Preru�ovane v�zva na zadanie poveren� alebo sk�senosti �asov� limity pri pripojen� na overen� slu�by

M��e vyskytn�� jeden alebo viacero nasledovn�ch pr�znakov. Tieto pr�znaky m��u by� ob�asn� alebo nepretr�it�. Tieto pr�znaky s� �astej�ie a roz��renej�ie v �asoch "vysok� vyu�itie", ako na za�iatku podnikania de� kedy zv��enej klienta na��ta� vyskytuje na serveroch v prostred�.

Sa m��u vyskytn�� nasledovn� probl�my v scen�ri webov�ch slu�ieb:

• Webov�ch klientov prija� oneskoren� reakcie z webov�ho servera.
• Webov�ch klientov opakovane v�zva na zadanie poveren� aj v pr�pade, �e s� zadan� spr�vne poverenia.

Sa m��u vyskytn�� nasledovn� probl�my v scen�ri web proxy:

• Webov�ch klientov prija� oneskoren� reakcie z webov�ho servera.
• Webov�ch klientov opakovane v�zva na zadanie poveren� aj v pr�pade, �e s� zadan� spr�vne poverenia.

Sa m��u vyskytn�� nasledovn� probl�my v Exchange client scen�r:

• Klientov prija� oneskoren� reakcie zo servera.
• Klientov opakovane v�zva na zadanie poveren� dokonca aj ke� s� zadan� spr�vne poverenia.

M��u sa vyskytn�� nasleduj�ci probl�m v akejko�vek scen�r, v ktorom sa pou��va overenie pomocou �tandardu NTLM pre aplik�cie:

M��u sa vyskytn�� nasleduj�ci probl�m v scen�ri pr�stup vzdialen�ch s�borov:M��u sa vyskytn�� nasleduj�ci probl�m v scen�ri, v ktorom delegovanie Kerberos pou��va v strednej vrstvy slu�by:Pozn�mky

• T�to ot�zka je pravdepodobnej�� v�skyt ak jedna alebo viac z nasleduj�cich podmienok s� pravdiv�:
  • Existuj� vysoko kvalifikovan� a vo ve�kej miere pou��vaj� slu�by v �ivotnom prostred�.
  • Je �a�k� pou�itie skripty, ktor� pou��vaj� WINNT poskytovate�a.
  • Existuj� aplik�cie a slu�by, ktor� nie s� nakonfigurovan� (alebo nie s� konfigurovate�n�) pou�i� overenie protokolom Kerberos.
  • Ke� tri nasleduj�ce podmienky s� pravdiv� v rovnakom �ase:
    • Existuje mnoho dom�ny "kont�" (in�mi slovami, dom�n, ktor� nemaj� pou��vate�sk� kont� v nich) v prostred�.
    • Existuj� radi�e dom�ny zalo�enej na syst�me Windows Server 2003 (DCs).
    • Existuj� aplik�cie alebo slu�by, ktor� m��u overi� bez poskytnutia n�zov dom�ny. Napr�klad, tam s� aplik�cie alebo slu�by, ktor� poskytuj� <null>\</null>u��vate�sk� meno namiesto domainname\u��vate�sk� meno.
• Nasleduj�ce pr�znaky nazna�uj�, �e tento probl�m sa vyskytuje v prostred�:
  • Kerberos zdroj sa zaznamen� do syst�mov�ho denn�ka aplika�n� servery. T�to udalos� nazna�uje, �e overovania Kerberos Pac zlyh�va. Podujatie podobn� nasleduj�cemu:

    Typ udalosti: Chyba
    Zdroj udalosti: Kerberos
    Kateg�ria udalosti: �iadna
    Identifik�cia udalosti: 7
    U��vate�: N/A
    Popis: Podsyst�me Kerberos sa vyskytla zlyhanie overovania pr�kov�ho akt�vneho uhlia. To nazna�uje, �e PAC od klienta n�zov po��ta�a v r�i N�zov dom�ny AD DNS mal PAC, ktor� nebol overen� alebo bol upraven�. Obr�te sa na spr�vcu syst�mu.
    �daje: 0000: c0000192

