วิธีการดู และการตั้งค่านโยบายของ LDAP ใน Active Directory โดยใช้ Ntdsutil.exe

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 315071 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความที่มีการทีละขั้นตอนนี้อธิบายวิธีการจัดการนโยบายการโพรโทคอลการเข้าถึงไดเรกทอรีของ Lightweight (LDAP) โดยใช้เครื่องมือ Ntdsutil.exe เพื่อให้แน่ใจว่า สามารถสนับสนุนตัวควบคุมโดเมน ระดับบริการ guarantees คุณต้องระบุขีดจำกัดการดำเนินงานสำหรับหมายเลขของการดำเนินการ LDAP ข้อจำกัดเหล่านี้ป้องกันการดำเนินการที่ระบุจากมากส่งผลกระทบต่อประสิทธิภาพการทำงานของเซิร์ฟเวอร์ และยัง ทำให้เซิร์ฟเวอร์ resilient มากกับบางชนิดของการโจมตี

นโยบายของ ldap จะมีการใช้งาน โดยใช้วัตถุของคลา queryPolicy แบบสอบถามวัตถุนโยบายสามารถถูกสร้างในแบบสอบถามนโยบายคอนเทนเนอร์ ซึ่งก็คือลูกของคอนเทนเนอร์ของบริการไดเรกทอรีในบริบทการตั้งชื่อที่กำหนดค่า ตัวอย่างเช่น: cn =แบบสอบถามนโยบาย cn =บริการไดเรกทอรี cn = Windows NT, cn =บริการบริบทการตั้งชื่อการกำหนดค่า.

ขีดจำกัดการจัดการของ windows 2000 และ Windows LDAP 2003 ของเซิร์ฟเวอร์

ข้อจำกัดในการดูแล LDAP ได้แก่:
  • InitRecvTimeout-ค่านี้กำหนดเวลาสูงสุดในหน่วยวินาทีที่ตัวควบคุมโดเมนรอสำหรับไคลเอนต์ส่งการร้องขอแรกหลังจากที่ตัวควบคุมโดเมนได้รับการเชื่อมต่อใหม่ ถ้าไคลเอ็นต์ไม่สามารถส่งการร้องขอแรกในจำนวนเวลา เซิร์ฟเวอร์ disconnects ไคลเอ็นต์

    ค่าเริ่มต้น: 120 วินาที
  • MaxActiveQueries-จำนวนสูงสุดพร้อมกัน LDAP ดำเนินการค้นหาที่ได้รับอนุญาตให้ทำงานในเวลาเดียวกันบนตัวควบคุมโดเมน เมื่อถึงขีดจำกัดนี้ เซิร์ฟเวอร์ LDAP ที่ส่งกลับข้อผิดพลาด "ไม่ว่าง"

    ค่าเริ่มต้น: 20

    หมายเหตุ:ตัวควบคุมนี้มีการโต้ตอบที่ไม่ถูกต้องด้วยการMaxPoolThreadsค่าMaxPoolThreadsมีตัวควบคุมสำหรับแต่ละการประมวลผล ขณะMaxActiveQueriesกำหนดหมายเลขสมบูรณ์ เริ่มการทำงานกับ Windows Server 2003MaxActiveQueriesจะไม่ใช้งาน นอกจากนี้MaxActiveQueriesไม่สามารถปรากฏขึ้นใน Windows Server 2003 รุ่น NTDSUTIL

    ค่าเริ่มต้น: 20
  • MaxConnections-จำนวนสูงสุดของการเชื่อมต่อ LDAP พร้อมที่ตัวควบคุมโดเมนจะยอมรับ หากการเชื่อมต่อมาในหลังจากที่ตัวควบคุมโดเมนมาถึงขีดจำกัดนี้ ตัวควบคุมโดเมนวางการเชื่อมต่ออื่น

    ค่าเริ่มต้น: 5000
  • MaxConnIdleTime-เวลาสูงสุดในหน่วยวินาทีที่ไคลเอ็นต์อาจไม่ได้ใช้งานก่อนการเซิร์ฟเวอร์ LDAP ปิดการเชื่อมต่อ ถ้าการเชื่อมต่อไม่ได้ใช้งานสำหรับเวลานี้มากกว่า กลับเซิร์ฟเวอร์ LDAP LDAP ยกเลิกการแจ้งเตือน

    ค่าเริ่มต้น: 900 วินาที
  • MaxDatagramRecv-ขนาดสูงสุดของการร้องขอเดตาแกรมที่ตัวควบคุมโดเมนจะมีการประมวลผล ร้องขอที่มีขนาดใหญ่กว่าค่าสำหรับMaxDatagramRecvจะถูกละเว้น

