Salt la conținutul principal
Asistență
Conectare

Actualizare rezolvă o problemă în care LDAP, Kerberos și DC locator răspunsurile sunt lente sau expira cu Windows

Lucrați de oriunde de pe orice dispozitiv cu Microsoft 365

Faceți upgrade la Microsoft 365 pentru a lucra oriunde cu cele mai recente caracteristici și actualizări.

Faceți upgrade acum

Simptome

Observați că Lightweight Directory Access Protocol (LDAP) sau Kerberos răspunsurile de la controlerul de domeniu sunt întârziate de la 2 la 5 secunde. Când apare problema, procesul Lsass.exe de utilizare CPU este scăzut (chiar mai mici decât de obicei).

În aceeași perioadă (dar până la un decalaj de 4 ore), este posibil să primiți Netlogon avertizare eveniment 5807. Acest eveniment indică faptul că multe adrese IP de client nu a putut fi mapat la definițiile de subrețea configurat în Active Directory: ca în cazul notat, este posibil să primiți mai multe intrări care au NO_CLIENT_SITE: în Jurnalul Netlogon atunci când este configurat.

Cauza

Aceste cereri de ping LDAP sunt în mod neașteptat epuizarea toate subiectele disponibile pentru solicitările LDAP și solicitările Kerberos. Răspuns întârziat poate provoca clienții să restabilească ping LDAP (DC Locator) și Kerberos solicitările și acest lucru face rău de situație. Pentru detalii tehnice, vizitați secțiunea "Mai multe informații".

Rezolvare

Această actualizare adaugă setarea de politică de grup "Specificaţi adresa căutare comportament pentru DC locator ping" pentru Windows 7 și Windows Server 2008 R2. După ce s-a instalat actualizarea, setarea de politică este disponibilă în următoarea locație:

Computer faceți Templates\System\Net Logon\DC Locator înregistrările DNSSetarea de politică de grup adăugat de această actualizare permite administratorului să controleze cum controlerele de domeniu efectua căutări de adrese. Setarea de politică trebuie să se aplice controlerii de domeniu. Puteți seta trei valori pentru setarea de politică de grup:

  • 0 - controlerii de domeniu nu va efectua căutări adresă.

  • 1 - acesta este comportamentul implicit. Controlerele de domeniu va efectua o căutare exhaustivă adresă pentru a descoperi client suplimentare adrese IP.

  • 2 - controlerele de domeniu va efectua o căutare rapidă, doar DNS adresă pentru a descoperi client suplimentare adrese IP.

Policy Screenshot

O remediere rapidă compatibilă este disponibilă de la Microsoft. Cu toate acestea, această remediere rapidă este destinată pentru a corecta doar problema descrisă în acest articol. Aplicați această remediere rapidă numai pentru sistemele care întâmpină această problemă anume.

Dacă remedierea rapidă este disponibilă pentru descărcare, există o secțiune "Descărcare disponibilă pentru remediere rapidă" în partea de sus a acestui articol din baza de cunoștințe. Dacă nu apare această secţiune, trimite o solicitare de la serviciul pentru clienți Microsoft de asistență pentru a obţine remedierea rapidă.

Notă Dacă se produc probleme suplimentare sau este necesară depanarea, poate fi necesar să creați o solicitare de asistenţă separată. Costurile de obicei pentru suport se vor aplica pentru sprijin suplimentar, întrebări și probleme care nu sunt specifice pentru această remediere rapidă . Pentru o listă completă cu numerele de telefon ale clienților servicii și asistență Microsoft sau pentru a crea o solicitare de asistenţă separată, vizitați următorul site Web Microsoft:

Notă Formularul "Descărcare disponibilă pentru remediere rapidă" afişează limbile pentru care este disponibilă remedierea rapidă. Dacă nu vedeți limba dvs., înseamnă că o remediere rapidă nu este disponibilă pentru respectiva limbă.

Notă Această actualizare se aplică pentru Windows 7 pentru a activa dvs. pentru a utiliza Remote Server Administration Tools. Actualizarea ar trebui să fie instalat pe toate controlerele de domeniu în toate păduri că timpul de răspuns este lentă. În general, acestea sunt controlerele de domeniu din pădure domenii rădăcină. Instalați o actualizare pe computerele pe care le utilizați pentru a gestiona politicile de grup.

Cerințe preliminarePentru a aplica această remediere rapidă, trebuie să aveți instalat Service Pack 1. Pentru mai multe informații despre cum se obține un Windows 7 sau Windows Server 2008 R2 service pack, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

informații despre pachetul Service Pack 1 pentru Windows 7 și Windows Server 2008 R2

Informații despre registryPentru a utiliza actualizarea din acest pachet, nu trebuie să efectuați modificări în registry.

Cerinţă de repornireSe poate solicita să reporniți computerul după aplicarea acestei remedieri rapide.

Informații despre înlocuirea vreunei actualizăriAceastă actualizare nu înlocuiește nicio actualizare lansată anterior.

