Você está offline; aguardando reconexão
Entrar

São solicitadas credenciais intermitentemente ou enfrentar tempos limite quando você se conectar a serviços autenticados

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

975363
Sintomas
Você pode enfrentar um ou mais dos seguintes sintomas. Esses sintomas podem ser contínuas ou intermitentes. Estes sintomas são mais provável e mais graves durante os períodos de "alto uso", como no início de uma empresa dia quando carregar maior cliente ocorre em servidores no ambiente.

Você pode enfrentar os seguintes problemas em um cenário de serviços web:
  • Os clientes da Web recebem respostas atrasadas do servidor web.
  • Os clientes da Web são repetidas solicitações de credenciais, mesmo se as credenciais corretas forem inseridas.
Você pode enfrentar os seguintes problemas em um cenário de proxy da web:
  • Os clientes da Web recebem respostas atrasadas do servidor web.
  • Os clientes da Web são repetidas solicitações de credenciais, mesmo se as credenciais corretas forem inseridas.
Você pode enfrentar os seguintes problemas em um cenário de cliente do Exchange:
  • Os clientes recebem atrasadas respostas do servidor.
  • Os clientes são repetidas solicitações de credenciais, mesmo se as credenciais corretas forem inseridas.
Você pode enfrentar o seguinte problema em qualquer cenário em que a autenticação NTLM é usada para aplicativos:

Falha de linha de negócios ou aplicativos personalizados que usam a autenticação NTLM. Além disso, você pode receber erros diferentes que são intermitentes e podem incluir "acesso negado".
Você pode enfrentar o seguinte problema em um cenário de acesso de arquivo remoto:
Clientes Windows recebem erros de "acesso negado" ou atrasar as respostas do servidor de arquivos.
Você pode enfrentar o seguinte problema em qualquer cenário em que a delegação Kerberos está sendo usada em um serviço de camada intermediária:
Os clientes obtenham acesso com êxito à primeira mas perdem o acesso aos mesmos recursos. Além disso, você pode ser solicitado repetidamente para credenciais ou enfrentar erros de "acesso negado".
Observações:
  • Esse problema é mais provável de ocorrer se uma ou mais das seguintes condições forem verdadeiras:
    • Existem serviços altamente transacionais e muito usados no ambiente.
    • Há utilização extensa de scripts que usam o provedor WINNT.
    • Existem aplicativos e serviços que não estão configurados (ou não são configuráveis) para usar a autenticação Kerberos.
    • Quando as três condições a seguintes forem verdadeiras ao mesmo tempo:
      • Há muitos domínios "contas" (em outras palavras, domínios que tenham contas de usuário neles) no ambiente.
      • Existem (controladores de domínio baseados no Windows Server 2003).
      • Existem aplicativos ou serviços que podem autenticar sem fornecer o nome de domínio. Por exemplo, existem aplicativos ou serviços que fornecem <null>\</null>nome de usuário em vez de nome_do_domínio\nome de usuário.
  • Os seguintes sintomas indicam que este problema está ocorrendo no ambiente:
    • Um evento de origem Kerberos é registrado no log do sistema de servidores de aplicativos. Esse evento indica que a validação de PAC Kerberos está falhando. O evento é semelhante ao seguinte:

      Tipo de evento: erro
      Origem do evento: Kerberos
      Categoria do evento: nenhuma
      Identificação do evento: 7
      Usuário: n/d
      Descrição: O subsistema Kerberos encontrou uma falha na verificação do PAC. Isso indica que o PAC do cliente nome do computador no território Nome de domínio DNS do AD tinha um PAC que não foi verificado ou que foi modificado. Contate o administrador do sistema.
      Dados: 0000: c0000192

    • Texto nos logs de depuração do serviço logon de rede (Netlogon) coincide com o texto "NlpUserValidateHigher: não é possível alocar um slot de API do cliente." Essas entradas podem aparecer em qualquer um dos logs de depuração do Netlogon dos seguintes servidores:
      • O servidor de aplicativos
      • Os controladores de domínio no domínio de servidores de aplicativo
      • Confiar em controladores de domínio
    • PerfMon desempenho log do contador de desempenho Netlogon para tempo limite do semáforo durante o tempo em que o problema está ocorrendo mostra números maiores que zero. Valor desse contador pode aparecer em qualquer um dos seguintes servidores neste cenário:
      • O servidor de aplicativos
      • Os controladores de domínio no domínio de servidores de aplicativo
      • Confiar em controladores de domínio
Causa
Esse problema ocorre quando um volume alto de autenticação NTLM ou transações de validação Kerberos PAC (ou ambos) ocorrerem em um servidor baseado no Windows e esse volume é maior que o volume pode ser tratado de uma só vez, o servidor membro ou controladores de domínio que fornecem autenticação. Em outras palavras, isso é causado por um afunilamento de recursos de autenticação.

