间歇性地提示输入凭据,或在连接到经过身份验证服务时遇到超时

文章翻译 文章翻译
文章编号: 975363
展开全部 | 关闭全部

本文内容

症状

您可能会遇到一个或多个以下症状。这些症状可能是间歇性的或不间断。这些症状是更有可能,并在"使用率过高"的时间内更广泛,如业务的开头增加的客户端加载时的日期发生在环境中的服务器上。

您可能会遇到 web 服务方案中的以下问题:
  • Web 客户端接收来自 web 服务器的响应延迟。
  • Web 客户端反复收到提示输入凭据即使输入正确的凭据。
您可能会遇到 web 代理服务器方案中的以下问题:
  • Web 客户端接收来自 web 服务器的响应延迟。
  • Web 客户端反复收到提示输入凭据即使输入正确的凭据。
您可能会遇到 Exchange 客户端方案中的以下问题:
  • 客户端从服务器接收响应延迟。
  • 客户端反复收到提示输入凭据即使输入正确的凭据。
您可能会遇到以下问题在任何情况下,为应用程序使用 NTLM 身份验证:

业务线或自定义应用程序使用 NTLM 身份验证失败。此外,您可能会收到不同错误,它们是间歇性的可能包括"访问被拒绝"。
您可能会遇到以下问题在远程文件访问方案:
Windows 客户端收到"访问被拒绝"错误或延迟从文件服务器的响应。
您可能会遇到以下任何情况下,在其中 Kerberos 委派中正在使用的中间层服务的问题:
客户端在第一个成功的访问,但然后失去对同一资源的访问权限。此外,您可能会反复提示输入凭据,或出现"访问被拒绝"错误。
备注
  • 很可能会出现一个或多个以下条件满足时,此问题是:
    • 在环境中有高事务性并经常使用的服务。
    • 没有使用大量使用 WINNT 提供程序的脚本。
    • 有应用程序和服务的未配置 (或不能配置) 来使用 Kerberos 身份验证。
    • 下面的三个条件都为真时在同一时间:
      • 在环境中有许多"帐户"域 (换句话说,其中包含用户帐户的域)。
      • 有基于 Windows Server 2003 的域控制器 (Dc)。
      • 有应用程序或服务可能会验证,而提供的域的名称。例如,有一些应用程序或服务提供<null>\</null>用户名 而不是 域名称\用户名.
  • 以下症状表明在环境中出现此问题:
    • Kerberos 源事件记录在应用程序服务器的系统日志中。此事件表示 PAC Kerberos 验证出现故障。该事件类似于以下内容:

      事件类型: 错误
      事件源: Kerberos
      事件类别: 无
      事件 ID: 7
      用户: 不适用
      说明: Kerberos 子系统遇到 PAC 验证失败。这指示客户端从 PAC 计算机名 领域中 AD DNS 域名称 有一个 PAC 未验证,或者已被修改。请与系统管理员联系。
      数据: 0000: c0000192

    • Netlogon 服务调试日志 (Netlogon.log) 中的文本与文本匹配"NlpUserValidateHigher: 无法分配客户端 API 插槽。"这些条目可能会出现在任何 Netlogon 调试日志中的下列服务器:
      • 应用程序服务器
      • 应用程序服务器域中的域控制器
      • 信任的域控制器
    • 性能监视器性能日志记录的 Netlogon 性能计数器信号超时期间出现问题时显示的数字大于零。此计数器的值可能会出现对任何在此方案中的以下服务器:
      • 应用程序服务器
      • 应用程序服务器域中的域控制器
      • 信任的域控制器

原因

大批量的 NTLM 身份验证时,会发生此问题或 Kerberos PAC 验证交易记录 (或两者) 会出现在基于 Windows 的服务器上,并且该卷的卷,一次可以处理大于通过成员服务器或提供身份验证的域控制器。换句话说,这被因为通过身份验证的资源瓶颈。

在基于 Windows 的计算机上 Lsass.exe 进程的专用线程执行 NTLM 身份验证和验证的 PAC。没有可用于处理这些请求,同时,这些线程的最大数量,并且如果请求不能再等待了请求超过线程的可用性,会出现此问题。

默认情况下,工作站有一个可供使用,线程和成员服务器有两个可供使用的线程。域控制器到受信任域中有一个可用线程,每个安全通道。此最大数目的线程专用于此目的的被称为"Maxconcurrentapi",并且配置。

