Síntomas

Puede experimentar uno o varios de los síntomas siguientes. Estos síntomas pueden ser intermitentes o continuas. Estos síntomas son más probable y más generalizado durante las horas de "uso intensivo de", como al principio de un negocio día cuando la carga cliente mayor se produce en los servidores en el entorno.

Puede experimentar los problemas siguientes en un escenario de servicios web: puede experimentar los problemas siguientes en un escenario de proxy web: puede experimentar los problemas siguientes en un escenario de cliente Exchange: puede experimentar el problema siguiente en cualquier escenario en que NTLM autenticación se utiliza para aplicaciones:

Línea de negocio o aplicaciones personalizadas que utilizan la autenticación NTLM producirá un error. Además, puede recibir errores diferentes que son intermitentes y pueden incluir "acceso denegado".Puede experimentar el problema siguiente en un escenario de acceso a archivos remotos:

Los clientes de Windows reciben errores de "acceso denegado" o demoras en las respuestas del servidor de ficheros.Puede experimentar el problema siguiente en cualquier escenario en el que se está utilizando la delegación de Kerberos en un servicio de nivel medio:

Los clientes tener acceso correctamente al principio pero, a continuación, perderá el acceso a los mismos recursos. Además, le pedirá repetidamente las credenciales o experimentar errores de "acceso denegado".Notas:

Causa

Este problema se produce cuando un gran volumen de autenticación NTLM o transacciones de validación Kerberos PAC (o ambos) que se producen en un servidor basado en Windows y que el volumen es mayor que el volumen que se puede controlar al mismo tiempo por el servidor miembro o los controladores de dominio que proporcionan autenticación. En otras palabras, esto es causado por un cuello de botella de recursos de autenticación.

Se realizan la autenticación NTLM y la validación de la PAC dedicado subprocesos en el proceso Lsass.exe en equipos basados en Windows. Hay un número máximo de estos subprocesos que están disponibles para procesar estas solicitudes al mismo tiempo y si las solicitudes superan la disponibilidad de los subprocesos y las solicitudes no pueden esperar más, se produce este problema.

De forma predeterminada, las estaciones de trabajo tienen uno de los subprocesos disponibles para su uso y servidores miembro tienen dos de los subprocesos disponibles para su uso. Controladores de dominio tienen un subproceso disponible por el canal de seguridad para dominios de confianza. Este número máximo de subprocesos que están dedicados a este propósito se conoce como "Maxconcurrentapi" y es configurable.

Solución

Para resolver este problema, utilice uno o varios de los métodos siguientes:

  • Instale la revisión siguiente y, a continuación, siga los pasos que se describen en la sección "información del registro". Después de instalar esta revisión en Windows Vista, Windows Server 2008, Windows 7 o Windows Server 2008 R2, el maximumlimit de conexiones concurrentes entre un equipo cliente y otro servidor o un controlador de dominio para la autenticación de NTLM o validación de PAC se puede cambiar hasta 150. Esto debe hacerse en todos los servidores que presentan Perfmon Netlogon "tiempo de espera de semáforo" indicaciones en sus registros de rendimiento o que tienen el "NlpUserValidateHigher: no se puede asignar la ranura de la API de cliente" texto en sus registros de depuración de Netlogon.

  • Para aplicaciones y servicios que utilizan NTLM, simplemente configurarlos para utilizar la autenticación Kerberos en su lugar. Los métodos para conseguirlo serán únicos para esas aplicaciones.

Nota: Para decidir qué valor va a establecer para el MaxConcurrentApi configuración en su entorno, consulte el siguiente artículo de Knowledge Base.

cómo ajustar el rendimiento de la autenticación NTLM mediante la opción MaxConcurrentApi

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten el problema descrito en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:

Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Requisitos previos

Para aplicar esta revisión, el equipo debe ejecutar Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 o Windows Server 2008 Service Pack 2.

Información del registro

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

cómo hacer copia de seguridad y restaurar el registro en WindowsDespués de instalar el hotfix, aumente el valor de Maxconcurrentapi a un número mayor en todos los servidores que tienen indicaciones de "tiempo de espera de semáforo" Perfmon Netlogon en sus registros de rendimiento o que tienen "NlpUserValidateHigher: no se puede asignar la ranura de la API de cliente" texto en sus registros de depuración de Netlogon. Para ello, siga estos pasos:notas

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Esta revisión no sustituye a ninguna revisión publicada previamente.

Información de archivo

La versión en inglés (Estados Unidos) de esta revisión instala archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y las horas de estos archivos se muestran en la hora Universal coordinada (UTC). Las fechas y las horas de estos archivos en el equipo local se muestran en horario local junto con la diferencia de horario de verano (DST) actual. Además, las fechas y las horas pueden cambiar cuando realiza determinadas operaciones en los archivos.

  • Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno están enumerados por separado en la sección "información de archivo adicional para Windows Vista y Windows Server 2008". MUM y archivos de manifiesto y los archivos de catálogo (.cat) de seguridad asociados, son muy importantes para mantener el estado del componente actualizado. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.

