Freigeben über

Anzeigen und Festlegen von LDAP-Richtlinien in Active Directory mithilfe von Ntdsutil.exe

  • Artikel

In diesem Artikel wird beschrieben, wie Sie LDAP-Richtlinien (Lightweight Directory Access Protocol) mithilfe des tools Ntdsutil.exe verwalten.

Ursprüngliche KB-Nummer: 315071

Übersicht

Um sicherzustellen, dass Domänencontroller Garantien auf Dienstebene unterstützen können, müssen Sie betriebsbedingte Grenzwerte für viele LDAP-Vorgänge angeben. Diese Grenzwerte verhindern, dass bestimmte Vorgänge die Leistung des Servers beeinträchtigen. Sie machen den Server auch widerstandsfähiger für einige Arten von Angriffen.

LDAP-Richtlinien werden mithilfe von Objekten der queryPolicy Klasse implementiert. Abfragerichtlinienobjekte können im Container "Abfragerichtlinien" erstellt werden, bei dem es sich um ein untergeordnetes Element des Verzeichnisdienstcontainers im Konfigurationsbenennungskontext handelt. Beispiel: cn=Query-Policies,cn=Directory Service,cn=Windows NT,cn=Services configuration naming context.

LDAP-Verwaltungsgrenzwerte

Die LDAP-Verwaltungsgrenzwerte sind:

  • InitRecvTimeout – Dieser Wert definiert die maximale Zeit in Sekunden, die ein Domänencontroller wartet, bis der Client die erste Anforderung sendet, nachdem der Domänencontroller eine neue Verbindung empfängt. Wenn der Client die erste Anforderung in dieser Zeit nicht sendet, trennt der Server den Client.

    Standardwert: 120 Sekunden

  • MaxActiveQueries – Die maximale Anzahl gleichzeitiger LDAP-Suchvorgänge, die gleichzeitig auf einem Domänencontroller ausgeführt werden dürfen. Wenn dieser Grenzwert erreicht ist, gibt der LDAP-Server einen Beschäftigt-Fehler zurück.

    Standardwert: 20

    Notiz

    Dieses Steuerelement hat eine falsche Interaktion mit dem MaxPoolThreads-Wert. MaxPoolThreads ist ein Prozessorsteuerelement, während MaxActiveQueries eine absolute Zahl definiert. Ab Windows Server 2003 wird MaxActiveQueries nicht mehr erzwungen. Darüber hinaus wird MaxActiveQueries nicht in der Windows Server 2003-Version von NTDSUTIL angezeigt.

    Standardwert: 20

  • MaxConnections – Die maximale Anzahl gleichzeitiger LDAP-Verbindungen, die ein Domänencontroller akzeptiert. Wenn eine Verbindung eintritt, nachdem der Domänencontroller diesen Grenzwert erreicht hat, legt der Domänencontroller eine weitere Verbindung ab.

    Standardwert: 5000

  • MaxConnIdleTime – Die maximale Zeit in Sekunden, die der Client im Leerlauf ausführen kann, bevor der LDAP-Server die Verbindung schließt. Wenn eine Verbindung mehr als dieses Mal im Leerlauf ist, gibt der LDAP-Server eine LDAP-Trennungsbenachrichtigung zurück.

    Standardwert: 900 Sekunden

  • MaxDatagramRecv – Die maximale Größe einer Datagrammanforderung, die ein Domänencontroller verarbeitet. Anforderungen, die größer als der Wert für MaxDatagramRecv sind, werden ignoriert.

    Standardwert: 4.096 Byte

  • MaxNotificationPerConnection – Die maximale Anzahl ausstehender Benachrichtigungsanforderungen, die für eine einzelne Verbindung zulässig sind. Wenn dieser Grenzwert erreicht ist, gibt der Server einen Beschäftigt-Fehler an alle neuen Benachrichtigungssuchen zurück, die für diese Verbindung ausgeführt werden.

