Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Intermitentemente se solicitan las credenciales o experimentar tiempos de espera cuando se conecta a servicios autenticados

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 975363
Síntomas
Puede experimentar uno o varios de los síntomas siguientes. Estos síntomas pueden ser intermitentes o continuas. Estos síntomas son más probable y más generalizado durante las horas de "uso intensivo de", como al principio de un negocio día cuando la carga cliente mayor se produce en los servidores en el entorno.

Puede experimentar los problemas siguientes en un escenario de servicios web:
  • Los clientes Web reciben respuestas retrasadas desde el servidor web.
  • Los clientes Web se piden repetidamente las credenciales incluso si se especifican las credenciales correctas.
Puede experimentar los problemas siguientes en un escenario de proxy web:
  • Los clientes Web reciben respuestas retrasadas desde el servidor web.
  • Los clientes Web se piden repetidamente las credenciales incluso si se especifican las credenciales correctas.
Puede experimentar los problemas siguientes en un escenario de cliente de Exchange:
  • Los clientes reciben respuestas retrasadas desde el servidor.
  • Los clientes se piden repetidamente las credenciales incluso si se especifican las credenciales correctas.
Puede experimentar el problema siguiente en cualquier escenario en el que se utiliza la autenticación NTLM para aplicaciones:

Línea de negocio o aplicaciones personalizadas que utilizan la autenticación NTLM producirá un error. Además, puede recibir errores diferentes que son intermitentes y pueden incluir "acceso denegado".
Puede experimentar el problema siguiente en un escenario de acceso a archivos remotos:
Los clientes de Windows reciben errores de "acceso denegado" o demoras en las respuestas del servidor de ficheros.
Puede experimentar el problema siguiente en cualquier escenario en el que se está utilizando la delegación de Kerberos en un servicio de nivel medio:
Los clientes tener acceso correctamente al principio pero, a continuación, perderá el acceso a los mismos recursos. Además, le pedirá repetidamente las credenciales o experimentar errores de "acceso denegado".
Notas:
  • Este problema es más probable que ocurra si uno o más de las siguientes condiciones son verdaderas:
    • Existen servicios altamente transaccionales y muy utilizados en el entorno.
    • Hay un uso intensivo de secuencias de comandos que utilizan el proveedor WINNT.
    • Hay aplicaciones y servicios que no están configurados (o no son configurables) para utilizar la autenticación Kerberos.
    • Cuando las tres condiciones siguientes son verdaderas al mismo tiempo:
      • Existen muchas "cuentas" dominios (en otras palabras, que contienen las cuentas de usuario) en el entorno.
      • Hay controladores de dominio basados en Windows Server 2003 (DC).
      • Hay aplicaciones o servicios que pueden autenticarse sin proporcionar el nombre de dominio. Por ejemplo, hay aplicaciones o servicios que proporcionan <null>\</null>nombre de usuario en lugar de nombreDeDominio\nombre de usuario.
  • Los siguientes síntomas indican que se está produciendo este problema en el entorno:
    • Se registra un suceso de fuente de Kerberos en el registro del sistema de servidores de aplicaciones. Este evento indica que haya errores en la validación de la PAC de Kerberos. El evento similar al siguiente:

      Tipo de suceso: Error
      Origen del evento: Kerberos
      Categoría del suceso: ninguna
      Id. de suceso: 7
      Usuario: N/D
      Descripción: El subsistema Kerberos detectó un error de comprobación de PAC. Esto indica que el PAC del cliente nombre del equipo de territorio Nombre de dominio DNS de AD tenía un PAC que no se comprobó o se ha modificado. Póngase en contacto con el administrador del sistema.
      Datos: 0000: c0000192

    • Texto en los registros de depuración de Netlogon service (Netlogon.log) coincide con el texto "NlpUserValidateHigher: no se puede asignar la ranura de la API de cliente." Estas entradas pueden aparecer en cualquiera de los registros de depuración de Netlogon de los siguientes servidores:
      • El servidor de aplicaciones
      • Los controladores de dominio en el dominio de servidores de aplicación
      • Controladores de dominio que confía
    • PerfMon registro de rendimiento del contador de rendimiento de Netlogon para tiempos de espera del semáforo durante el tiempo cuando se produce el problema muestra números mayor que cero. Valor de este contador puede aparecer en cualquiera de los siguientes servidores de este escenario:
      • El servidor de aplicaciones
      • Los controladores de dominio en el dominio de servidores de aplicación
      • Controladores de dominio que confía
Causa
Este problema se produce cuando un gran volumen de autenticación NTLM o transacciones de validación Kerberos PAC (o ambos) que se producen en un servidor basado en Windows y que el volumen es mayor que el volumen que se puede controlar al mismo tiempo por el servidor miembro o los controladores de dominio que proporcionan autenticación. En otras palabras, esto es causado por un cuello de botella de recursos de autenticación.

