如何查看和使用 Ntdsutil.exe 活动目录(AD) 中设置 LDAP 策略

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 315071
概要
本分步指南介绍如何通过使用 Ntdsutil.exe 工具管理轻型目录访问协议 (LDAP) 策略。要确保域控制器可以支持服务等级保证,您必须指定多个 LDAP 操作的操作限制。这些限制可防止特定操作对服务器的性能产生不利影响,并使服务器更具弹性对某些类型的攻击。

使用 queryPolicy 类的对象实现 LDAP 策略。可以在查询策略容器是配置命名上下文中的目录服务容器的子节点中创建查询策略对象。例如: cn = 查询策略,cn = 目录服务,cn = Windows NT,cn = 服务 配置命名上下文.

back to the top

Windows 2000 和 Windows 服务器 2003 LDAP 管理限制

LDAP 管理限制为:
  • InitRecvTimeout -此值以秒为单位的等待客户端发送第一个请求之后的域控制器收到一个新的连接的域控制器中定义的最长时间。如果在此时间内客户端不发送第一个请求,服务器将断开客户端。

    默认值: 120 秒
  • MaxActiveQueries 的允许在同一时间运行在域控制器上的并发 LDAP 搜索操作最大数目。当达到此限制时,LDAP 服务器将返回一个"忙"错误。

    默认值: 20

    注意: 此控件具有与正确交互 MaxPoolThreads 值。 MaxPoolThreads 是每个处理器的控件,而 MaxActiveQueries 定义是绝对数量。Windows Server 2003 中,从开始 MaxActiveQueries 不能再强制执行。此外, MaxActiveQueries NTDSUTIL 的 Windows Server 2003 版本中不显示。

    默认值: 20
  • MaxConnections 的同时将接受域控制器的 LDAP 连接最大数目。如果连接的域控制器达到此限制后,域控制器中删除另一个连接。

    默认值: 5000
  • MaxConnIdleTime 的以秒为单位的 LDAP 服务器关闭连接前,客户端可以处于空闲状态最长时间。如果连接处于闲置超过此时间,LDAP 服务器返回 LDAP 拔下通知。

    默认值: 900 秒
  • MaxDatagramRecv 的域控制器将处理的数据报请求最大大小。请求的值大于 MaxDatagramRecv 将被忽略。

    默认值:
    • Windows 2000-1024 字节
    • Windows Server 2003 4096 字节
  • MaxNotificationPerConnection 的允许在单个连接的未完成通知请求最大数量。当达到此限制时服务器返回到该连接执行任何新通知搜索"忙"错误。

    默认值: 5
  • MaxPageSize -此值控制的最大独立的每个返回的对象的大小对单个搜索结果中返回的对象数。要执行的搜索的结果可能超过此数目的对象,客户端必须指定分页的搜索控件。这是在不大于的组中返回的结果进行分组 MaxPageSize 值。总之, MaxPageSize 控制单个搜索结果中返回的对象的数目。

    默认值: 1000
  • MaxPoolThreads 的线程每处理器,域控制器将专用于侦听网络输入或输出 (I/O) 最大数目。此值还确定线程每处理器发出 LDAP 请求一次可以处理的最大数目。

    默认值: 4 线程每处理器
  • MaxResultSetSize -之间构成一个分页的结果搜索各个搜索,域控制器可能存储客户端的中间数据。域控制器存储此数据以加快分页的结果搜索的下一部分。" MaxResultSize 值控制这种类型的搜索的域控制器存储的数据的总量。当达到此限制时,域控制器将丢弃这些中间结果,以便腾出空间来存储新的中间结果的最早。

    默认值: 创建到 262144 个字节
  • MaxQueryDuration 的以秒为单位,域控制器将花上一个搜索最长时间。当达到此限制时,域控制器将返回一个"timeLimitExceeded"错误。需要更多时间的搜索必须指定分页的结果控件。

    默认值: 120 秒
  • MaxTempTableSize -同时处理一个查询时,dblayer 可能会创建一个临时数据库表以进行排序和筛选的中间结果。" MaxTempTableSize 限制控制此临时数据库表可能会多大。如果临时数据库表都将包含更多比的值的对象 MaxTempTableSizedblayer 执行效率显著降低分析和 DS 数据库中所有对象的完整的 DS 数据库。

    默认值: 10000 条记录
  • MaxValRange -此值控制独立于多少属性的对象的对象的属性返回的值的数目,或多少个对象的搜索结果中。在 Windows 2000 中,此控件才"硬"编码 1000 处。如果属性具有多个值所指定的数目 MaxValRange 值,您必须使用值范围控制在 LDAP 中检索值超过 MaxValRange 值。 MaxValueRange 控制对单个对象的单个属性返回的值的数目。

    默认值:
    • Windows 2000 1024
    • Windows Server 2003 1500
back to the top

开始 Ntdsutil.exe


Ntdsutil.exe 位于 Windows 2000 安装光盘上的支持工具文件夹中。默认情况下,Ntdsutil.exe System32 文件夹中安装。
  1. 单击开始,然后单击运行
  2. 打开文本框中,键入 ntdsutil然后按 enter 键。若要查看在任何时候的帮助,请键入 ? 在命令提示符下。
back to the top

