LDAP-beleid weergeven en instellen in Active Directory met behulp van Ntdsutil.exe

  • Artikel

In dit artikel wordt beschreven hoe u LDAP-beleid (Lightweight Directory Access Protocol) beheert met behulp van het hulpprogramma Ntdsutil.exe.

              Van toepassing op: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Origineel KB-nummer: 315071

Samenvatting

Om ervoor te zorgen dat domeincontrollers garanties op serviceniveau kunnen ondersteunen, moet u operationele limieten opgeven voor veel LDAP-bewerkingen. Deze limieten voorkomen dat specifieke bewerkingen de prestaties van de server nadelig beïnvloeden. Ze maken de server ook beter bestand tegen bepaalde soorten aanvallen.

LDAP-beleid wordt geïmplementeerd met behulp van objecten van de queryPolicy klasse. Querybeleidsobjecten kunnen worden gemaakt in de container Querybeleid, die een onderliggend element is van de Directory Service-container in de naamgevingscontext van de configuratie. Bijvoorbeeld cn=Query-Policies,cn=Directory Service,cn=Windows NT,cn= Services-naamgevingscontext voor configuratie.

LDAP-beheerlimieten

De LDAP-beheerlimieten zijn:

  • InitRecvTimeout: deze waarde definieert de maximale tijd in seconden die een domeincontroller wacht totdat de client de eerste aanvraag verzendt nadat de domeincontroller een nieuwe verbinding heeft ontvangen. Als de client niet de eerste aanvraag in deze tijd verzendt, verbreekt de server de verbinding met de client.

    Standaardwaarde: 120 seconden

  • MaxActiveQueries: het maximum aantal gelijktijdige LDAP-zoekbewerkingen dat tegelijkertijd op een domeincontroller mag worden uitgevoerd. Wanneer deze limiet is bereikt, retourneert de LDAP-server een bezet-fout .

    Standaardwaarde: 20

    Opmerking

    Dit besturingselement heeft een onjuiste interactie met de waarde MaxPoolThreads. MaxPoolThreads is een besturingselement per processor, terwijl MaxActiveQueries een absoluut getal definieert. Vanaf Windows Server 2003 wordt MaxActiveQueries niet meer afgedwongen. Bovendien wordt MaxActiveQueries niet weergegeven in de Windows Server 2003-versie van NTDSUTIL.

    Standaardwaarde: 20

  • MaxConnections: het maximum aantal gelijktijdige LDAP-verbindingen dat een domeincontroller accepteert. Als er een verbinding binnenkomt nadat de domeincontroller deze limiet heeft bereikt, wordt een andere verbinding door de domeincontroller afgeslagen.

    Standaardwaarde: 5000

  • MaxConnIdleTime: de maximale tijd in seconden dat de client inactief kan zijn voordat de LDAP-server de verbinding sluit. Als een verbinding langer dan deze tijd niet actief is, retourneert de LDAP-server een melding voor ldap-verbinding verbreken.

    Standaardwaarde: 900 seconden

  • MaxDatagramRecv : de maximale grootte van een datagramaanvraag die door een domeincontroller wordt verwerkt. Aanvragen die groter zijn dan de waarde voor MaxDatagramRecv, worden genegeerd.

    Standaardwaarde: 4.096 bytes

  • MaxNotificationPerConnection: het maximum aantal openstaande meldingsaanvragen dat is toegestaan voor één verbinding. Wanneer deze limiet is bereikt, retourneert de server een bezet-fout naar nieuwe zoekopdrachten naar meldingen die worden uitgevoerd op die verbinding.

    Standaardwaarde: 5

  • MaxPageSize: met deze waarde bepaalt u het maximum aantal objecten dat wordt geretourneerd in één zoekresultaat, ongeacht hoe groot elk geretourneerd object is. Als u een zoekopdracht wilt uitvoeren waarbij het resultaat dit aantal objecten kan overschrijden, moet de client het besturingselement zoeken op pagina's opgeven. Het is om de geretourneerde resultaten te groeperen in groepen die niet groter zijn dan de waarde MaxPageSize. Samenvattend bepaalt MaxPageSize het aantal objecten dat wordt geretourneerd in één zoekresultaat.

    Standaardwaarde: 1000

  • MaxPoolThreads: het maximum aantal threads per processor dat een domeincontroller wijdt aan het luisteren naar netwerkinvoer of -uitvoer (I/O). Deze waarde bepaalt ook het maximum aantal threads per processor dat tegelijkertijd aan LDAP-aanvragen kan werken.

