Sintomas
Você pode enfrentar um ou mais dos seguintes sintomas. Esses sintomas podem ser contínuas ou intermitentes. Estes sintomas são mais provável e mais graves durante os períodos de "alto uso", como no início de uma empresa dia quando carregar maior cliente ocorre em servidores no ambiente.
Você pode enfrentar os seguintes problemas em um cenário de serviços web: você pode enfrentar os seguintes problemas em um cenário de proxy da web: você pode enfrentar os seguintes problemas em um cenário de cliente do Exchange: você pode enfrentar o seguinte problema em qualquer situação na qual NTLM, a autenticação é usada para aplicativos:
Falha de linha de negócios ou aplicativos personalizados que usam a autenticação NTLM. Além disso, você pode receber erros diferentes que são intermitentes e podem incluir "acesso negado".Você pode enfrentar o seguinte problema em um cenário de acesso de arquivo remoto:
Clientes Windows recebem erros de "acesso negado" ou atrasar as respostas do servidor de arquivos.Você pode enfrentar o seguinte problema em qualquer cenário em que a delegação Kerberos está sendo usada em um serviço de camada intermediária:
Os clientes obtenham acesso com êxito à primeira mas perdem o acesso aos mesmos recursos. Além disso, você pode ser solicitado repetidamente para credenciais ou enfrentar erros de "acesso negado".Observações:
Causa
Esse problema ocorre quando um volume alto de autenticação NTLM ou transações de validação Kerberos PAC (ou ambos) ocorrerem em um servidor baseado no Windows e esse volume é maior que o volume pode ser tratado de uma só vez, o servidor membro ou controladores de domínio que fornecem autenticação. Em outras palavras, isso é causado por um afunilamento de recursos de autenticação.
A autenticação NTLM e validação de PAC são realizadas por segmentos dedicados no processo de Lsass.exe em computadores baseados no Windows. Há um número máximo desses segmentos estão disponíveis para lidar com essas solicitações ao mesmo tempo, e se as solicitações excederem a disponibilidade dos threads e as solicitações não podem esperar mais, esse problema ocorre.
Por padrão, estações de trabalho têm um dos threads disponíveis para uso e servidores membro têm dois segmentos disponíveis para uso. Controladores de domínio têm um thread disponível por canal de segurança para domínios confiáveis. Número máximo de segmentos dedicado a esse fim é conhecido como "Maxconcurrentapi" e é configurável.
Resolução
Para resolver o problema, use um ou mais dos seguintes métodos:
-
Instale o hotfix a seguir e, em seguida, siga as etapas descritas na seção "informações de registro". Depois de instalar esse hotfix no Windows Vista, Windows Server 2008, Windows 7 ou Windows Server 2008 R2, o maximumlimit de conexões simultâneas entre um computador cliente e outro servidor ou um controlador de domínio para autenticação NTLM ou validação de PAC pode ser alterado até 150. Isso deve ser feito em todos os servidores que apresentam Perfmon Netlogon indicações de "tempo limite do semáforo" em seus logs de desempenho ou que têm o "NlpUserValidateHigher: não é possível alocar um slot de API do cliente" texto em seus logs de depuração do Netlogon.
-
Para aplicativos e serviços que estiverem usando NTLM, basta configurá-los para usar a autenticação Kerberos em vez disso. Os métodos que serão exclusivos para esses aplicativos.
Observação: Para decidir qual valor definido para a MaxConcurrentApi configuração em seu ambiente Consulte o artigo do Knowledge Base abaixo.
2688798 como fazer o ajuste de desempenho para a autenticação NTLM, usando a configuração MaxConcurrentApi
Informações sobre o hotfix
Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, esse hotfix destina-se a corrigir somente o problema descrito neste artigo. Aplique este hotfix somente aos sistemas que estiverem enfrentando o problema descrito neste artigo. Esta correção poderá ser submetida a testes adicionais. Portanto, se esse problema não o prejudicar, recomendamos que você aguarde a próxima atualização de software que contenha esse hotfix.
Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Conhecimento. Se essa seção não for exibida, entre em contato com o suporte e atendimento ao cliente Microsoft para obter o hotfix.
Observação: caso outros problemas estejam ocorrendo ou caso qualquer solução de problemas seja necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não sejam específicos deste hotfix. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e suporte ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft:
http://support.microsoft.com/contactus/?ws=supportObservação: o formulário "Baixar Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Caso você não veja seu idioma, é porque um hotfix não está disponível para esse idioma.
Pré-requisitos:
Para aplicar esse hotfix, seu computador deve estar executando o Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 ou Windows Server 2008 Service Pack 2.
