Cum se face performanță tuning pentru autentificarea NTLM utilizând setarea MaxConcurrentApi

Traduceri articole Traduceri articole
ID articol: 2688798 - View products that this article applies to.
Măriți totul | Reduceți totul

Introducere

Recent, a existat o perioadă de relansare, în consumerization de tehnologia informației Intreprindere, împreună cu cre?terea orientate spre consumator drac such as smartphone-uri și comprimate. Acest lucru este creșterea numărului de scenarii în care întreprinderile pot experimenta o creștere mare legacy autentificarea în mediile lor Intreprindere. Această cre?tere de autentificare legacy ar putea duce la probleme de performanță, cum ar fi întârzieri sau a?teptare pentru clienti.

Atunci când descoperi?i autentificare a?teptare sau întârzieri, de asemenea, cunoscut ca MaxConcurrentApi blocaje, într-un mediu, modul tipic pentru a rezolva problema este să ridice maxim permis lucrătorul fire acest serviciu care autentificare. Realizați aceasta prin modificarea valorii de registry MaxConcurrentApi și apoi reporni serviciul de Net Logon pe serverele.

Identificarea servere care sunt victime ale strangulare și servere care sunt de fapt o sursă de întârzierile strangulare poate fi dificil. Acest articol descrie modul de a face performanță tuning pentru autentificare NT LAN Manager (NTLM) utilizând setarea MaxConcurrentApi. Acest articol conține orientare pentru administratori în care identifică serverele de la care se ridică valoarea MaxConcurrentApi ?i suma la care ar trebui să se stabile?te valoarea respectivă.

REZOLUȚIE

Important Această secțiune, metoda sau activitate conține pași care-ți spun cum să modificați registry-ul. Cu toate acestea, ar putea apărea probleme grave dacă modificați registry incorect. Prin urmare, asigurați-vă că urmați acești pași, cu atenție. Pentru o protecție sporită, rezervă de registry, înainte de a se modifica. Apoi, restabiliți registry dacă apare o problemă. Pentru mai multe informații despre modul de rezervă și restaurați registry, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:
322756Cum la spre spate sus și restaurarea registry în Windows
Pentru a rezolva această problemă, trebuie să revizui?i datelor privind performan?ele, care a fost luată de pe toate serverele implicate în scenariu. Apoi, puteți încerca setarea MaxConcurrentApi pe aceste servere care arată o pierdere în performanță în creștere.

NotăPerformanță numai datele contoare care pot demonstra în mod constant strangulare autentificare sunt Net Logon performanță obiect contoare. În mod implicit, aceste contoare sunt prezente în Windows Server 2008 și în versiuni de sistem de operare. Obiectul de performanță Net Logon este discutat în detaliu în următorul articol din baza de cunoștințe:
928576Noi contoare de performanță pentru Windows Server 2003 vă monitoriza performanța de autentificare Net Logon
Pentru a determina cea mai bună valoare de MaxConcurrentApi pentru serverele, mai multe puncte de date trebuie să fie adus împreună și calculează utilizând o formulă. Datele pentru a fi utilizate pentru estimarea MaxConcurrentApi sunt după cum urmează:
  • Net Logon semafor dobândește
  • Net Logon semafor a?teptare
  • Net semafor medie log on hold timp
  • Durata de performanță care jurnal este completat, măsurată în secunde.
După datele se ob?ine, următoarea formulă pot fi utilizate pentru a estima valoarea corectă a MaxConcurrentApi:
(semaphore_acquires+semaphore_time-outs) * average_semaphore_hold_time / time_collection_length = New_MaxConcurrentApi_setting
După colectarea datelor privind performan?ele Net Logon la atunci când serverul a fost sub sarcină autentificare, ar trebui să determine durata de procesul de colectare de date uitandu-se la linia de vedere începutul ?i sfâr?itul lumii.

"Semafor achiziționează" și "semaphore a?teptare" sunt cumulative numere care indică cât de multe de a?teptare a avut loc în timpul colectării de date. Numărul de început trebuie să se scade din numărul sfârșit atunci când utilizați vizualizarea pe rând în Performance Monitor (Perfmon.msc). Apoi, utilizați acest număr calculat în formula pentru noua setare MaxConcurrentApi.

Timpul de așteptare semafor medie poate fi determinată prin schimbarea vizualizării implicite din linia de vedere la Vizualizare raport în Perfmon.msc. De exemplu, dacă semafor dobândește valoarea este 8,286, valoarea de a?teptare semafor este 883, timpul de așteptare semafor medie este.5 (adică, o jumătate de secundă), și durata de raportare este de 90 de secunde, formula ar fi după cum urmează:
(8,286 + 883) *.5 / 90 =<>

Dacă valoarea care este derivată din formula este 150 sau mai mare, adăugați mai multe servere de la serviciul sarcina de autentificare moștenire.

