Anmelden

Select the product you need help with

Wie Sie Performance-tuning f�r NTLM-Authentifizierung mithilfe der Einstellung MaxConcurrentApi

Artikel-ID: 2688798 - Produkte anzeigen, auf die sich dieser Artikel bezieht

Hinweis: Dies ist ein maschinell �bersetzter Artikel.

Maschinell-�bersetzte und englische Version des Artikels nebenander anzeigen

Alles erweitern | Alles schlie�en

Einf�hrung

Vor kurzem gab es ein Aufschwung in der Verbraucherorientierung von Unternehmens-Informationstechnologie zusammen mit der Zunahme der Consumer-orientierten Ger�ten wie Smartphones und Tablet-PCs. Dadurch steigt die Anzahl der Szenarios, in dem Unternehmen einen massiven Anstieg der legacy-Authentifizierung in ihrer Enterprise-Umgebungen auftreten k�nnen. Dieser Anstieg der legacy-Authentifizierung k�nnte zu Performance-Problemen, z. B. Verz�gerungen oder Timeouts f�r Clients f�hren.

Wenn Sie Authentifizierungstimeouts oder Verz�gerungen, auch bekannt als MaxConcurrentApi Engp�sse in einer Umgebung entdecken ist der typische Weg zur L�sung des Problems erh�hen den maximalen zul�ssigen Arbeitnehmer diesen Dienst die Authentifizierung threads. Dazu �ndern den Registrierungswert MaxConcurrentApi und anschlie�end neu starten den Anmeldedienst auf den Servern.

Opfer des Engpasses, welche Server identifiziert werden und welche Server tats�chlich die Quelle der Engpass Verz�gerungen sind k�nnen schwierig sein. Dieser Artikel beschreibt, wie zu tun, Performance-tuning f�r NT LAN Manager (NTLM)-Authentifizierung mithilfe der Einstellung MaxConcurrentApi. Dieser Artikel enth�lt Anleitungen f�r Administratoren bei der Identifizierung der Server, auf denen erh�hen den Wert MaxConcurrentApi und der Betrag, den dieser Wert festgelegt werden muss.

Zum Anfang | Ihr Feedback an uns

L�sung

Wichtig Dieser Abschnitt, Methode oder Aufgabe enth�lt Hinweise zum �ndern der Registrierungs. Jedoch k�nnen schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch �ndern. Stellen Sie daher sicher, dass Sie diese Schritte sorgf�ltig ausf�hren. F�r zus�tzlichen Schutz sichern Sie die Registrierung, bevor Sie es �ndern. Anschlie�end k�nnen Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:

322756

(http://support.microsoft.com/kb/322756/ )

Wie Sichern und Wiederherstellen der Registrierung in Windows1

Um dieses Problem zu beheben, m�ssen Sie die Performance-Daten �berpr�fen, die von allen Servern, die im Szenario beteiligten getroffen wurde. Dann k�nnen Sie versuchen, erh�hen die Einstellung MaxConcurrentApi auf diesen Servern, die einen Verlust in Leistung zeigen.

Hinweis�Die einzige Daten Leistungsindikatoren, die konsequent den Engpass Authentifizierung zeigen k�nnen sind der Net Logon-Leistungsindikatoren. Standardm��ig sind diese Leistungsindikatoren in Windows1 Server 2008 und in sp�teren Versionen des Betriebssystems vorhanden. Das Net Logon-Leistungsobjekt ist in den folgenden Knowledge Base-Artikel genauer beschrieben:

928576

(http://support.microsoft.com/kb/928576/ )

Neue Leistungsindikatoren f�r Windows1 Server 2003 k�nnen Sie die �berwachung der Leistung der Netlogon-Authentifizierung

Zu den besten MaxConcurrentApi Wert f�r Ihre Server zu bestimmen, m�ssen einige Punkte zusammengef�hrt und mithilfe einer Formel berechnet. Die Daten verwendet werden, um MaxConcurrentApi zu sch�tzen sind wie folgt:

NET Logon-Semaphore erwirbt
NET Logon Semaphore Timeouts
NET Logon average Semaphore hold time
Dauer der Leistungsprotokollierung ist abgeschlossen, gemessen in Sekunden.

