Intermitentemente se solicitan las credenciales o experimentar tiempos de espera cuando se conecta a servicios autenticados

Se aplica a: Windows Server 2008 R2 DatacenterWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 Standard

Síntomas


Puede experimentar uno o varios de los síntomas siguientes. Estos síntomas pueden ser intermitentes o continuas. Estos síntomas son más probable y más generalizado durante las horas de "uso intensivo de", como al principio de un negocio día cuando la carga cliente mayor se produce en los servidores en el entorno.

Puede experimentar los problemas siguientes en un escenario de servicios web: puede experimentar los problemas siguientes en un escenario de proxy web: puede experimentar los problemas siguientes en un escenario de cliente Exchange: puede experimentar el problema siguiente en cualquier escenario en que NTLM autenticación se utiliza para aplicaciones:

Línea de negocio o aplicaciones personalizadas que utilizan la autenticación NTLM producirá un error. Además, puede recibir errores diferentes que son intermitentes y pueden incluir "acceso denegado".
Puede experimentar el problema siguiente en un escenario de acceso a archivos remotos:
Los clientes de Windows reciben errores de "acceso denegado" o demoras en las respuestas del servidor de ficheros.
Puede experimentar el problema siguiente en cualquier escenario en el que se está utilizando la delegación de Kerberos en un servicio de nivel medio:
Los clientes tener acceso correctamente al principio pero, a continuación, perderá el acceso a los mismos recursos. Además, le pedirá repetidamente las credenciales o experimentar errores de "acceso denegado".
Notas:

Causa


Este problema se produce cuando un gran volumen de autenticación NTLM o transacciones de validación Kerberos PAC (o ambos) que se producen en un servidor basado en Windows y que el volumen es mayor que el volumen que se puede controlar al mismo tiempo por el servidor miembro o los controladores de dominio que proporcionan autenticación. En otras palabras, esto es causado por un cuello de botella de recursos de autenticación.

Se realizan la autenticación NTLM y la validación de la PAC dedicado subprocesos en el proceso Lsass.exe en equipos basados en Windows. Hay un número máximo de estos subprocesos que están disponibles para procesar estas solicitudes al mismo tiempo y si las solicitudes superan la disponibilidad de los subprocesos y las solicitudes no pueden esperar más, se produce este problema.

De forma predeterminada, las estaciones de trabajo tienen uno de los subprocesos disponibles para su uso y servidores miembro tienen dos de los subprocesos disponibles para su uso. Controladores de dominio tienen un subproceso disponible por el canal de seguridad para dominios de confianza. Este número máximo de subprocesos que están dedicados a este propósito se conoce como "Maxconcurrentapi" y es configurable.

Solución


Para resolver este problema, utilice uno o varios de los métodos siguientes:
  • Instale la revisión siguiente y, a continuación, siga los pasos que se describen en la sección "información del registro". Después de instalar esta revisión en Windows Vista, Windows Server 2008, Windows 7 o Windows Server 2008 R2, el maximumlimit de conexiones concurrentes entre un equipo cliente y otro servidor o un controlador de dominio para la autenticación de NTLM o validación de PAC se puede cambiar hasta 150. Esto debe hacerse en todos los servidores que presentan Perfmon Netlogon "tiempo de espera de semáforo" indicaciones en sus registros de rendimiento o que tienen el "NlpUserValidateHigher: no se puede asignar la ranura de la API de cliente" texto en sus registros de depuración de Netlogon.
  • Para aplicaciones y servicios que utilizan NTLM, simplemente configurarlos para utilizar la autenticación Kerberos en su lugar. Los métodos para conseguirlo serán únicos para esas aplicaciones.
Nota: Para decidir qué valor va a establecer para el MaxConcurrentApi configuración en su entorno, consulte el siguiente artículo de Knowledge Base.

2688798 cómo ajustar el rendimiento de la autenticación NTLM mediante la opción MaxConcurrentApi

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten el problema descrito en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Requisitos previos

Para aplicar esta revisión, el equipo debe ejecutar Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 o Windows Server 2008 Service Pack 2.

Información del registro

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows
Después de instalar el hotfix, aumente el valor de Maxconcurrentapi a un número mayor en todos los servidores que tienen indicaciones de "tiempo de espera de semáforo" Perfmon Netlogon en sus registros de rendimiento o que tienen "NlpUserValidateHigher: no se puede asignar la ranura de la API de cliente" texto en sus registros de depuración de Netlogon. Para ello, siga estos pasos:notas

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Esta revisión no sustituye a ninguna revisión publicada previamente.