    Standardwert: 5

  • MaxPageSize – Dieser Wert steuert die maximale Anzahl von Objekten, die in einem einzelnen Suchergebnis zurückgegeben werden, unabhängig davon, wie groß jedes zurückgegebene Objekt ist. Um eine Suche durchzuführen, bei der das Ergebnis diese Anzahl von Objekten überschreiten kann, muss der Client das seitenseitige Suchsteuerelement angeben. Sie müssen die zurückgegebenen Ergebnisse in Gruppen gruppieren, die nicht größer als der MaxPageSize-Wert sind. Zum Zusammenfassen steuert MaxPageSize die Anzahl der Objekte, die in einem einzigen Suchergebnis zurückgegeben werden.

    Standardwert: 1.000

  • MaxPoolThreads – Die maximale Anzahl von Threads pro Prozessor, die ein Domänencontroller dem Überwachen der Netzwerkeingabe oder -ausgabe (E/A) widmet. Dieser Wert bestimmt auch die maximale Anzahl von Threads pro Prozessor, die gleichzeitig an LDAP-Anforderungen arbeiten können.

    Standardwert: 4 Threads pro Prozessor

  • MaxResultSetSize – Zwischen den einzelnen Suchvorgängen, die eine Seitenergebnissuche bilden, kann der Domänencontroller Zwischendaten für den Client speichern. Der Domänencontroller speichert diese Daten, um den nächsten Teil der Seitenergebnissuche zu beschleunigen. Der MaxResultSize-Wert steuert die Gesamtmenge der Daten, die der Domänencontroller für diese Art von Suche speichert. Wenn dieser Grenzwert erreicht ist, verwirft der Domänencontroller die ältesten dieser Zwischenergebnisse, um Platz zum Speichern neuer Zwischenergebnisse zu schaffen.

    Standardwert: 262.144 Bytes

  • MaxQueryDuration – Die maximale Zeit in Sekunden, die ein Domänencontroller für eine einzelne Suche aufwendet. Wenn dieser Grenzwert erreicht ist, gibt der Domänencontroller den Fehler "timeLimitExceeded" zurück. Suchvorgänge, die mehr Zeit erfordern, müssen das Steuerelement für seitenseitige Ergebnisse angeben.

    Standardwert: 120 Sekunden

  • MaxTempTableSize – Während eine Abfrage verarbeitet wird, versucht dies dblayer möglicherweise, eine temporäre Datenbanktabelle zu erstellen, um Zwischenergebnisse zu sortieren und auszuwählen. Der Grenzwert für MaxTempTableSize steuert, wie groß diese temporäre Datenbanktabelle sein kann. Wenn die temporäre Datenbanktabelle mehr Objekte als den Wert für MaxTempTableSize enthalten würde, führt die dblayer Analyse der vollständigen DS-Datenbank und aller Objekte in der DS-Datenbank wesentlich weniger effizient aus.

    Standardwert: 10.000 Datensätze

  • MaxValRange – Dieser Wert steuert die Anzahl der Werte, die für ein Attribut eines Objekts zurückgegeben werden, unabhängig davon, wie viele Attribute dieses Objekts enthalten sind oder wie viele Objekte im Suchergebnis enthalten sind. In Windows 2000 ist dieses Steuerelement hartcodiert bei 1.000. Wenn ein Attribut mehr als die Anzahl von Werten aufweist, die durch den MaxValRange-Wert angegeben werden, müssen Sie Wertebereichssteuerelemente in LDAP verwenden, um Werte abzurufen, die den MaxValRange-Wert überschreiten. MaxValueRange steuert die Anzahl der Werte, die für ein einzelnes Attribut eines einzelnen Objekts zurückgegeben werden.

    • Mindestwert: 30
    • Standardwert: 1500

Ntdsutil.exe starten

Ntdsutil.exe befindet sich im Ordner "Supporttools" auf der Windows-Installations-CD-ROM. Standardmäßig wird Ntdsutil.exe im Ordner "System32" installiert.

  1. Klicken Sie auf Start und anschließend auf Ausführen.
  2. Geben Sie im Feld "Öffnen" ntdsutil ein, und drücken Sie dann die EINGABETASTE. Wenn Sie Hilfe jederzeit anzeigen möchten, geben Sie ? an der Eingabeaufforderung ein.

