Objawy
Może wystąpić jeden lub więcej z następujących symptomów. Te symptomy może być ciągły lub przerywany. Objawy te są częściej i bardziej rozpowszechnione w okresach "wysokiego obciążenia", takich jak firmy na początku dnia, gdy klient zwiększone obciążenie odbywa się na serwerach w środowisku.
Mogą wystąpić następujące problemy w scenariuszu usługi sieci web: mogą wystąpić następujące problemy w scenariuszu serwer proxy w sieci web: mogą wystąpić następujące problemy w scenariuszu klienta Exchange: może wystąpić następujący problem w każdym scenariuszu, w którym NTLM jest używane uwierzytelnianie dla aplikacji:
Niepowodzenie linii biznesowych lub niestandardowe aplikacje, które korzystają z uwierzytelniania NTLM. Ponadto może zostać wyświetlony inny błędów, które są nieciągłe oraz może obejmować "odmowa dostępu".Może wystąpić następujący problem w scenariuszu dostępu zdalnego pliku:
Klienci systemu Windows błędy "odmowa dostępu" lub opóźnione odpowiedzi z serwera plików.Może wystąpić następujący problem w każdym scenariuszu, w którym delegowania protokołu Kerberos jest używany w usłudze warstwy środkowej:
Klienci uzyskać dostęp pomyślnie na początku, ale następnie utracić dostęp do tych samych zasobów. Ponadto może być wielokrotnym monitowaniu o poświadczenia lub wystąpić błędy "odmowa dostępu".Uwagi
Przyczyna
Ten problem występuje, gdy na dużą liczbę uwierzytelniania NTLM lub transakcje sprawdzania poprawności SAW Kerberos (lub oba) występują na serwerze z systemem Windows i tego woluminu jest większa od objętości, które mogą być obsługiwane przez serwer członkowski lub kontrolerów domeny, które dostarczają uwierzytelniania w jednym czasie. Innymi słowy jest to spowodowane przez wąskie gardło zasobu uwierzytelniania.
Uwierzytelnianie NTLM i sprawdzanie poprawności SAW są wykonywane przez dedykowane wątki w procesie Lsass.exe na komputerach z systemem Windows. Istnieje maksymalna liczba tych wątków, które są dostępne do obsługi tych żądań w tym samym czasie, a jeśli żądania przekracza dostępności wątków i żądania nie można dłużej czekać, ten problem występuje.
Domyślnie stacje robocze mają jeden z wątków, które są dostępne do użytku i serwerów członkowskich mają dwa wątki dostępne do użytku. Kontrolery domeny mają jeden wątek dostępne na kanał zabezpieczeń do domen zaufanych. Tę maksymalną liczbę wątków, które są przeznaczone do tego celu jest znany jako "Maxconcurrentapi" i jest konfigurowany.
Rozwiązanie
Aby rozwiązać ten problem, użyj jednej lub kilku z następujących metod:
-
Należy zainstalować następującą poprawkę, a następnie wykonaj kroki opisane w sekcji "informacje dotyczące rejestru". Po zainstalowaniu tej poprawki na Windows Vista, Windows Server 2008, Windows 7 lub Windows Server 2008 R2 maximumlimit równoczesnych połączeń między komputerem klienckim a innym serwerem lub kontroler domeny dla uwierzytelniania NTLM lub PAC sprawdzania poprawności mogą być zmieniane aż do 150. Należy to zrobić na wszystkich serwerach, które wykazują Perfmon Netlogon oznaczeń "semafor limitu czasu" w swoich dziennikach wydajności lub które mają "NlpUserValidateHigher: nie można przydzielić gniazdo klienta interfejsu API" tekst w swoich dziennikach debugowania Netlogon.
-
Dla aplikacji i usług korzystających z uwierzytelniania NTLM wystarczy skonfigurować je zamiast używać uwierzytelniania Kerberos. Metody zrobić, które będą unikatowe dla tych aplikacji.
Uwaga Aby zdecydować, jaką wartość ustawić dla MaxConcurrentApi ustawienie w danym środowisku znajduje się w artykule bazy wiedzy Knowledge Base poniżej.
Jak zrobić, dostrajanie wydajności dla uwierzytelniania NTLM, przy użyciu ustawienia MaxConcurrentApi 2688798
Informacje o poprawce
Obsługiwana poprawka jest udostępniana przez firmę Microsoft. Jednak ta poprawka jest przeznaczona tylko do usunięcia problemu opisanego w tym artykule. Tę poprawkę tylko w systemach, w których występuje problem opisany w tym artykule. Ta poprawka może być wciąż w fazie testowania. Jeśli dany system nie jest poważnie narażony na ten problem, firma Microsoft zaleca, aby poczekać na następną aktualizację oprogramowania zawierającą tę poprawkę.
