Gejala
Anda mungkin mengalami satu atau lebih gejala berikut ini. Gejala ini mungkin terputus-putus atau terus-menerus. Gejala ini Apakah lebih kemungkinan dan lebih luas saat "tinggi penggunaan", seperti pada awal bisnis hari ketika klien peningkatan beban terjadi pada server di lingkungan.
Anda mungkin mengalami masalah berikut dalam skenario layanan web: Anda mungkin mengalami masalah berikut dalam skenario proksi web: Anda mungkin mengalami masalah berikut dalam Exchange klien skenario: Anda mungkin mengalami masalah berikut dalam setiap skenario di mana NTLM otentikasi yang digunakan untuk aplikasi:
Jalur bisnis atau kustom aplikasi yang menggunakan otentikasi NTLM gagal. Selain itu, Anda mungkin menerima galat berbeda yang muncul sebentar dan mungkin mencakup "Akses ditolak."Anda mungkin mengalami masalah berikut dalam skenario akses berkas jarak jauh:
Windows klien menerima galat "Akses ditolak" atau tertunda respons dari server berkas.Anda mungkin mengalami masalah berikut dalam setiap skenario di mana Kerberos delegasi sedang digunakan dalam layanan tingkat menengah:
Klien mendapatkan akses berhasil pada awalnya tapi kemudian kehilangan akses ke sumber daya yang sama. Selain itu, Anda mungkin diminta berkali-kali untuk kredensial atau mengalami galat "Akses ditolak".Catatan
Penyebab
Masalah ini terjadi saat volume tinggi otentikasi NTLM atau Kerberos PAC validasi transaksi (atau keduanya) terjadi pada server berbasis Windows, dan volume lebih besar daripada volume yang dapat ditangani pada satu waktu oleh server anggota atau pengontrol domain yang menyediakan otentikasi. Dengan kata lain, hal ini disebabkan oleh sumber daya otentikasi kemacetan.
Otentikasi NTLM dan PAC validasi dilakukan oleh benang khusus dalam proses Lsass.exe pada komputer berbasis Windows. Ada jumlah maksimum benang ini yang tersedia untuk menangani permintaan ini pada saat yang sama, dan jika permintaan melebihi ketersediaan benang dan permintaan tidak dapat menunggu lagi, masalah ini terjadi.
Secara default, workstation memiliki salah satu benang yang tersedia untuk digunakan, dan anggota server memiliki dua benang yang tersedia untuk digunakan. Kontroler domain harus satu thread yang tersedia per keamanan saluran domain yang terpercaya. Maksimum jumlah untaian yang ditujukan untuk tujuan ini disebut sebagai "Maxconcurrentapi" dan dapat dikonfigurasi.
Pemecahan masalah
Untuk mengatasi masalah ini, gunakan salah satu atau lebih metode berikut ini:
-
Instal hotfix yang berikut, dan kemudian ikuti langkah-langkah yang dijelaskan di bagian "informasi registri". Setelah Anda menginstal perbaikan terbaru ini pada Windows Vista, Windows Server 2008, Windows 7 atau Windows Server 2008 R2, maximumlimit bersamaan hubungan antara komputer klien dan server lain atau kontroler domain untuk otentikasi NTLM atau PAC validasi dapat berubah hingga 150. Ini harus dilakukan pada semua server yang menunjukkan Perfmon Netlogon "waktu habis semaphore" indikasi di log kinerja mereka atau yang memiliki "NlpUserValidateHigher: tidak dapat mengalokasikan klien API slot" teks dalam log debug Netlogon mereka.
-
Untuk aplikasi dan layanan yang menggunakan NTLM, hanya mengkonfigurasi mereka untuk menggunakan otentikasi Kerberos sebagai gantinya. Metode untuk melakukannya akan menjadi unik untuk aplikasi tersebut.
Catatan Untuk memutuskan apa nilai untuk mengatur untuk MaxConcurrentApi pengaturan di lingkungan Anda merujuk ke artikel Pangkalan Pengetahuan di bawah ini.