解决方案

若要解决此问题,请使用一个或多个下列方法:
  • 安装以下修补程序,并按照中介绍的步骤"注册表信息"一节。之后您在 Windows Vista、 Windows Server 2008,Windows 7 中或 Windows Server 2008 R2,客户端计算机和另一台服务器之间的并发连接的maximumlimit上安装此修补程序或 NTLM 身份验证或 PAC 验证的域控制器可能会更改达 150。应进行此操作在所有服务器上,表现出 Perfmon Netlogon"信号量超时"的指示,或其性能日志中有"NlpUserValidateHigher: 无法分配客户端 API 槽"及其 Netlogon 调试日志中的文本。
  • 为应用程序和服务的使用 NTLM,只需配置它们以改为使用 Kerberos 身份验证。要做到这一点的方法是唯一的那些应用程序。
  • Kerberos PAC 验证被视为一种症状,如果禁用该服务允许此 PAC Kerberos 验证。这应具有指明其出处的 Kerberos 系统事件 7 的出现在服务器上。

    注意为 IIS 应用程序池或某些与 Exchange 相关的服务,不能禁用 Kerberos PAC 验证。
注意为了决定设置为 MaxConcurrentApi 的值设置在您的环境中请参阅下面的知识库文章。

2688798 如何通过使用 MaxConcurrentApi 设置 NTLM 身份验证的性能调整

热修复补丁程序信息

可以从 Microsoft 获得支持的热修复补丁程序。但是,此修补程序用于解决本文中描述的问题。此修补程序仅适用于系统遇到本文中描述的问题。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。

如果此修复程序可供下载,则"修补程序下载"部分顶部的此知识文库文章。如果未显示此节,请联系 Microsoft 客户服务和支持,以获取此修复程序。

注意如果出现其他问题或需要任何故障诊断,您可能需要创建单独的服务请求。到其他支持问题和事项,不适合于此特定的修补程序将正常收取支持费用。Microsoft 客户服务和支持电话号码,或创建单独的服务请求的完整列表,请访问以下 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意"可用的热修补程序下载"表格显示此热修复补丁程序适用的语言。如果您看不到您的语言,这是因为热修复补丁程序不适用于该语言。

先决条件

若要应用此修补程序,您的计算机必须运行 Windows 7,Windows Server 2008 R2,Windows Vista Service Pack 2 或 Windows 服务器 2008 Service Pack 2。

注册表信息

重要此部分、方法或任务包含告诉您如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重问题。因此,请确保仔细遵循这些步骤。为增加保护,请您对其进行修改之前备份注册表。然后,可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows XP 中备份和还原注册表
安装此修复程序后,将Maxconcurrentapi值增加到更多的具有 Perfmon Netlogon"信号量超时"指示其性能日志或具有的所有服务器上"NlpUserValidateHigher: 无法分配客户端 API 槽"及其 Netlogon 调试日志中的文本。请执行以下步骤:
  1. 启动注册表编辑器。
  2. 找到以下注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. 创建以下注册表项:

    名称: MaxConcurrentApi
    类型: REG_DWORD
    值:将该值设置为较大的数量,您测试 (任何编号大于默认值)。
  4. 在命令提示符下运行 net stop netlogon然后再运行 net start netlogon.
备注
  • 可配置的最大值取决于操作系统版本和修补程序是否可用。
    • 在 Windows Server 2003 中最大的可配置设置为 10。
    • Windows Server 2008 中 (不带这篇文章中的修复程序) 的最大可配置设置为 10。该修复程序后,最大值为 150。
    • Windows Server 2008 R2 中 (不带这篇文章中的修复程序) 的最大可配置设置为 10。该修复程序后,最大值为 150。
  • 如果您决定增加到 10 个以上的MaxConcurrentApivalue ,负载和性能所需的设置应测试非生产环境中之前在生产环境中实现。此建议,以确保增加此值,不会导致其他资源瓶颈。
若要禁用服务器上的 PAC Kerberos 验证,请按照下列步骤。
  1. 开始 Regedt32 程序。
  2. 找到的注册表项路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters。
  3. 该注册表位置中创建一个名为 ValidateKdcPacSignature.
  4. 将 ValidateKdcPacSignature 值的值设置为 0。
  5. 重新启动服务器。
注意为 IIS 应用程序池或某些与 Exchange 相关的服务,不能禁用 Kerberos PAC 验证。

