Bagaimana melakukan kinerja tuning untuk otentikasi NTLM dengan menggunakan pengaturan MaxConcurrentApi

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 2688798 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pengenalan

Baru-baru ini, ada sebuah kenaikan consumerization dari perusahaan teknologi informasi, bersama dengan peningkatan berorientasi-konsumen peranti penangkap seperti smartphone dan tablet. Ini adalah peningkatan jumlah skenario di mana bisnis mungkin mengalami peningkatan besar dalam warisan otentikasi di lingkungan perusahaan mereka. Peningkatan ini otentikasi warisan dapat menyebabkan masalah kinerja seperti keterlambatan atau time-out untuk klien.

Ketika Anda menemukan otentikasi time-out atau penundaan, juga dikenal sebagai MaxConcurrentApi kertas macet, dalam sebuah lingkungan, cara khas untuk menyelesaikan masalah adalah untuk meningkatkan maksimum diizinkan pekerja benang layanan tersebut bahwa otentikasi. Anda melakukan ini dengan mengubah nilai registri MaxConcurrentApi dan kemudian me-restart layanan Net log masuk pada server.

Mengidentifikasi server yang adalah korban dari kertas macet dan server yang adalah benar-benar sumber penundaan kertas macet bisa sulit. Artikel ini menjelaskan bagaimana melakukan kinerja tuning untuk otentikasi NT LAN Manager (NTLM) dengan menggunakan pengaturan MaxConcurrentApi. Artikel ini berisi petunjuk untuk administrator dalam mengidentifikasi server untuk meningkatkan nilai MaxConcurrentApi dan jumlah yang nilai yang harus ditetapkan.

PEMECAHAN MASALAH

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana untuk mengubah registri. Namun, masalah serius mungkin muncul saat Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasinya. Kemudian, Anda dapat memulihkan registri apabila ada masalah. Untuk informasi lebih lanjut tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
322756Cara membuat cadangan dan memulihkan registri pada Windows
Untuk mengatasi masalah ini, Anda harus meninjau kinerja data yang diambil dari server semua yang terlibat dalam skenario. Kemudian, Anda dapat mencoba meningkatkan pengaturan MaxConcurrentApi pada server yang menunjukkan kerugian dalam kinerja.

Catatan Penghitung data hanya kinerja yang dapat secara konsisten menunjukkan kertas macet otentikasi adalah penghitung objek kinerja Net log masuk. secara asali, Counter ini terdapat di Windows Server 2008 dan di versi sistem operasi. Net log masuk kinerja objek dibahas secara lebih rinci dalam artikel Pangkalan Pengetahuan berikut:
928576Baru performance counters for Windows Server 2003 membiarkan Anda memantau kinerja Net log masuk otentikasi
Dalam rangka untuk menentukan nilai MaxConcurrentApi terbaik untuk server Anda, beberapa poin data harus membawa bersama-sama dan dihitung dengan menggunakan rumus. Data yang akan digunakan untuk memperkirakan MaxConcurrentApi adalah sebagai berikut:
  • Bersih log masuk semafor mengakuisisi
  • Bersih log masuk semafor time-out
  • Bersih log masuk rata-rata semafor terus waktu
  • Durasi kinerja logging yang selesai, diukur dalam detik.
Setelah data yang diperoleh, rumus berikut dapat digunakan untuk memperkirakan nilai MaxConcurrentApi benar:
(semaphore_acquires+semaphore_time-out) * average_semaphore_hold_time / time_collection_length = New_MaxConcurrentApi_setting
Setelah Anda mengumpulkan data performa log masuk bersih dari ketika server berada di bawah beban otentikasi, Anda harus menentukan durasi proses mengumpulkan data dengan melihat garis jatuh pandang awal dan akhir kali.

"Semafor mengakuisisi" dan "semaphore time-out" adalah kumulatif angka yang menunjukkan berapa banyak time-out terjadi selama pengumpulan data. Nomor awal harus dikurangi dari nomor berakhir ketika Anda menggunakan tampilan baris di Monitor kinerja (Perfmon.msc). Kemudian, Anda menggunakan nomor ini dihitung dalam rumus untuk pengaturan MaxConcurrentApi baru.

