Problembeschreibung
Eine oder mehrere der folgenden Symptome auftreten. Diese Symptome möglicherweise zeitweise oder kontinuierliche. Diese Symptome treten häufiger und häufiger Zeiten "Hohe Nutzung" wie am Anfang eines Tages höhere Client beim Laden auf den Servern in der Umgebung.
Treten möglicherweise die folgenden Probleme in einem Szenario mit Web Services: treten möglicherweise die folgenden Probleme in einem Proxy-Szenario: treten möglicherweise die folgenden Probleme in einer Exchange Client-Szenario: in jedem Szenario in der NTLM-Authentifizierung für Applikationen verwendet das folgende Problem auftreten:
Geschäftsbereich oder andere Programme, die NTLM-Authentifizierung fehl. Darüber hinaus möglicherweise Fehler angezeigt, die nur sporadisch auf und umfassen "Zugriff verweigert"Das folgende Problem in eine Remotedatei Zugriff Szenario auftreten:
Windows-Clients Antworten vom Dateiserver verspätet oder "Zugriff verweigert" angezeigt.Folgende Probleme treten möglicherweise in jedem Szenario in der Kerberos-Delegierung in einem Dienst der mittleren Ebene verwendet wird:
Clients Zugriff erfolgreich zunächst jedoch Zugriff auf Ressourcen verlieren. Darüber hinaus können werden wiederholt aufgefordert, Anmeldeinformationen oder "Zugriff verweigert"-Fehler auftreten.Hinweise
Ursache
Dieses Problem tritt auf, wenn eine große Anzahl von NTLM-Authentifizierung Kerberos PAC Validierung Transaktionen (oder beides) auf einem Windows-basierten Server auftreten oder Volumes ist größer als der Datenträger, der gleichzeitig durch den Mitgliedsserver oder Domänencontroller, die Authentifizierung bereitstellen behandelt werden. Dies ist also eine Authentifizierung Ressourcenengpass zurückzuführen.
NTLM-Authentifizierung und Validierung PAC werden von dedizierten Threads im Prozess Lsass.exe auf Windows-Computern ausgeführt. Gibt die maximale Anzahl von Threads, die diese Anfragen gleichzeitig behandelt werden, und Anfragen die Verfügbarkeit der Threads übersteigen die Anfragen können nicht länger warten, dieses Problem auftritt.
Standardmäßig Arbeitsstationen haben eines Threads verfügbar und Server haben zwei Threads zur Verfügung. Domänencontroller müssen einen verfügbaren Thread pro Sicherheitskanal vertrauenswürdigen Domänen. Maximale Anzahl der Threads, die für diesen Zweck vorgesehen wird als "Maxconcurrentapi" bezeichnet und ist konfigurierbar.
Problemlösung
Um das Problem zu beheben, verwenden Sie eine oder mehrere der folgenden Methoden:
-
Installieren Sie den folgenden Hotfix, und führen Sie die Schritte im Abschnitt "Registrierung" beschrieben. Nach der Installation dieses Hotfixes für Windows Vista, Windows Server 2008, Windows 7 oder Windows Server 2008 R2, Maximumlimit der aktiven Verbindungen zwischen einem Clientcomputer und einem anderen Server oder ein Domänencontroller für NTLM-Authentifizierung oder PAC Validierung kann bis zu 150 geändert werden. Dies sollte auf allen Servern, die Perfmon Netlogon aufweisen "semaphore Timeout" Ihrer jeweiligen Leistungsprotokolle oder Angaben der "NlpUserValidateHigher: Client-API-Steckplatz kann nicht reserviert werden" Text in ihrer Netlogon-Debug-Protokolle.
-
Programme und Dienste, die NTLM verwenden, konfigurieren Sie einfach, um Kerberos-Authentifizierung verwenden. Methoden dafür ist die Anwendung eindeutig.
Hinweis Um zu entscheiden, welchen Wert die MaxConcurrentApi festgelegt Einstellung in Ihrer Umgebung finden Sie in den folgenden Knowledge Base-Artikel.
