Exibir e definir a política LDAP no Active Directory usando Ntdsutil.exe

Este artigo descreve como gerenciar políticas LDAP (Lightweight Directory Access Protocol) usando a ferramenta Ntdsutil.exe.

Aplica-se a:   Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número KB original:   315071

Resumo

Para garantir que os controladores de domínio possam dar suporte a garantias de nível de serviço, você deve especificar limites operacionais para muitas operações LDAP. Esses limites impedem que operações específicas afetem adversamente o desempenho do servidor. Eles também fazem com que o servidor seja mais resiliente a alguns tipos de ataques.

As políticas LDAP são implementadas usando objetos da queryPolicy classe. Os objetos de Política de Consulta podem ser criados no contêiner Políticas de Consulta, que é filho do contêiner de Serviço de Diretório no contexto de nomenização de configuração. Por exemplo, cn=Query-Policies,cn=Directory Service,cn=Windows NT,cn=Services configuration noming context.

Limites de administração LDAP

Os limites de administração LDAP são:

  • InitRecvTimeout - Esse valor define o tempo máximo em segundos que um controlador de domínio aguarda para que o cliente envie a primeira solicitação depois que o controlador de domínio recebe uma nova conexão. Se o cliente não enviar a primeira solicitação nesse período de tempo, o servidor desconecta o cliente.

    Valor padrão: 120 segundos

  • MaxActiveQueries - O número máximo de operações de pesquisa LDAP simultâneas que têm permissão para executar ao mesmo tempo em um controlador de domínio. Quando esse limite é atingido, o servidor LDAP retorna um erro de ocupado.

    Valor padrão: 20

    Observação

    Esse controle tem uma interação incorreta com o valor MaxPoolThreads. MaxPoolThreads é um controle por processador, enquanto MaxActiveQueries define um número absoluto. A partir do Windows Server 2003, MaxActiveQueries não é mais imposto. Além disso, MaxActiveQueries não aparece na versão Windows Server 2003 do NTDSUTIL.

    Valor padrão: 20

  • MaxConnections - O número máximo de conexões LDAP simultâneas que um controlador de domínio aceitará. Se uma conexão entrar depois que o controlador de domínio atingir esse limite, o controlador de domínio baixará outra conexão.

    Valor padrão: 5000

  • MaxConnIdleTime - O tempo máximo em segundos em que o cliente pode ficar ocioso antes que o servidor LDAP feche a conexão. Se uma conexão estiver ociosa por mais de esse tempo, o servidor LDAP retornará uma notificação de desconexão LDAP.

    Valor padrão: 900 segundos

  • MaxDatagramRecv - O tamanho máximo de uma solicitação de datagram que um controlador de domínio processará. As solicitações que são maiores do que o valor para MaxDatagramRecv são ignoradas.

    Valor padrão: 4.096 bytes

  • MaxNotificationPerConnection - O número máximo de solicitações de notificação pendentes permitidas em uma única conexão. Quando esse limite é atingido, o servidor retorna um erro de ocupado para quaisquer novas pesquisas de notificação realizadas nessa conexão.

    Valor padrão: 5

  • MaxPageSize - Esse valor controla o número máximo de objetos retornados em um único resultado de pesquisa, independentemente do tamanho de cada objeto retornado. Para executar uma pesquisa em que o resultado possa exceder esse número de objetos, o cliente deve especificar o controle de pesquisa pagedo. É para agrupar os resultados retornados em grupos que não são maiores do que o valor MaxPageSize. Para resumir, MaxPageSize controla o número de objetos retornados em um único resultado de pesquisa.

    Valor padrão: 1.000

  • MaxPoolThreads - O número máximo de threads por processador que um controlador de domínio dedica à escuta para entrada de rede ou saída (E/S). Esse valor também determina o número máximo de threads por processador que podem funcionar em solicitações LDAP ao mesmo tempo.

