間歇性地提示您輸入認證,或當您連線到已驗證的服務時,遇到逾時

文章翻譯 文章翻譯
文章編號: 975363
全部展開 | 全部摺疊

在此頁中

徵狀

您可能會遇到下列一或多個下列的徵狀。這些徵狀可能會間歇性或持續。這些徵狀是更有可能甚至更為廣泛,可在 「 高使用率"時間,例如公司的開頭增加用戶端的負載時的日期發生在環境中的伺服器上。

您可能會遇到下列問題,在 web 服務案例中:
  • Web 用戶端會接收回應延遲,從 web 伺服器。
  • 即使輸入正確的認證,您的 web 用戶端會重複提示輸入認證。
您可能會遇到下列問題,在 web proxy 案例:
  • Web 用戶端會接收回應延遲,從 web 伺服器。
  • 即使輸入正確的認證,您的 web 用戶端會重複提示輸入認證。
您可能會遭遇下列一種案例的 Exchange 用戶端的問題:
  • 用戶端會接收來自伺服器的回應延遲。
  • 即使輸入正確的憑證,用戶端重複提示輸入認證。
您可能會遇到下列問題,在任何應用程式會改用 NTLM 驗證的案例:

商務或自訂使用 NTLM 驗證的應用程式失敗。此外,您可能會收到不同的錯誤,斷斷續續,還會包含 「 拒絕存取 」。
您可能會遇到下列問題,在遠端檔案存取案例:
Windows 用戶端收到 「 拒絕存取 」 錯誤或延遲從檔案伺服器的回應。
您可能會遇到下列其中任何案例中 Kerberos 委派中所使用的中介層服務的問題:
用戶端第一次成功的存取,但然後會喪失對相同資源的存取。此外,您可能會重複提示輸入認證,或者遇到 「 拒絕存取 」 錯誤。
備忘稿
  • 這個問題會比較容易發生一或多個下列條件成立時:
    • 在環境中有高度交易並且大量使用的服務。
    • 沒有大量使用 WINNT 提供者的指令碼使用。
    • 有一些應用程式和服務未設定 (或不是可設定),才能使用 Kerberos 驗證。
    • 當下列三個條件同時為真:
      • 在環境中有許多 「 帳戶 」 定義域 (亦即,網域中擁有使用者帳戶)。
      • 有 Windows Server 2003 網域控制站 (Dc)。
      • 沒有應用程式或服務可能不需要提供網域名稱進行驗證。比方說,有的應用程式或服務,提供<null>\</null>使用者名稱 而不是 網域名稱\使用者名稱.
  • 下列徵狀,表示這個問題發生在環境中:
    • Kerberos 來源事件會記錄在應用程式伺服器的系統記錄檔。此事件表示 Kerberos PAC 驗證失敗。事件如下:

      事件類型: 錯誤
      事件來源: Kerberos
      事件類別: 無
      事件識別碼: 7
      使用者: n/A
      描述: Kerberos 子系統發生 PAC 驗證失敗。這表示從用戶端的 PAC 電腦名稱 領域中 AD DNS 網域名稱 pac 其中並未驗證,或已遭修改。請連絡您的系統管理員。
      資料: 0000: c0000192

    • Netlogon 服務偵錯記錄檔 (Netlogon.log) 中的文字比對文字 「 NlpUserValidateHigher: 無法配置用戶端 API 介面槽。"這些項目會顯示在任何 Netlogon 偵錯記錄檔的下列伺服器:
      • 應用程式伺服器
      • 在應用程式伺服器網域的網域控制站
      • 信任的網域控制站
    • Perfmon 效能記錄 Netlogon 效能計數器的信號逾時問題何時發生的時間內會顯示數字大於零。這個計數器的值可能會出現任何在此案例中的下列伺服器:
      • 應用程式伺服器
      • 在應用程式伺服器網域的網域控制站
      • 信任的網域控制站

發生的原因

當大量的 NTLM 驗證,就會發生這個問題或 Kerberos PAC 驗證交易 (或兩者) 發生在 Windows 架構的伺服器上,而且該磁碟區的磁碟區,您可以一次處理大於由成員伺服器或網域控制站,都能提供驗證。換句話說,這被因為驗證資源瓶頸。

NTLM 驗證和 PAC 驗證會在 Windows 架構電腦上的 [Lsass.exe 處理程序中的專用執行緒執行。沒有可用來處理這些要求,在此同時,這些執行緒的最大數目,如果要求超過之執行緒的可用性,並要求不能再等了,就會發生這個問題。

