Connexion

Select the product you need help with

Comment effectuer le r�glage des performances pour l'authentification NTLM en utilisant le param�tre MaxConcurrentApi

Num�ro d'article: 2688798 - Voir les produits auxquels s'applique cet article

ATTENTION : Cet article est issu du syst�me de traduction automatique

Cliquez ici si vous souhaitez afficher en c�te � c�te l?article anglais et sa traduction automatique en fran�ais

Agrandir tout | R�duire tout

Introduction

R�cemment, il a �t� un plaisir dans la � Consum�risation � de l'informatique d'entreprise, avec l'augmentation des dispositifs orient�s consommateur tels que les smartphones et les tablettes. Cela augmente le nombre de sc�narios dans lequel les entreprises peuvent rencontrer une augmentation importante d'authentification h�rit� dans leurs environnements d'entreprise. Cette augmentation de l'authentification h�rit�e peut entra�ner des probl�mes de performances telles que les retards ou les d�lais pour les clients.

Lorsque vous d�couvrez les d�lais d'authentification ou de retards, �galement appel�es goulots d'�tranglement MaxConcurrentApi, dans un environnement, la m�thode classique pour r�soudre le probl�me consiste pour d�clencher le travailleur autoris� maximal threads ce service que l'authentification. Pour cela, en changeant la valeur de Registre MaxConcurrentApi et puis en red�marrant le service Net Logon sur les serveurs.

Identifier les serveurs qui est victimes de goulot d'�tranglement et les serveurs qui sont effectivement la source de cette lenteur de goulot d'�tranglement peut �tre difficile. Cet article d�crit comment effectuer le r�glage des performances pour l'authentification NT LAN Manager (NTLM) en utilisant le param�tre MaxConcurrentApi. Cet article contient des conseils pour les administrateurs � identifier les serveurs sur lesquels augmenter la valeur MaxConcurrentApi et le montant auquel cette valeur doit �tre d�finie.

Retour au d�but | Envoyer des commentaires

R�solution

Important Cette section, la m�thode ou la t�che qui va suivre contient des �tapes qui vous indiquent la m�thode pour modifier le Registre de Windows. Toutefois, les probl�mes s�rieux peuvent survenir si vous modifiez le Registre de fa�on incorrecte. Par cons�quent, assurez-vous de suivre ces �tapes avec une attention toute particuli�re. Afin de couvrir votre syst�me d'une protection suppl�mentaire, veuillez sauvegarder le Registre avant d'intervenir pour y apporter des modifications. Ainsi, si � la suite des modifications un probl�me devait survenir, vous pourrez toujours restaurer le Registre. Pour obtenir des informations sur la marche � suivre pour sauvegarder ou restaurer la Base de Registre, cliquez sur le lien (num�ro) ci-dessous et afficher l'article correspondant dans la Base de connaissances Microsoft :

322756

(http://support.microsoft.com/kb/322756/ )

Comment sauvegarder et restaurer le Registre dans Windows

Pour r�soudre ce probl�me, vous devez passer en revue les donn�es de performance qui a �t� prises � partir de tous les serveurs impliqu�s dans le sc�nario. Ensuite, vous pouvez essayer d'augmenter le param�tre MaxConcurrentApi sur ces serveurs qui indiquent une perte de performances.

Remarque :�Les compteurs de donn�es seules performances qui peuvent afficher constamment le goulot d'�tranglement d'authentification sont des compteurs de l'objet de performance Net Logon. Par d�faut, ces compteurs sont pr�sents dans Windows Server 2008 et dans les versions ult�rieures de syst�me d'exploitation. L'objet de performance Net Logon est abord�e plus en d�tail dans l'article suivant de la Base de connaissances :

928576

(http://support.microsoft.com/kb/928576/ )

Nouveaux compteurs de performances pour Windows Server 2003 vous permettent de surveiller les performances d'authentification d'ouverture de session r�seau

Afin de d�terminer la meilleure valeur MaxConcurrentApi pour vos serveurs, plusieurs points de donn�es doivent �tre rassembl�s et calcul�s � l'aide d'une formule. Les donn�es devant servir � estimer MaxConcurrentApi sont comme suit :

S�maphore d'ouverture de session NET acquiert
NET les d�lais d'ouverture de session s�maphore
Ouverture de session r�seau s�maphore moyenne maintenez temps
Dur�e de l'enregistrement des performances est termin�e, mesur�e en secondes.