A autenticação NTLM e validação de PAC são realizadas por segmentos dedicados no processo de Lsass.exe em computadores baseados no Windows. Há um número máximo desses segmentos estão disponíveis para lidar com essas solicitações ao mesmo tempo, e se as solicitações excederem a disponibilidade dos threads e as solicitações não podem esperar mais, esse problema ocorre.

Por padrão, estações de trabalho têm um dos threads disponíveis para uso e servidores membro têm dois segmentos disponíveis para uso. Controladores de domínio têm um thread disponível por canal de segurança para domínios confiáveis. Número máximo de segmentos dedicado a esse fim é conhecido como "Maxconcurrentapi" e é configurável.
Resolução
Para resolver o problema, use um ou mais dos seguintes métodos:
  • Instale o hotfix a seguir e, em seguida, siga as etapas descritas no "Informações do registro:"a seção. Depois de instalar esse hotfix no Windows Vista, Windows Server 2008, Windows 7 ou Windows Server 2008 R2, o maximumlimit de conexões simultâneas entre um computador cliente e outro servidor ou um controlador de domínio para autenticação NTLM ou validação de PAC pode ser alterado até 150. Isso deve ser feito em todos os servidores que apresentam Perfmon Netlogon indicações de "tempo limite do semáforo" em seus logs de desempenho ou que têm o "NlpUserValidateHigher: não é possível alocar um slot de API do cliente" texto em seus logs de depuração do Netlogon.
  • Para aplicativos e serviços que estiverem usando NTLM, basta configurá-los para usar a autenticação Kerberos em vez disso. Os métodos que serão exclusivos para esses aplicativos.
Observação: Para decidir qual valor definido para a MaxConcurrentApi configuração em seu ambiente Consulte o artigo do Knowledge Base abaixo.

2688798 Como fazer o ajuste de desempenho para a autenticação NTLM, usando a configuração MaxConcurrentApi

Informações sobre o hotfix

Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, esse hotfix destina-se a corrigir somente o problema descrito neste artigo. Aplique este hotfix somente aos sistemas que estiverem enfrentando o problema descrito neste artigo. Esta correção poderá ser submetida a testes adicionais. Portanto, se esse problema não o prejudicar, recomendamos que você aguarde a próxima atualização de software que contenha esse hotfix.

Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Conhecimento. Se essa seção não for exibida, entre em contato com o suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observação: Caso outros problemas estejam ocorrendo ou caso qualquer solução de problemas seja necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não sejam específicos deste hotfix. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e suporte ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft: Observação: O formulário "Baixar Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Caso você não veja seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos:

Para aplicar esse hotfix, seu computador deve estar executando o Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 ou Windows Server 2008 Service Pack 2.

Informações do registro:

Importante: Essa seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de seguir estes passos cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número do artigo a seguir para visualizá-lo na Base de Conhecimento Microsoft:
322756 Como fazer backup e restaurar o registro no Windows
Depois que você instalar o hotfix, aumente o valor de Maxconcurrentapi para um número maior em todos os servidores que têm indicações de "tempo limite do semáforo" Perfmon Netlogon nos seus logs de desempenho ou que têm "NlpUserValidateHigher: não é possível alocar um slot de API do cliente" texto em seus logs de depuração do Netlogon. Para fazer isso, execute as seguintes etapas:
  1. Inicie o Editor do Registro.
  2. Localize a seguinte subchave do registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. Crie a seguinte entrada do registro:

    Nome: MaxConcurrentApi
    Tipo: REG_DWORD
    Valor:Definir o valor para o maior número, você testou (qualquer número maior que o valor padrão).
  4. Em um prompt de comando, execute net stop netlogone, em seguida, executar net start netlogon.
Observações:
  • O valor máximo que pode ser configurado depende da versão do sistema operacional e se está disponível uma correcção.
    • A configuração máxima configurável no Windows Server 2003 é 10.
    • A configuração máxima configurável no Windows Server 2008 (sem o hotfix neste artigo) é 10. Com o hotfix, o máximo é 150.
    • A configuração máxima configurável no Windows Server 2008 R2 (sem o hotfix neste artigo) é 10. Com o hotfix, o máximo é 150.
  • Se você decidir aumentar o MaxConcurrentApivalue para maior que 10, a carga e o desempenho da configuração desejada devem ser testados em um ambiente de produção antes de implementar na produção. Isso é recomendado para certificar-se de que o aumento desse valor não faz com que outros gargalos de recursos.

Requisitos de reinicialização:

Você deve reiniciar o computador após aplicar esse hotfix.

Informações de substituição do hotfix:

Esse hotfix não substitui um hotfix lançado anteriormente.

