Symptomer
Ett eller flere av følgende symptomer kan oppstå. Disse symptomene kan være forbigående eller kontinuerlig. Disse symptomene er mer sannsynlig og mer omfattende tider "høyt forbruk", som i begynnelsen av en bedrift dag når økt klient laste oppstår på servere i miljøet.Du opplever følgende problemer i et scenario for web-tjenester: kan du oppleve følgende problemer i et scenario for web-proxy: kan du oppleve følgende problemer i et Exchange client-scenario: kan du oppleve følgende problem i ethvert scenario i hvilke NTLM-godkjenning brukes for programmer:
Linje med business eller egendefinerte programmer som bruker NTLM-godkjenning mislykkes. Du kan også få ulike feil som er midlertidige og kan inkludere "access denied"Du kan oppleve følgende problem i et scenario for ekstern fil tilgang:
Windows-klienter mottar feil "Ingen tilgang" eller forsinket svar fra filserveren.Du kan oppleve følgende problem i ethvert scenario der Kerberos-delegering som brukes i en service av midterste laget:
Klienter få tilgang ble i begynnelsen, men deretter mister tilgangen til de samme ressursene. Du kan i tillegg kanskje flere ganger spørres om legitimasjon eller oppleve "Ingen tilgang"-feil.Notater
Årsak
Dette problemet oppstår når et stort antall NTLM-godkjenning eller Kerberos PAC validering av transaksjoner (eller begge) som oppstår på en Windows-basert server, og at volumet er større enn volumet som kan behandles om gangen av medlemsserver eller domenekontrollere som gir godkjenning. Med andre ord, skyldes dette en ressurs flaskehalsen for godkjenning.NTLM-godkjenning og validering av PAC er utført av dedikerte trådene i prosessen Lsass.exe i Windows-baserte datamaskiner. Det finnes et maksimalt antall disse trådene som er tilgjengelig for å håndtere disse forespørslene om gangen, og hvis forespørsler overskride tilgjengeligheten av tråder og forespørsler kan ikke vente lenger, dette problemet oppstår.Arbeidsstasjoner har en av tråder som er tilgjengelig for bruk som standard, og medlemsservere har to tråder som er tilgjengelig for bruk. Domenekontrollere har én tilgjengelig tråd per sikkerhetskanal til klarerte domener. Denne maksimalt antall tråder som er dedikert til dette formålet, kalles "Maxconcurrentapi" og konfigureres.
Oppløsning
Hvis du vil løse problemet, kan du bruke én eller flere av følgende metoder:
-
Installer følgende hurtigreparasjon, og følg deretter trinnene som er beskrevet i delen "informasjonen i registeret". Når du installerer denne hurtigreparasjonen på Windows Vista, Windows Server 2008, Windows 7 eller Windows Server 2008 R2, maximumlimit samtidige tilkoblinger mellom en klientdatamaskin og en annen server eller en domenekontroller for NTLM-godkjenning eller PAC-validering kan endres inntil 150. Dette bør gjøres på alle servere som viser Perfmon Netlogon "semafor tidsavbrudd" indikasjoner i sine Ytelseslogger eller som har den "NlpUserValidateHigher: kan ikke tildele klient API spor" tekst i sine Netlogon feilsøkingslogger.
-
For programmer og tjenester som bruker NTLM å konfigurere dem til å bruke Kerberos-godkjenning i stedet. Metodene for å gjøre som er unik for disse programmene.
Obs! Se Knowledge Base-artikkelen nedenfor for å finne ut hvilken verdi du angir for MaxConcurrentApi innstillingen i miljøet ditt.2688798 hvordan du gjør ytelsesjustering for NTLM-godkjenning ved hjelp av innstillingen MaxConcurrentApi
Informasjon om hurtigreparasjon
En støttet hurtigreparasjon er tilgjengelig fra Microsoft. Denne hurtigreparasjonen er imidlertid ment å løse problemet som er beskrevet i denne artikkelen. Bruk denne hurtigreparasjonen bare på systemer som har problemet som er beskrevet i denne artikkelen. Denne hurtigreparasjonen kan gjennomgå ytterligere testing. Hvis du ikke er alvorlig påvirket av dette problemet, anbefaler vi derfor at du venter på neste programvareoppdatering som inneholder denne hurtigreparasjonen.Hvis hurtigreparasjonen er tilgjengelig for nedlasting, finnes delen "Nedlasting av hurtigreparasjoner tilgjengelig" øverst i denne Knowledge Base-artikkelen. Hvis denne delen ikke vises, kan du kontakte Microsofts kundeservice og kundestøtte for å få hurtigreparasjonen.Obs! Hvis det oppstår andre problemer, eller hvis feilsøkingstips, må du kanskje opprette en separat forespørsel om. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke dekkes av denne oppdateringen. For en fullstendig liste over telefonnumre for Microsofts kundeservice og kundestøtte eller opprette en separat forespørsel om, kan du gå til følgende Microsoft-webområde:
http://support.microsoft.com/contactus/?ws=supportObs! "Nedlasting av hurtigreparasjoner tilgjengelig"-skjemaet viser språk hurtigreparasjonen er tilgjengelig. Hvis du ikke ser språket ditt, er det fordi en hurtigreparasjon ikke er tilgjengelig for dette språket.
