Sintomas
Poderá detectar um ou mais dos seguintes sintomas. Estes sintomas podem ser intermitentes ou contínuo. Estes sintomas são mais susceptíveis e mais generalizada durante as horas "elevada utilização", tal como no início de uma empresa dia quando o cliente aumento carregar ocorre em servidores de ambiente.
Poderá detectar os seguintes problemas num cenário de serviços web: poderá detectar os seguintes problemas com um cenário de proxy da web: poderá detectar os seguintes problemas com um cenário de cliente do Exchange: poderá detectar o seguinte problema em qualquer cenário no qual NTLM autenticação é utilizada para aplicações:
Linha de negócio ou aplicações personalizadas que utilizam autenticação NTLM falhar. Além disso, poderá receber erros diferentes que são intermitentes e podem incluir "acesso negado".Poderá detectar o seguinte problema num cenário de acesso remoto de ficheiro:
Os clientes Windows recebem erros de "acesso negado" ou atrasar as respostas do servidor de ficheiros.Poderá detectar o seguinte problema em qualquer cenário em que a delegação Kerberos está a ser utilizada um serviço de camada:
Os clientes de acederem com êxito à primeira mas perdem o acesso aos mesmos recursos. Além disso, poderá ser-lhe pedidas repetidamente credenciais ou surgirem erros de "acesso negado".Notas
Causa
Este problema ocorre quando um grande volume de autenticação NTLM ou transacções de validação de Kerberos carvão activado em pó (ou ambos) ocorrem num servidor baseado no Windows e esse volume for maior do que o volume que pode ser processado simultaneamente pelo servidor membro ou controladores de domínio que estão a fornecer autenticação. Por outras palavras, isto é causado por um congestionamento do recurso de autenticação.
A autenticação NTLM e validação de carvão activado em pó são executadas por dedicado threads no processo de Lsass.exe em computadores baseados no Windows. Existe um número máximo destes threads que estão disponíveis para processar estes pedidos ao mesmo tempo e, se os pedidos de excedem a disponibilidade dos threads e os pedidos não é possível aguardar já, este problema ocorre.
Por predefinição, as estações de trabalho de ter um dos threads disponíveis para utilização e servidores membros possuem dois threads disponíveis para utilização. Controladores de domínio tem um thread disponível por canal de segurança para domínios fidedignos. Este número máximo de threads que estão dedicado para este efeito é conhecido como "Maxconcurrentapi" e é configurável.
Resolução
Para resolver o problema, utilize um ou mais dos seguintes métodos:
-
Instale a correcção seguinte e, em seguida, siga os passos descritos na secção "informações de registo". Depois de instalar esta correcção no Windows Vista, Windows Server 2008, Windows 7 ou Windows Server 2008 R2, o maximumlimit de ligações simultâneas entre um computador cliente e outro servidor ou um controlador de domínio para a autenticação NTLM ou validação de carvão activado em pó, podendo ser alterado até 150. Este deve ser efectuado em todos os servidores que exibam Perfmon Netlogon indicações "semáforo tempo limite" nos seus registos de desempenho ou que tenham o "NlpUserValidateHigher: não é possível atribuir a ranhura de API de cliente" texto nos seus registos de depuração do Netlogon.
-
Para aplicações e serviços que estão a utilizar NTLM, basta configurá-los para utilizar a autenticação Kerberos em vez disso. Os métodos para o fazer será exclusivos a essas aplicações.
Nota Para decidir qual o valor para definir para a MaxConcurrentApi definição no seu ambiente, consulte o artigo na Base de dados de Conhecimento abaixo.
2688798 como efectuar a optimização do desempenho para a autenticação NTLM utilizando a definição de MaxConcurrentApi
Informações sobre correção
Existe uma correção suportada pela Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham o problema descrito neste artigo. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afetado por este problema, recomendamos que aguarde pela próxima atualização de software que contenha esta correção.
Se a correcção estiver disponível para transferência, existirá uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se esta secção não for apresentada, contacte o Suporte ao Cliente da Microsoft para obter a correção.
Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte site da Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.
Pré-requisitos
Para aplicar esta correcção, o computador tem de ter o Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 ou Windows Server 2008 Service Pack 2.
Informações de registo
Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma maior protecção, efectue o backup do Registro antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
322756 como efectuar cópias de segurança e restaurar o registo no WindowsDepois de instalar a correcção, aumente o valor de Maxconcurrentapi para um número maior em todos os servidores que têm Perfmon Netlogon indicações de "semáforo tempo de espera" nos seus registos de desempenho ou que têm "NlpUserValidateHigher: não é possível atribuir a ranhura de API de cliente" texto nos seus registos de depuração do Netlogon. Para tal, siga estes passos:notas
Requisito de reinício
Tem de reiniciar o computador depois de aplicar esta correcção.