Informações sobre o arquivo:

A versão em inglês (Estados Unidos) deste hotfix instala arquivos que possuem os atributos listados nas tabelas a seguir. As datas e horas desses arquivos estão listadas no tempo Universal Coordenado (UTC). As datas e horas desses arquivos em seu computador local são exibidas em sua hora local com a diferença de horário de verão (DST) atual. Além disso, as datas e as horas podem ser alteradas quando você realizar determinadas operações nos arquivos.

  • Os arquivos MANIFEST (. manifest) e os arquivos MUM (. mum) instalados para cada ambiente são listados separadamente nas "informações de arquivo adicionais para o Windows Vista e Windows Server 2008" seção. MUM e arquivos de manifesto e os arquivos de catálogo (. cat) de segurança associadas, são muito importantes para manter o estado do componente atualizado. Os arquivos do catálogo de segurança, para os quais os atributos não estejam listados, são assinados com uma assinatura digital da Microsoft.

Informações sobre o arquivo para o Windows Vista e Windows Server 2008

Informações de arquivo para versões baseadas em x86 do Windows Server 2008 e do Windows Vista
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Netlogon. dll6.0.6002.22289592,89616 de dezembro de 200912:09x86
Nlsvc.MOFNão aplicável2,87303 de abril de 200921:24Não aplicável
Informações de arquivo para versões baseadas em x64 do Windows Server 2008 e do Windows Vista
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Netlogon. dll6.0.6002.22289716,80016 de dezembro de 200912:07x64
Nlsvc.MOFNão aplicável2,87303 de abril de 200920:58Não aplicável
Informações de arquivo para versões baseadas em IA-64 do Windows Server 2008
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Netlogon. dll6.0.6002.222891,216,51216 de dezembro de 200912:05IA-64
Nlsvc.MOFNão aplicável2,87303 de abril de 200920:59Não aplicável

Informações sobre o arquivo para o Windows 7 e Windows Server 2008 R2

Informações sobre o arquivo do Windows 7 e do Windows Server 2008 R2Importante: Os hotfixes do Windows 7 e Windows Server 2008 R2 hotfixes estão incluídos nos pacotes para o mesmos. No entanto, os hotfixes na página solicitação de Hotfix estão listados em ambos os sistemas operacionais. Para solicitar o pacote de hotfix que se aplica a um ou a ambos os sistemas operacionais, selecione o hotfix listado em "Windows 7/Windows Server 2008 R2" na página. Sempre consulte a seção "Aplica-se a" nos artigos para determinar o sistema operacional real ao qual cada hotfix se aplica.
  • Os arquivos MANIFEST (. manifest) e os arquivos MUM (. mum) instalados para cada ambiente são listados separadamente nas "informações sobre arquivo adicional para Windows Server 2008 R2 e seção do Windows 7". MUM e arquivos de manifesto e os arquivos de catálogo (. cat) de segurança associadas, são muito importantes para manter o estado do componente atualizado. Os arquivos do catálogo de segurança, para os quais os atributos não estejam listados, são assinados com uma assinatura digital da Microsoft.
Para todas as versões compatíveis do Windows 7 x86
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Netlogon. dll6.1.7600.20576563,71216 de novembro de 200906:40x86
Nlsvc.MOFNão aplicável2,87310 de junho de 200921:29Não aplicável
Para todas as versões compatíveis do Windows 7 e do Windows Server 2008 R2 x86
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Netlogon. dll6.1.7600.20576692,73616 de novembro de 200907:45x64
Nlsvc.MOFNão aplicável2,87310 de junho de 200920:47Não aplicável
Para todas as versões compatíveis do Windows Server 2008 R2 IA-64
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Netlogon. dll6.1.7600.205761,148,41616 de novembro de 200906:10IA-64
Nlsvc.MOFNão aplicável2,87310 de junho de 200920:52Não aplicável


Situação
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".
Mais Informações
Esse hotfix está incluído no Windows 7 Service Pack 1 (SP1) e no Windows Server 2008 R2 Service Pack 1 (SP1).

A configuração MaxConcurrentApi e as configurações padrão para ele são herdado do Windows 2000 e os recursos de hardware limitada do momento. Com hardware mais antigo, permitindo threads adicionais e o tráfego RPC, que essas permissões gerariam era uma preocupação séria e havia uma possibilidade de gargalos de desempenho se muitos threads criados. Com as plataformas de hardware mais recentes e melhor desempenho, essa limitação de desempenho de hardware é menos provável de ocorrer. Como sempre, é importante avaliar e compreender o desempenho dos servidores em um ambiente antes de você aumentar a carga potencial usando uma configuração de MaxConcurrentApi alta.

