Symptomen
U kunt een of meer van de volgende symptomen kan optreden. Deze symptomen mogelijk intermitterende of continue. Deze symptomen zijn vaker en meer omvattend 'hoog gebruik van' momenten, zoals aan het begin van een bedrijf bij het verdelen van grotere client plaatsvindt op de servers in de omgeving.
Treden de volgende problemen in een web services-scenario: treden de volgende problemen in een web proxyscenario: treden de volgende problemen in een Exchange-client scenario: treedt het volgende probleem in elk scenario in welke NTLM-verificatie wordt gebruikt voor toepassingen:
Lijn van het bedrijf of aangepaste toepassingen die gebruikmaken van NTLM-verificatie mislukt. Bovendien kunnen er verschillende foutberichten die met tussenpozen en eventueel 'toegang geweigerd'Het volgende probleem in een extern bestand toegang kunnen optreden:
Windows-clients ' toegang geweigerd ' ontvangen of uitgesteld reacties van de server.Treedt het volgende probleem in elk scenario waarbij Kerberos-overdracht in een middle-tier-service wordt gebruikt:
De clients toegang is in eerste instantie maar verliest vervolgens toegang tot dezelfde bronnen. Bovendien herhaaldelijk gevraagd om referenties of 'toegang geweigerd'-fouten optreden.Opmerkingen
Oorzaak
Dit probleem treedt op wanneer een hoog volume van NTLM-verificatie of Kerberos PAC validatie transacties (of beide) optreden op een Windows-server en dat volume groter is dan het volume dat tegelijkertijd kan worden verwerkt door de server of de domeincontrollers die verificatie biedt. Met andere woorden, wordt dit veroorzaakt door een resource verificatie knelpunt.
NTLM-verificatie en validatie van PAC worden uitgevoerd door specifieke threads in het proces Lsass.exe op Windows-computers. Er is een maximum aantal deze threads die beschikbaar zijn voor het verwerken van deze aanvragen op hetzelfde moment, en als de aanvragen groter is dan de beschikbaarheid van de threads en de aanvragen kunnen niet langer wachten, treedt dit probleem.
Werkstations hebben een van de threads beschikbaar voor gebruik en lidservers hebben twee threads beschikbaar voor gebruik. Domeincontrollers hebben één beschikbare thread per beveiligingskanaal met vertrouwde domeinen. Dit maximum aantal threads die zijn toegewezen aan dit doel 'Maxconcurrentapi' wordt genoemd en kan worden geconfigureerd.
Oplossing
Gebruik een of meer van de volgende methoden het probleem op te lossen:
-
De volgende hotfix geïnstalleerd en vervolgens de stappen die worden beschreven in de sectie 'registerinformatie'. Nadat u deze hotfix op Windows Vista, Windows Server 2008, Windows 7 of Windows Server 2008 R2, de maximumlimit van gelijktijdige verbindingen tussen een clientcomputer en een andere server installeert of een domeincontroller voor NTLM-verificatie of PAC validatie kan maximaal 150 worden gewijzigd. Moet dit gebeuren op alle servers die Perfmon Netlogon vertonen 'semafoor time-out' in hun prestatielogboeken of die aanduidingen zijn de ' NlpUserValidateHigher: Client-API-sleuf kan niet toewijzen ' tekst in de Netlogon-logboeken voor foutopsporing.
-
Voor toepassingen en services die van NTLM gebruikmaken, net configureert om Kerberos-verificatie te gebruiken. De methoden om te doen die uniek zijn voor deze toepassingen.
Opmerking Om te bepalen welke waarde in te stellen voor de MaxConcurrentApi instelling in uw omgeving verwijzen naar het Knowledge Base-artikelen.
2688798 hoe het afstemmen van prestaties voor NTLM-verificatie met behulp van de instelling MaxConcurrentApi
Informatie over de hotfix
Een ondersteunde hotfix is beschikbaar bij Microsoft. Deze hotfix is echter alleen bedoeld voor het probleem dat wordt beschreven in dit artikel. Deze hotfix alleen uit op systemen waarop het probleem dat in dit artikel wordt beschreven zich voordoet. Deze hotfix moet wellicht extra worden getest. Als u geen ernstige hinder ondervindt van dit probleem, is het daarom raadzaam te wachten op de volgende update waarin deze hotfix is opgenomen.