Saat memegang rata-rata semafor dapat ditentukan dengan mengubah tampilan default dari garis jatuh pandang laporan tampilan di Perfmon.msc. Sebagai contoh, jika semafor mengakuisisi nilai adalah 8,286, nilai time-out semafor adalah 883, saat memegang Semafor rata-rata adalah 5 (yaitu setengah kedua), dan durasi pelaporan adalah 90 detik, rumus akan menjadi sebagai berikut:
(8,286 + 883) * 5 / 90 =<>

Jika nilai yang berasal dari rumus 150 atau lebih besar, Anda harus menambahkan lebih server untuk melayani beban warisan otentikasi.

Jika nilai adalah kurang dari 150, Anda harus mengubah nilai registri MaxConcurrentApi pada server untuk nilai yang disarankan oleh rumus atau nilai yang lebih besar. Untuk melakukannya, ikuti langkah berikut:
  1. Klik Mulai, klik Menjalankan, jenis Regedit, lalu klik Oke.
  2. Temukan dan kemudian klik subkunci registri berikut:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. Pada Mengedit menu, titik Baru, lalu klikNilai DWORD.
  4. Jenis MaxConcurrentApi, kemudian tekan Enter.
  5. Pada Mengedit menu, klik Memodifikasi.
  6. Ketik pengaturan MaxConcurrentApi baru dalam desimal, dan kemudian klikOke.
  7. Pada prompt perintah, ketik perintah berikut, dan kemudian tekan Enter:
    net stop netlogon
  8. Ketik perintah berikut, dan kemudian tekan Enter:
    net start netlogon

INFORMASI LEBIH LANJUT

Anda dapat menggunakan artikel Pangkalan Pengetahuan berikut untuk mengidentifikasi gejala sisi klien warisan otentikasi kertas macet lebih detail:
975363 Anda diminta sebentar-sebentar untuk kredensial atau pengalaman time-out ketika Anda tautan langsung ke layanan dikonfirmasi
kertas macet otentikasi mungkin pada beberapa server dalam skenario. Oleh karena itu, Anda harus memastikan bahwa semua server dalam skenario tertentu memiliki data kinerja mereka meninjau sementara mereka sibuk melayani beban berat.

Counter untuk semafor mengakuisisi, untuk semafor time-out, dan untuk terus semafor rata-rata waktu harus meninjau kembali semua server aplikasi, pengontrol domain dan pengendali domain yang terpercaya yang terlibat dalam pelayanan permintaan klien.

Data performa harus dilacak sementara server berada di bawah beban berat. Beban berat terjadi ketika server melihat sebagian besar permintaan klien. Sebagai contoh, dalam skenario server email, waktu terbaik untuk mengumpulkan data performa adalah ketika pengguna tiba di tempat kerja dan memeriksa email mereka.