Dacă valoarea este mai mică de 150, tu ar trebui să modifice valoarea de registry MaxConcurrentApi pe acest server la valoarea care este sugerat de formula sau la o valoare mai mare. Pentru aceasta, urmați acești pași:
  1. Faceți clic pe Start, faceți clic pe A alerga, tip regedit, apoi faceți clic pe ok.
  2. Găsiți și apoi faceți clic pe următoarea subcheie de registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. Pe Editare meniul, indicați spre Noi, apoi faceți clic peValoare DWORD.
  4. Tip MaxConcurrentApi, apoi apăsați Enter.
  5. Pe Editare meniu, faceți clic pe Modifica.
  6. Tastați noua setare MaxConcurrentApi în zecimal, și apoi faceți clic peok.
  7. La promptul de comandă, tastați comanda următoare, și apoi apăsați Enter:
    net stop netlogon
  8. Tastați următoarea comandă, și apoi apăsați Enter:
    net start netlogon

INFORMAȚII SUPLIMENTARE

Utilizați următorul articol din baza de cunoștințe pentru a identifica simptome client-side de autentificare legacy blocaje în detaliu:
975363 Experien?ă a?teptare atunci când vă conectați la servicii autentificate sau intermitent se solicită acreditări
Strangulare autentificarea poate fi pe mai multe servere în scenariu. Trebuie prin urmare, să vă asigurați că toate serverele în scenariul de dat au lor date de performanță revizuite în timp ce acestea sunt ocupat încărcăturilor grele de între?inere.

Contoare pentru semafor achiziționează, de a?teptare semafor, și pentru mediu semafor hold timp trebuie să fie revizuite pe toate serverele aplicarea controlerele de domeniu, controlerele de domeniu încredere care sunt implicate în între?inere solicitărilor client.

Datelor privind performan?ele trebuie să fie urmărite în timp ce serverele sunt sub sarcină grea. Grele de încărcare se produce atunci când serverele vedea cele mai multe cereri de client. De exemplu, într-un scenariu de server de poștă electronică, cel mai bun timp pentru a colecta date de performanță este atunci când utilizatorii ajunge la locul de muncă și a verifica e-mail lor.

