Een ISA Server-computer configureren voor een groot aantal verificatieaanvragen

In dit stapsgewijze artikel wordt beschreven hoe u de verificatiedoorvoer kunt verbeteren op een computer waarop Microsoft Isa Server (Internet Security and Acceleration) wordt uitgevoerd.

Van toepassing op: Windows Server 2012 R2
Origineel KB-nummer: 326040

Samenvatting

Als de computer gebruikmaakt van NTLM- of Basisverificatie voor veel webclients, kunnen de prestaties slecht zijn. Dit probleem treedt niet op wanneer verificatie is uitgeschakeld.

U kunt de verificatiedoorvoer verbeteren door het aantal gelijktijdige verificatieaanroepen te verhogen dat in één keer wordt uitgevoerd tussen de ISA Server-computer en de domeincontroller.

Windows-lidservers geven standaard maximaal twee gelijktijdige NTLM-verificatieaanvragen uit. Windows-domeincontrollers ondersteunen slechts één gelijktijdige verificatieaanvraag per sessie met een externe domeincontroller (gebruiker).

Een registersleutel toevoegen

Volg deze stappen om het aantal gelijktijdige verificatieaanroepen dat in één keer wordt uitgevoerd tussen de ISA Server-computer en de domeincontroller te verhogen.

1. De Register-editor starten. Klik hiervoor op Start , klik op Uitvoeren, typ Regedt32.exeen klik vervolgens op OK.

2. Zoek de volgende registersleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

3. Klik in het menu Bewerken op Waarde toevoegen en voeg vervolgens de volgende registergegevens toe:

   • Waardenaam: MaxConcurrentApi
   • Gegevenstype: REG_DWORD
   • Waarde: tussen 0 en 10.

   De maximale waarde voor Windows 2008 R2 is 150.

4. Start de NETLOGON-service opnieuw. Als u de hogere waarden wilt gebruiken, moet u een update installeren: 975363 Er treedt een time-outfout op wanneer veel NTLM-verificatieaanvragen worden verzonden van een domeinlid voor gebruikers van externe domeinen in een netwerk met hoge latentie.

Als u een computer hebt waarop Microsoft Windows 2000 Advanced Server wordt uitgevoerd, kunt u het onderdeel Netwerktaakverdeling (voorheen bekend als WLBS) van Windows 2000 Advanced Server gebruiken om binnenkomende toegangsaanvragen te verdelen over meerdere IAS-servers. Dit helpt de server beter te presteren wanneer het netwerkverkeer hoog is.

U kunt ook meer ISA Server-computers in een matrix gebruiken om de taakverdeling van webaanvragen en -verificatie te verdelen en de prestaties te verbeteren.

U moet de waarde instellen op de resourceserver en alle tussenliggende DC's die de NTLM-verificatieaanvraag verwerken op het pad naar het gebruikersdomein. In een Active Directory-forest met meerdere niveaus contoso.com met domeinen users.contoso.com met de gebruikers en servers.contoso.com met de resourceservers, betekent dit dat u dit moet instellen op de resourceservers en DC's in server.contoso.com en DC's in contoso.com.

Een andere manier om de prestaties te verbeteren is door de clientcomputer te verifiëren met behulp van Kerberos, maar dit wordt niet ondersteund met Internet Explorer 6 en eerdere versies. Eerder.

Verwijzingen

Informatie over de update voor Windows Server 2008 R2 die de hierboven beschreven limiet verhoogt:

975363 Er treedt een time-outfout op wanneer veel NTLM-verificatieaanvragen worden verzonden vanaf een computer met Windows Server 2008 R2 of Windows 7 in een netwerk met hoge latentie

U wordt af en toe gevraagd om referenties of time-outs wanneer u verbinding maakt met geverifieerde services