Intermitentemente são solicitadas credenciais ou detectar limites de tempo quando ligar aos serviços autenticados

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 975363
Sintomas
Poderá detectar um ou mais dos seguintes sintomas. Estes sintomas podem ser intermitentes ou contínuo. Estes sintomas são mais susceptíveis e mais generalizada durante as horas "elevada utilização", tal como no início de uma empresa dia quando o cliente aumento carregar ocorre em servidores de ambiente.

Poderá detectar os seguintes problemas num cenário de serviços web:
  • Os clientes da Web recebem respostas adiadas do servidor web.
  • Os clientes da Web são-lhe pedidos repetidamente credenciais mesmo que são introduzidas as credenciais correctas.
Poderá detectar os seguintes problemas com um cenário de proxy da web:
  • Os clientes da Web recebem respostas adiadas do servidor web.
  • Os clientes da Web são-lhe pedidos repetidamente credenciais mesmo que são introduzidas as credenciais correctas.
Poderá detectar os seguintes problemas com um cenário de cliente do Exchange:
  • Os clientes receber respostas adiadas do servidor.
  • Os clientes são-lhe pedidos repetidamente credenciais mesmo que são introduzidas as credenciais correctas.
Poderá detectar o seguinte problema em qualquer cenário em que a autenticação NTLM é utilizada para aplicações:

Linha de negócio ou aplicações personalizadas que utilizam autenticação NTLM falhar. Além disso, poderá receber erros diferentes que são intermitentes e podem incluir "acesso negado".
Poderá detectar o seguinte problema num cenário de acesso remoto de ficheiro:
Os clientes Windows recebem erros de "acesso negado" ou atrasar as respostas do servidor de ficheiros.
Poderá detectar o seguinte problema em qualquer cenário em que a delegação Kerberos está a ser utilizada um serviço de camada:
Os clientes de acederem com êxito à primeira mas perdem o acesso aos mesmos recursos. Além disso, poderá ser-lhe pedidas repetidamente credenciais ou surgirem erros de "acesso negado".
Notas
  • Este problema é mais provável que ocorrer caso se verifiquem uma ou mais das seguintes condições:
    • Não existem serviços transaccionais muito e muito utilizados no ambiente.
    • Existe uma utilização intensiva de scripts que utilizam o fornecedor WINNT.
    • Não existem aplicações e serviços que não estão configurados (ou não são configuráveis) para utilizar a autenticação Kerberos.
    • Quando as três condições seguintes são verdadeiras, ao mesmo tempo:
      • Existem muitos domínios "contas" (por outras palavras, os domínios que têm contas de utilizador nas mesmas) no ambiente.
      • Não existem controladores de domínio baseado no Windows Server 2003 (DC).
      • Não existem aplicações ou serviços que podem autenticar sem fornecer o nome de domínio. Por exemplo, existem aplicações ou serviços que fornecem <null>\</null>nome de utilizador em vez de nome de domínio\nome de utilizador.
  • Os seguintes sintomas indicam que este problema está a ocorrer no ambiente:
    • Um evento de origem de Kerberos é registado no registo do sistema de servidores de aplicações. Este evento indica que a validação de carvão activado em pó de Kerberos está a falhar. O evento é semelhante ao seguinte:

      Tipo de evento: erro
      Origem do evento: Kerberos
      Categoria de evento: Nenhum
      ID do evento: 7
      Utilizador: n/d
      Descrição: O subsistema Kerberos encontrou uma falha de verificação de PAC. Isto indica que o PAC do cliente nome do computador no realm Nome de domínio DNS do AD tinha um PAC que não verificou ou foi modificado. Contacte o administrador de sistema.
      Dados: 0000: c0000192

    • Texto em registos de depuração do serviço Netlogon (Netlogon) corresponde ao texto "NlpUserValidateHigher: não é possível atribuir a ranhura de API de cliente." Estas entradas podem aparecer em qualquer um dos registos de depuração do Netlogon dos seguintes servidores:
      • O application server
      • Os controladores de domínio no domínio de servidores de aplicação
      • Controladores de domínio confiante
    • Perfmon desempenho de registo do contador de desempenho Netlogon para tempos de espera do semáforo durante o tempo quando o problema está a ocorrer mostra números maiores que zero. Este valor de contador poderá aparecer em qualquer um dos seguintes servidores neste cenário:
      • O application server
      • Os controladores de domínio no domínio de servidores de aplicação
      • Controladores de domínio confiante
Causa
Este problema ocorre quando um grande volume de autenticação NTLM ou transacções de validação de Kerberos carvão activado em pó (ou ambos) ocorrem num servidor baseado no Windows e esse volume for maior do que o volume que pode ser processado simultaneamente pelo servidor membro ou controladores de domínio que estão a fornecer autenticação. Por outras palavras, isto é causado por um congestionamento do recurso de autenticação.

