Exibir e definir a política LDAP no Active Directory usando Ntdsutil.exe
Este artigo descreve como gerenciar políticas LDAP (Protocolo de Acesso ao Diretório Leve) usando a ferramenta Ntdsutil.exe.
Aplica-se a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 315071
Resumo
Para garantir que os controladores de domínio possam dar suporte a garantias no nível do serviço, você deve especificar limites operacionais para muitas operações LDAP. Esses limites impedem que operações específicas afetem negativamente o desempenho do servidor. Eles também tornam o servidor mais resiliente a alguns tipos de ataques.
As políticas LDAP são implementadas usando objetos da queryPolicy
classe. Objetos da Política de Consulta podem ser criados no contêiner Políticas de Consulta, que é filho do contêiner do Serviço de Diretório no contexto de nomenclatura de configuração. Por exemplo, cn=Query-Policies,cn=Directory Service,cn=Windows NT,cn=Services configuration naming context.
Limites de administração LDAP
Os limites de administração LDAP são:
InitRecvTimeout – Esse valor define o tempo máximo em segundos em que um controlador de domínio aguarda que o cliente envie a primeira solicitação após o controlador de domínio receber uma nova conexão. Se o cliente não enviar a primeira solicitação nesse período de tempo, o servidor desconectará o cliente.
Valor padrão: 120 segundos
MaxActiveQueries – o número máximo de operações de pesquisa LDAP simultâneas que podem ser executadas ao mesmo tempo em um controlador de domínio. Quando esse limite é atingido, o servidor LDAP retorna um erro ocupado .
Valor padrão: 20
Observação
Esse controle tem uma interação incorreta com o valor MaxPoolThreads. MaxPoolThreads é um controle por processador, enquanto MaxActiveQueries define um número absoluto. A partir do Windows Server 2003, o MaxActiveQueries não é mais imposto. Além disso, MaxActiveQueries não aparece na versão do Windows Server 2003 do NTDSUTIL.
Valor padrão: 20
MaxConnections – O número máximo de conexões LDAP simultâneas que um controlador de domínio aceitará. Se uma conexão entrar depois que o controlador de domínio atingir esse limite, o controlador de domínio descartará outra conexão.
Valor padrão: 5000
MaxConnIdleTime – o tempo máximo em segundos em que o cliente pode ficar ocioso antes que o servidor LDAP feche a conexão. Se uma conexão estiver ociosa por mais do que isso, o servidor LDAP retornará uma notificação de desconexão LDAP.
Valor padrão: 900 segundos
MaxDatagramRecv – O tamanho máximo de uma solicitação de datagram que um controlador de domínio processará. As solicitações maiores que o valor de MaxDatagramRecv são ignoradas.
Valor padrão: 4.096 bytes
MaxNotificationPerConnection – O número máximo de solicitações de notificação pendentes permitidas em uma única conexão. Quando esse limite é atingido, o servidor retorna um erro ocupado para quaisquer novas pesquisas de notificação executadas nessa conexão.
Valor padrão: 5
MaxPageSize – Esse valor controla o número máximo de objetos que são retornados em um único resultado de pesquisa, independentemente do tamanho de cada objeto retornado. Para executar uma pesquisa em que o resultado possa exceder esse número de objetos, o cliente deve especificar o controle de pesquisa paged. É para agrupar os resultados retornados em grupos que não são maiores que o valor MaxPageSize. Para resumir, o MaxPageSize controla o número de objetos que são retornados em um único resultado de pesquisa.
Valor padrão: 1.000
MaxPoolThreads - O número máximo de threads por processador que um controlador de domínio dedica à escuta para entrada ou saída de rede (E/S). Esse valor também determina o número máximo de threads por processador que podem funcionar em solicitações LDAP ao mesmo tempo.
