São solicitadas credenciais intermitentemente ou enfrentar tempos limite quando você se conectar a serviços autenticados

Sintomas

Você pode enfrentar um ou mais dos seguintes sintomas. Esses sintomas podem ser contínuas ou intermitentes. Estes sintomas são mais provável e mais graves durante os períodos de "alto uso", como no início de uma empresa dia quando carregar maior cliente ocorre em servidores no ambiente.

Você pode enfrentar os seguintes problemas em um cenário de serviços web: você pode enfrentar os seguintes problemas em um cenário de proxy da web: você pode enfrentar os seguintes problemas em um cenário de cliente do Exchange: você pode enfrentar o seguinte problema em qualquer situação na qual NTLM, a autenticação é usada para aplicativos:

Falha de linha de negócios ou aplicativos personalizados que usam a autenticação NTLM. Além disso, você pode receber erros diferentes que são intermitentes e podem incluir "acesso negado".
Você pode enfrentar o seguinte problema em um cenário de acesso de arquivo remoto:
Clientes Windows recebem erros de "acesso negado" ou atrasar as respostas do servidor de arquivos.
Você pode enfrentar o seguinte problema em qualquer cenário em que a delegação Kerberos está sendo usada em um serviço de camada intermediária:
Os clientes obtenham acesso com êxito à primeira mas perdem o acesso aos mesmos recursos. Além disso, você pode ser solicitado repetidamente para credenciais ou enfrentar erros de "acesso negado".
Observações:

Causa

Esse problema ocorre quando um volume alto de autenticação NTLM ou transações de validação Kerberos PAC (ou ambos) ocorrerem em um servidor baseado no Windows e esse volume é maior que o volume pode ser tratado de uma só vez, o servidor membro ou controladores de domínio que fornecem autenticação. Em outras palavras, isso é causado por um afunilamento de recursos de autenticação.

A autenticação NTLM e validação de PAC são realizadas por segmentos dedicados no processo de Lsass.exe em computadores baseados no Windows. Há um número máximo desses segmentos estão disponíveis para lidar com essas solicitações ao mesmo tempo, e se as solicitações excederem a disponibilidade dos threads e as solicitações não podem esperar mais, esse problema ocorre.

Por padrão, estações de trabalho têm um dos threads disponíveis para uso e servidores membro têm dois segmentos disponíveis para uso. Controladores de domínio têm um thread disponível por canal de segurança para domínios confiáveis. Número máximo de segmentos dedicado a esse fim é conhecido como "Maxconcurrentapi" e é configurável.

Resolução

Para resolver o problema, use um ou mais dos seguintes métodos:
  • Instale o hotfix a seguir e, em seguida, siga as etapas descritas na seção "informações de registro". Depois de instalar esse hotfix no Windows Vista, Windows Server 2008, Windows 7 ou Windows Server 2008 R2, o maximumlimit de conexões simultâneas entre um computador cliente e outro servidor ou um controlador de domínio para autenticação NTLM ou validação de PAC pode ser alterado até 150. Isso deve ser feito em todos os servidores que apresentam Perfmon Netlogon indicações de "tempo limite do semáforo" em seus logs de desempenho ou que têm o "NlpUserValidateHigher: não é possível alocar um slot de API do cliente" texto em seus logs de depuração do Netlogon.
  • Para aplicativos e serviços que estiverem usando NTLM, basta configurá-los para usar a autenticação Kerberos em vez disso. Os métodos que serão exclusivos para esses aplicativos.
Observação: Para decidir qual valor definido para a MaxConcurrentApi configuração em seu ambiente Consulte o artigo do Knowledge Base abaixo.

2688798 como fazer o ajuste de desempenho para a autenticação NTLM, usando a configuração MaxConcurrentApi

Informações sobre o hotfix

Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, esse hotfix destina-se a corrigir somente o problema descrito neste artigo. Aplique este hotfix somente aos sistemas que estiverem enfrentando o problema descrito neste artigo. Esta correção poderá ser submetida a testes adicionais. Portanto, se esse problema não o prejudicar, recomendamos que você aguarde a próxima atualização de software que contenha esse hotfix.

Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Conhecimento. Se essa seção não for exibida, entre em contato com o suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observação: caso outros problemas estejam ocorrendo ou caso qualquer solução de problemas seja necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não sejam específicos deste hotfix. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e suporte ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft:Observação: o formulário "Baixar Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Caso você não veja seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos:

Para aplicar esse hotfix, seu computador deve estar executando o Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 ou Windows Server 2008 Service Pack 2.