A autenticação NTLM e validação de carvão activado em pó são executadas por dedicado threads no processo de Lsass.exe em computadores baseados no Windows. Existe um número máximo destes threads que estão disponíveis para processar estes pedidos ao mesmo tempo e, se os pedidos de excedem a disponibilidade dos threads e os pedidos não é possível aguardar já, este problema ocorre.

Por predefinição, as estações de trabalho de ter um dos threads disponíveis para utilização e servidores membros possuem dois threads disponíveis para utilização. Controladores de domínio tem um thread disponível por canal de segurança para domínios fidedignos. Este número máximo de threads que estão dedicado para este efeito é conhecido como "Maxconcurrentapi" e é configurável.
Resolução
Para resolver o problema, utilize um ou mais dos seguintes métodos:
  • Instale a correcção seguinte e, em seguida, siga os passos descritos na "Informações de registo"secção. Depois de instalar esta correcção no Windows Vista, Windows Server 2008, Windows 7 ou Windows Server 2008 R2, o maximumlimit de ligações simultâneas entre um computador cliente e outro servidor ou um controlador de domínio para a autenticação NTLM ou validação de carvão activado em pó, podendo ser alterado até 150. Este deve ser efectuado em todos os servidores que exibam Perfmon Netlogon indicações "semáforo tempo limite" nos seus registos de desempenho ou que tenham o "NlpUserValidateHigher: não é possível atribuir a ranhura de API de cliente" texto nos seus registos de depuração do Netlogon.
  • Para aplicações e serviços que estão a utilizar NTLM, basta configurá-los para utilizar a autenticação Kerberos em vez disso. Os métodos para o fazer será exclusivos a essas aplicações.
Nota Para decidir qual o valor para definir para a MaxConcurrentApi definição no seu ambiente, consulte o artigo na Base de dados de Conhecimento abaixo.

2688798 Como efectuar a optimização do desempenho para a autenticação NTLM utilizando a definição de MaxConcurrentApi

Informações sobre correção

Existe uma correção suportada pela Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham o problema descrito neste artigo. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afetado por este problema, recomendamos que aguarde pela próxima atualização de software que contenha esta correção.

Se a correcção estiver disponível para transferência, existirá uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se esta secção não for apresentada, contacte o Suporte ao Cliente da Microsoft para obter a correção.

Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte site da Microsoft: Nota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

Para aplicar esta correcção, o computador tem de ter o Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 ou Windows Server 2008 Service Pack 2.

Informações de registo

Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma maior protecção, efectue o backup do Registro antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
322756 Como efectuar cópias de segurança e restaurar o registo no Windows
Depois de instalar a correcção, aumente o valor de Maxconcurrentapi para um número maior em todos os servidores que têm Perfmon Netlogon indicações de "semáforo tempo de espera" nos seus registos de desempenho ou que têm "NlpUserValidateHigher: não é possível atribuir a ranhura de API de cliente" texto nos seus registos de depuração do Netlogon. Para tal, siga estes passos:
  1. Inicie o Editor de Registo.
  2. Localize a seguinte subchave de registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. Crie a seguinte entrada de registo:

    Nome: MaxConcurrentApi
    Tipo: REG_DWORD
    Valor:Defina o valor para o número maior, o que é testado (qualquer número maior do que o valor predefinido).
  4. Na linha de comandos, execute net stop netlogone, em seguida, executar net start netlogon.
Notas
  • O valor máximo que pode ser configurado depende da versão do sistema operativo e se está disponível uma correcção.
    • A definição configurável máxima no Windows Server 2003 é 10.
    • A definição configurável máxima no Windows Server 2008 (sem a correcção incluída neste artigo) é de 10. Com a correcção, o máximo é de 150.
    • A definição configurável máxima no Windows Server 2008 R2 (sem a correcção incluída neste artigo) é de 10. Com a correcção, o máximo é de 150.
  • Se optar por aumentar a MaxConcurrentApivalue para mais de 10, a carga e o desempenho da definição pretendida devem ser testadas num ambiente de não produção antes de ser implementado na produção. Esta é recomendada para se certificar de que o aumento deste valor não faz com que outros congestionamento dos recursos.