Aktuelle Richtlinieneinstellungen anzeigen

  1. Geben Sie LDAP policiesan der eingabeaufforderung Ntdsutil.exe ein, und drücken Sie dann die EINGABETASTE.
  2. Geben Sie connectionsan der LDAP-Richtlinien-Eingabeaufforderung die EINGABETASTE ein, und drücken Sie dann die EINGABETASTE.
  3. Geben Sie connect to server <DNS name of server>an der Eingabeaufforderung für die Serververbindung die EINGABETASTE ein, und drücken Sie dann die EINGABETASTE. Sie möchten eine Verbindung mit dem Server herstellen, mit dem Sie gerade arbeiten.
  4. Geben Sie qan der Eingabeaufforderung für die Serververbindung die EINGABETASTE ein, und drücken Sie dann die EINGABETASTE, um zum vorherigen Menü zurückzukehren.
  5. Geben Sie Show Valuesan der LDAP-Richtlinien-Eingabeaufforderung die EINGABETASTE ein, und drücken Sie dann die EINGABETASTE.

Es wird eine Anzeige der vorhandenen Richtlinien angezeigt.

Ändern von Richtlinieneinstellungen

  1. Geben Sie LDAP policiesan der eingabeaufforderung Ntdsutil.exe ein, und drücken Sie dann die EINGABETASTE.

  2. Geben Sie Set <setting> to <variable>an der LDAP-Richtlinien-Eingabeaufforderung die EINGABETASTE ein, und drücken Sie dann die EINGABETASTE. Geben Sie z. B. "MaxPoolThreads festlegen" auf 8 ein.

    Diese Einstellung ändert sich, wenn Sie ihrem Server einen weiteren Prozessor hinzufügen.

  3. Sie können den Show Values Befehl verwenden, um Ihre Änderungen zu überprüfen.

    Um die Änderungen zu speichern, verwenden Sie Commit-Änderungen.

  4. Wenn Sie fertig sind, geben qSie die EINGABETASTE ein, und drücken Sie dann die EINGABETASTE.

  5. Um Ntdsutil.exe zu beenden, geben Sie qan der Eingabeaufforderung die EINGABETASTE ein, und drücken Sie dann die EINGABETASTE.

Notiz

Dieses Verfahren zeigt nur die Einstellungen für die Standarddomänenrichtlinie an. Wenn Sie Ihre eigene Richtlinieneinstellung anwenden, wird sie nicht angezeigt.

Neustartanforderung

Wenn Sie die Werte für die Aktuell verwendete Abfragerichtlinie ändern, werden diese Änderungen ohne Neustart wirksam. Wenn jedoch eine neue Abfragerichtlinie erstellt wird, ist ein Neustart erforderlich, damit die neue Abfragerichtlinie wirksam wird.

Überlegungen zum Ändern von Abfragewerten

Um die Ausfallsicherheit des Domänenservers aufrechtzuerhalten, wird nicht empfohlen, den Timeoutwert von 120 Sekunden zu erhöhen. Das Erstellen effizienterer Abfragen ist eine bevorzugte Lösung. Weitere Informationen zum Erstellen effizienter Abfragen finden Sie unter Creating More Efficient Microsoft Active Directory-Enabled Applications.

Wenn das Ändern der Abfrage jedoch keine Option ist, erhöhen Sie den Timeoutwert nur auf einem Domänencontroller oder nur auf einem Standort. Anweisungen finden Sie im nächsten Abschnitt. Wenn die Einstellung auf einen Domänencontroller angewendet wird, verringern Sie die DNS-LDAP-Priorität auf dem Domänencontroller, sodass Clients den Server weniger wahrscheinlich für die Authentifizierung verwenden. Verwenden Sie auf dem Domänencontroller mit der höheren Priorität die folgende Registrierungseinstellung, um folgendes festzulegen LdapSrvPriority:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Wählen Sie im Menü "Bearbeiten " die Option "Wert hinzufügen" aus, und fügen Sie dann den folgenden Registrierungswert hinzu:

  • Eintragsname: LdapSrvPriority
  • Datentyp: REG_DWORD
  • Wert: Legen Sie den Wert auf den Wert der gewünschten Priorität fest.

