Ntdsutil.exe kullanarak Active Directory'de LDAP ilkesini görüntüleme ve ayarlama
Bu makalede, Ntdsutil.exe aracını kullanarak Basit Dizin Erişim Protokolü (LDAP) ilkelerinin nasıl yönetileceğini açıklar.
Özgün KB numarası: 315071
Özet
Etki alanı denetleyicilerinin hizmet düzeyi garantilerini destekleyemelerini sağlamak için birçok LDAP işlemi için işlem sınırları belirtmeniz gerekir. Bu sınırlar belirli işlemlerin sunucunun performansını olumsuz etkilemesini engeller. Ayrıca sunucuyu bazı saldırı türlerine karşı daha dayanıklı hale getirir.
LDAP ilkeleri, sınıfının nesneleri queryPolicy
kullanılarak uygulanır. Sorgu İlkesi nesneleri, yapılandırma adlandırma bağlamında Dizin Hizmeti kapsayıcısının alt öğesi olan Sorgu İlkeleri kapsayıcısında oluşturulabilir. Örneğin, cn=Query-Policies,cn=Directory Service,cn=Windows NT,cn=Services yapılandırma adlandırma bağlamı.
LDAP yönetim sınırları
LDAP yönetim sınırları şunlardır:
InitRecvTimeout - Bu değer, etki alanı denetleyicisi yeni bir bağlantı aldıktan sonra istemcinin ilk isteği göndermesini beklediği en uzun süreyi saniye cinsinden tanımlar. İstemci ilk isteği bu süre içinde göndermezse, sunucu istemcinin bağlantısını keser.
Varsayılan değer: 120 saniye
MaxActiveQueries - Etki alanı denetleyicisinde aynı anda çalıştırılmasına izin verilen en fazla eşzamanlı LDAP arama işlemi sayısıdır. Bu sınıra ulaşıldığında LDAP sunucusu meşgul hatası döndürür.
Varsayılan değer: 20
Not
Bu denetim MaxPoolThreads değeriyle yanlış bir etkileşime sahip. MaxPoolThreads bir işlemci başına denetimdir, MaxActiveQueries ise mutlak bir sayı tanımlar. Windows Server 2003'den itibaren MaxActiveQueries artık zorunlu tutulmaz. Ayrıca, MaxActiveQueries NTDSUTIL'in Windows Server 2003 sürümünde görünmez.
Varsayılan değer: 20
MaxConnections - Etki alanı denetleyicisinin kabul edeceği en fazla eşzamanlı LDAP bağlantısı sayısıdır. Etki alanı denetleyicisi bu sınıra ulaştıktan sonra bir bağlantı gelirse, etki alanı denetleyicisi başka bir bağlantı bırakır.
Varsayılan değer: 5000
MaxConnIdleTime - LDAP sunucusu bağlantıyı kapatmadan önce istemcinin boşta kalma süresi (saniye olarak) üst sınırıdır. Bir bağlantı bu saatten daha uzun bir süre boşta kalırsa, LDAP sunucusu bir LDAP bağlantı kesme bildirimi döndürür.
Varsayılan değer: 900 saniye
MaxDatagramRecv - Bir etki alanı denetleyicisinin işleyecekleri veri birimi isteğinin en büyük boyutu. MaxDatagramRecv değerinden büyük istekler yoksayılır.
Varsayılan değer: 4.096 bayt
MaxNotificationPerConnection - Tek bir bağlantıda izin verilen en fazla bekleyen bildirim isteği sayısı. Bu sınıra ulaşıldığında, sunucu bu bağlantıda gerçekleştirilen yeni bildirim aramalarına meşgul hatası döndürür.
Varsayılan değer: 5
MaxPageSize - Bu değer, döndürülen her nesnenin ne kadar büyük olduğundan bağımsız olarak, tek bir arama sonucunda döndürülen en fazla nesne sayısını denetler. Sonucun bu sayıda nesneyi aşabileceği bir arama gerçekleştirmek için istemcinin sayfalanmış arama denetimini belirtmesi gerekir. Döndürülen sonuçları MaxPageSize değerinden büyük olmayan gruplarda gruplandırmaktır. Özetlemek gerekirse, MaxPageSize tek bir arama sonucunda döndürülen nesne sayısını denetler.
Varsayılan değer: 1.000
MaxPoolThreads - Bir etki alanı denetleyicisinin ağ girişini veya çıkışını (G/Ç) dinlemeye ayıracak işlemci başına iş parçacığı sayısı üst sınırı. Bu değer, aynı anda LDAP isteklerinde çalışabilecek işlemci başına en fazla iş parçacığı sayısını da belirler.