Nachdem die Daten abgerufen werden, kann die folgende Formel verwendet werden, um den richtigen MaxConcurrentApi Wert zu sch�tzen:

(semaphore_acquires+Semaphore_time-outs) * average_semaphore_hold_time / time_collection_length = New_MaxConcurrentApi_setting

Nachdem Sie die Net Logon-Performance-Daten von sammeln, wenn der Server Authentifizierung ausgelastet war, ermitteln Sie anhand der Positionsansicht-Anfangs- und Endzeit die Dauer des Prozesses Daten sammeln.

"Semaphore erwirbt" und "semaphore Timeouts" sind kumulative Zahlen, die angeben, wie viele Timeouts w�hrend Datenzusammenstellung aufgetreten ist. Die Startnummer muss von der Endzahl subtrahiert werden, wenn Sie die Zeile anzeigen im Systemmonitor (Perfmon.msc) verwenden. Anschlie�end verwenden Sie diese berechnete Zahl in der Formel f�r die neue MaxConcurrentApi-Einstellung.

Die durchschnittliche Semaphore Haltezeit kann durch �ndern der Standardansicht von Positionsansicht zur Berichtsansicht in Perfmon.msc ermittelt werden. Beispielsweise wenn das Semaphor erh�lt Wert ist 8.286, Semaphore Timeouts Wert 883, die durchschnittliche Semaphore Haltezeit ist 0,5 (d. h. eine halbe Sekunde) und reporting dauert 90 Sekunden, w�re die Formel wie folgt:

(8.286 + 883) *.5 / 90 =<>

Wenn der Wert, der von der Formel abgeleitet ist 150 oder gr��er ist, sollten Sie weitere Server bedienen die legacy Authentifizierungslast hinzuf�gen.

Wenn der Wert auf weniger als 150 ist, sollten Sie den Registrierungswert MaxConcurrentApi auf diesem Server auf den Wert, der von der Formel vorgeschlagen wird, oder auf einen h�heren Wert �ndern. Gehen Sie dazu folgenderma�en vor:

Klicken Sie auf Start, klicken Sie auf Ausf�hren, Typ Regedit, und klicken Sie dann auf OK.
Suchen Sie, und klicken Sie dann auf den folgenden Registrierungsunterschl�ssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Auf der Bearbeiten Men�, zeigen Sie auf Neue, und klicken Sie dann aufDWORD-Wert.
Typ MaxConcurrentApi, und dr�cken Sie dann die EINGABETASTE.
Auf der Bearbeiten im Men� klicken �ndern.
Geben Sie die neue MaxConcurrentApi Einstellung Dezimal und klicken Sie dann aufOK.
Geben Sie an einer Eingabeaufforderung folgenden Befehl, und dr�cken Sie dann die EINGABETASTE:
NET Stop netlogon
Geben Sie den folgenden Befehl ein, und dr�cken Sie dann die EINGABETASTE:
NET Start netlogon

Zum Anfang | Ihr Feedback an uns

Weitere Informationen

Im folgenden Knowledge Base-Artikel k�nnen Sie um die Client-seitige Symptome der legacy-Authentifizierung Engp�sse im Detail zu identifizieren:

975363

(http://support.microsoft.com/kb/975363/ )

Gelegentlich aufgefordert, Anmeldeinformationen oder Auftreten von Zeit�berschreitungen beim Herstellen einer authentifizierten Dienste

Die Authentifizierung kann auf mehreren Servern im Szenario Engpa� darstellt. Daher m�ssen Sie sicherstellen, dass alle Server in einem bestimmten Szenario ihre Performance-Daten �berpr�ft werden haben, w�hrend sie mit dem Bearbeiten von schwerer Lasten besch�ftigt sind.

Die Leistungsindikatoren f�r Semaphore erwirbt f�r Semaphore Timeouts und f�r durchschnittliche Semaphore Hold Time auf alle Anwendungs-Servern, Dom�nencontrollern und vertrauensw�rdigen Dom�ne-Controller, die bei der Bearbeitung von Clientanforderungen �berpr�ft werden.

Die Performance-Daten m�ssen verfolgt werden, w�hrend der Server stark ausgelastet sind. Starker Auslastung tritt auf, wenn der Server die meisten Client-Anforderungen finden Sie unter. Beispielsweise ist die beste Zeit zum Sammeln von Leistungsdaten in einem e-Mail-Server-Szenario, wenn Benutzer bei der Arbeit ankommen, und �berpr�fen Sie ihre e-Mail.