    Valor padrão: 4 threads por processador

  • MaxResultSetSize - Entre as pesquisas individuais que comizam uma pesquisa de resultados páginada, o controlador de domínio pode armazenar dados intermediários para o cliente. O controlador de domínio armazena esses dados para acelerar a próxima parte da pesquisa de resultados páginada. O valor MaxResultSize controla a quantidade total de dados que o controlador de domínio armazena para esse tipo de pesquisa. Quando esse limite é atingido, o controlador de domínio descarta o mais antigo desses resultados intermediários para dar espaço para armazenar novos resultados intermediários.

    Valor padrão: 262.144 bytes

  • MaxQueryDuration - O tempo máximo em segundos que um controlador de domínio gastará em uma única pesquisa. Quando esse limite é atingido, o controlador de domínio retorna um erro " timeLimitExceed". Pesquisas que exigem mais tempo devem especificar o controle de resultados pagedos.

    Valor padrão: 120 segundos

  • MaxTempTableSize - Embora uma consulta seja processada, a opção pode tentar criar uma tabela de banco de dados temporária para classificar e selecionar resultados dblayer intermediários. O limite MaxTempTableSize controla o tamanho dessa tabela de banco de dados temporária. Se a tabela de banco de dados temporária conteria mais objetos do que o valor de MaxTempTableSize, a tabela executaria uma análise muito menos eficiente do banco de dados DS completo e de todos os objetos no banco de dados dblayer DS.

    Valor padrão: 10.000 registros

  • MaxValRange - Esse valor controla o número de valores retornados para um atributo de um objeto, independentemente de quantos atributos esse objeto tem ou de quantos objetos estavam no resultado da pesquisa. No Windows 2000, esse controle é codificado em 1.000. Se um atributo tiver mais do que o número de valores especificados pelo valor MaxValRange, você deverá usar controles de intervalo de valores em LDAP para recuperar valores que excedem o valor MaxValRange. MaxValueRange controla o número de valores retornados em um único atributo em um único objeto.

    • Valor mínimo: 30
    • Valor padrão: 1500

Iniciar Ntdsutil.exe

Ntdsutil.exe está localizado na pasta Ferramentas de Suporte no CD-ROM Windows instalação. Por padrão, Ntdsutil.exe é instalado na pasta System32.

  1. Clique em Iniciar e em Executar.
  2. Na caixa de texto Abrir, digite ntdsutil e pressione ENTER. Para exibir a ajuda a qualquer momento, digite ? no prompt de comando.

Exibir configurações de política atuais

  1. No prompt Ntdsutil.exe de comando, digite LDAP policies e pressione ENTER.
  2. No prompt de comando de política LDAP, digite connections e pressione ENTER.
  3. No prompt de comando de conexão do servidor, digite connect to server <DNS name of server> e pressione ENTER. Você deseja se conectar ao servidor com o que está trabalhando no momento.
  4. No prompt de comando de conexão do servidor, digite e pressione **q** ENTER para retornar ao menu anterior.
  5. No prompt de comando de política LDAP, digite Show Values e pressione ENTER.

Uma exibição das políticas conforme elas existem é exibida.

Modificar configurações de política

  1. No prompt Ntdsutil.exe de comando, digite LDAP policies e pressione ENTER.

  2. No prompt de comando de política LDAP, digite Set <setting> to <variable> e pressione ENTER. Por exemplo, digite Definir MaxPoolThreads como 8.

    Essa configuração muda se você adicionar outro processador ao seu servidor.

  3. Você pode usar o Show Values comando para verificar suas alterações.

    Para salvar as alterações, use Commit Changes.

  4. Quando terminar, digite q e pressione ENTER.

  5. Para sair Ntdsutil.exe, no prompt de comando, digite q e pressione ENTER.

Observação

Este procedimento mostra apenas as configurações de Política de Domínio Padrão. Se você aplicar sua própria configuração de política, não poderá vê-la.

Requisito de reinicialização

Se você alterar os valores da política de consulta que um controlador de domínio está usando no momento, essas alterações entrarão em vigor sem uma reinicialização. No entanto, se uma nova política de consulta for criada, uma reinicialização será necessária para que a nova política de consulta entre em vigor.

