Cómo ajustar el rendimiento para la autenticación NTLM con la configuración de MaxConcurrentApi

Seleccione idioma Seleccione idioma
Id. de artículo: 2688798 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Introducción

Recientemente, se ha producido un aumento en la aproximación al consumidor de la tecnología de la información de empresa, junto con el aumento de dispositivos orientados al consumidor, como teléfonos inteligentes y Tablet PC. Esto aumenta el número de escenarios en los que las empresas pueden experimentar un gran aumento en la autenticación antiguo en sus entornos empresariales. Este aumento de la autenticación heredada podría conducir a problemas de rendimiento, como los retrasos o tiempos de espera para los clientes.

Cuando descubra los tiempos de espera de autenticación o los retrasos, también conocido como botella MaxConcurrentApi, en un entorno, es la forma habitual para resolver el problema provocar el trabajo máximo permitido de subprocesos que el servicio que la autenticación. Para ello, alterar el valor de registro MaxConcurrentApi y, a continuación, reiniciar el servicio Net Logon en los servidores.

Identificación de qué servidores es víctimas de un cuello de botella y los servidores que son en realidad el origen de los retrasos de cuello de botella puede ser difícil. Este artículo describe cómo ajustar el rendimiento para la autenticación de NT LAN Manager (NTLM) mediante la opción MaxConcurrentApi. En este artículo contiene instrucciones para los administradores a identificar los servidores en los que se va a elevar el valor de MaxConcurrentApi y el importe al que se debe establecer ese valor.

Solución

Importante Esta sección, el método o la tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si surge algún problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo hacer copia de seguridad y restaurar el registro de Windows
Para resolver este problema, debe revisar los datos de rendimiento que se ha tomado de los servidores de todos los implicados en el escenario. A continuación, puede intentar aumentar el valor de MaxConcurrentApi en los servidores que muestran una pérdida de rendimiento.

Nota Los contadores de datos de rendimiento sólo que siempre pueden mostrar el cuello de botella de autenticación son los contadores de objeto de rendimiento de inicio de sesión. De forma predeterminada, estos contadores están presentes en Windows Server 2008 y en versiones anteriores del sistema operativo. El objeto de rendimiento de inicio de sesión se explica con más detalle en el siguiente artículo de Knowledge Base:
928576Nuevos contadores de rendimiento para Windows Server 2003 le permiten supervisar el rendimiento de la autenticación de inicio de sesión
Para determinar el mejor valor MaxConcurrentApi para los servidores, se deben reunió a varios puntos de datos y calcula mediante una fórmula. Los datos que se utilizará para calcular MaxConcurrentApi son los siguientes:
  • Adquiere el semáforo de inicio de sesión de red
  • NET los tiempos de espera del semáforo de inicio de sesión
  • Net Logon semáforo promedio de tiempo de conservación
  • Duración de la performance de registro se ha completado, medido en segundos.
Después de obtienen los datos, la fórmula siguiente puede utilizarse para estimar el valor correcto de MaxConcurrentApi:
(semaphore_acquires+semaphore_time-outs) * average_semaphore_hold_time / time_collection_length = New_MaxConcurrentApi_setting
Después de recopilar los datos de rendimiento de inicio de sesión desde cuando el servidor estaba bajo carga de autenticación, debe determinar la duración del proceso de recopilación de datos consultando al principio de la vista de línea y al final de los tiempos.

"Adquiere el semáforo" y "semáforo los tiempos de espera" es números acumulativos que indiquen cuántos de los tiempos de espera se produjo durante la recopilación de datos. El número inicial se debe restar al número final cuando usa la vista de línea en el Monitor de rendimiento (Perfmon.msc). A continuación, utilice este número calculado en la fórmula para la nueva configuración de MaxConcurrentApi.

El tiempo de espera de semáforo promedio puede determinarse cambiando la vista predeterminada de la vista de línea para ver el informe en Perfmon.msc. Por ejemplo, si adquiere el semáforo de valor es 8,286, el valor de los tiempos de espera del semáforo es 883, el tiempo de espera de semáforo promedio es 0,5 (es decir, un medio segundo) y la duración de la presentación de informes es 90 segundos, la fórmula sería como sigue:
(8,286 + 883) *.5 / 90 =<>

Si el valor que se deriva de la fórmula es de 150 o más grande, debe agregar más servidores para atender la carga de autenticación heredados.