Une fois que les donn�es sont obtenues, la formule suivante peut servir � estimer la valeur MaxConcurrentApi correcte :

(semaphore_acquires+sorties semaphore_time) * average_semaphore_hold_time / time_collection_length = New_MaxConcurrentApi_setting

Apr�s avoir recueilli les donn�es de performances d'ouverture de session r�seau � partir de quand le serveur n'a en charge l'authentification, vous devez d�terminer la dur�e du processus de collecte de donn�es en regardant le d�but de la vue de la ligne et de fin.

� Acquiert le s�maphore � et � les d�lais de s�maphore � est des nombres cumulative qui indiquent combien de d�lais d'attente s'est produite lors de la collecte de donn�es. Le num�ro de d�part doit �tre retranch� le num�ro de fin lorsque vous utilisez le mode de ligne de l'Analyseur de performances (Perfmon.msc). Ensuite, vous utilisez ce nombre calcul� dans la formule pour le nouveau param�tre MaxConcurrentApi.

La dur�e moyenne de s�maphore peut �tre d�termin�e par la modification de l'affichage par d�faut � partir de la ligne de vue pour l'affichage du rapport dans Perfmon.msc. Par exemple, si le s�maphore acquiert la valeur est 8,286, la valeur de d�lais d'attente du s�maphore est 883, la dur�e moyenne de s�maphore est de 0,5 (c'est-�-dire une demi-seconde) et la dur�e de cr�ation de rapports est de 90 secondes, la formule se pr�sente comme suit :

(8,286 + 883) *.5 / 90 =<>

Si la valeur est d�riv�e de la formule est sup�rieure ou 150, vous devez ajouter plusieurs serveurs pour traiter la charge d'authentification h�rit�.

Si la valeur est inf�rieure � 150, vous devez modifier la valeur de Registre MaxConcurrentApi sur ce serveur pour la valeur qui est sugg�r�e par la formule ou une valeur sup�rieure. Pour ce faire, proc�dez comme suit :

Cliquez sur D�marrer, cliquez sur Ex�cuter, type Regedit, puis cliquez sur OK.
Recherchez et puis cliquez sur la sous-cl� de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Sur la Modifier pointez sur Nouveau, puis cliquez surValeur DWORD.
Type MaxConcurrentApi, puis appuyez sur ENTR�E.
Sur la Modifier menu, cliquez sur Modifier.
Tapez le nouveau param�tre MaxConcurrentApi au format d�cimal et puis cliquez surOK.
� l'invite de commandes, tapez la commande suivante et appuyez sur ENTR�E :
NET stop netlogon
Tapez la commande suivante et appuyez sur ENTR�E :
Net start netlogon

Retour au d�but | Envoyer des commentaires

Plus d'informations

Vous pouvez utiliser l'article suivant de la Base de connaissances pour identifier les sympt�mes c�t� client des goulots d'�tranglement d'authentification h�rit�e plus en d�tail :

975363

(http://support.microsoft.com/kb/975363/ )

Vous �tes invit� par intermittence des informations d'identification ou rencontrez des d�lais d'attente lorsque vous vous connectez aux Services authentifi�s

Le goulot d'�tranglement d'authentification peuvent se trouver sur plusieurs serveurs dans le sc�nario. Par cons�quent, vous devez vous assurer que tous les serveurs dans un sc�nario donn� ont leurs donn�es de performances r�vis�es pendant qu'ils sont occup�s � traiter des charges lourdes.

Les compteurs de s�maphore acquiert, pour les d�lais d'attente du s�maphore, et pour suspension de s�maphore moyenne horaire doit �tre revu sur tous les serveurs d'applications, les contr�leurs de domaine et les contr�leurs de domaine approuv�s qui sont impliqu�s dans le traitement des demandes client.

