Просмотр и установка политики LDAP в Active Directory с помощью программы Ntdsutil.exe

Переводы статьи Переводы статьи
Код статьи: 315071 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В статье подробно описано управление политиками протокола LDAP (Lightweight Directory Access Protocol) с помощью инструмента Ntdsutil.exe. Чтобы убедиться в том, что контроллеры доменов поддерживают гарантии уровня обслуживания, необходимо указать рабочие пределы количества операций LDAP. Эти ограничения предотвращают неблагоприятное воздействие некоторых операций на производительность сервера, а также повышают устойчивость сервера к которым типам атак.

Применение политик LDAP осуществляется с помощью объектов класса queryPolicy. Объекты политики запросов могут быть созданы с помощью контейнера политики запросов, являющегося дочерним контейнером службы Directory Service в контексте именования. Например: cn=Query-Policies, cn=Directory Service, cn=Windows NT, cn=Services контекст именования.

Пределы полномочий LDAP в Windows 2000 и Windows Server 2003


Пределы полномочий LDAP:
  • InitRecvTimeout - Данное значение определяет максимальное время (в секундах) ожидания контроллером домена отправки клиентом первого запроса после получения контроллером домена нового соединения. Если в течение заданного времени клиент не отправляет первый запрос, сервер отключает клиент.

    Значение по умолчанию: 120 секунд
  • MaxActiveQueries - максимальное количество одновременных операций поиска LDAP, разрешенных для одновременного запуска на контроллере домена. При достижении этого предела сервер LDAP возвращает ошибку «занят».

    Значение по умолчанию: 20

    Примечание Данная настройка неправильно взаимодействует со значением MaxPoolThreads. MaxPoolThreads является настройкой процессора, а MaxActiveQueries определяет абсолютное количество. Начиная с Windows Server 2003, MaxActiveQueries более не используются. К тому же, MaxActiveQueries не появляется в версии NTDSUTIL для Windows Server 2003.

    Значение по умолчанию: 20
  • MaxConnections - максимальное количество одновременных соединений LDAP, которое может принять контроллер домена. При появлении соединения после достижения контроллером домена этого предела следующее соединение разрывается.

    Значение по умолчанию: 5000
  • MaxConnIdleTime - максимальное время (в секундах) бездействия клиента до закрытия соединения сервером LDAP. При бездействии соединения в течение большего количества времени сервер LDAP возвращает уведомление об отсоединении LDAP.

    Значение по умолчанию: 900 секунд
  • MaxDatagramRecv - максимальный размер обрабатываемого контроллером домена запроса датаграммы. Запросы, превышающие значение MaxDatagramRecv, игнорируются.

    По умолчанию: 1 024 байт
  • MaxNotificationPerConnection - максимальное разрешенное количество невыполненных запросов сообщений для одного соединения. При достижении этого предела сервер возвращает ошибку «занят» для любого нового выполняемого на этом соединении поиска сообщений.

    Значение по умолчанию: 5
  • MaxPageSize - данное значение определяет максимальное количество объектов, возвращаемых при одном поиске, вне зависимости от размера возвращаемых объектов. Для выполнения поиска, если максимальное количество возвращаемых объектов может быть превышено, клиент должен указать выполнение поиска по страницам. Это означает объединение возвращаемых результатов в группы, не превыщающие значение MaxPageSize. Таким образом, MaxPageSize определяет количество объектов, возвращаемых при одном поиске.

    Значение по умолчанию: 1,000
  • MaxPoolThreads - максимальное количество потоков для процессора, которое выделяет контроллер домена для прослушивания ввода и вывода сети. Данное значение также определяет максимальное количество потоков для процессора, которые могут одновременного обрабатывать запросы LDAP.

    Значение по умолчанию: 4 потока на процессор
  • MaxResultSetSize - контроллер домена может сохранять промежуточные данные для клиента между отдельными поисками по страницам. Контроллер домена сохраняет эти данные для ускорения следующей части результатов постраничного поиска. Значение MaxResultSize определяет общий объем данных, сохраняемых контроллером домена для этого вида поиска. При достижении предела контроллер домена удаляет самые старые промежуточные результаты, чтобы освободить пространство для сохранения новых промежуточных результатов.

    Значение по умолчанию: 262 144 байт
  • MaxQueryDuration - максимальное время (в секундах) выполнения контроллером домена одного поиска. При достижении этого предела контроллер домена возвращает ошибку «timeLimitExceeded». Для выполнения поиска, требующего большее количество времени, необходимо указать параметр постраничных результатов.

    Значение по умолчанию: 120 секунд
  • MaxTempTableSize - во время обработки запроса dblayer может создавать временную таблицу в базе данных для сортировки и выбора промежуточных результатов. Значение MaxTempTableSize определяет размер временной таблицы в базе данных. Если количество объектов во временной таблице в базе данных превышает значение MaxTempTableSize, dblayer выполняет менее эффективный анализ всей базы данных DS и всех содержащихся в ней объектов.

    Значение по умолчанию: 10 000 записей
  • MaxValRange - данное значение определяет количество возвращаемых для атрибута объекта значений, вне зависимости от количества атрибутов объекта или количество объектов в результате поиска. В Windows 2000 для этого параметра установлено значение 1 000. Если количество значений атрибута превышает указанное значение MaxValRange, для получения значений, превышающих значение MaxValRange, необходимо использовать параметр дипазона значений в LDAP. MaxValueRange определяет количество значений, возвращаемых для одного атрибута одного объекта.

