Como fazer o ajuste de desempenho para autenticação NTLM, usando a configuração MaxConcurrentApi

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

2688798
Introdução
Recentemente, foi um upswing no consumo de tecnologia de informação da empresa, juntamente com o aumento de orientada ao consumidor dispositivos como smartphones e tablets. Isso está aumentando o número de situações em que as empresas podem enfrentar um grande aumento na autenticação herdado em seus ambientes corporativos. Esse aumento de autenticação legado pode levar a problemas de desempenho, como atrasos ou tempos limite para clientes.

Ao detectar tempos limite de autenticação ou atrasos, também conhecido como MaxConcurrentApi gargalos, em um ambiente de maneira típica para resolver o problema é aumentar o trabalho permitido máximo threads do serviço que a autenticação. Você pode fazer isso alterando o valor de registro MaxConcurrentApi e reiniciando o serviço Net Logon nos servidores.

Identificar quais servidores é vítimas do gargalo e quais servidores são, na verdade, a origem de atrasos afunilamento pode ser difícil. Este artigo descreve como fazer o ajuste de desempenho para autenticação de NT LAN Manager (NTLM) usando a configuração MaxConcurrentApi. Este artigo contém orientações para os administradores a identificar os servidores elevar o valor MaxConcurrentApi e a quantidade que esse valor deve ser definido.
Resolução
Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registro no Windows
Para resolver esse problema, você deve revisar os dados de desempenho foi tomados de todos os servidores envolvidos no cenário. Em seguida, você pode tentar aumentar a configuração MaxConcurrentApi nesses servidores que mostram uma perda de desempenho.

ObservaçãoOs contadores de dados de desempenho somente consistentemente podem mostrar o gargalo de autenticação são os contadores de objeto de desempenho de Logon de rede. Por padrão, esses contadores estão presentes no Windows Server 2008 e em versões posteriores do sistema operacional. O objeto de desempenho de Logon de rede é discutido mais detalhadamente no seguinte artigo da Base de Conhecimento:
928576Novos contadores de desempenho para Windows Server 2003 permitem monitorar o desempenho de autenticação de Logon de rede
Para determinar o melhor valor a MaxConcurrentApi seus servidores, vários pontos de dados devem ser colocados juntos e calculados usando uma fórmula. Os dados a ser usado para estimar a MaxConcurrentApi são:
  • NET semáforo Logon adquire
  • Tempos limite de semáforo Net Logon
  • NET Logon semáforo médio de tempo de contenção
  • Duração do log de desempenho está concluída, medido em segundos.
Depois de obter os dados, a fórmula a seguir pode ser usada para estimar o valor MaxConcurrentApi correto:
(semaphore_acquires+transferências de semaphore_time) * average_semaphore_hold_time / time_collection_length = New_MaxConcurrentApi_setting
Após coletar os dados de desempenho de Logon de rede quando o servidor estiver sob carga de autenticação, você deve determinar a duração do processo de coleta de dados, observando o início de exibição de linha e horários de término.

"Semáforo adquire" e "semaphore tempo limite" é cumulativos números que indicam quantos tempos limite ocorreu durante a coleta de dados. O número inicial deve ser subtraído do número final ao usar o modo de linha no Monitor de desempenho (Perfmon. msc). Em seguida, usar esse número calculado na fórmula para a nova configuração MaxConcurrentApi.

O tempo de espera do semáforo médio pode ser determinado, alterando a exibição padrão do modo de exibição de linha para o modo de relatório no PerfMon. msc. Por exemplo, se adquire o semáforo valor é 8,286, o valor de tempo limite do semáforo é 883, o tempo de espera do semáforo médio é de 0,5 (ou seja, uma segunda metade) e a duração da emissão de relatórios é 90 segundos, a fórmula seria a seguinte:
(8,286 + 883) * 5 / 90 =<>

Se o valor é derivado da fórmula é 150 ou maior, você deve adicionar mais servidores para atender à carga de autenticação herdados.

Se o valor for menor que 150, você deve alterar o valor de registro MaxConcurrentApi nesse servidor para o valor sugerido pela fórmula ou um valor maior. Para fazer isso, siga estas etapas:
  1. Clique em Início, clique em Executar, tipo Regedite clique em OK.
  2. Localize e clique na seguinte subchave do registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters.
  3. Sobre o Editar aponte para Novoe clique emValor DWORD.
  4. Tipo MaxConcurrentApi, e pressione Enter.
  5. Sobre o Editar menu, clique em Modificar.
  6. Digite a nova configuração MaxConcurrentApi em decimal e clique emOK.
  7. Em um prompt de comando, digite o seguinte comando e pressione Enter:
    NET stop netlogon
  8. Digite o seguinte comando e pressione Enter:
    NET start netlogon
Mais Informação
Você pode usar o seguinte artigo da Base de Conhecimento para identificar os sintomas do lado do cliente de gargalos legados de autenticação mais detalhadamente:
975363 Intermitentemente são solicitadas as credenciais ou enfrentar tempos limite quando você se conectar a serviços autenticados
Talvez o gargalo de autenticação em vários servidores no cenário. Portanto, deve certificar-se de que todos os servidores em um determinado cenário tem seus dados de desempenho revisados enquanto estão ocupadas atendendo cargas pesadas.

Os contadores de semáforo adquire, para o tempo limite do semáforo e tempo de espera do semáforo médio deve ser revisado em todos os controladores de domínio confiável que estão envolvidas na manutenção de solicitações do cliente, controladores de domínio e servidores de aplicativos.

Os dados de desempenho devem ser controlados, enquanto os servidores estão sob carga pesada. Carga pesada ocorre quando os servidores Consulte mais solicitações de cliente. Por exemplo, em um cenário de servidor de e-mail, o melhor momento para coletar dados de desempenho é quando eles chegam no trabalho e verificar seus e-mails.