Weitere Informationen finden Sie unter Optimieren des Speicherorts eines Domänencontrollers oder eines globalen Katalogs, der sich außerhalb der Website eines Clients befindet.

Anweisungen zum Konfigurieren pro Domänencontroller oder pro Standortrichtlinie

  1. Erstellen Sie eine neue Abfragerichtlinie unter CN=Abfragerichtlinien,CN=Verzeichnisdienst,CN=Windows NT,CN=Dienste,CN=Konfiguration, Gesamtstrukturstamm.

  2. Legen Sie den Domänencontroller oder die Website so fest, dass er auf die neue Richtlinie verweist, indem Sie den distinguished Name der neuen Richtlinie im Query-Policy-Object-Attribut eingeben. Der Speicherort des Attributs lautet wie folgt:

    • Der Speicherort für den Domänencontroller ist CN=NTDS-Einstellungen, CN= DomainControllerName, CN=Servers,CN= Sitename,CN=Sites,CN=Configuration, Gesamtstrukturstamm.

    • Der Speicherort für die Website ist CN=NTDS Site Settings,CN= Site name,CN=Sites,CN=Configuration, Gesamtstrukturstamm.

Beispielskript

Sie können den folgenden Text verwenden, um eine Ldifde-Datei zu erstellen. Sie können diese Datei importieren, um die Richtlinie mit einem Timeoutwert von 10 Minuten zu erstellen. Kopieren Sie diesen Text in Ldappolicy.ldf, und führen Sie dann den folgenden Befehl aus, wobei der Gesamtstrukturstamm der distinguished Name des Gesamtstrukturstamms ist. Lassen Sie DC=X gleich. Es ist eine Konstante, die beim Ausführen des Skripts durch den Stammnamen der Gesamtstruktur ersetzt wird. Die Konstante X gibt keinen Domänencontrollernamen an.

ldifde -i -f ldappolicy.ldf -v -c DC=X DC= forest root

Ldifde-Skript starten

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X  
changetype: add  
instanceType: 4  
lDAPAdminLimits: MaxReceiveBuffer=10485760  
lDAPAdminLimits: MaxDatagramRecv=1024  
lDAPAdminLimits: MaxPoolThreads=4  
lDAPAdminLimits: MaxResultSetSize=262144  
lDAPAdminLimits: MaxTempTableSize=10000  
lDAPAdminLimits: MaxQueryDuration=300  
lDAPAdminLimits: MaxPageSize=1000  
lDAPAdminLimits: MaxNotificationPerConn=5  
lDAPAdminLimits: MaxActiveQueries=20  
lDAPAdminLimits: MaxConnIdleTime=900  
lDAPAdminLimits: InitRecvTimeout=120  
lDAPAdminLimits: MaxConnections=5000  
objectClass: queryPolicy  
showInAdvancedViewOnly: TRUE

Nachdem Sie die Datei importiert haben, können Sie die Abfragewerte mithilfe von Adsiedit.msc oder Ldp.exe ändern. Die Einstellung "MaxQueryDuration" in diesem Skript beträgt 5 Minuten.

Um die Richtlinie mit einem DC zu verknüpfen, verwenden Sie eine LDIF-Importdatei wie folgt:

dn: CN=NTDS  
Settings,CN=DC1,CN=Servers,CN=site1,CN=Sites,CN=Configuration, DC=X  
changetype: modify  
add: queryPolicyobject  
queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X

Importieren Sie ihn mithilfe des folgenden Befehls:

ldifde -i -f link-policy-dc.ldf -v -c DC=X DC= **forest root**

Für eine Website würde die LDIF-Importdatei Folgendes enthalten:

dn: CN=NTDS Site Settings,CN=site1,CN=Sites,CN=Configuration, DC=X  
changetype: modify  
add: queryPolicyobject  
queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X

Notiz

Ntdsutil.exe zeigt nur den Wert in der Standardabfragerichtlinie an. Wenn benutzerdefinierte Richtlinien definiert sind, werden sie nicht von Ntdsutil.exe angezeigt.