U af en toe om referenties wordt gevraagd of time-outs optreden wanneer u verbinding met Services geverifieerd maken

Van toepassing: Windows Server 2008 R2 DatacenterWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 Standard

Symptomen


U kunt een of meer van de volgende symptomen kan optreden. Deze symptomen mogelijk intermitterende of continue. Deze symptomen zijn vaker en meer omvattend 'hoog gebruik van' momenten, zoals aan het begin van een bedrijf bij het verdelen van grotere client plaatsvindt op de servers in de omgeving.

Treden de volgende problemen in een web services-scenario: treden de volgende problemen in een web proxyscenario: treden de volgende problemen in een Exchange-client scenario: treedt het volgende probleem in elk scenario in welke NTLM-verificatie wordt gebruikt voor toepassingen:

Lijn van het bedrijf of aangepaste toepassingen die gebruikmaken van NTLM-verificatie mislukt. Bovendien kunnen er verschillende foutberichten die met tussenpozen en eventueel 'toegang geweigerd'
Het volgende probleem in een extern bestand toegang kunnen optreden:
Windows-clients ' toegang geweigerd ' ontvangen of uitgesteld reacties van de server.
Treedt het volgende probleem in elk scenario waarbij Kerberos-overdracht in een middle-tier-service wordt gebruikt:
De clients toegang is in eerste instantie maar verliest vervolgens toegang tot dezelfde bronnen. Bovendien herhaaldelijk gevraagd om referenties of 'toegang geweigerd'-fouten optreden.
Opmerkingen

Oorzaak


Dit probleem treedt op wanneer een hoog volume van NTLM-verificatie of Kerberos PAC validatie transacties (of beide) optreden op een Windows-server en dat volume groter is dan het volume dat tegelijkertijd kan worden verwerkt door de server of de domeincontrollers die verificatie biedt. Met andere woorden, wordt dit veroorzaakt door een resource verificatie knelpunt.

NTLM-verificatie en validatie van PAC worden uitgevoerd door specifieke threads in het proces Lsass.exe op Windows-computers. Er is een maximum aantal deze threads die beschikbaar zijn voor het verwerken van deze aanvragen op hetzelfde moment, en als de aanvragen groter is dan de beschikbaarheid van de threads en de aanvragen kunnen niet langer wachten, treedt dit probleem.

Werkstations hebben een van de threads beschikbaar voor gebruik en lidservers hebben twee threads beschikbaar voor gebruik. Domeincontrollers hebben één beschikbare thread per beveiligingskanaal met vertrouwde domeinen. Dit maximum aantal threads die zijn toegewezen aan dit doel 'Maxconcurrentapi' wordt genoemd en kan worden geconfigureerd.

Oplossing


Gebruik een of meer van de volgende methoden het probleem op te lossen:
  • De volgende hotfix geïnstalleerd en vervolgens de stappen die worden beschreven in de sectie 'registerinformatie'. Nadat u deze hotfix op Windows Vista, Windows Server 2008, Windows 7 of Windows Server 2008 R2, de maximumlimit van gelijktijdige verbindingen tussen een clientcomputer en een andere server installeert of een domeincontroller voor NTLM-verificatie of PAC validatie kan maximaal 150 worden gewijzigd. Moet dit gebeuren op alle servers die Perfmon Netlogon vertonen 'semafoor time-out' in hun prestatielogboeken of die aanduidingen zijn de ' NlpUserValidateHigher: Client-API-sleuf kan niet toewijzen ' tekst in de Netlogon-logboeken voor foutopsporing.
  • Voor toepassingen en services die van NTLM gebruikmaken, net configureert om Kerberos-verificatie te gebruiken. De methoden om te doen die uniek zijn voor deze toepassingen.
Opmerking Om te bepalen welke waarde in te stellen voor de MaxConcurrentApi instelling in uw omgeving verwijzen naar het Knowledge Base-artikelen.

2688798 hoe het afstemmen van prestaties voor NTLM-verificatie met behulp van de instelling MaxConcurrentApi

Informatie over de hotfix

Een ondersteunde hotfix is beschikbaar bij Microsoft. Deze hotfix is echter alleen bedoeld voor het probleem dat wordt beschreven in dit artikel. Deze hotfix alleen uit op systemen waarop het probleem dat in dit artikel wordt beschreven zich voordoet. Deze hotfix moet wellicht extra worden getest. Als u geen ernstige hinder ondervindt van dit probleem, is het daarom raadzaam te wachten op de volgende update waarin deze hotfix is opgenomen.

