Sporadycznie monitowani o po�wiadczenia lub do�wiadczenie limity czasu, po pod��czeniu do us�ug uwierzytelniony

Mo�e wyst�pi� jeden lub wi�cej z nast�puj�cych symptom�w. Tych objaw�w mo�e by� przerywany lub ci�g�y. Objawy te s� cz�ciej i bardziej rozpowszechnione w okresach "wysokiego obci��enia", takich jak firmy na pocz�tku dnia, gdy klient zwi�kszone obci��enie odbywa si� na serwerach w �rodowisku.

Mog� wyst�pi� nast�puj�ce problemy w scenariuszu us�ugi sieci web:

• Klienci sieci Web otrzymuj� op�nione odpowiedzi z serwera sieci web.
• Klienci sieci Web s� wielokrotnym monitowaniu o po�wiadczenia, nawet je�li wprowadzone s� poprawne po�wiadczenia.

Mog� wyst�pi� nast�puj�ce problemy w scenariuszu serwer proxy sieci web:

• Klienci sieci Web otrzymuj� op�nione odpowiedzi z serwera sieci web.
• Klienci sieci Web s� wielokrotnym monitowaniu o po�wiadczenia, nawet je�li wprowadzone s� poprawne po�wiadczenia.

Mog� wyst�pi� nast�puj�ce problemy w scenariuszu klienta programu Exchange:

• Klienci otrzymuj� op�nione odpowiedzi z serwera.
• Klienci s� wielokrotnym monitowaniu o po�wiadczenia, nawet je�li wprowadzone s� poprawne po�wiadczenia.

Mo�e wyst�pi� nast�puj�cy problem w ka�dym scenariuszu, w kt�rym wykorzystywane jest uwierzytelnianie NTLM dla aplikacji:

Mo�e wyst�pi� nast�puj�cy problem w przypadku dost�pu zdalnego pliku:Mo�e wyst�pi� nast�puj�cy problem, w ka�dym scenariuszu, w kt�rym delegowanie Kerberos jest u�ywany w us�udze warstwy �rodkowej:Notatki

• Ten problem jest bardziej prawdopodobne, je�li jeden lub wi�cej z nast�puj�cych warunk�w jest spe�niony:
  • �rodowiska s� wysoce transakcyjnych i intensywnie u�ywanych us�ug.
  • Jest u�ycie skrypt�w, kt�re u�ywaj� dostawcy WINNT.
  • Istniej� aplikacje i us�ugi, kt�re s� nieskonfigurowane (lub nie mo�na konfigurowa�) do korzystania z uwierzytelniania Kerberos.
  • Gdy trzy nast�puj�ce warunki s� spe�nione jednocze�nie:
    • Istnieje wiele "konta" domen (innymi s�owy, kt�re maj� konta w nich) w �rodowisku.
    • Istniej� kontrolery domeny z systemem Windows Server 2003 (DCs).
    • Istniej� aplikacje lub us�ugi, kt�re mog� by� uwierzytelniani bez podania nazwy domeny. Na przyk�ad istniej� aplikacje lub us�ugi, kt�re zapewniaj� <null>\</null>Nazwa u�ytkownika zamiast nazwa_domeny\Nazwa u�ytkownika.
• Nast�puj�ce symptomy wskazuj�, �e ten problem wyst�puje w �rodowisku:
  • Zdarzenie �r�d�a Kerberos jest rejestrowane w dzienniku systemu serwer�w aplikacji. To zdarzenie oznacza, �e nie jest sprawdzanie poprawno�ci SAW Kerberos. Zdarzenie podobne do nast�puj�cego:

    Typ zdarzenia: b��d
    �r�d�o zdarzenia: Kerberos
    Kategoria zdarzenia: Brak
    Identyfikator zdarzenia: 7
    U�ytkownik: Brak
    Opis: Podsystem protoko�u Kerberos napotka� b��d weryfikacji SAW. Wskazuje, �e PAC klienta Nazwa komputera w sferze Nazwa domeny AD DNS posiada plik PAC, kt�ry nie zosta� zweryfikowany lub zosta� zmodyfikowany. Skontaktuj si� z sieci administrator systemu.
    Danych: 0000: c0000192

