Sintomi
Possono verificarsi uno o più dei seguenti sintomi. Questi sintomi possono essere intermittenti o continua. Questi sintomi sono probabilmente più diffusi e durante i periodi di "utilizzo elevato", ad esempio all'inizio di un'azienda giorno quando più client carica ricorre sui server nell'ambiente.
Possono verificarsi i seguenti problemi in uno scenario di servizi web: possono verificarsi i seguenti problemi in uno scenario web proxy: si verifichino i seguenti problemi in uno scenario client di Exchange: si verifichi il problema in uno scenario in cui NTLM viene utilizzata l'autenticazione per le applicazioni seguente:
Non line of business o applicazioni personalizzate che utilizzano l'autenticazione NTLM. Inoltre, possono verificarsi errori diversi che sono intermittenti e possono includere "accesso negato".Che si verifichi il problema in uno scenario di accesso remoto di file seguente:
I client Windows visualizzati messaggi di errore "accesso negato" o ritardare le risposte da file server.Che si verifichi il seguente problema in qualsiasi scenario in cui la delega Kerberos viene utilizzata in un servizio di livello intermedio:
I client di accedere correttamente al primo ma quindi perdono l'accesso alle stesse risorse. È inoltre possibile ripetutamente richieste le credenziali o che si verifichino errori "accesso negato".Note
Causa
Questo problema si verifica quando un numero elevato di autenticazione NTLM o transazioni convalida Kerberos PAC (o entrambe) si verificano su un server basato su Windows e che il volume è superiore al volume che può essere gestito contemporaneamente dal server membro o controller di dominio che fornisce l'autenticazione. In altre parole, ciò è causato da un collo di bottiglia di autenticazione.
L'autenticazione NTLM e convalida PAC vengono eseguiti da thread dedicati per il processo di Lsass.exe in computer basati su Windows. Non vi è un numero massimo di questi thread disponibili gestire tali richieste contemporaneamente e se le richieste superano la disponibilità dei thread e le richieste di non attendere più, questo problema si verifica.
Per impostazione predefinita, le workstation hanno uno dei thread disponibili per l'utilizzo e i server membri dispongano di due dei thread disponibili per l'utilizzo. Controller di dominio dispongono di un thread disponibile per il canale di protezione di domini trusted. Il numero massimo di thread dedicati a questo scopo è noto come "Maxconcurrentapi" e configurabile.
Risoluzione
Per risolvere il problema, utilizzare uno o più dei seguenti metodi:
-
Installare la seguente correzione rapida e quindi seguire i passaggi descritti nella sezione "informazioni del Registro di sistema". Dopo aver installato questo aggiornamento rapido in Windows Vista, Windows Server 2008, Windows 7 o Windows Server 2008 R2, il maximumlimit di connessioni simultanee tra un client e un altro server o un controller di dominio per l'autenticazione NTLM o convalida PAC può essere modificato fino a 150. Eseguire questa operazione su tutti i server che presentano Perfmon Netlogon "semaforo timeout" indicazioni nei loro registri di prestazioni o che dispongono di "NlpUserValidateHigher: Impossibile allocare uno slot di API Client" testo nei relativi registri di debug Netlogon.
-
Per applicazioni e servizi che utilizzano NTLM, appena configurarli per utilizzare l'autenticazione Kerberos. I metodi per eseguire questa operazione saranno univoci per tali applicazioni.
Nota: Per decidere quale valore da impostare per il MaxConcurrentApi impostazione nell'ambiente, consultare l'articolo della Knowledge Base riportato di seguito.
2688798 come eseguire l'ottimizzazione delle prestazioni per l'autenticazione NTLM tramite l'impostazione di MaxConcurrentApi
Informazioni sull'hotfix
Un hotfix supportato è disponibile da Microsoft. Tuttavia, questo hotfix è destinato esclusivamente alla correzione del problema descritto in questo articolo. Applicare questo hotfix solo ai sistemi in cui si verificano il problema descritto in questo articolo. Questo hotfix potrebbe essere sottoposto ad ulteriori test. Se il problema non causa gravi difficoltà, si consiglia di attendere il successivo aggiornamento software contenente tale hotfix.
Se l'hotfix è disponibile per il download, è presente una sezione "Hotfix disponibile per il download" all'inizio di questo articolo della Knowledge Base. Se questa sezione non viene visualizzata, contattare il servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.