Als de hotfix gedownload kan worden, is er een sectie 'Hotfix downloaden' aan het begin van dit Knowledge Base-artikel. Als deze sectie niet wordt weergegeven, neem dan contact op met Microsoft Customer Service and Support om de hotfix te verkrijgen.

Opmerking Als er andere problemen optreden of als probleemoplossing is vereist, moet u wellicht een apart serviceverzoek indienen. De normale ondersteuningskosten gelden voor extra ondersteuningsvragen en problemen die niet in aanmerking komen voor deze specifieke hotfix. Voor een volledige lijst met telefoonnummers van Microsoft Customer Service and Support of om een afzonderlijk serviceverzoek aan te maken, gaat u naar de volgende Microsoft-website:Opmerking Het formulier 'Hotfix kan worden gedownload' geeft de talen weer waarvoor de hotfix beschikbaar is. Als uw taal niet wordt weergegeven, is dit omdat een hotfix niet voor die taal beschikbaar is.

Vereisten

Deze hotfix moet Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 of Windows Server 2008 Service Pack 2 worden uitgevoerd op uw computer.

Informatie over het register

Belangrijk Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, er kunnen ernstige problemen optreden als u het register onjuist bewerkt. Daarom is het belangrijk de volgende stappen zorgvuldig te volgen. Als extra beveiliging maakt u een back-up van het register voordat u wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over hoe u een back-up van het register kunt maken en terugzetten, klikt u op het volgende artikel in de Microsoft Knowledge Base:
322756 het back-up maken en het register terugzetten in Windows
Nadat u de hotfix hebt geïnstalleerd, een hogere waarde een hogere waarde op alle servers die Perfmon Netlogon "semafoor time-out" aanduidingen in de Performance logs of Maxconcurrentapi ' NlpUserValidateHigher: Client-API-sleuf kan niet toewijzen ' tekst in de Netlogon-logboeken voor foutopsporing. Ga hiervoor als volgt te werk:notities

Opnieuw opstarten

Nadat u deze hotfix hebt geïnstalleerd, moet u de computer opnieuw opstarten.

Informatie over het vervangen van hotfixes

Deze hotfix vervangt geen eerder uitgebrachte hotfix.

Bestandsinformatie

De Engelse (Verenigde Staten) versie van deze hotfix installeert bestanden met de bestandskenmerken die in de volgende tabellen worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). De datums en tijden voor deze bestanden op uw lokale computer worden weergegeven in uw lokale tijd samen met het huidige verschil met de zomertijd (DST). Bovendien kunnen de datums en tijden veranderen wanneer u bepaalde bewerkingen op de bestanden uitvoert.

  • De MANIFEST-bestanden (.manifest) en MUM-bestanden (.mum) die zijn geïnstalleerd voor elke omgeving worden afzonderlijk vermeld in de sectie 'Aanvullende bestandsinformatie voor Windows Vista en Windows Server 2008 '. MUM- en MANIFEST-bestanden- en de bijbehorende beveiligingscatalogusbestanden (.cat)-bestanden zijn zeer belangrijk voor het behoud van de status van het bijgewerkte onderdeel. De beveiligingscatalogusbestanden, waarvan de kenmerken niet worden vermeld, zijn ondertekend met een digitale handtekening van Microsoft.

Bestandsgegevens voor Windows Vista en Windows Server 2008

Bestandsgegevens voor x86-versies van Windows Server 2008 en Windows Vista
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Netlogon.dll6.0.6002.22289592,89616-Dec-200912:09x86
Nlsvc.mofNiet van toepassing2,87303-Apr-200921:24Niet van toepassing
Bestandsgegevens voor x64-versies van Windows Server 2008 en Windows Vista
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Netlogon.dll6.0.6002.22289716,80016-Dec-200912:07x64
Nlsvc.mofNiet van toepassing2,87303-Apr-200920:58Niet van toepassing
Bestandsgegevens voor IA-64-versies van Windows Server 2008
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Netlogon.dll6.0.6002.222891,216,51216-Dec-200912:05IA-64
Nlsvc.mofNiet van toepassing2,87303-Apr-200920:59Niet van toepassing

