Ntdsutil.exe aracını kullanarak Active Directory'deki LDAP ilkesini görüntüleme ve ayarlama

Makale çevirileri Makale çevirileri
Makale numarası: 315071 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Bu adım adım makalede, Ntdsutil.exe aracını kullanarak, Basit Dizin Erişim Protokolü (LDAP) ilkelerini yönetmek açıklamaktadır. Etki alanı denetleyicilerinin desteklediğinden emin olmak için hizmet düzeyini güvence altına alır, bir LDAP işlemlerinin sayısı için işlem sınırlarını belirtmeniz gerekir. Bu sınır sunucu performansını olumsuz olarak etkileyen alınan özel operasyonlar önlemek ve de sunucu daha esnek saldırı bazı türleri için yapın.

LDAP ilkeleri, queryPolicy sınıfının nesneleri kullanılarak uygulanır. Sorgu ilkesi nesneleri, yapılandırma adlandırma bağlamında Dizin Hizmeti kapsayıcısının bir alt sorgu ilkeleri kapsayıcısında oluşturulabilir. Örneğin: CN = sorgu ilkeleri, cn = dizin hizmeti, cn = Windows NT, cn = Services configuration naming context =.

Windows 2000 ve Windows Server 2003 LDAP yönetim sınırları

LDAP yönetim sınırlarını şunlardır:
  • InitRecvTimeout - bu değer, bir etki alanı denetleyicisi, istemcinin etki alanı denetleyicisi, yeni bir bağlantı aldıktan sonra ilk istek göndermek için bekleyeceği saniye cinsinden en uzun süreyi tanımlar. Sunucu, istemci bu kadar süre ilk istek göndermez, istemcinin bağlantısını keser.

    Varsayılan değer: 120 saniye
  • MaxActiveQueries - etki alanı denetleyicisinde aynı anda çalışmasına izin verilen eşzamanlı LDAP arama işlemlerinin sayısı. Bu sınıra ulaşıldığında, LDAP sunucusuna bir "meşgul" hatası verir.

    Varsayılan değer: 20

    Not Bu denetim, MaxPoolThreads değeri yanlış bir etkileşim vardır. Işlemci başına denetim MaxPoolThreads olan mutlak bir numarası MaxActiveQueries tanımlar. Windows Server 2003 ile başlayarak, MaxActiveQueries artık uygulanır. Ayrıca, MaxActiveQueries NTDSUTIL Windows Server 2003 sürümünde yer almaz.

    Varsayılan değer: 20
  • MaxConnections - etki alanı denetleyicisi kabul eder, eşzamanlı LDAP bağlantısı sayısı. Etki alanı denetleyicisi, etki alanı denetleyicisinde bu sınıra ulaştığında sonra bağlantı gelir, başka bir bağlantı bırakır.

    Varsayılan değer: 5000
  • MaxConnIdleTime - LDAP sunucusuna bağlantı kapanmadan önce istemci boşta kalabileceği saniye cinsinden en uzun süre. Bu saatten daha bağlantı kullanılmadığında, LDAP sunucusuna verir bir LDAP bildirim kesin.

    Varsayılan değer: 900 saniye
  • MaxDatagramRecv - etki alanı denetleyicisi işleyen bir datagram istek en büyük boyutu. MaxDatagramRecv değeri daha büyük olan istekleri yoksayılır.

    Varsayılan Değer:
    • Windows2000-1.024 bayt
    • Windows Server 2003 - 4.096 bayt
  • MaxNotificationPerConnection - tek bir bağlantıda izin verilen bekleyen bildirim istekleri maksimum sayısı. Sunucu bu sınıra erişildiğinde, bu bağlantıda gerçekleştirilen tüm yeni bildirim aramalar için bir "meşgul" hatası verir.

    Varsayılan değer: 5
  • MaxPageSize - bu değer, bir tek bir arama sonucu, bağımsız döndürülen her nesnenin ne kadar büyük olduğundan döndürülen nesnelerin en fazla sayısını denetler. Burada, bu nesneleri sayısı, sonuç aşabilir bir arama gerçekleştirmek için <a0></a0>, istemci, disk belleğine alınmış arama denetimi belirtmelisiniz. Döndürülen sonuçları MaxPageSize değerinden daha büyük olan gruplar Grup budur. Özetlemek için <a0></a0>, bir tek bir arama sonucunda döndürülen nesneleri sayısı MaxPageSize denetler.

    Varsayılan değer: 1.000
  • MaxPoolThreads - iş parçacıklarını her-giriş veya çıkış için ağ (g/Ç) dinlemek için bir etki alanı denetleyicisi dedicates işlemci sayısı. Bu değer, ayrıca en fazla iş parçacığı başına LDAP istekleri aynı anda çalışabilen işlemci sayısını belirler.

