Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để xem và chính sách LDAP đặt trong thư mục hoạt động bằng cách sử dụng Ntdsutil.exe

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:315071
TÓM TẮT
Bài viết từng bước này mô tả cách quản lý chính sách Lightweight Directory Access Protocol (LDAP) bằng cách sử dụng các công cụ Ntdsutil.exe. Để đảm bảo rằng bộ điều khiển vùng có thể hỗ trợ cấp dịch vụ bảo lãnh, bạn phải xác định giới hạn hoạt động cho một số hoạt động LDAP. Các giới hạn này ngăn chặn các hoạt động cụ thể từ bất lợi ảnh hưởng đến hiệu suất của máy chủ, và cũng làm cho hệ phục vụ hơn đàn hồi cho một số loại tấn công.

Các chính sách LDAP được thực hiện bằng cách sử dụng các đối tượng lớp queryPolicy. Đối tượng chính sách truy vấn có thể được tạo ra trong các thùng chứa chính sách truy vấn, là con đẻ của bộ dịch vụ thư mục chứa trong bối cảnh đặt tên cấu hình. Ví dụ: cn = truy vấn, chính sách, cn = dịch vụ thư mục, cn = Windows NT, cn = dịch vụ bối cảnh đặt tên cấu hình.

back to the top

Giới hạn quản trị Windows 2000 và Windows Server 2003 LDAP

Giới hạn chính quyền LDAP là:
  • InitRecvTimeout -Giá trị này định nghĩa tối đa thời gian trong giây mà điều khiển vùng chờ đợi cho khách hàng để gửi yêu cầu đầu tiên sau khi bộ điều khiển tên miền sẽ nhận được một kết nối mới. Nếu khách hàng không gửi yêu cầu đầu tiên trong khoảng thời gian, các máy chủ ngắt kết nối khách hàng.

    Mặc định giá trị: 120 giây
  • MaxActiveQueries -Số lượng tối đa của hoạt động tìm kiếm đồng thời LDAP mà được phép chạy đồng thời trên một bộ điều khiển vùng. Khi giới hạn này được đạt tới, hệ phục vụ LDAP trả về một lỗi "bận rộn".

    Mặc định giá trị: 20

    Chú ý Điều khiển này có một sự tương tác không chính xác với các MaxPoolThreads giá trị. MaxPoolThreads một điều khiển trên một bộ xử lý, trong khi MaxActiveQueries xác định một số lượng tuyệt đối. Bắt đầu với Windows Server 2003, MaxActiveQueries không còn áp dụng. Ngoài ra, MaxActiveQueries không xuất hiện trong phiên bản Windows Server 2003 của NTDSUTIL.

    Mặc định giá trị: 20
  • MaxConnections -Số lượng tối đa của các kết nối đồng thời LDAP bộ kiểm soát miền sẽ chấp nhận. Nếu kết nối đến sau khi điều khiển vùng đạt đến giới hạn này, bộ điều khiển vùng giọt kết nối khác.

    Mặc định giá trị: 5000
  • MaxConnIdleTime -Tối đa thời gian trong giây mà khách hàng có thể được nhàn rỗi trước khi hệ phục vụ LDAP đóng kết nối. Nếu kết nối rỗi trong nhiều hơn thời gian này, máy chủ LDAP trả về một LDAP ngắt kết nối thông báo.

    Mặc định giá trị: 900 giây
  • MaxDatagramRecv -Kích thước tối đa của một yêu cầu datagram bộ kiểm soát miền sẽ xử lý. Yêu cầu là lớn hơn so với giá trị cho MaxDatagramRecv đang bị bỏ qua.

    Giá trị mặc định:
    • Windows 2000-1.024 byte
    • Windows Server 2003 - 4,096 byte
  • MaxNotificationPerConnection -Tối đa số các yêu cầu thông báo nổi bật được phép trên một kết nối duy nhất. Khi giới hạn này được đạt tới hệ phục vụ trả về một lỗi "bận rộn" cho bất cứ tìm kiếm thông báo mới được thực hiện ngày mà kết nối.

