Wie Performance-Optimierung für die NTLM-Authentifizierung mit der Einstellung MaxConcurrentApi

Einführung

Ein Verbraucherorientierung der Unternehmens-Informationstechnologie (Anstieg der Consumer-orientierten Geräten wie Smartphones und Tablets in das Unternehmensnetzwerk verwendet) führte zum Erhöhen der Anzahl von Szenarien in denen Unternehmen einen massiven Anstieg der legacy-Authentifizierung in ihrem Unternehmen auftreten können. Dieser Anstieg der legacy-Authentifizierung könnte zu Leistungsproblemen verzögert oder Timeouts für Clients.

Authentifizierungstimeouts oder verzögert (auch bekannt als MaxConcurrentApi Engpässe) in einer Umgebung entdecken, wird das übliche Verfahren zur Behebung des Problems die maximal zulässige Arbeitskraft zu diesem Dienst die Authentifizierung threads. Dazu ändern den Registrierungswert MaxConcurrentApi und Netlogon-Dienst auf den Servern neu.

Identifiziert die Server sind die Engpässe und welche Server tatsächlich die Quelle der Engpass verzögert werden können schwierig sein. Dieser Artikel beschreibt, wie man Performance-Optimierung für NT LAN Manager (NTLM) Authentifizierung mithilfe der Einstellung MaxConcurrentApi. Dieser Artikel enthält Hinweise für Administratoren dabei die Server MaxConcurrentApi Wert und die Menge, der Wert festzulegen.

Problemlösung

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

zum Sichern und Wiederherstellen der Registrierung in WindowsUm dieses Problem zu beheben, müssen Sie die Daten überprüfen, die von allen Servern durchgeführt wurde, die in das Szenario einbezogen werden. Anschließend können Sie versuchen, die Einstellung MaxConcurrentApi auf diesen Servern erhöhen, die einen Verlust zeigen.

Hinweis CSS MaxConcurrentApi Diagnose wird MaxConcurrentApi Probleme erkennen und die besten MaxConcurrentApi wird für einen Server automatisch berechnet. In diesem Artikel beschriebenen Formel verwendet. Weitere Informationen über die Diagnose steht im folgenden Artikel:

Probleme MaxConcurrentApi Prüfung (SDP)


Nur Daten Leistungsindikatoren, die den Engpass Authentifizierung zeigen können sind Net Logon-Leistungsindikatoren. Standardmäßig sind diese Leistungsindikatoren in Windows Server 2008 und in späteren Versionen von Windows. Das Leistungsobjekt Net Logon wird ausführlicher im folgenden Artikel der Microsoft Knowledge Base behandelt:

Netlogon Leistungsindikatoren für Windows Server 2003

Gibt Netlogon Ereignisse verfügbar, die NTLM-Authentifizierung Probleme finden Sie unter:

stehen neue Ereignisprotokolleinträge, die NTLM-Authentifizierung verzögert und Fehlern in Windows Server 2008 R2 nachverfolgen

Die Ereignisse geben Aktivität für zwei Indikatoren:

  • 5818-5819-Ereignisse: Gibt "Sempahore Kellner" Ereignisse aktiviert sind.

  • Ereignisse 5816-5817: "Sempahore Timeouts" gibt.


Ermittlung den optimalen MaxConcurrentApi Server einige Punkte zusammengefasst und mit einer Formel berechnet. Die Daten schätzen MaxConcurrentApi lautet wie folgt:

  • Net Logon Semaphor erhält

  • Net Logon Semaphore Timeouts

  • Net Logon durchschnittliche Semaphore halten

  • Dauer der Leistung, die Protokollierung erfolgt in Sekunden gemessen,

Nachdem die Daten kann die folgende Formel MaxConcurrentApi korrekten Schätzung verwendet werden:

(semaphore_acquires semaphore_time-outs) * average_semaphore_hold_time / time_collection_length = < New_MaxConcurrentApi_settingNachdem Sie den Anmeldedienst von Leistungsdaten Server Authentifizierung ausgelastet war, ermitteln Sie die Dauer des Prozesses Daten sammeln, die Positionsansicht Anfang und Ende.

Hinweis Der Platzhalter Semaphore_acquires und Semaphore_time-Out darstellen kumulative Zahlen, die angeben, wie viele Timeouts Lebensdauer einen Sicherheitskanal aufgetreten. Daher Zahlen werden NULL in die gesammelten Daten wahrscheinlich nicht gestartet. Die Startnummer muss die Endnummer abgezogen Wenn Positionsansicht in Systemmonitor (Perfmon.msc) verwenden. Dann verwenden Sie berechnete Formel für die neue Einstellung MaxConcurrentApi. Zum Bestimmen der Anzahl der Timeouts, die während der Datenerfassung Positionsansicht in Perfmon.msc, verwenden den Mauszeiger über die Linie für diesen Indikator Ende und Anfang und dann die Anfangszahl von der Endzahl subtrahiert. Das Ergebnis ist die Zahl, die in die Formel eingefügt.