Les donn�es de performance doivent �tre suivies tandis que les serveurs sont sous une charge lourde. Charge importante se produit lorsque les serveurs de voient les plupart des demandes du client. Par exemple, dans un sc�nario de serveur e-mail, le meilleur moment pour collecter les donn�es de performance est lorsqu'ils arrivent au travail et v�rifier leurs e-mails.

Des �l�ments suppl�mentaires � prendre en compte sont les suivantes :

Aucune valeur n'implique aucune action n'est n�cessaire. Le D�tenteurs de s�maphore et Temps de blocage de s�maphore les compteurs n'affichera pas toutes les valeurs sauf s'il existe une charge soutenue sur un serveur. S'il n'y a aucune valeurs pr�sentes, aucune modification de la valeur MaxConcurrentApi n'est n�cessaire.
D'une taille ne suffit pas.�La valeur MaxConcurrentApi doit �tre une valeur diff�rente pour chaque serveur. Cette situation peut �tre provoqu�e par plusieurs serveurs d'application obtenant l'authentification � partir d'un seul contr�leur de domaine ou par des sc�narios similaires dans lequel plusieurs serveurs fournissent un plus grand volume de charge avec lequel le contr�leur de domaine doit faire face.
Approbations.Si les utilisateurs sont authentifi�s sont des domaines approuv�s, cela peut entra�ner des d�lais plus longs, car le contr�leur de domaine local doit attendre la r�ponse � partir du contr�leur de domaine approuv� avant que le contr�leur de domaine local fournit la r�ponse au serveur d'applications.
Latence du r�seau.�Latence du r�seau peut �galement jouer un facteur provoquant des goulots d'�tranglement MaxConcurrentApi. Cela peut se produire lorsque le s�maphore MaxConcurrentApi utilise un compteur en temps de d�lai d'attente afin que les clients n'attendent pas ind�finiment pour l'authentification h�rit�e.
Le d�lai peut �tre en aval. Si le Temps de blocage de s�maphore valeur du compteur est constamment sup�rieure � 0 (z�ro) � toute heure et la D�tenteurs de s�maphore la valeur est inf�rieure au param�tre MaxConcurrentApi sur ce serveur, le goulot d'�tranglement se trouve pas sur ce serveur. Rechercher dans ce cas, le contr�leur de domaine qui est cit�e dans le nom du compteur qui est r�pertori� comme un ordinateur h�te nom de domaine complet. Ce contr�leur de domaineTemps de blocage de s�maphore et D�tenteurs de s�maphore les donn�es de performance doivent �tre r�examin�es.
Changements de charge ou dans la configuration du r�seau.�Latence du r�seau peuvent produire des futures modifications de la charge qui est desservie ou dans des configurations de r�seau et pourrait conduisent � un besoin de mesure la MaxConcurrentApi correct d�finissant � nouveau. Pour les environnements dans lesquels volume d'authentification h�rit� a �t� observ� dans la mesure o� les param�tres MaxConcurrentApi sont en cours d'examen, nous recommandons vivement en permanence surveiller et examiner les compteurs de l'objet de performance Net Logon. Pour cela, vous pouvez � l'aide de planifi�e des collecteurs de donn�es Perfmon.msc personnalis�s, � l'aide de System Center Operations Manager ou en utilisant d'autres m�thodes.
Maximum de Windows Server 2008.�La valeur maximale autoris�e pour les MaxConcurrentApi dans Windows Server 2008 et versions ult�rieures est 150. Vous devez appliquer le correctif d�crit dans l'article suivant de la Base de connaissances pour que le param�tre maximum 150 si le serveur que vous utilisez n'ex�cute pas Windows Server 2008 R2 :
975363
(http://support.microsoft.com/kb/975363/ )
Vous �tes invit� par intermittence des informations d'identification ou rencontrez des d�lais d'attente lorsque vous vous connectez aux Services authentifi�s
Maximum de Windows Server 2003.�La valeur maximale autoris�e pour les MaxConcurrentApi dans Windows Server 2003 et dans les versions ant�rieures est 10.
Les compteurs de performances et de Windows Server 2003.�La version originale de Windows Server 2003 ne contient pas les compteurs de performance d'ouverture de session r�seau. Ils doivent �tre ajout�s par l'interm�diaire d'un correctif. Pour plus d'informations sur l'ajout de ces compteurs, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
928576
(http://support.microsoft.com/kb/928576/ )
Nouveaux compteurs de performances pour Windows Server 2003 vous permettent de surveiller les performances de l'authentification de Netlogon