Se realizan la autenticación NTLM y la validación de la PAC dedicado subprocesos en el proceso Lsass.exe en equipos basados en Windows. Hay un número máximo de estos subprocesos que están disponibles para procesar estas solicitudes al mismo tiempo y si las solicitudes superan la disponibilidad de los subprocesos y las solicitudes no pueden esperar más, se produce este problema.

De forma predeterminada, las estaciones de trabajo tienen uno de los subprocesos disponibles para su uso y servidores miembro tienen dos de los subprocesos disponibles para su uso. Controladores de dominio tienen un subproceso disponible por el canal de seguridad para dominios de confianza. Este número máximo de subprocesos que están dedicados a este propósito se conoce como "Maxconcurrentapi" y es configurable.
Solución
Para resolver este problema, utilice uno o varios de los métodos siguientes:
  • Instale la revisión siguiente y, a continuación, siga los pasos que se describen en la "Información del registro. Después de instalar esta revisión en Windows Vista, Windows Server 2008, Windows 7 o Windows Server 2008 R2, el maximumlimit de conexiones concurrentes entre un equipo cliente y otro servidor o un controlador de dominio para la autenticación de NTLM o validación de PAC se puede cambiar hasta 150. Esto debe hacerse en todos los servidores que presentan Perfmon Netlogon "tiempo de espera de semáforo" indicaciones en sus registros de rendimiento o que tienen el "NlpUserValidateHigher: no se puede asignar la ranura de la API de cliente" texto en sus registros de depuración de Netlogon.
  • Para aplicaciones y servicios que utilizan NTLM, simplemente configurarlos para utilizar la autenticación Kerberos en su lugar. Los métodos para conseguirlo serán únicos para esas aplicaciones.
Nota: Para decidir qué valor va a establecer para el MaxConcurrentApi configuración en su entorno, consulte el siguiente artículo de Knowledge Base.

2688798 Cómo ajustar el rendimiento de la autenticación NTLM mediante la opción MaxConcurrentApi

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten el problema descrito en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o cualquier solución de problemas es necesario, tendrá que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califica para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft: Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Requisitos previos

Para aplicar esta revisión, el equipo debe ejecutar Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 o Windows Server 2008 Service Pack 2.

Información del registro

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo hacer copia de seguridad y restaurar el registro de Windows
Después de instalar el hotfix, aumente el valor de Maxconcurrentapi a un número mayor en todos los servidores que tienen indicaciones de "tiempo de espera de semáforo" Perfmon Netlogon en sus registros de rendimiento o que tienen "NlpUserValidateHigher: no se puede asignar la ranura de la API de cliente" texto en sus registros de depuración de Netlogon. Para ello, siga estos pasos:
  1. Inicie el Editor del registro.
  2. Busque la siguiente subclave del registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. Cree la siguiente entrada del registro:

    Nombre: MaxConcurrentApi
    Tipo: REG_DWORD
    Valor:Establece el valor en el número más grande, que ha probado (cualquier número mayor que el valor predeterminado).
  4. En un símbolo del sistema, ejecute net stop netlogony, a continuación, ejecutar comando Net start netlogon.
Notas:
  • El valor máximo que se puede configurar depende de la versión del sistema operativo y si hay disponible un hotfix.
    • El valor máximo configurable en Windows Server 2003 es 10.
    • El valor máximo configurable en Windows Server 2008 (sin la revisión de este artículo) es 10. Con la revisión, el máximo es 150.
    • El valor máximo configurable en Windows Server 2008 R2 (sin la revisión de este artículo) es 10. Con la revisión, el máximo es 150.
  • Si decide aumentar el MaxConcurrentApivalue a más de 10, la carga y el rendimiento de la configuración deseada deben probarse en un entorno no productivo antes de implementar en producción. Esto se recomienda para asegurarse de que el aumento de este valor no causa otros cuellos de botella de recursos.

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix no sustituye a ninguna revisión publicada previamente.

Información de archivo

La versión en inglés (Estados Unidos) de esta revisión instala archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y las horas de estos archivos se muestran en la hora Universal coordinada (UTC). Se muestran las fechas y las horas de estos archivos en el equipo local en horario local junto con la diferencia de horario de verano (DST) actual. Además, las fechas y las horas pueden cambiar cuando realiza determinadas operaciones en los archivos.

  • Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno están enumerados por separado en la "información de archivo adicional para Windows Vista y Windows Server 2008" sección. MUM y archivos de manifiesto y los archivos de catálogo (.cat) de seguridad asociados, son muy importantes para mantener el estado del componente actualizado. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.