2688798 wie Performance-Optimierung für die NTLM-Authentifizierung mit der Einstellung MaxConcurrentApi
Hotfix-Informationen
Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Wenden Sie dieser Hotfix nur auf Systeme, bei die das Problem auftritt, das in diesem Artikel beschriebenen an Dieser Hotfix sollte weiteren Tests unterzogen werden. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir sie, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält.
Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Microsoft Customer Service and Support, um den Hotfix zu erhalten.
Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Für eine vollständige Liste der Telefonnummern von Microsoft Customer Service and Support oder für Erstellung eine separate Serviceanfrage, fahren Sie auf der folgenden Microsoft-Website fort:
http://support.microsoft.com/contactus/?ws=supportHinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.
Voraussetzungen
Um diesen Hotfix anwenden zu können, muss Ihr Computer Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 oder Windows Server 2008 Service Pack 2 ausgeführt werden.
Informationen zur Registrierung
Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 zum Sichern und Wiederherstellen der Registrierung in WindowsNachdem Sie den Hotfix installieren, erhöhen Sie den Wert Maxconcurrentapi auf allen Servern, die Perfmon Netlogon "semaphore Timeout" Angaben in Ihrer jeweiligen Leistungsprotokolle oder, auf "NlpUserValidateHigher: Client-API-Steckplatz kann nicht reserviert werden" Text in ihrer Netlogon-Debug-Protokolle. Gehen Sie hierzu folgendermaßen vor:Notizen
Neustartanforderung
Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix anwenden.
Informationen zu ersetzten Hotfixes
Dieser Hotfix ersetzt keine zuvor veröffentlichten Hotfix.
Dateiinformationen
Die US-englische Version dieses Hotfixes installiert Dateien mit den in den folgenden Tabellen aufgeführten Attributen. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Die Datums- und Uhrzeitangaben für diese Dateien werden auf Ihrem lokalen Computer in Ihrer Ortszeit mit dem aktuellen Sommerzeit-Zeitunterschied (DST) angezeigt. Darüber hinaus können sich die Datums- und Uhrzeitangaben ändern, wenn Sie bestimmte Operationen auf die Dateien anwenden.
-
MANIFEST-Dateien (. manifest) und der MUM-Dateien, die installiert werden für jede Umgebung sind einzeln aufgeführten im Abschnitt "Weitere Dateiinformationen für Windows Vista und WindowsServer 2008". MUM- und MANIFEST-Dateien sowie die zugehörigen Sicherheitskatalogdateien (.cat) Dateien sind sehr wichtig, den Status der aktualisierten Komponente beizubehalten. Die Sicherheitskatalogdateien, deren Attribute nicht aufgeführt sind, sind mit einer digitalen Microsoft-Signatur signiert.
Dateiinformationen für Windows Vista und Windows Server 2008
Dateiinformationen für X86-basierten Versionen von Windows Server 2008 und Windows Vista
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
592,896 |
16-Dec-2009 |
12:09 |
x86 |
|
Nlsvc.mof |
PC |
2,873 |
03-Apr-2009 |
21:24 |
PC |
Dateiinformationen für X64-basierten Versionen von Windows Server 2008 und Windows Vista
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
716,800 |
16-Dec-2009 |
12:07 |
x64 |
|
Nlsvc.mof |
PC |
2,873 |
03-Apr-2009 |
20:58 |
PC |
Dateiinformationen für IA-64-basierten Versionen von Windows Server 2008
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
1,216,512 |
16-Dec-2009 |
12:05 |
IA-64 |
|
Nlsvc.mof |
PC |
2,873 |
03-Apr-2009 |
20:59 |
PC |
Dateiinformationen für Windows 7 und Windows Server 2008 R2
Hinweise zu den Dateiinformationen für Windows 7 und Windows Server 2008 R2
Wichtig Hotfixes für Windows 7 und Windows Server 2008 R2 sind in denselben Paketen enthalten. Allerdings werden Hotfixes auf der Hotfix-Anforderungsseite unter beiden Betriebssystemen aufgelistet. Um das Hotfix-Paket anzufordern, das auf eine oder beide Betriebssysteme gilt, wählen Sie den Hotfix unter "Windows 7/Windows Server 2008 R2" auf der Seite erscheint aus Immer finden Sie im Abschnitt "Gilt für" in das aktuelle Betriebssystem bestimmen jeder gilt Artikel.