Identification des clients inconnus ou non autoris�s ou les services qui font NTLM r�p�t�e et continue l'authentification peut �tre utile lorsque vous souhaitez r�duire la charge de l'authentification NTLM globale et par cons�quent diminuer le nombre d'utilisations de s�maphore MaxConcurrentApi. R�p�ter l'authentification de cette mani�re peut �tre identifi�e en utilisant le service Net Logon l'enregistrement de d�bogage. Pour plus d'informations sur l'utilisation du fichier Netlogon.log pour d�boguer le service Net Logon, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

109626

(http://support.microsoft.com/kb/109626/ )

Activer l'enregistrement de d�bogage pour le service Net Logon

N'oubliez pas que le compteur Perfmon.msc pour les authentifications NTLM sous l'objet de Statistiques au niveau du syst�me de s�curit� n'est pas un reflet du nombre d'utilisations du thread MaxConcurrentApi suivie. Il n'existe pas de corr�lation directe entre l'utilisation de s�maphore MaxConcurrentApi qui est affich�e dans le compteur de performance Net Logon et le compteur s'incr�mente l'authentification de NTLM. Le compteur d'authentifications NTLM n'est pas utile pour d�terminer la meilleure valeur MaxConcurrentApi.

En outre, il est tr�s probable que d�passements de d�lai d'authentification h�rit� performances li�s � MaxConcurrentApi seront vus et pas r�percut�es dans n'importe quel compteur de performance autres que le compteur d'ouverture de session r�seau. Cela signifie qu'utilisent d'autres mesures de performances telles que l'UC et utilisation de disque et r�seau ne peut-�tre pr�senter aucune charge alors que la charge MaxConcurrentApi est �lev�e et les utilisateurs rencontrent des probl�mes.

Une �tape suppl�mentaire r�duisant peut �tre effectu�e sur les contr�leurs de domaine qui poss�dent des entr�es dans leur journal de d�bogage du service Net Logon qui indiquent que les clients doivent envoyer <null>\</null>nom d'utilisateur au lieu de nom_domaine\nom d'utilisateur. Les �tapes sont d�crites dans l'article suivant de la Base de connaissances Microsoft :

923241

(http://support.microsoft.com/kb/923241/ )

Le processus Lsass.exe peut cesser de r�pondre si vous avez plusieurs approbations externes sur un contr�leur de domaine Windows Server 2003

Retour au d�but | Envoyer des commentaires

Propri�t�s

Num�ro d'article: 2688798 - Derni�re mise � jour: lundi 26 mars 2012 - Version: 1.1

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

Windows Server 2008 R2 Datacenter
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Foundation
Windows Server 2008 R2 Standard
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Foundation
Windows Server 2008 Standard
Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
Microsoft Windows Server 2003 R2 Datacenter x64 Edition
Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
Microsoft Windows Server 2003 R2 Enterprise x64 Edition
Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
Microsoft Windows Server 2003 R2 Standard x64 Edition
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter x64 Edition
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Standard x64 Edition

kbhowto kbinfo kbperformance kbexpertiseinter kbsurveynew kbmt KB2688798 KbMtfr

Traduction automatique

IMPORTANT : Cet article est issu du syst�me de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis � votre disposition en compl�ment des articles traduits en langue fran�aise par des traducteurs professionnels. Cela vous permet d?avoir acc�s, dans votre propre langue, � l?ensemble des articles de la base de connaissances r�dig�s originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne �trang�re s?exprimant dans votre langue !). N�anmoins, mis � part ces imperfections, ces articles devraient suffire � vous orienter et � vous aider � r�soudre votre probl�me. Microsoft s?efforce aussi continuellement de faire �voluer son syst�me de traduction automatique.

La version anglaise de cet article est la suivante: 2688798

(http://support.microsoft.com/kb/2688798/en-us/ )

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Retour au d�but | Envoyer des commentaires