如何查看和设置 ActiveDirectory 中通过使用 Ntdsutil.exe LDAP 策略
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。如果您发现了错误并希望帮助我们提高机器翻译技术,请完成文章末尾的在线调查。
| 文章编号 | : | 315071 |
| 最后修改 | : | 2007年3月27日 |
| 修订 | : | 5.3 |
本页
概要
本文介绍如何通过使用 Ntdsutil.exe 工具管理轻型目录访问协议 (LDAP) 策略。以确保域控制器可支持服务级别保证, 必须指定操作对 LDAP 操作次数限制。 这些限制防止特定操作从对服务器, 性能产生负面影响并对某些类型的攻击也进行服务器更有弹性。
通过使用 queryPolicy 类的对象实现 LDAP 策略。 查询策略容器, 是配置命名上下文中目录服务容器子级中创建查询策略对象。 例如: cn 查询策略, cn = DirectoryService, cn = = WindowsNT, cn = 服务配置命名上下文。
LDAP 管理限制是:
通过使用 queryPolicy 类的对象实现 LDAP 策略。 查询策略容器, 是配置命名上下文中目录服务容器子级中创建查询策略对象。 例如: cn 查询策略, cn = DirectoryService, cn = = WindowsNT, cn = 服务配置命名上下文。
Windows 2000 和 Windows Server 2003 LDAP 管理限制
LDAP 管理限制是:
| " | 秒,客户端向域控制器收到一个新连接后发送首请求等待域控制器中 InitRecvTimeout - 此值定义最大时间。如果客户端不发送此大量时间, 中首请求服务器断开客户。 默认值: 120 秒 |
| " | MaxActiveQueries 的最大数目的并发 LDAP 搜索操作允许在域控制器上同时运行 -。 当达到此限制, LDAP 服务器返回 " 忙 " 错误。 默认值 20: 注意 此控件具有与 MaxPoolThreads 值正确交互。 MaxPoolThreads 是每处理器控件, 而 MaxActiveQueries 定义一个绝对数。 开头 Windows Server 2003, MaxActiveQueries 不再实施。 此外, MaxActiveQueries NTDSUTIL 的 Windows Server 2003 版本中未出现 默认值 20: |
| " | MaxConnections 大的同时, 将域控制器接受 LDAP 连接数: -。 如果达到此限制, 域控制器后连接进入域控制器除去其他连接。 默认值: 5000 |
| " | MaxConnIdleTime : 最长时间 (秒), 客户端 LDAP 服务器关闭连接前会空闲 -。 如果连接是空闲的超过此时间, LDAP 服务器返回 LDAP 断开通知。 默认值: 900 秒 |
| " | MaxDatagramRecv :最大值为报请求该域控制器将处理 -。 请求是大于用于 MaxDatagramRecv 值被忽略。 默认: 1,024 字节 |
| " | 在单个连接上允许请求 MaxNotificationPerConnection - 完成通知: 最大次数。当达到此限制服务器返回 " 忙 " 错误给任何新通知搜索是该连接上执行。 默认值: 5 |
| " | MaxPageSize - 此值控制单个搜索结果, 独立于每返回对象是如何大中返回对象的最大数目。要执行搜索结果可能超过此数目的对象, 其中客户端必须指定分页搜索控件。 这是为了组是不大于 MaxPageSize 值组中返回结果。 要汇总, MaxPageSize 控制单个搜索结果中返回对象的数目。 默认值 1,000: |
| " | MaxPoolThreads 对该域控制器 dedicates 以侦听网络输入或输出 (I/O) 线程每个处理器的最大数目 -。此值还确定线程每处理器, 可同时处理 LDAP 请求上最大次数。 默认值: 4 线程每处理器 |
| " | 中间数据 MaxResultSetSize - 之间分页结果搜索, 构成单个搜索域控制器可能存储为客户端。域控制器存储该数据以加快了分页结果搜索下一部分。 MaxResultSize 值控制该域控制器存储有关这种搜索数据的总数量。达到该限制时, 控制器丢弃旧对这些中间结果以便腾出空间来存储新中间结果。 默认值: 262,144 字节 |
| " | MaxQueryDuration : 最长时间 (秒),域控制器将单个搜索上花费 -。 达到此限制时, 域控制器返回 " timeLimitExceeded " 错误。 搜索需要时间必须指定分页结果控件。 默认值: 120 秒 |
| " | MaxTempTableSize While 处理查询, - dblayer 可能尝试创建一个临时数据库表, 并选择从中间结果排序。控制如何大型临时数据库该表可 MaxTempTableSize 限制。如果临时数据库表将包含比值详细对象对于 MaxTempTableSize , dblayer 执行得少有效解析的完整 DS 数据库和 DS 数据库中的所有对象。 默认值: 10,000 记录 |
| " | MaxValRange - 此值控制的值所返回的一个属性对象, 独立是多少属性, 该对象具有, 或者是如何许多对象都在搜索结果数。 编码 1,000 上 Windows 2000 中此控件是 " 硬 "。 LDAP 中如果属性的值是由 MaxValRange 值, 指定数目超过了必须使用值范围控件来检索值超过 MaxValRange 值。 MaxValueRange 控制是对单个对象上单个属性所返回值数。 |
启动 Ntdsutil.exe
Ntdsutil.exe 位于 Windows 2000 安装光盘上 Support 工具文件夹中。默认情况下, Ntdsutil.exe System 32 文件夹中安装。
| 1. | 单击 开始 , 然后单击 运行 。 |
| 2. | 在 打开 文本框中, 键入 ntdsutil然后按 Enter。 要查看帮助随时, 键入 ? 在命令提示符。 |
查看当前策略设置
| 1. | 在提示符 Ntdsutil.exe 命令处, 键入 LDAP policies然后按 Enter。 |
| 2. | 在提示符策略 LDAP 命令下, 键入 connections然后按 Enter。 |
| 3. | 在命令提示符连接服务器下, 键入 connect to server DNS name of server然后按 Enter。 要连接到服务器当前使用,您是。 |