    ค่าเริ่มต้น::
    • windows 2000-1024 ไบต์
    • windows Server 2003 - 4096 ไบต์
  • MaxNotificationPerConnection-หมายเลขสูงสุดของการร้องขอการแจ้งเตือนที่ค้างชำระที่ได้รับอนุญาตบนการเชื่อมต่อเดียว เมื่อมีการจำกัดนี้ถึงเซิร์ฟเวอร์ที่ ส่งกลับข้อผิดพลาด "ไม่ว่าง" เพื่อค้นหาการแจ้งเตือนใด ๆ ใหม่ที่ดำเนินการบนการเชื่อมต่อ

    ค่าเริ่มต้น: 5
  • MaxPageSize-ค่านี้ควบคุมจำนวนสูงสุดของวัตถุที่ถูกส่งกลับผลลัพธ์การค้นหาเดียว ต้องเกี่ยวข้องกับแต่ละวัตถุที่ถูกส่งกลับมีขนาดใหญ่อย่างไร เมื่อต้องการทำการค้นหาที่ผลอาจเกินจำนวนวัตถุ ไคลเอ็นต์ต้องระบุการควบคุมการค้นหา paged นี่คือการจัดกลุ่มผลลัพธ์ที่ส่งคืนในกลุ่มที่มีขนาดใหญ่กว่านั้นMaxPageSizeค่า เมื่อต้องการสรุปMaxPageSizeควบคุมจำนวนของออปเจ็กต์ที่ส่งคืนในผลลัพธ์การค้นหาเดียว

    ค่าเริ่มต้น: 1000
  • MaxPoolThreads-หมายเลขสูงสุดของเธรดต่อโปรเซสเซอร์ที่ตัวควบคุมโดเมน dedicates เพื่อฟังสำหรับเครือข่ายสำหรับการป้อนค่า หรือเอาพุต (I/O) ค่านี้กำหนดจำนวนสูงสุดของเธรดต่อโปรเซสเซอร์ที่สามารถทำงานกับการร้องขอการ LDAP ในเวลาเดียวกัน

    ค่าเริ่มต้น: 4 threads ต่อการประมวลผล
  • MaxResultSetSize-ระหว่างแต่ละค้นที่ทำการค้นหาผลลัพธ์ paged ตัวควบคุมโดเมนอาจเก็บข้อมูลกลางสำหรับไคลเอ็นต์ ตัวควบคุมโดเมนเก็บข้อมูลนี้ให้เร็วที่ส่วนถัดไปของการค้นหาผลลัพธ์ paged กระบวนการMaxResultSizeค่าควบคุมจำนวนรวมของข้อมูลที่ตัวควบคุมโดเมนที่จัดเก็บสำหรับชนิดของการค้นหานี้ เมื่อถึงขีดจำกัดนี้ ตัวควบคุมโดเมนละเว้นเก่าที่สุดของผลลัพธ์เหล่านี้กลางเพื่อให้มีที่ว่างเพื่อเก็บผลลัพธ์ที่ระดับปานกลางระดับใหม่

    ค่าเริ่มต้น: 262,144 ไบต์
  • MaxQueryDuration-เวลาสูงสุดในหน่วยวินาทีที่ตัวควบคุมโดเมนจะใช้ในการค้นหาเดียว เมื่อถึงขีดจำกัดนี้ ตัวควบคุมโดเมนส่งกลับข้อผิดพลาด "timeLimitExceeded" Searches that require more time must specify the paged results control.

    Default value: 120 seconds
  • MaxTempTableSize- While a query is processed, the dblayer may try to create a temporary database table to sort and select intermediate results from. กระบวนการMaxTempTableSizelimit controls how large this temporary database table can be. If the temporary database table would contain more objects than the value forMaxTempTableSize, the dblayer performs a much less efficient parsing of the complete DS database and of all the objects in the DS database.

    Default value: 10,000 records
  • MaxValRange- This value controls the number of values that are returned for an attribute of an object, independent of how many attributes that object has, or of how many objects were in the search result. In Windows 2000, this control is "hard" coded at 1,000. If an attribute has more than the number of values that are specified by theMaxValRangevalue, you must use value range controls in LDAP to retrieve values that exceed theMaxValRangeค่าMaxValueRangecontrols the number of values that are returned on a single attribute on a single object.

