Ważne Ten artykuł zawiera informacje dotyczące modyfikowania rejestru. Upewnij się, tworzenie kopii zapasowej rejestru przed przystąpieniem do modyfikacji. Upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać więcej informacji na temat kopii zapasowej, przywracania i modyfikowania rejestru kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows
Objawy
Na kontrolerze domeny z systemem Microsoft Windows Server 2003 proces Local Security Authentication Server (Lsass.exe) może przestać odpowiadać, jeśli są spełnione następujące warunki:
-
Masz wiele zaufań zewnętrznych i wiele żądań logowania jednoczesne.
-
Te żądania logowania nie określaj nazwy domeny.
Dodatkowe symptomy może być powolne lub opóźnione uwierzytelniania dla użytkowników, którzy żądają starsze uwierzytelnianie (NTLM). Ponadto jeśli obiekt wydajności Netlogon monitorowania, Średni czas przechowywania semafora licznika wydajności mogą wykazywać opóźnienia użytkowników z innych domen.
Przyczyna
Ten problem występuje, ponieważ proces Lsass.exe wyczerpie zasoby, jeśli liczba jednoczesnych logowań pomnożona przez liczbę relacji zaufania jest większa niż 1000.
Rozwiązanie
Ostrzeżenie: Nieprawidłowa modyfikacja rejestru za pomocą Edytora rejestru lub inną metodą może spowodować poważne problemy. Te problemy mogą wymagać ponownej instalacji systemu operacyjnego. Firma Microsoft nie gwarantuje, że możliwe będzie rozwiązanie tych problemów. Modyfikujesz rejestr na własną odpowiedzialność.
Aby rozwiązać ten problem, zastosuj najnowszy dodatek service pack dla systemu Windows Server 2003 lub następującą poprawkę. Następnie należy włączyć NeverPing ustawienie.
Ważne To ustawienie może spowodować niepożądane efekty uboczne, jeśli masz klientów, które nie określają nazwy domen w żądania logowania. Ci klienci mogą obejmować klientów systemu Microsoft Windows 98 i program Outlook Web Access. Klienci ci działać poprawnie, jeśli konta użytkowników, że logowanie żądania użycia są w domenie systemu Windows Server 2003 lub w katalogu globalnym. Problemy występują tylko wtedy, gdy konto użytkownika domeny zewnętrznej.
Aby włączyć NeverPing ustawienie, wykonaj następujące kroki:
-
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie Regedit, a następnie kliknij OK.
-
Zlokalizuj następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
-
Kliknij prawym przyciskiem myszy ten podklucz, wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
-
Typ NeverPing jako nazwę wpisu rejestru, a następnie naciśnij klawisz ENTER.
-
Kliknij dwukrotnie NeverPing, wpisz 1 w polu Dane wartości , a następnie kliknij przycisk OK.
-
Zamknij Edytor rejestru.
Informacje dodatku Service pack
Aby rozwiązać ten problem, należy uzyskać najnowszy dodatek service pack dla systemu Windows Server 2003. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
889100 jak uzyskać najnowszy dodatek service pack dla systemu Windows Server 2003
Informacje o poprawce
Obsługiwana poprawka jest udostępniana przez firmę Microsoft. Jednak ta poprawka jest przeznaczona tylko do usunięcia problemu opisanego w tym artykule. Tylko w systemach, których dotyczy ten problem, należy zastosować tę poprawkę. Ta poprawka może być wciąż w fazie testowania. Jeśli dany system nie jest poważnie narażony na ten problem, firma Microsoft zaleca, aby poczekać na następną aktualizację oprogramowania zawierającą tę poprawkę.
Jeśli poprawka jest dostępna do pobrania, pojawi się sekcja "Poprawka dostępna do pobrania" na początku tego artykułu z bazy wiedzy Knowledge Base. Jeśli nie ma tej sekcji, skontaktuj się z Obsługą i Wsparciem Klienta Microsoft w celu uzyskania poprawki.
