Zobrazení a nastavení zásad protokolu LDAP ve službě Active Directory pomocí nástroje Ntdsutil.exe

Souhrn

Tento podrobný článek popisuje, jak spravovat zásady Lightweight Directory Access Protocol (LDAP) pomocí nástroje Ntdsutil.exe. A ujistěte se, že řadiče domény může podporovat úroveň služeb záruky, musíte zadat operační limity pro řadu operací protokolu LDAP. Tato omezení zabránit určité operace nepříznivě ovlivnily výkon serveru a také proveďte serveru odolnější některé typy útoků.

Zásady LDAP jsou implementovány pomocí objektů třídy queryPolicy. Objekty zásad dotazování lze vytvořit v kontejneru zásad dotazu, který je podřízeným objektem kontejneru adresářové služby v názvovém kontextu konfigurace. Příklad: cn dotaz Policies, cn = adresářová služba, cn = Windows NT, cn = = služby Konfigurace názvový kontext.

Limity pro správu systému Windows 2000 a Windows Server 2003 LDAP

Limity pro správu protokolu LDAP jsou:

  • InitRecvTimeout - tato hodnota určuje maximální dobu v sekundách, řadič domény čeká na odeslání první požadavek po řadič domény přijímá nová připojení klienta. Pokud klient neodesílá první žádost v určitou dobu, server odpojí klienta.

    Výchozí hodnota: 120 sekund
  • MaxActiveQueries - maximální počet souběžných vyhledávací operace LDAP, které mohou současně spustit v řadiči domény. Při dosažení tohoto limitu LDAP server vrátí chybu "zaneprázdněn".

    Výchozí hodnota: 20

    Poznámka: Tento ovládací prvek má nesprávný působení MaxPoolThreads hodnota. MaxPoolThreads je ovládací prvek na procesor, zatímco MaxActiveQueries určuje absolutní číslo. Spuštění systému Windows Server 2003, MaxActiveQueries již není vynucována. Navíc MaxActiveQueries nezobrazí v systému Windows Server 2003 verze nástroje Ntdsutil.

    Výchozí hodnota: 20
  • MaxConnections – maximální počet současných připojení LDAP, která bude přijímat řadiče domény. Pokud připojení po této hodnoty dosáhne v řadiči domény, řadiče domény klesne jiné připojení.

    Výchozí hodnota: 5000
  • MaxConnIdleTime - maximální dobu v sekundách, klient může být nečinný, než LDAP server ukončí spojení. Pokud více než tuto dobu nečinnosti připojení, vrátí server LDAP LDAP odpojte oznámení.

    Výchozí hodnota: 900 sekund
  • MaxDatagramRecv - maximální velikost datagramu požadavek, který bude zpracovávat řadiče domény. Požadavky, které jsou větší než hodnota MaxDatagramRecv jsou ignorovány.

    Výchozí hodnota:
    • Systém Windows 2000 - 1 024 bajtů.
    • Windows Server 2003-4 096 bajtů.
  • MaxNotificationPerConnection - maximální počet požadavků nevyřízené oznámení, které jsou povoleny na jedno připojení. Při dosažení tohoto limitu server vrátí chybu "zaneprázdněn" nové vyhledávání oznámení provedené v této souvislosti.

    Výchozí hodnota: 5
  • MaxPageSize - tato hodnota řídí maximální počet objektů, které jsou vráceny v jediný výsledek, nezávisle na jak velké jsou jednotlivé vráceného objektu. Chcete-li provést hledání, kde může být výsledek překročí tento počet objektů, klienta musíte zadat stránkované hledání ovládacího prvku. Toto je vrácené výsledky ve skupinách, které jsou větší než hodnota MaxPageSize skupiny. Sumarizovat, MaxPageSize určuje počet objektů, které jsou vráceny v jediný výsledek.

    Výchozí hodnota: 1 000
  • MaxPoolThreads - maximální počet podprocesů na procesor, přijímající sítě vstupní nebo výstupní (I/O) vyhrazuje vlastní řadiče domény. Tato hodnota určuje také maximální počet podprocesů na procesor, které mohou současně pracovat na požadavků LDAP.

