Konfigurieren eines ISA Server-Computers für eine große Anzahl von Authentifizierungsanforderungen

In diesem Schritt-für-Schritt-Artikel wird beschrieben, wie Sie den Authentifizierungsdurchsatz auf einem Computer verbessern, auf dem Microsoft ISA Server (Internet Security and Acceleration) ausgeführt wird.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 326040

Zusammenfassung

Wenn der Computer die NTLM- oder Standardauthentifizierung für viele Webclients verwendet, kann die Leistung beeinträchtigt werden. Dieses Problem tritt nicht auf, wenn die Authentifizierung deaktiviert ist.

Sie können den Authentifizierungsdurchsatz verbessern, indem Sie die Anzahl gleichzeitiger Authentifizierungsaufrufe erhöhen, die gleichzeitig zwischen dem ISA Server-Computer und dem Domänencontroller ausgeführt werden.

Windows-Mitgliedsserver geben standardmäßig nur bis zu zwei gleichzeitige NTLM-Authentifizierungsanforderungen aus. Windows-Domänencontroller unterstützen nur eine gleichzeitige Authentifizierungsanforderung pro Sitzung mit einem Remotedomänencontroller (Benutzer).

Hinzufügen eines Registrierungsschlüssels

Führen Sie die folgenden Schritte aus, um die Anzahl gleichzeitig ausgeführter Authentifizierungsaufrufe zwischen dem ISA Server-Computer und dem Domänencontroller zu erhöhen.

1. Starten Sie den Registrierungs-Editor. Klicken Sie hierzu auf Start , klicken Sie auf Ausführen, geben SieRegedt32.exeein, und klicken Sie dann auf OK.

2. Suchen Sie den folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie dann die folgenden Registrierungsinformationen hinzu:

   • Wertname: MaxConcurrentApi
   • Datentyp: REG_DWORD
   • Wert: zwischen 0 und 10.

   Der Maximalwert für Windows 2008 R2 ist 150.

4. Starten Sie den NETLOGON-Dienst neu. Um die höheren Werte zu verwenden, müssen Sie ein Update installieren: 975363 Ein Timeoutfehler tritt auf, wenn viele NTLM-Authentifizierungsanforderungen von einem Domänenmitglied für Benutzer aus Remotedomänen in einem Netzwerk mit hoher Latenz gesendet werden.

Wenn Sie über einen Computer verfügen, auf dem Microsoft Windows 2000 Advanced Server ausgeführt wird, können Sie die Netzwerklastenausgleichskomponente (früher als WLBS bezeichnet) von Windows 2000 Advanced Server verwenden, um eingehende Zugriffsanforderungen auf mehrere IAS-Server zu verteilen. Dies hilft dem Server, eine bessere Leistung zu erzielen, wenn der Netzwerkdatenverkehr hoch ist.

Zum Lastenausgleich der Webanforderungen und der Authentifizierung und zur Steigerung der Leistung können Sie auch weitere ISA Server-Computer in einem Array verwenden.

Sie sollten den Wert auf dem Ressourcenserver und allen Zwischen-Domänencontrollern, die die NTLM-Authentifizierungsanforderung verarbeiten, im Pfad zur Benutzerdomäne festlegen. In einer Active Directory-Gesamtstruktur mit mehreren Ebenen contoso.com mit Domänen users.contoso.com mit den Benutzern und servers.contoso.com mit den Ressourcenservern müssen Sie dies auf den Ressourcenservern und DOmänencontrollern in server.contoso.com und Domänencontrollern in contoso.com festlegen.

Eine weitere Möglichkeit zum Verbessern der Leistung ist möglicherweise die Authentifizierung des Clientcomputers mithilfe von Kerberos, dies wird jedoch mit Internet Explorer 6 und früheren Versionen nicht unterstützt. Früheren.

References

Informationen zum Update für Windows Server 2008 R2, das den oben dokumentierten Grenzwert erhöht:

975363 Ein Timeoutfehler tritt auf, wenn viele NTLM-Authentifizierungsanforderungen von einem Computer gesendet werden, auf dem Windows Server 2008 R2 oder Windows 7 in einem Netzwerk mit hoher Latenz ausgeführt wird.

Sie werden zeitweilig zur Eingabe von Anmeldeinformationen oder Timeouts aufgefordert, wenn Sie eine Verbindung mit authentifizierten Diensten herstellen.