DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 315071 - Última revisão: sexta-feira, 22 de setembro de 2006 - Revisão: 5.1

Nesta página

Sumário

Este artigo descreve detalhadamente como gerenciar as diretivas LDAP (Lightweight Directory Access Protocol), usando a ferramenta Ntdsutil.exe. Para verificar se os controladores de domínio podem dar suporte a garantias em nível de serviço, é necessário especificar limites operacionais de várias operações LDAP. Estes limites impedem que as operações específicas prejudiquem o desempenho do servidor e também tornam o servidor mais flexível a alguns tipos de ataques.

As diretivas LDAP são implementadas pelo uso de objetos da classe queryPolicy. Os objetos da diretiva de consulta podem ser criados no contêiner diretivas de consulta, que é filho do contêiner serviço de diretório no contexto de nomenclatura da configuração. Por exemplo: cn=Query-Policies, cn=Directory Service, cn=Windows NT, cn=Services contexto de nomenclatura da configuração.

Limites administrativos LDAP do Windows 2000 e do Windows Server 2003


Os limites administrativos LDAP são:
  • InitRecvTimeout - Este valor define o tempo de espera máximo, em segundos, de um controlador de domínio para que o cliente envie a primeira solicitação depois que o controlador de domínio receber uma nova conexão. Se o cliente não enviar a primeira solicitação neste período de tempo, o servidor o desconectará.

    Valor padrão: 120 segundos
  • MaxActiveQueries - O número máximo de operações de pesquisa LDAP simultâneas que podem ser executadas ao mesmo tempo em um controlador de domínio. Quando este limite for atingido, o servidor LDAP retornará um erro de "ocupado".

    Valor padrão: 20

    Observação Este controle tem uma interação incorreta com o valor MaxPoolThreads. MaxPoolThreads é um controle por processador, enquanto MaxActiveQueries define um número absoluto. Se você iniciar o Windows Server 2003, o valor MaxActiveQueries deixará de ser aplicado. Além disso, MaxActiveQueries não aparece na versão Windows Server 2003 de NTDSUTIL.

    Valor padrão: 20
  • MaxConnections - O número máximo de conexões LDAP simultâneas que serão aceitas por um controlador de domínio. Se uma conexão surgir depois de o controlador de domínio atingir este limite, ele cancelará a outra conexão.

    Valor padrão: 5000
  • MaxConnIdleTime - O tempo máximo, em segundos, durante o qual o cliente pode ficar ocioso antes de o servidor LDAP fechar a conexão. Se uma conexão ficar ociosa por mais tempo, o servidor LDAP retornará uma notificação de desconexão LDAP.

    Valor padrão: 900 segundos
  • MaxDatagramRecv - O tamanho máximo de uma solicitação de datagrama que um controlador de domínio irá processar. As solicitações maiores do que o valor para MaxDatagramRecv serão ignoradas.

    Padrão: 1.024 bytes
  • MaxNotificationPerConnection - O número máximo de solicitações de notificação pendentes permitidas em uma única conexão. Ao atingir este limite, o servidor retorna um erro de "ocupado" para todas as novas pesquisas de notificação realizadas nesta conexão.

    Valor padrão: 5
  • MaxPageSize - Este valor controla o número máximo de objetos retornados em um único resultado de pesquisa, independentemente do tamanho de cada objeto retornado. Para realizar uma pesquisa em que o resultado possa exceder este número de objetos, o cliente deve especificar o controle de pesquisa paginável. Este controle serve para agrupar os resultados retornados em grupos que não excedam o valor MaxPageSize. Em resumo, MaxPageSize controla o número de objetos retornados em um único resultado de pesquisa.

    Valor padrão: 1,000
  • MaxPoolThreads - O número máximo de encadeamentos por processador aos quais um controlador de domínio se dedica em escutar a E/S de rede. Este valor também determina o número máximo de encadeamentos por processador que funcionam nas solicitações LDAP ao mesmo tempo.