Jeśli poprawka jest dostępna do pobrania, pojawi się sekcja "Poprawka dostępna do pobrania" na początku tego artykułu z bazy wiedzy Knowledge Base. Jeśli nie ma tej sekcji, skontaktuj się z Obsługą i Wsparciem Klienta Microsoft w celu uzyskania poprawki.
Uwaga Jeśli wystąpią dodatkowe błędy lub konieczność rozwiązania problemu, być może trzeba będzie utworzyć osobne zlecenie usługi. Zwykłe koszty obsługi będą zastosowane do dodatkowych pytań i problemów, których nie można rozwiązać przy użyciu określonej poprawki. Aby uzyskać pełną listę numerów telefonów działu obsługi klienta firmy Microsoft lub utworzyć osobne zlecenie usługi odwiedź następujące witryny firmy Microsoft:
http://support.microsoft.com/contactus/?ws=supportUwaga "Poprawka dostępna do pobrania" zawiera listę języków, dla których dostępna jest poprawka. Jeśli odpowiedni język nie jest widoczny, to dlatego, że poprawka nie jest dostępna dla danego języka.
Wymagania wstępne
Aby zastosować tę poprawkę, komputer musi działać system Windows 7, Windows Server 2008 R2, dodatku Service Pack 2 dla systemu Windows Vista lub Windows Server 2008 Service Pack 2.
Informacje dotyczące rejestru
Ważne Niniejsza sekcja, metoda lub zadanie zawiera informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, że wykonujesz następujące kroki ostrożnie. Aby zapewnić sobie dodatkową ochronę, wykonaj kopię zapasową rejestru przed przystąpieniem do modyfikacji. Wtedy będziesz mógł przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 jak wykonać kopię zapasową i przywrócić rejestr w systemie WindowsPo zainstalowaniu tej poprawki, należy zwiększyć wartość Maxconcurrentapi do większej liczby na wszystkich serwerach, które mają w swoich dziennikach wydajności Perfmon Netlogon oznaczeń "semafor timeout" lub "NlpUserValidateHigher: nie można przydzielić gniazdo klienta interfejsu API" tekst w swoich dziennikach debugowania Netlogon. Aby to zrobić, wykonaj następujące kroki:Uwagi
Wymagania dotyczące ponownego uruchomienia
Po zastosowaniu tej poprawki należy ponownie uruchomić komputer.
Informacje dotyczące zastępowania poprawek
Ta poprawka nie zastępuje wcześniej wydanej poprawki.
Informacje o plikach
Wersja angielskojęzyczna (Stany Zjednoczone) tej poprawki instaluje pliki, których atrybuty wymieniono w poniższych tabelach. Daty i godziny odpowiadające tym plikom są podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Daty i godziny odpowiadające tym plikom na komputerze lokalnym są wyświetlane w formacie czasu lokalnego, wraz z Twoim bieżącym bias czasu letniego (DST). Dodatkowo, daty mogą ulec zmianie podczas wykonywania pewnych operacji na plikach.
-
Pliki MANIFESTU (manifest) i pliki MUM (mum) które są instalowane dla poszczególnych środowisk zostały wymienione osobno w sekcji "informacje o dodatkowych plikach dla systemu Windows Vista i Windows Server 2008". Pliki MUM i pliki MANIFESTU oraz skojarzone zabezpieczeń pliki wykazu (.cat), są bardzo ważne dla stanu zaktualizowanego składnika. Pliki katalogu zabezpieczeń, których atrybuty nie zostały wymienione, są podpisane za pomocą podpisu cyfrowego firmy Microsoft.