Bestandsgegevens voor Windows 7 en Windows Server 2008 R2

Opmerkingen over bestandsinformatie in Windows 7 en Windows Server 2008 R2
Belangrijk Hotfixes voor Windows 7 en Windows Server 2008 R2 zijn opgenomen in dezelfde pakketten. Hotfixes op de pagina Hotfix aanvragen worden echter vermeld onder de beide besturingssystemen. Als u het hotfix-pakket van toepassing op één of beide besturingssystemen is, schakelt u de hotfix die wordt vermeld onder 'Windows 7/Windows Server 2008 R2' op de pagina. Altijd verwijzen naar de sectie 'Van toepassing op' in de artikelen om te bepalen van het besturingssysteem waarop elke hotfix van toepassing is.
  • De MANIFEST-bestanden (.manifest) en MUM-bestanden (.mum) die zijn geïnstalleerd voor elke omgeving zijn apart vermeld in de sectie "Bestandsinformatie voor Windows Server 2008 R2 en Windows 7". MUM- en MANIFEST-bestanden- en de bijbehorende beveiligingscatalogusbestanden (.cat)-bestanden zijn zeer belangrijk voor het behoud van de status van het bijgewerkte onderdeel. De beveiligingscatalogusbestanden, waarvan de kenmerken niet worden vermeld, zijn ondertekend met een digitale handtekening van Microsoft.
Voor alle ondersteunde x86-versies van Windows 7
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Netlogon.dll6.1.7600.20576563,71216-Nov-200906:40x86
Nlsvc.mofNiet van toepassing2,87310-Jun-200921:29Niet van toepassing
Voor alle ondersteunde x64-versies van Windows 7 en Windows Server 2008 R2
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Netlogon.dll6.1.7600.20576692,73616-Nov-200907:45x64
Nlsvc.mofNiet van toepassing2,87310-Jun-200920:47Niet van toepassing
Voor alle ondersteunde IA-64-versies van Windows Server 2008 R2
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Netlogon.dll6.1.7600.205761.148.41616-Nov-200906:10IA-64
Nlsvc.mofNiet van toepassing2,87310-Jun-200920:52Niet van toepassing


Status


Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.

Meer informatie


Deze hotfix is opgenomen in Windows 7 Service Pack 1 (SP1) en Windows Server 2008 R2 Service Pack 1 (SP1).

De instelling MaxConcurrentApi en de standaardinstellingen voor het zijn een oudere versie van Windows 2000 en de beperkte hardwaremogelijkheden van die tijd. Meer threads en de RPC-verkeer die wilt genereren waardoor een ernstig probleem is en er is een mogelijkheid van knelpunten als te veel threads zijn gemaakt met oudere hardware. Die beperking hardware prestaties is met nieuwere hardwareplatforms en betere prestaties, minder vaak optreden. Zoals altijd is het belangrijk om te meten en de prestaties van de servers in een omgeving te begrijpen voordat u de mogelijke belasting verhogen met een hoge instelling voor MaxConcurrentApi .

Voor meer informatie over het gebruik van de Netlogon-service (Netlogon.log) voor logboekregistratie voor foutopsporing, klikt u op het volgende artikel in de Microsoft Knowledge Base:
Voor de Net Logon-service logboekregistratie voor foutopsporing 109626 inschakelen
Een extra stap in de lessening kan worden uitgevoerd op Windows Server 2003-domeincontrollers die posten in hun foutopsporingslogboek Netlogon-service die aangeven bevatten dat clients < null > verzendt \gebruikersnaam in plaats van domeinnaam\gebruikersnaam. De stappen worden beschreven in het volgende artikel in de Microsoft Knowledge Base:
923241 het Lsass.exe-proces reageert niet als er veel externe vertrouwensrelaties op een domeincontroller met Windows Server 2003
Meer informatie over het gebruik van de Netlogon-prestaties controleren object is beschikbaar, met een update die prestatie-object toevoegen in Windows Server 2003. Er is een update voor Windows Server 2003 waarmee u kunt controleren de snelheid en de doorvoer van NTLM-verificatie. Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:
928576 nieuwe prestatiemeteritems voor Windows Server 2003 kunnen u de prestaties van de Netlogon-verificatie controleren

