Síntomas
Puede experimentar uno o varios de los síntomas siguientes. Estos síntomas pueden ser intermitentes o continuas. Estos síntomas son más probable y más generalizado durante las horas de "uso intensivo de", como al principio de un negocio día cuando la carga cliente mayor se produce en los servidores en el entorno.
Puede experimentar los problemas siguientes en un escenario de servicios web: puede experimentar los problemas siguientes en un escenario de proxy web: puede experimentar los problemas siguientes en un escenario de cliente Exchange: puede experimentar el problema siguiente en cualquier escenario en que NTLM autenticación se utiliza para aplicaciones:
Línea de negocio o aplicaciones personalizadas que utilizan la autenticación NTLM producirá un error. Además, puede recibir errores diferentes que son intermitentes y pueden incluir "acceso denegado".Puede experimentar el problema siguiente en un escenario de acceso a archivos remotos:
Los clientes de Windows reciben errores de "acceso denegado" o demoras en las respuestas del servidor de ficheros.Puede experimentar el problema siguiente en cualquier escenario en el que se está utilizando la delegación de Kerberos en un servicio de nivel medio:
Los clientes tener acceso correctamente al principio pero, a continuación, perderá el acceso a los mismos recursos. Además, le pedirá repetidamente las credenciales o experimentar errores de "acceso denegado".Notas:
Causa
Este problema se produce cuando un gran volumen de autenticación NTLM o transacciones de validación Kerberos PAC (o ambos) que se producen en un servidor basado en Windows y que el volumen es mayor que el volumen que se puede controlar al mismo tiempo por el servidor miembro o los controladores de dominio que proporcionan autenticación. En otras palabras, esto es causado por un cuello de botella de recursos de autenticación.
Se realizan la autenticación NTLM y la validación de la PAC dedicado subprocesos en el proceso Lsass.exe en equipos basados en Windows. Hay un número máximo de estos subprocesos que están disponibles para procesar estas solicitudes al mismo tiempo y si las solicitudes superan la disponibilidad de los subprocesos y las solicitudes no pueden esperar más, se produce este problema.
De forma predeterminada, las estaciones de trabajo tienen uno de los subprocesos disponibles para su uso y servidores miembro tienen dos de los subprocesos disponibles para su uso. Controladores de dominio tienen un subproceso disponible por el canal de seguridad para dominios de confianza. Este número máximo de subprocesos que están dedicados a este propósito se conoce como "Maxconcurrentapi" y es configurable.
Solución
Para resolver este problema, utilice uno o varios de los métodos siguientes:
-
Instale la revisión siguiente y, a continuación, siga los pasos que se describen en la sección "información del registro". Después de instalar esta revisión en Windows Vista, Windows Server 2008, Windows 7 o Windows Server 2008 R2, el maximumlimit de conexiones concurrentes entre un equipo cliente y otro servidor o un controlador de dominio para la autenticación de NTLM o validación de PAC se puede cambiar hasta 150. Esto debe hacerse en todos los servidores que presentan Perfmon Netlogon "tiempo de espera de semáforo" indicaciones en sus registros de rendimiento o que tienen el "NlpUserValidateHigher: no se puede asignar la ranura de la API de cliente" texto en sus registros de depuración de Netlogon.
-
Para aplicaciones y servicios que utilizan NTLM, simplemente configurarlos para utilizar la autenticación Kerberos en su lugar. Los métodos para conseguirlo serán únicos para esas aplicaciones.
Nota: Para decidir qué valor va a establecer para el MaxConcurrentApi configuración en su entorno, consulte el siguiente artículo de Knowledge Base.
2688798 cómo ajustar el rendimiento de la autenticación NTLM mediante la opción MaxConcurrentApi
Información de la revisión
Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten el problema descrito en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.
Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.
Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.
Requisitos previos
Para aplicar esta revisión, el equipo debe ejecutar Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 o Windows Server 2008 Service Pack 2.
Información del registro
Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en WindowsDespués de instalar el hotfix, aumente el valor de Maxconcurrentapi a un número mayor en todos los servidores que tienen indicaciones de "tiempo de espera de semáforo" Perfmon Netlogon en sus registros de rendimiento o que tienen "NlpUserValidateHigher: no se puede asignar la ranura de la API de cliente" texto en sus registros de depuración de Netlogon. Para ello, siga estos pasos:notas
Requisito de reinicio
Debe reiniciar el equipo después de aplicar este hotfix.