  • Text v debug slu�ba Netlogon denn�ky (Netlogon.log) sa zhoduje s textom "NlpUserValidateHigher: nem��e prideli� klienta API slot." Tieto polo�ky sa m��u zobrazi� v ktoromko�vek Netlogon debug gu�atiny z nasledovn�ch serverov:
    • Aplika�n� server
    • Radi�e dom�ny v dom�ne servery aplik�cie
    • D�veruj�ci radi�e dom�ny
  • Perfmon v�kon zapisovanie po��tadlo v�konu Netlogon na semaforu timeouty po�as doby, kedy probl�mu doch�dza zobrazuje ��sla v��ie ako nula. T�to hodnota po��tadla m��e objavi� na niektor� z nasledovn�ch serverov v tomto scen�ri:
    • Aplika�n� server
    • Radi�e dom�ny v dom�ne servery aplik�cie
    • D�veruj�ci radi�e dom�ny

Tento probl�m sa vyskytuje pri vysokej hlasitosti overovanie NTLM alebo Kerberos PAC valid�cie transakcie (alebo oboje) sa vyskytuj� na serveri so syst�mom Windows, a �e objem je v��� ako objem, ktor� m��u by� rie�en� v jednom okamihu �lensk� server alebo radi�e dom�ny, ktor� poskytuj� overenie. In�mi slovami, je to sp�soben� overovanie zdroja prek�kou.

Overenie pomocou �tandardu NTLM a PAC overovanie vykon�vaj� �pecializovan� vl�kna v procese Lsass.exe na po��ta�och so syst�mom Windows. Maxim�lny po�et t�chto vl�kien, ktor� s� k dispoz�cii na spracovanie t�chto po�iadaviek v rovnakom �ase, a ak �iadosti prevy�ova� dostupnos� z�vity a �iadosti nemo�no �aka� dlh�ie, tento probl�m sa vyskytuje.

V predvolenom nastaven� stanice m�te z�vity s� k dispoz�cii na pou�itie a �lensk� servery maj� dva z�vity k dispoz�cii na pou�itie. Radi�e dom�ny maj� jedno dostupn� vl�kno kan?l zabezpe�enia d�veryhodn�ch dom�n. Tento maxim�lny po�et nit�, ktor� s� vyhraden� na tento ��el je zn�my ako "Maxconcurrentapi" a je konfigurovate�n�.

K vyrie�eniu probl�mu, pou�ite niektor� z nasleduj�cich met�d:

• Nain�talova� nasleduj�cu r�chlu opravu a potom postupujte pod�a krokov, ktor� s� op�san� v "Inform�cie datab�zy RegistryAk chcete poskytn�� sp�tn� v�zbu alebo nahl�si� probl�my s t�mto rie�en�m, pros�m zanechajte koment�r na " Po nain�talovan� tejto r�chlej opravy na Windows Vista, Windows Server 2008, Windows 7 alebo Windows Server 2008 R2, maximumlimit s�be�n�ch spojen� medzi klientskeho po��ta�a a in� server alebo radi� dom�ny pre NTLM authentication alebo PAC valid�cie m��e by� zmenen� a� 150. To by sa malo uskuto�ni� na v�etk�ch serveroch, ktor� vykazuj� Perfmon Netlogon "semaphore �asov� limit" ozna�en� v ich denn�ky alebo ktor� maj� "NlpUserValidateHigher: nem��e prideli� klienta API z�suvka" text v svojich plavebn�ch denn�koch debug Netlogon.
• Pre aplik�cie a slu�by, ktor� pou��vaj� protokol NTLM, ich pou��va� overovanie Kerberos miesto len nakonfigurova�. Met�dy na to, �e bude jedine�n� t�chto �iadost�.
• Ak overovania Kerberos Pac je vn�man� ako pr�znakom, vypn�� overovania Kerberos Pac Ak slu�ba umo��uje. To by sa malo uskuto�ni� na server, ktor� m� Kerberos odoberali syst�mov� udalos� 7 objavuj�.
  
  Pozn�mka:Overovania Kerberos Pac ned� vypn�� pre fondy aplik�cie IIS alebo pre niektor� v�meny s�visiace slu�by.

Pozn�mka:�Rozhodn�, ak� hodnotu nastavi� pre MaxConcurrentApi nastavenia vo va�om prostred� n�jdete v �l�nku datab�zy Knowledge Base ni��ie.