2688798 cara melakukan kinerja tuning untuk otentikasi NTLM dengan menggunakan pengaturan MaxConcurrentApi
Informasi Hotfix
Tersedia hotfix yang didukung dari Microsoft. Namun, hotfix ini ditujukan untuk memperbaiki masalah yang dijelaskan di artikel ini. Menerapkan hotfix ini hanya ke sistem yang mengalami masalah yang dijelaskan di artikel ini. Hotfix ini mungkin akan menerima pengujian tambahan. Oleh karena itu, jika Anda tidak terlalu dipengaruhi oleh masalah ini, kami sarankan Anda menunggu pemutakhiran perangkat lunak berikutnya yang berisi perbaikan terbaru ini.
Apabila hotfix tersedia untuk diunduh, ada bagian "Tersedia unduhan Hotfix" di bagian atas artikel Pangkalan Pengetahuan ini. Jika bagian ini tidak muncul, hubungi layanan pelanggan Microsoft dan dukungan untuk mendapatkan hotfix.
Catatan Jika terjadi masalah tambahan atau apabila pemecahan masalah apa pun diperlukan, Anda mungkin harus membuat permintaan layanan secara terpisah. Biaya dukungan biasa akan berlaku untuk dukungan tambahan pertanyaan dan masalah yang tidak memenuhi syarat untuk hotfix ini. Untuk daftar lengkap nomor telepon layanan pelanggan Microsoft dan dukungan atau untuk membuat permintaan layanan terpisah, kunjungi situs web Microsoft berikut:
http://support.microsoft.com/contactus/?ws=supportCatatan Formulir "Tersedia Unduhan Hotfix" menampilkan bahasa hotfix tersedia. Jika Anda tidak melihat bahasa Anda, hal ini karena hotfix tidak tersedia untuk bahasa tersebut.
Prasyarat
Untuk menerapkan perbaikan terbaru ini, komputer harus menjalankan Windows 7, Windows Server 2008 R2, Windows Vista Paket Layanan 2 atau Windows Server 2008 Paket Layanan 2.
Informasi registri
Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah serius dapat terjadi apabila Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum mengubahnya. Lalu, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 cara membuat cadangan dan memulihkan registri di WindowsSetelah Anda menginstal perbaikan terbaru, meningkatkan Maxconcurrentapi nilai untuk sejumlah besar pada semua server yang memiliki Perfmon Netlogon "waktu habis semaphore" indikasi di log kinerja mereka atau yang memiliki "NlpUserValidateHigher: tidak dapat mengalokasikan klien API slot" teks dalam log debug Netlogon mereka. Untuk melakukannya, ikuti langkah-langkah berikut:catatan
Persyaratan menghidupkan ulang
Anda harus memulai ulang komputer setelah menerapkan hotfix ini.
Informasi penggantian hotfix
Hotfix ini tidak menggantikan hotfix yang diedarkan sebelumnya.
Informasi file
Versi bahasa Inggris (Amerika Serikat) dari hotfix ini menginstal berkas yang memiliki atribut yang tercantum dalam tabel berikut. Tanggal dan waktu untuk berkas-berkas tersebut dicantumkan dalam Waktu Universal Terkoordinasi (UTC). Tanggal dan waktu untuk berkas-berkas tersebut di komputer lokal Anda ditampilkan dalam waktu lokal disertai selisih waktu daylight saving (DST) saat. Selain itu, tanggal dan waktu dapat berubah saat Anda menjalankan pengoperasian tertentu pada berkas.
-
Berkas MANIFEST (.manifest) dan berkas MUM (.mum) yang diinstal untuk setiap lingkungan yang dicantumkan secara terpisah di bagian "informasi berkas tambahan untuk Windows Vista dan Windows Server 2008". Berkas MUM dan berkas MANIFEST, dan terkait keamanan berkas Katalog (.cat), yang sangat penting untuk mempertahankan status komponen pemutakhiran. File Katalog keamanan, di mana atribut tidak dicantumkan, ditandai dengan tanda tangan digital Microsoft.