Durchschnittliche Semaphor Wartezeiten kann durch Ändern der Standardansicht aus Zeile zur Berichtsansicht Perfmon.msc bestimmt werden. Betrachten Sie beispielsweise das folgende Szenario:

  • Das Semaphor erhält Wert ist 8,286.

  • Semaphore Wert Timeouts 883.

  • Durchschnittliche Semaphor ist gesperrt.5 (einer halben Sekunde).

  • Die Dauer der Berichterstattung ist 90 Sekunden.

In diesem Szenario würde die Formel wie folgt lauten:

(8,286 + 883) *.5 / 90 = < 51


Wenn der Wert der Formel abgeleitet 150 oder größer ist, sollten Sie weitere Server der ältere Authentifizierung Last hinzufügen.

Ist der Wert kleiner als 150, sollten Sie den Registrierungswert MaxConcurrentApi auf diesem Server auf den Wert der Formel vorgeschlagen oder auf einen höheren Wert ändern.

Hinweis Möchten Sie MaxConcurrentApi Wert größer als 10 zu erhöhen, sollte die Auslastung und Leistung der gewünschten Einstellung vor Implementierung der Änderung in einer in einer nicht produktiven Umgebung getestet. Dies wird empfohlen, um sicherzustellen, dass dieser Wert keine anderen Ressourcenengpässe verursacht. Darüber hinaus werden Sie Belastung auf jede Szenarien und Umgebung variieren. Daher müssen MaxConcurrentApi Wert haben eine andere Einstellung zu einem späteren Zeitpunkt, wenn der Dienst ändert laden.

Zum Ändern der Einstellung MaxConcurrentApi folgendermaßen Sie vor:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.

  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann darauf:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Im Menü Bearbeiten auf neu, und klicken Sie dann auf DWORD-Wert.

  4. Geben Sie MaxConcurrentApi, und drücken Sie dann die EINGABETASTE.

  5. Klicken Sie im Menü Bearbeiten auf Ändern.

  6. Geben Sie die neue Einstellung MaxConcurrentApi Dezimal, und klicken Sie dann auf OK.

  7. Geben Sie den folgenden Befehl in der Eingabeaufforderung ein und drücken Sie dann die Eingabetaste:

    Net Stop netlogon

  8. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    Net Start netlogon

Weitere Informationen

Den folgenden Knowledge Base-Artikel können Sie die clientseitige Symptome für ältere Authentifizierung Engpässe ausführlicher:

werden periodisch Anmeldeinformationen oder Verbindung authentifiziert Services Timeouts auftretenDie Authentifizierung kann auf mehreren Servern im Szenario Engpaß darstellt. Daher müssen Sie sicherstellen, dass alle Server in einem bestimmten Szenario Leistungsdaten während sie Lasten Wartung beschäftigt sind.

Die Leistungsindikatoren für das Semaphor erhält für Semaphore Timeouts und für durchschnittliche Semaphore halten Zeit auf alle Anwendungsserver, Domänencontroller und vertrauenswürdige Domänencontroller, die Verarbeitung von Clientanforderungen beteiligt überprüft werden muss.

Die Daten müssen nachverfolgt werden, während der Server stark ausgelastet sind. Stark tritt auf, wenn der Server die meisten Clientanforderungen finden Sie unter. Beispielsweise ist der optimale Zeitpunkt zum Sammeln von Leistungsdaten in einem e-Mail-Server Wenn Benutzer am Arbeitsplatz eintreffen und ihre e-Mails.

Zusätzliche Elemente Entgelt lauten wie folgt:

  • Keine Werte bedeuten, ist keine Maßnahme erforderlich. Die Semaphore Inhaber und Semaphore halten Zeit Leistungsindikatoren zeigt Werte lang anhaltende Last auf einem Server besteht. Wenn keine Werte vorhanden sind, ist keine Änderung MaxConcurrentApi erforderlich.

  • Ist keine Einheitsgröße. MaxConcurrentApi Wert möglicherweise einen anderen Wert für jeden Server. Dies kann mehrere Anwendungsserver Authentifizierung von einem einzelnen Domänencontroller erlangen oder ähnliche Szenarios, in dem mehrere Server einen größeren Datenträger laden bieten, verursacht werden mit denen der Domänencontroller behandeln.

  • Vertraut. Sind die Benutzer, die authentifiziert werden von vertrauenswürdigen Domänen können länger verzögert dadurch da der lokale Domänencontroller auf die Antwort von der vertrauenswürdigen Domäne ist vor der lokalen Domänencontroller auf dem Anwendungsserver.

  • Netzwerklatenz. Bei MaxConcurrentApi Engpässe möglich Netzwerklatenz auch. Dies kann auftreten, wenn das Semaphor MaxConcurrentApi zeitbasierte Timeout-Zähler verwendet, sodass Clients nicht unbegrenzt ältere Authentifizierung warten.

  • Zusammenstellung. Netzwerkwartezeit vorhanden und verzögert und Engpässe ausfüllen MaxConcurrentApi Threads verursacht, ist eine allgemeine Lösung zu den Servern in demselben Standort um die Netzwerkwartezeit zu reduzieren. In einem Domänenmodell, in der eine vertrauenswürdige Domäne hat zum Beispiel Zertifizierungsstellen von Microsoft Exchange Server, und der Domäne des Benutzers in einer anderen, Region oder Active Directory-Standort, dies bedeutet des Benutzers Domänencontroller an demselben Standort und Active Directory-Standort wie der Exchange-Clientzugriffsserver und die Domänencontroller platzieren.

