Cómo ajustar el rendimiento de la autenticación NTLM mediante la opción MaxConcurrentApi

Introducción

Un aumento en la consumerización, empresa de tecnología de información (aumento de dispositivos orientados al consumidor tales como smartphones y tabletas utilizadas en la empresa corporativa) ha llevado a aumentar el número de escenarios en los que las empresas pueden experimentar un gran aumento de autenticación heredado en sus entornos empresariales. Este aumento de autenticación heredada podría provocar problemas de rendimiento, como los retrasos o tiempos de espera para los clientes.

Cuando se descubre que los tiempos de espera de autenticación o retrasos (también conocido como cuellos de botella a MaxConcurrentApi) en un entorno, la manera típica de resolver el problema es elevar el trabajador máximo permitido de subprocesos que el servicio que la autenticación. Esto se hace modificando el valor de registro MaxConcurrentApi y reiniciando el servicio Net Logon en los servidores.

Identificar qué servidores es víctimas del cuello de botella y los servidores que son realmente el origen de los retrasos de cuello de botella puede ser difícil. Este artículo describe cómo ajustar el rendimiento para la autenticación de NT LAN Manager (NTLM) mediante la opción MaxConcurrentApi. Este artículo contiene instrucciones para los administradores en la identificación de los servidores en los que se va a elevar el valor MaxConcurrentApi y la cantidad en que se debería establecer ese valor.

Solución

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows
Para resolver este problema, debe revisar los datos de rendimiento se ha tomado de todos los servidores que participan en el escenario. A continuación, puede intentar aumentar el valor de MaxConcurrentApi en esos servidores que muestran una pérdida de rendimiento.

Nota: El diagnóstico de CSS MaxConcurrentApi detectará la presencia de problemas MaxConcurrentApi y calcular automáticamente la mejor configuración de MaxConcurrentApi para un servidor. Utiliza la fórmula que se describe en este artículo. Para obtener más información sobre el diagnóstico está disponible en el siguiente artículo:

Problemas de 2714382 detectados en verificación MaxConcurrentApi (SDP)


Los contadores de rendimiento sólo datos que constantemente se pueden mostrar el cuello de botella de autenticación son los contadores de objeto de rendimiento de Net Logon. De forma predeterminada, estos contadores están presentes en Windows Server 2008 y en versiones posteriores de Windows. El objeto de rendimiento de inicio de sesión se explica con más detalle en el artículo siguiente en Microsoft Knowledge Base:
Contadores de Netlogon 928576 para Windows Server 2003

Hay eventos de Netlogon disponibles que informar de los problemas de autenticación de NTLM, consulte:

2654097 nuevas entradas de registro de sucesos que realizan el seguimiento de errores en Windows Server 2008 R2 y retrasos en la autenticación NTLM están disponibles

Los eventos indican la actividad para dos contadores:

  • Eventos 5818/5819: Hay "Camareros Sempahore", si los eventos están habilitados.
  • Eventos 5816/5817: Hay "Sempahore Timeouts".

Para determinar el mejor valor de MaxConcurrentApi para sus servidores, varios puntos de datos deben ser reunidos y calcula mediante una fórmula. Los datos que se utilizará para estimar MaxConcurrentApi están como sigue:
  • Adquiere el semáforo de Net Logon
  • Tiempos de espera de semáforo netos de inicio de sesión
  • Tiempo de espera del semáforo promedio de Net Logon
  • Duración del rendimiento de registro se haya completado, medido en segundos
Después de obtienen los datos, la fórmula siguiente puede utilizarse para estimar el valor correcto de MaxConcurrentApi:
(semaphore_acquires semaphore_time-outs) * average_semaphore_hold_time / time_collection_length = < New_MaxConcurrentApi_setting
Después de recopilar los datos de rendimiento de Net Logon de cuando el servidor está bajo carga de autenticación, debe determinar la duración del proceso de recopilación de datos observando el principio de la vista de línea y el final de los tiempos.

Nota Los marcadores de posición de semaphore_acquires y semaphore_time-outs representan números acumulativos que indican cuántos de los tiempos de espera se ha producido durante la vida útil de un canal de seguridad. Por lo tanto, los números tendrán probablemente no se inicia en cero en los datos que se recopilan. El número inicial se debe restar al número final al utilizar la vista de línea en el Monitor de rendimiento (Perfmon.msc). A continuación, utilice este número calculado en la fórmula para la nueva configuración de MaxConcurrentApi. Para determinar el número de tiempos de espera que se produjeron durante la recolección de datos, utilice la vista de línea de Perfmon.msc y sitúe el puntero del mouse sobre la línea para ese contador en el inicio y el fin y, a continuación, resta el número inicial al número final. Que el resultado es el número para poner en la ecuación.