| 4. | 在命令提示符连接服务器下, 键入 q然后按 ENTER 键以返回到上一个菜单。 |
| 5. | 在提示符策略 LDAP 命令下, 键入 Show Values然后按 Enter。 显示策略如存在出现。 |
修改策略设置
| 1. | 在提示符 Ntdsutil.exe 命令处, 键入 LDAP policies然后按 Enter。 |
| 2. | 在提示符策略 LDAP 命令下, 键入 Set setting to variable然后按 Enter。 例如, 键入 Set MaxPoolThreads to 8. 如果向服务器添加另一个处理器更改此设置。 |
| 3. | 可使用 > ShowValues 命令来验证更改。 要保存更改, 可 提交更改 。 |
| 4. | 当您完成, 键入 q然后按 Enter。 |
| 5. | 要退出 Ntdsutil.exe, 在命令提示符, 键入 q然后按 Enter。 |
注意 此过程只显示默认域策略设置。 如果应用自己的策略设置, 您无法看到它。
有关更改查询值注意事项
为维护域服务器复原, 我们执行不建议您增加超时值为 120 秒。形成更高效查询是首选解决方案。 有关创建高效查询, 请访问以下 Microsoft 网站:
http://msdn2.microsoft.com/en-us/library/ms808539.aspx
(http://msdn2.microsoft.com/en-us/library/ms808539.aspx)
如果不更改查询是一个选项, 但是, 增加超值只在一个域控制器或一个站点上仅。 有关说明, 请参阅下一节。如果该设置将应用到一个域控制器, 减少 DNS LDAP 优先级域控制器上以便客户端都小于可能用于服务器身份验证。具有优先级, 增加域控制器上使用以下注册表设置来设置 LdapSrvPriority:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Netlogon/Parameters
在 编辑 菜单, 单击 添加值 , 然后添加以下注册表值:
项名: LdapSrvPriority
数据类型: REG _ DWORD
值: 设置值为以便优先级值。
有关其他信息, 请单击下列文章编号以查看 Microsoft 知识库中相应:
数据类型: REG _ DWORD
值: 设置值为以便优先级值。
306602
(http://support.microsoft.com/kb/306602/) 如何优化的域控制器或全局编录驻留客户端站点之外的位置
有关配置每个域控制器或每站点策略
| 1. | 创建新查询策略下:
CN 查询策略, CN = DirectoryService, CN = = WindowsNT, CN = Services, CN = Configuration, 林根
|
| 2. | 设置域控制器或站点, 通过键入 objecttypeobjectname 辨别名称的新策略对象 " 查询策略 - " 属性中指向新策略。位于下面的属性:
为域控制器位置是:
CN = NTDSSettings, CN = DomainControllerName , CN = Servers, CN 站点名称 , CN = = Sites, CN = Configuration, 林根
对于站点位置是:
CN = NTDS 站点设置, CN 站点名称 , CN = = Sites, CN = Configuration, 林根
|
示例脚本
以下文本可用于创建 Ldifde 文件。 导入此文件以使用超时值为 10 分钟创建策略。 此文本复制到 Ldappolicy.ldf, 然后运行以下命令, 其中 林根 是辨别名称是林根。 保留 DC = 作为 X - 是。这是脚本运行时, 将被替换林根名称常量。 常数 X 并不表示域控制器名称。
ldifde - i - f ldappolicy.ldf - v - c DC = X DC = 林根
启动 Ldifde 脚本
dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X changetype: add instanceType: 4 lDAPAdminLimits: MaxReceiveBuffer=10485760 lDAPAdminLimits: MaxDatagramRecv=1024 lDAPAdminLimits: MaxPoolThreads=4 lDAPAdminLimits: MaxResultSetSize=262144 lDAPAdminLimits: MaxTempTableSize=10000 lDAPAdminLimits: MaxQueryDuration=300 lDAPAdminLimits: MaxPageSize=1000 lDAPAdminLimits: MaxNotificationPerConn=5 lDAPAdminLimits: MaxActiveQueries=20 lDAPAdminLimits: MaxConnIdleTime=900 lDAPAdminLimits: InitRecvTimeout=120 lDAPAdminLimits: MaxConnections=5000 objectClass: queryPolicy showInAdvancedViewOnly: TRUE通过使用 Ldp.exe 或 Adsiedit.msc 文件, 导入后您可以更改查询值。此脚本中 MaxQueryDuration 设置是 5 分钟。
注意 Ntdsutil.exe 只显示默认查询策略中值。如果定义任何自定义策略, 它们不显示由 Ntdsutil.exe。
参考
这篇文章中的信息适用于:
| " | Microsoft Windows 2000 Server |
| " | Microsoft Windows 2000 Advanced Server |
| " | Microsoft Windows Server 2003, Standard Edition (32-bit x86) |
| " | Microsoft Windows Server 2003, Enterprise Edition (32-bit x86) |
关键字: | kbhowtomaster KB315071 KbMtzh kbmt |
扫一扫
6038
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
