Příznaky
Může dojít jeden nebo více následujících příznaků. Tyto příznaky může být nepřetržitý nebo přerušovaný. Tyto příznaky jsou pravděpodobnější a většímu rozšíření v době "vysoké využití" jako na začátku obchodní den při klienta zvýšené zatížení dochází na serverech v prostředí.
Může dojít k následujícím problémům ve scénáři webové služby: může docházet k následujícím problémům ve scénáři webového serveru proxy: může dojít k následujícím problémům ve scénáři klienta Exchange: můžete setkat s následující problémy v jakémkoli scénáři, ve které NTLM ověřování se používá pro aplikace:
Řádek obchodní nebo vlastní aplikace, které používají ověřování NTLM nezdaří. Navíc může zobrazit různé chyby, které jsou občasné a může zahrnovat "přístup byl odepřen."Můžete zaznamenat následující problém ve scénáři přístup vzdálený soubor:
Klienti se systémem Windows k chybám "přístup odepřen" nebo zpoždění odpovědí ze souborového serveru.Můžete zaznamenat následující problémy v jakémkoli scénáři, ve kterém delegování s protokolem Kerberos používá služby střední vrstvy:
Klienti získat přístup na první úspěšně, ale pak ztratíte přístup ke stejným prostředkům. Kromě toho může být opakovaně vyzván k zadání pověření nebo dochází k chybám "přístup odepřen".Poznámky
Příčina
K tomuto problému dochází, když velký objem ověřování NTLM nebo transakce ověření Kerberos práškového aktivního uhlí (nebo obojí), dojít na serveru se systémem Windows a tento svazek je větší než objem, který lze zpracovat současně členského serveru nebo řadiče domény, které poskytují ověření. Jinými slovy je příčinou kritický prostředek ověřování.
Ověřování NTLM a ověřování práškového aktivního uhlí jsou prováděny vyhrazené podprocesy v procesu Lsass.exe v počítačích se systémem Windows. Maximální počet těchto podprocesů, které jsou k dispozici ke zpracování těchto požadavků současně a dostupnost podprocesy překročit požadavky a požadavky čekat déle, k tomuto problému dochází.
Ve výchozím nastavení mají některé z vláken, které jsou k dispozici pro použití na pracovní stanice a členské servery mají dvě podprocesů, které jsou k dispozici pro použití. Řadiče domény mít jeden podproces k dispozici na kanál zabezpečení důvěryhodné domény. Tento maximální počet podprocesů, které jsou vyhrazeny pro tento účel je označován jako "Maxconcurrentapi" a je konfigurovatelná.
Řešení
Chcete-li tento problém vyřešit, použijte jednu nebo více z následujících metod:
-
Nainstalujte následující opravu hotfix a potom postupujte podle kroků popsaných v části "informace o registru". Po instalaci této opravy hotfix systému Windows Vista, Windows Server 2008, Windows 7 nebo Windows Server 2008 R2 maximumlimit souběžných připojení mezi počítačem klienta a jiný server nebo řadič domény pro ověřování NTLM nebo ověřování práškového aktivního uhlí se může změnit až na 150. To by mělo být provedeno na všech serverech, které vykazují Perfmon Netlogon označení "semafor časový limit" v jejich protokolování výkonu nebo které mají "NlpUserValidateHigher: Nelze přidělit patice Client API" text v jejich ladění protokolování Netlogon.
-
Pro aplikace a služby, které používají ověřování NTLM pouze je nakonfigurujte ověřování protokolem Kerberos na místo. Metody k tomu je jedinečný pro tyto aplikace.
Poznámka: Rozhodnout, jaké hodnoty nastavení pro MaxConcurrentApi nastavení ve vašem prostředí naleznete v následujícím článku znalostní báze.
2688798 postup optimalizace výkonu pomocí nastavení MaxConcurrentApi pro ověřování NTLM
Informace o opravě hotfix
Společnost Microsoft má k dispozici podporovanou opravu hotfix. Tato oprava hotfix je však určena pouze problému popsanému v tomto článku. Použití této opravy hotfix pouze u systémů, ve kterých dochází k problému popsaného v tomto článku. Tato oprava hotfix může být dále testována. Proto pokud nejste vážně ohrožen tímto problémem, doporučujeme počkat na další aktualizaci softwaru, která obsahuje tuto opravu hotfix.
