DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 315071 - Ultima modifica: venerdì 6 ottobre 2006 - Revisione: 5.4

In questa pagina

Sommario

In questo articolo viene descritto in dettaglio come gestire i criteri LDAP (Lightweight Directory Access Protocol) utilizzando lo strumento Ntdsutil.exe. Per assicurare che i controller di dominio siano in grado di supportare garanzie a livello di servizio, è necessario specificare per diverse operazioni LDAP i limiti operativi, che impediscono a specifiche operazioni di influire negativamente sulle prestazioni del server oltre a rendere il server meno vulnerabile ad alcuni tipi di attacchi.

I criteri LDAP vengono implementati utilizzando oggetti della classe queryPolicy. È possibile creare gli oggetti Criteri query nel contenitore dei criteri query, figlio del contenitore Servizio directory nel contesto dei nomi di configurazione. Ad esempio: cn=Query-Policies, cn=Directory Service, cn=Windows NT, cn=Services contesto dei nomi di configurazione.

Limiti di amministrazione LDAP di Windows 2000 e Windows Server 2003


I limiti di amministrazione LDAP sono i seguenti:
  • InitRecvTimeout - Questo valore definisce il tempo massimo di attesa, in secondi, da parte di un controller di dominio per l'invio della prima richiesta dal client dopo che il controller di dominio ha ricevuto una nuova connessione. Se il client non invia la prima richiesta entro questo periodo di tempo, viene disconnesso dal server.

    Valore predefinito: 120 secondi
  • MaxActiveQueries - Numero massimo di operazioni di ricerca LDAP simultanee di cui è contemporaneamente consentita l'esecuzione su un controller di dominio. Quando si raggiunge tale limite, il server LDAP restituisce un errore "occupato".

    Valore predefinito: 20

    Note Questo controllo interagisce in modo non corretto con il valore MaxPoolThreads. MaxPoolThreads è un controllo per processore, mentre MaxActiveQueries definisce un numero assoluto. A partire da Windows Server 2003, MaxActiveQueries non è più imposto. Inoltre, MaxActiveQueries non viene visualizzato nella versione per Windows Server 2003 di NTDSUTIL.

    Valore predefinito: 20
  • MaxConnections - Numero massimo di connessioni LDAP simultanee che verranno accettate da un controller di dominio. Se viene stabilita una connessione dopo che è stato raggiunto questo limite, il controller di dominio interrompe un'altra connessione.

    Valore predefinito: 5000
  • MaxConnIdleTime - Tempo massimo, in secondi, in cui il client può rimanere inattivo prima che la connessione venga chiusa dal server LDAP. Se una connessione rimane inattiva per un tempo più lungo, il server LDAP restituisce una notifica di disconnessione LDAP.

    Valore predefinito: 900 secondi
  • MaxDatagramRecv - Dimensione massima di una richiesta di datagramma che verrà elaborata da un controller di dominio. Le richieste con una dimensione maggiore di quella indicata dal valore di MaxDatagramRecv verranno ignorate.

    Predefinito: 1.024 byte
  • MaxNotificationPerConnection - Numero massimo di richieste di notifica da evadere consentite in una singola connessione. Quando si raggiunge tale limite, il server restituisce un errore "occupato" a eventuali nuove ricerche di notifiche eseguite durante tale connessione.

    Valore predefinito: 5
  • MaxPageSize - Questo valore controlla il numero massimo di oggetti restituiti in un singolo risultato di ricerca indipendentemente dalla dimensione di ogni oggetto restituito. Per eseguire una ricerca in cui il risultato possa superare questo numero di oggetti, è necessario che il client specifichi il controllo di ricerca per pagina. Lo scopo è quello di riunire i risultati restituiti in gruppi non più grandi del valore MaxPageSize. In breve, MaxPageSize controlla il numero di oggetti restituiti in un singolo risultato di ricerca.

    Valore predefinito: 1.000
  • MaxPoolThreads - Numero massimo di thread per processore che un controller di dominio dedica all'ascolto dell'input o output (I/O) di rete. Questo valore determina inoltre il numero massimo di thread per processore in grado di elaborare contemporaneamente le richieste LDAP.

