Настройка компьютера ISA Server для большого количества запросов проверки подлинности

В этой пошаговой статье описывается, как повысить пропускную способность проверки подлинности на компьютере с сервером Microsoft Internet Security and Acceleration (ISA).

Применяется к: Windows Server 2012 R2
Оригинальный номер базы знаний: 326040

Сводка

Если компьютер использует NTLM или обычную проверку подлинности для многих веб-клиентов, может возникнуть низкая производительность. Эта проблема не возникает при отключенной проверке подлинности.

Вы можете повысить пропускную способность проверки подлинности, увеличив количество одновременных вызовов проверки подлинности, которые одновременно выполняются между компьютером ISA Server и контроллером домена.

Рядовые серверы Windows по умолчанию выдают не более двух одновременных запросов проверки подлинности NTLM. Контроллеры домена Windows поддерживают только один одновременный запрос проверки подлинности на сеанс с удаленным (пользовательским) контроллером домена.

Добавление раздела реестра

Выполните следующие действия, чтобы одновременно увеличить количество одновременных вызовов проверки подлинности между компьютером ISA Server и контроллером домена.

1. Откройте редактор реестра. Для этого нажмите кнопку Пуск , нажмите кнопку Выполнить, введитеRegedt32.exeи нажмите кнопку ОК.

2. Найдите следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

3. В меню Правка щелкните Добавить значение, а затем добавьте следующие сведения о реестре:

   • Имя значения: MaxConcurrentApi
   • Тип данных: REG_DWORD
   • Значение: от 0 до 10.

   Максимальное значение Windows 2008 R2 — 150.

4. Перезапустите службу NETLOGON. Чтобы использовать более высокие значения, необходимо установить обновление: 975363 Ошибка времени ожидания возникает при отправке от участника домена большого количества запросов проверки подлинности NTLM для пользователей из удаленных доменов в сети с высокой задержкой.

Если у вас есть компьютер под управлением Microsoft Windows 2000 Advanced Server, вы можете использовать компонент балансировки сетевой нагрузки (ранее известный как WLBS) расширенного сервера Windows 2000 для распределения входящих запросов на доступ между несколькими серверами IAS. Это помогает серверу работать лучше при большом сетевом трафике.

Для балансировки нагрузки веб-запросов и проверки подлинности и повышения производительности можно также использовать больше компьютеров ISA Server в массиве.

Следует задать значение на сервере ресурсов и на всех промежуточных контроллерах домена, обрабатывая запрос проверки подлинности NTLM по пути к домену пользователя. В многоуровневом лесу Active Directory contoso.com с доменами, users.contoso.com с пользователями и servers.contoso.com с серверами ресурсов, это означает, что необходимо задать его на серверах ресурсов и контроллерах домена в server.contoso.com и контроллерах домена в contoso.com.

Другим способом повышения производительности может быть проверка подлинности клиентского компьютера с помощью Kerberos, но это не поддерживается в Internet Обозреватель 6 и более ранних версий. Ранее.

Ссылки

Сведения об обновлении для Windows Server 2008 R2, которое увеличивает ограничение, описанное выше:

975363. Ошибка времени ожидания возникает при отправке большого количества запросов проверки подлинности NTLM с компьютера под управлением Windows Server 2008 R2 или Windows 7 в сети с высокой задержкой

При подключении к службам, прошедшим проверку подлинности, периодически запрашиваются учетные данные или время ожидания.