文章编号: 315071 - 最后修改: 2009年2月9日 - 修订: 7.0

如何查看和使用 Ntdsutil.exe 在 Active Directory 中设置 LDAP 策略

逐句中英文参照视图点击这里查看逐句中英文对照机器翻译
机器翻译查看机器翻译免责声明
查看本文应用于的产品
系统提示此文章适用于与您所使用的操作系统不同的操作系统。文章内容可能与您无关,并且已被禁用。

本页

展开全部 | 关闭全部

概要

本分步指南介绍了如何使用 Ntdsutil.exe 工具来管理轻型目录访问协议 (LDAP) 策略。若要确保域控制器可以支持将保证服务级别必须指定 LDAP 操作数目的操作限制。这些限制可防止特定操作的服务器,性能造成负面影响,并使服务器更具弹性于某些类型的攻击。

LDAP 策略是通过使用 queryPolicy 类的对象实现的。可以是配置命名上下文中的目录服务容器的子级,查询策略容器中创建查询策略对象。例如: cn = 查询-策略 cn = 目录服务 cn = Windows NT cn = 服务 configuration naming context

回到顶端

Windows 2000 和 Windows Server 2003 LDAP 管理限制

LDAP 管理限制是:
  • InitRecvTimeout-此值定义中的域控制器为客户端后在域控制器接收一个新的连接发送第一次请求等待的秒的最长时间。 如果客户端不发送此时间量中的第一次请求,服务器断开连接客户端。

    默认值: 120 秒
  • MaxActiveQueries-在同一时间运行的域控制器上允许的并发 LDAP 搜索操作的最大数量。 达到该限制后 LDAP 服务器将返回"忙"错误。

    默认值: 20

    注意此控件具有与 MaxPoolThreads 值不正确交互。MaxPoolThreads 是每个处理器的控件,而 MaxActiveQueries 定义了一个绝对的数量。强制从 Windows Server 2003 开始 MaxActiveQueries 不再执行。此外,MaxActiveQueries 不会出现在 Windows Server 2003 版的 NTDSUTIL 中。

    默认值: 20
  • MaxConnections-同时 LDAP 连接的域控制器将接受的最大数量。 如果域控制器达到此限制后,连接将出现域控制器将删除另一个连接。

    默认值: 5000
  • MaxConnIdleTime-以秒为单位的客户端可以在 LDAP 服务器关闭连接之前空闲的最大时间。是否空闲这次连接到 LDAP 服务器返回 LDAP 断开连接通知。

    默认值: 900 秒
  • MaxDatagramRecv 的域控制器将处理的数据报请求的最大大小。 大于 MaxDatagramRecv 值的请求将被忽略。

    默认值:
    • Windows 2000-1,024 字节
    • Windows Server 2003-4,096 字节
  • MaxNotificationPerConnection-的单个连接上允许的未完成的通知请求的最大数量。 当达到该限制时服务器返回任何新的通知搜索该连接上执行的"忙"错误。

    默认值: 5
  • MaxPageSize-此值控制独立于多大的每个返回的对象是一个搜索结果中返回的对象的最大数量。 若要执行的搜索结果可能超过此数目的对象的位置,客户端必须指定分页的搜索控件。这是不大于 MaxPageSize 值的组中返回的结果进行分组。若要汇总,MaxPageSize 控制在单个搜索结果中返回的对象的数目。

    默认值: 1,000
  • MaxPoolThreads-线程每个处理器的域控制器专门要侦听的网络输入或输出 (I/O) 的最大数量。 此值还确定线程每个处理器可以同时使用 LDAP 请求上的最大数目。

    默认值: 4 线程每个处理器
  • MaxResultSetSize-之间构成一个分页的结果搜索在单个搜索域控制器可能会存储中间数据为客户端。域控制器存储此数据可加快分页的结果搜索的再下一部分。 MaxResultSize 值控制对于这种类型的搜索的域控制器存储数据的总量。 达到该限制后域控制器将丢弃这些中间结果留出空间来存储新的中间结果的最早。

    默认值: 262,144 个字节
  • MaxQueryDuration-以秒为单位) 的域控制器将在单个搜索上花费的最大时间。 达到此限制后,域控制器将返回"timeLimitExceeded"错误。 搜索需要更多的时间,必须指定分页的结果控件。

    默认值: 120 秒
  • MaxTempTableSize-查询处理时,该 dblayer 可能试图创建要进行排序,并选择从中间结果的临时数据库表中。 MaxTempTableSize 限制控制此临时数据库表可以是多大。 如果临时数据库表中将包括更多的对象值的 MaxTempTableSize,该 dblayer 执行一个小得多高效分析,完整的 DS 数据库的和 DS 数据库中的所有对象。

    默认值: 10,000 个记录
  • MaxValRange-此值控制独立的有多少对象的属性,或多少对象已在搜索结果中的一个对象的属性的返回值的数目。 在 Windows 2000 中此控件是"硬"编码在 1,000。 如果某一特性有多个由 MaxValRange 值指定的值的数目,您必须使用 LDAP 中的值范围控件检索超过 MaxValRange 值的值。MaxValueRange 控制返回上一个对象上的单个属性的值的数目。

    默认值:
    • Windows 2000 1,024
    • Windows Server 2003 1,500
回到顶端
回到顶端

起始 Ntdsutil.exe


Ntdsutil.exe 位于 Windows 2000 安装光盘上的支持工具文件夹中。 默认状态下,Ntdsutil.exe System32 文件夹中安装。
  1. 单击 开始,然后单击 运行
  2. 打开 文本框中键入 ntdsutil,然后按 ENTER 键。若要访问帮助,在任何时候键入 吗? 在命令提示符下。
回到顶端