Varsayılan değer: İşlemci başına 4 iş parçacığı
MaxResultSetSize - Sayfalanmış sonuç aramasını oluşturan tek tek aramalar arasında, etki alanı denetleyicisi istemci için ara verileri depolar. Etki alanı denetleyicisi, sayfalanan sonuç aramasının bir sonraki bölümünü hızlandırmak için bu verileri depolar. MaxResultSize değeri, etki alanı denetleyicisinin bu tür bir arama için depolayan toplam veri miktarını denetler. Bu sınıra ulaşıldığında, etki alanı denetleyicisi yeni ara sonuçları depolamaya yer açmak için bu ara sonuçların en eskisini atar.
Varsayılan değer: 262.144 bayt
MaxQueryDuration - Bir etki alanı denetleyicisinin tek bir arama için harcayacağı saniye cinsinden en uzun süre. Bu sınıra ulaşıldığında, etki alanı denetleyicisi "timeLimitExceeded" hatası döndürür. Daha fazla zaman gerektiren aramalar, sayfalanmış sonuçlar denetimini belirtmelidir.
Varsayılan değer: 120 saniye
MaxTempTableSize - Sorgu işlenirken,
dblayer
ara sonuçları sıralamak ve seçmek için geçici bir veritabanı tablosu oluşturmaya çalışabilir. MaxTempTableSize sınırı, bu geçici veritabanı tablosunun ne kadar büyük olabileceğini denetler. Geçici veritabanı tablosu MaxTempTableSize değerinden daha fazla nesne içeriyorsa,dblayer
tam DS veritabanının ve DS veritabanındaki tüm nesnelerin çok daha az verimli ayrıştırılması gerçekleştirir.Varsayılan değer: 10.000 kayıt
MaxValRange - Bu değer, nesnenin özniteliği için döndürülen değerlerin sayısını, nesnenin kaç özniteliği olduğundan veya arama sonucunda kaç nesne bulunduğundan bağımsız olarak denetler. Windows 2000'de bu denetim 1.000'de sabit kodlanmıştır. Bir özniteliğin MaxValRange değeri tarafından belirtilen değer sayısından daha fazla değeri varsa, MaxValRange değerini aşan değerleri almak için LDAP'de değer aralığı denetimlerini kullanmanız gerekir. MaxValueRange, tek bir nesnedeki tek bir öznitelikte döndürülen değerlerin sayısını denetler.
- En Düşük Değer: 30
- Varsayılan değer: 1500
Başlangıç Ntdsutil.exe
Ntdsutil.exe, Windows yükleme CD-ROM'unun Destek araçları klasöründe bulunur. Varsayılan olarak, Ntdsutil.exe System32 klasörüne yüklenir.
- Başlat'a ve ardından Çalıştır'a tıklayın.
-
Aç metin kutusuna ntdsutil yazın ve ENTER tuşuna basın. İstediğiniz zaman yardımı görüntülemek için komut istemine yazın
?
.
Geçerli ilke ayarlarını görüntüleme
- Ntdsutil.exe komut isteminde yazın
LDAP policies
ve ENTER tuşuna basın. - LDAP ilkesi komut isteminde yazın
connections
ve ENTER tuşuna basın. - Sunucu bağlantısı komut isteminde yazın
connect to server <DNS name of server>
ve ENTER tuşuna basın. Çalışmakta olduğunuz sunucuya bağlanmak istiyorsunuz. - Sunucu bağlantısı komut isteminde yazın
q
ve enter tuşuna basarak önceki menüye dönün. - LDAP ilkesi komut isteminde yazın
Show Values
ve ENTER tuşuna basın.
İlkelerin varolarak bir görüntüsü görüntülenir.
İlke ayarlarını değiştirme
Ntdsutil.exe komut isteminde yazın
LDAP policies
ve ENTER tuşuna basın.LDAP ilkesi komut isteminde yazın
Set <setting> to <variable>
ve ENTER tuşuna basın. Örneğin, MaxPoolThreads değerini 8 olarak ayarlayın.Sunucunuza başka bir işlemci eklerseniz bu ayar değişir.
Değişikliklerinizi doğrulamak için komutunu kullanabilirsiniz
Show Values
.Değişiklikleri kaydetmek için Değişiklikleri İşleme'yi kullanın.
bitirdiğinizde yazın
q
ve ENTER tuşuna basın.Ntdsutil.exe çıkmak için komut istemine yazın
q
ve ENTER tuşuna basın.
Not
Bu yordam yalnızca Varsayılan Etki Alanı İlkesi ayarlarını gösterir. Kendi ilke ayarınızı uygularsanız, bunu göremezsiniz.
Yeniden başlatma gereksinimi
Bir etki alanı denetleyicisinin şu anda kullandığı sorgu ilkesinin değerlerini değiştirirseniz, bu değişiklikler yeniden başlatma olmadan geçerlilik kazanır. Ancak, yeni bir sorgu ilkesi oluşturulursa, yeni sorgu ilkesinin etkili olması için yeniden başlatma gerekir.
