Wie Sie Performance-tuning für NTLM-Authentifizierung mithilfe der Einstellung MaxConcurrentApi

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 2688798 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Einführung

Vor kurzem gab es ein Aufschwung in der Verbraucherorientierung von Unternehmens-Informationstechnologie zusammen mit der Zunahme der Consumer-orientierten Geräten wie Smartphones und Tablet-PCs. Dadurch steigt die Anzahl der Szenarios, in dem Unternehmen einen massiven Anstieg der legacy-Authentifizierung in ihrer Enterprise-Umgebungen auftreten können. Dieser Anstieg der legacy-Authentifizierung könnte zu Performance-Problemen, z. B. Verzögerungen oder Timeouts für Clients führen.

Wenn Sie Authentifizierungstimeouts oder Verzögerungen, auch bekannt als MaxConcurrentApi Engpässe in einer Umgebung entdecken ist der typische Weg zur Lösung des Problems erhöhen den maximalen zulässigen Arbeitnehmer diesen Dienst die Authentifizierung threads. Dazu ändern den Registrierungswert MaxConcurrentApi und anschließend neu starten den Anmeldedienst auf den Servern.

Opfer des Engpasses, welche Server identifiziert werden und welche Server tatsächlich die Quelle der Engpass Verzögerungen sind können schwierig sein. Dieser Artikel beschreibt, wie zu tun, Performance-tuning für NT LAN Manager (NTLM)-Authentifizierung mithilfe der Einstellung MaxConcurrentApi. Dieser Artikel enthält Anleitungen für Administratoren bei der Identifizierung der Server, auf denen erhöhen den Wert MaxConcurrentApi und der Betrag, den dieser Wert festgelegt werden muss.

Lösung

Wichtig Dieser Abschnitt, Methode oder Aufgabe enthält Hinweise zum Ändern der Registrierungs. Jedoch können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie es ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
322756Wie Sichern und Wiederherstellen der Registrierung in Windows1
Um dieses Problem zu beheben, müssen Sie die Performance-Daten überprüfen, die von allen Servern, die im Szenario beteiligten getroffen wurde. Dann können Sie versuchen, erhöhen die Einstellung MaxConcurrentApi auf diesen Servern, die einen Verlust in Leistung zeigen.

Hinweis Die einzige Daten Leistungsindikatoren, die konsequent den Engpass Authentifizierung zeigen können sind der Net Logon-Leistungsindikatoren. Standardmäßig sind diese Leistungsindikatoren in Windows1 Server 2008 und in späteren Versionen des Betriebssystems vorhanden. Das Net Logon-Leistungsobjekt ist in den folgenden Knowledge Base-Artikel genauer beschrieben:
928576Neue Leistungsindikatoren für Windows1 Server 2003 können Sie die Überwachung der Leistung der Netlogon-Authentifizierung
Zu den besten MaxConcurrentApi Wert für Ihre Server zu bestimmen, müssen einige Punkte zusammengeführt und mithilfe einer Formel berechnet. Die Daten verwendet werden, um MaxConcurrentApi zu schätzen sind wie folgt:
  • NET Logon-Semaphore erwirbt
  • NET Logon Semaphore Timeouts
  • NET Logon average Semaphore hold time
  • Dauer der Leistungsprotokollierung ist abgeschlossen, gemessen in Sekunden.
Nachdem die Daten abgerufen werden, kann die folgende Formel verwendet werden, um den richtigen MaxConcurrentApi Wert zu schätzen:
(semaphore_acquires+Semaphore_time-outs) * average_semaphore_hold_time / time_collection_length = New_MaxConcurrentApi_setting
Nachdem Sie die Net Logon-Performance-Daten von sammeln, wenn der Server Authentifizierung ausgelastet war, ermitteln Sie anhand der Positionsansicht-Anfangs- und Endzeit die Dauer des Prozesses Daten sammeln.

"Semaphore erwirbt" und "semaphore Timeouts" sind kumulative Zahlen, die angeben, wie viele Timeouts während Datenzusammenstellung aufgetreten ist. Die Startnummer muss von der Endzahl subtrahiert werden, wenn Sie die Zeile anzeigen im Systemmonitor (Perfmon.msc) verwenden. Anschließend verwenden Sie diese berechnete Zahl in der Formel für die neue MaxConcurrentApi-Einstellung.

Die durchschnittliche Semaphore Haltezeit kann durch Ändern der Standardansicht von Positionsansicht zur Berichtsansicht in Perfmon.msc ermittelt werden. Beispielsweise wenn das Semaphor erhält Wert ist 8.286, Semaphore Timeouts Wert 883, die durchschnittliche Semaphore Haltezeit ist 0,5 (d. h. eine halbe Sekunde) und reporting dauert 90 Sekunden, wäre die Formel wie folgt:
(8.286 + 883) *.5 / 90 =<>

Wenn der Wert, der von der Formel abgeleitet ist 150 oder größer ist, sollten Sie weitere Server bedienen die legacy Authentifizierungslast hinzufügen.

