Symptom
En eller flera av följande problem kan uppstå. Dessa symptom kan vara intermittent eller kontinuerligt. Dessa Symptom är mer sannolikt och mer omfattande under tider med "hög belastning", som i början av en verksamhet uppstår dag när ökad klienten visas på servrar i miljön.
I ett scenario för web services följande problem kan uppstå: i ett scenario för web proxy följande problem kan uppstå: i ett scenario för Exchange-klienten följande problem kan uppstå: uppstår följande problem i vissa situationer i vilka NTLM-autentisering används för program:
Rad eller anpassade program som använder NTLM-autentisering misslyckas. Dessutom kan du få olika felmeddelanden som oregelbundna och kan omfatta "åtkomst nekad".I ett scenario för åtkomst av fjärrfil följande problem kan uppstå:
Windows-klienter tar emot "åtkomst nekad" fel eller fördröjda svar från servern.I vissa situationer där Kerberos-delegering som används i en Mellannivåtjänsten följande problem kan uppstå:
Klienterna kommer åt lyckas vid första men förlora åtkomst till samma resurser. Dessutom kan ombes att autentiseringsuppgifter eller "åtkomst nekad" fel uppstå.Kommentarer
Orsak
Det här problemet uppstår när en stor mängd NTLM-autentisering eller Kerberos PAC validering transaktioner (eller båda) som uppstår på en Windows-baserad server och volymen är större än den volym som kan hanteras samtidigt av på medlemsservrar eller domänkontrollanter som tillhandahåller autentisering. Med andra ord orsakas av en resurs flaskhals för autentisering.
NTLM-autentisering och PAC validering utförs av dedicerade trådar i Lsass.exe-processen på Windows-baserade datorer. Det finns ett maximalt antal dessa trådar som är tillgängliga för att hantera dessa begäranden samtidigt och om ansökningarna överskrider tillgänglighet trådar och begäranden kan inte vänta längre, det här problemet uppstår.
Arbetsstationer har en av trådarna som kan användas som standard, och medlemsservrar har två trådar tillgängliga för användning. Domänkontrollanter har en tillgänglig tråd per säkerhetskanal betrodda domäner. Maximalt antal trådar som har reserverats för detta ändamål kallas "Maxconcurrentapi" och konfigureras.
Lösning
Lös problemet med en eller flera av följande metoder:
-
Installera följande snabbkorrigering och följ stegen som beskrivs i avsnittet "information om registret". När du installerar snabbkorrigeringen på Windows Vista, Windows Server 2008, Windows 7 eller Windows Server 2008 R2, maximumlimit samtidiga anslutningar mellan en klientdator och en annan server eller en domänkontrollant för NTLM-autentisering eller PAC validering kan ändras upp till 150. Detta bör göras på alla servrar som uppvisar Perfmon Netlogon "semaforen timeout" uppgifter i deras prestandaloggar eller som har den "NlpUserValidateHigher: kan inte allokera en kortplats för klienten API" text i deras Netlogon felsökningsloggar.
-
För program och tjänster som använder NTLM bara konfigurera dem att använda Kerberos-autentisering i stället. Metoder för att göra som är unik för dessa program.
Obs! För att avgöra vilket värde du anger för MaxConcurrentApi inställningen i miljön finns i Knowledge Base-artikeln nedan.
2688798 hur du gör prestandajustering för NTLM-autentisering med inställningen MaxConcurrentApi
Information om snabbkorrigeringen
En snabbkorrigering är tillgänglig från Microsoft. Den här snabbkorrigeringen är emellertid avsedd att åtgärda det problem som beskrivs i denna artikel. Den här snabbkorrigeringen endast på datorer som drabbas av problemet som beskrivs i denna artikel. Snabbkorrigeringen kan komma att testas igen. Om du inte störs alltför mycket av detta problem rekommenderar vi att du väntar på nästa programuppdatering som innehåller den här snabbkorrigeringen.
Om snabbkorrigeringen är tillgänglig för hämtning finns ett avsnitt för "Snabbkorrigeringen är tillgänglig" överst i den här Knowledge Base-artikeln. Om den sektionen saknas, kontakta Microsofts support för att få tag på hotfixen.