    Mặc định giá trị: 5
  • MaxPageSize -Giá trị này kiểm soát số lượng các đối tượng đó được trả về trong kết quả tìm kiếm duy nhất, độc lập với lớn như thế nào mỗi trở về đối tượng là tối đa. Để thực hiện một tìm kiếm nơi mà kết quả có thể vượt quá con số này của các đối tượng, khách hàng phải chỉ định kiểm soát paged tìm kiếm. Đây là nhóm các kết quả trả về trong các nhóm là không lớn hơn các MaxPageSize giá trị. Để tóm tắt, MaxPageSize kiểm soát số lượng các đối tượng đó được trả về trong kết quả tìm kiếm duy nhất.

    Mặc định giá trị: 1,000
  • MaxPoolThreads -Số tối đa threads cho mỗi-processor mà điều khiển vùng dành để lắng nghe cho mạng đầu vào hoặc đầu ra (I/O). Giá trị này cũng xác định số lượng tối đa của chủ đề cho mỗi-processor có thể làm việc trên LDAP yêu cầu cùng một lúc.

    Mặc định giá trị: 4 chủ đề trên một bộ xử lý
  • MaxResultSetSize -Giữa các tìm kiếm cá nhân tạo nên một tìm kiếm kết quả paged, bộ điều khiển vùng có thể lưu trữ dữ liệu trung gian cho khách hàng. Điều khiển vùng lưu trữ dữ liệu này để tăng tốc độ phần tiếp theo của paged kết quả tìm kiếm. Các MaxResultSize giá trị kiểm soát tổng số lượng dữ liệu mà điều khiển vùng các cửa hàng cho loại tìm kiếm. Khi giới hạn này được đạt tới, bộ điều khiển vùng loại bỏ lâu đời nhất của các kết quả trung gian để nhường chỗ để lưu trữ các kết quả trung gian mới.

    Mặc định giá trị: 262.144 byte
  • MaxQueryDuration -Tối đa thời gian trong giây mà điều khiển vùng sẽ chi tiêu trên một tìm kiếm duy nhất. Khi giới hạn này được đạt tới, bộ điều khiển tên miền trả về một lỗi "timeLimitExceeded". Tìm kiếm đòi hỏi nhiều thời gian phải chỉ định kiểm soát paged kết quả.

    Mặc định giá trị: 120 giây
  • MaxTempTableSize -Trong khi một truy vấn được xử lý, dblayer có thể cố gắng tạo ra một bảng cơ sở dữ liệu tạm thời để sắp xếp và chọn trung gian kết quả từ. Các MaxTempTableSize giới hạn kiểm soát như thế nào lớn bảng tạm thời cơ sở dữ liệu này có thể. Nếu bảng cơ sở dữ liệu tạm thời sẽ chứa các đối tượng nhiều hơn giá trị cho MaxTempTableSize, dblayer thực hiện một ít hiệu quả phân tích cú pháp của cơ sở dữ liệu DS hoàn chỉnh và của tất cả các đối tượng trong cơ sở dữ liệu DS.

    Mặc định giá trị: 10.000 hồ sơ
  • MaxValRange -Này kiểm soát giá trị số của các giá trị được trả về cho một thuộc tính của một đối tượng, độc lập với bao nhiêu người thuộc tính đối tượng có, hoặc bao nhiêu đối tượng đã trong kết quả tìm kiếm. Trong Windows 2000, điều khiển là "khó khăn" mã hoá tại 1.000. Nếu một thuộc tính đã nhiều hơn số lượng các giá trị được quy định bởi các MaxValRange giá trị, bạn phải sử dụng giá trị phạm vi điều khiển trong LDAP để lấy giá trị vượt quá các MaxValRange giá trị. MaxValueRange kiểm soát số lượng các giá trị trả lại trên một thuộc tính duy nhất trên một đối tượng duy nhất.