Informações do registro:

Importante: essa seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer caso você modifique o registro incorretamente. Portanto, certifique-se de seguir estes passos cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número do artigo a seguir para visualizá-lo na Base de Dados de Conhecimento da Microsoft:
322756 como fazer backup e restaurar o registro no Windows
Depois que você instalar o hotfix, aumente o valor de Maxconcurrentapi para um número maior em todos os servidores que têm indicações de "tempo limite do semáforo" Perfmon Netlogon nos seus logs de desempenho ou que têm "NlpUserValidateHigher: não é possível alocar um slot de API do cliente" texto em seus logs de depuração do Netlogon. Para fazer isso, execute as seguintes etapas:notas

Requisitos de reinicialização:

Você deve reiniciar o computador após aplicar esse hotfix.

Informações de substituição do hotfix:

Esse hotfix não substitui um hotfix lançado anteriormente.

Informações sobre o arquivo:

A versão em inglês (Estados Unidos) deste hotfix instala arquivos que possuem os atributos listados nas tabelas a seguir. As datas e horas desses arquivos estão listadas no Tempo Universal Coordenado (UTC). As datas e horas desses arquivos em seu computador local são exibidas em sua hora local com a diferença de horário de verão (DST) atual. Além disso, as datas e as horas podem ser alteradas quando você realizar determinadas operações nos arquivos.

  • Os arquivos MANIFEST (. manifest) e os arquivos MUM (. mum) instalados para cada ambiente são listados separadamente na seção "informações de arquivo adicionais para o Windows Vista e Windows Server 2008". MUM e arquivos de manifesto e os arquivos de catálogo (. cat) de segurança associadas, são muito importantes para manter o estado do componente atualizado. Os arquivos do catálogo de segurança, para os quais os atributos não estejam listados, são assinados com uma assinatura digital da Microsoft.

Informações sobre o arquivo para o Windows Vista e Windows Server 2008

Informações de arquivo para versões baseadas em x86 do Windows Server 2008 e do Windows Vista
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Netlogon.dll6.0.6002.22289592,89616-Dec-200912:09x86
Nlsvc.mofNão aplicável2,87303-Apr-200921:24Não aplicável
Informações de arquivo para versões baseadas em x64 do Windows Server 2008 e do Windows Vista
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Netlogon.dll6.0.6002.22289716,80016-Dec-200912:07x64
Nlsvc.mofNão aplicável2,87303-Apr-200920:58Não aplicável
Informações de arquivo para versões baseadas em IA-64 do Windows Server 2008
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Netlogon.dll6.0.6002.222891,216,51216-Dec-200912:05IA-64
Nlsvc.mofNão aplicável2,87303-Apr-200920:59Não aplicável

Informações sobre o arquivo para o Windows 7 e Windows Server 2008 R2

Informações sobre o arquivo do Windows 7 e do Windows Server 2008 R2
Importante: os hotfixes do Windows 7 e Windows Server 2008 R2 estão incluídos nos mesmos pacotes. No entanto, os hotfixes na página solicitação de Hotfix estão listados em ambos os sistemas operacionais. Para solicitar o pacote de hotfix que se aplica a um ou a ambos os sistemas operacionais, selecione o hotfix listado em "Windows 7/Windows Server 2008 R2" na página. Sempre consulte a seção "Aplica-se a" nos artigos para determinar o sistema operacional real ao qual cada hotfix se aplica.
  • Os arquivos MANIFEST (. manifest) e os arquivos MUM (. mum) instalados para cada ambiente são listados separadamente na seção "Informações adicionais sobre arquivos para Windows Server 2008 R2 e Windows 7". MUM e arquivos de manifesto e os arquivos de catálogo (. cat) de segurança associadas, são muito importantes para manter o estado do componente atualizado. Os arquivos do catálogo de segurança, para os quais os atributos não estejam listados, são assinados com uma assinatura digital da Microsoft.
Para todas as versões compatíveis do Windows 7 x86
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Netlogon.dll6.1.7600.20576563,71216-Nov-200906:40x86
Nlsvc.mofNão aplicável2,87310-Jun-200921:29Não aplicável
Para todas as versões compatíveis do Windows 7 e do Windows Server 2008 R2 x86
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Netlogon.dll6.1.7600.20576692,73616-Nov-200907:45x64
Nlsvc.mofNão aplicável2,87310-Jun-200920:47Não aplicável
Para todas as versões compatíveis do Windows Server 2008 R2 IA-64
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Netlogon.dll6.1.7600.205761,148,41616-Nov-200906:10IA-64
Nlsvc.mofNão aplicável2,87310-Jun-200920:52Não aplicável


Status

A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".

Mais informações

Esse hotfix está incluído no Windows 7 Service Pack 1 (SP1) e no Windows Server 2008 R2 Service Pack 1 (SP1).