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição da correção

Esta correção não substitui uma correção disponibilizada anteriormente.

Informações de ficheiro

A versão inglesa (Estados Unidos) desta correcção instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na Hora Universal Coordenada (UTC). As datas e horas destes ficheiros no computador local são apresentadas na hora local em conjunto com a compensação de hora de Verão (DST) atual. Além disso, as datas e horas podem ser alteradas quando são executadas determinadas operações nos ficheiros.

  • Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente são listados em separado nas "informações sobre ficheiros adicionais para Windows Vista e Windows Server 2008" secção. MUM e ficheiros de MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são muito importantes para manter o estado do componente actualizado. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.

Informações sobre ficheiros para o Windows Vista e Windows Server 2008

Informações do ficheiro para versões baseadas em x86 do Windows Server 2008 e do Windows Vista
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Netlogon. dll6.0.6002.22289592,89616-Dec-200912:09x86
Nlsvc.MOFNão aplicável2,87303-Abr-200921:24Não aplicável
Informações do ficheiro para versões baseadas em x64 do Windows Server 2008 e do Windows Vista
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Netlogon. dll6.0.6002.22289716,80016-Dec-200912:07x64
Nlsvc.MOFNão aplicável2,87303-Abr-200920:58Não aplicável
Informações de ficheiro para versões baseadas em IA-64 do Windows Server 2008
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Netlogon. dll6.0.6002.222891,216,51216-Dec-200912:05IA-64
Nlsvc.MOFNão aplicável2,87303-Abr-200920:59Não aplicável

Informações sobre ficheiros para o Windows 7 e Windows Server 2008 R2

Notas informativas sobre os ficheiros do Windows 7 e Windows Server 2008 R2Importante Correcções do Windows 7 e Windows Server 2008 R2 correcções são incluídas nos pacotes mesmos. No entanto, as correcções na página de pedido de correcção estão listadas em ambos os sistemas operativos. Para pedir o pacote de correcções que se aplica a um ou ambos os sistemas operativos, seleccione a correcção listada em "Windows 7/Windows Server 2008 R2" na página. Sempre consulte a secção "Aplica-se a" nos artigos para determinar o sistema operativo real a que se aplica a cada correcção.
  • Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente são listados em separado nas "informações sobre ficheiros adicionais para Windows Server 2008 R2 e secção 7" Windows. MUM e ficheiros de MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são muito importantes para manter o estado do componente actualizado. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.
Para todas as versões baseadas em x86 suportadas do Windows 7
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Netlogon. dll6.1.7600.20576563,71216-Nov-200906:40x86
Nlsvc.MOFNão aplicável2,87310-Jun-200921:29Não aplicável
Para todas as versões suportadas baseadas em x64 do Windows 7 e do Windows Server 2008 R2
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Netlogon. dll6.1.7600.20576692,73616-Nov-200907:45x64
Nlsvc.MOFNão aplicável2,87310-Jun-200920:47Não aplicável
Para todas as versões suportadas baseadas em IA-64 do Windows Server 2008 R2
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Netlogon. dll6.1.7600.205761,148,41616-Nov-200906:10IA-64
Nlsvc.MOFNão aplicável2,87310-Jun-200920:52Não aplicável


Ponto Da Situação
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais Informação
Esta correcção está incluída no Windows 7 Service Pack 1 (SP1) e no Windows Server 2008 R2 Service Pack 1 (SP1).

A definição de MaxConcurrentApi e as predefinições para o mesmo são um legacy do Windows 2000 e das capacidades limitadas de hardware nessa altura. Com hardware mais antigo, permitindo threads adicionais e o tráfego RPC que iria gerar era um grave problema e Ocorreu uma possibilidade de congestionamentos de desempenho se demasiados threads criados. Com plataformas de hardware mais recentes e melhor desempenho, essa limitação de desempenho do hardware é menos susceptível de ocorrer. Como sempre, é importante avaliar e compreender o desempenho dos servidores num ambiente antes de aumentar a carga potencial utilizando uma definição de MaxConcurrentApi alta.

