Come eseguire l'ottimizzazione delle prestazioni per l'autenticazione NTLM tramite l'impostazione di MaxConcurrentApi

Traduzione articoli Traduzione articoli
Identificativo articolo: 2688798 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Introduzione

Di recente si Ŕ verificato un upswing in influsso delle tecnologie di informazioni aziendali, con l'aumento di dispositivi orientati al consumer quali Smartphone e Tablet PC. Questo aumento del numero di scenari in cui le aziende potrebbero verificarsi un notevole incremento autenticazione legacy nei loro ambienti aziendali. Questo aumento di autenticazione legacy potrebbe influire negativamente sulle prestazioni, ad esempio ritardi o valori di timeout per i client.

Quando si scopre che i timeout di autenticazione o ritardi, noto anche come colli MaxConcurrentApi, in un ambiente, il tipico modo per risolvere il problema Ŕ il processo di lavoro massimo consentito di generare thread che il servizio che l'autenticazione. Per eseguire questa operazione, modificare il valore del Registro di sistema MaxConcurrentApi e riavviando il servizio Accesso rete sui server.

Identificare i server che sono vittime del collo di bottiglia e i server che sono effettivamente l'origine di ritardi i collo di bottiglia pu˛ essere difficile. In questo articolo viene descritto come eseguire l'ottimizzazione delle prestazioni per l'autenticazione NT LAN Manager (NTLM) utilizzando l'impostazione MaxConcurrentApi. In questo articolo contiene indicazioni per gli amministratori di identificare i server su cui generare il valore MaxConcurrentApi e l'importo a cui tale valore deve essere impostato.

Risoluzione

Importante Questa sezione, il metodo o attivitÓ contiene viene illustrato come modificare il Registro di sistema. Tuttavia, pu˛ causare seri problemi se si modifica il Registro di sistema in modo non corretto. Pertanto, assicurarsi di seguire attentamente i passaggi. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, Ŕ possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Articolo 322756Come eseguire il backup e ripristinare il Registro di sistema in Windows
Per risolvere questo problema, Ŕ necessario esaminare i dati delle prestazioni che sono stato ricavati da tutti i server coinvolti nello scenario. Quindi, Ŕ possibile tentare di aumentare l'impostazione MaxConcurrentApi dei server che mostra una perdita in termini di prestazioni.

NotaáI contatori dati delle prestazioni uniche che consente di visualizzare in modo coerente il collo di bottiglia di autenticazione sono i contatori dell'oggetto prestazioni accesso rete. Per impostazione predefinita, questi contatori sono disponibili in Windows Server 2008 e versioni successive del sistema operativo. L'oggetto prestazioni di accesso rete Ŕ descritto in dettaglio nell'articolo della Knowledge Base riportato di seguito:
928576Nuovi contatori delle prestazioni per Windows Server 2003 consentono di monitorare le prestazioni di autenticazione di accesso rete
Per determinare il valore MaxConcurrentApi migliore per i server, Ŕ necessario riunire alcuni punti e calcolati utilizzando una formula. I dati da utilizzare per la stima MaxConcurrentApi sono i seguenti:
  • NET semaforo accesso acquisisce
  • NET i timeout del semaforo di accesso
  • Accesso rete medio semaforo tenere volta
  • Durata delle prestazioni di registrazione che viene completata, misurato in secondi.
Dopo che i dati vengono ottenuti, la seguente formula utilizzabile per stimare il valore MaxConcurrentApi corretto:
(semaphore_acquires+semaphore_time-esternamente) * average_semaphore_hold_time / time_collection_length = New_MaxConcurrentApi_setting
Dopo aver raccolto i dati sulle prestazioni di accesso rete da quando il server non Ŕ sotto carico di autenticazione, Ŕ necessario determinare la durata del processo di raccolta dati osservando l'inizio della riga e di fine.

"Semaforo acquisisce" e "semaforo timeout" Ŕ cumulativi numeri che indicano quante timeout durante la raccolta dei dati. Il numero iniziale deve essere sottratto dal numero finale quando si utilizza la visualizzazione di riga in Performance Monitor (Perfmon. msc). Utilizzare quindi questo numero calcolato nella formula per la nuova impostazione MaxConcurrentApi.

