Ntdsutil.exe kullanarak Active Directory'de LDAP ilkesini görüntüleme ve ayarlama

  • Makale

Bu makalede, Ntdsutil.exe aracını kullanarak Basit Dizin Erişim Protokolü (LDAP) ilkelerinin nasıl yönetileceğini açıklar.

Şunlar için geçerlidir: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Özgün KB numarası: 315071

Özet

Etki alanı denetleyicilerinin hizmet düzeyi garantilerini destekleyemelerini sağlamak için birçok LDAP işlemi için işlem sınırları belirtmeniz gerekir. Bu sınırlar belirli işlemlerin sunucunun performansını olumsuz etkilemesini engeller. Ayrıca sunucuyu bazı saldırı türlerine karşı daha dayanıklı hale getirir.

LDAP ilkeleri, sınıfının nesneleri queryPolicy kullanılarak uygulanır. Sorgu İlkesi nesneleri, yapılandırma adlandırma bağlamında Dizin Hizmeti kapsayıcısının alt öğesi olan Sorgu İlkeleri kapsayıcısında oluşturulabilir. Örneğin, cn=Query-Policies,cn=Directory Service,cn=Windows NT,cn=Services yapılandırma adlandırma bağlamı.

LDAP yönetim sınırları

LDAP yönetim sınırları şunlardır:

  • InitRecvTimeout - Bu değer, etki alanı denetleyicisi yeni bir bağlantı aldıktan sonra istemcinin ilk isteği göndermesini beklediği en uzun süreyi saniye cinsinden tanımlar. İstemci ilk isteği bu süre içinde göndermezse, sunucu istemcinin bağlantısını keser.

    Varsayılan değer: 120 saniye

  • MaxActiveQueries - Etki alanı denetleyicisinde aynı anda çalıştırılmasına izin verilen en fazla eşzamanlı LDAP arama işlemi sayısıdır. Bu sınıra ulaşıldığında LDAP sunucusu meşgul hatası döndürür.

    Varsayılan değer: 20

    Not

    Bu denetim MaxPoolThreads değeriyle yanlış bir etkileşime sahip. MaxPoolThreads bir işlemci başına denetimdir, MaxActiveQueries ise mutlak bir sayı tanımlar. Windows Server 2003'den itibaren MaxActiveQueries artık zorunlu tutulmaz. Ayrıca, MaxActiveQueries NTDSUTIL'in Windows Server 2003 sürümünde görünmez.

    Varsayılan değer: 20

  • MaxConnections - Etki alanı denetleyicisinin kabul edeceği en fazla eşzamanlı LDAP bağlantısı sayısıdır. Etki alanı denetleyicisi bu sınıra ulaştıktan sonra bir bağlantı gelirse, etki alanı denetleyicisi başka bir bağlantı bırakır.

    Varsayılan değer: 5000

  • MaxConnIdleTime - LDAP sunucusu bağlantıyı kapatmadan önce istemcinin boşta kalma süresi (saniye olarak) üst sınırıdır. Bir bağlantı bu saatten daha uzun bir süre boşta kalırsa, LDAP sunucusu bir LDAP bağlantı kesme bildirimi döndürür.

    Varsayılan değer: 900 saniye

  • MaxDatagramRecv - Bir etki alanı denetleyicisinin işleyecekleri veri birimi isteğinin en büyük boyutu. MaxDatagramRecv değerinden büyük istekler yoksayılır.

    Varsayılan değer: 4.096 bayt

  • MaxNotificationPerConnection - Tek bir bağlantıda izin verilen en fazla bekleyen bildirim isteği sayısı. Bu sınıra ulaşıldığında, sunucu bu bağlantıda gerçekleştirilen yeni bildirim aramalarına meşgul hatası döndürür.

    Varsayılan değer: 5

  • MaxPageSize - Bu değer, döndürülen her nesnenin ne kadar büyük olduğundan bağımsız olarak, tek bir arama sonucunda döndürülen en fazla nesne sayısını denetler. Sonucun bu sayıda nesneyi aşabileceği bir arama gerçekleştirmek için istemcinin sayfalanmış arama denetimini belirtmesi gerekir. Döndürülen sonuçları MaxPageSize değerinden büyük olmayan gruplarda gruplandırmaktır. Özetlemek gerekirse, MaxPageSize tek bir arama sonucunda döndürülen nesne sayısını denetler.

    Varsayılan değer: 1.000

  • MaxPoolThreads - Bir etki alanı denetleyicisinin ağ girişini veya çıkışını (G/Ç) dinlemeye ayıracak işlemci başına iş parçacığı sayısı üst sınırı. Bu değer, aynı anda LDAP isteklerinde çalışabilecek işlemci başına en fazla iş parçacığı sayısını da belirler.