El tiempo de espera de semáforo promedio puede determinarse cambiando la vista predeterminada de la línea de vista a vista Informes en Perfmon.msc. Por ejemplo, considere el siguiente escenario:
  • El semáforo adquiere valor es 8,286.
  • El valor de los tiempos de espera del semáforo es 883.
  • El tiempo de espera de semáforo promedio es.5 (es decir, un medio segundo).
  • La duración de informes es 90 segundos.
En este escenario, la fórmula sería como sigue:
(8,286 + 883) *.5 / 90 = < 51


Si el valor que se deriva de la fórmula es 150 o mayor, debe agregar más servidores para dar servicio a la carga de autenticación heredados.

Si el valor es inferior a 150, se debe modificar el valor del registro MaxConcurrentApi en ese servidor en el valor que sugiere la fórmula o a un valor mayor.

Nota: Si decide aumentar el valor de MaxConcurrentApi a mayor que 10, la carga y el rendimiento de la configuración deseada deben probarse en un entorno no productivo antes de implementar el cambio en un entorno de producción. Esto se recomienda para asegurarse de que el aumento de este valor no causa otros cuellos de botella de recursos. Además, tenga en cuenta que las condiciones de carga pueden cambiar en función de cada entorno de escenario y de negocios. Por lo tanto, el valor MaxConcurrentApi deben tener una configuración diferente en una fecha posterior si el servicio de cargar los cambios.

Para cambiar la configuración de MaxConcurrentApi, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
  2. Busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. En el menú Edición , seleccione nuevoy, a continuación, haga clic en Valor DWORD.
  4. Escriba MaxConcurrentApiy, a continuación, presione ENTRAR.
  5. En el menú Edición , haga clic en Modificar.
  6. Escriba el nuevo valor de MaxConcurrentApi en decimal y, a continuación, haga clic en Aceptar.
  7. En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR:
    net stop netlogon
  8. Escriba el comando siguiente y, a continuación, presione ENTRAR:
    comando Net start netlogon

Más información

Puede utilizar el siguiente artículo de Knowledge Base para identificar los síntomas del cliente de los cuellos de botella de autenticación heredados con más detalle:
975363 intermitentemente se solicitan las credenciales o experimentar tiempos de espera cuando se conecta a servicios autenticados
El cuello de botella de autenticación puede estar en varios servidores en el escenario. Por consiguiente, debe asegurarse de que todos los servidores en un escenario determinado tienen sus datos de rendimiento revisados mientras están ocupados atendiendo las cargas pesadas.

Los contadores de semáforo adquiere, para los tiempos de espera de semáforo, y para suspensión de semáforo de medio tiempo debe revisarse en todos los servidores de aplicaciones, controladores de dominio y controladores de dominio de confianza que están implicados en atender solicitudes de cliente.

Deben controlarse los datos de rendimiento mientras que los servidores están bajo una carga intensa. Mucha carga se produce cuando los servidores ven más peticiones de cliente. Por ejemplo, en un escenario de servidor de correo electrónico, el mejor momento para recopilar datos de rendimiento es cuando los usuarios llegan al trabajo y comprobación sus mensajes de correo electrónico.

