Anzeigen und Festlegen von LDAP-Richtlinien in Active Directory mit Ntdsutil.exe

Zusammenfassung

Dieser Artikel beschreibt das Lightweight Directory Access Protocol (LDAP) Richtlinien verwalten, indem Sie mit dem Tool Ntdsutil.exe. Um sicherzustellen, dass Domänencontroller unterstützt garantiert Dienstebene müssen Sie operative Limits für eine Reihe von LDAP-Operationen angeben. Diese Grenzwerte verhindern, dass bestimmte Vorgänge die Leistung des Servers beeinträchtigen, und auch den Server widerstandsfähiger auf einige Arten von Angriffen.

LDAP-Richtlinien werden mithilfe von Objekten der QueryPolicy-Klasse implementiert. Abfragerichtlinienobjekte können im Container Richtlinien erstellt werden, die der Verzeichnisdienst-Containers im Konfigurationsnamenskontext untergeordnet ist. Beispiel: Cn = Abfragerichtlinien, Cn = Directory Service, Cn = Windows NT, Cn = Services Konfigurationsnamenskontext.

Windows 2000 und Windows Server 2003 LDAP-Verwaltung Grenzen

Der LDAP-Verwaltung sind:

  • InitRecvTimeout - dieser Wert definiert die maximale Zeit in Sekunden fest, ein Domänencontroller für den Client die erste Anforderung sendet, nachdem der Domänencontroller eine neue Verbindung empfängt. Wenn der Client die erste Anforderung nicht in dieser Zeit senden, trennt der Server den Client.

    Standardwert: 120 Sekunden
  • MaxActiveQueries - die maximale Anzahl gleichzeitiger LDAP-Suchvorgänge, die gleichzeitig auf einem Domänencontroller ausführen dürfen. Wenn diese Grenze erreicht ist, gibt der LDAP-Server einen "beschäftigt" Fehler zurück.

    Standardwert: 20

    Hinweis Dieses Steuerelement besitzt eine falsche Interaktion mit MaxPoolThreads Wert. MaxPoolThreads ist pro Prozessor, MaxActiveQueries absolute Zahl definiert. Ab Windows Server 2003 wird MaxActiveQueries nicht erzwungen. MaxActiveQueries wird außerdem nicht in der Windows Server 2003-Version von NTDSUTIL angezeigt.

    Standardwert: 20
  • MaxConnections - die maximale Anzahl von LDAP-Verbindungen, die Domänencontroller akzeptieren. Kommt eine Verbindung der Domänencontroller diesen Grenzwert erreicht, löscht der Domänencontroller eine andere Verbindung.

    Standardwert: 5000
  • MaxConnIdleTime - die maximale Zeit in Sekunden, die der Client im Leerlauf befinden kann, bevor der LDAP-Server die Verbindung schließt. Wenn eine Verbindung für diese Zeit im Leerlauf befindet, trennen LDAP-Server gibt eine LDAP-Benachrichtigung

    Standardwert: 900 Sekunden
  • MaxDatagramRecv - die maximale Größe des Datagramm-Anforderung, die Domänencontroller verarbeitet. Anfragen, die größer als der Wert für MaxDatagramRecv werden ignoriert.

    Standardwert:
    • Windows 2000-1.024 bytes
    • WindowsServer 2003 4.096 Bytes
  • MaxNotificationPerConnection - die maximale Anzahl der ausstehenden Anfragen, die über eine einzelne Verbindung zulässig sind. Wenn den Server diese erreicht Fehlermeldung ein "beschäftigt" neue Benachrichtigung gesucht, die über diese Verbindung ausgeführt werden.

    Standardwert: 5
  • MaxPageSize - Wert steuert die maximale Anzahl von Objekten, die in einem einzelnen Suchergebnis unabhängig von Größe jedes zurückgegebene Objekt zurückgegeben werden. Um eine Suche durchzuführen, kann das Ergebnis überschreiten dieser Anzahl von Objekten, muss der Client Seitensuche Steuerelement angeben. Dies ist die zurückgegebenen Ergebnisse in Gruppen gruppieren, die nicht als der Wert MaxPageSize größer . Zusammenfassend steuert MaxPageSize die Anzahl der Objekte, die in einem einzelnen Suchergebnis zurückgegeben werden.

    Standardwert: 1000
  • MaxPoolThreads - die maximale Anzahl von Threads pro Prozessor, die Domänencontroller überwacht Netzwerk Eingabe- oder (e/a) widmet. Dieser Wert bestimmt auch die maximale Anzahl von Threads pro Prozessor, die LDAP-Anfragen gleichzeitig bearbeiten kann.