Informasi file untuk Windows Vista dan Windows Server 2008
Informasi berkas untuk versi x86 berbasis Windows Server 2008 dan Windows Vista
Nama file |
Versi file |
Ukuran file |
Tanggal |
Waktu |
Platform |
---|---|---|---|---|---|
Netlogon.dll |
6.0.6002.22289 |
592,896 |
16-Dec-2009 |
12:09 |
x86 |
Nlsvc.mof |
Tidak Dapat Diterapkan |
2,873 |
03-Apr-2009 |
21:24 |
Tidak Dapat Diterapkan |
Informasi berkas untuk versi x64 berbasis Windows Server 2008 dan Windows Vista
Nama file |
Versi file |
Ukuran file |
Tanggal |
Waktu |
Platform |
---|---|---|---|---|---|
Netlogon.dll |
6.0.6002.22289 |
716,800 |
16-Dec-2009 |
12:07 |
x64 |
Nlsvc.mof |
Tidak Dapat Diterapkan |
2,873 |
03-Apr-2009 |
20:58 |
Tidak Dapat Diterapkan |
Informasi berkas untuk versi Windows Server 2008 berbasis IA-64
Nama file |
Versi file |
Ukuran file |
Tanggal |
Waktu |
Platform |
---|---|---|---|---|---|
Netlogon.dll |
6.0.6002.22289 |
1,216,512 |
16-Dec-2009 |
12:05 |
IA-64 |
Nlsvc.mof |
Tidak Dapat Diterapkan |
2,873 |
03-Apr-2009 |
20:59 |
Tidak Dapat Diterapkan |
Informasi berkas Windows 7 dan Windows Server 2008 R2
Catatan informasi berkas Windows 7 dan Windows Server 2008 R2
Penting Windows 7 dan hotfix Windows Server 2008 R2 disertakan dalam paket yang sama. Namun, hotfix pada halaman Permintaan Hotfix dicantumkan pada kedua sistem operasi. Untuk meminta paket hotfix yang berlaku untuk salah satu atau kedua sistem operasi, pilih hotfix yang tercantum di bawah "Windows 7/Windows Server 2008 R2" di halaman tersebut. Selalu rujuk ke bagian "Berlaku untuk" di artikel untuk menentukan sistem operasi aktual yang diterapkan setiap hotfix.
-
Berkas MANIFEST (.manifest) dan berkas MUM (.mum) yang diinstal untuk setiap lingkungan yang dicantumkan secara terpisah di bagian "File tambahan informasi untuk Windows Server 2008 R2 dan Windows 7". Berkas MUM dan berkas MANIFEST, dan terkait keamanan berkas Katalog (.cat), yang sangat penting untuk mempertahankan status komponen pemutakhiran. File Katalog keamanan, di mana atribut tidak dicantumkan, ditandai dengan tanda tangan digital Microsoft.
Untuk semua Windows 7 versi x86 yang didukung
Nama file |
Versi file |
Ukuran file |
Tanggal |
Waktu |
Platform |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.20576 |
563,712 |
16-Nov-2009 |
06:40 |
x86 |
Nlsvc.mof |
Tidak Dapat Diterapkan |
2,873 |
10-Jun-2009 |
21:29 |
Tidak Dapat Diterapkan |
Untuk semua Windows 7 dan Windows Server 2008 R2 versi x64 yang didukung
Nama file |
Versi file |
Ukuran file |
Tanggal |
Waktu |
Platform |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.20576 |
692,736 |
16-Nov-2009 |
07:45 |
x64 |
Nlsvc.mof |
Tidak Dapat Diterapkan |
2,873 |
10-Jun-2009 |
20:47 |
Tidak Dapat Diterapkan |
Untuk semua versi Windows Server 2008 R2 berbasis IA-64 yang didukung
Nama file |
Versi file |
Ukuran file |
Tanggal |
Waktu |
Platform |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.20576 |
1,148,416 |
16-Nov-2009 |
06:10 |
IA-64 |
Nlsvc.mof |
Tidak Dapat Diterapkan |
2,873 |
10-Jun-2009 |
20:52 |
Tidak Dapat Diterapkan |
Status
Microsoft telah memastikan bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".
