Τρόπος προβολής και να ορίσετε την πολιτική LDAP στην υπηρεσία καταλόγου Active Directory, χρησιμοποιώντας το εργαλείο Ntdsutil.exe

Η υποστήριξη για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015

Η υποστήριξη της Microsoft για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015. Αυτή η αλλαγή επηρέασε τις ενημερώσεις λογισμικού και τις επιλογές ασφαλείας σας. Μάθετε τι σημαίνει αυτό για εσάς και το πώς θα προστατευτείτε.

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:315071
Περίληψη
Αυτό το άρθρο βήμα προς βήμα περιγράφει τον τρόπο διαχείρισης πολιτικών Lightweight Directory Access Protocol (LDAP), χρησιμοποιώντας το εργαλείο Ntdsutil.exe. Για να βεβαιωθείτε ότι οι ελεγκτές τομέα μπορεί να υποστηρίξει επίπεδο υπηρεσίας εγγυήσεις, πρέπει να καθορίσετε όρια λειτουργίας για έναν αριθμό λειτουργιών LDAP. Τα όρια αυτά εμποδίζουν συγκεκριμένες λειτουργίες από επηρεάζουν αρνητικά τις επιδόσεις του διακομιστή και επίσης να το διακομιστή που αντιμετωπίζει σε κάποιους τύπους επιθέσεων.

Πολιτικές LDAP υλοποιούνται χρησιμοποιώντας αντικείμενα της κλάσης queryPolicy. Αντικείμενα πολιτικής ερώτημα μπορούν να δημιουργηθούν στο κοντέινερ πολιτικές ερωτημάτων, το οποίο είναι θυγατρικό ενός κοντέινερ υπηρεσίας καταλόγου στο περιβάλλον ονομασίας ρύθμισης παραμέτρων. Για παράδειγμα: ΣΟ ερώτημα πολιτικές, cn = υπηρεσίας καταλόγου, cn = = Windows NT, cn = υπηρεσίες περιβάλλον ονομασίας ρύθμισης παραμέτρων.

back to the top

Όρια διαχείρισης των Windows 2000 και Windows Server 2003 LDAP

Τα όρια διαχείρισης LDAP είναι:
 • InitRecvTimeout -Η τιμή αυτή ορίζει το μέγιστο χρόνο σε δευτερόλεπτα αναμονής έναν ελεγκτή τομέα για την αποστολή της πρώτης αίτησης μετά τον ελεγκτή τομέα που λαμβάνει μια νέα σύνδεση υπολογιστή-πελάτη. Αν το πρόγραμμα-πελάτης αποστείλει πρώτη αίτηση στο χρόνο, ο διακομιστής αποσυνδέει τον υπολογιστή-πελάτη.

  Προεπιλεγμένη τιμή: 120 δευτερόλεπτα
 • MaxActiveQueries -Το μέγιστο αριθμό ταυτόχρονων λειτουργίες αναζήτησης LDAP που επιτρέπεται να εκτελούνται ταυτόχρονα σε έναν ελεγκτή τομέα. Όταν επιτευχθεί αυτό το όριο, το διακομιστή LDAP επιστρέφει ένα σφάλμα "Απασχολημένος".

  Προεπιλεγμένη τιμή: 20

  Σημείωση Αυτό το στοιχείο ελέγχου έχει λανθασμένο επικοινωνίας με το MaxPoolThreads η τιμή. MaxPoolThreads είναι ένα στοιχείο ελέγχου ανά επεξεργαστή, ενώ MaxActiveQueries Ορίζει ένα απόλυτο αριθμό. Εκκίνηση με Windows Server 2003, MaxActiveQueries επιβάλλεται πλέον. Επιπλέον, MaxActiveQueries δεν εμφανίζεται στην έκδοση Windows Server 2003 NTDSUTIL.

  Προεπιλεγμένη τιμή: 20
 • MaxConnections -Το μέγιστο αριθμό ταυτόχρονων συνδέσεων LDAP που θα αποδεχτεί ο ελεγκτής τομέα. Εάν μια σύνδεση έρχεται μετά τον ελεγκτή τομέα φτάσει αυτό το όριο, ελεγκτή τομέα πέσει άλλη σύνδεση.

