Symptômes
Vous pouvez rencontrer un ou plusieurs des problèmes suivants. Ces problèmes peuvent être continue ou intermittente. Ces symptômes sont plus probables et plus répandues pendant les heures de « utilisation élevée », tel qu’au début d’une activité à jour lors de le charge accrue du client se produit sur les serveurs de l’environnement.
Vous pouvez rencontrer les problèmes suivants dans un scénario de services web : vous pouvez rencontrer les problèmes suivants dans un scénario de proxy web : vous pouvez rencontrer les problèmes suivants dans un scénario de client Exchange : vous pouvez rencontrer le problème suivant dans tout scénario dans lequel NTLM, l’authentification est utilisée pour les applications :
Secteur d’activité ou des applications personnalisées qui utilisent l’authentification NTLM échoue. En outre, vous pouvez recevoir des erreurs différentes qui sont intermittentes et peuvent inclure des « accès refusé ».Vous pouvez rencontrer le problème suivant dans un scénario d’accès aux fichiers à distance :
Les clients Windows reçoivent des erreurs « accès refusé » ou différée des réponses du serveur de fichiers.Vous pouvez rencontrer le problème suivant dans n’importe quel scénario dans lequel la délégation Kerberos est utilisée dans un service de niveau intermédiaire :
Les clients accéder correctement au premier abord, mais ensuite perdent l’accès aux mêmes ressources. En outre, vous pouvez être invité à plusieurs reprises des informations d’identification ou rencontrez des erreurs « accès refusé ».Remarques
Cause
Ce problème se produit lorsqu’un volume élevé de l’authentification NTLM ou transactions de validation Kerberos PAC (ou les deux) se produisent sur un serveur Windows, et ce volume est plus grand que le volume qui peut être traité simultanément par le serveur membre ou par les contrôleurs de domaine qui fournissent l’authentification. En d’autres termes, cela est dû à un goulot d’étranglement d’authentification.
L’authentification NTLM et validation de charbons activés en poudre sont effectués par des threads dédiés dans le processus Lsass.exe sur les ordinateurs Windows. Il existe un nombre maximal de ces threads disponibles traiter ces demandes en même temps, et si les demandes dépassent la disponibilité des threads et les demandes ne peuvent pas attendre plus longtemps, ce problème se produit.
Par défaut, stations de travail ont un des threads disponibles et serveurs membres possèdent deux threads disponibles pour utilisation. Contrôleurs de domaine ont un thread disponible par canal de sécurité à des domaines approuvés. Le nombre maximal de threads qui sont dédiés à cet effet est appelé « Maxconcurrentapi » et est configurable.
Résolution
Pour résoudre ce problème, utilisez une ou plusieurs des méthodes suivantes :
-
Installez le correctif suivant et suivez les étapes décrites dans la section «informations du Registre». Après avoir installé ce correctif sur Windows Vista, Windows Server 2008, Windows 7 ou Windows Server 2008 R2, la limite maximum de connexions simultanées entre un ordinateur client et un autre serveur ou un contrôleur de domaine pour l’authentification NTLM ou validation de charbons activés en poudre peut-être être modifié jusqu'à 150. Cela doit être effectué sur tous les serveurs qui exposent le Perfmon Netlogon « délai d’attente de sémaphore » les indications dans les journaux de performances ou qui ont le « NlpUserValidateHigher : Impossible d’allouer un emplacement de l’API cliente » texte dans leurs journaux de débogage de Netlogon.
-
Pour les applications et les services qui utilisent NTLM, simplement les configurer pour utiliser à la place de l’authentification Kerberos. Les méthodes à suivre qui seront uniques à ces applications.
Remarque Pour décider quelle valeur à définir pour le MaxConcurrentApi paramètre dans votre environnement reportez-vous à l’article ci-dessous de la Base de connaissances.
2688798 comment faire le réglage des performances pour l’authentification NTLM en utilisant le paramètre MaxConcurrentApi
Informations sur le correctif
Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquer ce correctif uniquement aux systèmes qui rencontrent le problème qui est décrit dans cet article. Ce correctif va peut-être subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contiendra ce correctif.
Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif.
Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone du service clientèle de Microsoft ou pour créer une demande de service distincte, visitez le site Web Microsoft suivant :
http://support.microsoft.com/contactus/?ws=supportRemarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.
Conditions préalables
Pour appliquer ce correctif logiciel, votre ordinateur doit exécuter Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 ou Windows Server 2008 Service Pack 2.
