DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 315071 - Última revisão: segunda-feira, 9 de Fevereiro de 2009 - Revisão: 7.0

 

Nesta página

Sumário

Este artigo passo a passo descreve como gerir políticas (LIGHTWEIGHT Directory Access Protocol) utilizando a ferramenta Ntdsutil.exe. Para garantir que podem suportar controladores de domínio garante a nível de serviço, tem de especificar limites operacionais para um número de operações LDAP. Estes limites impede que operações específicas de afectar negativamente o desempenho do servidor e também tornam o servidor mais resistente a alguns tipos de ataques.

Políticas LDAP são implementadas utilizando objectos da classe queryPolicy. Objectos de política de consulta podem ser criados no contentor de políticas de consulta, que é um subordinado do contentor de serviço de directório no contexto de nomenclatura de configuração. Por exemplo: cn = políticas de consulta, cn = serviço de directório, cn = Windows NT, cn = serviços de configuration naming context.

Limites de administração do Windows 2000 e Windows Server 2003 LDAP

Limites de administração LDAP são:
  • InitRecvTimeout - este valor define o tempo máximo de segundos que um controlador de domínio aguarda que o cliente enviar o primeiro pedido depois do controlador de domínio recebe uma nova ligação. Se o cliente não envia o primeiro pedido este período de tempo, o servidor desliga o cliente.

    Valor predefinido: 120 segundos
  • MaxActiveQueries - O número máximo de operações de procura LDAP simultâneas permitidas para executar em simultâneo num controlador de domínio. Quando este limite é atingido, o servidor LDAP devolve um erro "ocupado".

    Valor predefinido: 20

    Nota Este controlo tem uma interacção com o valor de MaxPoolThreads incorrecta. MaxPoolThreads é um controlo por processador, enquanto MaxActiveQueries define um número absoluto. A partir do Windows Server 2003, MaxActiveQueries já não é imposta. Além disso, MaxActiveQueries não aparece na versão do Windows Server 2003 do NTDSUTIL.

    Valor predefinido: 20
  • MaxConnections - O número máximo de ligações simultâneas de LDAP que um controlador de domínio irá aceitar. Se tiver uma ligação depois do controlador de domínio atinge este limite, o controlador de domínio ignora outra ligação.

    Valor predefinido: 5000
  • MaxConnIdleTime - O tempo máximo em segundos que o cliente pode estar inactivo antes do servidor LDAP encerra a ligação. Se uma ligação estiver inactiva durante mais do que desta vez, o servidor LDAP devolve um LDAP desliga notificação.

    Valor predefinido: 900 segundos
  • MaxDatagramRecv - O tamanho máximo de um pedido de datagrama de um controlador de domínio irá processar. Pedidos maiores do que o valor para MaxDatagramRecv são ignorados.

    Valor predefinido:
    • Windows 2000-1.024 bytes
    • Windows Server 2003 - 4.096 bytes
  • MaxNotificationPerConnection - O máximo número de pedidos pendentes notificação que são permitidos numa única ligação. Quando este limite é atingido o servidor devolve um erro "ocupado" a qualquer novo procuras de notificação que são executadas nessa ligação.

    Valor predefinido: 5
  • MaxPageSize - este valor controla o número máximo de objectos que são devolvidos no resultado da procura simples, independente de cada objecto devolvido como grande é. Para efectuar uma procura em que o resultado poderá exceder este número de objectos, o cliente tem de especificar o controlo de procura paginada. Isto serve para agrupar os resultados devolvidos em grupos não maiores do que o valor de MaxPageSize . Para resumir, MaxPageSize controla o número de objectos que são devolvidos no resultado da procura simples.

    Valor predefinido: 1.000
  • MaxPoolThreads - O número máximo de threads por processador que dedica um controlador de domínio para aguardar a rede de entrada ou saída (E/s). Este valor determina também o número máximo de threads por processador que possa trabalhar no pedidos LDAP ao mesmo tempo.