    Varsayılan değer: 4 işlemci başına akıtır...
  • MaxResultSetSize - bir disk belleği sonucu arama, bir tek tek aramaları arasında etki alanı denetleyicisinde ara veri istemci için depolayabilir. Etki alanı denetleyicisinde kadar sonraki bölümü disk belleğine alınmış sonucu arama hızını artırmak için bu verileri depolar. MaxResultSize değeri, etki alanı denetleyicisinin bu tür bir arama için depolandığı veri toplam miktarını denetler. Etki alanı denetleyicisi, bu sınıra ulaşıldığında, eski yeni ara sonuçlarını depolamak için yer açmak için bu ara sonuçları atar.

    Varsayılan değer: 262.144 bayt
  • MaxQueryDuration - en fazla süreyi saniye olarak, etki alanı denetleyicisi üzerinde tek bir arama harcadıkları. Bu sınıra ulaşıldığında, etki alanı denetleyicisinde bir "timeLimitExceeded" hatası verir. Daha fazla süre gerektiren bir arama, disk belleği sonuçları denetimini belirtmeniz gerekir.

    Varsayılan değer: 120 saniye
  • Bir sorgu olarak işlenir, ancak MaxTempTableSize-, sıralamak ve sonuçları ara seçmek için geçici bir veritabanı tablosu oluşturmak dblayer deneyebilirsiniz. Bu geçici bir veritabanı tablosunun ne kadar büyük olabilir MaxTempTableSize sınırını denetler. Geçici veritabanı tablosu için MaxTempTableSize değerinden daha fazla nesneyi içerir, bir çok verimli DS veritabanının tam ve DS veritabanındaki tüm nesnelerin ayrıştırılmasını dblayer gerçekleştirir.

    Varsayılan değer: 10.000 kayıt
  • MaxValRange - bu değer bir nesnenin, nesne kaç öznitelikleri veya kaç nesneleri arama sonucu olan bağımsız bir öznitelik için döndürülen değerleri denetler. Windows 2000'de, bu 1.000 kodlanmış "sabit" denetimidir. Öznitelik MaxValRange değeri tarafından belirtilen değerleri sayısından fazla ise, değer aralığı denetimlerini LDAP MaxValRange değeri aşan değerleri almak için kullanmanız gerekir. MaxValueRange tek bir nesneyi tek bir özniteliği döndürdü değerlerin sayısını denetler.

    Varsayılan Değer:
    • <a1>Windows</a1> 2000 1,024
    • Windows Server 2003 1.500

Ntdsutil.exe başlatılıyor


Ntdsutil.exe, Windows 2000 yükleme CD-ROM'unun Destek Araçları klasöründe bulunur. Ntdsutil.exe, varsayılan olarak, System32 klasöründe yüklü.
  1. Başlat ' ı tıklatın ve sonra da <a2>Çalıştır</a2>'ı tıklatın.
  2. metin kutusuna, ntdsutil yazın ve ENTER tuşuna basın. Istediğiniz zaman Yardım'ı görüntülemek için şunu yazın ? komut isteminde.

Geçerli ilke ayarlarını görüntüleme

  1. Ntdsutil.exe komut isteminde, LDAP ilkelerini yazın ve ENTER tuşuna basın.
  2. LDAP ilke komut isteminde, bağlantıları ' nı yazın ve ENTER tuşuna basın.
  3. Sunucu bağlantısı komut isteminde, bağlanmak için <a1>sunucu</a1> sunucusunun DNS adını yazın ve ENTER tuşuna basın. Sunucuya bağlanmak istediğiniz, sizin öğeler şu anda çalışan.
  4. Sunucu bağlantısı komut istemine q yazın ve sonra önceki menüye dönmek için ENTER tuşuna basın.
  5. LDAP ilke komut isteminde Değeri Göster yazın ve ENTER tuşuna basın.

    Bunlar kayıtlı ilkelerinden ekran görünür.

Ilke ayarlarını değiştirme

  1. Ntdsutil.exe komut isteminde, LDAP ilkelerini yazın ve ENTER tuşuna basın.
  2. LDAP ilke komut isteminde, ayardeğişkeni için Ayarla ' yı yazın ve ENTER tuşuna basın. Örneğin, 8 ayarla MaxPoolThreads yazın.

    Sunucunuz için başka bir işlemci eklediğinizde, bu ayarı değiştirir.
  3. Değeri Göster</a0> komutu, değişiklikleri doğrulamak için kullanabilirsiniz.

    Değişiklikleri kaydetmek için <a0></a0>, Değişiklikleri Commit Ek Yardım düğmesini kullanın.
  4. Işiniz bittiğinde, q yazın ve ENTER tuşuna basın.
  5. Ntdsutil.exe, komut istemi'nden çıkmak için q yazın ve ENTER tuşuna basın.
Not Bu yordam yalnızca, varsayılan etki alanı ilke ayarları gösterir. Kendi ilke ayarını uygularsanız, bunu göremez...

Gereksinim yeniden başlatın.