  • Mögliche downstream Verzögerung. Wenn Indikatorwert Semaphore Kellner ständig größer als 0 (null) bei jedem und Semaphore Inhaber Wert kleiner als die MaxConcurrentApi auf dem Server ist, liegt der Engpass nicht auf diesem Server. In diesem Fall mit dem Domänencontroller in den Namen des Leistungsindikators genannt wird, die gemäß ein Hostcomputer vollqualifizierten Domänennamen suchen. Dieser Domänencontroller Semaphore Kellner und Semaphore Inhaber Leistungsdaten überprüft.

  • Laden oder Netzwerkkonfiguration geändert. Zukünftige Änderungen der Last gewartet wird oder Netzwerkkonfigurationen möglicherweise Netzwerklatenz und könnte zu müssen zur Messung der richtigen MaxConcurrentApi erneut festlegen. Umgebungen in der legacy-Authentifizierung Volume ist die Einstellung MaxConcurrentApi geprüft werden, wird dringend empfohlen, ständig überwachen und die Net Logon-Leistungsindikatoren überprüfen. Sie können mit geplanten benutzerdefinierte Perfmon.msc Datensammler mit Microsoft System Center Operations Manager oder mit anderen Methoden dazu.

  • Bis zu Windows Server 2008. Die maximale Einstellung MaxConcurrentApi in Windows Server 2008 und in späteren Versionen von Windows darf ist 150. Sie müssen den Hotfix anwenden, der beschrieben wird, im folgenden Knowledge Base-Artikel 150 maximal verfügbare Einstellung erforderlich, wenn der Server, mit dem Sie, nicht Windows Server 2008 R2 ausgeführt wird:

    werden periodisch Anmeldeinformationen oder Verbindung authentifiziert Services Timeouts auftreten

  • Bis zu Windows Server 2003. Die maximale Einstellung für MaxConcurrentApi in Windows Server 2003 und früheren Versionen zulässig ist 10.

  • Windows Server 2012 und neuere Standards. Der Standardwert für MaxConcurrentApi wurde in Windows Server 2012 geändert. Es ist 10 für Mitgliedsserver und Domänencontroller. 1 Mitglied Arbeitsstationen bleibt.

  • Windows Server 2003 und Leistungsindikatoren. Die Net Logon-Leistungsindikatoren enthalten die Originalversion von Windows Server 2003 nicht. Sie müssen einen Hotfix anwenden hinzugefügt werden. Weitere Informationen zum Hinzufügen von Leistungsindikatoren finden im folgenden Artikel der Microsoft Knowledge Base:

    neue Leistungsindikatoren für Windows Server 2003 können Sie die Überwachung der Leistung von Netlogon-Authentifizierung

Identifizieren von nicht autorisierten oder unbekannten Clients und Dienste, die wiederholt und kontinuierlich NTLM ausführen hilfreich Authentifizierung beim Reduzieren der Gesamtauslastung der NTLM-Authentifizierung und daher letztendlich die Verringerung der MaxConcurrentApi Semaphore verwendet werden soll. Authentifizierung auf diese Weise erkennen mit Anmeldedienst wiederholt Debugprotokollierung. Weitere Informationen zur Verwendung die Datei Netlogon.log Anmeldedienst Debuggen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

Aktivieren der Debugprotokollierung für den AnmeldedienstBeachten Sie, dass Perfmon.msc Zähler für NTLM-Authentifizierungen unter Sicherheit systemweiten Statistik nicht die Anzahl der Verwendungen des Threads MaxConcurrentApi verfolgt widerspiegelt. Es gibt keine 1: 1-Korrelation MaxConcurrentApi Semaphore, der Net Logon-Leistungsindikator angezeigt wird und die NTLM-Authentifizierung Zähler erhöht. Der Zähler der NTLM-Authentifizierung ist nicht hilfreich bei der Bestimmung der besten MaxConcurrentApi.

Außerdem ist es wahrscheinlich legacy Performance Authentifizierungstimeouts, die MaxConcurrentApi Zusammenhang gesehen aber nicht in einen beliebigen Leistungsindikator als Net Logon-Zähler angezeigt. Dies bedeutet, dass andere Leistungsmetriken wie CPU und Datenträger-und kann keine Last MaxConcurrentApi Laden ist schwer und Benutzer Probleme.

Eine zusätzliche Prozedur minimieren kann auf Domänencontrollern, die Einträge im Debugprotokoll ihre Net Logon, die angeben, dass Clients < Null > Absenden ausgeführt \ statt DomänennameBenutzername \Benutzername. Dieses Verfahren wird im folgenden Artikel der Microsoft Knowledge Base beschrieben:

der Lsass.exe-Prozess reagiert haben Sie viele externe Vertrauensstellungen auf Active Directory-Domänencontroller

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×