Pokud je oprava hotfix k dispozici ke stažení, je v horní části tohoto článku znalostní báze Knowledge Base oddíl "Oprava Hotfix je dostupná ke stažení" . Pokud tato sekce není uvedena, obraťte se na Zákaznický servis a podporu společnosti Microsoft k získaní opravy hotfix.
Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Běžná cena za technickou podporu se vztahuje k dodatečným otázkám podpory a k problémům, které se netýkají této konkrétní opravy hotfix. Pro úplný seznam telefonních čísel společnosti Microsoft Zákaznikého servisu a podpory nebo chcete-li vytvořit zvláštní požadavek na službu navštivte následující web společnosti Microsoft:
http://support.microsoft.com/contactus/?ws=supportPoznámka: Ve formuláři „Oprava hotfix je dostupná ke stažení“ se zobrazují jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, to je protože oprava hotfix není k dispozici pro daný jazyk.
Předpoklady
Chcete-li nainstalovat tuto opravu hotfix, musí v počítači spuštěn, Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 nebo Windows Server 2008 Service Pack 2.
Informace o registrech
Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému WindowsPo instalaci této opravy hotfix, zvyšte hodnotu Maxconcurrentapi na všech serverech, které mají označení "semafor časový limit" Perfmon Netlogon v jejich protokolování výkonu nebo které mají větší číslo "NlpUserValidateHigher: Nelze přidělit patice Client API" text v jejich ladění protokolování Netlogon. Chcete-li to provést, postupujte takto:poznámky
Požadavek na restartování
Po instalaci této opravy hotfix musíte restartovat počítač.
Informace o nahrazení opravy hotfix
Tato oprava hotfix nenahrazuje dříve vydanou opravu hotfix.
Informace o souborech
Angličtina (Spojené státy) verze této opravy hotfix nainstaluje soubory, jejichž atributy, které jsou uvedeny v následujících tabulkách. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Kalendářní data a časy těchto souborů v místním počítači jsou zobrazeny dle vašeho místního času a také podle aktuálního letního času (DST). Navíc data a časy se mohou změnit při provádění některých operací se soubory.
-
Soubory MANIFEST (.manifest) a soubory MUM (.mum) instalované pro každé prostředí jsou uvedeny samostatně v části "Další informace o souborech pro systémy Windows Vista a Windows Server 2008". MUM a MANIFEST soubory a soubory katalogu (CAT) přidružené zabezpečení, jsou velmi důležité k uchování stavu aktualizované součásti. Soubory katalogu zabezpečení, pro něž nejsou uvedeny atributy, jsou podepsané digitálním podpisem společnosti Microsoft.
Informace o souborech pro systém Windows Vista a Windows Server 2008
Informace o souborech pro verze x86 systému Windows Server 2008 a Windows Vista
|
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
592,896 |
16-Dec-2009 |
12:09 |
x86 |
|
Nlsvc.mof |
Není k dispozici |
2,873 |
03-Apr-2009 |
21:24 |
Není k dispozici |
Informace o souborech pro verze x64 systému Windows Server 2008 a Windows Vista
|
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
716,800 |
16-Dec-2009 |
12:07 |
x64 |
|
Nlsvc.mof |
Není k dispozici |
2,873 |
03-Apr-2009 |
20:58 |
Není k dispozici |
Informace o souborech pro platformu IA-64 verze systémů Windows Server 2008
|
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
1,216,512 |
16-Dec-2009 |
12:05 |
IA-64 |
|
Nlsvc.mof |
Není k dispozici |
2,873 |
03-Apr-2009 |
20:59 |
Není k dispozici |
Informace o souborech pro systém Windows 7 a Windows Server 2008 R2
Poznámky k informacím o souboru pro Windows 7 a Windows Server 2008 R2
Důležité: Opravy hotfix pro systém Windows 7 a Windows Server 2008 R2 opravy hotfix jsou součástí stejných balíčků. Opravy hotfix na stránce Požadavek Hotfix, jsou však uvedeny pod oba operační systémy. Chcete-li požádat o balíčku oprav hotfix, která se vztahuje k jedné nebo obou operačních systémů, vyberte opravu hotfix, která je uvedena v části "Windows 7 a Windows Server 2008 R2" na stránce. Vždy naleznete v části "Platí pro" v článcích určit skutečný operační systém, na který se vztahuje každá oprava hotfix.