Informações sobre substituição da correção
Esta correção não substitui uma correção disponibilizada anteriormente.
Informações de ficheiro
A versão inglesa (Estados Unidos) desta correcção instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na Hora Universal Coordenada (UTC). As datas e horas destes ficheiros no computador local são apresentadas na hora local em conjunto com a compensação de hora de Verão (DST) atual. Além disso, as datas e horas podem ser alteradas quando são executadas determinadas operações nos ficheiros.
-
Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados em separado na secção "informações sobre ficheiros adicionais para Windows Vista e Windows Server 2008". MUM e ficheiros de MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são muito importantes para manter o estado do componente actualizado. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.
Informações sobre ficheiros para o Windows Vista e Windows Server 2008
Informações do ficheiro para versões baseadas em x86 do Windows Server 2008 e do Windows Vista
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Netlogon.dll |
6.0.6002.22289 |
592,896 |
16-Dec-2009 |
12:09 |
x86 |
Nlsvc.mof |
Não aplicável |
2,873 |
03-Apr-2009 |
21:24 |
Não aplicável |
Informações do ficheiro para versões baseadas em x64 do Windows Server 2008 e do Windows Vista
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Netlogon.dll |
6.0.6002.22289 |
716,800 |
16-Dec-2009 |
12:07 |
x64 |
Nlsvc.mof |
Não aplicável |
2,873 |
03-Apr-2009 |
20:58 |
Não aplicável |
Informações de ficheiro para versões baseadas em IA-64 do Windows Server 2008
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Netlogon.dll |
6.0.6002.22289 |
1,216,512 |
16-Dec-2009 |
12:05 |
IA-64 |
Nlsvc.mof |
Não aplicável |
2,873 |
03-Apr-2009 |
20:59 |
Não aplicável |
Informações sobre ficheiros para o Windows 7 e Windows Server 2008 R2
Notas informativas sobre os ficheiros do Windows 7 e Windows Server 2008 R2
Importante Correcções do Windows 7 e Windows Server 2008 R2 correcções são incluídas nos pacotes mesmos. No entanto, as correcções na página de pedido de correcção estão listadas em ambos os sistemas operativos. Para pedir o pacote de correcções que se aplica a um ou ambos os sistemas operativos, seleccione a correcção listada em "Windows 7/Windows Server 2008 R2" na página. Sempre consulte a secção "Aplica-se a" nos artigos para determinar o sistema operativo real a que se aplica a cada correcção.
-
Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados em separado na secção "Informações para o Windows Server 2008 R2 e Windows 7 ficheiros adicionais". MUM e ficheiros de MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são muito importantes para manter o estado do componente actualizado. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.
Para todas as versões baseadas em x86 suportadas do Windows 7
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.20576 |
563,712 |
16-Nov-2009 |
06:40 |
x86 |
Nlsvc.mof |
Não aplicável |
2,873 |
10-Jun-2009 |
21:29 |
Não aplicável |
Para todas as versões suportadas baseadas em x64 do Windows 7 e do Windows Server 2008 R2
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.20576 |
692,736 |
16-Nov-2009 |
07:45 |
x64 |
Nlsvc.mof |
Não aplicável |
2,873 |
10-Jun-2009 |
20:47 |
Não aplicável |
Para todas as versões suportadas baseadas em IA-64 do Windows Server 2008 R2
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.20576 |
1,148,416 |
16-Nov-2009 |
06:10 |
IA-64 |
Nlsvc.mof |
Não aplicável |
2,873 |
10-Jun-2009 |
20:52 |
Não aplicável |
Estado
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais informações
Esta correcção está incluída no Windows 7 Service Pack 1 (SP1) e no Windows Server 2008 R2 Service Pack 1 (SP1).
A definição de MaxConcurrentApi e as predefinições para o mesmo são um legacy do Windows 2000 e das capacidades limitadas de hardware nessa altura. Com hardware mais antigo, permitindo threads adicionais e o tráfego RPC que iria gerar era um grave problema e Ocorreu uma possibilidade de congestionamentos de desempenho se demasiados threads criados. Com plataformas de hardware mais recentes e melhor desempenho, essa limitação de desempenho do hardware é menos susceptível de ocorrer. Como sempre, é importante avaliar e compreender o desempenho dos servidores num ambiente antes de aumentar a carga potencial utilizando uma definição de MaxConcurrentApi alta.