Informacje o plikach dla systemu Windows Vista i Windows Server 2008
Informacje o plikach dla x86 wersji systemu Windows Server 2008 i Windows Vista
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
592,896 |
16-Dec-2009 |
12:09 |
x86 |
|
Nlsvc.mof |
Nie dotyczy |
2,873 |
03-Apr-2009 |
21:24 |
Nie dotyczy |
Informacje o plikach dla x64-bitowych wersji systemu Windows Server 2008 i Windows Vista
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
716,800 |
16-Dec-2009 |
12:07 |
x64 |
|
Nlsvc.mof |
Nie dotyczy |
2,873 |
03-Apr-2009 |
20:58 |
Nie dotyczy |
Informacje o plikach dla systemu Windows Server 2008, wersje dla komputerów z procesorami IA-64
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
1,216,512 |
16-Dec-2009 |
12:05 |
IA-64 |
|
Nlsvc.mof |
Nie dotyczy |
2,873 |
03-Apr-2009 |
20:59 |
Nie dotyczy |
Informacje o plikach dla systemu Windows 7 i Windows Server 2008 R2
Informacje o plikach w systemie Windows 7 i Windows Server 2008 R2
Ważne Poprawki systemu Windows 7 i Windows Server 2008 R2 są zawarte w tych samych opakowaniach. Jednak poprawki na stronie żądanie poprawki są wymienione w obu systemach operacyjnych. Aby zażądać pakietu poprawek, który dotyczy jednej lub obu systemów operacyjnych, wybierz poprawkę, która jest wyświetlana w obszarze "Windows 7/Windows Server 2008 R2" na stronie. Zawsze można znaleźć w sekcji "Stosuje się do" artykuły do określenia rzeczywistej systemu operacyjnego, do którego odnosi się każda poprawka.
-
Pliki MANIFESTU (.manifest) i pliki MUM (.mum) zainstalowane dla każdego środowiska są wymienione osobno w sekcji "Informacje o dodatkowych plikach dla systemów Windows Server 2008 R2 i Windows 7". Pliki MUM i pliki MANIFESTU oraz skojarzone zabezpieczeń pliki wykazu (.cat), są bardzo ważne dla stanu zaktualizowanego składnika. Pliki katalogu zabezpieczeń, których atrybuty nie zostały wymienione, są podpisane za pomocą podpisu cyfrowego firmy Microsoft.
Wszystkie obsługiwane wersje systemu Windows 7 x86
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
563,712 |
16-Nov-2009 |
06:40 |
x86 |
|
Nlsvc.mof |
Nie dotyczy |
2,873 |
10-Jun-2009 |
21:29 |
Nie dotyczy |
Dla wszystkich obsługiwanych wersji systemu Windows 7 i Windows Server 2008 R2 z procesorami x64
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
692,736 |
16-Nov-2009 |
07:45 |
x64 |
|
Nlsvc.mof |
Nie dotyczy |
2,873 |
10-Jun-2009 |
20:47 |
Nie dotyczy |
Dla wszystkich obsługiwanych wersji systemu Windows Server 2008 R2 z procesorami IA-64
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
1,148,416 |
16-Nov-2009 |
06:10 |
IA-64 |
|
Nlsvc.mof |
Nie dotyczy |
2,873 |
10-Jun-2009 |
20:52 |
Nie dotyczy |
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.
Więcej informacji
Ta poprawka jest uwzględniona w dodatku Service Pack 1 (SP1) dla systemu Windows 7 i Windows Server 2008 R2 z dodatkiem Service Pack 1 (SP1).
MaxConcurrentApi ustawienie i ustawienia domyślne dla niego są starsze, Windows 2000 i możliwości sprzętowych tego czasu. Starsze wersje sprzętu co pozwala na dodatkowe tematy i oni generują ruch RPC został poważne obawy, a było możliwości wąskie gardła wydajności, jeśli zbyt wiele wątków zostały utworzone. Nowsze platform sprzętowych i lepszą wydajność tego ograniczenia wydajności sprzętu jest mniej prawdopodobne. Jak zawsze jest ważne, aby ocenić i zrozumieć wydajności serwerów w środowisku przed zwiększyć potencjalnego obciążenia przy użyciu ustawienia MaxConcurrentApi wysokie.