Informations concernant le Registre
Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans WindowsAprès avoir installé le correctif, augmentez la valeur de Maxconcurrentapi à un plus grand nombre sur tous les serveurs qui ont Perfmon Netlogon « temporisation de sémaphore » des indications dans les journaux de performances ou « NlpUserValidateHigher : Impossible d’allouer un emplacement de l’API cliente » texte dans leurs journaux de débogage de Netlogon. Pour ce faire, procédez comme suit :Notes
Nécessite un redémarrage
Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.
Informations de remplacement du correctif
Ce correctif ne remplace pas un correctif précédemment publié.
Informations sur les fichiers
La version anglaise (États-Unis) de ce correctif logiciel installe des fichiers dont les attributs sont répertoriés dans les tableaux ci-dessous. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Les dates et heures de ces fichiers sur votre ordinateur local sont affichées dans votre heure locale en tenant compte de l'heure d'été (DST). En outre, les dates et heures peuvent changer lorsque vous effectuez certaines opérations sur les fichiers.
-
Les fichiers MANIFEST (.manifest) et MUM (.mum) qui est installés pour chaque environnement est énumérés séparément dans la section « informations sur les fichiers supplémentaires pour Windows Vista et Windows Server 2008 ». MUM et les fichiers manifeste et les fichiers de catalogue (.cat) sécurité associées, sont très importants pour conserver l’état du composant mis à jour. Les fichiers de catalogue de sécurité, pour lesquels les attributs ne sont pas répertoriés, sont signés avec une signature numérique Microsoft.
Informations sur les fichiers pour Windows Vista et Windows Server 2008
Informations sur les fichiers pour les versions x86 de Windows Server 2008 et Windows Vista
Nom de fichier |
Version de fichier |
Taille du fichier |
Date |
Heure |
Plateforme |
---|---|---|---|---|---|
Netlogon.dll |
6.0.6002.22289 |
592,896 |
16-Dec-2009 |
12:09 |
x86 |
Nlsvc.mof |
Ne s'applique pas |
2,873 |
03-Apr-2009 |
21:24 |
Ne s'applique pas |
Informations sur les fichiers pour les versions x64 de Windows Server 2008 et Windows Vista
Nom de fichier |
Version de fichier |
Taille du fichier |
Date |
Heure |
Plateforme |
---|---|---|---|---|---|
Netlogon.dll |
6.0.6002.22289 |
716,800 |
16-Dec-2009 |
12:07 |
x64 |
Nlsvc.mof |
Ne s'applique pas |
2,873 |
03-Apr-2009 |
20:58 |
Ne s'applique pas |
Informations sur les fichiers pour les versions basés sur IA-64 de Windows Server 2008
Nom de fichier |
Version de fichier |
Taille du fichier |
Date |
Heure |
Plateforme |
---|---|---|---|---|---|
Netlogon.dll |
6.0.6002.22289 |
1,216,512 |
16-Dec-2009 |
12:05 |
IA-64 |
Nlsvc.mof |
Ne s'applique pas |
2,873 |
03-Apr-2009 |
20:59 |
Ne s'applique pas |
Informations sur les fichiers pour Windows 7 et Windows Server 2008 R2
Remarques sur les fichiers Windows 7 et Windows Server 2008 R2
Important Les correctifs logiciels Windows 7 et Windows Server 2008 R2 sont inclus dans les mêmes packages. Toutefois, les correctifs dans la page de demande de correctif logiciel sont répertoriés sous les deux systèmes d’exploitation. Pour demander le package de correctif qui s’applique à un ou aux deux systèmes d’exploitation, sélectionnez le correctif logiciel qui est répertorié sous « Windows 7/Windows Server 2008 R2 » sur la page. Reportez-vous toujours à la section « S’applique à » pour déterminer le système d’exploitation actif auquel s’applique chaque correctif.
-
Les fichiers MANIFEST (.manifest) et MUM (.mum) qui sont installés pour chaque environnement sont répertoriés séparément dans la section « informations sur les fichiers supplémentaires pour Windows Server 2008 R2 et Windows 7 ». MUM et les fichiers manifeste et les fichiers de catalogue (.cat) sécurité associées, sont très importants pour conserver l’état du composant mis à jour. Les fichiers de catalogue de sécurité, pour lesquels les attributs ne sont pas répertoriés, sont signés avec une signature numérique Microsoft.