-
Soubory MANIFEST (.manifest) a soubory MUM (.mum) instalované pro každé prostředí jsou uvedeny samostatně v části "Další souborů informace pro Windows Server 2008 R2 a Windows 7". MUM a MANIFEST soubory a soubory katalogu (CAT) přidružené zabezpečení, jsou velmi důležité k uchování stavu aktualizované součásti. Soubory katalogu zabezpečení, pro něž nejsou uvedeny atributy, jsou podepsané digitálním podpisem společnosti Microsoft.
Pro všechny podporované verze x86 systému Windows 7
|
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
563,712 |
16-Nov-2009 |
06:40 |
x86 |
|
Nlsvc.mof |
Není k dispozici |
2,873 |
10-Jun-2009 |
21:29 |
Není k dispozici |
Pro všechny podporované verze x64 systému Windows 7 a Windows Server 2008 R2
|
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
692,736 |
16-Nov-2009 |
07:45 |
x64 |
|
Nlsvc.mof |
Není k dispozici |
2,873 |
10-Jun-2009 |
20:47 |
Není k dispozici |
Pro všechny podporované verze IA-64 systému Windows Server 2008 R2
|
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
1,148,416 |
16-Nov-2009 |
06:10 |
IA-64 |
|
Nlsvc.mof |
Není k dispozici |
2,873 |
10-Jun-2009 |
20:52 |
Není k dispozici |
Stav
Společnost Microsoft potvrdila, že se jedná o problém v produktech společnosti Microsoft, které jsou uvedeny v části "Platí pro".
Další informace
Tato oprava hotfix je zahrnuta v aktualizaci Service Pack 1 (SP1) pro systém Windows 7 a Windows Server 2008 R2 Service Pack 1 (SP1).
Nastavení MaxConcurrentApi a výchozí nastavení pro něj jsou starší verze systému Windows 2000 a omezené hardwarové možnosti této doby. Starší hardware umožňující další vlákna a procedur, které generují by bylo vážné obavy a pokud byly vytvořeny příliš mnoho podprocesů došlo možnost kritické body. S novější hardwarových platforem a výkon je méně pravděpodobné, že dojde k omezení výkonu hardwaru. Jako vždy je důležité posoudit a pochopit výkonu serverů v prostředí před zvýšením potenciální zatížení pomocí vysoké nastavení MaxConcurrentApi .
Další informace o použití služby Netlogon ladění protokolování (Netlogon.log), získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
109626 povolení ladění protokolování pro službu přihlašování k sítiDalší lessening krok lze provést na řadiči domény se systémem Windows Server 2003, které mají v jejich protokolu ladění služby Netlogon položky, které označují, že klienti odesílají hlasovací < null > \uživatelské jméno namísto název_domény\uživatelské jméno. Kroky jsou popsány v následujícím článku znalostní báze Microsoft Knowledge Base:
923241 proces Lsass.exe může přestat reagovat, pokud máte mnoho externích vztahů důvěryhodnosti na řadiči domény se systémem Windows Server 2003Další informace o tom, jak použít objekt sledování výkonu Služba Netlogon je k dispozici současně s aktualizací Chcete-li přidat tento objekt sledování výkonu v systému Windows Server 2003. Je aktualizace pro systém Windows Server 2003, který umožňuje sledovat rychlost a propustnost ověřování NTLM. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
928576 nové čítače výkonu pro systém Windows Server 2003 umožňují sledovat výkon Netlogon ověřování
Je aktualizace pro systém Windows Server 2008 R2, který zavádí nové události sledování rozhraní API Netlogoan přetížení:
Jsou k dispozici nové položky protokolu událostí, které sledují zpoždění ověřování NTLM a selhání v systému Windows Server 2008 R2
http://support.microsoft.com/default.aspx?scid=kB; EN-US; 2654097
Pro další informace o terminologii používané v aktualizacích softwaru, klepněte na následující číslo článku k zobrazení článku v databázi Microsoft Knowledge Base:
824684
Popis standardní terminologie používané k popisu aktualizací softwaru společnosti Microsoft