    Valore predefinito: 4 thread per processore
  • MaxResultSetSize - Tra le singole ricerche che costituiscono una ricerca di risultati per pagina, è possibile che il controller di dominio archivi i dati intermedi per il client. Il controller di dominio archivia questi dati per velocizzare la parte successiva della ricerca di risultati per pagina. Il valore MaxResultSize controlla la quantità totale di dati archiviati dal controller di dominio per questo genere di ricerca. Quando viene raggiunto il limite, il controller di dominio elimina i risultati intermedi meno recenti al fine di creare spazio per l'archiviazione di nuovi risultati intermedi.

    Valore predefinito: 262.144 byte
  • MaxQueryDuration - Tempo massimo, in secondi, impiegato da un controller di dominio per una singola ricerca. Quando si raggiunge tale limite, il controller di dominio restituisce un errore analogo a "Superato limite di tempo". Per le ricerche che richiedono più tempo è necessario specificare il controllo dei risultati per pagina.

    Valore predefinito: 120 secondi
  • MaxTempTableSize - Durante l'elaborazione di una query, è possibile che il livello di database cerchi di creare una tabella di database temporanea da cui ordinare e selezionare i risultati. Il limite MaxTempTableSize controlla la dimensione massima di questa tabella di database temporanea. Se la tabella di database temporanea contenesse più oggetti di quelli indicati dal valore di MaxTempTableSize, il livello di database eseguirebbe un'analisi molto meno efficiente del database DS completo e di tutti gli oggetti del database DS.

    Valore predefinito: 10.000 record
  • MaxValRange - Questo valore controlla il numero di valori restituiti per un attributo di un oggetto, indipendentemente dal numero di attributi di tale oggetto o dal numero di oggetti presenti nel risultato della ricerca. In Windows 2000 questo controllo è hardcoded su 1.000. Se un attributo contiene un numero di valori maggiore di quelli specificati dal valore MaxValRange, è necessario utilizzare i controlli dell'intervallo di valori in LDAP per recuperare i valori che superano il valore MaxValRange. MaxValueRange controlla il numero di valori restituiti in un solo attributo di un solo oggetto.

Avvio di Ntdsutil.exe


Ntdsutil.exe si trova nella cartella Strumenti di supporto del CD di installazione di Windows 2000. Per impostazione predefinita, Ntdsutil.exe è installato nella cartella System32:
  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella di testo Apri digitare ntdsutil, quindi premere INVIO. Per visualizzare la Guida in linea in qualsiasi momento, digitare ? al prompt dei comandi.

Visualizzazione delle impostazioni correnti relative ai criteri

  1. Al prompt dei comandi di Ntdsutil.exe digitare LDAP policies e premere INVIO.
  2. Al prompt dei comandi del criterio LDAP digitare connections e premere INVIO.
  3. Al prompt dei comandi della connessione al server digitare connect to server nome DNS del server e premere INVIO. Si desidera connettersi al server attualmente in uso.
  4. Al prompt dei comandi della connessione al server digitare q e premere INVIO per tornare al menu precedente.
  5. Al prompt dei comandi del criterio LDAP digitare Show Values e premere INVIO.

    Viene visualizzata una schermata con i criteri esistenti.

Modifica delle impostazioni relative ai criteri

  1. Al prompt dei comandi di Ntdsutil.exe digitare LDAP policies e premere INVIO.
  2. Al prompt dei comandi del criterio LDAP digitare Set impostazione to variabile e premere INVIO. Digitare ad esempio Set MaxPoolThreads to 8.

    Questa impostazione viene modificata se si aggiunge un altro processore al server.
  3. È possibile utilizzare il comando Show Values per verificare le modifiche.

    Per salvare le modifiche, utilizzare Commit Changes.
  4. Al termine, digitare q e premere INVIO.
  5. Per chiudere Ntdsutil.exe, al prompt dei comandi digitare q e premere INVIO.


Nota In questa procedura vengono mostrate solo le impostazioni del criterio di dominio predefinito. Se si applica l'impostazione del criterio personalizzata, non sarà possibile visualizzarla.