Informații despre fișier

Versiunea globală a acestei actualizări instalează fişierele cu atributele care sunt listate în următoarele tabele. Datele şi orele pentru aceste fişiere sunt exprimate în Timpul universal (UTC). Datele și orele pentru aceste fișiere pe computerul local sunt afișate în ora locală, luându-se în calcul decalajul actual pentru ora de vară (DST). În plus, datele și orele se pot modifica atunci când efectuați anumite operațiuni pe fișiere

Note privind informațiile despre fișierele pentru Windows 7 și Windows Server 2008 R2
Important Remedierile rapide pentru Windows 7 și Windows Server 2008 R2 sunt incluse în aceleași pachete. Cu toate acestea, remedierile rapide de pe pagina Solicitare remediere rapidă sunt listate sub ambele sisteme de operare. Pentru a solicita pachetul de remediere rapidă care se aplică la unul sau ambele sisteme de operare, selectați remedierea rapidă listată în pagină sub "Windows 7/Windows Server 2008 R2". Consultați întotdeauna secțiunea "Se aplică la" din articole pentru a determina sistemul de operare efectiv la care se aplică fiecare remediere rapidă.

  • Fișierele care se aplică la un anumit produs, etapă importantă (RTM, SPn) şi ramură de servicii (LDR, GDR) pot fi identificate examinând numerele de versiune ale fișierelor, așa cum se arată în tabelul următor:

Stare

Microsoft a creat o binare actualizate și setările de politică pentru a permite administratorilor să controleze modul NetBT este folosit pentru a procesa LDAP ping.

Mai multe informații

Când un controler de domeniu primește un ping LDAP User Datagram Protocol (UDP), controlerul de domeniu efectuează un client IP adresă de căutare pentru a găsi o potrivire subrețea definiție în Active Directory pentru a oferi clientului cu numele de site-ul corespunzător log on.

În cazul în care controlerul de domeniu nu poate găsi o subrețea corespondentă pentru client IP, se efectuează propria Rezoluția de nume cu numele NetBIOS clientului pentru a găsi eventual un alt IP având o subrețea corespondență.

Rezolvarea numelui este efectuată în conformitate cu mecanismul de rezolvare disponibile controlerul de domeniu. În plus faţă de DNS, WINS și NetBIOS se mai pot utiliza, inclusiv emisiunile. În funcţie de răspuns de rezoluție nume sau de expirare, asociate LDAP ping este blocării unul dintre fire de rezerva limitat Active Thread coadă (ATQ). Multe dintre aceste ping LDAP peste mai mult timp poate evacuare constant rezerva ATQ. Deoarece rezervorul același este necesar pentru solicitări normale LDAP și Kerberos, controlerul de domeniu devine aproape disponibile utilizatorilor.

Controlerele de domeniu nu mai răspundă la următorul procesele de lucru atunci când se epuizează rezerva fir de lucru, deoarece toate partajează același ATQ lucrător fir rezerva:

  • Ping LDAP

  • Interogările LDAP

  • Kerberos

Lipsa operațiunile de bază trei determină multe erori tranzitiv la distanță clienților, aplicații și controlerii de domeniu.

Este posibil să observați, de asemenea, următoarele simptome:

  • Deoarece controlerul de domeniu nu pot efectua de lucru în această situație, utilizare CPU este mai mică decât de obicei. (când Baseline monitorizare pentru comparaţie este în locul)

  • NTDS\ATQ fire LDAP din Perfmon este egală cu NTDS\ATQ fire Total.

  • Controlerele de domeniu dura aproximativ 2 secunde service LDAP ping, după cum este ilustrat în NETLOGON. JURNAL când depanare este activată prin utilizarea "nltest /dbflag:0x2080FFFF." Jurnalul conține intrări frecvente care conțin "NO_CLIENT_SITE."


Pentru mai multe informaţii despre terminologia privind actualizarea software-ului, faceţi clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoştinţe Microsoft:

Descrierea terminologiei standard care este utilizat pentru a descrie actualizările de software Microsoft

Soluție

Înainte de instalarea acestei actualizări, soluțiile următoare au fost identificate ca evitarea problema:

  • Definiți subrețele și maparea site-ul pentru toate computerele client în pădure și pentru computerele client dintr-o pădure de încredere în care este inițiată o rată mare de log on interactiv utilizator în pădure.

  • Extinderea rezerva ATQ implicit MaxPoolThreads = 4 per core CPU la maximum de 10, conform .

  • Optimizați Rezoluția de nume controlerul de domeniu. Dacă este necesară WINS, utilizați P-node, evitând numai emisiunile care au o expirare de răspuns mai mare. Pentru mai multe informații, consultați .

Aveți nevoie de ajutor suplimentar?

Extindeți-vă competențele
Explorați instruirea
Fiți primul care obține noile caracteristici
Alăturați-vă la Microsoft Insider

V-a fost de ajutor această informație?

Vă mulțumim pentru feedback!

Vă mulțumim pentru feedback! Se pare că ar fi util să luați legătura cu unul dintre agenții noștri de asistență Office.

×