    Výchozí hodnota: 4 vlákna na procesor
  • MaxResultSetSize - mezi jednotlivé vyhledávání, tvořící stránkované výsledky hledání řadiče domény může uložit zprostředkující data pro klienta. Řadič domény ukládá tato data a urychlit tak další část stránkované výsledky hledání. Hodnota MaxResultSize určuje celkové množství dat, který řadič domény ukládá tento typ vyhledávání. Při dosažení tohoto limitu odstraní nejstarší výsledky zprostředkujících a uvolnit tak místo pro uložení nové průběžné výsledky řadič domény.

    Výchozí hodnota: 262 144 bajtů
  • MaxQueryDuration - maximální dobu v sekundách, bude věnovat jedno hledání řadiče domény. Při dosažení tohoto limitu, řadič domény vrátí chybu "timeLimitExceeded". Hledání, které vyžadují více času musíte zadat stránkované výsledky kontroly.

    Výchozí hodnota: 120 sekund
  • MaxTempTableSize - během zpracování dotazu, dblayer se může pokusit vytvořit dočasnou databázi tabulku seřadit a vybrat průběžné výsledky. MaxTempTableSize limit určuje, jak velký může být v této tabulce dočasná databáze. Pokud v tabulce dočasná databáze bude obsahovat více objektů, než je hodnota pro MaxTempTableSize, provede dblayer, mnohem méně efektivní analýzy kompletní databáze adresářové služby a všechny objekty v databázi adresářové služby.

    Výchozí hodnota: 10 000 záznamů
  • MaxValRange - tato hodnota řídí počet hodnot, které jsou vráceny atributu objektu, nezávisle na tom, kolik atributy objektu má, nebo kolik objektů byly ve výsledcích hledání. V systému Windows 2000, tento ovládací prvek je "pevný" kódované na 1 000. Pokud atribut má více než počet hodnot, které jsou určeny MaxValRange hodnota, je nutné použít hodnotu rozsahu kontrol v LDAP k načtení hodnot, které přesahují MaxValRange hodnota. MaxValueRange určuje počet hodnot, které jsou vráceny na jeden atribut na jeden objekt.

    Výchozí hodnota:
    • Windows 2000-1 024
    • Windows Server 2003-1 500

Spuštění Ntdsutil.exe


Ntdsutil.exe je umístěn ve složce Support tools na instalačním disku CD-ROM systému Windows 2000. Ntdsutil.exe je ve výchozím nastavení nainstalován ve složce System32.
  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte ntdsutila potom stiskněte klávesu ENTER. Zobrazení nápovědy kdykoli, zadejte na příkazovém řádku ? .

Zobrazení aktuálního nastavení zásad

  1. Příkazového řádku Ntdsutil.exe zadejte zásady LDAPa stiskněte klávesu ENTER.
  2. Na příkazovém řádku zásady LDAP zadejte připojenía potom stiskněte klávesu ENTER.
  3. Server připojení příkazového řádku zadejte příkaz connect to server název serveru DNSa stiskněte klávesu ENTER. Chcete se připojit k serveru, zobrazí se právě pracuje s.
  4. Server připojení příkazového řádku zadejte qa stiskněte klávesu ENTER se vrátíte do předchozí nabídky.
  5. Na příkazovém řádku zásady LDAP zadejte Zobrazit hodnotya stiskněte klávesu ENTER.

    Zobrazení zásad platných se zobrazí.

Úprava nastavení zásad

  1. Příkazového řádku Ntdsutil.exe zadejte zásady LDAPa stiskněte klávesu ENTER.
  2. Na příkazovém řádku zásady LDAP zadejte nastavit Nastavení proměnnéa stiskněte klávesu ENTER. Například zadejte Nastavit MaxPoolThreads 8.

    Toto nastavení změní, pokud přidáte jiný procesor serveru.
  3. Příkaz Zobrazit hodnoty Chcete-li ověřit změny.

    Chcete-li uložit změny, použijte Potvrdit změny.
  4. Po dokončení zadejte qa stiskněte klávesu ENTER.
  5. Ukončíte Ntdsutil.exe, na příkazovém řádku zadejte:
    qa stiskněte klávesu ENTER.
Poznámka: Tento postup popisuje pouze nastavení výchozích zásad domény. Pokud použijete nastavení zásad, jej nemohou vidět...

Požadavek na restartování

Pokud změníte hodnoty zásad dotazování, který aktuálně používá řadič domény, tyto změny se projeví bez restartování. Nicméně pokud je vytvořena nová zásada dotazu, je vyžadováno restartování nové zásady se projeví dotazu.