    Valor padrão: 4 encadeamentos por processador
  • MaxResultSetSize - Entre as pesquisas individuais que formam uma pesquisa paginável de resultados, o controlador de domínio pode armazenar dados intermediários para o cliente. O controlador de domínio armazena estes dados para acelerar a próxima parte da pesquisa paginável de resultados. O valor de MaxResultSize controla a quantidade total de dados armazenada pelo controlador de domínio para este tipo de pesquisa. Ao atingir este limite, o controlador de domínio descartará os resultados intermediários mais antigos para criar espaço para armazenar novos resultados intermediários.

    Valor padrão: 262.144 bytes
  • MaxQueryDuration - O tempo máximo, em segundos, que um controlador de domínio gasta em uma única pesquisa. Ao atingir este limite, o controlador de domínio retornará um erro "timeLimitExceeded". As pesquisas que exigem mais tempo devem especificar o controle de resultados paginados.

    Valor padrão: 120 segundos
  • MaxTempTableSize - Enquanto uma consulta é processada, o dblayer pode tentar criar uma tabela de banco de dados temporária pela qual classifica e seleciona resultados intermediários. O limite MaxTempTableSize controla o tamanho máximo permitido para esta tabela de banco de dados temporária. Se a tabela de banco de dados temporária contiver mais objetos que o valor para MaxTempTableSize, dblayer realizará uma análise muito menos eficiente do banco de dados DS completo e de todos os objetos no banco de dados DS.

    Valor padrão: 10.000 registros
  • MaxValRange - Este valor controla o número de valores retornados para um atributo de um objeto, independente de quantos atributos este objeto tem ou de quantos objetos estavam no resultado de pesquisa. No Windows 2000, este controle é embutido em código em 1.000. Se um atributo tiver mais que o número de valores especificados pelo valor MaxValRange, será necessário usar controles de intervalo no LDAP para recuperar valores que excedem o valor MaxValRange. MaxValueRange controla o número de valores retornados em um único atributo de um único objeto.

Iniciando Ntdsutil.exe


O Ntdsutil.exe está localizado na pasta Ferramentas de suporte no CD-ROM de instalação do Windows 2000. Por padrão, Ntdsutil.exe é instalado na pasta System32.
  1. Clique em Iniciar e em Executar.
  2. Na caixa de texto Abrir, digite ntdsutil e pressione ENTER. Para exibir a ajuda a qualquer momento, digite ? no prompt de comando.

Exibindo configurações de diretivas atuais

  1. No prompt de comando de Ntdsutil.exe, digite diretivas LDAP e pressione ENTER.
  2. No prompt de comando das diretivas LDAP, digite conexões e pressione ENTER.
  3. No prompt de comando de conexão do servidor, digite conectar-se ao servidor nome_DNS_do_servidor e pressione ENTER. Convém conectar-se ao servidor com o qual você está trabalhando no momento.
  4. No prompt de comando de conexão do servidor, digite q e pressione ENTER para retornar ao menu anterior.
  5. No prompt de comando das diretivas LDAP, digite Mostrar Valores e pressione ENTER.

    Uma exibição das diretivas existentes aparece.

Modificando configurações de diretivas

  1. No prompt de comando de Ntdsutil.exe, digite diretivas LDAP e pressione ENTER.
  2. No prompt de comando das diretivas LDAP, digite Definir configuração como variável e pressione ENTER. Por exemplo, digite Definir MaxPoolThreads para 8.

    Esta configuração altera se você adicionar outro processador ao servidor.
  3. É possível usar o comando Mostrar Valores para verificar as alterações.

    Para salvar as alterações, use Confirmar Alterações.
  4. Quando terminar, digite q e pressione ENTER.
  5. Para encerrar o Ntdsutil.exe, digite q, no prompt de comando, e pressione ENTER.


Observação Este procedimento apenas mostra as configurações de diretivas de domínio padrão. Se você aplicar sua própria configuração de diretivas, não será possível visualizá-la.