根據預設,工作站有其中一個執行緒可供使用,而且成員伺服器擁有兩個執行緒可供使用。網域控制站必須受信任網域的一個可用的執行緒,每個安全性通道。這個執行緒最大數目專門用來達成這個目的,稱為"Maxconcurrentapi",且予以設定。

解決方案

若要解決這個問題,請使用一或多個下列方法:
  • 安裝下列 hotfix,並依照所述的步驟"登錄資訊」 一節。之後您在 Windows Vista、 Windows Server 2008,Windows 7 中或 Windows Server 2008 R2,用戶端電腦與另一部伺服器之間的最大連maximumlimit安裝此 hotfix 或 NTLM 驗證或 PAC 驗證的網域控制站可能會變更多達 150。這應該要表現出 Perfmon Netlogon"號誌逾時 」 的指示,在其效能記錄檔,或擁有的所有伺服器上"NlpUserValidateHigher: 無法配置用戶端 API 介面槽"他們 Netlogon 偵錯記錄檔中的文字。
  • 應用程式和服務所使用 NTLM,只是進行設定改為使用 Kerberos 驗證。若要這樣做的方法將會是那些應用程式唯一的。
  • 如果 Kerberos PAC 驗證過的徵兆,停用 Kerberos PAC 驗證如果允許這項服務。這應該已經取得資料來源的 Kerberos 系統事件 7 的出現在伺服器上。

    附註無法停用 PAC Kerberos 驗證,IIS 應用程式集區或某些 Exchange 相關服務。
附註若要決定哪些值設為 MaxConcurrentApi 環境中的設定請參閱下列知識庫文件。

2688798 如何進行效能調整的 NTLM 驗證,使用 MaxConcurrentApi 設定

Hotfix 資訊

使用 Microsoft 的支援的 hotfix。然而,其目的只為修正問題,這篇文章所述。套用此 hotfix,僅提供給已遭遇本文所述問題的系統。此 hotfix 可能會接受其他測試。因此,如果此問題不會嚴重影響,我們建議您等候下一版包含此 hotfix 的軟體更新。

Hotfix 是可供下載,有 「 下載 Hotfix 」 區段中,在此知識庫文件的頂端。如果未出現此區段,請連絡 Microsoft 客戶服務及支援 」 取得 hotfix。

附註如果發生其他問題,或者如果需要進行疑難排解,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題,以及此特定 hotfix 無法解決的問題。如需完整清單的 「 Microsoft 客戶服務和支援的電話號碼,或建立個別的服務要求,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ws=support
附註「 下載 Hotfix 」 表單會顯示 hotfix 還是可以使用的語言。如果看不到您的語言,它是因為 hotfix 未提供該語言的支援。

必要條件

若要套用此 hotfix 之後,您的電腦必須執行 Windows 7、 Windows Server 2008 R2,Windows Vista Service Pack 2 或 Windows Server 2008 Service Pack 2。

登錄資訊

重要這個章節、 方法或工作包含告訴您如何修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請確定小心執行這些步驟。為加強保護,請先備份登錄再進行修改。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756 如何備份及還原 Windows 中的登錄
安裝 hotfix 之後, Maxconcurrentapi值增加到大的數字,其效能記錄檔中具有 Perfmon Netlogon"號誌逾時 」 的指示,或是有的所有伺服器上 「 NlpUserValidateHigher: 無法配置用戶端 API 位置"他們 Netlogon 偵錯記錄檔中的文字。若要執行這項操作,請依照下列步驟執行:
  1. 啟動 [登錄編輯程式]。
  2. 找出下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. 建立下列登錄項目:

    名稱: MaxConcurrentApi
    型別: 呼叫完成
    值:將值設定為較大的數字,當您測試 (任何數字大於預設值)。
  4. 在命令提示字元中執行 net stop netlogon然後再執行 net start netlogon.
備忘稿
  • 您可以設定的最大值取決於作業系統版本以及重要補充程式是否可供使用。
    • Windows Server 2003 中的最大可設定設定為 10。
    • 在 Windows Server 2008 中 (不含這份文件中的 hotfix) 的最大可設定設定為 10。此 hotfix 之後,最大值為 150。
    • 在 Windows Server 2008 R2 中 (不含這份文件中的 hotfix) 的最大可設定設定為 10。此 hotfix 之後,最大值為 150。
  • 如果您決定要增加到大於 10 的MaxConcurrentApivalue ,負載與效能的想要的設定應該進行檢測在非生產環境之前您在實際執行環境中實作。這被建議請確定,增加這個值不會導致其他資源的瓶頸。
要停用伺服器上的 PAC Kerberos 驗證,請依照下列步驟執行。
  1. 啟動 Regedt32 程式。
  2. 找出登錄機碼路徑 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters。
  3. 該登錄位置,請建立 DWORD 值,名稱為 ValidateKdcPacSignature.
  4. 您可以設定的 ValidateKdcPacSignature 值為 0。
  5. 重新啟動伺服器。
附註無法停用 PAC Kerberos 驗證,IIS 應用程式集區或某些 Exchange 相關服務。