Důležité informace týkající se změny hodnot dotazu

Chcete-li zachovat odolnost serveru domény, není doporučeno zvýšit hodnotu časového limitu 120 sekund. Tvořící efektivnější dotazy je nejlepší řešení. Další informace o vytváření efektivní dotazy naleznete na následujícím webu společnosti Microsoft:Však pokud změny dotazu není možnost, zvýšíte hodnotu časového limitu pouze na jeden řadič domény nebo pouze na jeden web. Pokyny naleznete v části Další. Pokud je toto nastavení použito na jednom řadiči domény, snížit prioritu DNS LDAP řadiči domény tak, aby klienti méně pravděpodobně používat server pro ověřování. V řadiči domény s prioritou zvýšení LdapSrvPriority nastavit pomocí následujícího nastavení registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
V nabídce Úpravy klepněte na příkaz Přidat hodnotua přidejte následující hodnotu registru:
Název položky: LdapSrvPriority
Datový typ: REG_DWORD
Hodnota: Nastavte hodnotu na hodnotu požadovanou prioritu.
Další informace získáte kliknutím na následující číslo v článku databáze Microsoft Knowledge Base:

306602 jak optimalizovat umístění řadiče domény nebo globálního katalogu, který se nachází mimo lokality klienta

Pokyny ke konfiguraci na řadiči domény nebo na serveru zásad

  1. Vytvoření nové zásady dotazu podle:
    KN dotaz Policies, CN = adresářová služba, CN = = Windows NT, CN = Services, CN = Configuration,Kořenová doména doménové struktury
  2. Nastavte řadič domény ani síť zadáním rozlišující název nové zásady v atributu "Dotaz objektu zásad" přejděte na příkaz nové zásady. Umístění atributu, je tento:

    Umístění řadiče domény je:
    KN NTDS Settings, CN = =DomainControllerName, CN = servery, CN =název sítě, CN = Sites, CN = Configuration,Kořenová doména doménové struktury
    Umístění na webu je:
    KN nastavení lokality NTDS, CN = =název sítě, CN = Sites, CN = Configuration,Kořenová doména doménové struktury

Ukázkový skript

Následující text slouží k vytvoření souboru Ldifde. Můžete importovat tento soubor k vytvoření zásad s hodnotou časového limitu 10 minut. Zkopírujte tento text Ldappolicy.ldf a poté spusťte následující příkaz, kde je Kořenová doména doménové struktury rozlišující název vaší kořenové doménové struktury. Dovolená, DC = X jako-je. To je konstanta, která nahradí název kořenové doménové struktury při spuštění skriptu. Konstantu X neznamená název řadiče domény.
ldifde -i -f ldappolicy.ldf - v - c DC = X DC =Kořenová doména doménové struktury

Spuštění nástroje Ldifde skriptu

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Xchangetype: add
instanceType: 4
lDAPAdminLimits: MaxReceiveBuffer=10485760
lDAPAdminLimits: MaxDatagramRecv=1024
lDAPAdminLimits: MaxPoolThreads=4
lDAPAdminLimits: MaxResultSetSize=262144
lDAPAdminLimits: MaxTempTableSize=10000
lDAPAdminLimits: MaxQueryDuration=300
lDAPAdminLimits: MaxPageSize=1000
lDAPAdminLimits: MaxNotificationPerConn=5
lDAPAdminLimits: MaxActiveQueries=20
lDAPAdminLimits: MaxConnIdleTime=900
lDAPAdminLimits: InitRecvTimeout=120
lDAPAdminLimits: MaxConnections=5000
objectClass: queryPolicy
showInAdvancedViewOnly: TRUE
Po importu souboru můžete změnit hodnoty dotazu pomocí Adsiedit.msc nebo Ldp.exe. MaxQueryDuration nastavení v tomto skriptu je 5 minut.




Poznámka: Ntdsutil.exe pouze zobrazí hodnotu ve výchozích zásadách dotazování. Pokud jsou definovány žádné vlastní zásady, nejsou zobrazeny pomocí Ntdsutil.exe.

Odkazy

243267 jak automatizovat pomocí skriptu Ntdsutil.exe

Vlastnosti

ID článku: 315071 - Poslední kontrola: 20. 1. 2017 - Revize: 1

Váš názor