Obs! Om det uppstår ytterligare problem eller krävs felsökning, kan du behöva skapa en serviceförfrågan. De vanliga supportkostnaderna gäller för övriga supportfrågor och problem som inte uppfyller kraven för den här snabbkorrigeringen. En fullständig lista över telefonnummer för Microsofts kundtjänst och Support eller skapa en serviceförfrågan finns på följande Microsoft-webbplats:
http://support.microsoft.com/contactus/?ws=supportObs! "Snabbkorrigeringen tillgänglig"-formuläret visar de språk som snabbkorrigeringen är tillgänglig. Om ditt språk inte visas beror det på att ingen snabbkorrigering är tillgänglig för språket.
Förutsättningar
Om du vill installera den här snabbkorrigeringen måste datorn köra Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 eller Windows Server 2008 Service Pack 2.
Registerinformation
Viktigt Avsnittet, metoden eller aktiviteten innehåller instruktioner om hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret felaktigt. Se därför till att du följer instruktionerna noga. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. För mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322756 hur du säkerhetskopierar och återställer registret i WindowsNär du har installerat snabbkorrigeringen kan du öka värdet Maxconcurrentapi till ett större värde på alla servrar som har Perfmon Netlogon "semaforen timeout" uppgifter i deras prestandaloggar eller som har "NlpUserValidateHigher: kan inte allokera en kortplats för klienten API" text i deras Netlogon felsökningsloggar. Gör så här:Anteckningar
Krav på omstart
Du måste starta om datorn när du har installerat den här snabbkorrigeringen.
Ersättningsinformation för Hotfix
Den här snabbkorrigeringen ersätter inte någon tidigare utgiven snabbkorrigering.
Filinformation
Engelska (USA) versionen av den här snabbkorrigeringen installerar filer med de filattribut som visas i följande tabeller. Datum och tider för dessa filer anges i UTC-tid (UTC). Datum och tider för dessa filer på den lokala datorn visas i lokal tid tillsammans med din aktuella sommartid (DST). Datum och tider kan dessutom ändras när du utför vissa åtgärder på filerna.
-
I MANIFESTET (.manifest) och MUM filerna (.mum) som installeras för de olika miljöerna anges separat i avsnittet "Ytterligare filinformation för Windows Vista och Windows Server 2008". MUM- och MANIFEST-filer, och tillhörande säkerhetskatalogfiler (.cat) filer, är mycket viktiga för upprätthållande av den uppdaterade komponenten tillstånd. Säkerhetskatalogfilerna attribut som inte finns listade, är signerade med en digital Microsoft-signatur
Filinformation för Windows Vista och Windows Server 2008
Filinformation för x86-baserade versioner av Windows Server 2008 och Windows Vista
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
---|---|---|---|---|---|
Netlogon.dll |
6.0.6002.22289 |
592,896 |
16-Dec-2009 |
12:09 |
x86 |
Nlsvc.mof |
Ej tillämplig |
2,873 |
03-Apr-2009 |
21:24 |
Ej tillämplig |
Filinformation för x64-baserade versioner av Windows Server 2008 och Windows Vista
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
---|---|---|---|---|---|
Netlogon.dll |
6.0.6002.22289 |
716,800 |
16-Dec-2009 |
12:07 |
x64 |
Nlsvc.mof |
Ej tillämplig |
2,873 |
03-Apr-2009 |
20:58 |
Ej tillämplig |
Filinformation för IA-64-baserade versioner av Windows Server 2008
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
---|---|---|---|---|---|
Netlogon.dll |
6.0.6002.22289 |
1,216,512 |
16-Dec-2009 |
12:05 |
IA-64 |
Nlsvc.mof |
Ej tillämplig |
2,873 |
03-Apr-2009 |
20:59 |
Ej tillämplig |
Filinformation för Windows 7 och Windows Server 2008 R2
Filinformation för Windows 7 och Windows Server 2008 R2
Viktigt Snabbkorrigeringar för Windows 7 och Windows Server 2008 R2 snabbkorrigeringar ingår i samma paket. Dock finns snabbkorrigeringar på sidan snabbkorrigeringen begäran under båda operativsystemen. Om du vill begära snabbkorrigeringspaket som gäller för ett eller båda operativsystemen markerar du snabbkorrigeringen som anges under "Windows 7 och Windows Server 2008 R2" på sidan. Alltid finns i avsnittet "Gäller för" i artiklarna för att fastställa själva operativsystemet som gäller varje snabbkorrigering.