Información de archivo para Windows Vista y Windows Server 2008

Información de archivo para las versiones basadas en x 86 de Windows Server 2008 y Windows Vista
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon.dll6.0.6002.22289592,89616-Dic-200912:09x86
Nlsvc.MOFNo aplicable2,87303-Abr-200921:24No aplicable
Información de archivo para las versiones basadas en x 64 de Windows Server 2008 y Windows Vista
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon.dll6.0.6002.22289716,80016-Dic-200912:07x64
Nlsvc.MOFNo aplicable2,87303-Abr-200920:58No aplicable
Información de archivo para las versiones basadas en IA-64 de Windows Server 2008
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon.dll6.0.6002.222891,216,51216-Dic-200912:05IA-64
Nlsvc.MOFNo aplicable2,87303-Abr-200920:59No aplicable

Información de archivo para Windows 7 y Windows Server 2008 R2

Notas sobre la información de archivos de Windows 7 y Windows Server 2008 R2Importante: Correcciones urgentes de Windows 7 y Windows Server 2008 R2 se incluyen en los mismos paquetes. Sin embargo, las revisiones en la página solicitud de revisión se enumeran en ambos sistemas operativos. Para solicitar el paquete de revisiones que se aplica a uno o a ambos sistemas operativos, seleccione la revisión que aparece bajo "Windows 7/Windows Server 2008 R2" en la página. Siempre hacen referencia a la sección "Se aplica a" de los artículos para determinar el sistema operativo real al que se aplica cada revisión.
  • Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno están enumerados por separado en la "información de archivo adicional para Windows Server 2008 R2 y para la sección de Windows 7". MUM y archivos de manifiesto y los archivos de catálogo (.cat) de seguridad asociados, son muy importantes para mantener el estado del componente actualizado. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.
Para todas las versiones basadas en x86 compatibles de Windows 7
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon.dll6.1.7600.20576563,71216-Nov-200906:40x86
Nlsvc.MOFNo aplicable2,87310-Jun-200921:29No aplicable
Para todas las versiones basadas en x 64 de Windows 7 y Windows Server 2008 R2
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon.dll6.1.7600.20576692,73616-Nov-200907:45x64
Nlsvc.MOFNo aplicable2,87310-Jun-200920:47No aplicable
Para todas las versiones basadas en IA-64 compatibles de Windows Server 2008 R2
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon.dll6.1.7600.205761,148,41616-Nov-200906:10IA-64
Nlsvc.MOFNo aplicable2,87310-Jun-200920:52No aplicable


Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Más información
Esta revisión se incluye en Service Pack 1 (SP1) de Windows 7 y Windows Server 2008 R2 Service Pack 1 (SP1).

La configuración de MaxConcurrentApi y la configuración predeterminada para es heredados de Windows 2000 y de las capacidades de hardware limitada de ese tiempo. Con hardware antiguo, permitiendo subprocesos adicionales y el tráfico RPC que generaría fue motivo de seria preocupación, y hubo una posibilidad de cuellos de botella de rendimiento si se han creado demasiados subprocesos. Con las plataformas de hardware más recientes y un rendimiento mejorado, es menos probable que se produzca dicha limitación de rendimiento de hardware. Como siempre, es importante medir y comprender el rendimiento de los servidores en un entorno antes de aumentar el nivel de carga con un alto valor MaxConcurrentApi .

Para obtener más información acerca de cómo utilizar el servicio Netlogon (Netlogon.log) de registro de depuración, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
109626 Habilitar el registro de depuración para el servicio de Net Logon
Puede realizarse un paso de reducción adicional en los controladores de dominio basados en Windows Server 2003 que tengan entradas en el registro de depuración del servicio Netlogon que indican que los clientes envían <null>\</null>nombre de usuario en lugar de nombreDeDominio\nombre de usuario. Los pasos se describen en el siguiente artículo de Microsoft Knowledge Base:
923241 El proceso Lsass.exe puede dejar de responder si tiene muchas confianzas externas en un controlador de dominio basado en Windows Server 2003
Para obtener más información acerca de cómo utilizar el objeto de supervisión de rendimiento de Netlogon está disponible, junto con una actualización para agregar ese objeto de rendimiento en Windows Server 2003. Hay una actualización para Windows Server 2003 que le permite supervisar la velocidad y el rendimiento de autenticaciones NTLM. Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
928576 Nuevos contadores de rendimiento para Windows Server 2003 le permiten supervisar el rendimiento de la autenticación de Netlogon

Hay una actualización para Windows Server 2008 R2 que introduce nuevos eventos para realizar un seguimiento de la sobrecarga de Netlogoan API:

Hay nuevas entradas de registro de sucesos que realizan el seguimiento de errores en Windows Server 2008 R2 y retrasos en la autenticación NTLM
dirección http://support.Microsoft.com/default.aspx?scid=KB; EN-US; 2654097
Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684 Descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft

Información adicional de archivos

Información de archivo adicional para Windows Vista y Windows Server 2008

Información adicional de archivos para las versiones basadas en x 86 de Windows Vista y Windows Server 2008
Nombre del archivoUpdate.mum
Versión del archivoNo aplicable
Tamaño de archivo3,068
Fecha (UTC)16-Dic-2009
Hora (UTC)21:16
PlataformaNo aplicable
Nombre del archivoX86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest
Versión del archivoNo aplicable
Tamaño de archivo705
Fecha (UTC)16-Dic-2009
Hora (UTC)21:16
PlataformaNo aplicable
Nombre del archivoNetlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest-X86_microsoft-windows-seguridad
Versión del archivoNo aplicable
Tamaño de archivo22,701
Fecha (UTC)16-Dic-2009
Hora (UTC)14:05
PlataformaNo aplicable
Información adicional de archivos para las versiones basadas en x 64 de Windows Server 2008 y Windows Vista
Nombre del archivoAmd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest
Versión del archivoNo aplicable
Tamaño de archivo1.060
Fecha (UTC)16-Dic-2009
Hora (UTC)21:16
PlataformaNo aplicable
Nombre del archivoNetlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest-Amd64_microsoft-windows-seguridad
Versión del archivoNo aplicable
Tamaño de archivo23,180
Fecha (UTC)16-Dic-2009
Hora (UTC)15:52
PlataformaNo aplicable
Nombre del archivoUpdate.mum
Versión del archivoNo aplicable
Tamaño de archivo3.092
Fecha (UTC)16-Dic-2009
Hora (UTC)21:16
PlataformaNo aplicable
Nombre del archivoWow64_microsoft-windows-seguridad-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
Versión del archivoNo aplicable
Tamaño de archivo18,332
Fecha (UTC)16-Dic-2009
Hora (UTC)14:00
PlataformaNo aplicable
Información adicional de archivos para las versiones basadas en IA-64 de Windows Server 2008
Nombre del archivoIa64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest
Versión del archivoNo aplicable
Tamaño de archivo1.058
Fecha (UTC)16-Dic-2009
Hora (UTC)21:16
PlataformaNo aplicable
Nombre del archivoNetlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest-Ia64_microsoft-windows-seguridad
Versión del archivoNo aplicable
Tamaño de archivo23,156
Fecha (UTC)16-Dic-2009
Hora (UTC)16:08
PlataformaNo aplicable
Nombre del archivoUpdate.mum
Versión del archivoNo aplicable
Tamaño de archivo2,247
Fecha (UTC)16-Dic-2009
Hora (UTC)21:16
PlataformaNo aplicable
Nombre del archivoWow64_microsoft-windows-seguridad-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
Versión del archivoNo aplicable
Tamaño de archivo18,332
Fecha (UTC)16-Dic-2009
Hora (UTC)14:00
PlataformaNo aplicable

Información de archivo adicional para Windows 7 y Windows Server 2008 R2

Archivos adicionales para todas las versiones basadas en x86 compatibles de Windows 7


Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ x 86 ~ ~ 6.1.1.0.mumNo aplicable1,94716-Nov-200909:45No aplicable
Netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest-X86_microsoft-windows-seguridadNo aplicable35,54116-Nov-200908:08No aplicable
Archivos adicionales para todas las versiones basadas en x 64 de Windows 7 y Windows Server 2008 R2

Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest-Amd64_microsoft-windows-seguridadNo aplicable35,54716-Nov-200911:08No aplicable
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.1.1.0.mumNo aplicable2,18116-Nov-200909:45No aplicable
Wow64_microsoft-windows-seguridad-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestNo aplicable16,59616-Nov-200908:01No aplicable
Archivos adicionales para todas las versiones basadas en IA-64 de Windows Server 2008 R2

Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest-Ia64_microsoft-windows-seguridadNo aplicable35,54416-Nov-200909:06No aplicable
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ ia64 ~ ~ 6.1.1.0.mumNo aplicable1,68316-Nov-200909:45No aplicable
Wow64_microsoft-windows-seguridad-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestNo aplicable16,59616-Nov-200908:01No aplicable

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 975363 - Última revisión: 01/04/2016 03:16:00 - Revisión: 10.0

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbqfe kbhotfixserver kbsurveynew kbautohotfix kbexpertiseinter kbbug kbfix kbmt KB975363 KbMtes
Comentarios