Sorgu değerlerini değiştirmeyle ilgili dikkat edilmesi gerekenler
Etki alanı sunucusu dayanıklılığını korumak için zaman aşımı değerini 120 saniye artırmanızı önermeyiz. Daha verimli sorgular oluşturmak tercih edilen bir çözümdür. Verimli sorgular oluşturma hakkında daha fazla bilgi için bkz. Daha Verimli Microsoft Etkin Directory-Enabled Uygulamaları Oluşturma.
Ancak, sorguyu değiştirmek bir seçenek değilse, zaman aşımı değerini yalnızca bir etki alanı denetleyicisinde veya yalnızca bir sitede artırın. Yönergeler için sonraki bölüme bakın. Ayar bir etki alanı denetleyicisine uygulandıysa, istemcilerin sunucuyu kimlik doğrulaması için kullanma olasılığının daha düşük olması için etki alanı denetleyicisinde DNS LDAP önceliğini azaltın. Artırma önceliğine sahip etki alanı denetleyicisinde, ayarlamak LdapSrvPriority
için aşağıdaki kayıt defteri ayarını kullanın:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Düzenle menüsünde Değer Ekle'yi seçin ve ardından aşağıdaki kayıt defteri değerini ekleyin:
- Giriş adı: LdapSrvPriority
- Veri türü: REG_DWORD
- Değer: Değeri istediğiniz önceliğin değerine ayarlayın.
Daha fazla bilgi için bkz. İstemcinin sitesinin dışında bulunan bir etki alanı denetleyicisinin veya genel kataloğun konumunu iyileştirme.
Etki alanı denetleyicisi veya site ilkesi başına yapılandırma yönergeleri
CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, orman kökü altında yeni bir sorgu ilkesi oluşturun.
Query-Policy-Object özniteliğine yeni ilkenin ayırt edici adını girerek etki alanı denetleyicisini veya siteyi yeni ilkeye işaret etmek üzere ayarlayın. Özniteliğin konumu aşağıdaki gibidir:
Etki alanı denetleyicisinin konumu CN=NTDS Ayarları, CN= DomainControllerName, CN=Servers,CN= site adı,CN=Siteler,CN=Yapılandırma, orman köküdür.
Sitenin konumu CN=NTDS Site Ayarları,CN= site adı,CN=Siteler,CN=Yapılandırma, orman köküdür.
Örnek betik
Ldifde dosyası oluşturmak için aşağıdaki metni kullanabilirsiniz. İlkeyi 10 dakikalık bir zaman aşımı değeriyle oluşturmak için bu dosyayı içeri aktarabilirsiniz. Bu metni Ldappolicy.ldf'ye kopyalayın ve aşağıdaki komutu çalıştırın; burada orman kökü, orman kökünüzün ayırt edici adıdır. DC=X'i olduğu gibi bırakın. Bu, betik çalıştırıldığında orman kök adıyla değiştirilecek bir sabittir. X sabiti bir etki alanı denetleyicisi adını göstermez.
ldifde -i -f ldappolicy.ldf -v -c DC=X DC= forest root
Ldifde betiğini başlatma
dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
changetype: add
instanceType: 4
lDAPAdminLimits: MaxReceiveBuffer=10485760
lDAPAdminLimits: MaxDatagramRecv=1024
lDAPAdminLimits: MaxPoolThreads=4
lDAPAdminLimits: MaxResultSetSize=262144
lDAPAdminLimits: MaxTempTableSize=10000
lDAPAdminLimits: MaxQueryDuration=300
lDAPAdminLimits: MaxPageSize=1000
lDAPAdminLimits: MaxNotificationPerConn=5
lDAPAdminLimits: MaxActiveQueries=20
lDAPAdminLimits: MaxConnIdleTime=900
lDAPAdminLimits: InitRecvTimeout=120
lDAPAdminLimits: MaxConnections=5000
objectClass: queryPolicy
showInAdvancedViewOnly: TRUE
Dosyayı içeri aktardıktan sonra Adsiedit.msc veya Ldp.exe kullanarak sorgu değerlerini değiştirebilirsiniz. Bu betikteki MaxQueryDuration ayarı 5 dakikadır.
İlkeyi DC'ye bağlamak için aşağıdaki gibi bir LDIF içeri aktarma dosyası kullanın:
dn: CN=NTDS
Settings,CN=DC1,CN=Servers,CN=site1,CN=Sites,CN=Configuration, DC=X
changetype: modify
add: queryPolicyobject
queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
Aşağıdaki komutu kullanarak içeri aktarın:
ldifde -i -f link-policy-dc.ldf -v -c DC=X DC= **forest root**
Bir site için LDIF içeri aktarma dosyası şunları içerebilir:
dn: CN=NTDS Site Settings,CN=site1,CN=Sites,CN=Configuration, DC=X
changetype: modify
add: queryPolicyobject
queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
Not
Ntdsutil.exe değeri yalnızca varsayılan sorgu ilkesinde görüntüler. Herhangi bir özel ilke tanımlanırsa, bunlar Ntdsutil.exe tarafından görüntülenmez.