查看当前的策略设置

  1. 在该 Ntdsutil.exe 命令键入 LDAP 策略,然后按 ENTER 键。
  2. 在 LDAP 策略命令的提示符下键入 连接,然后按 ENTER 键。
  3. 在服务器连接命令的提示符下键入 连接到服务器 的服务器的 DNS 名称,然后按 ENTER 键。您要连接到服务器,您当前正在处理。
  4. 在服务器连接命令的提示符下键入 q,然后按 ENTER 以返回到上一个菜单。
  5. 在 LDAP 策略命令的提示符下键入 显示的值,然后按 ENTER 键。

    将显示它们的存在策略。
回到顶端

修改策略设置

  1. 在该 Ntdsutil.exe 命令键入 LDAP 策略,然后按 ENTER 键。
  2. 在 LDAP 策略命令的提示符下键入 设置给 变量设置,然后按 ENTER 键。例如对于键入 设置 MaxPoolThreads 为 8

    如果您的服务器中添加另一个处理器,此设置将更改。
  3. 使用 显示值 命令可以验证您所做的更改。

    若要在保存使用 提交更改
  4. 完成后键入 q,然后按 ENTER 键。
  5. 在命令提示符下退出 Ntdsutil.exe,键入 q,然后按 ENTER 键。
注意此过程只显示 $ 默认域策略设置。 如果您应用您自己的策略设置,您无法看到该...

回到顶端

重新启动要求

如果更改了查询策略的域控制器正在使用的值这些更改将会在不重新启动的情况下生效。但是,如果创建新的查询策略,则在重新启动则需要为新的查询策略,才会生效。

回到顶端

更改查询的值时的注意事项

若要能够域服务器的恢复能力我们不建议您增加 120 秒的超时值。 形成更高效的查询是首选的解决方案。 有关创建高效的查询的详细信息请访问下面的 Microsoft 网站:
http://msdn2.microsoft.com/en-us/library/ms808539.aspx (http://msdn2.microsoft.com/en-us/library/ms808539.aspx)
但是,如果更改查询不是一个选项,增加超时值只能在一个域控制器上或仅在一个站点上。有关说明,请参阅下一节。 如果该设置将应用于一个域控制器,减少 DNS LDAP 优先级在域控制器上的,以便客户端都小于可能使用该服务器进行身份验证。增加优先级在域控制器上使用以下注册表设置设置 LdapSrvPriority:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
编辑 菜单上单击 添加值,然后添加以下注册表值:
输入的名称: LdapSrvPriority
数据类型: REG_DWORD
值: 设置值的所需的优先级值。
有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
306602? (http://support.microsoft.com/kb/306602/ ) 如何优化的域控制器或全局编录位于客户端站点之外的位置
回到顶端

配置每个域控制器或每个站点策略的说明

  1. 创建新的查询策略下,请执行下列操作:
    CN = 查询-策略 CN = 目录服务 CN = Windows NT CN = 服务,CN = 配置,forest root
  2. 设置域控制器或站点,以指向新的策略,通过在查询的策略的对象属性中输入新策略的可分辨的名称。 该属性的位置是一个如下所示:
    域控制器的位置是:
    CN = CN-> NTDS 设置 = DomainControllerName,CN = 服务器,CN = site name,CN = CN 的站点 = 配置,forest root
    网站的位置是:
    CN = NTDS 站点设置,CN = site name,CN = CN 的站点 = 配置,forest root
回到顶端

示例脚本

您可以创建一个 Ldifde 文件使用以下文本。您可以导入此文件创建超时值为 10 分钟的策略。 将此文本复制到 Ldappolicy.ldf,然后运行下面的命令 forest root 位置是您的目录林根的可分辨的名称。 将 DC = X 为原样。这是一个常量,在脚本运行时,目录林根名称将替换该常量。常量 X 并不表示一个域控制器的名称。
ldifde-i-f ldappolicy.ldf-v-c DC = X DC = forest root

开始 Ldifde 脚本

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
changetype: add
instanceType: 4
lDAPAdminLimits: MaxReceiveBuffer=10485760
lDAPAdminLimits: MaxDatagramRecv=1024
lDAPAdminLimits: MaxPoolThreads=4
lDAPAdminLimits: MaxResultSetSize=262144
lDAPAdminLimits: MaxTempTableSize=10000
lDAPAdminLimits: MaxQueryDuration=300
lDAPAdminLimits: MaxPageSize=1000
lDAPAdminLimits: MaxNotificationPerConn=5
lDAPAdminLimits: MaxActiveQueries=20
lDAPAdminLimits: MaxConnIdleTime=900
lDAPAdminLimits: InitRecvTimeout=120
lDAPAdminLimits: MaxConnections=5000
objectClass: queryPolicy
showInAdvancedViewOnly: TRUE
导入该文件后,您可以通过使用 Adsiedit.msc 或 Ldp.exe 更改查询值。 在此脚本将 MaxQueryDuration 设置为 5 分钟。

注意 Ntdsutil.exe 只显示在默认查询策略中的值。 如果定义的任何自定义的策略被不显示 Ntdsutil.exe。
回到顶端

参考

243267? (http://support.microsoft.com/kb/243267/ ) 如何自动执行 Ntdsutil.exe 使用脚本
回到顶端
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
回到顶端
关键字:?
kbmt kbhowtomaster KB315071 KbMtzh
回到顶端
机器翻译机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 315071? (http://support.microsoft.com/kb/315071/en-us/ )
回到顶端
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。