Zus�tzliche Elemente f�r die Pr�fung sind wie folgt:

Keine Werte bedeuten, ist keine Ma�nahme erforderlich. Die Semaphore Inhaber und Semaphore Hold Time Indikatoren zeigen keine Werte, es sei denn, es lang anhaltende Last auf einem Server. Wenn keine Werte vorhanden sind, ist keine �nderung des Werts MaxConcurrentApi erforderlich.
Eine Gr��e passt nicht f�r alle.�Der Wert MaxConcurrentApi m�glicherweise einen anderen Wert f�r jeden Server werden. Diese Situation kann verursacht werden, indem mehrere Anwendungsserver, die Authentifizierung von einem einzelnen Dom�nencontroller erlangen oder �hnliche Szenarien, in dem mehrere Server eine gr��ere Menge der Belastung bieten, mit denen der Dom�nencontroller befassen m�ssen.
Vertraut.Wenn wird authentifizierten Benutzern aus vertrauensw�rdigen Dom�nen sind, k�nnen l�ngere Verz�gerungen entstehen, weil der lokale Dom�nencontroller f�r die Antwort von der vertrauensw�rdigen Dom�ne warten muss, bevor der lokale Dom�nencontroller die Antwort an den Anwendungsserver bietet.
Netzwerk-Latenzzeiten.�Netzwerk-Latenz kann auch Engp�sse MaxConcurrentApi eine entscheidende Rolle spielen. Dies kann auftreten, wenn das Semaphor MaxConcurrentApi einen zeitbasierte Timeout-Z�hler verwendet, so dass Clients nicht auf unbestimmte Zeit f�r �ltere Authentifizierung warten.
Die Verz�gerung m�glicherweise downstream. Wenn die Semaphore Hold Time Counter-Wert ist bei jedem st�ndig gr��er als 0 (null) und die Semaphore Inhaber Wert ist kleiner als die MaxConcurrentApi-Einstellung auf dem Server, der Engpass liegt nicht auf diesem Server. Suchen Sie in diesem Fall an den Dom�nencontroller, der in den Namen des Leistungsindikators genannt wird, die aufgef�hrt wird, wie ein Hostcomputer Dom�nennamen vollqualifizierten. Dieser Dom�nencontrollerSemaphore Hold Time und Semaphore Inhaber Performance-Daten sollten �berpr�ft werden.
�nderungen im Laden oder in der Netzwerkkonfiguration.�Zuk�nftige �nderungen in die Last, die gewartet wird oder Netzwerkkonfigurationen erzeugt eventuell Netzwerklatenz, und k�nnte zu einer Notwendigkeit zur Messung der richtigen MaxConcurrentApi erneut festlegen. F�r Umgebungen, in denen �ltere Authentifizierung Volume gesehen wurde, die MaxConcurrentApi Einstellungen gepr�ft werden, empfehlen wir, dass Sie st�ndig �berwachen und �berpr�fen Sie die Netlogon-Leistungsindikatoren. Sie k�nnen mithilfe von geplante benutzerdefinierte Perfmon.msc Datensammlungen, mithilfe von System Center Operations Manager oder mit anderen Methoden dazu.
Windows1 Server 2008-Maximum.�Die maximale Einstellung, die f�r MaxConcurrentApi in Windows1 Server 2008 und h�heren Versionen zul�ssig ist, ist 150. Sie m�ssen den Hotfix anwenden, der beschrieben wird, in den folgenden Knowledge Base-Artikel, die 150 Maximaleinstellung verf�gbar haben, wenn der Server, den Sie verwenden nicht Windows1 Server 2008 R2 ausgef�hrt wird:
975363
(http://support.microsoft.com/kb/975363/ )
Gelegentlich aufgefordert, Anmeldeinformationen oder Auftreten von Zeit�berschreitungen beim Herstellen einer authentifizierten Dienste
Windows1 Server 2003-Maximum.�Die maximale Einstellung, die in Windows1 Server 2003 MaxConcurrentApi zul�ssig ist und in fr�heren Versionen ist 10.
Windows1 Server 2003 und die Leistungsindikatoren.�Die Originalversion von Windows1 Server 2003 enthielt nicht die Netlogon-Leistungsindikatoren. Sie m�ssen �ber ein Hotfix hinzugef�gt werden. Weitere Informationen zum Hinzuf�gen dieser Leistungsindikatoren finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
928576
(http://support.microsoft.com/kb/928576/ )
Neue Leistungsindikatoren f�r Windows1 Server 2003 k�nnen Sie die �berwachung der Leistung der Netlogon-Authentifizierung