Información de archivo

La versión en inglés (Estados Unidos) de esta revisión instala archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y las horas de estos archivos se muestran en la hora Universal coordinada (UTC). Las fechas y las horas de estos archivos en el equipo local se muestran en horario local junto con la diferencia de horario de verano (DST) actual. Además, las fechas y las horas pueden cambiar cuando realiza determinadas operaciones en los archivos.

  • Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno están enumerados por separado en la sección "información de archivo adicional para Windows Vista y Windows Server 2008". MUM y archivos de manifiesto y los archivos de catálogo (.cat) de seguridad asociados, son muy importantes para mantener el estado del componente actualizado. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.

Información de archivo para Windows Vista y Windows Server 2008

Información de archivo para las versiones basadas en x86 de Windows Server 2008 y Windows Vista
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon.dll6.0.6002.22289592,89616-Dec-200912:09x86
Nlsvc.mofNo aplicable2,87303-Apr-200921:24No aplicable
Información de archivo para las versiones basadas en x64 de Windows Server 2008 y Windows Vista
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon.dll6.0.6002.22289716,80016-Dec-200912:07x64
Nlsvc.mofNo aplicable2,87303-Apr-200920:58No aplicable
Información de archivo para las versiones basadas en IA-64 de Windows Server 2008
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon.dll6.0.6002.222891,216,51216-Dec-200912:05IA-64
Nlsvc.mofNo aplicable2,87303-Apr-200920:59No aplicable

Información de archivo para Windows 7 y Windows Server 2008 R2

Notas sobre la información de archivos de Windows 7 y Windows Server 2008 R2
Importante: Correcciones urgentes de Windows 7 y Windows Server 2008 R2 se incluyen en los mismos paquetes. Sin embargo, las revisiones en la página solicitud de revisión se enumeran en ambos sistemas operativos. Para solicitar el paquete de revisiones que se aplica a uno o a ambos sistemas operativos, seleccione la revisión que aparece bajo "Windows 7/Windows Server 2008 R2" en la página. Siempre hacen referencia a la sección "Se aplica a" de los artículos para determinar el sistema operativo real al que se aplica cada revisión.
  • Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno están enumerados por separado en la sección "Información para Windows Server 2008 R2 y Windows 7 de archivo adicional". MUM y archivos de manifiesto y los archivos de catálogo (.cat) de seguridad asociados, son muy importantes para mantener el estado del componente actualizado. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.
Para todas las versiones basadas en x86 compatibles de Windows 7
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon.dll6.1.7600.20576563,71216-Nov-200906:40x86
Nlsvc.mofNo aplicable2,87310-Jun-200921:29No aplicable
Para todas las versiones basadas en x64 de Windows 7 y Windows Server 2008 R2
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon.dll6.1.7600.20576692,73616-Nov-200907:45x64
Nlsvc.mofNo aplicable2,87310-Jun-200920:47No aplicable
Para todas las versiones basadas en IA-64 compatibles de Windows Server 2008 R2
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon.dll6.1.7600.205761,148,41616-Nov-200906:10IA-64
Nlsvc.mofNo aplicable2,87310-Jun-200920:52No aplicable


Estado


Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Más información


Esta revisión se incluye en Service Pack 1 (SP1) de Windows 7 y Windows Server 2008 R2 Service Pack 1 (SP1).

La configuración de MaxConcurrentApi y la configuración predeterminada para es heredados de Windows 2000 y de las capacidades de hardware limitada de ese tiempo. Con hardware antiguo, permitiendo subprocesos adicionales y el tráfico RPC que generaría fue motivo de seria preocupación, y hubo una posibilidad de cuellos de botella de rendimiento si se han creado demasiados subprocesos. Con las plataformas de hardware más recientes y un rendimiento mejorado, es menos probable que se produzca dicha limitación de rendimiento de hardware. Como siempre, es importante medir y comprender el rendimiento de los servidores en un entorno antes de aumentar el nivel de carga con un alto valor MaxConcurrentApi .