Forutsetninger
Hvis du vil bruke denne hurtigreparasjonen, må datamaskinen kjøre Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 eller Windows Server 2008 Service Pack 2.
Informasjonen i registeret
Viktig Denne delen, metoden eller oppgaven inneholder fremgangsmåter for hvordan du endrer registret. Imidlertid kan oppstå alvorlige problemer hvis du endrer registeret feilaktig. Sørg derfor for at du følger disse trinnene nøye. Ta sikkerhetskopi av registret før du endrer den ekstra beskyttelse. Deretter kan du gjenopprette registret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
322756 hvordan du sikkerhetskopierer og gjenoppretter registret i WindowsNår du har installert hurtigreparasjonen, må du øke Maxconcurrentapi -verdien til et høyere tall på alle servere som har Perfmon Netlogon "semafor tidsavbrudd" indikasjoner i sine Ytelseslogger eller som har "NlpUserValidateHigher: kan ikke tildele klient API spor" tekst i sine Netlogon feilsøkingslogger. Hvis du vil gjøre dette, følger du denne fremgangsmåten:notater
Krav om omstart
Du må starte datamaskinen etter at du har installert denne hurtigreparasjonen.
Informasjon om erstatning av hurtigreparasjoner
Denne hurtigreparasjonen erstatter ikke tidligere utgitte hurtigreparasjoner.
Filinformasjon
Den engelskspråklige (USA) versjonen av denne hurtigreparasjonen installerer filer med attributtene som er oppført i tabellene nedenfor. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Datoene og klokkeslettene for disse filene på den lokale datamaskinen, vises i lokal tid sammen med din gjeldende tidsforskjell for sommertid (DST). I tillegg kan til datoene og klokkeslettene endres når du utfører bestemte operasjoner på filene.
-
MANIFEST-filene (.manifest) og MUM-filene (.mum) som installeres for hvert miljø, er oppført separat i delen "informasjon om tilleggsfiler for Windows Vista og Windows Server 2008". MUM- og MANIFEST-filer og tilknyttede sikkerhetskatalogfiler (.cat)-filer, er svært viktig for å kunne vedlikeholde status på den oppdaterte komponenten. Sikkerhetskatalogfilene, som attributtene ikke er oppført, er signert med Microsofts digitale signatur.
Filinformasjon for Windows Vista og Windows Server 2008
Filinformasjon for x86-baserte versjoner av Windows Server 2008 og Windows Vista
|
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Plattform |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
592,896 |
16-Dec-2009 |
12:09 |
x86 |
|
Nlsvc.mof |
Ikke tilgjengelig |
2,873 |
03-Apr-2009 |
21:24 |
Ikke tilgjengelig |
Filinformasjon for x64-baserte versjoner av Windows Server 2008 og Windows Vista
|
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Plattform |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
716,800 |
16-Dec-2009 |
12:07 |
x64 |
|
Nlsvc.mof |
Ikke tilgjengelig |
2,873 |
03-Apr-2009 |
20:58 |
Ikke tilgjengelig |
Filinformasjon for IA-64-baserte versjoner av Windows Server 2008
|
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Plattform |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
1,216,512 |
16-Dec-2009 |
12:05 |
IA-64 |
|
Nlsvc.mof |
Ikke tilgjengelig |
2,873 |
03-Apr-2009 |
20:59 |
Ikke tilgjengelig |
Filinformasjon for Windows 7 og Windows Server 2008 R2
Filinformasjonsmerknader for Windows 7 og Windows Server 2008 R2Viktig Hurtigreparasjoner for Windows 7 og Windows Server 2008 R2 hurtigreparasjoner er inkludert i de samme pakkene. Hurtigreparasjoner på siden Be om hurtigreparasjonen er imidlertid oppført under begge operativsystemene. Hvis du vil be om hurtigreparasjonspakken som gjelder ett eller begge operativsystemene, kan du velge hurtigreparasjonen som er oppført under "Windows 7/Windows Server 2008 R2" på siden. Alltid referere til delen "Gjelder" i artiklene for å fastslå det faktiske operativsystemet som gjelder for hver hurtigreparasjon.