Para mais informações sobre como utilizar o serviço Netlogon (Netlogon) de registo de depuração, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
109626 activar o registo de depuração para o serviço Net LogonUm passo adicional lessening pode ser efectuado em controladores de domínio baseado no Windows Server 2003 que tenham movimentos no seu registo de depuração do serviço de Netlogon que indicam que os clientes estão a submeter < NULO > \nome de utilizador em vez do nome de domínio\nome de utilizador. Os passos são descritos no seguinte artigo da Base de dados de conhecimento da Microsoft:
923241 Lsass.exe o processo poderá deixar de responder se tiver muitos fidedignidades externas num controlador de domínio baseado no Windows Server 2003Mais informações sobre como utilizar o objecto de monitorização de desempenho de Netlogon estão disponíveis, bem como uma actualização para adicionar esse objecto de desempenho no Windows Server 2003. Existe uma actualização para Windows Server 2003 permite-lhe monitorizar a velocidade e o débito de autenticações NTLM. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Base de Dados de Conhecimento Microsoft
928576 o novos contadores de desempenho para o Windows Server 2003 permitem-lhe monitorizar o desempenho de autenticação do Netlogon
Existe uma actualização para Windows Server 2008 R2 que introduz novos eventos para controlar a sobrecarga de Netlogoan API:
Estão disponíveis novas entradas de registo de eventos que controlam os atrasos de autenticação NTLM e falhas no Windows Server 2008 R2
http://support.microsoft.com/default.aspx?scid=KB; EN-US; 2654097
Para mais informações sobre a terminologia de atualização de software, clique no seguinte número de artigo para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
824684
Descrição da terminologia padrão utilizada para descrever atualizações de software da Microsoft
Informações sobre ficheiros adicionais
Informações sobre ficheiros adicionais para o Windows Vista e Windows Server 2008
Informações sobre ficheiros adicionais para versões baseadas em x86 do Windows Vista e do Windows Server 2008
Nome do ficheiro |
Update.mum |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
3,068 |
Data (UTC) |
16-Dec-2009 |
Hora (UTC) |
21:16 |
Plataforma |
Não aplicável |
Nome do ficheiro |
X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
705 |
Data (UTC) |
16-Dec-2009 |
Hora (UTC) |
21:16 |
Plataforma |
Não aplicável |
Nome do ficheiro |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
22,701 |
Data (UTC) |
16-Dec-2009 |
Hora (UTC) |
14:05 |
Plataforma |
Não aplicável |
Informações sobre ficheiros adicionais para versões baseadas em x64 do Windows Server 2008 e do Windows Vista
Nome do ficheiro |
Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
1,060 |
Data (UTC) |
16-Dec-2009 |
Hora (UTC) |
21:16 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
23,180 |
Data (UTC) |
16-Dec-2009 |
Hora (UTC) |
15:52 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Update.mum |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
3,092 |
Data (UTC) |
16-Dec-2009 |
Hora (UTC) |
21:16 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
18,332 |
Data (UTC) |
16-Dec-2009 |
Hora (UTC) |
14:00 |
Plataforma |
Não aplicável |
Informações sobre ficheiros adicionais para versões baseadas em IA-64 do Windows Server 2008
Nome do ficheiro |
Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
1,058 |
Data (UTC) |
16-Dec-2009 |
Hora (UTC) |
21:16 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
23,156 |
Data (UTC) |
16-Dec-2009 |
Hora (UTC) |
16:08 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Update.mum |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
2,247 |
Data (UTC) |
16-Dec-2009 |
Hora (UTC) |
21:16 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
18,332 |
Data (UTC) |
16-Dec-2009 |
Hora (UTC) |
14:00 |
Plataforma |
Não aplicável |
Informações sobre ficheiros adicionais para o Windows 7 e Windows Server 2008 R2
Ficheiros adicionais para todas as versões baseadas em x86 suportadas do Windows 7
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Não aplicável |
1,947 |
16-Nov-2009 |
09:45 |
Não aplicável |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest |
Não aplicável |
35,541 |
16-Nov-2009 |
08:08 |
Não aplicável |
Ficheiros adicionais para todas as suportadas versões baseadas em x64 do Windows 7 e do Windows Server 2008 R2
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest |
Não aplicável |
35,547 |
16-Nov-2009 |
08:11 |
Não aplicável |
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Não aplicável |
2,181 |
16-Nov-2009 |
09:45 |
Não aplicável |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Não aplicável |
16,596 |
16-Nov-2009 |
08:01 |
Não aplicável |
Ficheiros adicionais para todas as versões baseadas em IA-64 do Windows Server 2008 R2 suportadas
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest |
Não aplicável |
35,544 |
16-Nov-2009 |
09:06 |
Não aplicável |
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Não aplicável |
1,683 |
16-Nov-2009 |
09:45 |
Não aplicável |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Não aplicável |
16,596 |
16-Nov-2009 |
08:01 |
Não aplicável |