    Default value:
    • Windows 2000 - 1,024
    • Windows Server 2003 - 1,500

เริ่มการทำงาน Ntdsutil.exe


Ntdsutil.exe จะอยู่ในโฟลเดอร์'เครื่องมือสนับสนุน'ในการติดตั้ง Windows 2000 ซีดีรอม โดยค่าเริ่มต้น Ntdsutil.exe ถูกติดตั้งอยู่ในโฟลเดอร์ System32
  1. คลิกเริ่มการทำงานแล้ว คลิกเรียกใช้.
  2. ในการOPENกล่องข้อความ ชนิดntdsutilแล้ว กด ENTER เมื่อต้องดูวิธีใช้ตลอดเวลา พิมพ์?หน้าจอพร้อมรับคำสั่ง

การดูการตั้งค่านโยบายปัจจุบัน

  1. ที่พรอมต์คำสั่ง Ntdsutil.exe พิมพ์นโยบายของ ldapแล้ว กด ENTER
  2. ที่พรอมต์คำสั่งนโยบาย LDAP พิมพ์การเชื่อมต่อแล้ว กด ENTER
  3. ที่พรอมต์คำสั่งการเชื่อมต่อเซิร์ฟเวอร์ พิมพ์เชื่อมต่อกับเซิร์ฟเวอร์ชื่อเซิร์ฟเวอร์ dnsแล้ว กด ENTER คุณต้องการเชื่อมต่อกับเซิร์ฟเวอร์ที่คุณจะอยู่ในขณะทำงานกับ
  4. ที่พรอมต์คำสั่งการเชื่อมต่อเซิร์ฟเวอร์ พิมพ์qแล้ว กด ENTER เพื่อกลับไปเมนูก่อนหน้านี้
  5. ที่พรอมต์คำสั่งนโยบาย LDAP พิมพ์แสดงค่าแล้ว กด ENTER

    แสดงนโยบายการ ตามที่มีอยู่ปรากฏขึ้น

การปรับเปลี่ยนการตั้งค่านโยบาย

  1. ที่พรอมต์คำสั่ง Ntdsutil.exe พิมพ์นโยบายของ ldapแล้ว กด ENTER
  2. ที่พรอมต์คำสั่งนโยบาย LDAP พิมพ์ตั้งค่าการตั้งค่าเมื่อต้องการตัวแปรแล้ว กด ENTER ตัวอย่างเช่น พิมพ์การตั้งค่า MaxPoolThreads 8.

    เปลี่ยนการตั้งค่านี้ถ้าคุณเพิ่มตัวประมวลผลอื่นไปยังเซิร์ฟเวอร์ของคุณ
  3. คุณสามารถใช้ได้แสดงค่าคำสั่งเพื่อตรวจสอบการเปลี่ยนแปลงของคุณ

    เมื่อต้องการบันทึกการเปลี่ยนแปลง ใช้ยืนยันการเปลี่ยนแปลง.
  4. เมื่อคุณเสร็จสิ้น พิมพ์qแล้ว กด ENTER
  5. เมื่อต้องปิด Ntdsutil.exe ที่คอมมานด์พร้อมต์ พิมพ์qแล้ว กด ENTER
หมายเหตุ:ขั้นตอนนี้แสดงการตั้งค่านโยบายโดเมนที่เริ่มต้นเท่านั้น ถ้าคุณใช้การตั้งค่านโยบายของคุณ คุณไม่สามารถดูได้..

ความต้องรี

ถ้าคุณเปลี่ยนค่าสำหรับนโยบายแบบสอบถามที่กำลังใช้ตัวควบคุมโดเมน เปลี่ยนแปลงดังกล่าวมีผลโดยไม่ต้องการเริ่มระบบใหม่ อย่างไรก็ตาม ถ้ามีสร้างนโยบายการสอบถามใหม่ เริ่มระบบใหม่ที่จำเป็นสำหรับนโยบายการสอบถามใหม่ผล

ข้อควรพิจารณาสำหรับการเปลี่ยนแปลงค่าการสอบถาม

เพื่อรักษาโดเมนมีความยืดหยุ่นของเซิร์ฟเวอร์ เราไม่แนะนำให้คุณเพิ่มค่าการหมดเวลาของวินาที 120 การจัดรูปแบบแบบสอบถามที่มีประสิทธิภาพมากขึ้นเป็นวิธีแก้ไขปัญหาที่ต้องการ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการสร้างแบบสอบถามที่มีประสิทธิภาพ แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://msdn2.microsoft.com/en-us/library/ms808539.aspx
อย่างไรก็ตาม ถ้าการเปลี่ยนแปลงแบบสอบถามไม่มีตัวเลือก เพิ่มค่าการหมดเวลา ในตัวควบคุมโดเมนเดียวเท่านั้น หรือ ในไซต์เดียวเท่านั้น สำหรับคำแนะนำ ให้ดูที่ส่วนถัดไป ถ้ามีใช้การตั้งค่าตัวควบคุมโดเมนที่หนึ่ง ลดระดับความสำคัญของ LDAP ของ DNS บนตัวควบคุมโดเมนเพื่อให้เครื่องไคลเอนต์จะน้อยกว่าใช้เซิร์ฟเวอร์สำหรับการรับรองความถูกต้องเป็นไปได้ ในตัวควบคุมโดเมนมีลำดับความสำคัญเพิ่ม ใช้การตั้งค่ารีจิสทรีต่อไปนี้เพื่อตั้งค่า LdapSrvPriority:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
ในการแก้ไขเมนู คลิกเพิ่มค่าแล้ว เพิ่มค่ารีจิสทรีต่อไปนี้:
ชื่อรายการ: LdapSrvPriority
ชนิดข้อมูล: REG_DWORD
ค่า: ตั้งค่าค่าระดับความสำคัญที่คุณต้องการ
สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
306602วิธีการปรับการตั้งค่าตำแหน่งที่ตั้งของตัวควบคุมโดเมนหรือแค็ตตาล็อกส่วนกลางที่อยู่ภายนอกของไซต์ของไคลเอ็นต์