Para obtener más información acerca de cómo utilizar el servicio Netlogon (Netlogon.log) de registro de depuración, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
109626 depuración de habilitar registro para el servicio de Net Logon
Puede realizarse un paso de reducción adicional en los controladores de dominio basados en Windows Server 2003 que tengan entradas en el registro de depuración del servicio Netlogon que indican que los clientes envían < null > \nombre de usuario en lugar de nombreDominio\nombre de usuario. Los pasos se describen en el siguiente artículo de Microsoft Knowledge Base:
923241 Lsass.exe el proceso deja de responder si tiene muchas confianzas externas en un controlador de dominio basado en Windows Server 2003
Para obtener más información acerca de cómo utilizar el objeto de supervisión de rendimiento de Netlogon está disponible, junto con una actualización para agregar ese objeto de rendimiento en Windows Server 2003. Hay una actualización para Windows Server 2003 que le permite supervisar la velocidad y el rendimiento de autenticaciones NTLM. Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
928576 nuevos contadores de rendimiento para Windows Server 2003 le permiten supervisar el rendimiento de la autenticación de Netlogon

Hay una actualización para Windows Server 2008 R2 que introduce nuevos eventos para realizar un seguimiento de la sobrecarga de Netlogoan API:

Hay nuevas entradas de registro de sucesos que realizan el seguimiento de errores en Windows Server 2008 R2 y retrasos en la autenticación NTLM
http://support.Microsoft.com/default.aspx?scid=KB; EN-US; 2654097
Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

824684

Descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft

Información adicional de archivos

Información de archivo adicional para Windows Vista y Windows Server 2008

Información adicional de archivos para las versiones basadas en x86 de Windows Vista y Windows Server 2008
Nombre del archivoUpdate.mum
Versión del archivoNo aplicable
Tamaño de archivo3,068
Fecha (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNo aplicable
Nombre del archivoX86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest
Versión del archivoNo aplicable
Tamaño de archivo705
Fecha (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNo aplicable
Nombre del archivoX86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest
Versión del archivoNo aplicable
Tamaño de archivo22,701
Fecha (UTC)16-Dec-2009
Hora (UTC)14:05
PlataformaNo aplicable
Información adicional de archivos para las versiones basadas en x64 de Windows Server 2008 y Windows Vista
Nombre del archivoAmd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest
Versión del archivoNo aplicable
Tamaño de archivo1.060
Fecha (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNo aplicable
Nombre del archivoAmd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest
Versión del archivoNo aplicable
Tamaño de archivo23,180
Fecha (UTC)16-Dec-2009
Hora (UTC)15:52
PlataformaNo aplicable
Nombre del archivoUpdate.mum
Versión del archivoNo aplicable
Tamaño de archivo3.092
Fecha (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNo aplicable
Nombre del archivoWow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
Versión del archivoNo aplicable
Tamaño de archivo18,332
Fecha (UTC)16-Dec-2009
Hora (UTC)14:00
PlataformaNo aplicable
Información adicional de archivos para las versiones basadas en IA-64 de Windows Server 2008
Nombre del archivoIa64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest
Versión del archivoNo aplicable
Tamaño de archivo1.058
Fecha (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNo aplicable
Nombre del archivoIa64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest
Versión del archivoNo aplicable
Tamaño de archivo23,156
Fecha (UTC)16-Dec-2009
Hora (UTC)16:08
PlataformaNo aplicable
Nombre del archivoUpdate.mum
Versión del archivoNo aplicable
Tamaño de archivo2,247
Fecha (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNo aplicable
Nombre del archivoWow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
Versión del archivoNo aplicable
Tamaño de archivo18,332
Fecha (UTC)16-Dec-2009
Hora (UTC)14:00
PlataformaNo aplicable

Información de archivo adicional para Windows 7 y Windows Server 2008 R2

Archivos adicionales para todas las versiones basadas en x86 compatibles de Windows 7


Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mumNo aplicable1,94716-Nov-200909:45No aplicable
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifestNo aplicable35,54116-Nov-200908:08No aplicable
Archivos adicionales para todas las versiones basadas en x64 de Windows 7 y Windows Server 2008 R2

Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifestNo aplicable35,54716-Nov-200908:11No aplicable
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mumNo aplicable2,18116-Nov-200909:45No aplicable
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestNo aplicable16,59616-Nov-200908:01No aplicable
Archivos adicionales para todas las versiones basadas en IA-64 de Windows Server 2008 R2

Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifestNo aplicable35,54416-Nov-200909:06No aplicable
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mumNo aplicable1,68316-Nov-200909:45No aplicable
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestNo aplicable16,59616-Nov-200908:01No aplicable