Informações do registro:
Importante: essa seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer caso você modifique o registro incorretamente. Portanto, certifique-se de seguir estes passos cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número do artigo a seguir para visualizá-lo na Base de Dados de Conhecimento da Microsoft:
322756 como fazer backup e restaurar o registro no WindowsDepois que você instalar o hotfix, aumente o valor de Maxconcurrentapi para um número maior em todos os servidores que têm indicações de "tempo limite do semáforo" Perfmon Netlogon nos seus logs de desempenho ou que têm "NlpUserValidateHigher: não é possível alocar um slot de API do cliente" texto em seus logs de depuração do Netlogon. Para fazer isso, execute as seguintes etapas:notas
Requisitos de reinicialização:
Você deve reiniciar o computador após aplicar esse hotfix.
Informações de substituição do hotfix:
Esse hotfix não substitui um hotfix lançado anteriormente.
Informações sobre o arquivo:
A versão em inglês (Estados Unidos) deste hotfix instala arquivos que possuem os atributos listados nas tabelas a seguir. As datas e horas desses arquivos estão listadas no Tempo Universal Coordenado (UTC). As datas e horas desses arquivos em seu computador local são exibidas em sua hora local com a diferença de horário de verão (DST) atual. Além disso, as datas e as horas podem ser alteradas quando você realizar determinadas operações nos arquivos.
-
Os arquivos MANIFEST (. manifest) e os arquivos MUM (. mum) instalados para cada ambiente são listados separadamente na seção "informações de arquivo adicionais para o Windows Vista e Windows Server 2008". MUM e arquivos de manifesto e os arquivos de catálogo (. cat) de segurança associadas, são muito importantes para manter o estado do componente atualizado. Os arquivos do catálogo de segurança, para os quais os atributos não estejam listados, são assinados com uma assinatura digital da Microsoft.
Informações sobre o arquivo para o Windows Vista e Windows Server 2008
Informações de arquivo para versões baseadas em x86 do Windows Server 2008 e do Windows Vista
|
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
592,896 |
16-Dec-2009 |
12:09 |
x86 |
|
Nlsvc.mof |
Não aplicável |
2,873 |
03-Apr-2009 |
21:24 |
Não aplicável |
Informações de arquivo para versões baseadas em x64 do Windows Server 2008 e do Windows Vista
|
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
716,800 |
16-Dec-2009 |
12:07 |
x64 |
|
Nlsvc.mof |
Não aplicável |
2,873 |
03-Apr-2009 |
20:58 |
Não aplicável |
Informações de arquivo para versões baseadas em IA-64 do Windows Server 2008
|
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
1,216,512 |
16-Dec-2009 |
12:05 |
IA-64 |
|
Nlsvc.mof |
Não aplicável |
2,873 |
03-Apr-2009 |
20:59 |
Não aplicável |
Informações sobre o arquivo para o Windows 7 e Windows Server 2008 R2
Informações sobre o arquivo do Windows 7 e do Windows Server 2008 R2
Importante: os hotfixes do Windows 7 e Windows Server 2008 R2 estão incluídos nos mesmos pacotes. No entanto, os hotfixes na página solicitação de Hotfix estão listados em ambos os sistemas operacionais. Para solicitar o pacote de hotfix que se aplica a um ou a ambos os sistemas operacionais, selecione o hotfix listado em "Windows 7/Windows Server 2008 R2" na página. Sempre consulte a seção "Aplica-se a" nos artigos para determinar o sistema operacional real ao qual cada hotfix se aplica.
-
Os arquivos MANIFEST (. manifest) e os arquivos MUM (. mum) instalados para cada ambiente são listados separadamente na seção "Informações adicionais sobre arquivos para Windows Server 2008 R2 e Windows 7". MUM e arquivos de manifesto e os arquivos de catálogo (. cat) de segurança associadas, são muito importantes para manter o estado do componente atualizado. Os arquivos do catálogo de segurança, para os quais os atributos não estejam listados, são assinados com uma assinatura digital da Microsoft.
Para todas as versões compatíveis do Windows 7 x86
|
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
563,712 |
16-Nov-2009 |
06:40 |
x86 |
|
Nlsvc.mof |
Não aplicável |
2,873 |
10-Jun-2009 |
21:29 |
Não aplicável |
Para todas as versões compatíveis do Windows 7 e do Windows Server 2008 R2 x86
|
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
692,736 |
16-Nov-2009 |
07:45 |
x64 |
|
Nlsvc.mof |
Não aplicável |
2,873 |
10-Jun-2009 |
20:47 |
Não aplicável |
Para todas as versões compatíveis do Windows Server 2008 R2 IA-64
|
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
1,148,416 |
16-Nov-2009 |
06:10 |
IA-64 |
|
Nlsvc.mof |
Não aplicável |
2,873 |
10-Jun-2009 |
20:52 |
Não aplicável |
Status
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".
Mais informações
Esse hotfix está incluído no Windows 7 Service Pack 1 (SP1) e no Windows Server 2008 R2 Service Pack 1 (SP1).