Itens adicionais para consideração são:
  • Valores não significam que nenhuma ação é necessária. O Proprietários de semáforo e Tempo de espera do semáforo contadores não mostrará todos os valores, a menos que haja uma carga sustentada em um servidor. Se não houver nenhum valor presente, não é necessária nenhuma alteração no valor a MaxConcurrentApi.
  • Um tamanho não serve para tudo.O valor MaxConcurrentApi pode ter um valor diferente para cada servidor. Essa situação pode ser causada por vários servidores de aplicativos obtenham a autenticação de um controlador de domínio único ou por situações semelhantes em que vários servidores fornecem um volume maior de carga com o controlador de domínio deve lidar.
  • Relações de confiança.Se os usuários que estão sendo autenticados de domínios confiáveis, isso pode causar mais atrasos, pois o controlador de domínio local deve aguardar a resposta do controlador de domínio confiável antes que o controlador de domínio local fornece a resposta para o servidor de aplicativo.
  • Latência de rede.Latência de rede também pode executar um fator importante causando gargalos MaxConcurrentApi. Isso pode ocorrer quando o semáforo MaxConcurrentApi usa um contador de tempo limite de tempo para que os clientes não aguardar indefinidamente antigos de autenticação.
  • O atraso pode ser downstream. Se o Tempo de espera do semáforo valor do contador é sempre maior que 0 (zero) para qualquer hora e a Proprietários de semáforo valor é menor que a configuração MaxConcurrentApi nesse servidor, o gargalo não está localizado no servidor. Nesse caso, procure a controlador de domínio que é citado no nome do contador é listado como um computador host do nome de domínio totalmente qualificado. Esse controlador de domínioTempo de espera do semáforo e Proprietários de semáforo dados de desempenho devem ser revisados.
  • Alterações na carga ou na configuração de rede.Futuras alterações na carga está sendo atendida ou em configurações de rede podem produzir a latência da rede e pode levar à necessidade de avaliar a MaxConcurrentApi correta configuração novamente. Para ambientes em que volume antigos de autenticação foi visto na medida em que estão sendo examinadas MaxConcurrentApi configurações, recomendamos continuamente monitorar e analisar os contadores de objeto de desempenho de Logon de rede. Você pode fazer isso usando agendados Coletores de dados personalizados Perfmon. msc, usando o System Center Operations Manager ou usando outros métodos.
  • Máximo de Windows Server 2008.A configuração máxima permitida para MaxConcurrentApi no Windows Server 2008 e em versões posteriores é 150. Você deve aplicar o hotfix descrito no seguinte artigo da Base de Conhecimento para que a configuração disponível máximo 150 se o servidor que você está usando não estiver executando o Windows Server 2008 R2:
    975363 Intermitentemente são solicitadas as credenciais ou enfrentar tempos limite quando você se conectar a serviços autenticados
  • Máximo de Windows Server 2003.A configuração máxima permitida para MaxConcurrentApi no Windows Server 2003 e em versões anteriores é 10.
  • Contadores de desempenho e do Windows Server 2003.A versão original do Windows Server 2003 não contém os contadores de desempenho de Logon de rede. Eles precisam ser adicionados por meio de um hotfix. Para obter mais informações sobre como adicionar esses contadores, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    928576 Novos contadores de desempenho para Windows Server 2003 permitem monitorar o desempenho de autenticação do Netlogon
Identificar clientes desconhecidos ou não autorizados ou que estão fazendo repetida e contínua NTLM autenticação pode ser útil quando você deseja reduzir a carga total de autenticação NTLM e, portanto, basicamente diminuir o número de usos de semáforo MaxConcurrentApi. Repetidas de autenticação dessa forma pode ser identificada usando o serviço Net Logon log de depuração. Para obter mais informações sobre como usar o arquivo Netlogon. log para depurar o serviço Net Logon, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
109626 Habilitando o log de depuração para o serviço Net Logon
Esteja ciente de que o contador Perfmon. msc para autenticações NTLM sob aEstatísticas de todo o sistema de segurançaobjeto não é um reflexo do número de usos do segmento MaxConcurrentApi controlada. Não há nenhuma correlação entre o uso de semáforo MaxConcurrentApi mostrado no contador de desempenho de Logon de rede e os incrementos de contador de autenticação NTLM. O contador de autenticações NTLM não é útil para determinar o melhor valor MaxConcurrentApi.

Além disso, é muito provável que tempos limite de desempenho antigos de autenticação relacionada a MaxConcurrentApi ser visto e não refletirão qualquer contador de desempenho diferente do contador de Logon de rede. Isso significa que o usam de outras métricas de desempenho, como a CPU e uso de disco e de rede não pode mostrar nenhuma carga enquanto a MaxConcurrentApi carga é pesada e usuários estão tendo problemas.

Uma etapa adicional de minimização pode ser executada em controladores de domínio que tenham as entradas de log de depuração do serviço Net Logon que indicam que os clientes estiverem enviando <null>\</null>nome de usuário em vez de nome_do_domínio\nome de usuário. As etapas descritas no seguinte artigo da Base de dados de Conhecimento da Microsoft:
923241 O processo Lsass. exe pode parar de responder se você tiver muitas relações de confiança externas em um controlador de domínio baseado no Windows Server 2003

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 2688798 - Última Revisão: 03/26/2012 22:46:00 - Revisão: 1.1

  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Foundation
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Foundation
  • Windows Server 2008 Standard
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • kbhowto kbinfo kbperformance kbexpertiseinter kbsurveynew kbmt KB2688798 KbMtpt
Esta informação foi útil?