重新启动要求

在应用此修补程序后,您必须重新启动计算机。

修补程序替换信息

此修补程序不替代以前发布的修补程序。

文件信息

此修复程序的英语 (美国) 版本将安装具有下表中列出的属性的文件。日期和时间为这些文件列出了以协调通用时间 (UTC)。日期和时间在您的本地计算机上的这些文件显示在您的本地时间与当前夏令时 (DST) 偏差。此外,日期和时间可能会改变您执行某些操作的文件。

  • 清单文件 (.manifest) 和菊花 (.mum) 安装的文件是为每个环境都是 分别列出 在"Windows Vista 和 Windows Server 2008 的其他文件信息"部分中。菊花和清单文件和关联的安全编录 (.cat) 文件,是非常重要的维护更新组件的状态。安全编录文件,其属性没有列出,签名的 Microsoft 的数字签名。

适用于 Windows Vista 和 Windows Server 2008 的文件信息

文件信息的基于 x86 的版本和 Windows Vista 的 Windows Server 2008
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Netlogon.dll6.0.6002.22289592,8962009 年 12 月 16 日12: 09x86
Nlsvc.mof不适用2,8732009 年 4 月 03 日21: 24不适用
文件信息的基于 x64 版本的 Windows Server 2008 和 Windows Vista 的
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Netlogon.dll6.0.6002.22289716,8002009 年 12 月 16 日12: 07x64
Nlsvc.mof不适用2,8732009 年 4 月 03 日20: 58不适用
IA-基于 x64 版本的 Windows Server 2008 的文件信息
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Netlogon.dll6.0.6002.222891,216,5122009 年 12 月 16 日12: 05IA-64
Nlsvc.mof不适用2,8732009 年 4 月 03 日20: 59不适用

对于 Windows 7 和 Windows Server 2008 R2 的文件信息

Windows 7 和 Windows Server 2008 R2 文件信息备注重要Windows 7 的修复程序和 Windows Server 2008 R2 的修复程序包含在同一个文件包。但是,在这两个操作系统下列出了修复程序请求页上的修复程序。要请求应用到一个或两个操作系统的修补程序软件包,请选择在"Windows 7/Windows Server 2008 R2"页列出的修补程序。始终,请参阅文章,以确定每个修补程序应用到实际的操作系统中的"适用于"一节。
  • 清单文件 (.manifest) 和菊花 (.mum) 安装的文件是为每个环境都是 分别列出 在"附加文件信息的 Windows Server 2008 R2 和 Windows 7"部分中。菊花和清单文件和关联的安全编录 (.cat) 文件,是非常重要的维护更新组件的状态。安全编录文件,其属性没有列出,签名的 Microsoft 的数字签名。
适用于所有受支持的基于 x86 的 Windows 7 版本
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Netlogon.dll6.1.7600.20576563,7122009 年 11 月 16 日06: 40x86
Nlsvc.mof不适用2,8732009 年 6 月 10 日21: 29不适用
适用于所有受支持的基于 x64 的 Windows 7 和 Windows Server 2008 R2 版本
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Netlogon.dll6.1.7600.20576692,7362009 年 11 月 16 日07: 45x64
Nlsvc.mof不适用2,8732009 年 6 月 10 日20: 47不适用
适用于所有受支持的基于 IA-64 的 Windows Server 2008 R2 版本
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Netlogon.dll6.1.7600.205761,148,4162009 年 11 月 16 日06: 10IA-64
Nlsvc.mof不适用2,8732009 年 6 月 10 日20: 52不适用


状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。

更多信息

此修复程序包含在 Windows 7 Service Pack 1 (SP1) 和 Windows 服务器 2008 R2 Service Pack 1 (SP1)。

MaxConcurrentApi设置,并为它的默认设置是时间的传统的 Windows 2000 和有限的硬件功能。与较旧的硬件,允许其他线程,它们将生成的 RPC 通信量的关注,,如果创建太多线程时的性能瓶颈的可能性。与较新的硬件平台和改进的性能,该硬件的性能限制是不太可能发生。与以往一样,是评估之前,了解环境中的服务器的性能,增加潜在的负载使用较高的MaxConcurrentApi设置非常重要。

有关如何使用 Netlogon 服务的详细信息调试日志记录 (Netlogon.log),请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
109626 启用网络登录服务的调试日志记录
可以具有其 Netlogon 服务调试日志中的条目指示客户机要提交<null>\</null>的基于 Windows Server 2003 的域控制器上执行其他 lessening 步骤用户名 而不是 域名称\用户名.下面的 Microsoft 知识库文章中说明的步骤:
923241 Lsass.exe 进程可能会停止响应,如果您在基于 Windows Server 2003 的域控制器上有多个外部信任
有关如何使用 Netlogon 性能监视对象的详细信息不可用,以及 Windows Server 2003 中添加该性能对象的更新。没有让您监视的速度和吞吐量的 NTLM 身份验证的 Windows Server 2003 的更新。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
928576 对于 Windows Server 2003 的新性能计数器让您监视性能的 Netlogon 身份验证