  Προεπιλεγμένη τιμή: 5000
 • MaxConnIdleTime -Το μέγιστο χρόνο σε δευτερόλεπτα που ο υπολογιστής-πελάτης μπορεί να είναι αδρανής πριν από το διακομιστή LDAP κλείνει τη σύνδεση. Εάν μια σύνδεση είναι αδρανής για περισσότερο από αυτήν τη στιγμή, το LDAP server επιστρέφει ένα LDAP αποσυνδέσετε ειδοποίησης.

  Προεπιλεγμένη τιμή: 900 δευτερόλεπτα
 • MaxDatagramRecv -Το μέγιστο μέγεθος του datagram αίτηση που θα επεξεργαστεί σε ελεγκτή τομέα. Αιτήσεις που είναι μεγαλύτερες από την τιμή MaxDatagramRecv παραβλέπονται.

  Προεπιλεγμένη τιμή:
  • Τα Windows 2000 - είναι 1.024 byte
  • Windows Server 2003 - 4.096 byte
 • MaxNotificationPerConnection -Ο μέγιστος αριθμός αιτήσεων εκκρεμών ειδοποιήσεων που επιτρέπονται σε μια μοναδική σύνδεση. Όταν επιτευχθεί αυτό το όριο, ο διακομιστής επιστρέφει ένα σφάλμα "Απασχολημένος" οποιαδήποτε νέα ειδοποίηση αναζητήσεις που εκτελούνται σε αυτήν τη σύνδεση.

  Προεπιλεγμένη τιμή: 5
 • MaxPageSize -Η τιμή αυτή ελέγχει τον μέγιστο αριθμό αντικειμένων που επιστρέφονται σε ένα αποτέλεσμα μόνο αναζήτηση, ανεξάρτητα από το πόσο μεγάλο είναι κάθε αντικείμενο που επιστράφηκε. Για να εκτελέσετε μια αναζήτηση όπου το αποτέλεσμα μπορεί να υπερβεί αυτόν τον αριθμό των αντικειμένων, το πρόγραμμα-πελάτης πρέπει να καθορίσετε έλεγχο σελιδοποιημένης αναζήτησης. Αυτό είναι να ομαδοποιήσετε τα αποτελέσματα που επιστρέφεται σε ομάδες που είναι μεγαλύτερη από το MaxPageSize η τιμή. Για να συνοψίσετε, MaxPageSize ελέγχει τον αριθμό των αντικειμένων που επιστρέφονται σε ένα αποτέλεσμα μόνο αναζήτηση.

  Προεπιλεγμένη τιμή: 1.000
 • MaxPoolThreads -Το μέγιστο αριθμό νημάτων ανά επεξεργαστή που dedicates έναν ελεγκτή τομέα στην ακρόαση για δίκτυο εισόδου ή εξόδου (I/O). Επίσης, αυτή η τιμή καθορίζει το μέγιστο αριθμό νημάτων ανά επεξεργαστή που μπορεί να εργαστεί σε αιτήσεις LDAP ταυτόχρονα.

  Προεπιλεγμένη τιμή: 4 νήματα ανά επεξεργαστή
 • MaxResultSetSize -Μεταξύ της επιμέρους αναζητήσεις που απαρτίζουν ένα αποτέλεσμα σελιδοποιημένης αναζήτησης, ελεγκτή τομέα ενδέχεται να αποθηκεύουν ενδιάμεσα δεδομένα για το πρόγραμμα-πελάτη. Ο ελεγκτής τομέα αποθηκεύει δεδομένα για να επιταχύνετε το επόμενο τμήμα της σελιδοποιημένης περιοχής αποτελεσμάτων αναζήτησης. Το MaxResultSize η τιμή ελέγχει το συνολικό ποσό των δεδομένων που αποθηκεύει στον ελεγκτή τομέα για αυτό το είδος της αναζήτησης. Όταν επιτευχθεί αυτό το όριο, ο ελεγκτής τομέα απορρίπτει παλαιότερο ενδιάμεσων τα αποτελέσματα αυτά για να δημιουργηθεί χώρος για την αποθήκευση νέων ενδιάμεσα αποτελέσματα.

  Προεπιλεγμένη τιμή: 262,144 bytes
 • MaxQueryDuration -Το μέγιστο χρόνο σε δευτερόλεπτα που θα δαπανήσετε ελεγκτή τομέα σε μία μόνο αναζήτηση. Όταν επιτευχθεί αυτό το όριο, ο ελεγκτής τομέα επιστρέφει ένα σφάλμα "timeLimitExceeded". Πρέπει να καθορίσετε έλεγχο σελιδοποιημένης περιοχής αποτελεσμάτων αναζητήσεις που απαιτούν περισσότερο χρόνο.