  • Tekst w dziennikach debugowania us�ugi Netlogon (Netlogon.log) jest zgodna z tekstem "NlpUserValidateHigher: nie mo�na przydzieli� gniazdo interfejs API klienta." Te wpisy mog� by� wy�wietlane w dowolnym dzienniki debugowania Netlogon nast�puj�cych serwer�w:
    • Serwer aplikacji
    • Kontrolery domeny w domenie serwery aplikacji
    • Kontrolery domeny ufaj�cej
  • Perfmon wydajno�ci rejestrowania Netlogon licznika wydajno�ci dla limit�w czasu semafora w czasie, kiedy wyst�puje problem pokazuje numery wi�ksz� ni� zero. Warto�ci tego licznika mo�e pojawi� si� na ka�dym z nast�puj�cych serwer�w w tym scenariuszu:
    • Serwer aplikacji
    • Kontrolery domeny w domenie serwery aplikacji
    • Kontrolery domeny ufaj�cej

Ten problem wyst�puje, gdy du�ej liczby uwierzytelnianie NTLM lub Kerberos PAC sprawdzania poprawno�ci transakcji (lub oba) wyst�puj� na serwerze z systemem Windows i tego woluminu jest wi�ksza od obj�to�ci, kt�re mog� by� obs�ugiwane w tym samym czasie przez serwer cz�onkowski lub kontroler�w domeny, kt�re dostarczaj� uwierzytelniania. Innymi s�owy jest to spowodowane gard�o zasobu uwierzytelniania.

Uwierzytelnianie NTLM i sprawdzanie poprawno�ci SAW s� wykonywane przez dedykowane w�tki w procesie Lsass.exe na komputerach z systemem Windows. Istnieje maksymalna liczba tych w�tk�w, kt�re s� dost�pne do obs�ugi tych ��da� w tym samym czasie i je�li ��dania przekracza dost�pno�ci w�tki i ��dania nie mo�na d�u�ej czeka�, ten problem wyst�puje.

Domy�lnie stacje robocze maj� jeden z w�tk�w, kt�re s� dost�pne do u�ytku i serwer�w cz�onkowskich maj� dwa w�tki dost�pne do u�ycia. Kontrolery domeny maj� jeden w�tek dost�pne na kana� zabezpiecze� do domen zaufanych. Ta maksymalna liczba w�tk�w, kt�re s� przeznaczone do tego celu jest znany jako "Maxconcurrentapi" i jest konfigurowany.

Aby rozwi�za� ten problem, u�yj jednej lub wi�cej z nast�puj�cych metod:

• Nale�y zainstalowa� nast�puj�c� poprawk�, a nast�pnie wykonaj kroki opisane w "Informacje dotycz�ce rejestru"sekcja. Po zainstalowaniu tej poprawki na Windows Vista, Windows Server 2008, Windows 7 lub Windows Server 2008 R2, maximumlimit r�wnoczesnych po��cze� mi�dzy komputerem klienckim a innym serwerem lub kontrolerem domeny dla uwierzytelniania NTLM lub PAC sprawdzania poprawno�ci mog� zosta� zmienione do 150. Nale�y to zrobi� na wszystkich serwerach, kt�re wykazuj� Perfmon Netlogon ma oznacze� "semafor limitu czasu" w swoich dziennikach wydajno�ci lub �e "NlpUserValidateHigher: nie mo�na przydzieli� gniazdo klienta interfejsu API" tekst w swoich dziennikach debugowania Netlogon.
• Dla aplikacji i us�ug, kt�re u�ywaj� NTLM po prostu je skonfigurowa� do korzystania z uwierzytelnianie Kerberos. Metody te kt�re b�d� unikatowe dla tych aplikacji.
• Je�li sprawdzanie poprawno�ci SAW Kerberos jest postrzegana jako objaw, nale�y wy��czy� sprawdzanie poprawno�ci SAW Kerberos, je�li us�uga pozwala na to. Nale�y to zrobi� na serwerze, kt�ry ma pojawiaj�ce si� zdarzenie systemowe Kerberos pochodz� 7.
  
  UwagaNie mo�na wy��czy� sprawdzanie poprawno�ci SAW Kerberos dla pul aplikacji us�ug IIS lub w przypadku niekt�rych us�ug zwi�zanych z programem Exchange.

Uwaga�Aby zdecydowa�, jakie warto�ci ustawi� dla MaxConcurrentApi ustawienie w danym �rodowisku odnosz� si� do artyku�u bazy wiedzy Knowledge Base poni�ej.