Er is een update voor Windows Server 2008 R2 die nieuwe gebeurtenissen introduceert bijhouden van overbelasting van de Netlogoan-API:

Er zijn nieuwe logboekvermeldingen dat NTLM-verificatie vertragingen en fouten in Windows Server 2008 R2 beschikbaar
http://support.Microsoft.com/default.aspx?scid=kB; EN-US; 2654097
Voor meer informatie over terminologie voor software-updates klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

824684

Beschrijving van de standaardterminologie die wordt gebruikt voor het beschrijven van Microsoft-software-updates

Aanvullende bestandsinformatie

Aanvullende bestandsinformatie voor Windows Vista en Windows Server 2008

Extra informatie voor x86-versies van Windows Vista en Windows Server 2008
BestandsnaamUpdate.mum
BestandsversieNiet van toepassing
Bestandsgrootte3,068
Datum (UTC)16-Dec-2009
Tijd (UTC)21:16
PlatformNiet van toepassing
BestandsnaamX86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest
BestandsversieNiet van toepassing
Bestandsgrootte705
Datum (UTC)16-Dec-2009
Tijd (UTC)21:16
PlatformNiet van toepassing
BestandsnaamX86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest
BestandsversieNiet van toepassing
Bestandsgrootte22,701
Datum (UTC)16-Dec-2009
Tijd (UTC)14:05
PlatformNiet van toepassing
Extra informatie voor x64-versies van Windows Server 2008 en Windows Vista
BestandsnaamAmd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest
BestandsversieNiet van toepassing
Bestandsgrootte1,060
Datum (UTC)16-Dec-2009
Tijd (UTC)21:16
PlatformNiet van toepassing
BestandsnaamAmd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest
BestandsversieNiet van toepassing
Bestandsgrootte23,180
Datum (UTC)16-Dec-2009
Tijd (UTC)15:52
PlatformNiet van toepassing
BestandsnaamUpdate.mum
BestandsversieNiet van toepassing
Bestandsgrootte3,092
Datum (UTC)16-Dec-2009
Tijd (UTC)21:16
PlatformNiet van toepassing
BestandsnaamWow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
BestandsversieNiet van toepassing
Bestandsgrootte18,332
Datum (UTC)16-Dec-2009
Tijd (UTC)14:00
PlatformNiet van toepassing
Extra informatie voor IA-64-versies van Windows Server 2008
BestandsnaamIa64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest
BestandsversieNiet van toepassing
Bestandsgrootte1,058
Datum (UTC)16-Dec-2009
Tijd (UTC)21:16
PlatformNiet van toepassing
BestandsnaamIa64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest
BestandsversieNiet van toepassing
Bestandsgrootte23,156
Datum (UTC)16-Dec-2009
Tijd (UTC)16:08
PlatformNiet van toepassing
BestandsnaamUpdate.mum
BestandsversieNiet van toepassing
Bestandsgrootte2,247
Datum (UTC)16-Dec-2009
Tijd (UTC)21:16
PlatformNiet van toepassing
BestandsnaamWow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
BestandsversieNiet van toepassing
Bestandsgrootte18,332
Datum (UTC)16-Dec-2009
Tijd (UTC)14:00
PlatformNiet van toepassing

Aanvullende bestandsinformatie voor Windows 7 en Windows Server 2008 R2

Extra bestanden voor alle ondersteunde x86-versies van Windows 7


BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mumNiet van toepassing1,94716-Nov-200909:45Niet van toepassing
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifestNiet van toepassing35,54116-Nov-200908:08Niet van toepassing
Extra bestanden voor alle ondersteunde x64-versies van Windows 7 en Windows Server 2008 R2

BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifestNiet van toepassing35,54716-Nov-200908:11Niet van toepassing
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mumNiet van toepassing2,18116-Nov-200909:45Niet van toepassing
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestNiet van toepassing16,59616-Nov-200908:01Niet van toepassing
Extra bestanden voor alle ondersteunde IA-64-versies van Windows Server 2008 R2

BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifestNiet van toepassing35,54416-Nov-200909:06Niet van toepassing
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mumNiet van toepassing1,68316-Nov-200909:45Niet van toepassing
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestNiet van toepassing16,59616-Nov-200908:01Niet van toepassing