    Standaardwaarde: 4 threads per processor

  • MaxResultSetSize: tussen de afzonderlijke zoekopdrachten die deel uitmaken van een zoekopdracht met paginaresultaten, kan de domeincontroller tussenliggende gegevens voor de client opslaan. De domeincontroller slaat deze gegevens op om het volgende deel van het zoeken naar paginaresultaten te versnellen. De waarde MaxResultSize bepaalt de totale hoeveelheid gegevens die de domeincontroller voor dit soort zoekopdrachten opslaat. Wanneer deze limiet is bereikt, verwijdert de domeincontroller de oudste van deze tussenliggende resultaten om ruimte te maken voor het opslaan van nieuwe tussenliggende resultaten.

    Standaardwaarde: 262.144 bytes

  • MaxQueryDuration: de maximale tijd in seconden die een domeincontroller besteedt aan één zoekopdracht. Wanneer deze limiet is bereikt, retourneert de domeincontroller de fout 'timeLimitExceeded'. Zoekopdrachten die meer tijd nodig hebben, moeten het besturingselement voor paginaresultaten opgeven.

    Standaardwaarde: 120 seconden

  • MaxTempTableSize: terwijl een query wordt verwerkt, kan de dblayer proberen een tijdelijke databasetabel te maken om tussenliggende resultaten te sorteren en te selecteren. De limiet maxTempTableSize bepaalt hoe groot deze tijdelijke databasetabel kan zijn. Als de tijdelijke databasetabel meer objecten zou bevatten dan de waarde voor MaxTempTableSize, dblayer wordt een veel minder efficiënte parsering van de volledige DS-database en van alle objecten in de DS-database uitgevoerd.

    Standaardwaarde: 10.000 records

  • MaxValRange: met deze waarde bepaalt u het aantal waarden dat wordt geretourneerd voor een kenmerk van een object, onafhankelijk van het aantal kenmerken in dat object of het aantal objecten in het zoekresultaat. In Windows 2000 is dit besturingselement vastgelegd op 1000. Als een kenmerk meer dan het aantal waarden bevat dat is opgegeven door de waarde MaxValRange, moet u besturingselementen voor waardebereiken in LDAP gebruiken om waarden op te halen die de waarde MaxValRange overschrijden. MaxValueRange bepaalt het aantal waarden dat wordt geretourneerd op één kenmerk op één object.

    • Minimumwaarde: 30
    • Standaardwaarde: 1500

Ntdsutil.exe starten

Ntdsutil.exe bevindt zich in de map Ondersteuningshulpprogramma's op de windows-installatie-cd-rom. Standaard wordt Ntdsutil.exe geïnstalleerd in de map System32.

  1. Klik op Start en vervolgens op Uitvoeren.
  2. Typ ntdsutil in het tekstvak Openen en druk op Enter. Als u op elk gewenst moment hulp wilt weergeven, typt u ? bij de opdrachtprompt.

Huidige beleidsinstellingen weergeven

  1. Typ bij de Ntdsutil.exe opdrachtprompt LDAP policiesen druk op Enter.
  2. Typ bij de opdrachtprompt connectionsLDAP-beleid en druk op Enter.
  3. Typ connect to server <DNS name of server>bij de opdrachtprompt voor de serververbinding en druk op Enter. U wilt verbinding maken met de server waarmee u momenteel werkt.
  4. Typ bij de opdrachtprompt qvan de serververbinding en druk op Enter om terug te keren naar het vorige menu.
  5. Typ bij de opdrachtprompt Show ValuesLDAP-beleid en druk op Enter.

Er wordt een weergave weergegeven van de beleidsregels zoals ze bestaan.

Beleidsinstellingen wijzigen

  1. Typ bij de Ntdsutil.exe opdrachtprompt LDAP policiesen druk op Enter.

  2. Typ bij de opdrachtprompt Set <setting> to <variable>LDAP-beleid en druk op Enter. Typ bijvoorbeeld MaxPoolThreads instellen op 8.

    Deze instelling wordt gewijzigd als u een andere processor aan uw server toevoegt.

  3. U kunt de Show Values opdracht gebruiken om uw wijzigingen te controleren.

    Gebruik Wijzigingen doorvoeren om de wijzigingen op te slaan.

  4. Wanneer u klaar bent, typt qu en drukt u op Enter.

  5. Als u Ntdsutil.exe wilt afsluiten, typt u qbij de opdrachtprompt en drukt u op Enter.

Opmerking

In deze procedure worden alleen de standaardinstellingen voor domeinbeleid weergegeven. Als u uw eigen beleidsinstelling toepast, kunt u deze niet zien.

Vereiste voor opnieuw opstarten

Als u de waarden wijzigt voor het querybeleid dat momenteel door een domeincontroller wordt gebruikt, worden deze wijzigingen van kracht zonder opnieuw op te starten. Als er echter een nieuw querybeleid wordt gemaakt, is opnieuw opstarten vereist om het nieuwe querybeleid van kracht te laten worden.