-
I MANIFESTET (.manifest) och MUM filerna (.mum) som installeras för varje miljö är anges separat i avsnittet "Ytterligare filinformation för Windows Server 2008 R2 och Windows 7". MUM- och MANIFEST-filer, och tillhörande säkerhetskatalogfiler (.cat) filer, är mycket viktiga för upprätthållande av den uppdaterade komponenten tillstånd. Säkerhetskatalogfilerna attribut som inte finns listade, är signerade med en digital Microsoft-signatur
För alla x 86-baserade versioner av Windows 7 som stöds
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.20576 |
563,712 |
16-Nov-2009 |
06:40 |
x86 |
Nlsvc.mof |
Ej tillämplig |
2,873 |
10-Jun-2009 |
21:29 |
Ej tillämplig |
För alla x 64-baserade versioner av Windows 7 och Windows Server 2008 R2 som stöds
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.20576 |
692,736 |
16-Nov-2009 |
07:45 |
x64 |
Nlsvc.mof |
Ej tillämplig |
2,873 |
10-Jun-2009 |
20:47 |
Ej tillämplig |
För alla IA-64-baserade versioner av Windows Server 2008 R2 som stöds
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.20576 |
1,148,416 |
16-Nov-2009 |
06:10 |
IA-64 |
Nlsvc.mof |
Ej tillämplig |
2,873 |
10-Jun-2009 |
20:52 |
Ej tillämplig |
Status
Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna som nämns i avsnittet "Gäller".
Mer Information
Den här snabbkorrigeringen ingår i Windows 7 Service Pack 1 (SP1) och Windows Server 2008 R2 Service Pack 1 (SP1).
Inställningen MaxConcurrentApi och standardinställningar för det är en äldre version av Windows 2000 och begränsad maskinvarukapaciteten på den tiden. Med äldre maskinvara tillåter ytterligare trådar och RPC-trafik de genererar var en allvarlig oro och det var risk för flaskhalsar om för många trådar har skapats. Denna maskinvara prestanda begränsningen är mindre sannolikt med nyare maskinvaruplattformar och bättre prestanda. Som alltid är det viktigt att mäta och förstå prestanda för servrar i en miljö innan du öka belastningen potentiella med en hög inställning MaxConcurrentApi .
Mer information om hur du använder tjänsten Netlogon felsökningsloggning (Netlogon.log), klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
109626 Aktivera felsökningsloggning för NETLOGON-tjänstenYtterligare en lessening åtgärd kan utföras på Windows Server 2003-baserade domänkontrollanter som har transaktioner i deras Netlogon felsökningsloggen som anger att klienter skickar < null > \användarnamn i stället för domännamn\användarnamn. Stegen beskrivs i följande artikel i Microsoft Knowledge Base:
923241 i Lsass.exe-processen slutar svara om du har många externa förtroenden på en domänkontrollant med Windows Server 2003Mer information om hur du använder objektet Netlogon prestanda övervakning är tillgängliga tillsammans med en uppdatering för att lägga till objektet prestanda i Windows Server 2003. Det finns en uppdatering för Windows Server 2003 som gör att du kan övervaka hastighet och genomströmning av NTLM-autentiseringar. För mer information klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
928576 nya prestandaräknare för Windows Server 2003 kan du övervaka prestanda för Netlogon-autentisering
Det finns en uppdatering för Windows Server 2008 R2 som introducerar nya händelser om du vill spåra överbelastning av Netlogoan API:
Det finns nya poster i loggen som spårar NTLM-autentisering förseningar och fel i Windows Server 2008 R2
http://support.microsoft.com/default.aspx?scid=kB; EN-US; 2654097
För mer information om terminologin för programuppdateringar klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
824684
Beskrivning av standardterminologin som används för att beskriva Microsoft-programuppdateringar
Ytterligare filinformation
Ytterligare filinformation för Windows Vista och Windows Server 2008