  Προεπιλεγμένη τιμή: 120 δευτερόλεπτα
 • MaxTempTableSize -Κατά την επεξεργασία ενός ερωτήματος, το dblayer μπορεί να προσπαθήστε να δημιουργήσετε μια προσωρινή βάση δεδομένων πίνακα για να ταξινομήσετε και να επιλέξετε τα ενδιάμεσα αποτελέσματα από. Το MaxTempTableSize όριο ελέγχει πόσο μεγάλη μπορεί να είναι προσωρινή βάση δεδομένων αυτού του πίνακα. Εάν ο πίνακας προσωρινή βάση δεδομένων θα περιέχει περισσότερα αντικείμενα από την τιμή για MaxTempTableSize, το dblayer εκτελεί πολύ λιγότερο αποτελεσματική ανάλυση της βάσης δεδομένων ολοκληρωμένη DS και όλων των αντικειμένων στη βάση δεδομένων DS.

  Προεπιλεγμένη τιμή: 10.000 εγγραφές
 • MaxValRange -Στοιχεία ελέγχου αυτή η τιμή τον αριθμό των τιμών που επιστρέφονται για ένα χαρακτηριστικό ενός αντικειμένου ανεξάρτητα από το πόσα χαρακτηριστικά αυτού του αντικειμένου έχει ή πόσα αντικειμένων ήταν το αποτέλεσμα αναζήτησης. Στα Windows 2000, αυτό το στοιχείο ελέγχου είναι "σκληρούς" κωδικοποιημένη στο 1.000. Εάν κάποιο χαρακτηριστικό έχει περισσότερες από τον αριθμό των τιμών που καθορίζεται από το MaxValRange τιμή, πρέπει να χρησιμοποιείτε στοιχεία ελέγχου περιοχής τιμή στο LDAP για ανάκτηση τιμών που υπερβαίνουν το MaxValRange η τιμή. MaxValueRange ελέγχει τον αριθμό των τιμών που επιστρέφονται σε ένα ενιαίο χαρακτηριστικό σε ένα αντικείμενο.

  Προεπιλεγμένη τιμή:
  • Τα Windows 2000 1.024
  • Windows Server 2003 1.500
back to the top

Εκκίνηση προγράμματος Ntdsutil.exe


Το Ntdsutil.exe βρίσκεται στο φάκελο Support tools στο CD-ROM εγκατάστασης των Windows 2000.Από προεπιλογή, το Ntdsutil.exe είναι εγκατεστημένο στο φάκελο System32.
 1. Κάντε κλικ στο κουμπί Έναρξη, και στη συνέχεια κάντε κλικ στο κουμπί Εκτέλεση.
 2. Με το Άνοιγμα πλαίσιο κειμένου, πληκτρολογήστε Ntdsutil, και στη συνέχεια πιέστε το πλήκτρο ENTER. Για να προβάλετε τη βοήθεια οποτεδήποτε, πληκτρολογήστε ? στη γραμμή εντολών.
back to the top

Προβολή ρυθμίσεων πολιτικής

 1. Στη γραμμή εντολών Ntdsutil.exe, πληκτρολογήστε Πολιτικές LDAP, και στη συνέχεια πιέστε το πλήκτρο ENTER.
 2. Στη γραμμή εντολών την εντολή πολιτικής LDAP, πληκτρολογήστε συνδέσεις, και στη συνέχεια πιέστε το πλήκτρο ENTER.
 3. Στη γραμμή εντολών σύνδεσης του διακομιστή, πληκτρολογήστε σύνδεση με διακομιστή Το όνομα του διακομιστή DNS, και στη συνέχεια πιέστε το πλήκτρο ENTER. Θέλετε να συνδεθείτε με το διακομιστή που σας έχουν αυτήν τη στιγμή εργάζεστε.
 4. Στη γραμμή εντολών σύνδεσης του διακομιστή, πληκτρολογήστε q, και στη συνέχεια πιέστε το πλήκτρο ENTER για να επιστρέψετε στο προηγούμενο μενού.
 5. Στη γραμμή εντολών την εντολή πολιτικής LDAP, πληκτρολογήστε Εμφάνιση τιμών, και στη συνέχεια πιέστε το πλήκτρο ENTER.