Información de archivo para Windows Vista y Windows Server 2008

Información de archivo para las versiones basadas en x86 de Windows Server 2008 y Windows Vista

Nombre del archivo

Versión del archivo

Tamaño de archivo

Fecha

Hora

Plataforma

Netlogon.dll

6.0.6002.22289

592,896

16-Dec-2009

12:09

x86

Nlsvc.mof

No aplicable

2,873

03-Apr-2009

21:24

No aplicable

Información de archivo para las versiones basadas en x64 de Windows Server 2008 y Windows Vista

Nombre del archivo

Versión del archivo

Tamaño de archivo

Fecha

Hora

Plataforma

Netlogon.dll

6.0.6002.22289

716,800

16-Dec-2009

12:07

x64

Nlsvc.mof

No aplicable

2,873

03-Apr-2009

20:58

No aplicable

Información de archivo para las versiones basadas en IA-64 de Windows Server 2008

Nombre del archivo

Versión del archivo

Tamaño de archivo

Fecha

Hora

Plataforma

Netlogon.dll

6.0.6002.22289

1,216,512

16-Dec-2009

12:05

IA-64

Nlsvc.mof

No aplicable

2,873

03-Apr-2009

20:59

No aplicable

Información de archivo para Windows 7 y Windows Server 2008 R2

Notas sobre la información de archivos de Windows 7 y Windows Server 2008 R2
Importante: Correcciones urgentes de Windows 7 y Windows Server 2008 R2 se incluyen en los mismos paquetes. Sin embargo, las revisiones en la página solicitud de revisión se enumeran en ambos sistemas operativos. Para solicitar el paquete de revisiones que se aplica a uno o a ambos sistemas operativos, seleccione la revisión que aparece bajo "Windows 7/Windows Server 2008 R2" en la página. Siempre hacen referencia a la sección "Se aplica a" de los artículos para determinar el sistema operativo real al que se aplica cada revisión.

  • Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno están enumerados por separado en la sección "Información para Windows Server 2008 R2 y Windows 7 de archivo adicional". MUM y archivos de manifiesto y los archivos de catálogo (.cat) de seguridad asociados, son muy importantes para mantener el estado del componente actualizado. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.

Para todas las versiones basadas en x86 compatibles de Windows 7

Nombre del archivo

Versión del archivo

Tamaño de archivo

Fecha

Hora

Plataforma

Netlogon.dll

6.1.7600.20576

563,712

16-Nov-2009

06:40

x86

Nlsvc.mof

No aplicable

2,873

10-Jun-2009

21:29

No aplicable

Para todas las versiones basadas en x64 de Windows 7 y Windows Server 2008 R2

Nombre del archivo

Versión del archivo

Tamaño de archivo

Fecha

Hora

Plataforma

Netlogon.dll

6.1.7600.20576

692,736

16-Nov-2009

07:45

x64

Nlsvc.mof

No aplicable

2,873

10-Jun-2009

20:47

No aplicable

Para todas las versiones basadas en IA-64 compatibles de Windows Server 2008 R2

Nombre del archivo

Versión del archivo

Tamaño de archivo

Fecha

Hora

Plataforma

Netlogon.dll

6.1.7600.20576

1,148,416

16-Nov-2009

06:10

IA-64

Nlsvc.mof

No aplicable

2,873

10-Jun-2009

20:52

No aplicable



Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Más información

Esta revisión se incluye en Service Pack 1 (SP1) de Windows 7 y Windows Server 2008 R2 Service Pack 1 (SP1).

La configuración de MaxConcurrentApi y la configuración predeterminada para es heredados de Windows 2000 y de las capacidades de hardware limitada de ese tiempo. Con hardware antiguo, permitiendo subprocesos adicionales y el tráfico RPC que generaría fue motivo de seria preocupación, y hubo una posibilidad de cuellos de botella de rendimiento si se han creado demasiados subprocesos. Con las plataformas de hardware más recientes y un rendimiento mejorado, es menos probable que se produzca dicha limitación de rendimiento de hardware. Como siempre, es importante medir y comprender el rendimiento de los servidores en un entorno antes de aumentar el nivel de carga con un alto valor MaxConcurrentApi .