    Varsayılan değer: İşlemci başına 4 iş parçacığı

  • MaxResultSetSize - Sayfalanmış sonuç aramasını oluşturan tek tek aramalar arasında, etki alanı denetleyicisi istemci için ara verileri depolar. Etki alanı denetleyicisi, sayfalanan sonuç aramasının bir sonraki bölümünü hızlandırmak için bu verileri depolar. MaxResultSize değeri, etki alanı denetleyicisinin bu tür bir arama için depolayan toplam veri miktarını denetler. Bu sınıra ulaşıldığında, etki alanı denetleyicisi yeni ara sonuçları depolamaya yer açmak için bu ara sonuçların en eskisini atar.

    Varsayılan değer: 262.144 bayt

  • MaxQueryDuration - Bir etki alanı denetleyicisinin tek bir arama için harcayacağı saniye cinsinden en uzun süre. Bu sınıra ulaşıldığında, etki alanı denetleyicisi "timeLimitExceeded" hatası döndürür. Daha fazla zaman gerektiren aramalar, sayfalanmış sonuçlar denetimini belirtmelidir.

    Varsayılan değer: 120 saniye

  • MaxTempTableSize - Sorgu işlenirken, dblayer ara sonuçları sıralamak ve seçmek için geçici bir veritabanı tablosu oluşturmaya çalışabilir. MaxTempTableSize sınırı, bu geçici veritabanı tablosunun ne kadar büyük olabileceğini denetler. Geçici veritabanı tablosu MaxTempTableSize değerinden daha fazla nesne içeriyorsa, dblayer tam DS veritabanının ve DS veritabanındaki tüm nesnelerin çok daha az verimli ayrıştırılması gerçekleştirir.

    Varsayılan değer: 10.000 kayıt

  • MaxValRange - Bu değer, nesnenin özniteliği için döndürülen değerlerin sayısını, nesnenin kaç özniteliği olduğundan veya arama sonucunda kaç nesne bulunduğundan bağımsız olarak denetler. Windows 2000'de bu denetim 1.000'de sabit kodlanmıştır. Bir özniteliğin MaxValRange değeri tarafından belirtilen değer sayısından daha fazla değeri varsa, MaxValRange değerini aşan değerleri almak için LDAP'de değer aralığı denetimlerini kullanmanız gerekir. MaxValueRange, tek bir nesnedeki tek bir öznitelikte döndürülen değerlerin sayısını denetler.

    • En Düşük Değer: 30
    • Varsayılan değer: 1500

Başlangıç Ntdsutil.exe

Ntdsutil.exe, Windows yükleme CD-ROM'unun Destek araçları klasöründe bulunur. Varsayılan olarak, Ntdsutil.exe System32 klasörüne yüklenir.

  1. Başlat'a ve ardından Çalıştır'a tıklayın.
  2. metin kutusuna ntdsutil yazın ve ENTER tuşuna basın. İstediğiniz zaman yardımı görüntülemek için komut istemine yazın ? .

Geçerli ilke ayarlarını görüntüleme

  1. Ntdsutil.exe komut isteminde yazın LDAP policiesve ENTER tuşuna basın.
  2. LDAP ilkesi komut isteminde yazın connectionsve ENTER tuşuna basın.
  3. Sunucu bağlantısı komut isteminde yazın connect to server <DNS name of server>ve ENTER tuşuna basın. Çalışmakta olduğunuz sunucuya bağlanmak istiyorsunuz.
  4. Sunucu bağlantısı komut isteminde yazın qve enter tuşuna basarak önceki menüye dönün.
  5. LDAP ilkesi komut isteminde yazın Show Valuesve ENTER tuşuna basın.

İlkelerin varolarak bir görüntüsü görüntülenir.

İlke ayarlarını değiştirme

  1. Ntdsutil.exe komut isteminde yazın LDAP policiesve ENTER tuşuna basın.

  2. LDAP ilkesi komut isteminde yazın Set <setting> to <variable>ve ENTER tuşuna basın. Örneğin, MaxPoolThreads değerini 8 olarak ayarlayın.

    Sunucunuza başka bir işlemci eklerseniz bu ayar değişir.

  3. Değişikliklerinizi doğrulamak için komutunu kullanabilirsiniz Show Values .

    Değişiklikleri kaydetmek için Değişiklikleri İşleme'yi kullanın.

  4. bitirdiğinizde yazın qve ENTER tuşuna basın.

  5. Ntdsutil.exe çıkmak için komut istemine yazın qve ENTER tuşuna basın.

Not

Bu yordam yalnızca Varsayılan Etki Alanı İlkesi ayarlarını gösterir. Kendi ilke ayarınızı uygularsanız, bunu göremezsiniz.

Yeniden başlatma gereksinimi

Bir etki alanı denetleyicisinin şu anda kullandığı sorgu ilkesinin değerlerini değiştirirseniz, bu değişiklikler yeniden başlatma olmadan geçerlilik kazanır. Ancak, yeni bir sorgu ilkesi oluşturulursa, yeni sorgu ilkesinin etkili olması için yeniden başlatma gerekir.