Informasi lebih lanjut
Perbaikan terbaru ini telah disertakan di Windows 7 Paket Layanan 1 (SP1) dan Windows Server 2008 R2 Paket Layanan 1 (SP1).
Pengaturan MaxConcurrentApi dan pengaturan default untuk itu adalah warisan dari Windows 2000 dan kemampuan hardware terbatas waktu. Dengan perangkat keras tua, memungkinkan untuk tambahan benang dan RPC lalu lintas mereka akan menghasilkan adalah masalah yang serius, dan ada kemungkinan kemacetan kinerja jika terlalu banyak benang dibuat. Dengan platform perangkat keras baru dan peningkatan kinerja, kinerja perangkat keras keterbatasan ini cenderung terjadi. Seperti biasa, sangat penting untuk mengukur dan mengerti kinerja server di lingkungan sebelum Anda meningkatkan beban potensial dengan menggunakan pengaturan MaxConcurrentApi tinggi.
Untuk informasi selengkapnya tentang cara menggunakan Netlogon layanan debug log (Netlogon.log), klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
109626 debug mengaktifkan pencatatan untuk layanan Net LogonBahannya juga berkurang langkah tambahan dapat dilakukan pada kontroler domain berbasis Windows Server 2003 yang memiliki entri mereka Netlogon layanan debug log yang menunjukkan bahwa klien mengirimkan < null > \nama pengguna dan bukan namadomain\username. Langkah-langkah yang dijelaskan di artikel Pangkalan Pengetahuan Microsoft berikut ini:
923241 proses Lsass.exe mungkin berhenti merespons jika Anda memiliki banyak kepercayaan eksternal pada kontroler domain berbasis Windows Server 2003Informasi selengkapnya tentang cara menggunakan objek pemantauan Netlogon kinerja tersedia, bersama dengan pembaruan untuk menambahkan bahwa objek kinerja pada Windows Server 2003. Ada pembaruan untuk Windows Server 2003 yang memungkinkan Anda memantau kecepatan dan volume data NTLM pengesahan. Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
928576 penghitung kinerja baru untuk Windows Server 2003 membiarkan Anda memantau kinerja Netlogon otentikasi
Ada pembaruan untuk Windows Server 2008 R2 yang memperkenalkan peristiwa baru untuk melacak Netlogoan API berlebihan:
Entri log peristiwa baru yang melacak otentikasi NTLM penundaan dan kegagalan dalam Windows Server 2008 R2 tersedia
http://support.Microsoft.com/default.aspx?scid=KB; EN-US; 2654097
Untuk informasi selengkapnya tentang peristilahan pemutakhiran perangkat lunak, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
824684
Deskripsi tentang peristilahan standar yang digunakan untuk menjelaskan pemutakhiran perangkat lunak Microsoft
Informasi file tambahan
Informasi berkas tambahan untuk Windows Vista dan Windows Server 2008
Informasi berkas tambahan untuk versi x86 berbasis Windows Vista dan Windows Server 2008
Nama file |
Update.mum |
Versi file |
Tidak Dapat Diterapkan |
Ukuran file |
3,068 |
Tanggal (UTC) |
16-Dec-2009 |
Waktu (UTC) |
21:16 |
Platform |
Tidak Dapat Diterapkan |
Nama file |
X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest |
Versi file |
Tidak Dapat Diterapkan |
Ukuran file |
705 |
Tanggal (UTC) |
16-Dec-2009 |
Waktu (UTC) |
21:16 |
Platform |
Tidak Dapat Diterapkan |
Nama file |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest |
Versi file |
Tidak Dapat Diterapkan |
Ukuran file |
22,701 |
Tanggal (UTC) |
16-Dec-2009 |
Waktu (UTC) |
14:05 |
Platform |
Tidak Dapat Diterapkan |
Informasi berkas tambahan untuk versi x64 berbasis Windows Server 2008 dan Windows Vista