    Giá trị mặc định:
    • Windows 2000-1.024
    • Windows Server 2003-1.500
back to the top

Bắt đầu từ Ntdsutil.exe


Ntdsutil.exe được đặt trong cặp công cụ hỗ trợ về cài đặt Windows 2000 đĩa CD-ROM.Theo mặc định, Ntdsutil.exe được cài đặt trong thư mục System32.
  1. Nhấp vào Bắt đầu, sau đó bấm Chạy.
  2. Trong các Mở hộp văn bản, loại ntdsutil, sau đó nhấn ENTER. Xem trợ giúp bất cứ lúc nào, gõ ? tại dấu nhắc lệnh.
back to the top

Xem thiết đặt chính sách hiện thời

  1. Tại dấu nhắc lệnh Ntdsutil.exe, gõ Các chính sách LDAP, sau đó nhấn ENTER.
  2. Tại dấu nhắc lệnh chính sách của LDAP, gõ các kết nối, sau đó nhấn ENTER.
  3. Tại dấu nhắc lệnh kết nối của máy chủ, gõ kết nối tới hệ phục vụ Tên DNS của máy chủ, sau đó nhấn ENTER. Bạn muốn kết nối tới hệ phục vụ mà bạn đang hiện đang làm việc với.
  4. Tại dấu nhắc lệnh kết nối của máy chủ, gõ q, sau đó nhấn ENTER ñeå trôû veà menu tröôùc.
  5. Tại dấu nhắc lệnh chính sách của LDAP, gõ Hiển thị các giá trị, sau đó nhấn ENTER.

    Một màn hình của các chính sách như họ tồn tại xuất hiện.
back to the top

Việc sửa đổi thiết đặt chính sách

  1. Tại dấu nhắc lệnh Ntdsutil.exe, gõ Các chính sách LDAP, sau đó nhấn ENTER.
  2. Tại dấu nhắc lệnh chính sách của LDAP, gõ Thiết lập thiết lập để biến, sau đó nhấn ENTER. Ví dụ, gõ Đặt MaxPoolThreads 8.

    Thiết đặt này sẽ thay đổi nếu bạn thêm một bộ xử lý máy chủ của bạn.
  3. Bạn có thể sử dụng các Hiển thị các giá trị lệnh để xác nhận thay đổi của bạn.

    Lưu các thay đổi, sử dụng Cam kết thay đổi.
  4. Khi bạn hoàn tất, gõ q, sau đó nhấn ENTER.
  5. Để thoát khỏi Ntdsutil.exe, tại dấu nhắc lệnh, gõq, sau đó nhấn ENTER.
Chú ý Thủ tục này chỉ cho thấy các thiết lập mặc định chính sách tên miền. Nếu bạn áp dụng thiết đặt chính sách riêng của bạn, bạn không thể nhìn thấy nó...

back to the top

Khởi động lại yêu cầu

Nếu bạn thay đổi các giá trị cho các chính sách truy vấn mà điều khiển vùng đang sử dụng, những thay đổi có hiệu lực mà không cần khởi động lại. Tuy nhiên, nếu một chính sách truy vấn mới được tạo ra, một khởi động lại được yêu cầu cho các chính sách truy vấn mới có hiệu lực.

back to the top

Xem xét cho thay đổi giá trị truy vấn

Để duy trì tên miền máy chủ resiliency, chúng tôi không khuyên bạn làm tăng giá trị timeout 120 giây. Hình thành truy vấn hiệu quả hơn là một giải pháp ưa thích. Để biết thêm chi tiết về việc tạo ra hiệu quả truy vấn, ghé thăm Web site sau của Microsoft:Tuy nhiên, nếu việc thay đổi các truy vấn không phải là một lựa chọn, tăng giá trị timeout chỉ trên một bộ điều khiển vùng hoặc chỉ trên một trang web. Để được hướng dẫn, xem phần kế tiếp. Nếu thiết đặt được áp dụng để điều khiển một vùng, làm giảm ưu tiên DNS LDAP trên bộ điều khiển tên miền để các khách hàng là ít có khả năng sử dụng hệ phục vụ cho xác thực. Trên bộ điều khiển tên miền với ưu tiên tăng, sử dụng thiết đặt đăng ký sau đây để đặt LdapSrvPriority:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Trên các Chỉnh sửa trình đơn, nhấp vào Thêm giá trị, và sau đó thêm giá trị đăng ký sau đây:
Tên mục: LdapSrvPriority
Kiểu dữ liệu: REG_DWORD
Giá trị: Thiết lập giá trị giá trị ưu tiên mà bạn muốn.
Để biết thêm thông tin, bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
306602Làm thế nào để tối ưu hóa vị trí của một điều khiển vùng hoặc danh mục toàn cầu mà nằm bên ngoài của một khách hàng trang web