Item tambahan pertimbangan adalah sebagai berikut:
  • Tidak berarti tidak ada tindakan yang diperlukan. The Semafor pemegang dan Semafor terus waktu Counter tidak akan menampilkan nilai-nilai apapun kecuali ada berkelanjutan beban pada server. Jika ada nilai-nilai tidak hadir, tidak ada perubahan dalam nilai MaxConcurrentApi yang diperlukan.
  • Satu ukuran does not fit all. Nilai MaxConcurrentApi mungkin harus menjadi nilai yang berbeda untuk setiap server. Situasi ini dapat disebabkan oleh beberapa server aplikasi memperoleh otentikasi dari satu domain controller atau oleh skenario yang sama di mana beberapa server menyediakan volume yang lebih besar dari beban dengan yang harus berurusan pengendali domain.
  • Percaya.Jika pengguna yang sedang dikonfirmasi berasal dari domain yang terpercaya, ini dapat menyebabkan penundaan lagi, karena pengendali domain lokal harus menunggu jawaban dari pengendali domain yang terpercaya sebelum pengendali domain lokal memberikan respon ke server aplikasi.
  • Jaringan latency. Latency jaringan juga bisa Putar di faktor utama dalam menyebabkan kertas macet MaxConcurrentApi. Hal ini dapat terjadi ketika semafor MaxConcurrentApi menggunakan penghitung waktu berdasarkan waktu habis sehingga klien tidak menunggu selamanya warisan otentikasi.
  • Penundaan mungkin Hilir. Jika Semafor terus waktu Counter nilai terus-menerus lebih besar dari 0 (nol) untuk setiap saat dan Semafor pemegang nilai kurang dari pengaturan MaxConcurrentApi pada server, hambatan tidak terletak pada server. Dalam kasus ini, melihat ke pengendali domain yang dikutip dalam nama counter yang terdaftar sebagai komputer host sepenuhnya memenuhi syarat nama domain. pengendali domain yangSemafor terus waktu dan Semafor pemegang data performa harus ditinjau ulang.
  • Perubahan dalam beban atau konfigurasi jaringan. Masa depan perubahan dalam beban yang sedang dilayani atau konfigurasi jaringan dapat menghasilkan latency jaringan dan dapat mengakibatkan perlunya mengukur MaxConcurrentApi benar pengaturan lagi. Untuk lingkungan di mana warisan otentikasi volume terlihat sejauh bahwa pengaturan MaxConcurrentApi sedang diperiksa, kami sangat menganjurkan bahwa Anda terus-menerus memantau dan meninjau penghitung objek kinerja Net log masuk. Anda dapat melakukan ini dengan menggunakan dijadwalkan kustom Perfmon.msc data kolektor, dengan menggunakan System Center Operations Manager, atau dengan menggunakan metode lain.
  • Windows Server 2008 maksimum. Pengaturan maksimum yang diperbolehkan untuk MaxConcurrentApi di Windows Server 2008 dan di versi adalah 150. Anda harus menerapkan perbaikan terbaru yang dijelaskan di dalam artikel Pangkalan Pengetahuan berikut untuk memiliki pengaturan tersedia maksimum 150 jika server yang Anda gunakan tidak menjalankan Windows Server 2008 R2:
    975363 Anda diminta sebentar-sebentar untuk kredensial atau pengalaman time-out ketika Anda tautan langsung ke layanan dikonfirmasi
  • Windows Server 2003 maksimum. Pengaturan maksimum yang diperbolehkan untuk MaxConcurrentApi pada Windows Server 2003 dan versi sebelumnya adalah 10.
  • Windows Server 2003 dan kinerja Counter. Peluncuran asli Windows Server 2003 tidak mengandung penghitung kinerja Net log masuk. Mereka harus ditambahkan melalui perbaikan terbaru. Untuk informasi lebih lanjut tentang cara menambahkan Counter ini, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
    928576 Baru performance counters for Windows Server 2003 membiarkan Anda memantau kinerja Netlogon otentikasi
Mengidentifikasi tidak sah atau tidak diketahui klien atau layanan yang melakukan diulang dan terus-menerus NTLM otentikasi dapat berguna bila Anda ingin mengurangi beban otentikasi NTLM keseluruhan dan oleh karena itu pada akhirnya mengurangi jumlah MaxConcurrentApi semafor menggunakan. Diulang otentikasi dengan cara itu dapat diidentifikasi dengan menggunakan layanan Net log masuk debug penebangan. Untuk informasi lebih lanjut tentang bagaimana menggunakan berkas Netlogon.log untuk men-debug layanan Net log masuk, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
109626 Mengaktifkan pendataan debug untuk layanan Net log masuk
Sadarilah counter Perfmon.msc NTLM authentications di bawah objek Keamanan System-Wide statistik yang tidak mencerminkan jumlah menggunakan kain MaxConcurrentApi dilacak. Ada tidak ada banding korelasi antara penggunaan semafor MaxConcurrentApi yang akan ditampilkan di Net log masuk performa counter dan otentikasi NTLM counter bertahap. tabel atak authentications NTLM ini tidak berguna untuk menentukan nilai MaxConcurrentApi terbaik.

Selain itu, sangat mungkin bahwa warisan otentikasi kinerja time-out yang berkaitan dengan MaxConcurrentApi akan terlihat dan tidak tercermin dalam setiap performa counter selain counter Net log masuk. Ini berarti bahwa menggunakan metrik kinerja lainnya seperti CPU dan penggunaan disk dan jaringan mungkin menunjukkan tanpa beban sementara MaxConcurrentApi beban berat dan pengguna yang mengalami masalah.

Menerus langkah tambahan dapat dilakukan pada pengontrol domain yang memiliki entri dalam mereka log debug layanan Net log masuk yang menunjukkan bahwa klien mengirimkan <null>\</null>username Melainkan domainname\username. Langkah-langkah yang dijelaskan pada artikel Pangkalan Pengetahuan Microsoft berikut:
923241 Proses Lsass.exe mungkin berhenti merespons jika Anda memiliki banyak eksternal percaya pada pengendali domain berbasis Windows Server 2003

Properti

ID Artikel: 2688798 - Kajian Terakhir: 26 Maret 2012 - Revisi: 1.1
Berlaku bagi:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Foundation
  • Windows Server 2008 Standard
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
Kata kunci: 
kbhowto kbinfo kbperformance kbexpertiseinter kbsurveynew kbmt KB2688798 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:2688798

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com