Aby uzyskać więcej informacji dotyczących sposobu używania usługi Netlogon (Netlogon.log) rejestrowanie debugowania, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
109626 Włączanie debugowania usługi Net LogonZmniejszenia dodatkowych czynności mogą być wykonywane na kontrolerach domeny z systemem Windows Server 2003, które mają wpisy w ich dziennik debugowania usługi Netlogon, które wskazują, że klienci są przesyłanie < null > \Nazwa użytkownika zamiast nazwa_domeny\Nazwa użytkownika. Kroki są opisane w następującym artykule bazy wiedzy Microsoft Knowledge Base:
923241 proces Lsass.exe może przestać odpowiadać, jeśli masz wiele zaufania zewnętrzne na kontrolerze domeny z systemem Windows Server 2003Więcej informacji na temat sposobu używania obiektu monitorowania wydajności usługi Netlogon jest dostępny wraz z aktualizacji, aby dodać obiekt wydajności w systemie Windows Server 2003. Jest dostępna aktualizacja dla systemu Windows Server 2003, który pozwala monitorować szybkość i wydajność uwierzytelnianie NTLM. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
928576 nowych liczników wydajności dla systemu Windows Server 2003 pozwalają monitorować wydajność uwierzytelniania Netlogon
Jest dostępna aktualizacja dla systemu Windows Server 2008 R2 wprowadzono nowe zdarzenia do śledzenia interfejsu API Netlogoan przeciążenia:
Dostępne są nowe wpisy w dzienniku zdarzeń śledzące opóźnienia uwierzytelniania NTLM i błędów w systemie Windows Server 2008 R2
http://support.microsoft.com/default.aspx?scid=KB; EN-US; 2654097
Aby uzyskać więcej informacji dotyczących terminologii aktualizacji oprogramowania, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
824684
Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft
Informacje o dodatkowych plikach
Informacje o dodatkowych plikach dla systemu Windows Vista i Windows Server 2008
Informacje o dodatkowych plikach dla x86 wersji systemów Windows Vista i Windows Server 2008
|
Nazwa pliku |
Update.mum |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
3,068 |
|
Data (UTC) |
16-Dec-2009 |
|
Godzina (UTC) |
21:16 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
705 |
|
Data (UTC) |
16-Dec-2009 |
|
Godzina (UTC) |
21:16 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
22,701 |
|
Data (UTC) |
16-Dec-2009 |
|
Godzina (UTC) |
14:05 |
|
Platforma |
Nie dotyczy |
Informacje o dodatkowych plikach dla x64-bitowych wersji systemu Windows Server 2008 i Windows Vista
|
Nazwa pliku |
Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
1,060 |
|
Data (UTC) |
16-Dec-2009 |
|
Godzina (UTC) |
21:16 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
23,180 |
|
Data (UTC) |
16-Dec-2009 |
|
Godzina (UTC) |
15:52 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
Update.mum |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
3.092 |
|
Data (UTC) |
16-Dec-2009 |
|
Godzina (UTC) |
21:16 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
18,332 |
|
Data (UTC) |
16-Dec-2009 |
|
Godzina (UTC) |
14:00 |
|
Platforma |
Nie dotyczy |
Informacje o dodatkowych plikach dla systemu Windows Server 2008, wersje dla komputerów z procesorami IA-64
|
Nazwa pliku |
Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
1 058 |
|
Data (UTC) |
16-Dec-2009 |
|
Godzina (UTC) |
21:16 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
23,156 |
|
Data (UTC) |
16-Dec-2009 |
|
Godzina (UTC) |
16:08 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
Update.mum |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
2,247 |
|
Data (UTC) |
16-Dec-2009 |
|
Godzina (UTC) |
21:16 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
18,332 |
|
Data (UTC) |
16-Dec-2009 |
|
Godzina (UTC) |
14:00 |
|
Platforma |
Nie dotyczy |
Informacje o dodatkowych plikach dla systemu Windows 7 i Windows Server 2008 R2
Dodatkowe pliki dla wszystkich obsługiwanych wersji systemu Windows 7 z procesorami x86
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Nie dotyczy |
1 947 |
16-Nov-2009 |
09:45 |
Nie dotyczy |
|
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest |
Nie dotyczy |
35,541 |
16-Nov-2009 |
08:08 |
Nie dotyczy |
Dodatkowe pliki dla wszystkich obsługiwanych wersji systemu Windows 7 i Windows Server 2008 R2 z procesorami x 64
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest |
Nie dotyczy |
35,547 |
16-Nov-2009 |
08:11 |
Nie dotyczy |
|
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Nie dotyczy |
2 181 |
16-Nov-2009 |
09:45 |
Nie dotyczy |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Nie dotyczy |
16,596 |
16-Nov-2009 |
08:01 |
Nie dotyczy |
Dodatkowe pliki dla wszystkich obsługiwanych wersji systemu Windows Server 2008 R2 z procesorami IA-64
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest |
Nie dotyczy |
35,544 |
16-Nov-2009 |
09:06 |
Nie dotyczy |
|
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Nie dotyczy |
1 683 |
16-Nov-2009 |
09:45 |
Nie dotyczy |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Nie dotyczy |
16,596 |
16-Nov-2009 |
08:01 |
Nie dotyczy |