Para mais informações sobre como utilizar o serviço Netlogon (Netlogon) de registo de depuração, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
109626 Activar o registo de depuração para o serviço Net Logon
Um passo adicional lessening pode ser efectuado em controladores de domínio baseado no Windows Server 2003 que tenham movimentos no seu registo de depuração do serviço de Netlogon que indicam que os clientes estão a submeter <null>\</null>nome de utilizador em vez de nome de domínio\nome de utilizador. Os passos são descritos no seguinte artigo da Base de dados de conhecimento da Microsoft:
923241 O processo de Lsass.exe poderá deixar de responder se tiver muitos fidedignidades externas num controlador de domínio baseado no Windows Server 2003
Mais informações sobre como utilizar o objecto de monitorização de desempenho de Netlogon estão disponíveis, bem como uma actualização para adicionar esse objecto de desempenho no Windows Server 2003. Existe uma actualização para Windows Server 2003 permite-lhe monitorizar a velocidade e o débito de autenticações NTLM. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Base de Dados de Conhecimento Microsoft
928576 Novos contadores de desempenho para o Windows Server 2003 permitem-lhe monitorizar o desempenho de autenticação do Netlogon

Existe uma actualização para Windows Server 2008 R2 que introduz novos eventos para controlar a sobrecarga de Netlogoan API:

Estão disponíveis novas entradas de registo de eventos que controlam os atrasos de autenticação NTLM e falhas no Windows Server 2008 R2
http://support.microsoft.com/default.aspx?scid=KB; EN-US; 2654097
Para mais informações sobre a terminologia de atualização de software, clique no seguinte número de artigo para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
824684 Descrição da terminologia padrão utilizada para descrever atualizações de software da Microsoft

Informações sobre ficheiros adicionais

Informações sobre ficheiros adicionais para o Windows Vista e Windows Server 2008

Informações sobre ficheiros adicionais para versões baseadas em x86 do Windows Vista e do Windows Server 2008
Nome do ficheiroUpdate.mum
Versão do ficheiroNão aplicável
Tamanho do ficheiro3,068
Data (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ficheiroX86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro705
Data (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ficheiroX86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro22,701
Data (UTC)16-Dec-2009
Hora (UTC)14:05
PlataformaNão aplicável
Informações sobre ficheiros adicionais para versões baseadas em x64 do Windows Server 2008 e do Windows Vista
Nome do ficheiroAmd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro1,060
Data (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ficheiroAmd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro23,180
Data (UTC)16-Dec-2009
Hora (UTC)15:52
PlataformaNão aplicável
Nome do ficheiroUpdate.mum
Versão do ficheiroNão aplicável
Tamanho do ficheiro3,092
Data (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ficheiroWow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro18,332
Data (UTC)16-Dec-2009
Hora (UTC)14:00
PlataformaNão aplicável
Informações sobre ficheiros adicionais para versões baseadas em IA-64 do Windows Server 2008
Nome do ficheiroIa64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro1,058
Data (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ficheiroIa64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro23,156
Data (UTC)16-Dec-2009
Hora (UTC)16:08
PlataformaNão aplicável
Nome do ficheiroUpdate.mum
Versão do ficheiroNão aplicável
Tamanho do ficheiro2,247
Data (UTC)16-Dec-2009
Hora (UTC)21:16
PlataformaNão aplicável
Nome do ficheiroWow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro18,332
Data (UTC)16-Dec-2009
Hora (UTC)14:00
PlataformaNão aplicável

Informações sobre ficheiros adicionais para o Windows 7 e Windows Server 2008 R2

Ficheiros adicionais para todas as versões baseadas em x86 suportadas do Windows 7


Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ x86 ~ ~ 6.1.1.0.mumNão aplicável1,94716-Nov-200909:45Não aplicável
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifestNão aplicável35,54116-Nov-200908:08Não aplicável
Ficheiros adicionais para todas as suportadas as versões baseadas em x64 do Windows 7 e do Windows Server 2008 R2

Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifestNão aplicável35,54716-Nov-200908:11Não aplicável
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.1.1.0.mumNão aplicável2,18116-Nov-200909:45Não aplicável
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestNão aplicável16,59616-Nov-200908:01Não aplicável
Ficheiros adicionais para todas as versões baseadas em IA-64 do Windows Server 2008 R2 suportadas

Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifestNão aplicável35,54416-Nov-200909:06Não aplicável
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ ia64 ~ ~ 6.1.1.0.mumNão aplicável1,68316-Nov-200909:45Não aplicável
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestNão aplicável16,59616-Nov-200908:01Não aplicável

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 975363 - Última Revisão: 01/04/2016 13:47:00 - Revisão: 9.0

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbqfe kbhotfixserver kbsurveynew kbautohotfix kbexpertiseinter kbbug kbfix kbmt KB975363 KbMtpt
Comentários