Comment configurer un ordinateur ISA Server pour un grand nombre de demandes d’authentification

Cet article pas à pas explique comment améliorer le débit d’authentification sur un ordinateur qui exécute Microsoft Internet Security and Acceleration (ISA).

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 326040

Résumé

Si l’ordinateur utilise l’authentification NTLM ou de base pour de nombreux clients Web, les performances peuvent être médiocres. Ce problème ne se produit pas lorsque l’authentification est désactivée.

Vous pouvez améliorer le débit d’authentification en augmentant le nombre d’appels d’authentification simultanés en cours à la fois entre l’ordinateur ISA Server et le contrôleur de domaine.

Les serveurs membres Windows émettent uniquement deux demandes d’authentification NTLM simultanées par défaut. Les contrôleurs de domaine Windows ne prennent en charge qu’une seule demande d’authentification simultanée par session avec un contrôleur de domaine distant (utilisateur).

Ajouter une clé de Registre

Suivez ces étapes pour augmenter le nombre d’appels d’authentification simultanés en cours à la fois entre l’ordinateur ISA Server et le contrôleur de domaine.

1. Démarrez l’Éditeur du Registre. Pour ce faire, cliquez sur Démarrer , sur Exécuter, tapez Regedt32.exe, puis cliquez sur OK.

2. Recherchez la clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

3. Dans le menu Modifier , cliquez sur Ajouter une valeur, puis ajoutez les informations de Registre suivantes :

   • Nom de la valeur : MaxConcurrentApi
   • Type de données : REG_DWORD
   • Valeur : comprise entre 0 et 10.

   La valeur maximale de Windows 2008 R2 est 150.

4. Redémarrez le service NETLOGON. Pour utiliser les valeurs les plus élevées, vous devez installer une mise à jour : 975363 Une erreur de délai d’attente se produit lorsque de nombreuses demandes d’authentification NTLM sont envoyées à partir d’un membre de domaine pour les utilisateurs de domaines distants dans un réseau à latence élevée.

Si vous disposez d’un ordinateur exécutant Microsoft Windows 2000 Advanced Server, vous pouvez utiliser le composant d’équilibrage de charge réseau (précédemment appelé WLBS) de Windows 2000 Advanced Server pour distribuer les demandes d’accès entrantes entre plusieurs serveurs IAS. Cela permet au serveur de mieux fonctionner lorsque le trafic réseau est élevé.

Pour équilibrer la charge des requêtes web et de l’authentification et améliorer les performances, vous pouvez également utiliser davantage d’ordinateurs ISA Server dans un tableau.

Vous devez définir la valeur sur le serveur de ressources et tous les contrôleurs de domaine intermédiaires qui gèrent la demande d’authentification NTLM sur le chemin d’accès au domaine de l’utilisateur. Dans une forêt Active Directory à plusieurs niveaux contoso.com avec des domaines users.contoso.com avec les utilisateurs et servers.contoso.com avec les serveurs de ressources, cela signifie que vous devez le définir sur les serveurs de ressources et les contrôleurs de domaine dans server.contoso.com et les contrôleurs de domaine dans contoso.com.

Une autre façon d’améliorer les performances peut être d’authentifier l’ordinateur client à l’aide de Kerberos, mais cela n’est pas pris en charge avec Internet Explorer 6 et les versions antérieures. Plus tôt.

References

Informations sur la mise à jour pour Windows Server 2008 R2 qui augmente la limite décrite ci-dessus :

975363 Une erreur de délai d’attente se produit lorsque de nombreuses demandes d’authentification NTLM sont envoyées à partir d’un ordinateur exécutant Windows Server 2008 R2 ou Windows 7 dans un réseau à latence élevée

Vous êtes invité par intermittence à entrer des informations d’identification ou des délais d’expiration lorsque vous vous connectez aux services authentifiés