2688798 Ako urobi� ladenie v�konu pre overovanie NTLM pomocou MaxConcurrentApiNastavenie

Inform�cie o r�chlej oprave

Podporovan� r�chla oprava je k dispoz�cii od spolo�nosti Microsoft. V�ak t�to r�chla oprava je ur�en� iba probl�m, ktor� je pop�san� v tomto �l�nku. T�to r�chla oprava sa vz�ahuj� len na syst�my, ktor� s� za��va probl�m pop�san� v tomto �l�nku. T�to r�chla oprava m��e by� �alej testovan�. Preto, ak ste nie s� v�ne ovplyvnen� tento probl�m, odpor��ame v�m po�ka� na nasleduj�cu aktualiz�ciu softv�ru, ktor� obsahuje t�to r�chlu opravu.

Ak je r�chla oprava k dispoz�cii na prevzatie, sekcia Prevzatie dostupnej r�chlej opravy sa nach�dza na za�iatku tohto �l�nku datab�zy Knowledge Base. Ak sa t�to sekcia nezobrazuje, obr�te sa na oddelenie slu�ieb a podpory z�kazn�kov spolo�nosti Microsoft a z�skajte r�chlu opravu.

Pozn�mka: Ak sa vyskytn� �al�ie probl�my alebo ak sa �iadne rie�enie probl�mov nevy�aduje, budete musie� vytvori� samostatn� servisn� po�iadavku. Obvykl� n�klady na podporu sa bud� vz�ahova� na dodato�n� ot�zky podpory a probl�my, ktor� nesp��aj� krit�ri� pre t�to �pecifick� r�chlu opravu. �pln� zoznam telef�nnych ��siel Microsoft z�kazn�cky servis a podpora, alebo vytvori� samostatn� servisn� po�iadavku, nav�t�vte nasleduj�ce webov� lokalitu spolo�nosti Microsoft: Pozn�mka: Vo formul�ri Prevzatie dostupnej r�chlej opravy sa zobrazuj� jazyky, pre ktor� je r�chla oprava k dispoz�cii. Ak nevid�te v� jazyk, je to preto, r�chla oprava nie je k dispoz�cii pre dan� jazyk.

Predpoklady

Chcete pou�i� t�to r�chlu opravu, po��ta�i mus� be�� Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 alebo Windows Server 2008 Service Pack 2.

Inform�cie datab�zy Registry

D�le�it�: Tento odsek, met�da alebo �loha obsahuje kroky, ktor� V�s naved�, ako upravi� datab�zu registry. Av�ak, m��u sp�sobi� v�ne probl�my ak datab�zu registrov uprav�te nespr�vne. Preto sa uistite, �e ste postupovali spr�vne. Doporu�ujeme z�lohova� datab�zu registrov sk�r, ako zmen�te jej hodnoty. Potom, m��ete obnovi� datab�zu registrov, ak sa vyskytne probl�m. �al�ie inform�cie o z�lohovan� a obnoven� datab�zy registrov n�jdete po kliknut� na nasledovn� ��slo �l�nku publikovan�ho v Microsoft Knowledge Base: Po nain�talovan� r�chlej opravy, zv��enie Maxconcurrentapi hodnotu pre v��� po�et na v�etk�ch serveroch, ktor� maj� Perfmon Netlogon "semaphore timeout" ozna�en� v ich denn�ky alebo ktor� maj� "NlpUserValidateHigher: nem��e prideli� klienta API z�suvka" text v svojich plavebn�ch denn�koch debug Netlogon. Ak to chcete urobi�, postupujte nasledovne:

1. Spustite Editor datab�zy Registry.
2. Vyh�adajte nasledovn� podk��� datab�zy registry:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
3. Vytvori� nasleduj�cu polo�ku datab�zy registry:
   
   meno: MaxConcurrentApi
   Typ: REG_DWORD
   Hodnota:Nastavte hodnotu na v��ie ��slo, ktor� ste testovan� (ak�ko�vek ��slo v��ie ako predvolen� hodnota).
4. V pr�kazovom riadku, spusti� net stop netlogon, a potom spustite net start netlogon.