没有更新的 Windows Server 2008 R2 引入了新的事件来跟踪 Netlogoan API 重载:

有新跟踪 NTLM 身份验证延迟和 Windows Server 2008 R2 中的发生故障的事件日志条目
http://support.microsoft.com/default.aspx?scid=kb ;美国英语 ; 2654097
有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684 用于描述 Microsoft 软件更新的标准术语的说明

附加文件信息

对于 Windows Vista 和 Windows Server 2008 的附加文件信息

附加文件的信息基于 x86 的版本的 Windows Vista 和 Windows Server 2008 的
收起该表格展开该表格
文件的名称Update.mum
文件版本不适用
文件大小3,068
日期 (UTC)2009 年 12 月 16 日
时间 (UTC)21: 16
平台不适用
文件的名称X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest
文件版本不适用
文件大小705
日期 (UTC)2009 年 12 月 16 日
时间 (UTC)21: 16
平台不适用
文件的名称X86_microsoft windows 安全 netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest
文件版本不适用
文件大小22,701
日期 (UTC)2009 年 12 月 16 日
时间 (UTC)14: 05
平台不适用
附加文件的信息基于 x64 版本的 Windows Server 2008 和 Windows Vista 的
收起该表格展开该表格
文件的名称Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest
文件版本不适用
文件大小1,060
日期 (UTC)2009 年 12 月 16 日
时间 (UTC)21: 16
平台不适用
文件的名称Amd64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest
文件版本不适用
文件大小23,180
日期 (UTC)2009 年 12 月 16 日
时间 (UTC)15: 52
平台不适用
文件的名称Update.mum
文件版本不适用
文件大小3,092
日期 (UTC)2009 年 12 月 16 日
时间 (UTC)21: 16
平台不适用
文件的名称Wow64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
文件版本不适用
文件大小18,332
日期 (UTC)2009 年 12 月 16 日
时间 (UTC)14: 00
平台不适用
IA-基于 x64 版本的 Windows Server 2008 的其他文件信息
收起该表格展开该表格
文件的名称Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest
文件版本不适用
文件大小1,058
日期 (UTC)2009 年 12 月 16 日
时间 (UTC)21: 16
平台不适用
文件的名称Ia64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest
文件版本不适用
文件大小23,156
日期 (UTC)2009 年 12 月 16 日
时间 (UTC)16: 08
平台不适用
文件的名称Update.mum
文件版本不适用
文件大小2,247
日期 (UTC)2009 年 12 月 16 日
时间 (UTC)21: 16
平台不适用
文件的名称Wow64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
文件版本不适用
文件大小18,332
日期 (UTC)2009 年 12 月 16 日
时间 (UTC)14: 00
平台不适用

对于 Windows 7 和 Windows Server 2008 R2 的附加文件信息

所有受支持的基于 x86 的 Windows 7 版本的附加文件


收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ x86 ~ ~ 6.1.1.0.mum不适用1,9472009 年 11 月 16 日09: 45不适用
X86_microsoft windows 安全 netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest不适用35,5412009 年 11 月 16 日08: 08不适用
支持所有其他文件基于 x64 版本的 Windows 7 和 Windows Server 2008 R2 的 x

收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Amd64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest不适用35,5472009 年 11 月 16 日08: 11不适用
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.1.1.0.mum不适用2,1812009 年 11 月 16 日09: 45不适用
Wow64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest不适用16,5962009 年 11 月 16 日08: 01不适用
附加文件的所有受支持基于 IA-64 的版本的 Windows Server 2008 R2

收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Ia64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest不适用35,5442009 年 11 月 16 日09: 06不适用
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ ia64 ~ ~ 6.1.1.0.mum不适用1,6832009 年 11 月 16 日09: 45不适用
Wow64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest不适用16,5962009 年 11 月 16 日08: 01不适用

属性

文章编号: 975363 - 最后修改: 2012年11月1日 - 修订: 6.0
关键字:?
kbqfe kbhotfixserver kbsurveynew kbautohotfix kbexpertiseinter kbbug kbfix kbmt KB975363 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 975363
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com