Uwaga Jeśli wystąpią dodatkowe błędy lub konieczność rozwiązania problemu, być może trzeba będzie utworzyć osobne zlecenie usługi. Zwykłe koszty obsługi będą zastosowane do dodatkowych pytań i problemów, których nie można rozwiązać przy użyciu określonej poprawki. Aby uzyskać pełną listę numerów telefonów działu obsługi klienta firmy Microsoft lub utworzyć osobne zlecenie usługi odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://support.microsoft.com/contactus/?ws=supportUwaga "Poprawka dostępna do pobrania" zawiera listę języków, dla których dostępna jest poprawka. Jeśli odpowiedni język nie jest widoczny, to dlatego, że poprawka nie jest dostępna dla danego języka.
Wymagania wstępne
Nie określono wymagań wstępnych.
Wymagania dotyczące ponownego uruchomienia
Po zastosowaniu tej poprawki należy ponownie uruchomić komputer.
Informacje dotyczące zastępowania poprawek
Ta poprawka nie zastępuje żadnych innych poprawek.
Informacje o plikach
Wersja anglojęzyczna tej poprawki ma atrybuty plików (lub nowsze) wymienione w poniższej tabeli. Daty i godziny odpowiadające tym plikom zostały podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Po wyświetleniu informacji o pliku są konwertowane na czas lokalny. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, należy użyć karty Strefa czasowa w elemencie Data i godzina w Panelu sterowania.
Windows Server 2003, wersje x86
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
5.2.3790.573 |
419,328 |
08-Aug-2006 |
13:01 |
x86 |
Windows Server 2003, wersje dla komputerów z procesorami Itanium
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
Składnik usługi |
|---|---|---|---|---|---|---|
|
Netlogon.dll |
5.2.3790.573 |
959,488 |
07-Aug-2006 |
21:58 |
IA-64 |
RTMQFE |
|
Wnetlogon.dll |
5.2.3790.573 |
419,328 |
07-Aug-2006 |
22:01 |
x86 |
WOW |
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji "Dotyczy". Ten problem został po raz pierwszy rozwiązany w dodatku Service Pack 2 dla systemu Windows Server 2003.
Więcej informacji
Ten problem występuje, gdy aplikacje korzystają z uwierzytelniania NTLM starszych i nie przedstawi domeny, do której użytkownik jest skojarzony z podczas przesyłania żądań uwierzytelniania. Gdy starsze zachowanie jest wymagane przez klienta kontrolerów domeny należy użyć starszych metod do zlokalizowania odpowiedniej domeny użytkownika, tak aby domena autorytatywna dla danego użytkownika można zapewnić weryfikację poświadczeń użytkownika. Komunikacji sieciowej sekwencyjnych z każdej domeny kontroler domeny jest starsze zachowanie relacji zaufania. Ten problem pogarsza, gdy istnieją większej liczby domen i liczby żądań uwierzytelniania Brak domeny część poświadczeń użytkowników.
Problem ten można zidentyfikować w Netlogon debugowania usługi Dzienniki na kontrolerach domeny polega na wyszukiwaniu SamLogon wpisów, które wykazują "< nulll > \username". Po prostu przeszukiwania dzienników dla "\ < null >" ujawni, jeśli problem został występujących w ogóle.
Problem ten może pogorszyć starsze uwierzytelnianie wąskich gardeł wydajności. Aby uzyskać więcej informacji na ten temat można znaleźć w artykule bazy wiedzy Knowledge Base:
975363 Sporadyczny monit o poświadczenia lub występowanie błędów przekroczenia limitu czasu, po podłączeniu do usług uwierzytelnionych
Aby uzyskać więcej informacji dotyczących podobnego problemu w systemie Windows 2000 kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
825107 proces Lsass.exe może przestać odpowiadać, jeśli masz wiele zaufania zewnętrzne na kontrolerze domeny z systemem Windows 2000 Server
W niektórych sytuacjach problemy z wydajnością mogą być nadal widoczne nawet po skonfigurowaniu Neverping ustawienie. W tych przypadkach MaxConcurrentApi ustawienie powinna być równa wyższej wartości. Więcej informacji na temat oszacowanie najlepsze ustawienie MaxConcurrentApi można znaleźć w poniższym artykule bazy wiedzy.
Jak zrobić, dostrajanie wydajności dla uwierzytelniania NTLM, przy użyciu ustawienia MaxConcurrentApi 2688798