Wenn der Wert auf weniger als 150 ist, sollten Sie den Registrierungswert MaxConcurrentApi auf diesem Server auf den Wert, der von der Formel vorgeschlagen wird, oder auf einen höheren Wert ändern. Gehen Sie dazu folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, Typ Regedit, und klicken Sie dann auf OK.
  2. Suchen Sie, und klicken Sie dann auf den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
  3. Auf der Bearbeiten Menü, zeigen Sie auf Neue, und klicken Sie dann aufDWORD-Wert.
  4. Typ MaxConcurrentApi, und drücken Sie dann die EINGABETASTE.
  5. Auf der Bearbeiten im Menü klicken Ändern.
  6. Geben Sie die neue MaxConcurrentApi Einstellung Dezimal und klicken Sie dann aufOK.
  7. Geben Sie an einer Eingabeaufforderung folgenden Befehl, und drücken Sie dann die EINGABETASTE:
    NET Stop netlogon
  8. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
    NET Start netlogon

Weitere Informationen

Im folgenden Knowledge Base-Artikel können Sie um die Client-seitige Symptome der legacy-Authentifizierung Engpässe im Detail zu identifizieren:
975363 Gelegentlich aufgefordert, Anmeldeinformationen oder Auftreten von Zeitüberschreitungen beim Herstellen einer authentifizierten Dienste
Die Authentifizierung kann auf mehreren Servern im Szenario Engpaß darstellt. Daher müssen Sie sicherstellen, dass alle Server in einem bestimmten Szenario ihre Performance-Daten überprüft werden haben, während sie mit dem Bearbeiten von schwerer Lasten beschäftigt sind.

Die Leistungsindikatoren für Semaphore erwirbt für Semaphore Timeouts und für durchschnittliche Semaphore Hold Time auf alle Anwendungs-Servern, Domänencontrollern und vertrauenswürdigen Domäne-Controller, die bei der Bearbeitung von Clientanforderungen überprüft werden.

Die Performance-Daten müssen verfolgt werden, während der Server stark ausgelastet sind. Starker Auslastung tritt auf, wenn der Server die meisten Client-Anforderungen finden Sie unter. Beispielsweise ist die beste Zeit zum Sammeln von Leistungsdaten in einem e-Mail-Server-Szenario, wenn Benutzer bei der Arbeit ankommen, und überprüfen Sie ihre e-Mail.