Considerazioni sulla modifica dei valori nelle query

Per non compromettere le difese del server di dominio, si consiglia di non aumentare il valore di timeout di 120 secondi. Una soluzione migliore consiste nella creazione di query più efficienti. Per ulteriori informazioni sulla creazione di query efficienti, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnactdir/html/efficientadapps.asp (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnactdir/html/efficientadapps.asp)
Tuttavia, se non è possibile modificare la query, aumentare il valore di timeout in un solo controller di dominio o in un solo sito. Per le istruzioni, vedere la sezione successiva. Se l'impostazione viene applicata a un solo controller di dominio, ridurre la priorità LDAP DNS sul controller di dominio in modo che sia meno probabile che i client utilizzino il server per l'autenticazione. Sul controller di dominio in cui viene aumentata la priorità, utilizzare la seguente impostazione del Registro di sistema per impostare LdapSrvPriority:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Scegliere Aggiungi valore dal menu Modifica, quindi aggiungere il seguente valore del Registro di sistema:
Nome voce: LdapSrvPriority
Tipo dati: REG_DWORD
Valore: Impostare il valore sul valore della priorità desiderata.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
306602  (http://support.microsoft.com/kb/306602/ ) Ottimizzazione della posizione di un controller di dominio o di un catalogo globale che si trova all'esterno del sito di un client

Istruzioni per la configurazione per controller di dominio o per criterio di sito

  1. Creare un nuovo criterio query in:
    CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,radice della foresta
  2. Impostare il controller di dominio o il sito in modo che faccia riferimento al nuovo criterio immettendo il nome distinto del nuovo criterio nell'attributo "Query-Policy-Object". La posizione dell'attributo è la seguente:
    La posizione del controller di dominio è:
    CN=NTDS Settings, CN=NomeControllerDominio,CN=Servers,CN=nome sito,CN=Sites,CN=Configuration,radice della foresta
    La posizione del sito è:
    CN=NTDS Site Settings,CN=nome sito,CN=Sites,CN=Configuration,radice della foresta

Script di esempio

È possibile utilizzare il seguente testo per creare un file Ldifde. È possibile importare questo file per creare il criterio con un valore di timeout di 10 minuti. Copiare questo testo in Ldappolicy.ldf, quindi eseguire il seguente comando, dove radice della foresta è il nome distinto dell'elemento principale dell'insieme di strutture. Non modificare DC=X. Si tratta di una costante che verrà sostituita dal nome della radice della foresta durante l'esecuzione dello script. La costante X non indica un nome di controller di dominio.
ldifde -i -f ldappolicy.ldf -v -c DC=X DC=radice della foresta

Avviare lo script Ldifde

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X 
changetype: add 
instanceType: 4 
lDAPAdminLimits: MaxReceiveBuffer=10485760 
lDAPAdminLimits: MaxDatagramRecv=1024 
lDAPAdminLimits: MaxPoolThreads=4 
lDAPAdminLimits: MaxResultSetSize=262144 
lDAPAdminLimits: MaxTempTableSize=10000 
lDAPAdminLimits: MaxQueryDuration=300 
lDAPAdminLimits: MaxPageSize=1000 
lDAPAdminLimits: MaxNotificationPerConn=5 
lDAPAdminLimits: MaxActiveQueries=20 
lDAPAdminLimits: MaxConnIdleTime=900 
lDAPAdminLimits: InitRecvTimeout=120 
lDAPAdminLimits: MaxConnections=5000 
objectClass: queryPolicy 
showInAdvancedViewOnly: TRUE
Dopo l'importazione del file, è possibile modificare i valori della query utilizzando Adsiedit.msc o Ldp.exe. L'impostazione MaxQueryDuration in questo script è pari a 5 minuti.

Nota Ntdsutil.exe visualizza solo il valore nel criterio query predefinito. Eventuali criteri personalizzati definiti non vengono visualizzati da Ntdsutil.exe.

Riferimenti

243267  (http://support.microsoft.com/kb/243267/ ) Automazione di Ntdsutil.exe mediante uno script

Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Chiavi: 
kbhowtomaster KB315071
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store