A configuração MaxConcurrentApi e as configurações padrão para ele são herdado do Windows 2000 e os recursos de hardware limitada do momento. Com hardware mais antigo, permitindo threads adicionais e o tráfego RPC, que essas permissões gerariam era uma preocupação séria e havia uma possibilidade de gargalos de desempenho se muitos threads criados. Com as plataformas de hardware mais recentes e melhor desempenho, essa limitação de desempenho de hardware é menos provável de ocorrer. Como sempre, é importante avaliar e compreender o desempenho dos servidores em um ambiente antes de você aumentar a carga potencial usando uma configuração de MaxConcurrentApi alta.

Para obter mais informações sobre como usar o serviço Netlogon (Netlogon) do log de depuração, clique no número abaixo para ler o artigo na Base de Conhecimento da Microsoft:
109626 Ativar depuração de log para o serviço de Logon de rede
Uma etapa lessening adicional pode ser executada em controladores de domínio baseados no Windows Server 2003 com entradas em seu log de depuração do serviço Netlogon que indicam que os clientes estiverem enviando < null > \nome de usuário em vez de nome_do_domínio\nome_do_usuário. As etapas descritas no seguinte artigo da Base de Conhecimento Microsoft:
923241 Lsass.exe o processo pode parar de responder se você tiver várias relações de confiança externas em um controlador de domínio baseado no Windows Server 2003
Para obter mais informações sobre como usar o objeto de monitoramento de desempenho de logon de rede estão disponíveis, juntamente com uma atualização para adicionar esse objeto de desempenho no Windows Server 2003. Há uma atualização para o Windows Server 2003 que permite que você monitore a velocidade e a taxa de transferência de autenticações NTLM. Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
928576 novos contadores de desempenho para o Windows Server 2003 permitem que você monitore o desempenho de autenticação de logon de rede

Há uma atualização para o Windows Server 2008 R2 que introduz novos eventos para controlar a sobrecarga de API de Netlogoan:

Novas entradas de log de eventos que controlam atrasos de autenticação NTLM e falhas no Windows Server 2008 R2 estão disponíveis
http://support.microsoft.com/default.aspx?scid=KB; EN-US; 2654097
Para obter mais informações sobre a terminologia de atualização de software, clique no número abaixo para ler o artigo na Base de Conhecimento da Microsoft:

824684

Descrição da terminologia padrão utilizada para descrever as atualizações de software da Microsoft

Informações adicionais sobre os arquivos:

Informações sobre arquivo adicional para Windows Vista e Windows Server 2008

Informações de arquivo adicionais para versões baseadas em x86 do Windows Vista e do Windows Server 2008
Nome do ArquivoUpdate.mum
Versão do arquivoNão aplicável
Tamanho do arquivo3,068
Data (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ArquivoX86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo705
Data (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ArquivoX86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo22,701
Data (UTC)16-Dec-2009
Hora (UTC)14:05
PlataformaNão aplicável
Informações de arquivo adicionais para versões baseadas em x64 do Windows Server 2008 e do Windows Vista
Nome do ArquivoAmd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo1,060
Data (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ArquivoAmd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo23,180
Data (UTC)16-Dec-2009
Hora (UTC)15:52
PlataformaNão aplicável
Nome do ArquivoUpdate.mum
Versão do arquivoNão aplicável
Tamanho do arquivo3,092
Data (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ArquivoWow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo18,332
Data (UTC)16-Dec-2009
Hora (UTC)14:00
PlataformaNão aplicável
Informações sobre arquivo adicional para versões baseadas em IA-64 do Windows Server 2008
Nome do ArquivoIa64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo1,058
Data (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ArquivoIa64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo23,156
Data (UTC)16-Dec-2009
Hora (UTC)16:08
PlataformaNão aplicável
Nome do ArquivoUpdate.mum
Versão do arquivoNão aplicável
Tamanho do arquivo2,247
Data (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ArquivoWow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo18,332
Data (UTC)16-Dec-2009
Hora (UTC)14:00
PlataformaNão aplicável

Informações adicionais sobre os arquivos para o Windows 7 e para o Windows Server 2008 R2

Arquivos adicionais para todas as versões compatíveis do Windows 7 x86


Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mumNão aplicável1,94716-Nov-200909:45Não aplicável
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifestNão aplicável35,54116-Nov-200908:08Não aplicável
Arquivos adicionais para todas as versões do Windows 7 x64 e do Windows Server 2008 R2

Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifestNão aplicável35,54716-Nov-200908:11Não aplicável
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mumNão aplicável2,18116-Nov-200909:45Não aplicável
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestNão aplicável16,59616-Nov-200908:01Não aplicável
Arquivos adicionais para todas as versões compatíveis do Windows Server 2008 R2 IA-64

Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifestNão aplicável35,54416-Nov-200909:06Não aplicável
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mumNão aplicável1,68316-Nov-200909:45Não aplicável
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestNão aplicável16,59616-Nov-200908:01Não aplicável
Propriedades

ID do Artigo: 975363 - Última Revisão: 20 de fev de 2017 - Revisão: 1

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

Comentários