Delen via

LDAP-beleid in Active Directory weergeven en instellen met behulp van Ntdsutil.exe

  • Artikel

In dit artikel wordt beschreven hoe u LDAP-beleid (Lightweight Directory Access Protocol) beheert met behulp van het hulpprogramma Ntdsutil.exe.

Oorspronkelijk KB-nummer: 315071

Samenvatting

Om ervoor te zorgen dat domeincontrollers garanties op serviceniveau kunnen ondersteunen, moet u operationele limieten opgeven voor veel LDAP-bewerkingen. Deze limieten verhinderen dat specifieke bewerkingen de prestaties van de server nadelig beïnvloeden. Ze maken de server ook toleranter voor sommige soorten aanvallen.

LDAP-beleid wordt geïmplementeerd met behulp van objecten van de queryPolicy klasse. Querybeleidsobjecten kunnen worden gemaakt in de container Querybeleid. Dit is een onderliggend element van de Directory Service-container in de configuratienaamgevingscontext. Bijvoorbeeld cn=Query-Policies,cn=Directory Service,cn=Windows NT,cn=Services configuration naming context.

Limieten voor LDAP-beheer

De LDAP-beheerlimieten zijn:

  • InitRecvTimeout: deze waarde definieert de maximale tijd in seconden dat een domeincontroller wacht totdat de client de eerste aanvraag verzendt nadat de domeincontroller een nieuwe verbinding heeft ontvangen. Als de client de eerste aanvraag in deze tijd niet verzendt, verbreekt de server de verbinding met de client.

    Standaardwaarde: 120 seconden

  • MaxActiveQueries: het maximum aantal gelijktijdige LDAP-zoekbewerkingen dat tegelijkertijd op een domeincontroller mag worden uitgevoerd. Wanneer deze limiet is bereikt, retourneert de LDAP-server een bezet foutbericht.

    Standaardwaarde: 20

    Notitie

    Dit besturingselement heeft een onjuiste interactie met de waarde MaxPoolThreads. MaxPoolThreads is een besturingselement per processor, terwijl MaxActiveQueries een absoluut getal definieert. Vanaf Windows Server 2003 wordt MaxActiveQueries niet meer afgedwongen. Daarnaast wordt MaxActiveQueries niet weergegeven in de Windows Server 2003-versie van NTDSUTIL.

    Standaardwaarde: 20

  • MaxConnections: het maximum aantal gelijktijdige LDAP-verbindingen dat een domeincontroller accepteert. Als er een verbinding binnenkomt nadat de domeincontroller deze limiet heeft bereikt, wordt een andere verbinding door de domeincontroller afgeslagen.

    Standaardwaarde: 5000

  • MaxConnIdleTime: de maximale tijd in seconden dat de client inactief kan zijn voordat de LDAP-server de verbinding sluit. Als een verbinding langer dan deze tijd niet actief is, retourneert de LDAP-server een melding over de verbinding met LDAP.

    Standaardwaarde: 900 seconden

  • MaxDatagramRecv: de maximale grootte van een datagramaanvraag die door een domeincontroller wordt verwerkt. Aanvragen die groter zijn dan de waarde voor MaxDatagramRecv, worden genegeerd.

    Standaardwaarde: 4.096 bytes

  • MaxNotificationPerConnection : het maximum aantal openstaande meldingsaanvragen dat is toegestaan voor één verbinding. Wanneer deze limiet is bereikt, retourneert de server een bezet-fout bij nieuwe zoekopdrachten naar meldingen die op die verbinding worden uitgevoerd.

    Standaardwaarde: 5

  • MaxPageSize: deze waarde bepaalt het maximum aantal objecten dat wordt geretourneerd in één zoekresultaat, onafhankelijk van hoe groot elk geretourneerd object is. Als u een zoekopdracht wilt uitvoeren waarbij het resultaat dit aantal objecten kan overschrijden, moet de client het besturingselement voor het zoeken op pagina's opgeven. Het is om de geretourneerde resultaten te groeperen in groepen die niet groter zijn dan de maxPageSize-waarde. Samenvattend bepaalt MaxPageSize het aantal objecten dat in één zoekresultaat wordt geretourneerd.

    Standaardwaarde: 1.000

  • MaxPoolThreads: het maximum aantal threads per processor dat door een domeincontroller wordt toegewezen om te luisteren naar netwerkinvoer of -uitvoer (I/O). Deze waarde bepaalt ook het maximum aantal threads per processor dat tegelijkertijd aan LDAP-aanvragen kan werken.