Bir etki alanı denetleyicisinin kullanmakta olduğu bir sorgu ilkesi için değerleri değiştirirseniz, bu değişiklikler olmadan yeniden başlatma etkili olur. Ancak, yeni bir sorgu ilkesi oluşturulursa, geçerlilik kazanması yeni sorgu ilkesi yeniden başlatma gerekiyor.

Sorgu değerleri değiştirmek için ilgili önemli noktalar

Etki alanı sunucusu esnekliğini korumak için <a0></a0>, 120 saniye cinsinden zaman aşımı değerini artırmanız önermiyoruz. Daha etkili sorgular oluşturma tercih edilen bir çözümdür. Etkin sorgu oluşturma hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://msdn2.microsoft.com/en-us/library/ms808539.aspx
Sorguyu değiştirme bir seçenek değilse, ancak yalnızca bir etki alanı denetleyicisi veya yalnızca tek bir site zaman aşımı değerini artırın. Yönergeler için sonraki bölüme bakın. Ayarı bir etki alanı denetleyicisinde uygulandığında, istemciler daha büyük bir olasılıkla kullanmak sunucu kimlik doğrulaması için olan etki alanı denetleyicisindeki DNS LDAP öncelik azaltın. Artış önceliğine sahip etki alanı denetleyicisinde aşağıdaki kayıt defteri ayarı LdapSrvPriority ayarlamak için kullanın:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Düzen menüsünde, Değer Ekle'yi tıklatın ve sonra da aşağıdaki kayıt defteri değerini ekleyin:
Girdi adı: LdapSrvPriority
Veri türü: REG_DWORD
Değer: değerini istediğiniz öncelik değerine ayarlayın.
Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
306602Bir etki alanı denetleyicisi veya bir istemcinin sitesi dışında bulunan bir genel katalog konumunu en iyi duruma getirme hakkında

Her etki alanı denetleyicisi veya site ilkesi yapılandırma, yönergeler

  1. Altında yeni bir sorgu ilkesi oluşturun:
    CN = sorgu ilkeleri, CN = dizin hizmeti, CN = Windows NT, CN = Services, CN = Yapılandırma, forest root =
  2. Etki alanı denetleyicisi veya site için yeni bir ilke, "Sorgu ilkesi nesnesi" özniteliğinde yeni ilke ayırt edici adını girerek işaret edecek biçimde ayarlayın. Öznitelik konumunu bir aşağıdaki gibidir:
    Etki alanı denetleyicisi konumu şudur:
    CN = NTDS Settings, CN = DomainControllerName, CN = Servers, CN = site name, CN = Sites, CN = Yapılandırma, forest root =
    Sitenin konumu şudur:
    CN = NTDS Site Settings, CN = site name, CN = Sites, CN = Yapılandırma, forest root =

Örnek komut dosyası

LDIFDE dosyası oluşturmak için aşağıdaki metni kullanın. Zaman aşımı değeri 10 dakika ile ilke oluşturmak için bu dosyayı alabilirsiniz. Ldappolicy.ldf için bu metni kopyalayın ve forest root, orman kökünün ayırt edici adı olduğu aşağıdaki komutu çalıştırın. Bırakın, DC = X'olarak - olur. Bu komut dosyası çalıştırıldığında, orman kök adıyla değiştirilecek sabitidir. Sabit X, bir etki alanı denetleyicisi adını göstermez.
ldifde -i -f ldappolicy.ldf - v - c DC = X DC = forest root =

Başlangıç Ldifde komut dosyası

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
changetype: add
instanceType: 4
lDAPAdminLimits: MaxReceiveBuffer=10485760
lDAPAdminLimits: MaxDatagramRecv=1024
lDAPAdminLimits: MaxPoolThreads=4
lDAPAdminLimits: MaxResultSetSize=262144
lDAPAdminLimits: MaxTempTableSize=10000
lDAPAdminLimits: MaxQueryDuration=300
lDAPAdminLimits: MaxPageSize=1000
lDAPAdminLimits: MaxNotificationPerConn=5
lDAPAdminLimits: MaxActiveQueries=20
lDAPAdminLimits: MaxConnIdleTime=900
lDAPAdminLimits: InitRecvTimeout=120
lDAPAdminLimits: MaxConnections=5000
objectClass: queryPolicy
showInAdvancedViewOnly: TRUE
Dosyayı aldıktan sonra sorgu değerleri Adsiedit.msc veya Ldp.exe'yi kullanarak değiştirebilirsiniz. Bu komut MaxQueryDuration ayarı 5 dakikadır.

Not Ntdsutil.exe, varsayılan sorgu ilkesi yalnızca değerini görüntüler. Herhangi bir özel ilkeler tanımlanıyorsa, bunlar Ntdsutil.exe tarafından görüntülenmez.

Referanslar

243267Ntdsutil.exe komut dosyası kullanarak otomatikleştirme

Özellikler

Makale numarası: 315071 - Last Review: 9 Şubat 2009 Pazartesi - Gözden geçirme: 7.0
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
Anahtar Kelimeler: 
kbmt kbhowtomaster KB315071 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:315071

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com