Valor padrão: 4 threads por processador
MaxResultSetSize – Entre as pesquisas individuais que compõem uma pesquisa de resultados de página, o controlador de domínio pode armazenar dados intermediários para o cliente. O controlador de domínio armazena esses dados para acelerar a próxima parte da pesquisa de resultados paged. O valor MaxResultSize controla a quantidade total de dados que o controlador de domínio armazena para esse tipo de pesquisa. Quando esse limite é atingido, o controlador de domínio descarta os resultados mais antigos desses intermediários para abrir espaço para armazenar novos resultados intermediários.
Valor padrão: 262.144 bytes
MaxQueryDuration – o tempo máximo em segundos que um controlador de domínio gastará em uma única pesquisa. Quando esse limite é atingido, o controlador de domínio retorna um erro " timeLimitExceeded". Pesquisas que exigem mais tempo devem especificar o controle de resultados paged.
Valor padrão: 120 segundos
MaxTempTableSize – Enquanto uma consulta é processada, o
dblayer
pode tentar criar uma tabela de banco de dados temporária para classificar e selecionar resultados intermediários. O limite MaxTempTableSize controla o tamanho da tabela de banco de dados temporária. Se a tabela de banco de dados temporária contiver mais objetos do que o valor de MaxTempTableSize, odblayer
executará uma análise muito menos eficiente do banco de dados DS completo e de todos os objetos no banco de dados DS.Valor padrão: 10.000 registros
MaxValRange – Esse valor controla o número de valores retornados para um atributo de um objeto, independentemente de quantos atributos esse objeto tem ou de quantos objetos estavam no resultado da pesquisa. No Windows 2000, esse controle é codificado em 1.000. Se um atributo tiver mais do que o número de valores especificados pelo valor MaxValRange, você deverá usar controles de intervalo de valor em LDAP para recuperar valores que excedem o valor MaxValRange. MaxValueRange controla o número de valores que são retornados em um único atributo em um único objeto.
- Valor mínimo: 30
- Valor padrão: 1500
Iniciar Ntdsutil.exe
Ntdsutil.exe está localizada na pasta Ferramentas de suporte na CD-ROM de instalação do Windows. Por padrão, Ntdsutil.exe é instalado na pasta System32.
- Clique em Iniciar e em Executar.
- Na caixa de texto Abrir , digite ntdsutil e pressione ENTER. Para exibir ajuda a qualquer momento, digite
?
no prompt de comando.
Exibir configurações de política atuais
- No prompt de comando Ntdsutil.exe, digite
LDAP policies
e pressione ENTER. - No prompt de comando de política LDAP, digite
connections
e pressione ENTER. - No prompt de comando de conexão do servidor, digite
connect to server <DNS name of server>
e pressione ENTER. Você deseja se conectar ao servidor com o qual está trabalhando no momento. - No prompt de comando de conexão do servidor, digite
q
e pressione ENTER para retornar ao menu anterior. - No prompt de comando de política LDAP, digite
Show Values
e pressione ENTER.
Uma exibição das políticas conforme elas existem aparece.
Modificar configurações de política
No prompt de comando Ntdsutil.exe, digite
LDAP policies
e pressione ENTER.No prompt de comando de política LDAP, digite
Set <setting> to <variable>
e pressione ENTER. Por exemplo, digite Definir MaxPoolThreads como 8.Essa configuração será alterada se você adicionar outro processador ao servidor.
Você pode usar o
Show Values
comando para verificar suas alterações.Para salvar as alterações, use Commit Changes.
Quando terminar, digite
q
e pressione ENTER.Para encerrar Ntdsutil.exe, no prompt de comando, digite
q
e pressione ENTER.
Observação
Esse procedimento só mostra as configurações da Política de Domínio Padrão. Se você aplicar sua própria configuração de política, não poderá vê-la.
Requisito de reinicialização
Se você alterar os valores da política de consulta que um controlador de domínio está usando no momento, essas alterações entrarão em vigor sem uma reinicialização. No entanto, se uma nova política de consulta for criada, uma reinicialização será necessária para que a nova política de consulta entre em vigor.