    Standaardwaarde: 4 threads per processor

  • MaxResultSetSize - Tussen de afzonderlijke zoekopdrachten waaruit een zoekopdracht met gepamateerde resultaten bestaat, kan de domeincontroller tussenliggende gegevens voor de client opslaan. De domeincontroller slaat deze gegevens op om het volgende deel van de zoekresultaten te versnellen. De waarde MaxResultSize bepaalt de totale hoeveelheid gegevens die door de domeincontroller wordt opgeslagen voor dit soort zoekopdrachten. Wanneer deze limiet is bereikt, verwijdert de domeincontroller de oudste van deze tussenliggende resultaten om ruimte te maken voor het opslaan van nieuwe tussenliggende resultaten.

    Standaardwaarde: 262.144 bytes

  • MaxQueryDuration: de maximale tijd in seconden die een domeincontroller besteedt aan één zoekopdracht. Wanneer deze limiet is bereikt, retourneert de domeincontroller de fout 'timeLimitExceededed'. Zoekopdrachten waarvoor meer tijd nodig is, moeten het besturingselement voor gepaginade resultaten opgeven.

    Standaardwaarde: 120 seconden

  • MaxTempTableSize: terwijl een query wordt verwerkt, kan de dblayer query proberen een tijdelijke databasetabel te maken om tussenliggende resultaten te sorteren en te selecteren. De limiet voor MaxTempTableSize bepaalt hoe groot deze tijdelijke databasetabel kan zijn. Als de tijdelijke databasetabel meer objecten zou bevatten dan de waarde voor MaxTempTableSize, wordt de dblayer volledige DS-database en alle objecten in de DS-database veel minder efficiënt geparserd.

    Standaardwaarde: 10.000 records

  • MaxValRange: deze waarde bepaalt het aantal waarden dat wordt geretourneerd voor een kenmerk van een object, onafhankelijk van het aantal kenmerken dat het object heeft of hoeveel objecten het zoekresultaat bevat. In Windows 2000 is dit besturingselement vastgelegd op 1000. Als een kenmerk meer dan het aantal waarden heeft dat is opgegeven door de MaxValRange-waarde, moet u besturingselementen voor waardebereiken in LDAP gebruiken om waarden op te halen die de MaxValRange-waarde overschrijden. MaxValueRange bepaalt het aantal waarden dat wordt geretourneerd op één kenmerk op één object.

    • Minimumwaarde: 30
    • Standaardwaarde: 1500

Start Ntdsutil.exe

Ntdsutil.exe bevindt zich in de map Ondersteuningshulpprogramma's op de cd-rom voor Windows-installatie. Standaard wordt Ntdsutil.exe geïnstalleerd in de map System32.

  1. Klik op Start en vervolgens op Uitvoeren.
  2. Typ ntdsutil in het tekstvak Openen en druk op Enter. Als u hulp op elk gewenst moment wilt weergeven, typt ? u bij de opdrachtprompt.

Huidige beleidsinstellingen weergeven

  1. Typ bij de Ntdsutil.exe opdrachtprompt LDAP policiesen druk op Enter.
  2. Typ bij de opdrachtprompt connectionsvoor LDAP-beleid en druk op Enter.
  3. Typ bij de opdrachtprompt connect to server <DNS name of server>van de serververbinding en druk op Enter. U wilt verbinding maken met de server waarmee u momenteel werkt.
  4. Typ bij de opdrachtprompt qvan de serververbinding en druk op Enter om terug te keren naar het vorige menu.
  5. Typ bij de opdrachtprompt Show Valuesvoor LDAP-beleid en druk op Enter.

Er wordt een weergave weergegeven van het beleid zoals deze bestaan.

Beleidsinstellingen wijzigen

  1. Typ bij de Ntdsutil.exe opdrachtprompt LDAP policiesen druk op Enter.

  2. Typ bij de opdrachtprompt Set <setting> to <variable>voor LDAP-beleid en druk op Enter. Typ bijvoorbeeld MaxPoolThreads instellen op 8.

    Deze instelling wordt gewijzigd als u een andere processor aan uw server toevoegt.

  3. U kunt de Show Values opdracht gebruiken om uw wijzigingen te controleren.

    Gebruik Wijzigingen doorvoeren om de wijzigingen op te slaan.

  4. Wanneer u klaar bent, typt qu en drukt u op Enter.

  5. Als u Ntdsutil.exe wilt afsluiten, typt qu bij de opdrachtprompt en drukt u op Enter.

Notitie

In deze procedure worden alleen de standaardinstellingen voor domeinbeleid weergegeven. Als u uw eigen beleidsinstelling toepast, kunt u deze niet zien.

Herstartvereiste

Als u de waarden wijzigt voor het querybeleid dat een domeincontroller momenteel gebruikt, worden deze wijzigingen van kracht zonder opnieuw op te starten. Als er echter een nieuw querybeleid wordt gemaakt, is opnieuw opstarten vereist om het nieuwe querybeleid van kracht te laten worden.