Zusätzliche Elemente für die Prüfung sind wie folgt:
  • Keine Werte bedeuten, ist keine Maßnahme erforderlich. Die Semaphore Inhaber und Semaphore Hold Time Indikatoren zeigen keine Werte, es sei denn, es lang anhaltende Last auf einem Server. Wenn keine Werte vorhanden sind, ist keine Änderung des Werts MaxConcurrentApi erforderlich.
  • Eine Größe passt nicht für alle. Der Wert MaxConcurrentApi möglicherweise einen anderen Wert für jeden Server werden. Diese Situation kann verursacht werden, indem mehrere Anwendungsserver, die Authentifizierung von einem einzelnen Domänencontroller erlangen oder ähnliche Szenarien, in dem mehrere Server eine größere Menge der Belastung bieten, mit denen der Domänencontroller befassen müssen.
  • Vertraut.Wenn wird authentifizierten Benutzern aus vertrauenswürdigen Domänen sind, können längere Verzögerungen entstehen, weil der lokale Domänencontroller für die Antwort von der vertrauenswürdigen Domäne warten muss, bevor der lokale Domänencontroller die Antwort an den Anwendungsserver bietet.
  • Netzwerk-Latenzzeiten. Netzwerk-Latenz kann auch Engpässe MaxConcurrentApi eine entscheidende Rolle spielen. Dies kann auftreten, wenn das Semaphor MaxConcurrentApi einen zeitbasierte Timeout-Zähler verwendet, so dass Clients nicht auf unbestimmte Zeit für ältere Authentifizierung warten.
  • Die Verzögerung möglicherweise downstream. Wenn die Semaphore Hold Time Counter-Wert ist bei jedem ständig größer als 0 (null) und die Semaphore Inhaber Wert ist kleiner als die MaxConcurrentApi-Einstellung auf dem Server, der Engpass liegt nicht auf diesem Server. Suchen Sie in diesem Fall an den Domänencontroller, der in den Namen des Leistungsindikators genannt wird, die aufgeführt wird, wie ein Hostcomputer Domänennamen vollqualifizierten. Dieser DomänencontrollerSemaphore Hold Time und Semaphore Inhaber Performance-Daten sollten überprüft werden.
  • Änderungen im Laden oder in der Netzwerkkonfiguration. Zukünftige Änderungen in die Last, die gewartet wird oder Netzwerkkonfigurationen erzeugt eventuell Netzwerklatenz, und könnte zu einer Notwendigkeit zur Messung der richtigen MaxConcurrentApi erneut festlegen. Für Umgebungen, in denen ältere Authentifizierung Volume gesehen wurde, die MaxConcurrentApi Einstellungen geprüft werden, empfehlen wir, dass Sie ständig überwachen und überprüfen Sie die Netlogon-Leistungsindikatoren. Sie können mithilfe von geplante benutzerdefinierte Perfmon.msc Datensammlungen, mithilfe von System Center Operations Manager oder mit anderen Methoden dazu.
  • Windows1 Server 2008-Maximum. Die maximale Einstellung, die für MaxConcurrentApi in Windows1 Server 2008 und höheren Versionen zulässig ist, ist 150. Sie müssen den Hotfix anwenden, der beschrieben wird, in den folgenden Knowledge Base-Artikel, die 150 Maximaleinstellung verfügbar haben, wenn der Server, den Sie verwenden nicht Windows1 Server 2008 R2 ausgeführt wird:
    975363 Gelegentlich aufgefordert, Anmeldeinformationen oder Auftreten von Zeitüberschreitungen beim Herstellen einer authentifizierten Dienste
  • Windows1 Server 2003-Maximum. Die maximale Einstellung, die in Windows1 Server 2003 MaxConcurrentApi zulässig ist und in früheren Versionen ist 10.
  • Windows1 Server 2003 und die Leistungsindikatoren. Die Originalversion von Windows1 Server 2003 enthielt nicht die Netlogon-Leistungsindikatoren. Sie müssen über ein Hotfix hinzugefügt werden. Weitere Informationen zum Hinzufügen dieser Leistungsindikatoren finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
    928576 Neue Leistungsindikatoren für Windows1 Server 2003 können Sie die Überwachung der Leistung der Netlogon-Authentifizierung
Identifizieren von nicht autorisierten oder unbekannten Clients oder Dienste, die wiederholten oder ständigen NTLM tun kann Authentifizierung nützlich sein, wenn die Gesamtauslastung der NTLM-Authentifizierung zu verringern und letztendlich verringert daher die Anzahl der MaxConcurrentApi Semaphore verwendet werden soll. Wiederholen Sie die Authentifizierung auf diese Weise kann mithilfe der Net Logon-Dienst identifiziert werden Debugprotokollierung. Weitere Informationen zur Verwendung die Datei Netlogon.log Net Logon-Dienst Debuggen finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
109626 Aktivieren der Debugprotokollierung für den Netlogon-Dienst
Beachten Sie, dass es sich bei der Perfmon.msc Zähler für NTLM-Authentifizierungen unter dem Systemweiten Sicherheitsstatistiken -Objekt nicht die Anzahl der Verwendungen des Threads verfolgt MaxConcurrentApi widerspiegelt. Es gibt keine eindeutige Korrelation zwischen MaxConcurrentApi Semaphore-Syntax, die in der Net Logon-Leistungsindikator angezeigt wird und die NTLM-Authentifizierung Zähler erhöht. Der Zähler des NTLM-Authentifizierungen eignet sich nicht bei der Ermittlung der besten MaxConcurrentApi.

Darüber hinaus ist es sehr wahrscheinlich, dass ältere Performance Authentifizierungstimeouts, die zu MaxConcurrentApi eingesehen und in jeden beliebigen Leistungsindikator außer den Net Logon-Zähler nicht wiedergegeben. Dies bedeutet, dass andere Leistungsmaßzahlen z. B. CPU und Datenträger-und ohne Last zeigen kann, während der MaxConcurrentApi hoch ist und Benutzer Probleme.

Ein weitere Minimierung Schritt kann auf Domänencontrollern ausgeführt werden, deren Einträge in ihren Net Logon Service Debug-Protokoll anzugeben, dass Clients <null>\</null> sendenBenutzername statt Domänenname\Benutzername. Die Schritte werden im folgenden Artikel der Microsoft Knowledge Base beschrieben:
923241 Lsass.exe-Prozess reagiert haben Sie viele externe Vertrauensstellungen in Windows1 Server 2003-Domänencontroller

Eigenschaften

Artikel-ID: 2688798 - Geändert am: Montag, 26. März 2012 - Version: 1.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Foundation
  • Windows Server 2008 Standard
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
Keywords: 
kbhowto kbinfo kbperformance kbexpertiseinter kbsurveynew kbmt KB2688798 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 2688798
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com