Pozn�mky

• Maxim�lnu hodnotu, ktor� je mo�n� nakonfigurova� z�vis� od verzie opera�n�ho syst�mu a �i je k dispoz�cii r�chla oprava.
  • Maxim�lne konfigurovate�n� nastavenia v syst�me Windows Server 2003 je 10.
  • Maxim�lne konfigurovate�n� nastavenia v syst�me Windows Server 2008 (bez r�chlu opravu v tomto �l�nku) je 10. S hotfix, maxim�lna je 150.
  • Maxim�lne konfigurovate�n� nastavenia v syst�me Windows Server 2008 R2 (bez r�chlu opravu v tomto �l�nku) je 10. S hotfix, maxim�lna je 150.
• Ak ste sa rozhodli zv��i� MaxConcurrentApivalue v��� ako 10, za�a�enie a v�kon po�adovan� nastavenie by malo by� testovan� v nonproduction prostred� pred implementujete vo v�robe. Toto sa odpor��a aby sa ubezpe�il, �e zv��en�m tejto hodnoty nesp�sob� �zkoprofilov�ch in�ch zdrojov.

Ak chcete vypn�� overovania Kerberos Pac na server, postupujte nasledovne.

1. Spustite Regedt32 program.
2. N�jdite k���ov� cestou datab�zy registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
3. Na tomto mieste datab�zy registry, vytvorte hodnotu DWORD s n�zvom ValidateKdcPacSignature.
4. Nastavenie hodnoty ValidateKdcPacSignature hodnotu na 0.
5. Re�tartujte server.
   

Pozn�mka: Overovania Kerberos Pac ned� vypn�� pre fondy aplik�cie IIS alebo pre niektor� v�meny s�visiace slu�by.

Po�iadavka na re�tart

Po pou�it� tejto r�chlej opravy, mus�te re�tartova� po��ta�.

Inform�cie o nahraden� r�chlej opravy

T�to r�chla oprava nenahr�dza �iadnu doteraz vydan� r�chlu opravu.

Inform�cie o s�boroch

Angli�tina (Spojen� �t�ty) verzia tejto r�chlej opravy nain�taluje s�bory, ktor� maj� atrib�ty, ktor� s� uveden� v nasledovn�ch tabu�k�ch. D�tumy a �asy jednotliv�ch s�borov s� uveden� v univerz�lny koordinovan� �as (UTC). D�tumy a �asy pre tieto s�bory v lok�lnom po��ta�i s� zobrazen� v v� miestny �as spolu s va�ej aktu�lnej zaujatosti letn� �as (DST). Navy�e, d�tumy a �asy m��u zmeni� pri vykon�van� niektor�ch oper�ci� so s�bormi.

• ZJAVNE s�bory (.manifest) a mama s�bory (.mum), ktor� s� nain�talovan� pre ka�d� prostredie s� uveden� samostatne v sekcii "�al�� s�bor inform�ci� pre Windows Vista a Windows Server 2008". MAMA a zjavne s�bory a s�bory katal�gu (typu .cat) priraden�ho zabezpe�enia, s� ve�mi d�le�it� pre udr�anie stav aktualizovan� s��asti. S�bory katal�gu zabezpe�enia, pre ktor� nie s� uveden� atrib�ty, s� podp�san� digit�lnym podpisom spolo�nosti Microsoft.

S�bor inform�ci� pre Windows Vista a Windows Server 2008

S�bor inform�ci� pre x 86-bitov�ch verzi�ch syst�mu Windows Server 2008 a syst�mu Windows Vista

S�bor inform�ci� pre x 64-bitov�ch verzi�ch syst�mu Windows Server 2008 a syst�mu Windows Vista

S�bor inform�ci� pre IA-64-bitov�ch verzi�ch syst�mu Windows Server 2008

S�bor inform�ci� pre Windows 7 a Windows Server 2008 R2

Pozn�mky k inform�ci�m o s�boroch pre syst�my Windows 7 a Windows Server 2008 R2D�le�it�: R�chlych opr�v syst�mu Windows 7 a Windows Server 2008 R2 r�chle opravy s� zahrnut� v tie ist� bal��ky. V�ak r�chle opravy na str�nke r�chla oprava �iados� s� uveden� v �asti oba opera�n� syst�my. �iados� r�chla oprava bal�k, ktor� sa vz�ahuje na jeden alebo oba opera�n� syst�my, vybra� r�chlu opravu, ktor� je uveden� pod "Windows 7 a Windows Server 2008 R2" na str�nke. V�dy si pozrite �asti "Vz�ahuje sa na" v �l�nkoch zisti� skuto�n� opera�n� syst�m, na ktor� sa vz�ahuje ka�d� r�chlu opravu.