-
Die MANIFEST-Dateien (.manifest) und MUM-Dateien (.mum), die für jede Umgebung installiert werden, sind separat aufgeführt im Abschnitt "Weitere Dateiinformationen für Windows Server 2008 R2 und Windows 7". MUM- und MANIFEST-Dateien sowie die zugehörigen Sicherheitskatalogdateien (.cat) Dateien sind sehr wichtig, den Status der aktualisierten Komponente beizubehalten. Die Sicherheitskatalogdateien, deren Attribute nicht aufgeführt sind, sind mit einer digitalen Microsoft-Signatur signiert.
Für alle unterstützten x86-basierten Versionen von Windows 7
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
563,712 |
16-Nov-2009 |
06:40 |
x86 |
|
Nlsvc.mof |
PC |
2,873 |
10-Jun-2009 |
21:29 |
PC |
Für alle unterstützten x64-basierten Versionen von Windows 7 und Windows Server 2008 R2
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
692,736 |
16-Nov-2009 |
07:45 |
x64 |
|
Nlsvc.mof |
PC |
2,873 |
10-Jun-2009 |
20:47 |
PC |
Für alle unterstützten IA-64-basierten Versionen von Windows Server 2008 R2
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
1.148.416 |
16-Nov-2009 |
06:10 |
IA-64 |
|
Nlsvc.mof |
PC |
2,873 |
10-Jun-2009 |
20:52 |
PC |
Status
Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.
Weitere Informationen
Dieser Hotfix ist in Windows 7 Service Pack 1 (SP1) und Windows Server 2008 R2 Service Pack 1 (SP1) enthalten.
Die Einstellung MaxConcurrentApi und die Standardeinstellungen für diese sind Erbe von Windows 2000 und der eingeschränkten Hardware-Funktionen dieser Zeit. Ältere Hardware ermöglicht zusätzliche Threads und RPC-Verkehr erzeugen sie würde ein ernsthaftes Problem war und gab eine Performance-Engpässe, wenn zu viele Threads erstellt wurden. Neuere Hardware-Plattformen und verbesserte Leistung ist darauf Leistung Hardware seltener auf. Natürlich ist es wichtig zu messen und die Leistung von Servern in einer Umgebung verstehen, bevor Sie die potenzielle Last erhöht, durch eine hohe MaxConcurrentApi Einstellung.
Weitere Informationen zur Verwendung von Netlogon-Dienst Debugprotokollierung (Netlogon.log), finden Sie im folgenden Artikel der Microsoft Knowledge Base:
109626 Aktivieren der Debugprotokollierung für den AnmeldedienstEin zusätzlicher Abbau Schritt ausgeführt werden kann, auf Windows Server 2003-Domänencontroller, die Einträge in ihrer Netlogon-Debugprotokoll, die angeben, dass Clients < Null > Absenden \ statt DomänennameBenutzername \Benutzername. Die Schritte werden im folgenden Artikel der Microsoft Knowledge Base beschrieben:
923241 der Lsass.exe-Prozess reagiert haben Sie viele externe Vertrauensstellungen in Windows Server 2003-DomänencontrollerWeitere Informationen zur Verwendung von Netlogon Leistungsmonitorobjekt ist, zusammen mit Updates in Windows Server 2003 dieses Objekt hinzu. Es ist ein Update für Windows Server 2003, die Geschwindigkeit und den Durchsatz der NTLM-Authentifizierungen überwachen können. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
928576 neue Leistungsindikatoren für Windows Server 2003 können Sie die Überwachung der Leistung von Netlogon-Authentifizierung
Es ist ein Update für Windows Server 2008 R2, die neue Ereignisse überwachen Netlogoan API Überladung führt:
Neue Ereignisprotokolleinträge, die NTLM-Authentifizierung verzögert und Fehlern in Windows Server 2008 R2 zu verfolgen sind verfügbar
http://support.Microsoft.com/default.aspx?scid=KB; EN-US; 2654097
Um weitere Informationen zur Terminologie für Softwareupdates zu erhalten, klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
824684
Beschreibung der Standardterminologie, die zum Beschreiben von Microsoft-Softwareupdates verwendet wird.