2688798 Jak to zrobi�, dostrajanie wydajno�ci dla uwierzytelniania NTLM, za pomoc� ustawienia MaxConcurrentApi

Informacje o poprawce

Firma Microsoft udost�pni�a obs�ugiwan� poprawk�. Jednak�e ta poprawka jest przeznaczona tylko do rozwi�zania problemu opisanego w tym artykule. Tylko w systemach, w kt�rych wyst�puje problem opisany w tym artykule, nale�y zastosowa� t� poprawk�. Ta poprawka mo�e by� nadal w fazie testowania. Je�li dany system nie jest powa�nie nara�ony na ten problem, firma Microsoft zaleca, aby poczeka� na nast�pn� aktualizacj� oprogramowania zawieraj�c� t� poprawk�.

e�li poprawka jest dost�pna do pobrania, na pocz�tku tego artyku�u z bazy wiedzy Knowledge Base jest umieszczona sekcja �Poprawka dost�pna do pobrania�. Je�li nie ma tej sekcji, skontaktuj si� z dzia�em obs�ugi klienta i pomocy technicznej firmy Microsoft w celu uzyskania poprawki.

Uwaga W przypadku wyst�pienia dodatkowych b��d�w lub konieczno�ci rozwi�zania problemu mo�e by� wymagane utworzenie osobnego zlecenia us�ugi. Typowe op�aty za korzystanie z pomocy technicznej b�d� pobierane tylko w przypadku dodatkowych pyta� i problem�w, kt�rych nie mo�na rozwi�za� przy u�yciu tej poprawki. Aby uzyska� pe�n� list� numer�w telefon�w dzia�u obs�ugi klienta i pomocy technicznej firmy Microsoft lub utworzy� osobne zlecenie us�ugi, odwied� nast�puj�c� witryn� firmy Microsoft w sieci Web: Uwaga Sekcja �Poprawka dost�pna do pobrania� zawiera list� j�zyk�w, dla kt�rych ta poprawka jest dost�pna. Je�li odpowiedni j�zyk nie jest widoczny, oznacza to, �e ta poprawka nie jest dost�pna dla tego j�zyka.

Wymagania wst�pne

Aby zastosowa� t� poprawk�, na komputerze musi by� uruchomiona Windows 7, Windows Server 2008 R2, Windows Vista z dodatkiem Service Pack 2 lub Windows Server 2008 z dodatkiem Service Pack 2.

Informacje dotycz�ce rejestru

Wa�ne Niniejszej sekcji, metodzie lub zadanie zawiera kroki, kt�re informacje dotycz�ce modyfikowania rejestru. Jednak�e je�eli modyfikacja rejestru mo�e spowodowa� powa�ne problemy. W zwi�zku z tym upewnij si�, wykonaj nast�puj�ce kroki ostro�nie. W celu dodatkowej ochrony kopii zapasowej rejestru przed przyst�pieniem do modyfikacji. Nast�pnie mo�na przywr�ci� rejestr w przypadku wyst�pienia problemu. Aby uzyska� wi�cej informacji dotycz�cych sposobu wykonywania kopii zapasowej i przywracania rejestru kliknij nast�puj�cy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base: Po zainstalowaniu poprawki, nale�y zwi�kszy� warto�� Maxconcurrentapi do wi�kszej liczby na wszystkich serwerach, kt�re maj� w swoich dziennikach wydajno�ci Perfmon Netlogon oznacze� "semafor timeout" lub "NlpUserValidateHigher: nie mo�na przydzieli� gniazdo klienta interfejsu API" tekst w swoich dziennikach debugowania Netlogon. Aby to zrobi�, wykonaj nast�puj�ce kroki:

1. Uruchom Edytor rejestru.
2. Zlokalizuj nast�puj�cy podklucz rejestru:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
3. Utw�rz nast�puj�cy wpis rejestru:
   
   Nazwa: MaxConcurrentApi
   Typ: REG_DWORD
   Warto��:Ustaw warto�� na wi�kszy numer, kt�ry zosta� przetestowany (wszystkie liczby wi�ksze ni� warto�� domy�lna).
4. W wierszu polecenia Uruchom net stop netlogon, a nast�pnie uruchomi� polecenie net start netlogon.