A configuração MaxConcurrentApi e as configurações padrão para ele são herdado do Windows 2000 e os recursos de hardware limitada do momento. Com hardware mais antigo, permitindo threads adicionais e o tráfego RPC, que essas permissões gerariam era uma preocupação séria e havia uma possibilidade de gargalos de desempenho se muitos threads criados. Com as plataformas de hardware mais recentes e melhor desempenho, essa limitação de desempenho de hardware é menos provável de ocorrer. Como sempre, é importante avaliar e compreender o desempenho dos servidores em um ambiente antes de você aumentar a carga potencial usando uma configuração de MaxConcurrentApi alta.
Para obter mais informações sobre como usar o serviço Netlogon (Netlogon) do log de depuração, clique no número abaixo para ler o artigo na Base de Conhecimento da Microsoft:
109626 Ativar depuração de log para o serviço de Logon de redeUma etapa lessening adicional pode ser executada em controladores de domínio baseados no Windows Server 2003 com entradas em seu log de depuração do serviço Netlogon que indicam que os clientes estiverem enviando < null > \nome de usuário em vez de nome_do_domínio\nome_do_usuário. As etapas descritas no seguinte artigo da Base de Conhecimento Microsoft:
923241 Lsass.exe o processo pode parar de responder se você tiver várias relações de confiança externas em um controlador de domínio baseado no Windows Server 2003Para obter mais informações sobre como usar o objeto de monitoramento de desempenho de logon de rede estão disponíveis, juntamente com uma atualização para adicionar esse objeto de desempenho no Windows Server 2003. Há uma atualização para o Windows Server 2003 que permite que você monitore a velocidade e a taxa de transferência de autenticações NTLM. Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
928576 novos contadores de desempenho para o Windows Server 2003 permitem que você monitore o desempenho de autenticação de logon de rede
Há uma atualização para o Windows Server 2008 R2 que introduz novos eventos para controlar a sobrecarga de API de Netlogoan:
Novas entradas de log de eventos que controlam atrasos de autenticação NTLM e falhas no Windows Server 2008 R2 estão disponíveis
http://support.microsoft.com/default.aspx?scid=KB; EN-US; 2654097
Para obter mais informações sobre a terminologia de atualização de software, clique no número abaixo para ler o artigo na Base de Conhecimento da Microsoft:
824684
Descrição da terminologia padrão utilizada para descrever as atualizações de software da Microsoft
Informações adicionais sobre os arquivos:
Informações sobre arquivo adicional para Windows Vista e Windows Server 2008
Informações de arquivo adicionais para versões baseadas em x86 do Windows Vista e do Windows Server 2008
|
Nome do Arquivo |
Update.mum |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
3,068 |
|
Data (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
21:16 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
705 |
|
Data (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
21:16 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
22,701 |
|
Data (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
14:05 |
|
Plataforma |
Não aplicável |
Informações de arquivo adicionais para versões baseadas em x64 do Windows Server 2008 e do Windows Vista
|
Nome do Arquivo |
Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
1,060 |
|
Data (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
21:16 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
23,180 |
|
Data (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
15:52 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
Update.mum |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
3,092 |
|
Data (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
21:16 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
18,332 |
|
Data (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
14:00 |
|
Plataforma |
Não aplicável |
Informações sobre arquivo adicional para versões baseadas em IA-64 do Windows Server 2008
|
Nome do Arquivo |
Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
1,058 |
|
Data (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
21:16 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
23,156 |
|
Data (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
16:08 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
Update.mum |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
2,247 |
|
Data (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
21:16 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
18,332 |
|
Data (UTC) |
16-Dec-2009 |
|
Hora (UTC) |
14:00 |
|
Plataforma |
Não aplicável |
Informações adicionais sobre os arquivos para o Windows 7 e para o Windows Server 2008 R2
Arquivos adicionais para todas as versões compatíveis do Windows 7 x86
|
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Não aplicável |
1,947 |
16-Nov-2009 |
09:45 |
Não aplicável |
|
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest |
Não aplicável |
35,541 |
16-Nov-2009 |
08:08 |
Não aplicável |
Arquivos adicionais para todas as versões do Windows 7 x64 e do Windows Server 2008 R2
|
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest |
Não aplicável |
35,547 |
16-Nov-2009 |
08:11 |
Não aplicável |
|
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Não aplicável |
2,181 |
16-Nov-2009 |
09:45 |
Não aplicável |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Não aplicável |
16,596 |
16-Nov-2009 |
08:01 |
Não aplicável |
Arquivos adicionais para todas as versões compatíveis do Windows Server 2008 R2 IA-64
|
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest |
Não aplicável |
35,544 |
16-Nov-2009 |
09:06 |
Não aplicável |
|
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Não aplicável |
1,683 |
16-Nov-2009 |
09:45 |
Não aplicável |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Não aplicável |
16,596 |
16-Nov-2009 |
08:01 |
Não aplicável |