Considerações para alteração dos valores de consultas

Para manter a resistência do servidor de domínios, não é aconselhável aumentar o valor de tempo limite de 120 segundos. A solução preferível é formar consultas mais eficientes. Para obter mais informações sobre a criação de consultas eficientes, visite o seguinte site da Microsoft (em inglês):
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnactdir/html/efficientadapps.asp (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnactdir/html/efficientadapps.asp)
No entanto, se não for possível alterar a consulta, aumente o valor do tempo limite apenas em um controlador de domínio ou em um site. Para obter instruções, consulte a próxima seção. Se a configuração for aplicada a um controlador de domínio, reduza a prioridade LDAP do DSN no controlador de domínio para diminuir as chances de os clientes usarem o servidor para autenticação. No controlador de domínio com a prioridade de aumento, use a seguinte configuração do Registro para definir LdapSrvPriority:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
No menu Editar, clique em Adicionar Valor e adicione o seguinte valor do Registro:
Nome da entrada: LdapSrvPriority
Tipo de dados: REG_DWORD
Valor: Defina o valor para o valor da prioridade desejada.
Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados do Conhecimento Microsoft (a página pode estar em inglês):
306602  (http://support.microsoft.com/kb/306602/ ) Como otimizar o local de um controlador de domínio ou de um catálogo global que reside fora do site de um cliente

Instruções para configurar por controlador de domínio ou por diretiva de site

  1. Crie uma nova diretiva de consulta em:
    CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,raiz da floresta
  2. Defina o controlador de domínio ou o site para apontar para a nova diretiva, inserindo o nome distinto da nova diretiva no atributo "Query-Policy-Object". A localização do atributo é:
    A localização do controlador de domínio é:
    CN=NTDS Settings, CN=DomainControllerName,CN=Servers,CN=nome do site,CN=Sites,CN=Configuration,raiz da floresta
    A localização do site é:
    CN=NTDS Site Settings,CN=nome do site,CN=Sites,CN=Configuration,raiz da floresta

Script de exemplo

É possível usar o texto a seguir para criar um arquivo Ldifde. Este arquivo pode ser importado para criar a diretiva com um valor de tempo limite igual a 10 minutos. Copie este texto para Ldappolicy.ldf e execute o seguinte comando, em que raiz da floresta é o nome distinto da raiz da floresta. Deixe DC=X no estado em que se encontra. Isto é uma constante que será substituída por um nome raiz de floresta quando o script for executado. A constante X não indica um nome de controlador de domínio.
ldifde -i -f ldappolicy.ldf -v -c DC=X DC=raiz da floresta

Start Ldifde script

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X changetype: add instanceType: 4 lDAPAdminLimits: MaxReceiveBuffer=10485760 lDAPAdminLimits: MaxDatagramRecv=1024 lDAPAdminLimits: MaxPoolThreads=4 lDAPAdminLimits: MaxResultSetSize=262144 lDAPAdminLimits: MaxTempTableSize=10000 lDAPAdminLimits: MaxQueryDuration=300 lDAPAdminLimits: MaxPageSize=1000 lDAPAdminLimits: MaxNotificationPerConn=5 lDAPAdminLimits: MaxActiveQueries=20 lDAPAdminLimits: MaxConnIdleTime=900 lDAPAdminLimits: InitRecvTimeout=120 lDAPAdminLimits: MaxConnections=5000 objectClass: queryPolicy showInAdvancedViewOnly: TRUE
Depois de importar o arquivo, será possível alterar os valores da consulta, usando Adsiedit.msc ou Ldp.exe. A configuração MaxQueryDuration neste script é de 5 minutos.

Observação O Ntdsutil.exe apenas exibe o valor na diretiva de consulta padrão. Se uma diretiva personalizada for definida, ela não será exibida pelo Ntdsutil.exe.

Referências

243267  (http://support.microsoft.com/kb/243267/ ) Como automatizar Ntdsutil.exe usando um script

A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Palavras-chave: 
kbhowtomaster KB315071
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store