• ZJAVNE s�bory (.manifest) a mama s�bory (.mum), ktor� s� nain�talovan� pre ka�d� prostredie s� uveden� samostatne v sekcii "�al�� s�bor inform�ci� pre Windows Server 2008 R2 a Windows 7". MAMA a zjavne s�bory a s�bory katal�gu (typu .cat) priraden�ho zabezpe�enia, s� ve�mi d�le�it� pre udr�anie stav aktualizovan� s��asti. S�bory katal�gu zabezpe�enia, pre ktor� nie s� uveden� atrib�ty, s� podp�san� digit�lnym podpisom spolo�nosti Microsoft.

Pre v�etky podporovan� verzie syst�mu Windows 7 s procesorom x86

Pre v�etky podporovan� verzie syst�mu Windows 7 a Windows Server 2008 R2 s procesorom x64

Pre v�etky podporovan� verzie syst�mu Windows Server 2008 R2 s procesorom IA-64

Spolo�nos� Microsoft potvrdila, �e ide o probl�m produktov spolo�nosti Microsoft, ktor� s� uveden� v �asti "Vz�ahuje sa na".

T�to r�chla oprava je s��as�ou Windows 7 Service Pack 1 (SP1) a Windows Server 2008 R2 Service Pack 1 (SP1).

MaxConcurrentApiNastavenie a predvolen� nastavenia pre �u s� dedi�stvom syst�mu Windows 2000 a sp�sobilost� obmedzen� hardv�ru z tej doby. Star�ie hardware, umo��uj�ce �al�ie vl�kna a prenosu RPC generuj� by bol d�vodom na v�ne obavy a bola mo�nos� v�konu �zkoprofilov�ch, ak boli vytvoren� pr�li� ve�a vl�kien. S nov�ie hardv�r platforiem a zlep�en� v�konnos�, �e tak�to obmedzenie v�konu hardv�ru je menej pravdepodobn�. Ako v�dy, je d�le�it� prierez a pochopi� v�kone serveroch v prostred� pred zv��enie potenci�lnych za�a�enie pomocou vysok�MaxConcurrentApi nastavenie.

�al�ie inform�cie o pou��van� slu�ba Netlogon debug zapisovanie do denn�ka (Netlogon.log), kliknite na nasledovn� ��slo �l�nku publikovan�ho v datab�ze Microsoft Knowledge Base:Dodato�n� zmiernen�m krok m��ete vykona� na radi�och dom�ny zalo�enej na syst�me Windows Server 2003, ktor� maj� polo�ky v ich denn�k ladenia slu�by Netlogon, ktor� nazna�uj�, �e klienti predklad�te <null>\</null>u��vate�sk� meno namiesto domainname\u��vate�sk� meno. Kroky s� pop�san� v nasledovnom �l�nku datab�zy Microsoft Knowledge Base:�al�ie inform�cie o pou��van� monitorovania objekt v�konu Netlogon je k dispoz�cii, spolu s update prida� tento objekt v�konu v syst�me Windows Server 2003. Tam je aktualiz�cia pre syst�m Windows Server 2003, ktor� v�m umo��uje sledova� r�chlos� a priepustnos� overenia NTLM. �al�ie inform�cie z�skate po kliknut� na nasledovn� ��slo �l�nku publikovan�ho v datab�ze Microsoft Knowledge Base:�al�ie inform�cie o terminol�gii aktualiz�cii softv�ru z�skate po kliknut� na nasleduj�ce ��slo �l�nku publikovan�ho v datab�ze Microsoft Knowledge Base:

Inform�cie o �al��ch s�boroch

�al�� s�bor inform�ci� pre Windows Vista a Windows Server 2008

�al�� s�bor inform�ci� pre x 86-bitov�ch verzi�ch syst�mu Windows Vista a Windows Server 2008

�al�� s�bor inform�ci� pre x 64-bitov�ch verzi�ch syst�mu Windows Server 2008 a syst�mu Windows Vista

�al�� s�bor inform�ci� pre IA-64-bitov�ch verzi�ch syst�mu Windows Server 2008

Inform�cie o �al��ch s�boroch pre syst�my Windows 7 a Windows Server 2008 R2

�al�ie s�bory pre v�etky podporovan� verzie syst�mu Windows 7 s procesorom x86

�al�ie s�bory pre v�etky podporovan� verzie syst�mov Windows 7 a Windows Server 2008 R2 s procesorom x64

�al�ie s�bory pre v�etky podporovan� verzie syst�mu Windows Server 2008 R2 s procesorom IA-64