Nota: Se si verificano ulteriori problemi o se è necessaria attività di risoluzione aggiuntiva, potrebbe essere necessario creare una richiesta di assistenza separata. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare specifico hotfix in questione. Per un elenco completo dei numeri di telefono del servizio clienti Microsoft e supporto tecnico o per creare una richiesta di assistenza separata, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: Il modulo "Hotfix disponibile per il download" Visualizza le lingue per cui è disponibile l'hotfix. Se non viene visualizzata la lingua, è perché un aggiornamento rapido non è disponibile per tale lingua.
Prerequisiti
Per applicare questo hotfix, il computer deve eseguire Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 o Windows Server 2008 Service Pack 2.
Informazioni del Registro di sistema
Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, una modifica errata del registro di sistema potrebbe causare gravi problemi. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 come eseguire il backup e ripristinare il Registro di sistema WindowsDopo aver installato l'aggiornamento rapido, aumentare il valore di Maxconcurrentapi a un numero maggiore in tutti i server che dispongono di Perfmon Netlogon "semaforo timeout" indicazioni nei loro registri di prestazioni o che hanno "NlpUserValidateHigher: Impossibile allocare uno slot di API Client" testo nei relativi registri di debug Netlogon. A tale scopo, attenersi alla seguente procedura:note
Richiesta di riavvio
Dopo avere applicato questo hotfix, è necessario riavviare il computer.
Informazioni sulla sostituzione dell'aggiornamento rapido
Questo hotfix non sostituisce un aggiornamento rapido precedentemente rilasciato.
Informazioni sui file
La versione inglese (Stati Uniti) di questo hotfix consente di installare file con gli attributi elencati nelle tabelle seguenti. Le date e ore per questi file sono elencate nel tempo universale coordinato (UTC). Le date e le ore dei file sul computer locale vengono visualizzate nell'ora locale con la differenza dell'ora legale (DST). Inoltre, le date e gli orari possono cambiare quando si eseguono determinate operazioni sui file.
-
I file MANIFEST (manifest) e il MUM (mum) installati per ogni ambiente sono elencati separatamente nella sezione "ulteriori informazioni sui file per Windows Vista e Windows Server 2008". MUM e file MANIFEST e i file di catalogo (CAT) di protezione associato, sono molto importanti per mantenere lo stato del componente aggiornato. I file catalogo di protezione elencati senza attributi sono firmati con firma digitale Microsoft.
Informazioni sui file per Windows Vista e Windows Server 2008
Informazioni file per le versioni basate su x86 di Windows Vista e Windows Server 2008
|
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
592,896 |
16-Dec-2009 |
12:09 |
x86 |
|
Nlsvc.mof |
Non applicabile |
2,873 |
03-Apr-2009 |
21:24 |
Non applicabile |
Informazioni file per le versioni basate su x64 di Windows Vista e Windows Server 2008
|
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
716,800 |
16-Dec-2009 |
12:07 |
x64 |
|
Nlsvc.mof |
Non applicabile |
2,873 |
03-Apr-2009 |
20:58 |
Non applicabile |
Informazioni sui file per le versioni basate su IA-64 di Windows Server 2008
|
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
1,216,512 |
16-Dec-2009 |
12:05 |
IA-64 |
|
Nlsvc.mof |
Non applicabile |
2,873 |
03-Apr-2009 |
20:59 |
Non applicabile |
Informazioni sui file per Windows 7 e Windows Server 2008 R2
Note relative alle informazioni dei file di Windows 7 e Windows Server 2008 R2
Importante Aggiornamenti rapidi di Windows 7 e aggiornamenti rapidi di Windows Server 2008 R2 sono inclusi nel pacchetto stesso. Tuttavia, gli aggiornamenti rapidi nella pagina richiesta Hotfix sono elencati in entrambi i sistemi operativi. Per richiedere il pacchetto di hotfix che si applica a uno o a entrambi i sistemi operativi, selezionare l'hotfix elencato nella pagina in "Windows 7 e Windows Server 2008 R2". Sempre fare riferimento alla sezione "Si applica a" negli articoli per determinare il sistema operativo effettivo al quale si applica ogni aggiornamento rapido.