Elemente suplimentare de luat în considerare sunt după cum urmează:
  • Valorile nu înseamnă nici o acțiune este necesară. The Titularii semafor și Semafor Hold timp contoare nu va afișa valori, dacă este susținută de încărcare pe un server. Dacă există valori prezente, este necesară nici o modificare în valoarea MaxConcurrentApi.
  • O dimensiune nu se potrivește de toate.Valoarea MaxConcurrentApi poate trebuie să fie o valoare diferită pentru fiecare server. Această situație poate fi cauzată de mai multe servere de aplicație câștigă autentificare la un controler de domeniu unic sau de scenarii similare în care mai multe servere să furnizeze un volum mai mare de încărcare cu care trebuie să abordeze un controler de domeniu.
  • Trusturi.Dacă utilizatorii care sunt fiind autentificat sunt de încredere domenii, acest lucru poate cauza întârzieri mai mult, deoarece controlerul de domeniu local trebuie să aștepte pentru răspuns la controlerul de domeniu încredere înainte de controlerul de domeniu local oferă răspunsul la serverul de aplicație.
  • Latenta de rețea.Latenta de rețea poate juca, de asemenea, un factor major în producerea de blocaje MaxConcurrentApi. Aceasta se poate întâmpla când semafor MaxConcurrentApi utilizează un contor de amânare bazate pe timp, astfel încât clienții nu așteptați pe termen nelimitat pentru autentificare moștenire.
  • Întârziere poate fi în aval. Dacă Semafor Hold timp Contor de valoare este continuu mai mare decât 0 (zero) pentru orice timp și Titularii semafor valoarea este mai mică decât setarea MaxConcurrentApi pe acel server, strangulare nu se află pe acel server. În acest caz, uita-te la controlerul de domeniu care este citată în numele de contor care este listat ca un computer gazdă pe deplin calificat nume de domeniu. Acest controler de domeniuSemafor Hold timp și Titularii semafor datelor ar trebui revizuite.
  • Modificări în sarcina sau în configurație de rețea.Schimbări viitoare în sarcina care este fiind deservite sau configurații de rețea poate produce latenta de rețea și ar putea duce la o nevoie pentru calibrări MaxConcurrentApi corectă din nou setarea. Pentru mediile în care volumul de autentificare moștenire a fost văzut în măsura în care se examinează setările MaxConcurrentApi, recomandăm că vă continuu monitoriza ?i analiza log on Net performanță obiect contoare. Puteți face acest lucru utilizând programate particularizate colectori de date Perfmon.msc, utilizând sistemul centrul Operations Manager, sau prin utilizarea altor metode.
  • Windows Server 2008 maximă.Setarea maximă care este permisă pentru MaxConcurrentApi în Windows Server 2008 și în versiunile ulterioare este 150. Trebuie să aplicați remedierea rapidă care este descrisă în următorul articol din baza de cunoștințe are setarea disponibile 150 maximă dacă serverul care îl utilizați nu se execută Windows Server 2008 R2:
    975363 Experien?ă a?teptare atunci când vă conectați la servicii autentificate sau intermitent se solicită acreditări
  • Windows Server 2003 maximă.Setarea maximă care este permisă pentru MaxConcurrentApi în Windows Server 2003 și în versiunile anterioare este 10.
  • Contoare Windows Server 2003 și performanță.Versiunea originală de Windows Server 2003 nu con?ine contoare de performanță Net de Log on. Ei trebuie să fie adăugată prin intermediul o remediere rapidă. Pentru mai multe informații despre cum se adaugă aceste contoare, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:
    928576 Noi contoare de performanță pentru Windows Server 2003 vă monitoriza performanța de autentificare Netlogon
Identificarea clienților neautorizate sau necunoscut sau serviciile care fac NTLM repetată sau continuă autentificarea poate fi utilă atunci când doriți pentru a reduce sarcina generală de autentificare NTLM și, prin urmare, în cele din urmă micșora numărul de MaxConcurrentApi semafor utilizări. Repetă autentificarea în acest mod pot fi identificate prin utilizarea netă Logon serviciu depanare de logare. Pentru mai multe informații despre cum să utilizați fișierul Netlogon.log pentru a depana serviciul Net de Log on, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:
109626 Activarea depanare de logare pentru serviciul de Net Logon
Fiți conștient de faptul că contorul de Perfmon.msc pentru NTLM autentificările înSecuritate sistem-Wide statisticiobiectul nu este o reflectare a numărul de utilizări ale thread MaxConcurrentApi urmărite. Nu există o corela?ie unu la unu între utilizarea semafor MaxConcurrentApi care este afișat în contor de performanță Net Logon și autentificarea NTLM contor incremente. Contorul de autentificări NTLM nu este util pentru a determina cea mai bună valoare de MaxConcurrentApi.

În plus, este foarte probabil că autentificare legacy performanță a?teptare care sunt legate de MaxConcurrentApi va fi văzut și nu reflectă în orice contor de performanță altele decât contra Net de Log on. Acest lucru înseamnă că utilizați alte măsurătorile de performanță, cum ar fi CPU utilizare disc și rețea poate arată nici o sarcină, în timp ce sarcina MaxConcurrentApi este grea și utilizatorii sunt probleme.

Un pas minimizarea suplimentare pot fi efectuate pe controlerele de domeniu care au intrări în lor netă Logon serviciu depanare jurnal care indică faptul că clienții sunt depunerea <null>\</null>numele de utilizator în loc de NumeDomeniu\numele de utilizator. Pașii sunt descrise în următorul articol din baza de cunoștințe Microsoft:
923241 Procesul de Lsass.exe poate înceta să răspundă dacă aveți multe trusturi externe pe un controler de domeniu Windows Server 2003

Proprietă?i

ID articol: 2688798 - Ultima examinare: 26 martie 2012 - Revizie: 1.1
SE APLICĂ LA:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Foundation
  • Windows Server 2008 Standard
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
Cuvinte cheie: 
kbhowto kbinfo kbperformance kbexpertiseinter kbsurveynew kbmt KB2688798 KbMtro
Traducere automată
IMPORTANT: Acest articol a fost tradus de software-ul de traducere automată Microsoft, si nu de un traducător. Microsoft vă oferă atât articole traduse de persoane, cât și articole traduse automat, astfel incat aveti access la toate articolele din Baza noastră de informatii în limba dvs. materna. Totuși, un articol tradus automat nu este întotdeauna perfect. Acesta poate conține greșeli de vocabular, sintaxă sau gramatică, la fel cum un vorbitor străin poate face greșeli vorbind limba dvs. materna. Compania Microsoft nu este responsabilă pentru nici o inexactitate, eroare sau daună cauzată de traducerea necorespunzătoare a conținutului sau de utilizarea traducerii necorespunzătoare de către clienții nostri. De asemenea, Microsoft actualizează frecvent software-ul de traducere automată.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol:2688798

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com