Elementos adicionales para su consideración son las siguientes:
  • Valores no significan que es necesario realizar ninguna acción. Los contadores de Los titulares de semáforo y Semáforo mantenga tiempo no mostrarán ningún valor a menos que haya una carga sostenida en un servidor. Si no hay ningún valor presente, no es necesario ningún cambio en el valor de MaxConcurrentApi.
  • Un tamaño no encaja todo. El valor de MaxConcurrentApi puede tener un valor diferente para cada servidor. Esta situación puede deberse a varios servidores de aplicaciones tengan la autenticación desde un controlador de dominio o por escenarios similares en los que varios servidores proporcionan un mayor volumen de carga con la que debe tratar el controlador de dominio.
  • Confía. Si los usuarios que se vayan a autenticar son dominios de confianza, esto puede causar mayores retrasos porque el controlador de dominio local debe esperar la respuesta del controlador de dominio de confianza antes de que el controlador de dominio local proporciona la respuesta al servidor de aplicaciones.
  • Latencia de red. Latencia de la red también puede reproducir una parte importante en la causa de los cuellos de botella MaxConcurrentApi. Esto puede ocurrir cuando el semáforo MaxConcurrentApi utiliza un contador de tiempo de espera basada en tiempo para que los clientes no esperen indefinidamente de autenticación heredada.
  • Ubicación cooperativa. Si la latencia de la red existe y está causando cuellos de botella y retrasos en la finalización de subprocesos MaxConcurrentApi, una solución común es colocar los servidores en la misma ubicación física, por lo que se reduce la latencia de la red. En un modelo de dominio en el que un dominio de confianza tiene servidores de entidades emisoras de certificados de Microsoft Exchange, por ejemplo, y el dominio del usuario está en otro sitio de Active Directory o de región, esto significaría colocar controladores de dominio del usuario en la misma ubicación física y el sitio de Active Directory que los servidores CAS de Exchange y los controladores de dominio.
  • Posible retraso downstream. Si el valor del contador Camareros semáforo es continuamente mayor que 0 (cero) para cualquier momento y el valor de Los titulares de semáforo es menor que el valor de MaxConcurrentApi en ese servidor, el cuello de botella no está en ese servidor. En este caso, buscar en el controlador de dominio que se cita en el nombre del contador que aparece como un equipo host de nombre de dominio completo. Datos de rendimiento de Semáforo camareros y Titulares de semáforo de ese controlador de dominio deben ser revisados.
  • Cambios en la carga o en configuración de red. Futuros cambios en la carga que esté atendida o en configuraciones de red pueden producir la latencia de la red y podrían llevan a una necesidad para medir la correcta MaxConcurrentApi establecer otra vez. Para entornos en que se ve volumen autenticación heredados en la medida en que está examinando la configuración MaxConcurrentApi, recomendamos encarecidamente que continuamente supervisar y revisar los contadores del objeto de rendimiento de Net Logon. Puede hacerlo utilizando programados recopiladores de datos personalizados de Perfmon.msc, mediante Microsoft System Center Operations Manager o mediante otros métodos.
  • Máximo de Windows Server 2008. El valor máximo permitido para MaxConcurrentApi en Windows Server 2008 y en versiones posteriores de Windows es 150. Debe aplicar el hotfix que se describe en el siguiente artículo de Knowledge Base para tener 150 configuración máximo disponible si el servidor que está utilizando no está ejecutando Windows Server 2008 R2:
    975363 intermitentemente se solicitan las credenciales o experimentar tiempos de espera cuando se conecta a servicios autenticados
  • Máximo de Windows Server 2003. El valor máximo permitido para MaxConcurrentApi en Windows Server 2003 y en versiones anteriores es 10.
  • Windows Server 2012 y predeterminados más reciente. El valor predeterminado de MaxConcurrentApi se cambió en Windows Server 2012. Es 10 para los servidores miembro y controladores de dominio. Permanece en 1 para estaciones de trabajo de miembro.
  • Contadores de rendimiento y Windows Server 2003. La versión original de Windows Server 2003 no contiene los contadores de rendimiento de Net Logon. Tienen que agregarse al aplicar una revisión. Para obtener más información acerca de cómo agregar estos contadores, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    928576 nuevos contadores de rendimiento para Windows Server 2003 le permiten supervisar el rendimiento de la autenticación de Netlogon
Identificación de clientes desconocidos o no autorizados o los servicios que están realizando repetida o continuada NTLM autenticación puede ser útil cuando desea reducir la carga general de autenticación NTLM y, por tanto, en última instancia, reducir el número de usos de semáforo MaxConcurrentApi. Repite la autenticación de ese modo puede identificarse mediante el servicio de Net Logon el registro de depuración. Para obtener más información acerca de cómo utilizar el archivo Netlogon.log para depurar el servicio Net Logon, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
109626 depuración de habilitar registro para el servicio de Net Logon
Tenga en cuenta que el contador Perfmon.msc para autenticaciones NTLM bajo el objeto de Las estadísticas de todo el sistema de seguridad no es un reflejo del número de usos del subproceso MaxConcurrentApi realiza un seguimiento. No hay ninguna correlación entre el uso del semáforo MaxConcurrentApi que se muestra en el contador de rendimiento de inicio de sesión e incrementa el contador de autenticación NTLM. El contador de autenticación NTLM no es útil para determinar el mejor valor MaxConcurrentApi.

Además, es muy probable que los tiempos de espera de rendimiento de autenticación heredados relacionados a MaxConcurrentApi se ve pero no se reflejan en cualquier contador de rendimiento que no sea el contador de Net Logon. Esto significa que usar otras métricas de rendimiento como CPU y uso de disco y de red no puede mostrar carga aunque la carga MaxConcurrentApi es pesada y los usuarios están teniendo problemas.

Puede realizarse un procedimiento adicional de minimizar en controladores de dominio que tengan entradas en el registro de depuración del servicio Net Logon que indican que los clientes envían < null > \nombre de usuario en lugar de nombreDominio\nombre de usuario. Este procedimiento se describe en el siguiente artículo en Microsoft Knowledge Base:
923241 Lsass.exe el proceso deja de responder si tiene muchas confianzas externas en un controlador de dominio de Active Directory
Propiedades

Id. de artículo: 2688798 - Última revisión: 23 ene. 2017 - Revisión: 1

Comentarios