Si el valor es inferior a 150, debe modificar el valor de registro MaxConcurrentApi en ese servidor en el valor que se sugiere la fórmula, o a un valor mayor. Para ello, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo Regedity, a continuación, haga clic en ACEPTAR.
  2. Busque y, a continuación, haga clic en la siguiente subclave del registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. En el Editar en el menú, señale a Nuevoy, a continuación, haga clic enValor DWORD.
  4. Tipo MaxConcurrentApi, y, a continuación, presione ENTRAR.
  5. En el Editar menú, haga clic en Modificar.
  6. Escriba la nueva configuración de MaxConcurrentApi en formato decimal y, a continuación, haga clic enACEPTAR.
  7. En el símbolo del sistema, escriba el comando siguiente y, a continuación, presione ENTRAR:
    NET stop netlogon
  8. Escriba el comando siguiente y, a continuación, presione ENTRAR:
    NET start netlogon

Más información

Puede utilizar el siguiente artículo de Knowledge Base para identificar los síntomas del cliente de los cuellos de botella heredados de la autenticación con más detalle:
975363 Intermitentemente se solicitan las credenciales o experimentar tiempos de espera cuando se conecta a los servicios autenticados
Puede ser un cuello de botella de la autenticación en varios servidores en el escenario. Por consiguiente, debe asegurarse de que todos los servidores en un escenario determinado tienen sus datos de rendimiento revisados mientras están ocupadas atendiendo cargas pesadas.

Adquiere los contadores de semáforo, para los tiempos de espera de semáforo, y para la suspensión de semáforo Media hora debe ser revisada en todos los servidores de aplicaciones, controladores de dominio y controladores de dominio de confianza que participan en atender las solicitudes de cliente.

Los datos de rendimiento deben realizarse un seguimiento mientras que los servidores están bajo una carga intensa. Mucha carga se produce cuando los servidores de ven la mayoría de las solicitudes de cliente. Por ejemplo, en un escenario de servidor de correo electrónico, el mejor momento para recopilar los datos de rendimiento es cuando los usuarios llegan al trabajo y comprobación su correo electrónico.