Para obtener más información acerca de cómo utilizar el servicio Netlogon (Netlogon.log) de registro de depuración, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

depuración de habilitar registro para el servicio de Net LogonPuede realizarse un paso de reducción adicional en los controladores de dominio basados en Windows Server 2003 que tengan entradas en el registro de depuración del servicio Netlogon que indican que los clientes envían < null > \nombre de usuario en lugar de nombreDominio\nombre de usuario. Los pasos se describen en el siguiente artículo de Microsoft Knowledge Base:

Lsass.exe el proceso deja de responder si tiene muchas confianzas externas en un controlador de dominio basado en Windows Server 2003Para obtener más información acerca de cómo utilizar el objeto de supervisión de rendimiento de Netlogon está disponible, junto con una actualización para agregar ese objeto de rendimiento en Windows Server 2003. Hay una actualización para Windows Server 2003 que le permite supervisar la velocidad y el rendimiento de autenticaciones NTLM. Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

nuevos contadores de rendimiento para Windows Server 2003 le permiten supervisar el rendimiento de la autenticación de Netlogon

Hay una actualización para Windows Server 2008 R2 que introduce nuevos eventos para realizar un seguimiento de la sobrecarga de Netlogoan API:

Hay nuevas entradas de registro de sucesos que realizan el seguimiento de errores en Windows Server 2008 R2 y retrasos en la autenticación NTLM

Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:



Descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft

Información adicional de archivos

Información de archivo adicional para Windows Vista y Windows Server 2008

Información adicional de archivos para las versiones basadas en x86 de Windows Vista y Windows Server 2008

Nombre del archivo

Update.mum

Versión del archivo

No aplicable

Tamaño de archivo

3,068

Fecha (UTC)

16-Dec-2009

Hora (UTC)

21:16

Plataforma

No aplicable

Nombre del archivo

X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest

Versión del archivo

No aplicable

Tamaño de archivo

705

Fecha (UTC)

16-Dec-2009

Hora (UTC)

21:16

Plataforma

No aplicable

Nombre del archivo

X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest

Versión del archivo

No aplicable

Tamaño de archivo

22,701

Fecha (UTC)

16-Dec-2009

Hora (UTC)

14:05

Plataforma

No aplicable

Información adicional de archivos para las versiones basadas en x64 de Windows Server 2008 y Windows Vista

Nombre del archivo

Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest

Versión del archivo

No aplicable

Tamaño de archivo

1.060

Fecha (UTC)

16-Dec-2009

Hora (UTC)

21:16

Plataforma

No aplicable

Nombre del archivo

Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest

Versión del archivo

No aplicable

Tamaño de archivo

23,180

Fecha (UTC)

16-Dec-2009

Hora (UTC)

15:52

Plataforma

No aplicable

Nombre del archivo

Update.mum

Versión del archivo

No aplicable

Tamaño de archivo

3.092

Fecha (UTC)

16-Dec-2009

Hora (UTC)

21:16

Plataforma

No aplicable

Nombre del archivo

Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest

Versión del archivo

No aplicable

Tamaño de archivo

18,332

Fecha (UTC)

16-Dec-2009

Hora (UTC)

14:00

Plataforma

No aplicable

Información adicional de archivos para las versiones basadas en IA-64 de Windows Server 2008

Nombre del archivo

Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest

Versión del archivo

No aplicable

Tamaño de archivo

1.058

Fecha (UTC)

16-Dec-2009

Hora (UTC)

21:16

Plataforma

No aplicable

Nombre del archivo

Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest

Versión del archivo

No aplicable

Tamaño de archivo

23,156

Fecha (UTC)

16-Dec-2009

Hora (UTC)

16:08

Plataforma

No aplicable

Nombre del archivo

Update.mum

Versión del archivo

No aplicable

Tamaño de archivo

2,247

Fecha (UTC)

16-Dec-2009

Hora (UTC)

21:16

Plataforma

No aplicable

Nombre del archivo

Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest

Versión del archivo

No aplicable

Tamaño de archivo

18,332

Fecha (UTC)

16-Dec-2009

Hora (UTC)

14:00

Plataforma

No aplicable

Información de archivo adicional para Windows 7 y Windows Server 2008 R2

Archivos adicionales para todas las versiones basadas en x86 compatibles de Windows 7




Nombre del archivo

Versión del archivo

Tamaño de archivo

Fecha

Hora

Plataforma

Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum

No aplicable

1,947

16-Nov-2009

09:45

No aplicable

X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest

No aplicable

35,541

16-Nov-2009

08:08

No aplicable

Archivos adicionales para todas las versiones basadas en x64 de Windows 7 y Windows Server 2008 R2


Nombre del archivo

Versión del archivo

Tamaño de archivo

Fecha

Hora

Plataforma

Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest

No aplicable

35,547

16-Nov-2009

08:11

No aplicable

Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum

No aplicable

2,181

16-Nov-2009

09:45

No aplicable

Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest

No aplicable

16,596

16-Nov-2009

08:01

No aplicable

Archivos adicionales para todas las versiones basadas en IA-64 de Windows Server 2008 R2


Nombre del archivo

Versión del archivo

Tamaño de archivo

Fecha

Hora

Plataforma

Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest

No aplicable

35,544

16-Nov-2009

09:06

No aplicable

Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum

No aplicable

1,683

16-Nov-2009

09:45

No aplicable

Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest

No aplicable

16,596

16-Nov-2009

08:01

No aplicable

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¿Cómo de satisfecho está con la calidad de la traducción?

¿Qué ha afectado a tu experiencia?

¿Algún comentario adicional? (Opcional)

¡Gracias por sus comentarios!

×