Considerações sobre como alterar valores de consulta

Para manter a resiliência do servidor de domínio, não recomendamos que você aumente o valor de tempo de tempo de 120 segundos. A formação de consultas mais eficientes é uma solução preferencial. Para obter mais informações sobre como criar consultas eficientes, consulte Creating More Efficient Microsoft Active Directory-Enabled Applications.

No entanto, se alterar a consulta não for uma opção, aumente o valor do tempo-de-tempo somente em um controlador de domínio ou somente em um site. Para obter instruções, consulte a próxima seção. Se a configuração for aplicada a um controlador de domínio, reduza a prioridade LDAP DNS no controlador de domínio, para que os clientes usem menos o servidor para autenticação. No controlador de domínio com prioridade de aumento, use a seguinte configuração do Registro para definir LdapSrvPriority :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

No menu Editar, selecione Adicionar Valor e adicione o seguinte valor do Registro:

  • Nome da entrada: LdapSrvPriority
  • Tipo de dados: REG_DWORD
  • Valor: de definir o valor como o valor da prioridade que você deseja.

Para obter mais informações, consulte Como otimizar a localizaçãode um controlador de domínio ou catálogo global que reside fora do site de um cliente.

Instruções para configurar por controlador de domínio ou por política de site

  1. Crie uma nova política de consulta em CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, forest root.

  2. De definir o controlador de domínio ou o site para apontar para a nova política inserindo o nome diferenciado da nova política no atributo Query-Policy-Object. O local do atributo é o seguinte:

    • O local do controlador de domínio é CN=NTDS Configurações, CN= DomainControllerName, CN=Servers,CN= nome do site,CN=Sites,CN=Configuration, raiz da floresta .

    • O local do site é CN=NTDS Site Configurações,CN= nome do site,CN=Sites,CN=Configuração, raiz da floresta.

Amostra de script

Você pode usar o texto a seguir para criar um arquivo Ldifde. Você pode importar esse arquivo para criar a política com um valor de tempo de 10 minutos. Copie este texto para Ldappolicy.ldf e execute o seguinte comando, onde a raiz da floresta é o nome diferenciado da raiz da sua floresta. Deixe DC=X como está. É uma constante que será substituída pelo nome raiz da floresta quando o script for executado. A constante X não indica um nome de controlador de domínio.

ldifde -i -f ldappolicy.ldf -v -c DC=X DC= forest root

Iniciar script Ldifde

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X  
changetype: add  
instanceType: 4  
lDAPAdminLimits: MaxReceiveBuffer=10485760  
lDAPAdminLimits: MaxDatagramRecv=1024  
lDAPAdminLimits: MaxPoolThreads=4  
lDAPAdminLimits: MaxResultSetSize=262144  
lDAPAdminLimits: MaxTempTableSize=10000  
lDAPAdminLimits: MaxQueryDuration=300  
lDAPAdminLimits: MaxPageSize=1000  
lDAPAdminLimits: MaxNotificationPerConn=5  
lDAPAdminLimits: MaxActiveQueries=20  
lDAPAdminLimits: MaxConnIdleTime=900  
lDAPAdminLimits: InitRecvTimeout=120  
lDAPAdminLimits: MaxConnections=5000  
objectClass: queryPolicy  
showInAdvancedViewOnly: TRUE

Depois de importar o arquivo, você pode alterar os valores de consulta usando Adsiedit.msc ou Ldp.exe. A configuração MaxQueryDuration neste script é de 5 minutos.

Para vincular a política a um DC, use um arquivo de importação LDIF assim:

dn: CN=NTDS  
Settings,CN=DC1,CN=Servers,CN=site1,CN=Sites,CN=Configuration, DC=X  
changetype: modify  
add: queryPolicyobject  
queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X

Importá-lo usando o seguinte comando:

ldifde -i -f link-policy-dc.ldf -v -c DC=X DC= **forest root**

Para um site, o arquivo de importação LDIF conteria:

dn: CN=NTDS Site Settings,CN=site1,CN=Sites,CN=Configuration, DC=X  
changetype: modify  
add: queryPolicyobject  
queryPolicyobject: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X

Observação

Ntdsutil.exe exibe apenas o valor na política de consulta padrão. Se alguma política personalizada for definida, elas não serão exibidas por Ntdsutil.exe.