Considerações sobre a alteração de valores de consulta
Para manter a resiliência do servidor de domínio, não recomendamos que você aumente o valor de tempo limite de 120 segundos. Formar consultas mais eficientes é uma solução preferencial. Para obter mais informações sobre como criar consultas eficientes, consulte Criando aplicativos do Microsoft Active Directory-Enabled mais eficientes.
No entanto, se alterar a consulta não for uma opção, aumente o valor de tempo limite apenas em um controlador de domínio ou apenas em um site. Para obter instruções, confira a próxima seção. Se a configuração for aplicada a um controlador de domínio, reduza a prioridade DNS LDAP no controlador de domínio, para que os clientes usem menos o servidor para autenticação. No controlador de domínio com a prioridade de aumento, use a seguinte configuração de registro para definir LdapSrvPriority
:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
No menu Editar , selecione Adicionar Valor e adicione o seguinte valor de registro:
- Nome da entrada: LdapSrvPriority
- Tipo de dados: REG_DWORD
- Valor: defina o valor como o valor da prioridade desejada.
Para obter mais informações, consulte Como otimizar a localização de um controlador de domínio ou catálogo global que reside fora do site de um cliente.
Instruções para configurar por controlador de domínio ou por política de site
Crie uma nova política de consulta em CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, raiz da floresta.
Defina o controlador de domínio ou o site para apontar para a nova política inserindo o nome distinto da nova política no atributo Query-Policy-Object . O local do atributo é o seguinte:
O local para o controlador de domínio é CN=NTDS Settings, CN= DomainControllerName, CN=Servers,CN= site name,CN=Sites,CN=Configuration, raiz da floresta.
O local do site é CN=NTDS Site Settings,CN= site name,CN=Sites,CN=Configuration, raiz da floresta.
Amostra de script
Você pode usar o texto a seguir para criar um arquivo Ldifde. Você pode importar esse arquivo para criar a política com um valor de tempo limite de 10 minutos. Copie este texto para Ldappolicy.ldf e execute o comando a seguir, em que a raiz da floresta é o nome diferenciado da raiz da floresta. Deixe DC=X como está. É uma constante que será substituída pelo nome raiz da floresta quando o script for executado. A constante X não indica um nome de controlador de domínio.
ldifde -i -f ldappolicy.ldf -v -c DC=X DC= forest root
Iniciar script Ldifde
dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
changetype: add
instanceType: 4
lDAPAdminLimits: MaxReceiveBuffer=10485760
lDAPAdminLimits: MaxDatagramRecv=1024
lDAPAdminLimits: MaxPoolThreads=4
lDAPAdminLimits: MaxResultSetSize=262144
lDAPAdminLimits: MaxTempTableSize=10000
lDAPAdminLimits: MaxQueryDuration=300
lDAPAdminLimits: MaxPageSize=1000
lDAPAdminLimits: MaxNotificationPerConn=5
lDAPAdminLimits: MaxActiveQueries=20
lDAPAdminLimits: MaxConnIdleTime=900
lDAPAdminLimits: InitRecvTimeout=120
lDAPAdminLimits: MaxConnections=5000
objectClass: queryPolicy
showInAdvancedViewOnly: TRUE
Depois de importar o arquivo, você pode alterar os valores de consulta usando Adsiedit.msc ou Ldp.exe. A configuração MaxQueryDuration neste script é de 5 minutos.
Para vincular a política a um DC, use um arquivo de importação LDIF como este:
dn: CN=NTDS
Settings,CN=DC1,CN=Servers,CN=site1,CN=Sites,CN=Configuration, DC=X
changetype: modify
add: queryPolicyobject
queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
Importe-o usando o seguinte comando:
ldifde -i -f link-policy-dc.ldf -v -c DC=X DC= **forest root**
Para um site, o arquivo de importação LDIF conteria:
dn: CN=NTDS Site Settings,CN=site1,CN=Sites,CN=Configuration, DC=X
changetype: modify
add: queryPolicyobject
queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
Observação
Ntdsutil.exe exibe apenas o valor na política de consulta padrão. Se quaisquer políticas personalizadas forem definidas, elas não serão exibidas por Ntdsutil.exe.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários