Comment effectuer le réglage des performances pour l'authentification NTLM en utilisant le paramètre MaxConcurrentApi

Traductions disponibles Traductions disponibles
Numéro d'article: 2688798 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Introduction

Récemment, il a été un plaisir dans la « Consumérisation » de l'informatique d'entreprise, avec l'augmentation des dispositifs orientés consommateur tels que les smartphones et les tablettes. Cela augmente le nombre de scénarios dans lequel les entreprises peuvent rencontrer une augmentation importante d'authentification hérité dans leurs environnements d'entreprise. Cette augmentation de l'authentification héritée peut entraîner des problèmes de performances telles que les retards ou les délais pour les clients.

Lorsque vous découvrez les délais d'authentification ou de retards, également appelées goulots d'étranglement MaxConcurrentApi, dans un environnement, la méthode classique pour résoudre le problème consiste pour déclencher le travailleur autorisé maximal threads ce service que l'authentification. Pour cela, en changeant la valeur de Registre MaxConcurrentApi et puis en redémarrant le service Net Logon sur les serveurs.

Identifier les serveurs qui est victimes de goulot d'étranglement et les serveurs qui sont effectivement la source de cette lenteur de goulot d'étranglement peut être difficile. Cet article décrit comment effectuer le réglage des performances pour l'authentification NT LAN Manager (NTLM) en utilisant le paramètre MaxConcurrentApi. Cet article contient des conseils pour les administrateurs à identifier les serveurs sur lesquels augmenter la valeur MaxConcurrentApi et le montant auquel cette valeur doit être définie.

Résolution

Important Cette section, la méthode ou la tâche qui va suivre contient des étapes qui vous indiquent la méthode pour modifier le Registre de Windows. Toutefois, les problèmes sérieux peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous de suivre ces étapes avec une attention toute particulière. Afin de couvrir votre système d'une protection supplémentaire, veuillez sauvegarder le Registre avant d'intervenir pour y apporter des modifications. Ainsi, si à la suite des modifications un problème devait survenir, vous pourrez toujours restaurer le Registre. Pour obtenir des informations sur la marche à suivre pour sauvegarder ou restaurer la Base de Registre, cliquez sur le lien (numéro) ci-dessous et afficher l'article correspondant dans la Base de connaissances Microsoft :
322756Comment sauvegarder et restaurer le Registre dans Windows
Pour résoudre ce problème, vous devez passer en revue les données de performance qui a été prises à partir de tous les serveurs impliqués dans le scénario. Ensuite, vous pouvez essayer d'augmenter le paramètre MaxConcurrentApi sur ces serveurs qui indiquent une perte de performances.

Remarque : Les compteurs de données seules performances qui peuvent afficher constamment le goulot d'étranglement d'authentification sont des compteurs de l'objet de performance Net Logon. Par défaut, ces compteurs sont présents dans Windows Server 2008 et dans les versions ultérieures de système d'exploitation. L'objet de performance Net Logon est abordée plus en détail dans l'article suivant de la Base de connaissances :
928576Nouveaux compteurs de performances pour Windows Server 2003 vous permettent de surveiller les performances d'authentification d'ouverture de session réseau
Afin de déterminer la meilleure valeur MaxConcurrentApi pour vos serveurs, plusieurs points de données doivent être rassemblés et calculés à l'aide d'une formule. Les données devant servir à estimer MaxConcurrentApi sont comme suit :
  • Sémaphore d'ouverture de session NET acquiert
  • NET les délais d'ouverture de session sémaphore
  • Ouverture de session réseau sémaphore moyenne maintenez temps
  • Durée de l'enregistrement des performances est terminée, mesurée en secondes.
Une fois que les données sont obtenues, la formule suivante peut servir à estimer la valeur MaxConcurrentApi correcte :
(semaphore_acquires+sorties semaphore_time) * average_semaphore_hold_time / time_collection_length = New_MaxConcurrentApi_setting
Après avoir recueilli les données de performances d'ouverture de session réseau à partir de quand le serveur n'a en charge l'authentification, vous devez déterminer la durée du processus de collecte de données en regardant le début de la vue de la ligne et de fin.

« Acquiert le sémaphore » et « les délais de sémaphore » est des nombres cumulative qui indiquent combien de délais d'attente s'est produite lors de la collecte de données. Le numéro de départ doit être retranché le numéro de fin lorsque vous utilisez le mode de ligne de l'Analyseur de performances (Perfmon.msc). Ensuite, vous utilisez ce nombre calculé dans la formule pour le nouveau paramètre MaxConcurrentApi.

La durée moyenne de sémaphore peut être déterminée par la modification de l'affichage par défaut à partir de la ligne de vue pour l'affichage du rapport dans Perfmon.msc. Par exemple, si le sémaphore acquiert la valeur est 8,286, la valeur de délais d'attente du sémaphore est 883, la durée moyenne de sémaphore est de 0,5 (c'est-à-dire une demi-seconde) et la durée de création de rapports est de 90 secondes, la formule se présente comme suit :
(8,286 + 883) *.5 / 90 =<>

Si la valeur est dérivée de la formule est supérieure ou 150, vous devez ajouter plusieurs serveurs pour traiter la charge d'authentification hérité.

Si la valeur est inférieure à 150, vous devez modifier la valeur de Registre MaxConcurrentApi sur ce serveur pour la valeur qui est suggérée par la formule ou une valeur supérieure. Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer, cliquez sur Exécuter, type Regedit, puis cliquez sur OK.
  2. Recherchez et puis cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. Sur la Modifier pointez sur Nouveau, puis cliquez surValeur DWORD.
  4. Type MaxConcurrentApi, puis appuyez sur ENTRÉE.
  5. Sur la Modifier menu, cliquez sur Modifier.
  6. Tapez le nouveau paramètre MaxConcurrentApi au format décimal et puis cliquez surOK.
  7. À l'invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE :
    NET stop netlogon
  8. Tapez la commande suivante et appuyez sur ENTRÉE :
    Net start netlogon

Plus d'informations

Vous pouvez utiliser l'article suivant de la Base de connaissances pour identifier les symptômes côté client des goulots d'étranglement d'authentification héritée plus en détail :
975363 Vous êtes invité par intermittence des informations d'identification ou rencontrez des délais d'attente lorsque vous vous connectez aux Services authentifiés
Le goulot d'étranglement d'authentification peuvent se trouver sur plusieurs serveurs dans le scénario. Par conséquent, vous devez vous assurer que tous les serveurs dans un scénario donné ont leurs données de performances révisées pendant qu'ils sont occupés à traiter des charges lourdes.

Les compteurs de sémaphore acquiert, pour les délais d'attente du sémaphore, et pour suspension de sémaphore moyenne horaire doit être revu sur tous les serveurs d'applications, les contrôleurs de domaine et les contrôleurs de domaine approuvés qui sont impliqués dans le traitement des demandes client.

Les données de performance doivent être suivies tandis que les serveurs sont sous une charge lourde. Charge importante se produit lorsque les serveurs de voient les plupart des demandes du client. Par exemple, dans un scénario de serveur e-mail, le meilleur moment pour collecter les données de performance est lorsqu'ils arrivent au travail et vérifier leurs e-mails.

Des éléments supplémentaires à prendre en compte sont les suivantes :
  • Aucune valeur n'implique aucune action n'est nécessaire. Le Détenteurs de sémaphore et Temps de blocage de sémaphore les compteurs n'affichera pas toutes les valeurs sauf s'il existe une charge soutenue sur un serveur. S'il n'y a aucune valeurs présentes, aucune modification de la valeur MaxConcurrentApi n'est nécessaire.
  • D'une taille ne suffit pas. La valeur MaxConcurrentApi doit être une valeur différente pour chaque serveur. Cette situation peut être provoquée par plusieurs serveurs d'application obtenant l'authentification à partir d'un seul contrôleur de domaine ou par des scénarios similaires dans lequel plusieurs serveurs fournissent un plus grand volume de charge avec lequel le contrôleur de domaine doit faire face.
  • Approbations.Si les utilisateurs sont authentifiés sont des domaines approuvés, cela peut entraîner des délais plus longs, car le contrôleur de domaine local doit attendre la réponse à partir du contrôleur de domaine approuvé avant que le contrôleur de domaine local fournit la réponse au serveur d'applications.
  • Latence du réseau. Latence du réseau peut également jouer un facteur provoquant des goulots d'étranglement MaxConcurrentApi. Cela peut se produire lorsque le sémaphore MaxConcurrentApi utilise un compteur en temps de délai d'attente afin que les clients n'attendent pas indéfiniment pour l'authentification héritée.
  • Le délai peut être en aval. Si le Temps de blocage de sémaphore valeur du compteur est constamment supérieure à 0 (zéro) à toute heure et la Détenteurs de sémaphore la valeur est inférieure au paramètre MaxConcurrentApi sur ce serveur, le goulot d'étranglement se trouve pas sur ce serveur. Rechercher dans ce cas, le contrôleur de domaine qui est citée dans le nom du compteur qui est répertorié comme un ordinateur hôte nom de domaine complet. Ce contrôleur de domaineTemps de blocage de sémaphore et Détenteurs de sémaphore les données de performance doivent être réexaminées.
  • Changements de charge ou dans la configuration du réseau. Latence du réseau peuvent produire des futures modifications de la charge qui est desservie ou dans des configurations de réseau et pourrait conduisent à un besoin de mesure la MaxConcurrentApi correct définissant à nouveau. Pour les environnements dans lesquels volume d'authentification hérité a été observé dans la mesure où les paramètres MaxConcurrentApi sont en cours d'examen, nous recommandons vivement en permanence surveiller et examiner les compteurs de l'objet de performance Net Logon. Pour cela, vous pouvez à l'aide de planifiée des collecteurs de données Perfmon.msc personnalisés, à l'aide de System Center Operations Manager ou en utilisant d'autres méthodes.
  • Maximum de Windows Server 2008. La valeur maximale autorisée pour les MaxConcurrentApi dans Windows Server 2008 et versions ultérieures est 150. Vous devez appliquer le correctif décrit dans l'article suivant de la Base de connaissances pour que le paramètre maximum 150 si le serveur que vous utilisez n'exécute pas Windows Server 2008 R2 :
    975363 Vous êtes invité par intermittence des informations d'identification ou rencontrez des délais d'attente lorsque vous vous connectez aux Services authentifiés
  • Maximum de Windows Server 2003. La valeur maximale autorisée pour les MaxConcurrentApi dans Windows Server 2003 et dans les versions antérieures est 10.
  • Les compteurs de performances et de Windows Server 2003. La version originale de Windows Server 2003 ne contient pas les compteurs de performance d'ouverture de session réseau. Ils doivent être ajoutés par l'intermédiaire d'un correctif. Pour plus d'informations sur l'ajout de ces compteurs, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    928576 Nouveaux compteurs de performances pour Windows Server 2003 vous permettent de surveiller les performances de l'authentification de Netlogon
Identification des clients inconnus ou non autorisés ou les services qui font NTLM répétée et continue l'authentification peut être utile lorsque vous souhaitez réduire la charge de l'authentification NTLM globale et par conséquent diminuer le nombre d'utilisations de sémaphore MaxConcurrentApi. Répéter l'authentification de cette manière peut être identifiée en utilisant le service Net Logon l'enregistrement de débogage. Pour plus d'informations sur l'utilisation du fichier Netlogon.log pour déboguer le service Net Logon, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
109626 Activer l'enregistrement de débogage pour le service Net Logon
N'oubliez pas que le compteur Perfmon.msc pour les authentifications NTLM sous l'objet de Statistiques au niveau du système de sécurité n'est pas un reflet du nombre d'utilisations du thread MaxConcurrentApi suivie. Il n'existe pas de corrélation directe entre l'utilisation de sémaphore MaxConcurrentApi qui est affichée dans le compteur de performance Net Logon et le compteur s'incrémente l'authentification de NTLM. Le compteur d'authentifications NTLM n'est pas utile pour déterminer la meilleure valeur MaxConcurrentApi.

En outre, il est très probable que dépassements de délai d'authentification hérité performances liés à MaxConcurrentApi seront vus et pas répercutées dans n'importe quel compteur de performance autres que le compteur d'ouverture de session réseau. Cela signifie qu'utilisent d'autres mesures de performances telles que l'UC et utilisation de disque et réseau ne peut-être présenter aucune charge alors que la charge MaxConcurrentApi est élevée et les utilisateurs rencontrent des problèmes.

Une étape supplémentaire réduisant peut être effectuée sur les contrôleurs de domaine qui possèdent des entrées dans leur journal de débogage du service Net Logon qui indiquent que les clients doivent envoyer <null>\</null>nom d'utilisateur au lieu de nom_domaine\nom d'utilisateur. Les étapes sont décrites dans l'article suivant de la Base de connaissances Microsoft :
923241 Le processus Lsass.exe peut cesser de répondre si vous avez plusieurs approbations externes sur un contrôleur de domaine Windows Server 2003

Propriétés

Numéro d'article: 2688798 - Dernière mise à jour: lundi 26 mars 2012 - Version: 1.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Foundation
  • Windows Server 2008 Standard
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
Mots-clés : 
kbhowto kbinfo kbperformance kbexpertiseinter kbsurveynew kbmt KB2688798 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 2688798
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com