-
I file MANIFEST (manifest) e il MUM (mum) installati per ogni ambiente sono elencati separatamente nella sezione "Ulteriori file di informazioni per Windows Server 2008 R2 e Windows 7". MUM e file MANIFEST e i file di catalogo (CAT) di protezione associato, sono molto importanti per mantenere lo stato del componente aggiornato. I file catalogo di protezione elencati senza attributi sono firmati con firma digitale Microsoft.
Per tutte le versioni x86 di Windows 7
|
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
563,712 |
16-Nov-2009 |
06:40 |
x86 |
|
Nlsvc.mof |
Non applicabile |
2,873 |
10-Jun-2009 |
21:29 |
Non applicabile |
Per tutte le versioni x64 di Windows 7 e Windows Server 2008 R2
|
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
692,736 |
16-Nov-2009 |
07:45 |
x64 |
|
Nlsvc.mof |
Non applicabile |
2,873 |
10-Jun-2009 |
20:47 |
Non applicabile |
Per tutte le versioni basate su IA-64 supportate di Windows Server 2008 R2
|
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
1,148,416 |
16-Nov-2009 |
06:10 |
IA-64 |
|
Nlsvc.mof |
Non applicabile |
2,873 |
10-Jun-2009 |
20:52 |
Non applicabile |
Stato
Microsoft ha confermato che questo è un problema dei prodotti Microsoft elencati nella sezione "Si applica a".
Ulteriori informazioni
Questa correzione è inclusa in Windows 7 Service Pack 1 (SP1) e in Windows Server 2008 R2 Service Pack 1 (SP1).
L'impostazione MaxConcurrentApi e le impostazioni predefinite per tale sono un retaggio di Windows 2000 e delle funzionalità hardware limitate di quel momento. Con l'hardware meno recenti, consentendo un thread aggiuntivi e il traffico RPC che generano sarebbe stata un serio problema e si è verificato la possibilità di eventuali colli di bottiglia, se sono stati creati troppi thread. Con le piattaforme hardware più recenti e migliorare le prestazioni, è meno probabile che si verifichi tale limitazione di prestazioni hardware. Come sempre, è importante valutare e comprendere le prestazioni dei server in un ambiente prima di aumentare il carico potenziale utilizzando un'impostazione MaxConcurrentApi elevata.
Per ulteriori informazioni su come utilizzare il servizio Accesso rete (Netlogon) registrazione di debug, fare clic sul numero seguente per visualizzare l'articolo della Microsoft Knowledge Base:
La registrazione per il servizio Accesso rete di 109626 attivazione debugUn ulteriore passaggio lessening può essere eseguito su controller di dominio basato su Windows Server 2003 con voci di registro di debug del servizio Netlogon che indicano che i client inviano < null > \nomeutente anziché domainname\nomeutente. La procedura descritta nel seguente articolo della Microsoft Knowledge Base:
923241 Lsass.exe il processo potrebbe bloccarsi se si dispone di molte trust esterni in un controller di dominio basato su Windows Server 2003Ulteriori informazioni su come utilizzare l'oggetto di monitoraggio prestazioni di accesso rete sono disponibile, insieme a un aggiornamento per aggiungere l'oggetto prestazioni in Windows Server 2003. Non vi è un aggiornamento per Windows Server 2003 che consente di monitorare la velocità e la velocità effettiva di autenticazioni NTLM. Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
928576 nuovi contatori delle prestazioni per Windows Server 2003 consentono di monitorare le prestazioni dell'autenticazione di Netlogon
C'è un aggiornamento per Windows Server 2008 R2 che introduce nuovi eventi per tenere traccia di overload Netlogoan API:
Sono disponibili le nuove voci di registro eventi che tengono traccia dei ritardi di autenticazione NTLM ed errori in Windows Server 2008 R2
http://support.microsoft.com/default.aspx?scid=KB; EN-US; 2654097
Per ulteriori informazioni sulla terminologia degli aggiornamenti software, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
824684
Descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft
Ulteriori informazioni sui file
Ulteriori informazioni sui file per Windows Vista e Windows Server 2008
Ulteriori informazioni sui file per le versioni basate su x86 di Windows Server 2008 e Windows Vista