Weitere Dateiinformationen
Weitere Dateiinformationen für Windows Vista und Windows Server 2008
Weitere Dateiinformationen für X86-basierten Versionen von Windows Vista und Windows Server 2008
|
Dateiname |
Update.mum |
|
Dateiversion |
PC |
|
Dateigröße |
3,068 |
|
Datum (UTC) |
16-Dec-2009 |
|
Zeit (UTC) |
21:16 |
|
Plattform |
PC |
|
Dateiname |
X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest |
|
Dateiversion |
PC |
|
Dateigröße |
705 |
|
Datum (UTC) |
16-Dec-2009 |
|
Zeit (UTC) |
21:16 |
|
Plattform |
PC |
|
Dateiname |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest |
|
Dateiversion |
PC |
|
Dateigröße |
22,701 |
|
Datum (UTC) |
16-Dec-2009 |
|
Zeit (UTC) |
14:05 |
|
Plattform |
PC |
Weitere Dateiinformationen für X64-basierten Versionen von Windows Server 2008 und Windows Vista
|
Dateiname |
Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest |
|
Dateiversion |
PC |
|
Dateigröße |
1060 |
|
Datum (UTC) |
16-Dec-2009 |
|
Zeit (UTC) |
21:16 |
|
Plattform |
PC |
|
Dateiname |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest |
|
Dateiversion |
PC |
|
Dateigröße |
23,180 |
|
Datum (UTC) |
16-Dec-2009 |
|
Zeit (UTC) |
15:52 |
|
Plattform |
PC |
|
Dateiname |
Update.mum |
|
Dateiversion |
PC |
|
Dateigröße |
3,092 |
|
Datum (UTC) |
16-Dec-2009 |
|
Zeit (UTC) |
21:16 |
|
Plattform |
PC |
|
Dateiname |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Dateiversion |
PC |
|
Dateigröße |
18,332 |
|
Datum (UTC) |
16-Dec-2009 |
|
Zeit (UTC) |
14:00 |
|
Plattform |
PC |
Weitere Dateiinformationen für IA-64-basierten Versionen von Windows Server 2008
|
Dateiname |
Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest |
|
Dateiversion |
PC |
|
Dateigröße |
1.058 |
|
Datum (UTC) |
16-Dec-2009 |
|
Zeit (UTC) |
21:16 |
|
Plattform |
PC |
|
Dateiname |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest |
|
Dateiversion |
PC |
|
Dateigröße |
23,156 |
|
Datum (UTC) |
16-Dec-2009 |
|
Zeit (UTC) |
16:08 |
|
Plattform |
PC |
|
Dateiname |
Update.mum |
|
Dateiversion |
PC |
|
Dateigröße |
2,247 |
|
Datum (UTC) |
16-Dec-2009 |
|
Zeit (UTC) |
21:16 |
|
Plattform |
PC |
|
Dateiname |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Dateiversion |
PC |
|
Dateigröße |
18,332 |
|
Datum (UTC) |
16-Dec-2009 |
|
Zeit (UTC) |
14:00 |
|
Plattform |
PC |
Weitere Dateiinformationen für Windows 7 und Windows Server 2008 R2
Weitere Dateien für alle unterstützten x86-basierten Versionen von Windows 7
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
|---|---|---|---|---|---|
|
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
PC |
1.947 |
16-Nov-2009 |
09:45 |
PC |
|
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest |
PC |
35,541 |
16-Nov-2009 |
08:08 |
PC |
Weitere Dateien für alle unterstützten x64-basierten Versionen von Windows 7 und Windows Server 2008 R2
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest |
PC |
35,547 |
16-Nov-2009 |
08:11 |
PC |
|
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
PC |
2,181 |
16-Nov-2009 |
09:45 |
PC |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
PC |
16,596 |
16-Nov-2009 |
08:01 |
PC |
Weitere Dateien für alle unterstützten IA-64-basierten Versionen von Windows Server 2008 R2
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
|---|---|---|---|---|---|
|
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest |
PC |
35,544 |
16-Nov-2009 |
09:06 |
PC |
|
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
PC |
1683 |
16-Nov-2009 |
09:45 |
PC |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
PC |
16,596 |
16-Nov-2009 |
08:01 |
PC |