-
MANIFEST-filene (.manifest) og MUM-filene (.mum) som installeres for hvert miljø, er oppført separat i delen "Mer Filinformasjon for Windows Server 2008 R2 og Windows 7". MUM- og MANIFEST-filer og tilknyttede sikkerhetskatalogfiler (.cat)-filer, er svært viktig for å kunne vedlikeholde status på den oppdaterte komponenten. Sikkerhetskatalogfilene, som attributtene ikke er oppført, er signert med Microsofts digitale signatur.
For alle støttede x86-baserte versjoner av Windows 7
|
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Plattform |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
563,712 |
16-Nov-2009 |
06:40 |
x86 |
|
Nlsvc.mof |
Ikke tilgjengelig |
2,873 |
10-Jun-2009 |
21:29 |
Ikke tilgjengelig |
For alle støttede x64-baserte versjoner av Windows 7 og Windows Server 2008 R2
|
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Plattform |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
692,736 |
16-Nov-2009 |
07:45 |
x64 |
|
Nlsvc.mof |
Ikke tilgjengelig |
2,873 |
10-Jun-2009 |
20:47 |
Ikke tilgjengelig |
For alle støttede IA-64-baserte versjoner av Windows Server 2008 R2
|
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Plattform |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
1,148,416 |
16-Nov-2009 |
06:10 |
IA-64 |
|
Nlsvc.mof |
Ikke tilgjengelig |
2,873 |
10-Jun-2009 |
20:52 |
Ikke tilgjengelig |
Status
Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".
Hvis du vil ha mer informasjon
Denne hurtigreparasjonen er inkludert i Windows 7 Service Pack 1 (SP1) og Windows Server 2008 R2 Service Pack 1 (SP1).Innstillingen for MaxConcurrentApi og standardinnstillingene for det er en eldre av Windows 2000 og begrenset maskinvareegenskapene for den tiden. Med eldre maskinvare, slik at flere tråder og RPC-trafikk de vil generere var et alvorlig problem, og det var en muligheten for flaskehalser i ytelsen hvis for mange tråder ble opprettet. Den begrensningen for maskinvare ytelsen er mindre sjanse for å oppstå med nyere maskinvareplattformer og forbedret ytelse. Som alltid, er det viktig å måle og forstå ytelsen til servere i et miljø før du øker potensielle belastningen ved hjelp av en høy innstilling for MaxConcurrentApi .Hvis du vil ha mer informasjon om hvordan du bruker Netlogon-tjenesten debug logging (Netlogon.log), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
109626 aktivere feilsøkingslogging for Net Logon-tjenestenEt ekstra trinn for lessening kan utføres på Windows Server 2003-baserte domenekontrollere som har oppføringer i sine feilsøkingslogg for Netlogon-tjenesten, som angir at klienter som sender < null > \brukernavn i stedet for domenenavn\brukernavn. Trinnene som er beskrevet i følgende Microsoft Knowledge Base-artikkel:
923241 i Lsass.exe-prosessen slutte å svare hvis du har mange eksterne klareringer i et Windows Server 2003-basert domenekontrollerHvis du vil ha mer informasjon om hvordan du bruker Netlogon overvåking Ytelsesobjektet er tilgjengelig, sammen med en oppdatering for å legge til objektet ytelse i Windows Server 2003. Det finnes en oppdatering for Windows Server 2003 som lar deg overvåke hastigheten og gjennomstrømning på NTLM-godkjenninger. Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
928576 nye ytelsestellere for Windows Server 2003 kan du overvåke ytelsen til Netlogon-godkjenningDet finnes en oppdatering for Windows Server 2008 R2 som introduserer nye hendelser for å spore Netlogoan API overbelastning:Det finnes nye oppføringer i hendelsesloggen som sporer NTLM-godkjenning forsinkelser og feil i Windows Server 2008 R2http://support.Microsoft.com/default.aspx?scid=kB; EN-US; 2654097Hvis du vil ha mer informasjon om terminologi for programvareoppdatering, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
824684 Beskrivelse av standardterminologien som brukes til å beskrive oppdateringer av Microsoft-programvare
Mer filinformasjon
Informasjon om tilleggsfiler for Windows Vista og Windows Server 2008