Identifizieren von nicht autorisierten oder unbekannten Clients oder Dienste, die wiederholten oder st�ndigen NTLM tun kann Authentifizierung n�tzlich sein, wenn die Gesamtauslastung der NTLM-Authentifizierung zu verringern und letztendlich verringert daher die Anzahl der MaxConcurrentApi Semaphore verwendet werden soll. Wiederholen Sie die Authentifizierung auf diese Weise kann mithilfe der Net Logon-Dienst identifiziert werden Debugprotokollierung. Weitere Informationen zur Verwendung die Datei Netlogon.log Net Logon-Dienst Debuggen finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:

109626

(http://support.microsoft.com/kb/109626/ )

Aktivieren der Debugprotokollierung f�r den Netlogon-Dienst

Beachten Sie, dass es sich bei der Perfmon.msc Z�hler f�r NTLM-Authentifizierungen unter dem Systemweiten Sicherheitsstatistiken -Objekt nicht die Anzahl der Verwendungen des Threads verfolgt MaxConcurrentApi widerspiegelt. Es gibt keine eindeutige Korrelation zwischen MaxConcurrentApi Semaphore-Syntax, die in der Net Logon-Leistungsindikator angezeigt wird und die NTLM-Authentifizierung Z�hler erh�ht. Der Z�hler des NTLM-Authentifizierungen eignet sich nicht bei der Ermittlung der besten MaxConcurrentApi.

Dar�ber hinaus ist es sehr wahrscheinlich, dass �ltere Performance Authentifizierungstimeouts, die zu MaxConcurrentApi eingesehen und in jeden beliebigen Leistungsindikator au�er den Net Logon-Z�hler nicht wiedergegeben. Dies bedeutet, dass andere Leistungsma�zahlen z. B. CPU und Datentr�ger-und ohne Last zeigen kann, w�hrend der MaxConcurrentApi hoch ist und Benutzer Probleme.

Ein weitere Minimierung Schritt kann auf Dom�nencontrollern ausgef�hrt werden, deren Eintr�ge in ihren Net Logon Service Debug-Protokoll anzugeben, dass Clients <null>\</null> sendenBenutzername statt Dom�nenname\Benutzername. Die Schritte werden im folgenden Artikel der Microsoft Knowledge Base beschrieben:

923241

(http://support.microsoft.com/kb/923241/ )

Lsass.exe-Prozess reagiert haben Sie viele externe Vertrauensstellungen in Windows1 Server 2003-Dom�nencontroller

Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 2688798 - Ge�ndert am: Montag, 26. M�rz 2012 - Version: 1.1

Die Informationen in diesem Artikel beziehen sich auf:

Windows Server 2008 R2 Datacenter
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Foundation
Windows Server 2008 R2 Standard
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Foundation
Windows Server 2008 Standard
Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
Microsoft Windows Server 2003 R2 Datacenter x64 Edition
Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
Microsoft Windows Server 2003 R2 Enterprise x64 Edition
Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
Microsoft Windows Server 2003 R2 Standard x64 Edition
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter x64 Edition
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Standard x64 Edition

kbhowto kbinfo kbperformance kbexpertiseinter kbsurveynew kbmt KB2688798 KbMtde

Maschinell �bersetzter Artikel

Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen �bersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden st�ndig erg�nzt beziehungsweise �berarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu k�nnen, werden viele Artikel nicht von Menschen, sondern von �bersetzungsprogrammen �bersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell �bersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdw�rtern sowie Fachbegriffen. Microsoft �bernimmt keine Gew�hr f�r die sprachliche Qualit�t oder die technische Richtigkeit der �bersetzungen und ist nicht f�r Probleme haftbar, die direkt oder indirekt durch �bersetzungsfehler oder die Verwendung der �bersetzten Inhalte durch Kunden entstehen k�nnten.

Den englischen Originalartikel k�nnen Sie �ber folgenden Link abrufen: 2688798

(http://support.microsoft.com/kb/2688798/en-us/ )

Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verf�gung. Microsoft �bernimmt keinerlei Gew�hrleistung daf�r, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erw�nschten Ergebnisse erzielen. Die Entscheidung dar�ber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung f�r Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Zum Anfang | Ihr Feedback an uns