Para obter mais informações sobre como usar o serviço Netlogon (Netlogon) do log de depuração, clique no número abaixo para ler o artigo na Base de Conhecimento da Microsoft:
109626 Habilitando o log de depuração para o serviço de Logon de rede
Uma etapa lessening adicional pode ser executada em controladores de domínio baseados no Windows Server 2003 com entradas em seu log de depuração do serviço Netlogon que indicam que os clientes estiverem enviando <null>\</null>nome de usuário em vez de nome_do_domínio\nome de usuário. As etapas descritas no seguinte artigo da Base de Conhecimento Microsoft:
923241 O processo de Lsass.exe pode parar de responder se você tiver várias relações de confiança externas em um controlador de domínio baseado no Windows Server 2003
Para obter mais informações sobre como usar o objeto de monitoramento de desempenho de logon de rede estão disponíveis, juntamente com uma atualização para adicionar esse objeto de desempenho no Windows Server 2003. Há uma atualização para o Windows Server 2003 que permite que você monitore a velocidade e a taxa de transferência de autenticações NTLM. Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Conhecimento Microsoft:
928576 Novos contadores de desempenho para o Windows Server 2003 permitem que você monitore o desempenho de autenticação de logon de rede

Há uma atualização para o Windows Server 2008 R2 que introduz novos eventos para controlar a sobrecarga de API de Netlogoan:

Novas entradas de log de eventos que controlam atrasos de autenticação NTLM e falhas no Windows Server 2008 R2 estão disponíveis
http://support.microsoft.com/default.aspx?scid=KB; EN-US; 2654097
Para obter mais informações sobre a terminologia de atualização de software, clique no número abaixo para ler o artigo na Base de Conhecimento da Microsoft:
824684 Descrição da terminologia padrão utilizada para descrever as atualizações de software da Microsoft

Informações adicionais sobre o arquivo:

Informações sobre arquivo adicional para Windows Vista e Windows Server 2008

Informações de arquivo adicionais para versões baseadas em x86 do Windows Vista e do Windows Server 2008
Nome do ArquivoUpdate.mum
Versão do arquivoNão aplicável
Tamanho do arquivo3,068
Data (UTC)16 de dezembro de 2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ArquivoX86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo705
Data (UTC)16 de dezembro de 2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ArquivoX86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo22,701
Data (UTC)16 de dezembro de 2009
Hora (UTC)14:05
PlataformaNão aplicável
Informações de arquivo adicionais para versões baseadas em x64 do Windows Server 2008 e do Windows Vista
Nome do ArquivoAmd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo1,060
Data (UTC)16 de dezembro de 2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ArquivoAmd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo23,180
Data (UTC)16 de dezembro de 2009
Hora (UTC)15:52
PlataformaNão aplicável
Nome do ArquivoUpdate.mum
Versão do arquivoNão aplicável
Tamanho do arquivo3,092
Data (UTC)16 de dezembro de 2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ArquivoWow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo18,332
Data (UTC)16 de dezembro de 2009
Hora (UTC)14:00
PlataformaNão aplicável
Informações sobre arquivo adicional para versões baseadas em IA-64 do Windows Server 2008
Nome do ArquivoIa64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo1,058
Data (UTC)16 de dezembro de 2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ArquivoIa64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo23,156
Data (UTC)16 de dezembro de 2009
Hora (UTC)16:08
PlataformaNão aplicável
Nome do ArquivoUpdate.mum
Versão do arquivoNão aplicável
Tamanho do arquivo2,247
Data (UTC)16 de dezembro de 2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ArquivoWow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo18,332
Data (UTC)16 de dezembro de 2009
Hora (UTC)14:00
PlataformaNão aplicável

Informações adicionais sobre arquivo para o Windows 7 e para o Windows Server 2008 R2

Arquivos adicionais para todas as versões compatíveis do Windows 7 x86


Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ x86 ~ ~ 6.1.1.0.mumNão aplicável1,94716 de novembro de 200909:45Não aplicável
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifestNão aplicável35,54116 de novembro de 200908:08Não aplicável
Arquivos adicionais para todas as versões do Windows 7 x64 e do Windows Server 2008 R2

Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifestNão aplicável35,54716 de novembro de 200908:11Não aplicável
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.1.1.0.mumNão aplicável2,18116 de novembro de 200909:45Não aplicável
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestNão aplicável16,59616 de novembro de 200908:01Não aplicável
Arquivos adicionais para todas as versões compatíveis do Windows Server 2008 R2 IA-64

Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifestNão aplicável35,54416 de novembro de 200909:06Não aplicável
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ ia64 ~ ~ 6.1.1.0.mumNão aplicável1,68316 de novembro de 200909:45Não aplicável
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestNão aplicável16,59616 de novembro de 200908:01Não aplicável

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 975363 - Última Revisão: 01/04/2016 13:47:00 - Revisão: 10.0

  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • kbqfe kbhotfixserver kbsurveynew kbautohotfix kbexpertiseinter kbbug kbfix kbmt KB975363 KbMtpt
Comentários