Overwegingen voor het wijzigen van querywaarden

Om de tolerantie van de domeinserver te behouden, raden we u af om de time-outwaarde van 120 seconden te verhogen. Het maken van efficiëntere query's is een voorkeursoplossing. Zie Efficiëntere Microsoft Active Directory-Enabled-toepassingen maken voor meer informatie over het maken van efficiënte query's.

Als het wijzigen van de query echter geen optie is, verhoogt u de time-outwaarde slechts op één domeincontroller of slechts op één site. Zie de volgende sectie voor instructies. Als de instelling wordt toegepast op één domeincontroller, vermindert u de DNS LDAP-prioriteit op de domeincontroller, zodat clients de server minder waarschijnlijk gebruiken voor verificatie. Gebruik op de domeincontroller met de verhoogde prioriteit de volgende registerinstelling om in te stellen LdapSrvPriority:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Selecteer in het menu Bewerkende optie Waarde toevoegen en voeg vervolgens de volgende registerwaarde toe:

  • Vermeldingsnaam: LdapSrvPriority
  • Gegevenstype: REG_DWORD
  • Waarde: stel de waarde in op de waarde van de gewenste prioriteit.

Zie De locatie optimaliseren van een domeincontroller of globale catalogus die zich buiten de site van een client bevindt voor meer informatie.

Instructies voor het configureren per domeincontroller of per sitebeleid

  1. Maak een nieuw querybeleid onder CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, forest root.

  2. Stel de domeincontroller of site in om naar het nieuwe beleid te verwijzen door de DN-naam van het nieuwe beleid in te voeren in het kenmerk Query-Policy-Object . De locatie van het kenmerk is als volgt:

    • De locatie voor de domeincontroller is CN=NTDS Settings, CN= DomainControllerName, CN=Servers,CN= site name,CN=Sites,CN=Configuration, forest root.

    • De locatie voor de site is CN=NTDS Site-instellingen,CN= sitenaam,CN=Sites,CN=Configuratie, foresthoofdmap.

Voorbeeldscript

U kunt de volgende tekst gebruiken om een Ldifde-bestand te maken. U kunt dit bestand importeren om het beleid te maken met een time-outwaarde van 10 minuten. Kopieer deze tekst naar Ldappolicy.ldf en voer vervolgens de volgende opdracht uit, waarbij foresthoofdmap de DN-naam van uw foresthoofdmap is. Laat DC=X staan. Dit is een constante die wordt vervangen door de foresthoofdnaam wanneer het script wordt uitgevoerd. De constante X geeft geen naam van een domeincontroller aan.

ldifde -i -f ldappolicy.ldf -v -c DC=X DC= forest root

Ldifde-script starten

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X  
changetype: add  
instanceType: 4  
lDAPAdminLimits: MaxReceiveBuffer=10485760  
lDAPAdminLimits: MaxDatagramRecv=1024  
lDAPAdminLimits: MaxPoolThreads=4  
lDAPAdminLimits: MaxResultSetSize=262144  
lDAPAdminLimits: MaxTempTableSize=10000  
lDAPAdminLimits: MaxQueryDuration=300  
lDAPAdminLimits: MaxPageSize=1000  
lDAPAdminLimits: MaxNotificationPerConn=5  
lDAPAdminLimits: MaxActiveQueries=20  
lDAPAdminLimits: MaxConnIdleTime=900  
lDAPAdminLimits: InitRecvTimeout=120  
lDAPAdminLimits: MaxConnections=5000  
objectClass: queryPolicy  
showInAdvancedViewOnly: TRUE

Nadat u het bestand hebt geïmporteerd, kunt u de querywaarden wijzigen met adsiedit.msc of Ldp.exe. De instelling MaxQueryDuration in dit script is 5 minuten.

Als u het beleid wilt koppelen aan een DOMEINCONTROLLER, gebruikt u een LDIF-importbestand als volgt:

dn: CN=NTDS  
Settings,CN=DC1,CN=Servers,CN=site1,CN=Sites,CN=Configuration, DC=X  
changetype: modify  
add: queryPolicyobject  
queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X

Importeer deze met behulp van de volgende opdracht:

ldifde -i -f link-policy-dc.ldf -v -c DC=X DC= **forest root**

Voor een site bevat het LDIF-importbestand het volgende:

dn: CN=NTDS Site Settings,CN=site1,CN=Sites,CN=Configuration, DC=X  
changetype: modify  
add: queryPolicyobject  
queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X

Opmerking

Ntdsutil.exe geeft alleen de waarde in het standaardquerybeleid weer. Als er aangepaste beleidsregels zijn gedefinieerd, worden deze niet weergegeven door Ntdsutil.exe.