableSize 포함됩니다 경우 해당 dblayer 있는 훨씬 덜 효율적인 완전한 DS 데이터베이스 및 DS 데이터베이스에 있는 모든 개체의 구문 수행합니다.

    기본값: 10, 000개의 레코드가
  • MaxValRange - 이 값 은 독립 개체 수를 특성을 갖고, 또는 검색 결과 개체 수가 있던 개체의 특성에 대한 반환된 값의 개수를 제어합니다. Windows 2000에서 이 1, 코딩된 "하드" 컨트롤입니다. 특성 값 MaxValRange 값으로 지정된 수보다 많이 있는 경우 LDAP에 값 범위 컨트롤을 MaxValRange 값을 초과하는 값을 검색하려면 사용해야 합니다. MaxValueRange 단일 개체의 단일 특성에 따라 반환되는 값의 개수를 제어합니다.

    기본 값:
    • Windows 2000 1,024
    • Windows Server 2003 1,500

Ntdsutil.exe를 시작


Ntdsutil.exe는 Windows 2000 설치 CD-ROM 지원 도구 폴더에 위치합니다. 기본적으로 Ntdsutil.exe System32 폴더에 설치됩니다.
  1. 시작 을 누른 다음 실행 을 클릭하십시오.
  2. 열기 텍스트 상자에 ntdsutil 을 입력한 다음 Enter 키를 누릅니다. 언제든지 도움말을 보려면 다음을 입력합니다 ? 명령 프롬프트에서.

현재 정책 설정 보기

  1. Ntdsutil.exe 명령 프롬프트에서 LDAP 정책 을 를 입력한 다음 Enter 키를 누릅니다.
  2. LDAP 정책 명령 프롬프트에서 연결 을 입력한 다음 Enter 키를 누릅니다.
  3. 서버 연결 명령 프롬프트에서 연결할 서버에 서버의 DNS 이름 을 입력한 다음 Enter 키를 누릅니다. 서버에 연결하려는 있는 중인 현재 작업.
  4. 서버 연결 명령 프롬프트에서 q 를 입력하고 Enter 키를 눌러 이전 메뉴로 돌아갑니다.
  5. LDAP 정책 명령 프롬프트에서 표시 값 을 입력한 다음 Enter 키를 누릅니다.

    정책이 있는 그대로 표시됩니다.

정책 설정 수정

  1. Ntdsutil.exe 명령 프롬프트에서 LDAP 정책 을 를 입력한 다음 Enter 키를 누릅니다.
  2. LDAP 정책 명령 프롬프트에서 변수에설정 은 설정 을 입력한 다음 Enter 키를 누릅니다. 예를 들어, 8 설정 MaxPoolThreads 입력하십시오.

    다른 프로세서 서버를 추가할 경우 이 설정을 변경합니다.
  3. 값 표시 명령을 사용하여 변경 내용을 확인합니다.

    변경 내용 커밋 사용하여 변경 내용을 저장합니다.
  4. 끝나면 q 를 입력한 다음 Enter 키를 누릅니다.
  5. 명령 프롬프트에서 Ntdsutil.exe, 종료하려면 q 를 입력한 다음 Enter 키를 누릅니다.
참고 이 절차에서는 대해서만 기본 도메인 정책 설정을 보여 줍니다. 자체 정책 설정을 적용하면 볼 수 없습니다..

요구 사항이 다시 부팅

도메인 컨트롤러를 현재 사용하고 있는 쿼리 정책에 대한 값을 변경하면 이러한 변경 사항은 다시 부팅하지 않고 적용됩니다. 그러나 새 쿼리 정책을 만든 경우 새 쿼리 정책을 적용하려면 부팅해야가 합니다.