Pour toutes les versions x86 de Windows 7 prises en charge
Nom de fichier |
Version de fichier |
Taille du fichier |
Date |
Heure |
Plateforme |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.20576 |
563,712 |
16-Nov-2009 |
06:40 |
x86 |
Nlsvc.mof |
Ne s'applique pas |
2,873 |
10-Jun-2009 |
21:29 |
Ne s'applique pas |
Pour toutes les versions 64 bits de Windows 7 et Windows Server 2008 R2
Nom de fichier |
Version de fichier |
Taille du fichier |
Date |
Heure |
Plateforme |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.20576 |
692,736 |
16-Nov-2009 |
07:45 |
x64 |
Nlsvc.mof |
Ne s'applique pas |
2,873 |
10-Jun-2009 |
20:47 |
Ne s'applique pas |
Pour toutes les versions IA-64 prises en charge de Windows Server 2008 R2
Nom de fichier |
Version de fichier |
Taille du fichier |
Date |
Heure |
Plateforme |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.20576 |
1,148,416 |
16-Nov-2009 |
06:10 |
IA-64 |
Nlsvc.mof |
Ne s'applique pas |
2,873 |
10-Jun-2009 |
20:52 |
Ne s'applique pas |
État
Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».
Plus d'informations
Ce correctif est inclus dans Windows 7 Service Pack 1 (SP1) et Windows Server 2008 R2 Service Pack 1 (SP1).
Le paramètre MaxConcurrentApi et les paramètres par défaut pour celui-ci sont hérités de Windows 2000 et des capacités matérielles limitées de ce laps de temps. Avec un matériel plus ancien, permettant des threads supplémentaires et le trafic RPC qu'ils générerait a été un problème sérieux et il a été possible de goulots d’étranglement de performances si trop de threads ont été créés. Avec nouvelles plates-formes matérielles et des performances améliorées, cette limitation de performances du matériel est moins susceptible de se produire. Comme toujours, il est important de mesurer et de comprendre les performances des serveurs dans un environnement avant d’augmenter la charge potentielle en utilisant un paramètre MaxConcurrentApi élevé.
Pour plus d’informations sur l’utilisation du service Netlogon (Netlogon.log) d’enregistrement de débogage, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
109626 activation l’enregistrement pour le service Net Logon de débogageUne étape de réduction supplémentaire peut être effectuée sur les contrôleurs de domaine Windows Server 2003 qui ont des écritures dans leur journal de débogage du service Netlogon qui indiquent que les clients doivent envoyer < null > \nom d’utilisateur au lieu de nom_domaine\nom d’utilisateur. Les étapes sont décrites dans l’article suivant de la Base de connaissances Microsoft :
923241 processus Lsass.exe le peut cesser de répondre si vous avez plusieurs approbations externes sur un contrôleur de domaine Windows Server 2003Plus d’informations sur l’utilisation de l’objet de surveillance de Performance de l’accès réseau sont disponibles, avec une mise à jour pour ajouter cet objet de Performance dans Windows Server 2003. Il existe une mise à jour pour Windows Server 2003 qui vous permet de surveiller la vitesse et le débit d’authentifications NTLM. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
928576 nouveaux compteurs de performance de Windows Server 2003 vous permettent de surveiller les performances d’authentification d’accès réseau
Il existe une mise à jour pour Windows Server 2008 R2 qui introduit de nouveaux événements pour effectuer le suivi de la surcharge de l’API de Netlogoan :
Les nouvelles entrées de journal des événements de suivi des délais d’authentification NTLM et échecs dans Windows Server 2008 R2 sont disponibles
http://support.Microsoft.com/default.aspx?scid=KB; EN-US ; 2654097
Pour plus d'informations sur la terminologie de mise à jour logicielle, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
824684
Description de la terminologie standard utilisée pour décrire les mises à jour logicielles de Microsoft
Informations sur les fichiers supplémentaires
Informations sur les fichiers supplémentaires pour Windows Vista et Windows Server 2008
Informations sur les fichiers supplémentaires pour les versions x86 de Windows Vista et Windows Server 2008
Nom de fichier |
Update.mum |
Version de fichier |
Ne s'applique pas |
Taille du fichier |
3,068 |