Nama file |
Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest |
Versi file |
Tidak Dapat Diterapkan |
Ukuran file |
1,060 |
Tanggal (UTC) |
16-Dec-2009 |
Waktu (UTC) |
21:16 |
Platform |
Tidak Dapat Diterapkan |
Nama file |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest |
Versi file |
Tidak Dapat Diterapkan |
Ukuran file |
23,180 |
Tanggal (UTC) |
16-Dec-2009 |
Waktu (UTC) |
15:52 |
Platform |
Tidak Dapat Diterapkan |
Nama file |
Update.mum |
Versi file |
Tidak Dapat Diterapkan |
Ukuran file |
3,092 |
Tanggal (UTC) |
16-Dec-2009 |
Waktu (UTC) |
21:16 |
Platform |
Tidak Dapat Diterapkan |
Nama file |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
Versi file |
Tidak Dapat Diterapkan |
Ukuran file |
18,332 |
Tanggal (UTC) |
16-Dec-2009 |
Waktu (UTC) |
14:00 |
Platform |
Tidak Dapat Diterapkan |
Informasi berkas tambahan untuk Windows Server 2008 versi IA-64
Nama file |
Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest |
Versi file |
Tidak Dapat Diterapkan |
Ukuran file |
1,058 |
Tanggal (UTC) |
16-Dec-2009 |
Waktu (UTC) |
21:16 |
Platform |
Tidak Dapat Diterapkan |
Nama file |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest |
Versi file |
Tidak Dapat Diterapkan |
Ukuran file |
23,156 |
Tanggal (UTC) |
16-Dec-2009 |
Waktu (UTC) |
16:08 |
Platform |
Tidak Dapat Diterapkan |
Nama file |
Update.mum |
Versi file |
Tidak Dapat Diterapkan |
Ukuran file |
2,247 |
Tanggal (UTC) |
16-Dec-2009 |
Waktu (UTC) |
21:16 |
Platform |
Tidak Dapat Diterapkan |
Nama file |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
Versi file |
Tidak Dapat Diterapkan |
Ukuran file |
18,332 |
Tanggal (UTC) |
16-Dec-2009 |
Waktu (UTC) |
14:00 |
Platform |
Tidak Dapat Diterapkan |
Informasi berkas tambahan untuk Windows 7 dan Windows Server 2008 R2
Berkas tambahan untuk semua Windows 7 versi x86 yang didukung
Nama file |
Versi file |
Ukuran file |
Tanggal |
Waktu |
Platform |
---|---|---|---|---|---|
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Tidak Dapat Diterapkan |
1,947 |
16-Nov-2009 |
09:45 |
Tidak Dapat Diterapkan |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest |
Tidak Dapat Diterapkan |
35,541 |
16-Nov-2009 |
08:08 |
Tidak Dapat Diterapkan |
Berkas tambahan untuk semua Windows 7 dan Windows Server 2008 R2 versi x64 didukung
Nama file |
Versi file |
Ukuran file |
Tanggal |
Waktu |
Platform |
---|---|---|---|---|---|
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest |
Tidak Dapat Diterapkan |
35,547 |
16-Nov-2009 |
08:11 |
Tidak Dapat Diterapkan |
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Tidak Dapat Diterapkan |
2,181 |
16-Nov-2009 |
09:45 |
Tidak Dapat Diterapkan |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Tidak Dapat Diterapkan |
16,596 |
16-Nov-2009 |
08:01 |
Tidak Dapat Diterapkan |
Berkas tambahan untuk semua versi Windows Server 2008 R2 berbasis IA-64 yang didukung
Nama file |
Versi file |
Ukuran file |
Tanggal |
Waktu |
Platform |
---|---|---|---|---|---|
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest |
Tidak Dapat Diterapkan |
35,544 |
16-Nov-2009 |
09:06 |
Tidak Dapat Diterapkan |
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Tidak Dapat Diterapkan |
1,683 |
16-Nov-2009 |
09:45 |
Tidak Dapat Diterapkan |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Tidak Dapat Diterapkan |
16,596 |
16-Nov-2009 |
08:01 |
Tidak Dapat Diterapkan |