Další informace o souborech
Další informace o souborech pro systém Windows Vista a Windows Server 2008
Další informace o souborech pro x86 verze systémů Windows Vista a Windows Server 2008
|
Název souboru |
Update.mum |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
3,068 |
|
Datum (čas UTC) |
16-Dec-2009 |
|
Čas (UTC) |
21:16 |
|
Platforma |
Není k dispozici |
|
Název souboru |
X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
705 |
|
Datum (čas UTC) |
16-Dec-2009 |
|
Čas (UTC) |
21:16 |
|
Platforma |
Není k dispozici |
|
Název souboru |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
22,701 |
|
Datum (čas UTC) |
16-Dec-2009 |
|
Čas (UTC) |
14:05 |
|
Platforma |
Není k dispozici |
Další informace o souborech pro verze x64 systému Windows Server 2008 a Windows Vista
|
Název souboru |
Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
1,060 |
|
Datum (čas UTC) |
16-Dec-2009 |
|
Čas (UTC) |
21:16 |
|
Platforma |
Není k dispozici |
|
Název souboru |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
23,180 |
|
Datum (čas UTC) |
16-Dec-2009 |
|
Čas (UTC) |
15:52 |
|
Platforma |
Není k dispozici |
|
Název souboru |
Update.mum |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
3,092 |
|
Datum (čas UTC) |
16-Dec-2009 |
|
Čas (UTC) |
21:16 |
|
Platforma |
Není k dispozici |
|
Název souboru |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
18,332 |
|
Datum (čas UTC) |
16-Dec-2009 |
|
Čas (UTC) |
14:00 |
|
Platforma |
Není k dispozici |
Další informace o souborech pro platformu IA-64 verze systémů Windows Server 2008
|
Název souboru |
Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
1,058 |
|
Datum (čas UTC) |
16-Dec-2009 |
|
Čas (UTC) |
21:16 |
|
Platforma |
Není k dispozici |
|
Název souboru |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
23,156 |
|
Datum (čas UTC) |
16-Dec-2009 |
|
Čas (UTC) |
16:08 |
|
Platforma |
Není k dispozici |
|
Název souboru |
Update.mum |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
2,247 |
|
Datum (čas UTC) |
16-Dec-2009 |
|
Čas (UTC) |
21:16 |
|
Platforma |
Není k dispozici |
|
Název souboru |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
18,332 |
|
Datum (čas UTC) |
16-Dec-2009 |
|
Čas (UTC) |
14:00 |
|
Platforma |
Není k dispozici |
Další informace o souborech pro systém Windows 7 a Windows Server 2008 R2
Další soubory pro všechny podporované verze x86 systému Windows 7
|
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
|---|---|---|---|---|---|
|
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Není k dispozici |
1,947 |
16-Nov-2009 |
09:45 |
Není k dispozici |
|
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest |
Není k dispozici |
35,541 |
16-Nov-2009 |
08:08 |
Není k dispozici |
Další soubory pro všechny podporované verze x64 systému Windows 7 a Windows Server 2008 R2
|
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest |
Není k dispozici |
35,547 |
16-Nov-2009 |
08:11 |
Není k dispozici |
|
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Není k dispozici |
2,181 |
16-Nov-2009 |
09:45 |
Není k dispozici |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Není k dispozici |
16,596 |
16-Nov-2009 |
08:01 |
Není k dispozici |
Další soubory pro všechny podporované verze IA-64 systému Windows Server 2008 R2
|
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
|---|---|---|---|---|---|
|
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest |
Není k dispozici |
35,544 |
16-Nov-2009 |
09:06 |
Není k dispozici |
|
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Není k dispozici |
1,683 |
16-Nov-2009 |
09:45 |
Není k dispozici |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Není k dispozici |
16,596 |
16-Nov-2009 |
08:01 |
Není k dispozici |