Notatki

• Maksymalna warto��, kt�re mog� by� skonfigurowane zale�y od wersji systemu operacyjnego i od tego, czy dost�pna jest poprawka.
  • Ustawienie maksymalne konfigurowalne w systemie Windows Server 2003 jest 10.
  • Mo�na konfigurowa� ustawienia maksymalnego w systemie Windows Server 2008 (bez poprawki w tym artykule) jest 10. Z poprawk� maksymalna wynosi 150.
  • Mo�na konfigurowa� ustawienia maksymalnego w systemie Windows Server 2008 R2 (bez poprawki w tym artykule) jest 10. Z poprawk� maksymalna wynosi 150.
• Je�li zdecydujesz si� zwi�kszy� MaxConcurrentApivalue wi�kszej ni� 10 obci��enia i wydajno�� ��dane ustawienie powinny by� badane w �rodowisku nieprodukcyjne przed przyst�pieniem do implementacji w produkcji. Jest to zalecane, aby upewni� si�, �e zwi�kszenie tej warto�ci nie powoduje w�skich garde� innych zasob�w.

Aby wy��czy� sprawdzanie poprawno�ci SAW Kerberos na serwerze, wykonaj nast�puj�ce kroki.

1. Uruchom Regedt32 program.
2. Zlokalizuj �cie�ki klucza rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
3. W tej lokalizacji rejestru utworzy� warto�� DWORD o nazwie ValidateKdcPacSignature.
4. Ustaw warto�� ValidateKdcPacSignature na 0.
5. Ponownie uruchom serwer.
   

Uwaga Nie mo�na wy��czy� sprawdzanie poprawno�ci SAW Kerberos dla pul aplikacji us�ug IIS lub w przypadku niekt�rych us�ug zwi�zanych z programem Exchange.

Informacje dotycz�ce ponownego uruchamiania

Po zastosowaniu tej poprawki nale�y ponownie uruchomi� komputer.

Informacje dotycz�ce zast�powania poprawek

Ta poprawka nie zast�puje uprzednio wydanej poprawki.

Informacje dotycz�ce plik�w poprawki

Wersja angielskoj�zyczna (Stany Zjednoczone) tej poprawki instaluje pliki, kt�rych atrybuty wymieniono w poni�szych tabelach. Daty i godziny dla tych plik�w s� podane przy u�yciu skoordynowanego czasu uniwersalnego (UTC). Daty i godziny dla tych plik�w na komputerze lokalnym s� wy�wietlane w formacie czasu lokalnego z uwzgl�dnieniem czasu letniego (DST). Dodatkowo, terminy mog� ulec zmianie podczas wykonywania pewnych operacji na plikach.

• Pliki MANIFESTU (manifest) i pliki MUM (mum) instalowane s� dla ka�dego �rodowiska s� wymienione osobno w sekcji "informacje o dodatkowych plikach dla systemu Windows Vista i Windows Server 2008". MUM i pliki MANIFESTU oraz skojarzony z nimi pliki wykazu (.cat), s� bardzo wa�ne dla utrzymania stanu zaktualizowanego sk�adnika. Pliki wykazu zabezpiecze�, dla kt�rych atrybuty nie s� wymienione, s� podpisane za pomoc� podpisu cyfrowego firmy Microsoft.

Informacje o plikach dla systemu Windows Vista i Windows Server 2008

Informacje o plikach dla x 86-wersje systemu Windows Server 2008 i Windows Vista

Informacje o plikach dla 64-bitowego systemu Windows Server 2008 i Windows Vista

Informacje o plikach dla systemu Windows Server 2008, wersje dla komputer�w z procesorami IA-64

Informacje o plikach dla systemu Windows 7 i Windows Server 2008 R2

Informacje o plikach w systemie Windows 7 i Windows Server 2008 R2Wa�ne Poprawki systemu Windows 7 i Windows Server 2008 R2 s� zawarte w tych samych opakowaniach. Jednak poprawki na stronie ��danie poprawki s� wymienione w obu systemach operacyjnych. Za��da� pakietu poprawek, kt�ry ma zastosowanie do jednej lub obu system�w operacyjnych, nale�y wybra� poprawk�, kt�ra jest wy�wietlana w obszarze "Windows 7 i Windows Server 2008 R2" na stronie. Zawsze odwo�uje si� do sekcji "Stosuje si� do" artyku�y, aby okre�li� rzeczywisty systemu operacyjnego, do kt�rego odnosi si� ka�da poprawka.