Date (UTC) |
16-Dec-2009 |
Heure (UTC) |
21:16 |
Plateforme |
Ne s'applique pas |
Nom de fichier |
X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest |
Version de fichier |
Ne s'applique pas |
Taille du fichier |
705 |
Date (UTC) |
16-Dec-2009 |
Heure (UTC) |
21:16 |
Plateforme |
Ne s'applique pas |
Nom de fichier |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest |
Version de fichier |
Ne s'applique pas |
Taille du fichier |
22,701 |
Date (UTC) |
16-Dec-2009 |
Heure (UTC) |
14:05 |
Plateforme |
Ne s'applique pas |
Informations sur les fichiers supplémentaires pour les versions x64 de Windows Server 2008 et Windows Vista
Nom de fichier |
Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest |
Version de fichier |
Ne s'applique pas |
Taille du fichier |
1,060 |
Date (UTC) |
16-Dec-2009 |
Heure (UTC) |
21:16 |
Plateforme |
Ne s'applique pas |
Nom de fichier |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest |
Version de fichier |
Ne s'applique pas |
Taille du fichier |
23,180 |
Date (UTC) |
16-Dec-2009 |
Heure (UTC) |
15:52 |
Plateforme |
Ne s'applique pas |
Nom de fichier |
Update.mum |
Version de fichier |
Ne s'applique pas |
Taille du fichier |
3,092 |
Date (UTC) |
16-Dec-2009 |
Heure (UTC) |
21:16 |
Plateforme |
Ne s'applique pas |
Nom de fichier |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
Version de fichier |
Ne s'applique pas |
Taille du fichier |
18,332 |
Date (UTC) |
16-Dec-2009 |
Heure (UTC) |
14:00 |
Plateforme |
Ne s'applique pas |
Informations de fichiers supplémentaires pour les versions basés sur IA-64 de Windows Server 2008
Nom de fichier |
Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest |
Version de fichier |
Ne s'applique pas |
Taille du fichier |
1,058 |
Date (UTC) |
16-Dec-2009 |
Heure (UTC) |
21:16 |
Plateforme |
Ne s'applique pas |
Nom de fichier |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest |
Version de fichier |
Ne s'applique pas |
Taille du fichier |
23,156 |
Date (UTC) |
16-Dec-2009 |
Heure (UTC) |
16:08 |
Plateforme |
Ne s'applique pas |
Nom de fichier |
Update.mum |
Version de fichier |
Ne s'applique pas |
Taille du fichier |
2,247 |
Date (UTC) |
16-Dec-2009 |
Heure (UTC) |
21:16 |
Plateforme |
Ne s'applique pas |
Nom de fichier |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
Version de fichier |
Ne s'applique pas |
Taille du fichier |
18,332 |
Date (UTC) |
16-Dec-2009 |
Heure (UTC) |
14:00 |
Plateforme |
Ne s'applique pas |
Informations sur les fichiers supplémentaires pour Windows 7 et Windows Server 2008 R2
Fichiers supplémentaires pour toutes les versions x86 prises en charge de Windows 7
Nom de fichier |
Version de fichier |
Taille du fichier |
Date |
Heure |
Plateforme |
---|---|---|---|---|---|
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Ne s'applique pas |
1,947 |
16-Nov-2009 |
09:45 |
Ne s'applique pas |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest |
Ne s'applique pas |
35,541 |
16-Nov-2009 |
08:08 |
Ne s'applique pas |
Fichiers supplémentaires pour toutes les versions 64 bits prises en charge de Windows 7 et Windows Server 2008 R2
Nom de fichier |
Version de fichier |
Taille du fichier |
Date |
Heure |
Plateforme |
---|---|---|---|---|---|
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest |
Ne s'applique pas |
35,547 |
16-Nov-2009 |
08:11 |
Ne s'applique pas |
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Ne s'applique pas |
2,181 |
16-Nov-2009 |
09:45 |
Ne s'applique pas |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Ne s'applique pas |
16,596 |
16-Nov-2009 |
08:01 |
Ne s'applique pas |
Fichiers supplémentaires pour toutes les versions de Windows Server 2008 R2 basées sur IA-64 prises en charge
Nom de fichier |
Version de fichier |
Taille du fichier |
Date |
Heure |
Plateforme |
---|---|---|---|---|---|
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest |
Ne s'applique pas |
35,544 |
16-Nov-2009 |
09:06 |
Ne s'applique pas |
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Ne s'applique pas |
1,683 |
16-Nov-2009 |
09:45 |
Ne s'applique pas |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Ne s'applique pas |
16,596 |
16-Nov-2009 |
08:01 |
Ne s'applique pas |