Als de hotfix gedownload kan worden, is er een sectie 'Hotfix downloaden' aan het begin van dit Knowledge Base-artikel. Als deze sectie niet wordt weergegeven, neem dan contact op met Microsoft Customer Service and Support om de hotfix te verkrijgen.
Opmerking Als er andere problemen optreden of als probleemoplossing is vereist, moet u wellicht een apart serviceverzoek indienen. De normale ondersteuningskosten gelden voor extra ondersteuningsvragen en problemen die niet in aanmerking komen voor deze specifieke hotfix. Voor een volledige lijst met telefoonnummers van Microsoft Customer Service and Support of om een afzonderlijk serviceverzoek aan te maken, gaat u naar de volgende Microsoft-website:
http://support.microsoft.com/contactus/?ws=supportOpmerking Het formulier 'Hotfix kan worden gedownload' geeft de talen weer waarvoor de hotfix beschikbaar is. Als uw taal niet wordt weergegeven, is dit omdat een hotfix niet voor die taal beschikbaar is.
Vereisten
Deze hotfix moet Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 of Windows Server 2008 Service Pack 2 worden uitgevoerd op uw computer.
Informatie over het register
Belangrijk Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, er kunnen ernstige problemen optreden als u het register onjuist bewerkt. Daarom is het belangrijk de volgende stappen zorgvuldig te volgen. Als extra beveiliging maakt u een back-up van het register voordat u wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over hoe u een back-up van het register kunt maken en terugzetten, klikt u op het volgende artikel in de Microsoft Knowledge Base:
322756 het back-up maken en het register terugzetten in WindowsNadat u de hotfix hebt geïnstalleerd, een hogere waarde een hogere waarde op alle servers die Perfmon Netlogon "semafoor time-out" aanduidingen in de Performance logs of Maxconcurrentapi ' NlpUserValidateHigher: Client-API-sleuf kan niet toewijzen ' tekst in de Netlogon-logboeken voor foutopsporing. Ga hiervoor als volgt te werk:notities
Opnieuw opstarten
Nadat u deze hotfix hebt geïnstalleerd, moet u de computer opnieuw opstarten.
Informatie over het vervangen van hotfixes
Deze hotfix vervangt geen eerder uitgebrachte hotfix.
Bestandsinformatie
De Engelse (Verenigde Staten) versie van deze hotfix installeert bestanden met de bestandskenmerken die in de volgende tabellen worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). De datums en tijden voor deze bestanden op uw lokale computer worden weergegeven in uw lokale tijd samen met het huidige verschil met de zomertijd (DST). Bovendien kunnen de datums en tijden veranderen wanneer u bepaalde bewerkingen op de bestanden uitvoert.
-
De MANIFEST-bestanden (.manifest) en MUM-bestanden (.mum) die zijn geïnstalleerd voor elke omgeving worden afzonderlijk vermeld in de sectie 'Aanvullende bestandsinformatie voor Windows Vista en Windows Server 2008 '. MUM- en MANIFEST-bestanden- en de bijbehorende beveiligingscatalogusbestanden (.cat)-bestanden zijn zeer belangrijk voor het behoud van de status van het bijgewerkte onderdeel. De beveiligingscatalogusbestanden, waarvan de kenmerken niet worden vermeld, zijn ondertekend met een digitale handtekening van Microsoft.
Bestandsgegevens voor Windows Vista en Windows Server 2008
Bestandsgegevens voor x86-versies van Windows Server 2008 en Windows Vista
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Netlogon.dll |
6.0.6002.22289 |
592,896 |
16-Dec-2009 |
12:09 |
x86 |
Nlsvc.mof |
Niet van toepassing |
2,873 |
03-Apr-2009 |
21:24 |
Niet van toepassing |
Bestandsgegevens voor x64-versies van Windows Server 2008 en Windows Vista
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Netlogon.dll |
6.0.6002.22289 |
716,800 |
16-Dec-2009 |
12:07 |
x64 |
Nlsvc.mof |
Niet van toepassing |
2,873 |
03-Apr-2009 |
20:58 |
Niet van toepassing |
Bestandsgegevens voor IA-64-versies van Windows Server 2008
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Netlogon.dll |
6.0.6002.22289 |
1,216,512 |
16-Dec-2009 |
12:05 |
IA-64 |
Nlsvc.mof |
Niet van toepassing |
2,873 |
03-Apr-2009 |
20:59 |
Niet van toepassing |
Bestandsgegevens voor Windows 7 en Windows Server 2008 R2
Opmerkingen over bestandsinformatie in Windows 7 en Windows Server 2008 R2
Belangrijk Hotfixes voor Windows 7 en Windows Server 2008 R2 zijn opgenomen in dezelfde pakketten. Hotfixes op de pagina Hotfix aanvragen worden echter vermeld onder de beide besturingssystemen. Als u het hotfix-pakket van toepassing op één of beide besturingssystemen is, schakelt u de hotfix die wordt vermeld onder 'Windows 7/Windows Server 2008 R2' op de pagina. Altijd verwijzen naar de sectie 'Van toepassing op' in de artikelen om te bepalen van het besturingssysteem waarop elke hotfix van toepassing is.