Запуск программы Ntdsutil.exe


Программа Ntdsutil.exeI расположена в папке «Support Tools» на установочном диске Windows 2000. По умолчанию программа Ntdsutil.exe установлена в папке System32.
  1. Щелкните Пуск, затем щелкните Выполнить.
  2. В текстовом окне Открыть наберите ntdsutil и нажмите клавишу ВВОД. Для просмотра справки в командной строке наберите ?.

Просмотр текущих параметров политик

  1. В командной строке Ntdsutil.exe наберите LDAP policies и нажмите клавишу ВВОД.
  2. В командной строке политики LDAP наберите connections и нажмите клавишу ВВОД.
  3. В командной строке соединения сервера наберите connect to server имя сервера DNS и нажмите клавишу ВВОД. Необходимо подключение к текущему рабочему серверу.
  4. В командной строке сервера наберите q и нажмите клавишу ВВОД для возврата к предыдущему меню.
  5. В командной строке политики LDAP наберите Show Values и нажмите клавишу ВВОД.

    Появится список текущих политик.

Изменение параметров политики

  1. В командной строке Ntdsutil.exe наберите LDAP policies и нажмите клавишу ВВОД.
  2. В командной строке политики LDAP наберите Set setting to variable и нажмите клавишу ВВОД. Например, наберите Set MaxPoolThreads to 8.

    Значение данного параметра изменяется при добавлении на сервер другого процессора.
  3. Для просмотра изменений можно использовать команду Show Values.

    Для сохранения изменений используйте команду Commit Changes.
  4. По завершении введите q и нажмите клавишу ВВОД.
  5. Для выхода из программы Ntdsutil.exe в командной строке введите q и нажмите клавишу ВВОД.


Примечание Данная процедура показывает только параметры политики для домена по умолчанию. Просмотр примененного собственного параметра политики невозможен.

Замечания по изменению значений запроса

Для поддержания устойчивости сервера домена не рекомендуется увеличивать значение таймаута, равное 120 секундам. Предпочтительным решением является создание более эффективных запросов. Дополнительные сведения о создании эффективных запросов см. на следующем веб-сайте корпорации Майкрософт:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnactdir/html/efficientadapps.asp
Однако если изменение запроса невозможно, необходимо увеличить значение таймаута только на одном контроллере домена или на одном сайте. Инструкции см. в следующем разделе. Если параметр применяется к одному контроллеру домена, необходимо уменьшить приоритет LDAP DNS на одном контроллере домена, чтобы клиенты реже использовали сервер для проверки подлинности. На контроллере домена с увеличенным приоритетом используйте следующий параметр реестра для настройки LdapSrvPriority:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
В меню Правка выберите пункт Добавить значение и добавьте следующей параметр реестра:
Название параметра: LdapSrvPriority
Тип данных: REG_DWORD
Значение: Установите нужное значение приоритета.
Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
306602 Оптимизация расположения контроллера домена или глобального каталога, находящегося не на сайте клиента (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Инструкции по настройке контроллера домена или политики сайта

  1. Создайте новую политику запроса в:
    CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,корень леса
  2. Установите для контроллера домена или сайта новую политику, указав уникальное имя новой политики в атрибуте "Query-Policy-Object". Расположение атрибута:
    Расположение контроллера домена:
    CN=NTDS Settings, CN=DomainControllerName, CN=Servers,CN=имя сайта,CN=Sites,CN=Configuration,корень леста
    Расположение сайта:
    CN=NTDS Site Settings,CN=имя сайта,CN=Sites,CN=Configuration,корень леса

Пример сценария

Для создания файла Ldifde можно использовать следующий текст. Можно импортировать этот файл для создания политики с таймаутом, равным 10 минут. Скопируйте этот текст в файл Ldappolicy.ldf и выполните следующую команду, где корень леса - это уникальное имя вашего корня леса. Оставьте DC=X как есть. Это константа, которая будет изменена на имя корня леса при запуске сценария. Константа X не означает имя контроллера домена.
ldifde -i -f ldappolicy.ldf -v -c DC=X DC=корень леса

Запуск сценария Ldifde

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X changetype: добавьте instanceType: 4 lDAPAdminLimits: MaxReceiveBuffer=10485760 lDAPAdminLimits: MaxDatagramRecv=1024 lDAPAdminLimits: MaxPoolThreads=4 lDAPAdminLimits: MaxResultSetSize=262144 lDAPAdminLimits: MaxTempTableSize=10000 lDAPAdminLimits: MaxQueryDuration=300 lDAPAdminLimits: MaxPageSize=1000 lDAPAdminLimits: MaxNotificationPerConn=5 lDAPAdminLimits: MaxActiveQueries=20 lDAPAdminLimits: MaxConnIdleTime=900 lDAPAdminLimits: InitRecvTimeout=120 lDAPAdminLimits: MaxConnections=5000 objectClass: queryPolicy showInAdvancedViewOnly: TRUE
После импорта файла можно изменить значения запроса с помощью Adsiedit.msc или Ldp.exe. Для параметра MaxQueryDuration в сценарии установлено значение 5 минут.

Примечание Программа Ntdsutil.exe отображает только значение политики запроса по умолчанию. Если определены какие-либо пользовательские политики, они не отображаются программой Ntdsutil.exe.

Ссылки

243267 Автоматизация использования сценария программой Ntdsutil.exe (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Свойства

Код статьи: 315071 - Последний отзыв: 13 сентября 2006 г. - Revision: 5.1
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Ключевые слова: 
kbhowtomaster KB315071

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com