    Standardwert: 4 threads pro Prozessor
  • MaxResultSetSize - kann zwischen die einzelnen Suchvorgänge, eine Suche ausgelagertes Ergebnis der Domänencontroller Daten für den Client speichern. Der Domänencontroller speichert diese Daten um Teil ausgelagertes Ergebnis suchen zu beschleunigen. Der MaxResultSize -Wert steuert die Gesamtmenge der Daten, die der Domänencontroller für diese Art von Suche gespeichert. Wenn diese Grenze erreicht ist, verwirft der Domänencontroller die älteste dieser Zwischenergebnisse zu neuen Zwischenergebnisse zu speichern.

    Standardwert: 262.144 Byte
  • MaxQueryDuration - die maximale Zeit in Sekunden, die auf einem einzelnen Domänencontroller verbringen. Wenn diese Grenze erreicht ist, gibt der Domänencontroller einen Fehler "TimeLimitExceeded" zurück. Suchvorgänge, die mehr Zeit erfordern müssen das Ergebnisanzeige Steuerelement angeben.

    Standardwert: 120 Sekunden
  • Versucht die Dblayer möglicherweise MaxTempTableSize - während der Verarbeitung einer Abfrage, erstellen eine temporären Datenbanktabelle zu sortieren wählen Sie Zwischenergebnisse aus. Die MaxTempTableSize steuert, wie groß diese temporären Datenbanktabelle sein kann. Wenn mehr Objekte als der Wert die temporären Datenbanktabelle für MaxTempTableSizeenthält, führt die Dblayer eine weniger effiziente Analyse der gesamten DS-Datenbank und die Objekte in der DS-Datenbank.

    Standardwert: 10.000 Datensätze
  • MaxValRange - dieser Wert steuert die Anzahl von Werten für ein Attribut eines Objekts, wie viele dieses Objekts Attribute vom zurückgegeben hat oder wie viele Objekte wurden im Suchergebnis. In Windows 2000 ist dieses Steuerelement "harten" 1.000 codiert. Hat ein Attribut mehr als die Anzahl der Werte, die den MaxValRange -Wert angegeben werden, verwenden Sie Bereichssteuerelemente Wert in LDAP zum Abrufen von Werten, die den MaxValRange -Wert überschreiten. MaxValueRange steuert die Anzahl der Werte, die auf ein einzelnes Attribut auf ein einzelnes Objekt zurückgegeben werden.

    Standardwert:
    • Windows 2000-1024
    • WindowsServer 2003-1500

Starten von Ntdsutil.exe


Ntdsutil.exe befindet sich im Ordner für Supporttools auf der Windows 2000-Installations-CD. Ntdsutil.exe ist standardmäßig im Ordner System32 installiert.
  1. Klicken Sie auf Start, und klicken Sie dann auf Ausführen.
  2. Geben Sie im Feld Öffnen Ntdsutilund dann die EINGABETASTE. Geben Sie zum Anzeigen der Hilfe jederzeit ? in der Befehlszeile.

Anzeigen der aktuellen Richtlinien

  1. Befehlszeile Ntdsutil.exe Geben Sie LDAP-Richtlinien, und drücken Sie dann die EINGABETASTE.
  2. Geben Sie an der Befehlszeile LDAP-Richtlinie Verbindungen, und drücken Sie die EINGABETASTE.
  3. Geben Sie in der Befehlszeile des Servers Verbindung connect to Server DNS-Name des Serversund drücken Sie die EINGABETASTE. Mit dem Server verbinden möchten, sind gerade arbeiten.
  4. Geben Sie in der Befehlszeile des Servers Verbindung Qein und drücken Sie die EINGABETASTE, um zum vorherigen Menü zurückzukehren.
  5. Geben Sie an der Befehlszeile LDAP-Richtlinie Werte anzeigen, und drücken Sie die EINGABETASTE.

    Richtlinien vorhanden angezeigt.

Ändern von Richtlinien

  1. Befehlszeile Ntdsutil.exe Geben Sie LDAP-Richtlinien, und drücken Sie dann die EINGABETASTE.
  2. An der Befehlszeile LDAP-Richtlinie Einstellung VariablenGeben Sie, und drücken Sie die EINGABETASTE. Beispielsweise MaxPoolThreads 8 festgelegt.

    Diese Einstellung ändert, wenn der Server einen anderen Prozessor hinzufügen.
  3. Befehls Werte anzeigen können Sie die Änderung überprüfen.

    Verwenden Sie zum Speichern der Änderung Commit Changes.
  4. Wenn Sie fertig sind, geben Sie Qein und drücken.
  5. Um Ntdsutil.exe Befehlszeile beenden, geben Sie
    Q, und drücken Sie dann die EINGABETASTE.
Hinweis Dieses Verfahren wird nur die Richtlinien von Standarddomänen. Wenn Sie eine eigene Einstellung anwenden, nicht angezeigt werden...