-
De MANIFEST-bestanden (.manifest) en MUM-bestanden (.mum) die zijn geïnstalleerd voor elke omgeving zijn apart vermeld in de sectie "Bestandsinformatie voor Windows Server 2008 R2 en Windows 7". MUM- en MANIFEST-bestanden- en de bijbehorende beveiligingscatalogusbestanden (.cat)-bestanden zijn zeer belangrijk voor het behoud van de status van het bijgewerkte onderdeel. De beveiligingscatalogusbestanden, waarvan de kenmerken niet worden vermeld, zijn ondertekend met een digitale handtekening van Microsoft.
Voor alle ondersteunde x86-versies van Windows 7
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.20576 |
563,712 |
16-Nov-2009 |
06:40 |
x86 |
Nlsvc.mof |
Niet van toepassing |
2,873 |
10-Jun-2009 |
21:29 |
Niet van toepassing |
Voor alle ondersteunde x64-versies van Windows 7 en Windows Server 2008 R2
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.20576 |
692,736 |
16-Nov-2009 |
07:45 |
x64 |
Nlsvc.mof |
Niet van toepassing |
2,873 |
10-Jun-2009 |
20:47 |
Niet van toepassing |
Voor alle ondersteunde IA-64-versies van Windows Server 2008 R2
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Netlogon.dll |
6.1.7600.20576 |
1.148.416 |
16-Nov-2009 |
06:10 |
IA-64 |
Nlsvc.mof |
Niet van toepassing |
2,873 |
10-Jun-2009 |
20:52 |
Niet van toepassing |
Status
Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.
Meer informatie
Deze hotfix is opgenomen in Windows 7 Service Pack 1 (SP1) en Windows Server 2008 R2 Service Pack 1 (SP1).
De instelling MaxConcurrentApi en de standaardinstellingen voor het zijn een oudere versie van Windows 2000 en de beperkte hardwaremogelijkheden van die tijd. Meer threads en de RPC-verkeer die wilt genereren waardoor een ernstig probleem is en er is een mogelijkheid van knelpunten als te veel threads zijn gemaakt met oudere hardware. Die beperking hardware prestaties is met nieuwere hardwareplatforms en betere prestaties, minder vaak optreden. Zoals altijd is het belangrijk om te meten en de prestaties van de servers in een omgeving te begrijpen voordat u de mogelijke belasting verhogen met een hoge instelling voor MaxConcurrentApi .