    Valor predefinido: 4 threads por processador
  • MaxResultSetSize - entre as procuras individuais que constituem uma procura paginada resultado, o controlador de domínio pode armazenar dados intermédios para o cliente. O controlador de domínio armazena estes dados para acelerar a parte seguinte da procura paginada resultado. O valor de MaxResultSize controla a quantidade total de dados que armazena o controlador de domínio para este tipo de procura. Quando este limite é atingido, o controlador de domínio elimina mais antiga destes resultados intermédios para criar espaço para armazenar novos resultados intermédios.

    Valor predefinido: 262.144 bytes
  • MaxQueryDuration - O tempo máximo em segundos que um controlador de domínio vai gastar numa única procura. Quando este limite é atingido, o controlador de domínio devolve um erro "timeLimitExceeded". Procuras que necessitam de mais tempo tem de especificar o controlo de resultados de bloco paginado.

    Valor predefinido: 120 segundos
  • MaxTempTableSize - enquanto uma consulta é processada, o dblayer poderá tentar criar uma tabela de base de dados temporária para ordenar e seleccionar resultados intermédios da. O limite de MaxTempTableSize controla como grande possível esta tabela de base de dados temporária. Se a tabela de base de dados temporária conteria objectos mais do que o valor para MaxTempTableSize , o dblayer executa uma análise muito menos eficiente de base de dados completa do DS e de todos os objectos na base de dados DS.

    Valor predefinido: 10.000 registos
  • MaxValRange - este valor controla o número de valores que são devolvidos para um atributo de um objecto, independentemente de quantos atributos que o objecto tem ou de objectos quantos estavam a ser o resultado da procura. No Windows 2000, este controlo é o "rígido" codificados em 1.000. Se um atributo tiver mais do que o número de valores especificados pelo valor MaxValRange , tem de utilizar controlos de intervalo do valor em LDAP para obter valores excederem o valor de MaxValRange . MaxValueRange controla o número de valores que são devolvidos num único atributo num único objecto.

    Valor predefinido:
    • Windows 2000-1024
    • Windows Server 2003 1.500

Iniciar Ntdsutil.exe


Ntdsutil.exe está localizado na pasta Support tools na instalação do Windows 2000 CD-ROM. Por predefinição, o Ntdsutil.exe é instalado na pasta System32.
  1. Clique em Iniciar e, em seguida, clique em Executar .
  2. Na caixa de texto Abrir , escreva ntdsutil e, em seguida, prima ENTER. Para visualizar a ajuda em qualquer altura, escreva ? na linha de comandos.

Visualizar definições de política actuais

  1. Na linha de comandos Ntdsutil.exe, escreva políticas LDAP e, em seguida, prima ENTER.
  2. Na linha de comandos LDAP política, escreva connections e prima ENTER.
  3. Na linha de comandos ligação do servidor, escreva connect to server nome DNS do servidor e, em seguida, prima ENTER. Pretende ligar ao servidor que está actualmente a trabalhar com.
  4. Na linha de comandos ligação do servidor, escreva q e, em seguida, prima ENTER para regressar ao menu anterior.
  5. Na linha de comandos LDAP política, escreva Mostrar valores e, em seguida, prima ENTER.

    Uma apresentação das políticas que existam aparece.

Modificar definições de política

  1. Na linha de comandos Ntdsutil.exe, escreva políticas LDAP e, em seguida, prima ENTER.
  2. Na linha de comandos LDAP política, escreva definir definição a variável e, em seguida, prima ENTER. Por exemplo, escreva Set MaxPoolThreads a 8 .

    Esta definição altera se adicionar outro processador ao seu servidor.
  3. Pode utilizar o comando Mostrar valores para verificar as alterações.

    Para guardar as alterações, utilize Consolidar alterações .
  4. Quando terminar, escreva q e, em seguida, prima ENTER.
  5. Para sair do Ntdsutil.exe, na linha de comandos, escreva q e, em seguida, prima ENTER.
Nota Este procedimento mostra apenas as definições de política predefinida de domínio. Se aplicar a sua própria definição de política, não conseguir ver...

Requisito de reinício

Se alterar os valores da política de consulta que está a utilizar um controlador de domínio, essas alterações têm efeito sem reiniciar o computador. No entanto, se for criada uma nova política de consulta, é necessário reiniciar para a nova política de consulta entrem em vigor.

