В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Периодически запрашиваться учетные данные или возникнуть время ожидания при подключении к службам проверки подлинности

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 975363
Проблема
Могут возникнуть одно или несколько из следующих симптомов. Эти симптомы могут быть сбои и непрерывной. Эти признаки чаще и более распространенными во время «высокая загрузка», такие, как в начале бизнес-день, когда увеличение рабочей нагрузки возникает на серверах в среде.

Могут возникнуть следующие проблемы в веб-приложениях служб.
  • Веб-клиентам получать отложенную ответы от веб-сервера.
  • Веб-клиенты многократно вводить учетные данные даже если введены правильные учетные данные.
Могут возникнуть следующие проблемы в веб-сценарии прокси-сервера.
  • Веб-клиентам получать отложенную ответы от веб-сервера.
  • Веб-клиенты многократно вводить учетные данные даже если введены правильные учетные данные.
Могут возникнуть следующие проблемы в клиентском сценарии Exchange.
  • Клиенты получают задержка ответа с сервера.
  • Клиенты многократно вводить учетные данные даже если введены правильные учетные данные.
Могут возникнуть следующие проблемы в любой ситуации, в которых используется проверка подлинности NTLM для приложений.

Сбой линии бизнеса или пользовательских приложений, использующих проверку подлинности NTLM. Кроме того может появиться различные ошибки, которые периодически и могут включать «доступ запрещен».
Могут возникнуть следующие проблемы в случае удаленного файла access.
Клиенты Windows ошибки «Отказано в доступе» или задержки ответов от файлового сервера.
Могут возникнуть следующие проблемы в любой ситуации, в которой делегирование Kerberos, используется в службы среднего уровня.
Клиенты доступа успешно в первую очередь, а затем потерять доступ к тем же ресурсам. Кроме того может быть повторный запрос учетных данных, или возникают ошибки «доступ запрещен».
Заметки
  • Данная проблема чаще всего возникает, если одно или несколько из следующих условий:
    • Существуют службы с высокой интенсивностью транзакций и интенсивно используемых в среде.
    • Нет интенсивное использование сценариев, использующих поставщик WINNT.
    • Существуют приложения и службы, которые не настроены (или не настраиваются) для использования проверки подлинности Kerberos.
    • При выполнении следующих трех условий выполняются одновременно:
      • Существует много доменов «учетные записи» (другими словами, домены, имеющие учетные записи пользователей в них) в среде.
      • Существуют контроллеры домена под управлением Windows Server 2003 (DC).
      • Существуют приложения или службы, которые могут проходить проверку подлинности без указания имени домена. Например существуют приложения или службы, обеспечивающие <null>\</null>имя пользователя Вместо имя_домена\имя пользователя.
  • Перечисленные ниже симптомы обозначают, что эта проблема происходит в среде:
    • Источник событий Kerberos регистрируется в системном журнале серверов приложений. Данное событие указывает, что не удается выполнить проверку Kerberos PAC. Событие будет выглядеть примерно так:

      Тип события: ошибка
      Источник события: Kerberos
      Категория события: нет
      Код события: 7
      Пользователь: н/д
      Описание: В подсистеме Kerberos возникла ошибка проверки PAC. Это означает, что PAC клиента Имя компьютера в сфере Имя домена AD DNS имеет PAC, не была проверена или была изменена. Обратитесь к системному администратору.
      Данные: 0000: c0000192

    • Текст в журналах отладки службы Netlogon (Netlogon.log) совпадает с текстом «NlpUserValidateHigher: не удается выделить разъем API клиента. " Эти элементы могут отображаться в журналы отладки Netlogon следующих серверов:
      • Сервер приложений
      • Контроллеры домена в домене приложения, серверы
      • Контроллеры доменов-доверителей
    • Системного монитора производительности журнал Netlogon счетчика производительности для семафора таймаутов во время, когда возникает проблема показаны номера больше нуля. Значения этого счетчика может появиться на любом из следующих серверов в этом сценарии:
      • Сервер приложений
      • Контроллеры домена в домене приложения, серверы
      • Контроллеры доменов-доверителей
Причина
Эта проблема возникает, когда большой объем проверки подлинности NTLM или Kerberos PAC проверки операций (или оба) происходят на сервере под управлением Windows и тома больше, чем тома, которые могут обрабатываться одновременно с рядового сервера или контроллеров домена, которые предоставляют проверку подлинности. Другими словами это вызвано узким местом ресурсов проверки подлинности.

Выделенные потоки в процессе Lsass.exe на компьютерах под управлением Windows выполняет проверку подлинности NTLM и проверки PAC. Максимальное количество этих потоков, доступных для обработки этих запросов, в то же время и если запросы превышению доступности потоков и запросов не может ждать дольше, эта проблема возникает.

По умолчанию рабочие станции имеют один из потоков, доступных для использования, и рядовые серверы имеют двух потоков, доступных для использования. Контроллеры домена имеют один доступный поток на канал безопасности для доверенных доменов. Это максимальное число потоков, выделенных для этой цели, называется «Maxconcurrentapi» и настраивается.
Решение
Для решения проблемы используйте один или несколько из следующих методов:
  • Установите следующее исправление, а затем выполните действия, описанные в "Сведения о реестре"раздел. После установки этого исправления на Windows Vista, Windows Server 2008, Windows 7 или Windows Server 2008 R2, maximumlimit одновременных подключений между клиентским компьютером и другой сервер или контроллер домена для проверки подлинности NTLM или проверка PAC может быть изменен до 150. Это следует делать на всех серверах, на которых Perfmon Netlogon указаний «семафора ожидания» в свои журналы производительности или что у "NlpUserValidateHigher: не удается выделить разъем API клиента" текст в свои журналы отладки Netlogon.
  • Для приложений и служб, использующих NTLM настройте их на использование проверки подлинности Kerberos. Методы для этого будет уникальным для этих приложений.
Примечание Чтобы определить значение, задаваемое для MaxConcurrentApi параметр в среде обратитесь к указанной ниже статье базы знаний.