查看当前的策略设置

  1. 在 Ntdsutil.exe 命令提示符下,键入 LDAP 策略然后按 enter 键。
  2. 在 LDAP 策略命令提示符下,键入 连接然后按 enter 键。
  3. 在服务器连接命令提示符下,键入 连接到服务器的 DNS 名称服务器然后按 enter 键。您想要连接到服务器,您当前正在处理。
  4. 在服务器连接命令提示符下,键入 问:然后按 enter 键以返回到上一个菜单。
  5. 在 LDAP 策略命令提示符下,键入 显示值然后按 enter 键。

    因为它们存在显示策略。
back to the top

修改策略设置

  1. 在 Ntdsutil.exe 命令提示符下,键入 LDAP 策略然后按 enter 键。
  2. 在 LDAP 策略命令提示符下,键入 设置变量然后按 enter 键。例如,键入 将 MaxPoolThreads 设置为 8.

    向服务器添加另一个处理器,则此设置将更改。
  3. 可以使用显示值命令来验证您的更改。

    若要保存所做的更改,使用提交更改
  4. 完成后,键入 问:然后按 enter 键。
  5. 若要退出 Ntdsutil.exe,在命令提示符下,键入问:然后按 enter 键。
注意:该过程只显示默认域策略设置。应用您自己的策略设置,如果您不能看到它...

back to the top

重新启动要求

如果要更改的查询策略的域控制器当前使用的值,这些更改将会在不重新引导的情况下生效。但是,如果创建新的查询策略,则重新启动,新的查询策略,以使其生效。

back to the top

更改查询的值时的注意事项

为了维护域服务器恢复能力,我们不建议您提高 120 秒的超时值。建立更高效的查询是首选的解决方案。有关创建高效的查询的详细信息,请访问下面的 Microsoft 网站:但是,如果更改查询不是一个选项,则增加超时值只能在一台域控制器上或只在一个站点上。有关说明,请参阅下一节。如果该设置应用于一个域控制器时,减少域控制器上的 DNS LDAP 优先级,以便客户端将更少可能使用服务器进行身份验证。在域控制器上具有增加优先级,使用下面的注册表设置来设置 LdapSrvPriority:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
编辑菜单上,单击添加数值,然后添加以下注册表值:
项目名称: LdapSrvPriority
数据类型: REG_DWORD
值: 将值设置为所需的优先级的值。
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
306602 如何优化域控制器或全局编录驻留在客户端站点之外的位置

配置每个域控制器或每个站点策略的说明

  1. 创建新的查询策略下:
    CN = 查询策略,CN = 目录服务,CN = Windows NT,CN = 服务,CN = 配置,林根
  2. 域控制器或站点,通过"查询策略对象"属性中输入新策略的可分辨的名称指向新的策略设置。特性的位置为按如下所示:
    域控制器的位置是:
    CN = NTDS 设置,CN =DomainControllerNameCN = 服务器,CN =网站名称CN = 站点,CN = 配置,林根
    站点的位置是:
    CN = NTDS 站点设置,CN =网站名称CN = 站点,CN = 配置,林根

示例脚本

可以使用下面的文本来创建 Ldifde 文件。您可以导入此文件以创建策略使用超时值为 10 分钟。将该文本复制到 Ldappolicy.ldf,,然后运行以下命令,其中 林根 是林根的可分辨的名称。将 DC = X 作为-是。这是在脚本运行时将被林根名称的常量。该常量 X 并不表示的域控制器的名称。
ldifde-i-f ldappolicy.ldf-v-c DC = X DC =林根

开始 Ldifde 脚本

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Xchangetype: addinstanceType: 4lDAPAdminLimits: MaxReceiveBuffer=10485760lDAPAdminLimits: MaxDatagramRecv=1024lDAPAdminLimits: MaxPoolThreads=4lDAPAdminLimits: MaxResultSetSize=262144lDAPAdminLimits: MaxTempTableSize=10000lDAPAdminLimits: MaxQueryDuration=300lDAPAdminLimits: MaxPageSize=1000lDAPAdminLimits: MaxNotificationPerConn=5lDAPAdminLimits: MaxActiveQueries=20lDAPAdminLimits: MaxConnIdleTime=900lDAPAdminLimits: InitRecvTimeout=120lDAPAdminLimits: MaxConnections=5000objectClass: queryPolicyshowInAdvancedViewOnly: TRUE
导入文件后,您可以通过使用 Adsiedit.msc 或 Ldp.exe 更改查询值。在此脚本中的 MaxQueryDuration 设置为 5 分钟。

注意:Ntdsutil.exe 仅默认查询策略中显示的值。如果定义了任何自定义的策略,被不显示 Ntdsutil.exe。
参考
243267 如何自动 Ntdsutil.exe 使用脚本
back to the top

属性

文章 ID:315071 - 上次审阅时间:02/09/2016 05:16:00 - 修订版本: 9.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition

  • kbhowtomaster kbmt KB315071 KbMtzh
反馈