Considerações para alterar valores de consulta

Para manter a resistência do servidor de domínio, não recomendamos a que aumente o valor de tempo de espera de 120 segundos. Formar consultas mais eficientes é uma solução preferencial. Para mais informações sobre como criar consultas eficientes, visite o seguinte Web site da Microsoft:
http://msdn2.microsoft.com/en-us/library/ms808539.aspx (http://msdn2.microsoft.com/en-us/library/ms808539.aspx)
No entanto, se alterar a consulta não for uma opção, aumente o valor de tempo limite apenas num controlador de domínio ou apenas num site. Para obter instruções, consulte a secção seguinte. Se a definição é aplicada a um controlador de domínio, reduza a prioridade de LDAP de DNS no controlador de domínio para que os clientes sejam menos provavelmente utilizar o servidor para autenticação. No controlador de domínio com a prioridade de aumento, utilize a seguinte definição de registo para definir LdapSrvPriority:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
No menu Editar , clique em Adicionar valor e, em seguida, adicione o seguinte valor de registo:
Nome da entrada: LdapSrvPriority
Tipo de dados: REG_DWORD
Valor: Defina o valor para o valor de prioridade que pretende.
Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
306602  (http://support.microsoft.com/kb/306602/ ) Como optimizar a localização de um controlador de domínio ou catálogo global que resida fora do site do cliente

Instruções para configurar por controlador de domínio ou por política local

  1. Crie uma nova política de consulta em:
    CN = políticas de consulta, CN = serviço de directório, CN = Windows NT, CN = Services, CN = Configuration, forest root
  2. Defina o controlador de domínio ou o site para apontar para a nova política introduzindo o nome distinto da nova política no atributo "Objecto da política de consulta". A localização do atributo é da seguinte forma:
    A localização para o controlador de domínio é:
    CN = NTDS Settings, CN = DomainControllerName, CN = Servers, CN = site name, CN = locais, CN = Configuration, forest root
    A localização para o site é:
    CN = NTDS Settings de locais, CN = site name, CN = locais, CN = Configuration, forest root

Script de exemplo

Pode utilizar o seguinte texto para criar um ficheiro Ldifde. Pode importar este ficheiro para criar a política com um valor de tempo limite de 10 minutos. Copie este texto para Ldappolicy.ldf e, em seguida, execute o seguinte comando, onde forest root é o nome distinto da raiz da floresta. Deixe DC = X como - é. Esta é uma constante que será substituída pelo nome de raiz de floresta quando o script é executado. O X constante não indica um nome de controlador de domínio.
ldifde -i -f ldappolicy.ldf - v - c DC = X DC = forest root

Início Ldifde script

dn: CN=Extended Timeout,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
changetype: add
instanceType: 4
lDAPAdminLimits: MaxReceiveBuffer=10485760
lDAPAdminLimits: MaxDatagramRecv=1024
lDAPAdminLimits: MaxPoolThreads=4
lDAPAdminLimits: MaxResultSetSize=262144
lDAPAdminLimits: MaxTempTableSize=10000
lDAPAdminLimits: MaxQueryDuration=300
lDAPAdminLimits: MaxPageSize=1000
lDAPAdminLimits: MaxNotificationPerConn=5
lDAPAdminLimits: MaxActiveQueries=20
lDAPAdminLimits: MaxConnIdleTime=900
lDAPAdminLimits: InitRecvTimeout=120
lDAPAdminLimits: MaxConnections=5000
objectClass: queryPolicy
showInAdvancedViewOnly: TRUE
Depois de importar o ficheiro, pode alterar os valores de consulta utilizando o Ldp.exe ou o Adsiedit.msc. A definição MaxQueryDuration este script é 5 minutos.

Nota Ntdsutil.exe apresenta apenas o valor na política de consulta predefinida. Se quaisquer políticas personalizadas forem definidas, não são apresentadas por Ntdsutil.exe.

Referências

243267  (http://support.microsoft.com/kb/243267/ ) Como automatizar o Ntdsutil.exe utilizando um script

A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
Palavras-chave: 
kbmt kbhowtomaster KB315071 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 315071  (http://support.microsoft.com/kb/315071/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft