MaxConcurrentApi 設定を使用して NTLM 認証のパフォーマンスをチューニングする方法

文書翻訳 文書翻訳
文書番号: 2688798
すべて展開する | すべて折りたたむ

はじめに

最近では、upswing、一般消費者向けのスマート フォンとタブレットなどのデバイスの消費者指向の増加とともに、企業の情報技術にしました。これは、シナリオの企業では非常に大きく、エンタープライズ環境でのレガシーの認証をすることがありますの数を増やすことです。この増加の従来の認証クライアントの遅延やタイムアウトなどのパフォーマンスの問題を可能性があります。

認証タイムアウトまたは遅延、環境、MaxConcurrentApi ボトルネックとも呼ばれますを検出すると、問題を解決するには、一般的な方法は、最大の使用可能なワーカーの発生するサービス、認証のスレッドです。これは、MaxConcurrentApi レジストリ値を変更して、サーバー上の Net Logon サービスを再起動実行します。

どのサーバーを識別する被害者のボトルネックありサーバーはボトルネックの遅延のソースは、実際には難しい場合があります。この資料では MaxConcurrentApi 設定を使用して、NT LAN マネージャー (NTLM) 認証のパフォーマンスをチューニングする方法について説明します。MaxConcurrentApi 値およびその値を設定するのには量が発生するサーバーを識別するのには、管理者の手引きを掲載しています。

解決方法

重要このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細については、以下のサポート技術情報番号をクリックしてください。
322756Windows でレジストリをバックアップおよび復元する方法
この問題を解決するには、このシナリオでは、関連するすべてのサーバーから取得したパフォーマンス データを確認する必要があります。その後、MaxConcurrentApi 設定のパフォーマンスの低下を示すこれらのサーバーを増やすことができます。

認証のボトルネックを一貫して表示できる唯一のパフォーマンス データ カウンターは、Net Logon のパフォーマンス オブジェクトのカウンターです。既定では、これらのカウンターは Windows Server 2008 とそれ以降のオペレーティング システムのバージョンに存在です。Net Logon のパフォーマンス オブジェクトの詳細については、次の Knowledge Base の資料で説明されています。
928576新しいパフォーマンス カウンターは、Windows Server 2003、Netlogon 認証のパフォーマンスを監視することができます。
サーバーの最適な MaxConcurrentApi 値を指定するには、いくつかのデータ ポイントする必要がありますを一緒し、数式を使って計算します。MaxConcurrentApi を推定するために使用するデータは次のとおりです。
  • Net ログオン セマフォを取得します。
  • Net ログオン セマフォのタイムアウト
  • Net Logon の平均のセマフォの保持時間
  • 秒単位、期間のパフォーマンス ログが完了です。
データの取得後は、MaxConcurrentApi の正しい値を予測するのには、次の数式を使用できます。
(semaphore_acquires+semaphore_time アウト) * average_semaphore_hold_time / time_collection_length = New_MaxConcurrentApi_setting
サーバー認証の負荷の下と、Net Logon からパフォーマンス データを収集した後、ビューの行の先頭と最後の時間でを参照して、データ収集プロセスの期間を決定する必要があります。

データの収集時にどのように多くのタイムアウトの発生を示している累積的な数値は「セマフォを取得」と「セマフォのタイムアウト」です。行ビュー、パフォーマンス モニター (Perfmon.msc) を使用すると、最後の番号の開始番号を減算する必要があります。次に、新しい MaxConcurrentApi 設定の数式でこの計算した数値を使用します。

セマフォの平均保留時間の既定のビューからの行の表示 Perfmon.msc でのレポートの表示変更して判断できます。たとえばがセマフォを取得 8,286 だ、セマフォのタイムアウト値 883 で、セマフォの平均保留時間は 0.5 (つまり、0.5 秒、)、ですとレポート作成の期間は 90 秒だ場合、数式は次のとおりです。
(8,286 + 883) *.5/90 =<>

150 以上の数式から派生した値の場合は、従来の認証の負荷を処理するは、複数のサーバーを追加する必要があります。

値が 150 未満の場合は、MaxConcurrentApi レジストリ値数式によって提示される値または値を大きくするには、サーバー上を変更する必要があります。以下が手順例となります:
  1. クリック ボタンをクリックし、[ Exchange Server 2010 SP1 をインストールした後 Outlook クライアント アプリケーションがパブリック フォルダーに接続できない] をクリックし、プロパティ ].
  2. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. で、 編集 メニューのポイント 新しいプロパティDWORD 値.
  4. 種類 MaxConcurrentApi、し、Enter キーを押します。
  5. で、 編集 メニューをクリックして 変更.
  6. 10 進数では、新しい MaxConcurrentApi 設定を入力しをクリックしてください].
  7. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
    net stop netlogon
  8. 次のコマンドを入力し、Enter キーを押します。
    net start netlogon

詳細

クライアント側の症状の従来の認証のボトルネックの詳細を識別するためには、次の Knowledge Base の資料を使用できます。
975363 断続的に資格情報をように求められますか、タイムアウトが発生するは、認証サービスに接続する場合
このシナリオでは、複数のサーバーに認証のボトルネックがあります。したがって、特定のシナリオでは、すべてのサーバーに、負荷のサービスでビジーで確認して、パフォーマンス データがあることを確認する必要があります。

セマフォのカウンターを取得、セマフォのタイムアウトと平均セマフォの保留の時間すべてのアプリケーション サーバー、ドメイン コント ローラー、およびクライアント要求の処理に関係する信頼される側のドメイン コント ローラーのレビューを受けなければなりません。

サーバー負荷がパフォーマンス データを監視する必要があります。負荷は、サーバーが、ほとんどのクライアントの要求を参照してくださいするときに発生します。たとえば、ユーザーが職場に到着して、メールをチェックするとメール サーバー シナリオは、パフォーマンス データを収集するに最適なタイミングです。

その他の項目を考慮する必要は次のとおりです。
  • 値の操作は必要ない意味しません。、 セマフォの保持者 セマフォの保留時間 ない限り持続的な負荷がサーバー上でカウンター値が表示されません。値が存在しない場合は、MaxConcurrentApi 値の変更は必要ありません。
  • 1 つのサイズはありませんすべてに対応します。MaxConcurrentApi 値はサーバーごとに異なる値にする必要があります。このような状況で複数のアプリケーション サーバーの 1 つのドメイン コント ローラーからの認証を取得または複数のサーバーで提供が負荷の量が多い場合に発生するのには、ドメイン コント ローラーを扱う必要があります。
  • を信頼します。信頼される側のドメインからの認証されているユーザーは、ローカル ドメイン コント ローラーがアプリケーション サーバーへの応答を提供する前に、ローカル ドメイン コント ローラーが信頼される側のドメイン コント ローラーからの応答を待つ必要がありますのでこの長い遅延があります。
  • ネットワーク ・ レーテンシー 。ネットワークの遅延は、MaxConcurrentApi ボトルネックの原因には、重要な要素も再生できます。クライアントが従来の認証を無限に待機しないようにするには、MaxConcurrentApi セマフォ タイムアウトの時間ベースのカウンターを使用している場合に発生します。
  • の遅延を下流になる可能性があります。場合は、 セマフォの保留時間 カウンターの値が 0 (ゼロ) よりも継続的に任意の時間をし、 セマフォの保持者 値、MaxConcurrentApi 設定、サーバー上でより小さい、ボトルネックは、そのサーバー上にないです。この例では、ホスト コンピューターの完全修飾ドメイン名に表示されているカウンターの名前を言及したが、ドメイン コント ローラーに次のように参照してください。そのドメイン コント ローラーセマフォの保留時間 セマフォの保持者 パフォーマンス データを確認する必要があります。
  • 負荷またはネットワークの構成を変更します。将来変更サービスを受ける負荷やネットワーク構成ネットワークの遅延が生じる可能性があり、可能性があります正しい MaxConcurrentApi かが必要に設定もう一度MaxConcurrentApi 設定を調べていることで従来の認証のボリュームが表示された環境では、継続的に監視および Net Logon のパフォーマンス オブジェクトのカウンターを確認することを推奨します。カスタム スケジュールの Perfmon.msc データ コレクターを使用して、システム センター操作マネージャーを使用して、またはその他の方法を使用してこれを行うことができます。
  • Windows サーバー 2008年の最大値。MaxConcurrentApi で Windows Server 2008 とそれ以降のバージョンでは、最大値の設定は 150 です。150 の最大の利用可能な設定を使用しているサーバーで Windows Server 2008 R2 が実行されていない場合は、以下の Knowledge Base 資料に記載されている修正プログラムを適用する必要があります。
    975363 断続的に資格情報をように求められますか、タイムアウトが発生するは、認証サービスに接続する場合
  • Windows Server 2003 の最大値。MaxConcurrentApi で Windows Server 2003 およびそれ以前のバージョンで許可される最大値の設定は 10 です。
  • Windows Server 2003、およびパフォーマンス カウンターします。Windows Server 2003 のオリジナル リリース版、Netlogon パフォーマンス カウンターを含んでいません。修正プログラムを追加する必要があるは。これらのカウンターを追加する方法の詳細については、「サポート技術情報」資料を参照するには、次の資料番号をクリックしてください。
    928576 新しいパフォーマンス カウンターは、Windows Server 2003、Netlogon 認証のパフォーマンスを監視することができます。
全体的な NTLM 認証の負荷を軽減し、そのため最終的に MaxConcurrentApi セマフォの使用回数を減らす必要がある場合、不正または不明なクライアントまたは NTLM の繰り返しと継続的な実行しているサービスを識別する認証も便利です。Net Logon サービスを使用して、認証方法でを識別できますが繰り返しログ出力をデバッグします。Netlogon.log ファイルを使用して、Net Logon サービスのデバッグを行う方法の詳細については、「サポート技術情報」資料を参照するには、次の資料番号をクリックしてください。
109626 Net Logon サービスのデバッグ ログを有効にします。
Perfmon.msc カウンター NTLM 認証セキュリティ システム全体の統計情報オブジェクトの下に追跡 MaxConcurrentApi スレッドの使用数を反射できないことに注意してください。一対一の相関関係は、Net Logon のパフォーマンス カウンターが表示されます、MaxConcurrentApi セマフォの使用状況と、カウンターがインクリメントされる NTLM 認証がありません。NTLM 認証のカウンターは、MaxConcurrentApi の最適値を決定するのに便利です。

さらに、MaxConcurrentApi に関連する従来の認証パフォーマンスのタイムアウトを見たし、Net Logon のカウンターがパフォーマンス カウンターに反映されていないことは、非常に高いです。その他のパフォーマンス メトリックなどの CPU を使用して、ディスクおよびネットワークの使用負荷 MaxConcurrentApi 負荷が重いため、ユーザーが問題を抱えているときに表示可能性がありますいないは、このことを意味します。

クライアント送信している<null>\</null>を示すため、Net Logon サービスのデバッグ ログでのエントリを持つドメイン コント ローラーを最小限に抑えることに追加の手順を実行できます。ユーザー名 代わりに ドメイン名\ユーザー名.マイクロソフト サポート技術情報の次の資料で手順を説明します。
923241 Lsass.exe プロセスは多くの外部の信頼は、Windows Server 2003 ベースのドメイン コント ローラーである場合を応答を停止可能性があります。

プロパティ

文書番号: 2688798 - 最終更新日: 2012年3月26日 - リビジョン: 1.1
キーワード:?
kbhowto kbinfo kbperformance kbexpertiseinter kbmt kbsurveynew KB2688798 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:2688798
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com