  Εμφάνιση των πολιτικών καθώς υπάρχουν εμφανίζεται.
back to the top

Τροποποίηση των ρυθμίσεων πολιτικής

 1. Στη γραμμή εντολών Ntdsutil.exe, πληκτρολογήστε Πολιτικές LDAP, και στη συνέχεια πιέστε το πλήκτρο ENTER.
 2. Στη γραμμή εντολών την εντολή πολιτικής LDAP, πληκτρολογήστε Σύνολο ρύθμιση Για να μεταβλητή, και στη συνέχεια πιέστε το πλήκτρο ENTER. Για παράδειγμα, πληκτρολογήστε MaxPoolThreads σύνολο 8.

  Αυτή η ρύθμιση αλλάζει Εάν προσθέσετε άλλο επεξεργαστή στο διακομιστή σας.
 3. Μπορείτε να χρησιμοποιήσετε το Εμφάνιση τιμών εντολή για να επιβεβαιώσετε τις αλλαγές σας.

  Για να αποθηκεύσετε τις αλλαγές, χρησιμοποιήστε Ολοκλήρωση αλλαγών.
 4. Όταν τελειώσετε, πληκτρολογήστε q, και στη συνέχεια πιέστε το πλήκτρο ENTER.
 5. Για να κλείσετε το Ntdsutil.exe, στη γραμμή εντολών, πληκτρολογήστεq, και στη συνέχεια πιέστε το πλήκτρο ENTER.
Σημείωση Αυτή η διαδικασία εμφανίζει μόνο τις ρυθμίσεις της προεπιλεγμένης πολιτικής τομέα. Εάν εφαρμόσετε το δικό σας τη ρύθμιση πολιτικής, δεν μπορείτε να το δείτε..

back to the top

Απαίτηση επανεκκίνησης

Εάν αλλάξετε τις τιμές για την πολιτική ερωτήματος που χρησιμοποιεί έναν ελεγκτή τομέα, οι αλλαγές αυτές εφαρμόζονται χωρίς επανεκκίνηση. Ωστόσο, αν δημιουργηθεί ένα νέο ερώτημα πολιτικής, απαιτείται επανεκκίνηση για τη νέα πολιτική ερωτήματος για να τεθούν σε ισχύ.

back to the top

Προβλέψεις για αλλαγή τιμών ερωτήματος

Για να διατηρήσετε resiliency τομέα διακομιστή, δεν συνιστούμε να αυξήσετε την τιμή χρονικού ορίου 120 δευτερόλεπτα. Αποτελούν πιο αποτελεσματικά ερωτήματα είναι προτιμότερη λύση. Για περισσότερες πληροφορίες σχετικά με τη δημιουργία ερωτημάτων αποτελεσματική, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Ωστόσο, εάν αλλάξετε το ερώτημα δεν είναι μια επιλογή, αυξήστε την τιμή χρονικού ορίου μόνο σε έναν ελεγκτή τομέα ή μόνο σε μία τοποθεσία. Για οδηγίες, ανατρέξτε στην επόμενη ενότητα. Εάν η ρύθμιση εφαρμόζεται σε έναν ελεγκτή τομέα, μείωση προτεραιότητα DNS LDAP του ελεγκτή τομέα, έτσι ώστε οι υπολογιστές-πελάτες είναι λιγότερο πιθανό χρήση του διακομιστή για έλεγχο ταυτότητας. Στον ελεγκτή τομέα με προτεραιότητα αύξηση, χρησιμοποιήστε την ακόλουθη ρύθμιση μητρώου για να ορίσετε LdapSrvPriority:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Από το Επεξεργασία μενού, κάντε κλικ στο κουμπί Προσθήκη τιμής, και στη συνέχεια, προσθέστε την ακόλουθη τιμή μητρώου:
Όνομα καταχώρησης: LdapSrvPriority
Τύπος δεδομένων: REG_DWORD
Τιμή: Ορίστε την τιμή για την τιμή προτεραιότητας που θέλετε.
Για πρόσθετες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
306602Τρόπος βελτιστοποίησης τη θέση του ελεγκτή τομέα ή σε καθολικό κατάλογο που βρίσκεται εκτός της τοποθεσίας του υπολογιστή-πελάτη