╚ possibile determinare il tempo di attesa medio semaforo modificando la vista di default dalla riga di visualizzazione per la visualizzazione del Report in Perfmon. msc. Ad esempio, se il semaforo acquisisce valore Ŕ 8,286, il valore di timeout del semaforo Ŕ 883, il tempo di attesa medio semaforo Ŕ 0,5 (vale a dire un mezzo secondo) e la durata di reporting Ŕ 90 secondi, la formula Ŕ la seguente:
(8,286 + 883) *. 5 / 90 =<>

Se il valore Ŕ derivato dalla formula Ŕ 150 o superiore, Ŕ necessario aggiungere ulteriori server per sostenere il carico di autenticazione preesistenti.

Se il valore Ŕ inferiore a 150, si deve modificare il valore del Registro di sistema MaxConcurrentApi su tale server per il valore proposto dalla formula o un valore maggiore. A tale scopo, attenersi alla seguente procedura:
  1. Fare clic su Avviare, fare clic su Eseguire, tipo Regedit, quindi fare clic su OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. Nel Modifica dal menu Nuovo, quindi fare clic suValore DWORD.
  4. Tipo MaxConcurrentApi, quindi premere INVIO.
  5. Nel Modifica menu, fare clic su Modificare.
  6. Digitare la nuova impostazione MaxConcurrentApi in formato decimale e quindi fare clic suOK.
  7. Al prompt dei comandi, digitare il comando seguente e quindi premere INVIO:
    NET stop netlogon
  8. Digitare il comando seguente e premere INVIO:
    NET start netlogon

Informazioni

Per identificare i sintomi sul lato client dei colli di bottiglia di autenticazione legacy in modo pi¨ dettagliato, Ŕ possibile utilizzare il seguente articolo della Knowledge Base:
975363 Vengono richieste credenziali in modo discontinuo o che si verifichino timeout durante la connessione a servizi di autenticazione
Il collo di bottiglia di autenticazione pu˛ essere su pi¨ server nello scenario. Di conseguenza, Ŕ necessario assicurarsi che tutti i server in un determinato scenario dispongano di dati relativi alle prestazioni esaminati durante la loro occupate grossi carichi di lavoro.

Acquisisce i contatori per il semaforo, per un timeout del semaforo, e per l'attesa del semaforo medio ora deve essere controllato in tutti i server applicazioni, i controller di dominio e controller di dominio trusted coinvolti nel rispondere alle richieste client.

I dati sulle prestazioni devono essere rilevati mentre i server si trovano in situazioni di carico. Carico pesante si verifica quando il server vedere pi¨ richieste di client. Ad esempio, in uno scenario di server di posta elettronica, il momento migliore per raccogliere i dati sulle prestazioni Ŕ quando gli utenti arrivano in ufficio e controllare la posta elettronica.

Ulteriori elementi da prendere in considerazione sono i seguenti:
  • Valori non significa che non Ŕ necessaria alcuna azione. Il Titolari di semaforo e Tempo di attesa semaforo i contatori non verranno visualizzati tutti i valori a meno che non Ŕ presente il carico su un server. Se non sono presenti valori presente, non Ŕ necessaria alcuna modifica del valore MaxConcurrentApi.
  • One size does not fit all.áIl valore MaxConcurrentApi potrebbe essere necessario un valore diverso per ogni server. Questa situazione pu˛ essere causata da pi¨ server di applicazioni, ottenere l'autenticazione da un singolo controller di dominio o da scenari simili in cui pi¨ server forniscono un maggiore volume di carico con cui Ŕ necessario gestire il controller di dominio.
  • Di trust.Se gli utenti vengono autenticati da domini attendibili, questo pu˛ causare ritardi pi¨ lunghi, poichÚ il controller di dominio locale deve attendere la risposta dal controller di dominio attendibile prima il controller di dominio locale fornisce la risposta del server applicazioni.
  • La latenza della rete.áLatenza di rete pu˛ essere riprodotti anche un fattore determinante nel causare colli di bottiglia MaxConcurrentApi. Ci˛ pu˛ verificarsi quando il semaforo MaxConcurrentApi utilizza un contatore basata sul tempo di timeout, in modo che i client non attendono all'infinito autenticazione preesistenti.
  • Il ritardo potrebbe essere a valle. Se il Tempo di attesa semaforo valore del contatore Ŕ costantemente maggiore di 0 (zero) per qualsiasi ora e il Titolari di semaforo valore Ŕ minore dell'impostazione MaxConcurrentApi su tale server, il collo di bottiglia non si trova su quel server. In questo caso, per controllare il controller di dominio citato nel nome del contatore Ŕ elencato come nome di dominio completo di un computer host. Tale controller di dominioTempo di attesa semaforo e Titolari di semaforo Ŕ necessario esaminare i dati sulle prestazioni.
  • Le modifiche nel caricamento o nella configurazione di rete.áLe modifiche future del carico che viene servito o configurazioni di rete possono produrre latenza di rete e potrebbe comportare la necessitÓ per il corretto MaxConcurrentApi di misura impostando nuovamente. Per gli ambienti in cui Ŕ stata individuata volume autenticazione preesistenti, nella misura in cui sono in corso l'analisi delle impostazioni MaxConcurrentApi, Ŕ consigliabile monitorare continuamente e controllare i contatori dell'oggetto prestazioni accesso rete. Per farlo utilizzando pianificati raccoglitori di dati personalizzati PerfMon, System Center Operations Manager o altri metodi.
  • Massimo di Windows Server 2008.áL'impostazione massima consentita per MaxConcurrentApi in Windows Server 2008 e versioni successive Ŕ 150. ╚ necessario applicare l'aggiornamento rapido descritto nell'articolo della Knowledge Base riportato di seguito per avere l'impostazione disponibile massimo 150 se il server che si sta utilizzando non Ŕ in esecuzione Windows Server 2008 R2:
    975363 Vengono richieste credenziali in modo discontinuo o che si verifichino timeout durante la connessione a servizi di autenticazione
  • Massimo di Windows Server 2003.áL'impostazione massima consentita per MaxConcurrentApi in Windows Server 2003 e versioni precedenti Ŕ 10.
  • i contatori di prestazioni e Windows Server 2003.áI contatori delle prestazioni di accesso rete non contiene la versione originale di Windows Server 2003. Essi devono essere aggiunte mediante una correzione rapida. Per ulteriori informazioni su come aggiungere questi contatori, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    928576 Nuovi contatori delle prestazioni per Windows Server 2003 consentono di monitorare le prestazioni di autenticazione di accesso rete
Identificare i client sconosciuti o non autorizzati o servizi che eseguono NTLM continua e ripetuta l'autenticazione pu˛ essere utile quando si desidera ridurre il carico di autenticazione NTLM complessivo e in definitiva diminuendo il numero di utilizzi semaforo MaxConcurrentApi. Ripetere l'autenticazione in che modo pu˛ essere identificato mediante il servizio Accesso rete registrazione di debug. Per ulteriori informazioni su come utilizzare il file Netlogon. log per eseguire il debug del servizio Accesso rete, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
109626 Abilitazione della registrazione di debug per il servizio Accesso rete
Tenere presente che il contatore Perfmon. msc per autenticazioni NTLM sotto l'oggetto Delle statistiche di protezione a livello di sistema non Ŕ una conseguenza del numero di utilizzi del thread MaxConcurrentApi rilevate. Non vi Ŕ alcuna correlazione uno a uno tra l'utilizzo del semaforo MaxConcurrentApi mostrato nel contatore delle prestazioni di accesso rete e l'incremento del contatore di autenticazione NTLM. Il contatore di autenticazioni NTLM non Ŕ utile per determinare il miglior valore MaxConcurrentApi.

Inoltre, Ŕ molto probabile che i timeout di prestazioni autenticazione preesistenti sono correlati a MaxConcurrentApi saranno visibili e non riflettono in qualsiasi contatore delle prestazioni diverso da quello del contatore di accesso rete. Ci˛ significa che altre misure delle prestazioni, ad esempio CPU e utilizzo disco e rete non pu˛ mostrare alcun carico durante il carico MaxConcurrentApi Ŕ pesante e gli utenti di problemi.

Un ulteriore passaggio di riduzione pu˛ essere eseguito sul controller di dominio che dispone di voci nel relativo Registro di debug del servizio Accesso rete che indicano che i client siano inviando <null>\</null>nome utente invece di NomeDominio\nome utente. La procedura Ŕ descritta nell'articolo della Microsoft Knowledge Base riportato di seguito:
923241 Il processo Lsass. exe potrebbe bloccarsi se si dispone di molte trust esterni in un controller di dominio basato su Windows Server 2003

ProprietÓ

Identificativo articolo: 2688798 - Ultima modifica: lunedý 26 marzo 2012 - Revisione: 1.1
Le informazioni in questo articolo si applicano a:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Foundation
  • Windows Server 2008 Standard
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
Chiavi:á
kbhowto kbinfo kbperformance kbexpertiseinter kbsurveynew kbmt KB2688798 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 2688798
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com