重新啟動需求

套用此 hotfix 之後,您必須重新啟動電腦。

Hotfix 取代資訊

此 hotfix 不會取代先前發行的 hotfix。

檔案資訊

此 hotfix 的英文 (美國) 版會安裝檔案具有下列表格中所列的屬性。日期和時間,這些檔案會列在國際標準時間 (UTC)。的日期和時間在本機電腦上這些檔案會以您當地的時間加上目前的日光節約時間 (DST) 的時差來顯示。此外,日期和時間可能會變更當您執行特定作業的檔案。

  • 資訊清單檔 (.manifest) 和菊 (.mum) 安裝檔案的每個環境都是 分別列出 在 「 Windows Vista 及 Windows Server 2008 的其他檔案資訊 」 區段中。菊和資訊清單檔與相關聯的安全性類別目錄 (.cat) 檔案,是非常重要對於維持已更新元件的狀態。安全性類別目錄檔案,其未列出的屬性,是使用 Microsoft 數位簽章簽署。

Windows Vista 和 Windows Server 2008 的檔案資訊

檔案資訊的 x86 版的 Windows Server 2008,Windows vista
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台
Netlogon.dll6.0.6002.22289592,8962009 年 12 月 16 日12: 09x86
Nlsvc.mof不適用2,8732009 年 4 月 03-21: 24不適用
檔案資訊的 x64 為主版和 Windows Vista 的 Windows Server 2008
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台
Netlogon.dll6.0.6002.22289716,8002009 年 12 月 16 日12: 07x64
Nlsvc.mof不適用2,8732009 年 4 月 03-20: 58不適用
Windows Server 2008 IA x64 型版本的檔案資訊
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台
Netlogon.dll6.0.6002.222891,216,5122009 年 12 月 16 日12: 05IA-64
Nlsvc.mof不適用2,8732009 年 4 月 03-20: 59不適用

Windows 7 和 Windows Server 2008 R2 的檔案資訊

Windows 7 和 Windows Server 2008 R2 檔案資訊備忘稿重要Windows 7 的 hotfix 及 Windows Server 2008 R2 hotfix 隨附在相同的套件。不過,在 Hotfix 要求] 頁面上的快速修正程式都會在這兩個作業系統。若要要求適用於一或兩個作業系統 hotfix 套件,請選取列在 [Windows 7/Windows Server 2008 R2] 下,在頁面的 hotfix。永遠參考在文件以判斷實際快速補充程式所套用的作業系統 」 適用於 」 一節。
  • 資訊清單檔 (.manifest) 和菊 (.mum) 安裝檔案的每個環境都是 分別列出 在 「 Windows Server 2008 R2 和 Windows 7 的資訊其他檔案"] 區段中。菊和資訊清單檔與相關聯的安全性類別目錄 (.cat) 檔案,是非常重要對於維持已更新元件的狀態。安全性類別目錄檔案,其未列出的屬性,是使用 Microsoft 數位簽章簽署。
適用於所有支援 Windows 7 的 x86 版本
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台
Netlogon.dll6.1.7600.20576563,7122009 年 11 月 16 日06: 40x86
Nlsvc.mof不適用2,8732009 年 6 月 10 日21: 29不適用
適用於所有支援的 Windows 7 和 Windows Server 2008 R2 的 x64 版本
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台
Netlogon.dll6.1.7600.20576692,7362009 年 11 月 16 日07: 45x64
Nlsvc.mof不適用2,8732009 年 6 月 10 日20: 47不適用
所有支援 IA-64 x64 型版本的 Windows Server 2008 R2
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台
Netlogon.dll6.1.7600.205761,148,4162009 年 11 月 16 日06: 10IA-64
Nlsvc.mof不適用2,8732009 年 6 月 10 日20: 52不適用


狀況說明

Microsoft 已經確認這是 「 適用於 」 一節中所列的 Microsoft 產品的問題。

其他相關資訊

此 hotfix 會包含在 Windows 7 Service Pack 1 (SP1) 和 Windows Server 2008 R2 Service Pack 1 (SP1) 中。

[ MaxConcurrentApi ] 設定和它的預設設定是舊式的這段時間限制的硬體功能和 Windows 2000。與較舊的硬體,允許其他執行緒和 RPC 流量就會產生嚴重的問題,而且如果建立太多執行緒時發生效能瓶頸的可能性。使用較新的硬體平台和更佳的效能,該硬體效能限制,是比較不可能發生。請如往常,務必評量,並了解在環境中伺服器的效能,先使用較高的MaxConcurrentApi設定增加的潛在負載。