Οδηγίες για τη ρύθμιση ανά ελεγκτή τομέα ή τοποθεσία πολιτικής

 1. Δημιουργήστε μια νέα πολιτική ερωτήματος, στην περιοχή:
  ΣΟ ερώτημα πολιτικές, CN = υπηρεσίας καταλόγου, CN = Windows NT, CN = Services, CN = = Ρύθμιση παραμέτρων,ριζικός κατάλογος συμπλέγματος
 2. Ρυθμίστε τον ελεγκτή τομέα ή τοποθεσίας στο σημείο νέας πολιτικής εισάγοντας το αποκλειστικό όνομα της νέας πολιτικής στο χαρακτηριστικό "Ερώτημα-πολιτική αντικειμένου". Η θέση του χαρακτηριστικού είναι ένα ακολουθεί:
  Η θέση του ελεγκτή τομέα είναι:
  CN = ρυθμίσεων NTDS, CN =DomainControllerNameCN = Servers, CN =όνομα τοποθεσίαςCN = τοποθεσιών, CN = Configuration,ριζικός κατάλογος συμπλέγματος
  Η θέση για την τοποθεσία είναι:
  CN = Ρυθμίσεις NTDS τοποθεσία, CN =όνομα τοποθεσίαςCN = τοποθεσιών, CN = Configuration,ριζικός κατάλογος συμπλέγματος

Δείγμα δέσμης ενεργειών

Μπορείτε να χρησιμοποιήσετε το παρακάτω κείμενο για να δημιουργήσετε ένα αρχείο Ldifde. Μπορείτε να εισαγάγετε αυτό το αρχείο για να δημιουργήσετε την πολιτική με μια τιμή χρονικού ορίου 10 λεπτά. Αντιγράψτε το κείμενο αυτό Ldappolicy.ldf και, στη συνέχεια, εκτελέστε την ακόλουθη εντολή, όπου ριζικός κατάλογος συμπλέγματος είναι το αποκλειστικό όνομα του ριζικού συμπλέγματος δομών. Αφήστε DC = X ως-είναι. Αυτή είναι μια σταθερά που θα αντικατασταθεί από το όνομα του ριζικού συμπλέγματος δομών, όταν εκτελείται η δέσμη ενεργειών. Σταθερή x υποδεικνύουν ένα όνομα ελεγκτή τομέα.
Το LDIFDE -i -f ldappolicy.ldf - v - c DC = X, DC =ριζικός κατάλογος συμπλέγματος

Έναρξη Δέσμη ενεργειών Ldifde

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Xchangetype: addinstanceType: 4lDAPAdminLimits: MaxReceiveBuffer=10485760lDAPAdminLimits: MaxDatagramRecv=1024lDAPAdminLimits: MaxPoolThreads=4lDAPAdminLimits: MaxResultSetSize=262144lDAPAdminLimits: MaxTempTableSize=10000lDAPAdminLimits: MaxQueryDuration=300lDAPAdminLimits: MaxPageSize=1000lDAPAdminLimits: MaxNotificationPerConn=5lDAPAdminLimits: MaxActiveQueries=20lDAPAdminLimits: MaxConnIdleTime=900lDAPAdminLimits: InitRecvTimeout=120lDAPAdminLimits: MaxConnections=5000objectClass: queryPolicyshowInAdvancedViewOnly: TRUE
Μετά την εισαγωγή του αρχείου, μπορείτε να αλλάξετε τις τιμές ερώτημα χρησιμοποιώντας Adsiedit.msc ή Ldp.exe. Η ρύθμιση MaxQueryDuration σε αυτήν τη δέσμη ενεργειών είναι 5 λεπτά.

Σημείωση Το Ntdsutil.exe εμφανίζει μόνο την τιμή στην προεπιλεγμένη πολιτική ερωτημάτων. Εάν τυχόν προσαρμοσμένες πολιτικές ορίζονται, δεν εμφανίζονται με Ntdsutil.exe.
Αναφορές
243267 Τρόπος αυτοματοποίησης Ntdsutil.exe χρησιμοποιώντας μια δέσμη ενεργειών
back to the top

Προειδοποίηση: Αυτό το άρθρο έχει μεταφραστεί αυτόματα

Ιδιότητες

Αναγνωριστικό άρθρου: 315071 - Τελευταία αναθεώρηση: 05/29/2011 13:58:00 - Αναθεώρηση: 4.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)

 • kbhowtomaster kbmt KB315071 KbMtel
Σχόλια