Hướng dẫn cấu hình trên một bộ điều khiển vùng hoặc trên một trang web chính sách

  1. Tạo ra một chính sách truy vấn mới dưới:
    CN = truy vấn, chính sách, CN = dịch vụ thư mục, CN = Windows NT, CN = dịch vụ, CN = cấu hình,rừng gốc
  2. Thiết lập bộ điều khiển tên miền hoặc trang web để trỏ đến các chính sách mới bằng cách nhập tên phân biệt của chính sách mới trong các thuộc tính "Truy vấn-chính sách-đối tượng". Vị trí của các thuộc tính là một sau:
    Vị trí cho bộ điều khiển vùng này là:
    CN = NTDS cài đặt, CN =DomainControllerNameCN = máy chủ, CN =Tên trang webCN = các trang web, CN = cấu hình,rừng gốc
    Vị trí cho các trang web này là:
    CN = thiết lập trang web NTDS, CN =Tên trang webCN = các trang web, CN = cấu hình,rừng gốc

Kịch bản mẫu

Bạn có thể sử dụng văn bản sau đây để tạo một tập tin Ldifde. Bạn có thể chuyển nhập tệp này để tạo ra các chính sách với một giá trị thời gian chờ của 10 phút. Sao chép văn bản này để Ldappolicy.ldf, và sau đó chạy lệnh sau đây, nơi rừng gốc là tên phân biệt của rừng gốc của bạn. Để lại DC = X như-là. Đây là một hằng số sẽ được thay thế bằng tên gốc rừng khi kịch bản chạy. Liên tục x không chỉ ra một tên bộ điều khiển tên miền.
ldifde -i -f ldappolicy.ldf - v - c DC = X DC =rừng gốc

Bắt đầu Kịch bản Ldifde

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Xchangetype: addinstanceType: 4lDAPAdminLimits: MaxReceiveBuffer=10485760lDAPAdminLimits: MaxDatagramRecv=1024lDAPAdminLimits: MaxPoolThreads=4lDAPAdminLimits: MaxResultSetSize=262144lDAPAdminLimits: MaxTempTableSize=10000lDAPAdminLimits: MaxQueryDuration=300lDAPAdminLimits: MaxPageSize=1000lDAPAdminLimits: MaxNotificationPerConn=5lDAPAdminLimits: MaxActiveQueries=20lDAPAdminLimits: MaxConnIdleTime=900lDAPAdminLimits: InitRecvTimeout=120lDAPAdminLimits: MaxConnections=5000objectClass: queryPolicyshowInAdvancedViewOnly: TRUE
Sau khi bạn chuyển nhập tệp, bạn có thể thay đổi các giá trị truy vấn bằng cách sử dụng Adsiedit.msc hoặc Ldp.exe. Thiết lập MaxQueryDuration trong kịch bản này là 5 phút.

Chú ý Ntdsutil.exe chỉ hiển thị các giá trị trong chính sách mặc định truy vấn. Nếu bất kỳ chính sách tùy chỉnh được định nghĩa, họ không được hiển thị bởi Ntdsutil.exe.
THAM KHẢO
243267 Làm thế nào để tự động hoá Ntdsutil.exe bằng cách sử dụng một kịch bản
back to the top

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 315071 - Xem lại Lần cuối: 08/27/2011 20:47:00 - Bản sửa đổi: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)

  • kbhowtomaster kbmt KB315071 KbMtvi
Phản hồi
ipt> html>