Mer filinformasjon for x86-baserte versjoner av Windows Vista og Windows Server 2008
|
Filnavn |
Update.mum |
|
Filversjon |
Ikke tilgjengelig |
|
Filstørrelse |
3,068 |
|
Dato (UTC) |
16-Dec-2009 |
|
Tid (UTC) |
21:16 |
|
Plattform |
Ikke tilgjengelig |
|
Filnavn |
X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest |
|
Filversjon |
Ikke tilgjengelig |
|
Filstørrelse |
705 |
|
Dato (UTC) |
16-Dec-2009 |
|
Tid (UTC) |
21:16 |
|
Plattform |
Ikke tilgjengelig |
|
Filnavn |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest |
|
Filversjon |
Ikke tilgjengelig |
|
Filstørrelse |
22,701 |
|
Dato (UTC) |
16-Dec-2009 |
|
Tid (UTC) |
14:05 |
|
Plattform |
Ikke tilgjengelig |
Mer filinformasjon for x64-baserte versjoner av Windows Server 2008 og Windows Vista
|
Filnavn |
Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest |
|
Filversjon |
Ikke tilgjengelig |
|
Filstørrelse |
1,060 |
|
Dato (UTC) |
16-Dec-2009 |
|
Tid (UTC) |
21:16 |
|
Plattform |
Ikke tilgjengelig |
|
Filnavn |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest |
|
Filversjon |
Ikke tilgjengelig |
|
Filstørrelse |
23,180 |
|
Dato (UTC) |
16-Dec-2009 |
|
Tid (UTC) |
15:52 |
|
Plattform |
Ikke tilgjengelig |
|
Filnavn |
Update.mum |
|
Filversjon |
Ikke tilgjengelig |
|
Filstørrelse |
3,092 |
|
Dato (UTC) |
16-Dec-2009 |
|
Tid (UTC) |
21:16 |
|
Plattform |
Ikke tilgjengelig |
|
Filnavn |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Filversjon |
Ikke tilgjengelig |
|
Filstørrelse |
18,332 |
|
Dato (UTC) |
16-Dec-2009 |
|
Tid (UTC) |
14:00 |
|
Plattform |
Ikke tilgjengelig |
Mer filinformasjon for IA-64-baserte versjoner av Windows Server 2008
|
Filnavn |
Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest |
|
Filversjon |
Ikke tilgjengelig |
|
Filstørrelse |
1,058 |
|
Dato (UTC) |
16-Dec-2009 |
|
Tid (UTC) |
21:16 |
|
Plattform |
Ikke tilgjengelig |
|
Filnavn |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest |
|
Filversjon |
Ikke tilgjengelig |
|
Filstørrelse |
23,156 |
|
Dato (UTC) |
16-Dec-2009 |
|
Tid (UTC) |
16:08 |
|
Plattform |
Ikke tilgjengelig |
|
Filnavn |
Update.mum |
|
Filversjon |
Ikke tilgjengelig |
|
Filstørrelse |
2,247 |
|
Dato (UTC) |
16-Dec-2009 |
|
Tid (UTC) |
21:16 |
|
Plattform |
Ikke tilgjengelig |
|
Filnavn |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Filversjon |
Ikke tilgjengelig |
|
Filstørrelse |
18,332 |
|
Dato (UTC) |
16-Dec-2009 |
|
Tid (UTC) |
14:00 |
|
Plattform |
Ikke tilgjengelig |
Mer filinformasjon for Windows 7 og Windows Server 2008 R2
Tilleggsfiler for alle støttede x86-baserte versjoner av Windows 7
|
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Plattform |
|---|---|---|---|---|---|
|
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Ikke tilgjengelig |
1,947 |
16-Nov-2009 |
09:45 |
Ikke tilgjengelig |
|
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest |
Ikke tilgjengelig |
35,541 |
16-Nov-2009 |
08:08 |
Ikke tilgjengelig |
Tilleggsfiler for alle støttede x64-baserte versjoner av Windows 7 og Windows Server 2008 R2
|
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Plattform |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest |
Ikke tilgjengelig |
35,547 |
16-Nov-2009 |
08:11 |
Ikke tilgjengelig |
|
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Ikke tilgjengelig |
2,181 |
16-Nov-2009 |
09:45 |
Ikke tilgjengelig |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Ikke tilgjengelig |
16,596 |
16-Nov-2009 |
08:01 |
Ikke tilgjengelig |
Tilleggsfiler for alle støttede IA-64-baserte versjoner av Windows Server 2008 R2
|
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Plattform |
|---|---|---|---|---|---|
|
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest |
Ikke tilgjengelig |
35,544 |
16-Nov-2009 |
09:06 |
Ikke tilgjengelig |
|
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Ikke tilgjengelig |
1,683 |
16-Nov-2009 |
09:45 |
Ikke tilgjengelig |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Ikke tilgjengelig |
16,596 |
16-Nov-2009 |
08:01 |
Ikke tilgjengelig |