Elementos adicionales para su examen son los siguientes:
  • Valores no significan que es necesario realizar ninguna acción. El Titulares de semáforo y Tiempo de espera del semáforo los contadores no mostrarán todos los valores a menos que haya una carga constante en un servidor. Si no hay ningún valor presente, no se necesita ningún cambio en el valor de MaxConcurrentApi.
  • Un tamaño no es apropiado para todo. El valor de MaxConcurrentApi que tenga que ser un valor diferente para cada servidor. Esta situación puede deberse a varios servidores de aplicaciones que obteniendo la autenticación de un controlador de dominio o en situaciones similares en el que varios servidores proporcionan un mayor volumen de carga con que debe abordar el controlador de dominio.
  • Confía.Si los usuarios que se vayan a autenticar son dominios de confianza, esto puede causar retardos más largos, porque el controlador de dominio local debe esperar la respuesta desde el controlador de dominio de confianza antes de que el controlador de dominio local proporciona la respuesta al servidor de aplicaciones.
  • Latencia de red. Latencia de red también puede desempeñar un importante factor causando cuellos de botella de MaxConcurrentApi. Esto puede ocurrir cuando el semáforo MaxConcurrentApi utiliza un contador de tiempo de espera basada en tiempos para que los clientes no esperar indefinidamente a que la autenticación heredada.
  • El retraso puede ser descendente. Si el Tiempo de espera del semáforo valor del contador es constantemente superior a 0 (cero) para cualquier hora y la Titulares de semáforo valor es menor que el valor de MaxConcurrentApi en ese servidor, el cuello de botella no se encuentra en ese servidor. En este caso, busque en el controlador de dominio que se cita en el nombre del contador que se muestra como un equipo host de nombre de dominio completo. Ese controlador de dominioTiempo de espera del semáforo y Titulares de semáforo se deben revisar los datos de rendimiento.
  • Cambios en la carga o en configuración de red. Los cambios futuros en la carga que se está manteniendo o en las configuraciones de red pueden producir latencia de red y podría conducir a una necesidad para medir la MaxConcurrentApi correcta configuración nuevo. Para entornos en los que se ha visto volumen autenticación heredados en la medida en que se están examinando MaxConcurrentApi configuración, recomendamos encarecidamente que continuamente monitorear y revisar los contadores de objeto de rendimiento de inicio de sesión. Puede hacerlo mediante el uso de recopiladores de datos de Perfmon.msc personalizados programados, mediante el uso de System Center Operations Manager o mediante otros métodos.
  • Máximo de Windows Server 2008. El valor máximo permitido para MaxConcurrentApi en Windows Server 2008 y en versiones posteriores es 150. Debe aplicar la revisión que se describe en el siguiente artículo de Knowledge Base para que el valor de disponible máximo 150 si el servidor que está utilizando no se está ejecutando Windows Server 2008 R2:
    975363 Intermitentemente se solicitan las credenciales o experimentar tiempos de espera cuando se conecta a los servicios autenticados
  • Máximo de Windows Server 2003. El valor máximo permitido para MaxConcurrentApi en Windows Server 2003 y en versiones anteriores es 10.
  • Contadores de rendimiento y Windows Server 2003. La versión original de Windows Server 2003 no contiene los contadores de rendimiento de inicio de sesión. Tienen que agregarse a través de una revisión. Para obtener más información acerca de cómo agregar estos contadores, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    928576 Nuevos contadores de rendimiento para Windows Server 2003 le permiten supervisar el rendimiento de la autenticación de inicio de sesión
Identificación de los clientes no autorizados o desconocidos o servicios que están realizando repetida o continuada NTLM autenticación puede ser útil cuando desea reducir la carga global de autenticación NTLM y, por tanto, en última instancia, reducir el número de usos de semáforo MaxConcurrentApi. Repite la autenticación de esa manera puede identificarse mediante el servicio de Net Logon el registro de depuración. Para obtener más información acerca de cómo utilizar el archivo Netlogon.log para depurar el servicio de inicio de sesión, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
109626 Al habilitar el registro de depuración para el servicio Net Logon
Tenga en cuenta que el contador Perfmon.msc para autenticaciones NTLM en el objeto de Las estadísticas de todo el sistema de seguridad no es un reflejo del número de usos de la rosca MaxConcurrentApi realiza un seguimiento. No hay ninguna correlación entre el uso de semáforo MaxConcurrentApi que se muestra en el contador de rendimiento de Net Logon y se incrementa el contador de la autenticación NTLM. El contador de autenticaciones NTLM no es útil para determinar el mejor valor MaxConcurrentApi.

Además, es muy probable que los tiempos de espera rendimiento de autenticación heredadas que están relacionados con MaxConcurrentApi se conocen y no se reflejan en cualquier contador de rendimiento no sea el contador de inicio de sesión. Esto significa que utilice otras métricas de rendimiento como CPU y uso de disco y red no puede mostrar carga mientras la carga de MaxConcurrentApi es pesada y usuarios tienen problemas.

Se puede realizar un paso adicional de minimizar en los controladores de dominio que tengan movimientos en su registro de depuración del servicio de Net Logon que indican que los clientes envían <null>\</null>Nombre de usuario en lugar de nombre de dominio\Nombre de usuario. Los pasos se describen en el siguiente artículo de Microsoft Knowledge Base:
923241 El proceso Lsass.exe puede dejar de responder si dispone de muchas de las confianzas externas en un controlador de dominio basado en Windows Server 2003

Propiedades

Id. de artículo: 2688798 - Última revisión: lunes, 26 de marzo de 2012 - Versión: 1.1
La información de este artículo se refiere a:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Foundation
  • Windows Server 2008 Standard
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
Palabras clave: 
kbhowto kbinfo kbperformance kbexpertiseinter kbsurveynew kbmt KB2688798 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 2688798

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com