|
Nome del file |
Update.mum |
|
Versione del file |
Non applicabile |
|
Dimensione del file |
3,068 |
|
Data (UTC) |
16-Dec-2009 |
|
Ora (UTC) |
21:16 |
|
Piattaforma |
Non applicabile |
|
Nome del file |
X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest |
|
Versione del file |
Non applicabile |
|
Dimensione del file |
705 |
|
Data (UTC) |
16-Dec-2009 |
|
Ora (UTC) |
21:16 |
|
Piattaforma |
Non applicabile |
|
Nome del file |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest |
|
Versione del file |
Non applicabile |
|
Dimensione del file |
22,701 |
|
Data (UTC) |
16-Dec-2009 |
|
Ora (UTC) |
14:05 |
|
Piattaforma |
Non applicabile |
Ulteriori informazioni sui file per le versioni basate su x64 di Windows Vista e Windows Server 2008
|
Nome del file |
Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest |
|
Versione del file |
Non applicabile |
|
Dimensione del file |
1,060 |
|
Data (UTC) |
16-Dec-2009 |
|
Ora (UTC) |
21:16 |
|
Piattaforma |
Non applicabile |
|
Nome del file |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest |
|
Versione del file |
Non applicabile |
|
Dimensione del file |
23,180 |
|
Data (UTC) |
16-Dec-2009 |
|
Ora (UTC) |
15:52 |
|
Piattaforma |
Non applicabile |
|
Nome del file |
Update.mum |
|
Versione del file |
Non applicabile |
|
Dimensione del file |
3,092 |
|
Data (UTC) |
16-Dec-2009 |
|
Ora (UTC) |
21:16 |
|
Piattaforma |
Non applicabile |
|
Nome del file |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Versione del file |
Non applicabile |
|
Dimensione del file |
18,332 |
|
Data (UTC) |
16-Dec-2009 |
|
Ora (UTC) |
14:00 |
|
Piattaforma |
Non applicabile |
Ulteriori informazioni sui file per le versioni basate su IA-64 di Windows Server 2008
|
Nome del file |
Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest |
|
Versione del file |
Non applicabile |
|
Dimensione del file |
1,058 |
|
Data (UTC) |
16-Dec-2009 |
|
Ora (UTC) |
21:16 |
|
Piattaforma |
Non applicabile |
|
Nome del file |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest |
|
Versione del file |
Non applicabile |
|
Dimensione del file |
23,156 |
|
Data (UTC) |
16-Dec-2009 |
|
Ora (UTC) |
16:08 |
|
Piattaforma |
Non applicabile |
|
Nome del file |
Update.mum |
|
Versione del file |
Non applicabile |
|
Dimensione del file |
2,247 |
|
Data (UTC) |
16-Dec-2009 |
|
Ora (UTC) |
21:16 |
|
Piattaforma |
Non applicabile |
|
Nome del file |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Versione del file |
Non applicabile |
|
Dimensione del file |
18,332 |
|
Data (UTC) |
16-Dec-2009 |
|
Ora (UTC) |
14:00 |
|
Piattaforma |
Non applicabile |
Ulteriori informazioni sui file per Windows 7 e Windows Server 2008 R2
File aggiuntivi per tutte le versioni x86 supportate di Windows 7
|
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
|---|---|---|---|---|---|
|
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Non applicabile |
1,947 |
16-Nov-2009 |
09:45 |
Non applicabile |
|
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest |
Non applicabile |
35,541 |
16-Nov-2009 |
08:08 |
Non applicabile |
File aggiuntivi per tutte supportate versioni basate su x64 di Windows 7 e Windows Server 2008 R2
|
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest |
Non applicabile |
35,547 |
16-Nov-2009 |
08:11 |
Non applicabile |
|
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Non applicabile |
2,181 |
16-Nov-2009 |
09:45 |
Non applicabile |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Non applicabile |
16,596 |
16-Nov-2009 |
08:01 |
Non applicabile |
File aggiuntivi per tutte le versioni basate su IA-64 supportate di Windows Server 2008 R2
|
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
|---|---|---|---|---|---|
|
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest |
Non applicabile |
35,544 |
16-Nov-2009 |
09:06 |
Non applicabile |
|
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Non applicabile |
1,683 |
16-Nov-2009 |
09:45 |
Non applicabile |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Non applicabile |
16,596 |
16-Nov-2009 |
08:01 |
Non applicabile |