쿼리 값 변경 시 고려 사항

도메인 서버 복구를 유지하려면 120초 시간 제한 값을 늘리는 것이 사용하지 않는 것이 좋습니다. 보다 효율적인 쿼리를 형성하는 기본 솔루션입니다. 효율적인 쿼리를 만드는 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://msdn2.microsoft.com/en-us/library/ms808539.aspx
그러나 쿼리를 변경하는 옵션이 없는 경우 한 도메인 컨트롤러 또는 한 사이트 시간 제한 값을 늘립니다. 자세한 내용은 다음 섹션을 참고하십시오. 설정을 한 도메인 컨트롤러에 적용되는 경우, 클라이언트는 작은 가능성이 서버 인증에 사용할 수 있도록 도메인 컨트롤러의 DNS LDAP 우선을 줄입니다. 증가 우선 순위 가진 도메인 컨트롤러에서 다음 레지스트리 설정을 사용하여 LdapSrvPriority 설정합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
편집 메뉴에서 값 추가 누르고 다음 레지스트리 값을 추가하십시오.
항목 이름: LdapSrvPriority
데이터 형식: REG_DWORD
값: 값은 원하는 우선 순위 값을 설정하십시오.
자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
306602도메인 컨트롤러 또는 클라이언트 사이트의 외부에 있는 글로벌 카탈로그 위치를 최적화하는 방법

도메인 컨트롤러 또는 사이트 정책 당 구성하기 위한 지침

  1. 쿼리 정책을 새로 만듭니다.
    CN 쿼리 정책, CN = 디렉터리 서비스가 CN = NT CN = 서비스, CN = 구성, forest root =
  2. 도메인 컨트롤러 또는 사이트 "쿼리 정책 개체" 특성을 새 정책 고유 이름을 입력하여 새 정책을 가리키도록 설정하십시오. 특성의 위치를 다음과 같습니다.
    도메인 컨트롤러에 대한 위치는 다음과 같습니다.
    CN = NTDS 설정을 CN DomainControllerName, CN = 서버 CN = site name, CN = 사이트, CN = 구성, forest root =
    사이트의 위치는 다음과 같습니다.
    CN = NTDS 사이트 설정, CN site name, CN = 사이트, CN = 구성, forest root =

예제 스크립트

다음 텍스트를 Ldifde 파일을 만들 수 있습니다. 제한 시간 값은 10 분 정책을 만들려면 이 파일을 가져올 수 있습니다. Ldappolicy.ldf, 이 텍스트를 복사한 다음 forest root 포리스트 루트의 고유 이름이 곳에 다음 명령을 실행하십시오. 휴가 DC X로 = - 것입니다. 이 상수를 스크립트가 실행될 때 포리스트 루트 이름을 바꿀 수 있습니다. 상수 X 도메인 컨트롤러 이름을 나타내지 않습니다.
ldifde -i-f ldappolicy.ldf - v-c DC = X DC forest root =

시작 Ldifde 스크립트

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
changetype: add
instanceType: 4
lDAPAdminLimits: MaxReceiveBuffer=10485760
lDAPAdminLimits: MaxDatagramRecv=1024
lDAPAdminLimits: MaxPoolThreads=4
lDAPAdminLimits: MaxResultSetSize=262144
lDAPAdminLimits: MaxTempTableSize=10000
lDAPAdminLimits: MaxQueryDuration=300
lDAPAdminLimits: MaxPageSize=1000
lDAPAdminLimits: MaxNotificationPerConn=5
lDAPAdminLimits: MaxActiveQueries=20
lDAPAdminLimits: MaxConnIdleTime=900
lDAPAdminLimits: InitRecvTimeout=120
lDAPAdminLimits: MaxConnections=5000
objectClass: queryPolicy
showInAdvancedViewOnly: TRUE
파일을 가져온 후에 Adsiedit.msc를 또는 Ldp.exe를 사용하여 쿼리 값을 변경할 수 있습니다. 이 스크립트는 MaxQueryDuration 설정은 5 분입니다.

참고 Ntdsutil.exe를 경우에만 기본 쿼리 정책의 값을 표시합니다. 사용자 지정 정책이 정의되어 있지 않으면 Ntdsutil.exe에 의해 표시되지 않습니다.

참조

243267스크립트를 사용하여 Ntdsutil.exe 자동화하는 방법

속성

기술 자료: 315071 - 마지막 검토: 2009년 2월 9일 월요일 - 수정: 7.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
키워드:?
kbmt kbhowtomaster KB315071 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com