คำแนะนำสำหรับการกำหนดค่าสำหรับแต่ ละตัวควบคุมโดเมน หรือ ต่อไซต์นโยบาย

  1. สร้างนโยบายแบบสอบถามใหม่ภายใต้:
    CN =แบบสอบถามนโยบาย CN =บริการไดเรกทอรี CN = Windows NT, CN =บริการ CN =การตั้งค่าคอนฟิกรากของฟอเรสต์
  2. การตั้งค่าตัวควบคุมโดเมนหรือไซต์ให้ชี้ไปยังกรมธรรม์การใหม่ โดยการป้อนชื่อที่แตกต่างของนโยบายใหม่ในแอตทริบิวต์ "แบบสอบถาม--วัตถุนโยบาย" ตำแหน่งที่ตั้งของแอตทริบิวต์มี follows เป็น:
    ตำแหน่งที่ตั้งสำหรับตัวควบคุมโดเมนคือ:
    CN =การตั้งค่า NTDS, CN =DomainControllerName, CN =เซิร์ฟเวอร์ CN =ชื่อไซต์, CN =ไซต์ CN =การตั้งค่าคอนฟิกรากของฟอเรสต์
    ตำแหน่งที่ตั้งสำหรับไซต์มี:
    CN =การตั้งค่า NTDS ไซต์ CN =ชื่อไซต์, CN =ไซต์ CN =การตั้งค่าคอนฟิกรากของฟอเรสต์

ตัวอย่างสคริปต์

คุณสามารถใช้ข้อความต่อไปนี้เพื่อสร้างแฟ้มการ Ldifde คุณสามารถนำเข้าแฟ้มนี้เพื่อสร้างนโยบายที่ มีค่าหมดเวลา 10 นาที การคัดลอกข้อความนี้ไปยัง Ldappolicy.ldf และเรียกใช้คำสั่งต่อไป ที่ใดรากของฟอเรสต์มีชื่อที่แตกต่างของรากของฟอเรสต์ ลา DC = X เป็น - ไม่ นี่คือค่าคงที่จะถูกแทนที่ ด้วยชื่อรากของฟอเรสต์เมื่อเรียกใช้สคริปต์ X ที่คงไม่ระบุชื่อตัวควบคุมโดเมน
ldifde -i -f ldappolicy.ldf - v - c DC = X DC =รากของฟอเรสต์

เริ่มต้นสคริปต์ Ldifde

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
changetype: add
instanceType: 4
lDAPAdminLimits: MaxReceiveBuffer=10485760
lDAPAdminLimits: MaxDatagramRecv=1024
lDAPAdminLimits: MaxPoolThreads=4
lDAPAdminLimits: MaxResultSetSize=262144
lDAPAdminLimits: MaxTempTableSize=10000
lDAPAdminLimits: MaxQueryDuration=300
lDAPAdminLimits: MaxPageSize=1000
lDAPAdminLimits: MaxNotificationPerConn=5
lDAPAdminLimits: MaxActiveQueries=20
lDAPAdminLimits: MaxConnIdleTime=900
lDAPAdminLimits: InitRecvTimeout=120
lDAPAdminLimits: MaxConnections=5000
objectClass: queryPolicy
showInAdvancedViewOnly: TRUE
หลังจากที่คุณนำเข้าแฟ้ม คุณสามารถเปลี่ยนแปลงค่าการสอบถาม โดยใช้ Adsiedit.msc หรือ Ldp.exe การตั้งค่า MaxQueryDuration ในสคริปต์นี้เป็น 5 นาที

หมายเหตุ:Ntdsutil.exe แสดงค่าในนโยบายเริ่มต้นของแบบสอบถามเท่านั้น ถ้ามีกำหนดนโยบายกำหนดเอง เหล่านั้นจะไม่แสดง โดย Ntdsutil.exe

ข้อมูลอ้างอิง

243267วิธีการทำให้ Ntdsutil.exe ใช้สคริปต์

คุณสมบัติ

หมายเลขบทความ (Article ID): 315071 - รีวิวครั้งสุดท้าย: 13 มกราคม 2554 - Revision: 4.0
ใช้กับ
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
Keywords: 
kbhowtomaster kbmt KB315071 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:315071

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com