Información de reemplazo de revisión
Esta revisión no sustituye a ninguna revisión publicada previamente.
Información de archivo
La versión en inglés (Estados Unidos) de esta revisión instala archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y las horas de estos archivos se muestran en la hora Universal coordinada (UTC). Las fechas y las horas de estos archivos en el equipo local se muestran en horario local junto con la diferencia de horario de verano (DST) actual. Además, las fechas y las horas pueden cambiar cuando realiza determinadas operaciones en los archivos.
-
Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno están enumerados por separado en la sección "información de archivo adicional para Windows Vista y Windows Server 2008". MUM y archivos de manifiesto y los archivos de catálogo (.cat) de seguridad asociados, son muy importantes para mantener el estado del componente actualizado. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.
Información de archivo para Windows Vista y Windows Server 2008
Información de archivo para las versiones basadas en x86 de Windows Server 2008 y Windows Vista
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
592,896 |
16-Dec-2009 |
12:09 |
x86 |
|
Nlsvc.mof |
No aplicable |
2,873 |
03-Apr-2009 |
21:24 |
No aplicable |
Información de archivo para las versiones basadas en x64 de Windows Server 2008 y Windows Vista
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
716,800 |
16-Dec-2009 |
12:07 |
x64 |
|
Nlsvc.mof |
No aplicable |
2,873 |
03-Apr-2009 |
20:58 |
No aplicable |
Información de archivo para las versiones basadas en IA-64 de Windows Server 2008
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
1,216,512 |
16-Dec-2009 |
12:05 |
IA-64 |
|
Nlsvc.mof |
No aplicable |
2,873 |
03-Apr-2009 |
20:59 |
No aplicable |
Información de archivo para Windows 7 y Windows Server 2008 R2
Notas sobre la información de archivos de Windows 7 y Windows Server 2008 R2
Importante: Correcciones urgentes de Windows 7 y Windows Server 2008 R2 se incluyen en los mismos paquetes. Sin embargo, las revisiones en la página solicitud de revisión se enumeran en ambos sistemas operativos. Para solicitar el paquete de revisiones que se aplica a uno o a ambos sistemas operativos, seleccione la revisión que aparece bajo "Windows 7/Windows Server 2008 R2" en la página. Siempre hacen referencia a la sección "Se aplica a" de los artículos para determinar el sistema operativo real al que se aplica cada revisión.
-
Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno están enumerados por separado en la sección "Información para Windows Server 2008 R2 y Windows 7 de archivo adicional". MUM y archivos de manifiesto y los archivos de catálogo (.cat) de seguridad asociados, son muy importantes para mantener el estado del componente actualizado. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.
Para todas las versiones basadas en x86 compatibles de Windows 7
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
563,712 |
16-Nov-2009 |
06:40 |
x86 |
|
Nlsvc.mof |
No aplicable |
2,873 |
10-Jun-2009 |
21:29 |
No aplicable |
Para todas las versiones basadas en x64 de Windows 7 y Windows Server 2008 R2
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
692,736 |
16-Nov-2009 |
07:45 |
x64 |
|
Nlsvc.mof |
No aplicable |
2,873 |
10-Jun-2009 |
20:47 |
No aplicable |
Para todas las versiones basadas en IA-64 compatibles de Windows Server 2008 R2
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
1,148,416 |
16-Nov-2009 |
06:10 |
IA-64 |
|
Nlsvc.mof |
No aplicable |
2,873 |
10-Jun-2009 |
20:52 |
No aplicable |
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Más información
Esta revisión se incluye en Service Pack 1 (SP1) de Windows 7 y Windows Server 2008 R2 Service Pack 1 (SP1).
La configuración de MaxConcurrentApi y la configuración predeterminada para es heredados de Windows 2000 y de las capacidades de hardware limitada de ese tiempo. Con hardware antiguo, permitiendo subprocesos adicionales y el tráfico RPC que generaría fue motivo de seria preocupación, y hubo una posibilidad de cuellos de botella de rendimiento si se han creado demasiados subprocesos. Con las plataformas de hardware más recientes y un rendimiento mejorado, es menos probable que se produzca dicha limitación de rendimiento de hardware. Como siempre, es importante medir y comprender el rendimiento de los servidores en un entorno antes de aumentar el nivel de carga con un alto valor MaxConcurrentApi .