如需有關如何使用 Netlogon 服務偵錯記錄 (Netlogon.log),請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
109626 啟用 [Net Logon] 服務的偵錯記錄功能
可以有項目及其 Netlogon 服務偵錯記錄檔中的,表示用戶端所送出<null>\</null>的 Windows Server 2003 網域控制站上執行額外的 lessening 步驟使用者名稱 而不是 網域名稱\使用者名稱.下列的 「 Microsoft 知識庫 」 文件說明的步驟執行:
923241 Lsass.exe 處理程序可能會停止回應,如果您在 Windows Server 2003 網域控制站上有許多外部信任
如何使用 Netlogon 效能監視物件的詳細資訊,而是可供使用,以及 Windows Server 2003 中,將該效能物件的更新。沒有可讓您監視速度和產能的 NTLM 驗證的 Windows Server 2003 的更新。如需詳細資訊,按一下下面的文件編號,檢視 Microsoft 知識庫中的文件:
928576 Windows Server 2003 的新效能計數器可讓您監視的 Netlogon 驗證效能

沒有導入新的事件,以追蹤 Netlogoan API 的多載的 Windows Server 2008 R2 的更新:

可用的新追蹤 NTLM 驗證延遲和失敗,Windows Server 2008 R2 中的事件記錄檔項目
http://support.microsoft.com/default.aspx?scid=kb ;EN-US; 2654097
如需有關軟體更新術語的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
編號 824684 用來描述 Microsoft 軟體更新標準術語的說明

其他檔案資訊

Windows Vista 和 Windows Server 2008 的其他檔案資訊

其他的檔案資訊 x86 版的 Windows Vista 及 Windows Server 2008 的
摺疊此表格展開此表格
檔案名稱Update.mum
檔案版本不適用
檔案大小3,068
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)21: 16
平台不適用
檔案名稱X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest
檔案版本不適用
檔案大小705
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)21: 16
平台不適用
檔案名稱X86_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest
檔案版本不適用
檔案大小22,701
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)14: 05
平台不適用
其他檔案資訊的 x64 為主版和 Windows Vista 的 Windows Server 2008
摺疊此表格展開此表格
檔案名稱Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest
檔案版本不適用
檔案大小1,060
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)21: 16
平台不適用
檔案名稱Amd64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest
檔案版本不適用
檔案大小23,180
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)15: 52
平台不適用
檔案名稱Update.mum
檔案版本不適用
檔案大小3,092
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)21: 16
平台不適用
檔案名稱Wow64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
檔案版本不適用
檔案大小18,332
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)14: 00
平台不適用
Windows Server 2008 IA x64 型版本的其他檔案資訊
摺疊此表格展開此表格
檔案名稱Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest
檔案版本不適用
檔案大小1,058
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)21: 16
平台不適用
檔案名稱Ia64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest
檔案版本不適用
檔案大小23,156
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)16: 08
平台不適用
檔案名稱Update.mum
檔案版本不適用
檔案大小2,247
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)21: 16
平台不適用
檔案名稱Wow64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
檔案版本不適用
檔案大小18,332
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)14: 00
平台不適用

Windows 7 和 Windows Server 2008 R2 的其他檔案資訊

其他所有支援的檔案 x 的 Windows 7 的 x86 版本


摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ x86 ~ ~ 6.1.1.0.mum不適用1,9472009 年 11 月 16 日09: 45不適用
X86_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest不適用35,5412009 年 11 月 16 日08: 08不適用
其他所有支援的檔案 x x64 為主的 Windows 7 和版本的 Windows Server 2008 R2

摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台
Amd64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest不適用35,5472009 年 11 月 16 日08: 11不適用
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.1.1.0.mum不適用2,1812009 年 11 月 16 日09: 45不適用
Wow64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest不適用16,5962009 年 11 月 16 日08: 01不適用
所有支援 IA-64 x64 型版本的 Windows Server 2008 R2 的其他檔案

摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台
Ia64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest不適用35,5442009 年 11 月 16 日09: 06不適用
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ ia64 ~ ~ 6.1.1.0.mum不適用1,6832009 年 11 月 16 日09: 45不適用
Wow64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest不適用16,5962009 年 11 月 16 日08: 01不適用

屬性

文章編號: 975363 - 上次校閱: 2012年11月1日 - 版次: 7.0
關鍵字:?
kbqfe kbhotfixserver kbsurveynew kbautohotfix kbexpertiseinter kbbug kbfix kbmt KB975363 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:975363
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com