Neustart erforderlich

Wenn Sie die Werte für Abfragerichtlinie, die derzeit mit ein Domänencontroller ändern, wirksam die Änderungen ohne Neustart. Erstellt eine neue Abfragerichtlinie ist ein Neustart für die neue Abfragerichtlinie wirksam wird.

Aspekte der Abfragewerte ändern

Um Domäne Server Stabilität zu gewährleisten, empfehlen wir nicht, dass den Timeoutwert von 120 Sekunden erhöht. Effizientere Abfragen ist die bevorzugte Lösung. Weitere Informationen zum Erstellen von effizienter Abfragen finden Sie auf der folgenden Microsoft-Website:Wenn die Abfrage ändern nicht möglich ist, erhöhen Sie den auf einem Domänencontroller oder auf einer Website. Eine Anleitung finden Sie im nächsten Abschnitt. Wenn die Einstellung auf einem Domänencontroller angewendet wird, reduzieren Sie DNS LDAP-Priorität auf dem Domänencontroller sind Kunden weniger wahrscheinlich den Server für die Authentifizierung verwenden. Verwenden Sie auf dem Domänencontroller mit der Priorität erhöhen folgenden Registrierungseintrag LdapSrvPriority festlegen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Klicken Sie im Menü Bearbeiten auf Wert hinzufügenund fügen Sie den folgenden Registrierungswert hinzu:
Namen: LdapSrvPriority
Datentyp: REG_DWORD
Wert: Legen Sie den Wert auf den Wert der gewünschten Priorität.
Klicken Sie für Weitere Informationen auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:

306602 wie Optimieren der Position von einem Domänencontroller oder globalen Katalog befindet sich außerhalb des Kunden

Informationen zum Konfigurieren von pro Domänencontroller oder Richtlinien

  1. Erstellen einer neuen Abfragerichtlinie unter:
    CN = Abfragerichtlinien, CN = Directory Service, CN = Windows NT, CN = Dienste, CN = ConfigurationGesamtstrukturstamm
  2. Legen Sie Domänencontroller oder Website auf die neue Richtlinie definierten Namen für die neue Richtlinie im Attribut "Abfrage-Richtlinienobjekt" eingeben. Die Position des Attributs lautet wie folgt:

    Der Speicherort für den Domänencontroller ist:
    CN NTDS Settings, CN =Domänencontrollername, CN = = Server, CN =Sitename, CN = Sites, CN = ConfigurationGesamtstrukturstamm
    Der Speicherort für die Website ist:
    CN NTDS Site Settings, CN = =Sitename, CN = Sites, CN = ConfigurationGesamtstrukturstamm

Beispielskript

Nachfolgend können Sie Ldifde-Datei erstellen. Sie können diese Datei zum Erstellen der Richtlinie mit einem Timeoutwert von 10 Minuten. Kopieren Sie diesen Text zu Ldappolicy.ldf, und führen Sie den folgenden Befehl ist Gesamtstrukturstamm der DN der Stammdomäne Ihrer Gesamtstruktur. Lassen Sie DC = X-ist. Dies ist eine Konstante, die den Stammnamen Gesamtstruktur bei Ausführung des Skripts ersetzt. Die Konstante X bedeutet einen Domänencontrollernamen nicht.
LDIFDE -i -f ldappolicy.ldf - V --c DC = X DC =Stammdomäne

Ldifde Skript starten

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Xchangetype: add
instanceType: 4
lDAPAdminLimits: MaxReceiveBuffer=10485760
lDAPAdminLimits: MaxDatagramRecv=1024
lDAPAdminLimits: MaxPoolThreads=4
lDAPAdminLimits: MaxResultSetSize=262144
lDAPAdminLimits: MaxTempTableSize=10000
lDAPAdminLimits: MaxQueryDuration=300
lDAPAdminLimits: MaxPageSize=1000
lDAPAdminLimits: MaxNotificationPerConn=5
lDAPAdminLimits: MaxActiveQueries=20
lDAPAdminLimits: MaxConnIdleTime=900
lDAPAdminLimits: InitRecvTimeout=120
lDAPAdminLimits: MaxConnections=5000
objectClass: queryPolicy
showInAdvancedViewOnly: TRUE
Nachdem Sie die Datei importieren, können Sie die Abfragewerte Adsiedit.msc oder Ldp.exe ändern. Die Einstellung MaxQueryDuration in diesem Skript ist 5 Minuten.




Hinweis Ntdsutil.exe zeigt nur den Wert in die Standardabfragerichtlinie. Wenn benutzerdefinierten Richtlinien definiert sind, werden sie nicht von Ntdsutil.exe angezeigt.

Referenzen

243267 wie Ntdsutil.exe mit einem Skript automatisiert

Eigenschaften

Artikelnummer: 315071 – Letzte Überarbeitung: 21.01.2017 – Revision: 2

Feedback