Ytterligare filinformation för x86-baserade versioner av Windows Vista och Windows Server 2008
Filnamn |
Update.mum |
Filversion |
Ej tillämplig |
Storlek |
3,068 |
Datum (UTC) |
16-Dec-2009 |
Tid (UTC) |
21:16 |
Plattform |
Ej tillämplig |
Filnamn |
X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest |
Filversion |
Ej tillämplig |
Storlek |
705 |
Datum (UTC) |
16-Dec-2009 |
Tid (UTC) |
21:16 |
Plattform |
Ej tillämplig |
Filnamn |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest |
Filversion |
Ej tillämplig |
Storlek |
22,701 |
Datum (UTC) |
16-Dec-2009 |
Tid (UTC) |
14:05 |
Plattform |
Ej tillämplig |
Ytterligare filinformation för x64-baserade versioner av Windows Server 2008 och Windows Vista
Filnamn |
Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest |
Filversion |
Ej tillämplig |
Storlek |
1,060 |
Datum (UTC) |
16-Dec-2009 |
Tid (UTC) |
21:16 |
Plattform |
Ej tillämplig |
Filnamn |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest |
Filversion |
Ej tillämplig |
Storlek |
23,180 |
Datum (UTC) |
16-Dec-2009 |
Tid (UTC) |
15:52 |
Plattform |
Ej tillämplig |
Filnamn |
Update.mum |
Filversion |
Ej tillämplig |
Storlek |
3,092 |
Datum (UTC) |
16-Dec-2009 |
Tid (UTC) |
21:16 |
Plattform |
Ej tillämplig |
Filnamn |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
Filversion |
Ej tillämplig |
Storlek |
18,332 |
Datum (UTC) |
16-Dec-2009 |
Tid (UTC) |
14:00 |
Plattform |
Ej tillämplig |
Ytterligare filinformation för IA-64-baserade versioner av Windows Server 2008
Filnamn |
Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest |
Filversion |
Ej tillämplig |
Storlek |
1,058 |
Datum (UTC) |
16-Dec-2009 |
Tid (UTC) |
21:16 |
Plattform |
Ej tillämplig |
Filnamn |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest |
Filversion |
Ej tillämplig |
Storlek |
23,156 |
Datum (UTC) |
16-Dec-2009 |
Tid (UTC) |
16:08 |
Plattform |
Ej tillämplig |
Filnamn |
Update.mum |
Filversion |
Ej tillämplig |
Storlek |
2,247 |
Datum (UTC) |
16-Dec-2009 |
Tid (UTC) |
21:16 |
Plattform |
Ej tillämplig |
Filnamn |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
Filversion |
Ej tillämplig |
Storlek |
18,332 |
Datum (UTC) |
16-Dec-2009 |
Tid (UTC) |
14:00 |
Plattform |
Ej tillämplig |
Ytterligare filinformation för Windows 7 och Windows Server 2008 R2
Ytterligare filer för alla x86-baserade versioner av Windows 7
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
---|---|---|---|---|---|
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Ej tillämplig |
1,947 |
16-Nov-2009 |
09:45 |
Ej tillämplig |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest |
Ej tillämplig |
35,541 |
16-Nov-2009 |
08:08 |
Ej tillämplig |
Ytterligare filer för alla x64-baserade versioner av Windows 7 och Windows Server 2008 R2 som stöds
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
---|---|---|---|---|---|
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest |
Ej tillämplig |
35,547 |
16-Nov-2009 |
08:11 |
Ej tillämplig |
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Ej tillämplig |
2,181 |
16-Nov-2009 |
09:45 |
Ej tillämplig |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Ej tillämplig |
16,596 |
16-Nov-2009 |
08:01 |
Ej tillämplig |
Ytterligare filer för alla IA-64-baserade versioner av Windows Server 2008 R2 som stöds
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
---|---|---|---|---|---|
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest |
Ej tillämplig |
35,544 |
16-Nov-2009 |
09:06 |
Ej tillämplig |
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Ej tillämplig |
1,683 |
16-Nov-2009 |
09:45 |
Ej tillämplig |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Ej tillämplig |
16,596 |
16-Nov-2009 |
08:01 |
Ej tillämplig |