Para obtener más información acerca de cómo utilizar el servicio Netlogon (Netlogon.log) de registro de depuración, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
109626 depuración de habilitar registro para el servicio de Net LogonPuede realizarse un paso de reducción adicional en los controladores de dominio basados en Windows Server 2003 que tengan entradas en el registro de depuración del servicio Netlogon que indican que los clientes envían < null > \nombre de usuario en lugar de nombreDominio\nombre de usuario. Los pasos se describen en el siguiente artículo de Microsoft Knowledge Base:
923241 Lsass.exe el proceso deja de responder si tiene muchas confianzas externas en un controlador de dominio basado en Windows Server 2003Para obtener más información acerca de cómo utilizar el objeto de supervisión de rendimiento de Netlogon está disponible, junto con una actualización para agregar ese objeto de rendimiento en Windows Server 2003. Hay una actualización para Windows Server 2003 que le permite supervisar la velocidad y el rendimiento de autenticaciones NTLM. Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
928576 nuevos contadores de rendimiento para Windows Server 2003 le permiten supervisar el rendimiento de la autenticación de Netlogon
Hay una actualización para Windows Server 2008 R2 que introduce nuevos eventos para realizar un seguimiento de la sobrecarga de Netlogoan API:
Hay nuevas entradas de registro de sucesos que realizan el seguimiento de errores en Windows Server 2008 R2 y retrasos en la autenticación NTLM
http://support.Microsoft.com/default.aspx?scid=KB; EN-US; 2654097
Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684
Descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft
Información adicional de archivos
Información de archivo adicional para Windows Vista y Windows Server 2008
Información adicional de archivos para las versiones basadas en x86 de Windows Vista y Windows Server 2008
|
Nombre del archivo |
Update.mum |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
3,068 |
|
Fecha (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
21:16 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
705 |
|
Fecha (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
21:16 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
22,701 |
|
Fecha (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
14:05 |
|
Plataforma |
No aplicable |
Información adicional de archivos para las versiones basadas en x64 de Windows Server 2008 y Windows Vista
|
Nombre del archivo |
Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
1.060 |
|
Fecha (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
21:16 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
23,180 |
|
Fecha (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
15:52 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
Update.mum |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
3.092 |
|
Fecha (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
21:16 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
18,332 |
|
Fecha (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
14:00 |
|
Plataforma |
No aplicable |
Información adicional de archivos para las versiones basadas en IA-64 de Windows Server 2008
|
Nombre del archivo |
Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
1.058 |
|
Fecha (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
21:16 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
23,156 |
|
Fecha (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
16:08 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
Update.mum |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
2,247 |
|
Fecha (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
21:16 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
18,332 |
|
Fecha (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
14:00 |
|
Plataforma |
No aplicable |
Información de archivo adicional para Windows 7 y Windows Server 2008 R2
Archivos adicionales para todas las versiones basadas en x86 compatibles de Windows 7
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
No aplicable |
1,947 |
16-Nov-2009 |
09:45 |
No aplicable |
|
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest |
No aplicable |
35,541 |
16-Nov-2009 |
08:08 |
No aplicable |
Archivos adicionales para todas las versiones basadas en x64 de Windows 7 y Windows Server 2008 R2
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest |
No aplicable |
35,547 |
16-Nov-2009 |
08:11 |
No aplicable |
|
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
No aplicable |
2,181 |
16-Nov-2009 |
09:45 |
No aplicable |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
No aplicable |
16,596 |
16-Nov-2009 |
08:01 |
No aplicable |
Archivos adicionales para todas las versiones basadas en IA-64 de Windows Server 2008 R2
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest |
No aplicable |
35,544 |
16-Nov-2009 |
09:06 |
No aplicable |
|
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
No aplicable |
1,683 |
16-Nov-2009 |
09:45 |
No aplicable |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
No aplicable |
16,596 |
16-Nov-2009 |
08:01 |
No aplicable |