Overwegingen voor het wijzigen van querywaarden

Om de tolerantie van de domeinserver te behouden, raden we u niet aan om de time-outwaarde van 120 seconden te verhogen. Het vormen van efficiëntere query's is een voorkeursoplossing. Zie Efficiëntere toepassingen met Microsoft Active Directory maken voor meer informatie over het maken van efficiënte query's.

Als het wijzigen van de query echter geen optie is, verhoogt u de time-outwaarde slechts op één domeincontroller of slechts op één site. Zie het volgende onderdeel voor instructies. Als de instelling wordt toegepast op één domeincontroller, vermindert u de DNS LDAP-prioriteit op de domeincontroller, zodat clients de server minder waarschijnlijk gebruiken voor verificatie. Gebruik op de domeincontroller met de hogere prioriteit de volgende registerinstelling om in te stellen LdapSrvPriority:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Selecteer Waarde toevoegen in het menu Bewerken en voeg vervolgens de volgende registerwaarde toe:

  • Vermeldingsnaam: LdapSrvPriority
  • Gegevenstype: REG_DWORD
  • Waarde: Stel de waarde in op de waarde van de gewenste prioriteit.

Zie De locatie optimaliseren van een domeincontroller of globale catalogus die zich buiten de site van een client bevindt voor meer informatie.

Instructies voor het configureren per domeincontroller of per sitebeleid

  1. Maak een nieuw querybeleid onder CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, forest root.

  2. Stel de domeincontroller of site in om naar het nieuwe beleid te verwijzen door de DN-naam van het nieuwe beleid in te voeren in het kenmerk Query-Policy-Object . De locatie van het kenmerk is als volgt:

    • De locatie voor de domeincontroller is CN=NTDS Settings, CN= DomainControllerName, CN=Servers,CN= site name,CN=Sites,CN=Configuration, forest root.

    • De locatie voor de site is CN=NTDS-site-instellingen,CN= sitenaam,CN=Sites,CN=Configuratie, foresthoofdmap.

Voorbeeldscript

U kunt de volgende tekst gebruiken om een Ldifde-bestand te maken. U kunt dit bestand importeren om het beleid te maken met een time-outwaarde van 10 minuten. Kopieer deze tekst naar Ldappolicy.ldf en voer vervolgens de volgende opdracht uit, waarbij foresthoofdmap de DN-naam van uw foresthoofdmap is. Laat DC=X as-is staan. Het is een constante die wordt vervangen door de naam van de foresthoofdmap wanneer het script wordt uitgevoerd. De constante X geeft geen naam van een domeincontroller aan.

ldifde -i -f ldappolicy.ldf -v -c DC=X DC= forest root

Ldifde-script starten

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X  
changetype: add  
instanceType: 4  
lDAPAdminLimits: MaxReceiveBuffer=10485760  
lDAPAdminLimits: MaxDatagramRecv=1024  
lDAPAdminLimits: MaxPoolThreads=4  
lDAPAdminLimits: MaxResultSetSize=262144  
lDAPAdminLimits: MaxTempTableSize=10000  
lDAPAdminLimits: MaxQueryDuration=300  
lDAPAdminLimits: MaxPageSize=1000  
lDAPAdminLimits: MaxNotificationPerConn=5  
lDAPAdminLimits: MaxActiveQueries=20  
lDAPAdminLimits: MaxConnIdleTime=900  
lDAPAdminLimits: InitRecvTimeout=120  
lDAPAdminLimits: MaxConnections=5000  
objectClass: queryPolicy  
showInAdvancedViewOnly: TRUE

Nadat u het bestand hebt geïmporteerd, kunt u de querywaarden wijzigen met Adsiedit.msc of Ldp.exe. De instelling MaxQueryDuration in dit script is vijf minuten.

Als u het beleid wilt koppelen aan een DOMEINCONTROLLER, gebruikt u een LDIF-importbestand als volgt:

dn: CN=NTDS  
Settings,CN=DC1,CN=Servers,CN=site1,CN=Sites,CN=Configuration, DC=X  
changetype: modify  
add: queryPolicyobject  
queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X

Importeer het met behulp van de volgende opdracht:

ldifde -i -f link-policy-dc.ldf -v -c DC=X DC= **forest root**

Voor een site bevat het LDIF-importbestand het volgende:

dn: CN=NTDS Site Settings,CN=site1,CN=Sites,CN=Configuration, DC=X  
changetype: modify  
add: queryPolicyobject  
queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X

Notitie

Ntdsutil.exe geeft alleen de waarde weer in het standaardquerybeleid. Als er aangepaste beleidsregels zijn gedefinieerd, worden deze niet weergegeven door Ntdsutil.exe.