• Pliki MANIFESTU (manifest) i pliki MUM (mum) instalowane s� dla ka�dego �rodowiska s� wymienione osobno w sekcji "informacje o dodatkowych plikach dla systemu Windows Server 2008 R2 i Windows 7". MUM i pliki MANIFESTU oraz skojarzony z nimi pliki wykazu (.cat), s� bardzo wa�ne dla utrzymania stanu zaktualizowanego sk�adnika. Pliki wykazu zabezpiecze�, dla kt�rych atrybuty nie s� wymienione, s� podpisane za pomoc� podpisu cyfrowego firmy Microsoft.

Wszystkie obs�ugiwane x 86 wersje systemu Windows 7

Dla wszystkich wspieranych 64-bitowych wersji systemu Windows 7 i Windows Server 2008 R2

Wszystkie obs�ugiwane wersje systemu Windows Server 2008 R2 z komputer�w z procesorami IA-64

Firma Microsoft potwierdzi�a, �e jest to problem wyst�puj�cy w produktach firmy Microsoft, kt�re s� wymienione w sekcji "Informacje zawarte w tym artykule dotycz�".

Ta poprawka zosta�a uwzgl�dniona, w dodatku Service Pack 1 (SP1) dla systemu Windows 7 i Windows Server 2008 R2 z dodatkiem Service Pack 1 (SP1).

MaxConcurrentApi ustawienie i ustawienia domy�lne dla niego s� starsze, Windows 2000 i mo�liwo�ci sprz�towych w tym czasie. Z starsze wersje sprz�tu co pozwala na dodatkowe w�tki i oni generuj� ruch RPC zosta� powa�ne obawy i by�o mo�liwo�ci w�skie gard�a wydajno�ci, je�eli zosta�y utworzone zbyt wiele w�tk�w. Nowsze platform sprz�towych i lepsz� wydajno�� �e ograniczenia wydajno�ci sprz�tu jest mniej prawdopodobne. Jak zawsze jest wa�ne, aby oceni� i zrozumie� wydajno�� serwer�w w �rodowisku przed zwi�kszenie potencjalnego obci��enia przy u�yciu wysokiej MaxConcurrentApi ustawienie.

Aby uzyska� wi�cej informacji na temat u�ywania us�ugi Netlogon (Netlogon.log) rejestrowanie debugowania, kliknij nast�puj�cy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:Zmniejszenia dodatkowych czynno�ci mog� by� wykonywane na kontrolerach domeny z systemem Windows Server 2003, kt�re maj� wpisy w ich dziennik debugowania us�ugi Netlogon, kt�re wskazuj�, �e klienci s� przesy�anie <null>\</null>Nazwa u�ytkownika zamiast nazwa_domeny\Nazwa u�ytkownika. Kroki s� opisane w nast�puj�cym artykule z bazy wiedzy Microsoft Knowledge Base:Wi�cej informacji na temat u�ywania obiektu monitorowania wydajno�ci us�ugi Netlogon jest dost�pny wraz z aktualizacji, aby doda� obiekt wydajno�ci w systemie Windows Server 2003. Jest dost�pna aktualizacja dla systemu Windows Server 2003, kt�ry pozwala monitorowa� szybko�� i wydajno�� uwierzytelnianie NTLM. Aby uzyska� wi�cej informacji kliknij nast�puj�cy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:Aby uzyska� wi�cej informacji dotycz�cych terminologii aktualizacji oprogramowania kliknij nast�puj�cy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:

Informacje o dodatkowych plikach

Informacje o dodatkowych plikach dla systemu Windows Vista i Windows Server 2008

Informacje o dodatkowych plikach dla x 86-wersje systemu Windows Vista i Windows Server 2008

Informacje o dodatkowych plikach dla 64-bitowego systemu Windows Server 2008 i Windows Vista

Informacje o dodatkowych plikach dla systemu Windows Server 2008, wersje dla komputer�w z procesorami IA-64

Informacje o dodatkowych plikach dla systemu Windows 7 i Windows Server 2008 R2

Dodatkowe pliki dla wszystkich obs�ugiwanych x 86 wersje systemu Windows 7

Dodatkowe pliki dla wszystkich obs�ugiwanych 64-bitowego systemu Windows 7 i Windows Server 2008 R2

Dodatkowe pliki dla wszystkich obs�ugiwanych wersjach systemu Windows Server 2008 R2 komputer�w z procesorami IA-64