Sorgu değerlerini değiştirmeyle ilgili dikkat edilmesi gerekenler

Etki alanı sunucusu dayanıklılığını korumak için zaman aşımı değerini 120 saniye artırmanızı önermeyiz. Daha verimli sorgular oluşturmak tercih edilen bir çözümdür. Verimli sorgular oluşturma hakkında daha fazla bilgi için bkz. Daha Verimli Microsoft Etkin Directory-Enabled Uygulamaları Oluşturma.

Ancak, sorguyu değiştirmek bir seçenek değilse, zaman aşımı değerini yalnızca bir etki alanı denetleyicisinde veya yalnızca bir sitede artırın. Yönergeler için sonraki bölüme bakın. Ayar bir etki alanı denetleyicisine uygulandıysa, istemcilerin sunucuyu kimlik doğrulaması için kullanma olasılığının daha düşük olması için etki alanı denetleyicisinde DNS LDAP önceliğini azaltın. Artırma önceliğine sahip etki alanı denetleyicisinde, ayarlamak LdapSrvPriorityiçin aşağıdaki kayıt defteri ayarını kullanın:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Düzenle menüsünde Değer Ekle'yi seçin ve ardından aşağıdaki kayıt defteri değerini ekleyin:

  • Giriş adı: LdapSrvPriority
  • Veri türü: REG_DWORD
  • Değer: Değeri istediğiniz önceliğin değerine ayarlayın.

Daha fazla bilgi için bkz. İstemcinin sitesinin dışında bulunan bir etki alanı denetleyicisinin veya genel kataloğun konumunu iyileştirme.

Etki alanı denetleyicisi veya site ilkesi başına yapılandırma yönergeleri

  1. CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, orman kökü altında yeni bir sorgu ilkesi oluşturun.

  2. Query-Policy-Object özniteliğine yeni ilkenin ayırt edici adını girerek etki alanı denetleyicisini veya siteyi yeni ilkeye işaret etmek üzere ayarlayın. Özniteliğin konumu aşağıdaki gibidir:

    • Etki alanı denetleyicisinin konumu CN=NTDS Ayarları, CN= DomainControllerName, CN=Servers,CN= site adı,CN=Siteler,CN=Yapılandırma, orman köküdür.

    • Sitenin konumu CN=NTDS Site Ayarları,CN= site adı,CN=Siteler,CN=Yapılandırma, orman köküdür.

Örnek betik

Ldifde dosyası oluşturmak için aşağıdaki metni kullanabilirsiniz. İlkeyi 10 dakikalık bir zaman aşımı değeriyle oluşturmak için bu dosyayı içeri aktarabilirsiniz. Bu metni Ldappolicy.ldf'ye kopyalayın ve aşağıdaki komutu çalıştırın; burada orman kökü, orman kökünüzün ayırt edici adıdır. DC=X'i olduğu gibi bırakın. Bu, betik çalıştırıldığında orman kök adıyla değiştirilecek bir sabittir. X sabiti bir etki alanı denetleyicisi adını göstermez.

ldifde -i -f ldappolicy.ldf -v -c DC=X DC= forest root

Ldifde betiğini başlatma

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X  
changetype: add  
instanceType: 4  
lDAPAdminLimits: MaxReceiveBuffer=10485760  
lDAPAdminLimits: MaxDatagramRecv=1024  
lDAPAdminLimits: MaxPoolThreads=4  
lDAPAdminLimits: MaxResultSetSize=262144  
lDAPAdminLimits: MaxTempTableSize=10000  
lDAPAdminLimits: MaxQueryDuration=300  
lDAPAdminLimits: MaxPageSize=1000  
lDAPAdminLimits: MaxNotificationPerConn=5  
lDAPAdminLimits: MaxActiveQueries=20  
lDAPAdminLimits: MaxConnIdleTime=900  
lDAPAdminLimits: InitRecvTimeout=120  
lDAPAdminLimits: MaxConnections=5000  
objectClass: queryPolicy  
showInAdvancedViewOnly: TRUE

Dosyayı içeri aktardıktan sonra Adsiedit.msc veya Ldp.exe kullanarak sorgu değerlerini değiştirebilirsiniz. Bu betikteki MaxQueryDuration ayarı 5 dakikadır.

İlkeyi DC'ye bağlamak için aşağıdaki gibi bir LDIF içeri aktarma dosyası kullanın:

dn: CN=NTDS  
Settings,CN=DC1,CN=Servers,CN=site1,CN=Sites,CN=Configuration, DC=X  
changetype: modify  
add: queryPolicyobject  
queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X

Aşağıdaki komutu kullanarak içeri aktarın:

ldifde -i -f link-policy-dc.ldf -v -c DC=X DC= **forest root**

Bir site için LDIF içeri aktarma dosyası şunları içerebilir:

dn: CN=NTDS Site Settings,CN=site1,CN=Sites,CN=Configuration, DC=X  
changetype: modify  
add: queryPolicyobject  
queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X

Not

Ntdsutil.exe değeri yalnızca varsayılan sorgu ilkesinde görüntüler. Herhangi bir özel ilke tanımlanırsa, bunlar Ntdsutil.exe tarafından görüntülenmez.