Voor meer informatie over het gebruik van de Netlogon-service (Netlogon.log) voor logboekregistratie voor foutopsporing, klikt u op het volgende artikel in de Microsoft Knowledge Base:
Voor de Net Logon-service logboekregistratie voor foutopsporing 109626 inschakelenEen extra stap in de lessening kan worden uitgevoerd op Windows Server 2003-domeincontrollers die posten in hun foutopsporingslogboek Netlogon-service die aangeven bevatten dat clients < null > verzendt \gebruikersnaam in plaats van domeinnaam\gebruikersnaam. De stappen worden beschreven in het volgende artikel in de Microsoft Knowledge Base:
923241 het Lsass.exe-proces reageert niet als er veel externe vertrouwensrelaties op een domeincontroller met Windows Server 2003Meer informatie over het gebruik van de Netlogon-prestaties controleren object is beschikbaar, met een update die prestatie-object toevoegen in Windows Server 2003. Er is een update voor Windows Server 2003 waarmee u kunt controleren de snelheid en de doorvoer van NTLM-verificatie. Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:
928576 nieuwe prestatiemeteritems voor Windows Server 2003 kunnen u de prestaties van de Netlogon-verificatie controleren
Er is een update voor Windows Server 2008 R2 die nieuwe gebeurtenissen introduceert bijhouden van overbelasting van de Netlogoan-API:
Er zijn nieuwe logboekvermeldingen dat NTLM-verificatie vertragingen en fouten in Windows Server 2008 R2 beschikbaar
http://support.Microsoft.com/default.aspx?scid=kB; EN-US; 2654097
Voor meer informatie over terminologie voor software-updates klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:
824684
Beschrijving van de standaardterminologie die wordt gebruikt voor het beschrijven van Microsoft-software-updates
Aanvullende bestandsinformatie
Aanvullende bestandsinformatie voor Windows Vista en Windows Server 2008
Extra informatie voor x86-versies van Windows Vista en Windows Server 2008
Bestandsnaam |
Update.mum |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
3,068 |
Datum (UTC) |
16-Dec-2009 |
Tijd (UTC) |
21:16 |
Platform |
Niet van toepassing |
Bestandsnaam |
X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
705 |
Datum (UTC) |
16-Dec-2009 |
Tijd (UTC) |
21:16 |
Platform |
Niet van toepassing |
Bestandsnaam |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
22,701 |
Datum (UTC) |
16-Dec-2009 |
Tijd (UTC) |
14:05 |
Platform |
Niet van toepassing |
Extra informatie voor x64-versies van Windows Server 2008 en Windows Vista
Bestandsnaam |
Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
1,060 |
Datum (UTC) |
16-Dec-2009 |
Tijd (UTC) |
21:16 |
Platform |
Niet van toepassing |
Bestandsnaam |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
23,180 |
Datum (UTC) |
16-Dec-2009 |
Tijd (UTC) |
15:52 |
Platform |
Niet van toepassing |
Bestandsnaam |
Update.mum |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
3,092 |
Datum (UTC) |
16-Dec-2009 |
Tijd (UTC) |
21:16 |
Platform |
Niet van toepassing |
Bestandsnaam |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
18,332 |
Datum (UTC) |
16-Dec-2009 |
Tijd (UTC) |
14:00 |
Platform |
Niet van toepassing |
Extra informatie voor IA-64-versies van Windows Server 2008
Bestandsnaam |
Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
1,058 |
Datum (UTC) |
16-Dec-2009 |
Tijd (UTC) |
21:16 |
Platform |
Niet van toepassing |
Bestandsnaam |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
23,156 |
Datum (UTC) |
16-Dec-2009 |
Tijd (UTC) |
16:08 |
Platform |
Niet van toepassing |
Bestandsnaam |
Update.mum |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
2,247 |
Datum (UTC) |
16-Dec-2009 |
Tijd (UTC) |
21:16 |
Platform |
Niet van toepassing |
Bestandsnaam |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
18,332 |
Datum (UTC) |
16-Dec-2009 |
Tijd (UTC) |
14:00 |
Platform |
Niet van toepassing |
Aanvullende bestandsinformatie voor Windows 7 en Windows Server 2008 R2
Extra bestanden voor alle ondersteunde x86-versies van Windows 7
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Niet van toepassing |
1,947 |
16-Nov-2009 |
09:45 |
Niet van toepassing |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest |
Niet van toepassing |
35,541 |
16-Nov-2009 |
08:08 |
Niet van toepassing |
Extra bestanden voor alle ondersteunde x64-versies van Windows 7 en Windows Server 2008 R2
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest |
Niet van toepassing |
35,547 |
16-Nov-2009 |
08:11 |
Niet van toepassing |
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Niet van toepassing |
2,181 |
16-Nov-2009 |
09:45 |
Niet van toepassing |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Niet van toepassing |
16,596 |
16-Nov-2009 |
08:01 |
Niet van toepassing |
Extra bestanden voor alle ondersteunde IA-64-versies van Windows Server 2008 R2
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest |
Niet van toepassing |
35,544 |
16-Nov-2009 |
09:06 |
Niet van toepassing |
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Niet van toepassing |
1,683 |
16-Nov-2009 |
09:45 |
Niet van toepassing |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Niet van toepassing |
16,596 |
16-Nov-2009 |
08:01 |
Niet van toepassing |