2688798 Как выполнить настройку производительности для проверки подлинности NTLM с помощью параметра MaxConcurrentApi

Сведения об исправлении

Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Это исправление необходимо применяйте только в тех системах, где наблюдается вышеописанная проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.

Если исправление доступно для загрузки, имеется раздел "Исправление доступно для загрузки" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.

Примечание Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Обычные затраты на поддержку будет применяться к дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Для получения полного списка телефонов поддержки и обслуживания клиентов корпорации Майкрософт, или для создания отдельного запроса на обслуживание, посетите следующий веб-сайт Майкрософт: Примечание В форме "Исправление доступно для загрузки" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, это потому, что исправление для данного языка отсутствует.

Предварительные условия

Данное исправление на компьютере должна быть установлена Windows 7, Windows Server 2008 R2, Пакет обновления 2 для Windows Vista или Пакет обновления 2 для Windows Server 2008.

Сведения о реестре

Важно: Этот раздел, метод или задача содержит действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Чтобы узнать дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи базы знаний Майкрософт:
322756 Как сделать резервное копирование и восстановление реестра Windows
После установки исправления, увеличьте значение Maxconcurrentapi на большом числе на всех серверах в свои журналы производительности, имеющие указаний "таймаут семафора" сетевого монитора "NlpUserValidateHigher: не удается выделить разъем API клиента" текст в свои журналы отладки Netlogon. Чтобы сделать это, выполните следующие действия.
  1. Запустите редактор реестра.
  2. Найдите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. Создайте следующий параметр реестра:

    Название: MaxConcurrentApi
    Тип: REG_DWORD
    Значение:Значение в больший номер, который был проверен (любое число больше, чем значение по умолчанию).
  4. В командной строке запуска net stop netlogon, а затем запустить net start netlogon.
Заметки
  • Максимальное значение, которое может быть настроен зависит от версии операционной системы и доступно ли исправление.
    • Максимальное настраиваемого параметра в Windows Server 2003 — 10.
    • Максимальное настраиваемого параметра в Windows Server 2008 (без исправление, описанное в данной статье) — 10. С исправлением максимальное — 150.
    • Максимальное настраиваемого параметра в Windows Server 2008 R2 (без исправление, описанное в данной статье) — 10. С исправлением максимальное — 150.
  • Если требуется увеличить MaxConcurrentApivalue больше 10 нагрузки и производительности нужного параметра должно тестироваться в непроизводственной среде перед внедрением в производственной среде. Это рекомендуется для, увеличение этого значения не вызывают других ресурсов узкие места.

Необходимость перезагрузки

После установки исправления компьютер необходимо перезагрузить.

Сведения о замене исправлений

Это исправление не заменяет ранее выпущенные исправления.

Сведения о файлах

Английский (США) версия данного исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.

  • Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды указаны отдельно в "сведения о дополнительных файлах для системы Windows Vista и Windows Server 2008" раздела. MUM и файлы МАНИФЕСТА и связанные файлы каталога безопасности (.cat), очень важны для поддержания состояния обновляемого компонента. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.

Сведения о файлах для системы Windows Vista и Windows Server 2008

Сведения о файлах для 32-разрядных версий Windows Server 2008 и Windows Vista
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Netlogon.dll6.0.6002.22289592,89616 декабря 2009 г.12:09x86
Nlsvc.MOFНеприменимо2,87303 апреля 2009 г.21:24Неприменимо
Сведения о файлах для 64-разрядных версий Windows Server 2008 и Windows Vista
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Netlogon.dll6.0.6002.22289716,80016 декабря 2009 г.12:07x64
Nlsvc.MOFНеприменимо2,87303 апреля 2009 г.20:58Неприменимо
Сведения о файлах для IA-64-разрядных версий Windows Server 2008
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Netlogon.dll6.0.6002.222891,216,51216 декабря 2009 г.12:05IA-64
Nlsvc.MOFНеприменимо2,87303 апреля 2009 г.20:59Неприменимо

Сведения о файлах для Windows 7 и Windows Server 2008 R2

Примечания к сведениям о файлах Windows 7 и Windows Server 2008 R2Важно: Исправления для Windows Server 2008 R2 и Windows 7 включены в одни и те же пакеты. Однако исправления на странице запрос исправления перечислены под обеими операционными системами. Для получения пакета исправлений, который применяется к одной или обеих операционных систем, установите исправления, перечисленные в разделе «Windows 7/Windows Server 2008 R2» на странице. Всегда обращайтесь к разделу «Применяется к» в статьях, для определения фактических операционной системы, к которому применяется каждое исправление.
  • Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды указаны отдельно в "сведения о дополнительных файлах для Windows Server 2008 R2 и Windows 7" раздел. MUM и файлы МАНИФЕСТА и связанные файлы каталога безопасности (.cat), очень важны для поддержания состояния обновляемого компонента. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
Для всех поддерживаемых 32-разрядных версий Windows 7
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Netlogon.dll6.1.7600.20576563,71216 ноября 2009 г.06:40x86
Nlsvc.MOFНеприменимо2,87310 июня 2009 г.21:29Неприменимо
Для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Netlogon.dll6.1.7600.20576692,73616 ноября 2009 г.07:45x64
Nlsvc.MOFНеприменимо2,87310 июня 2009 г.20:47Неприменимо
Для всех поддерживаемых версий Windows Server 2008 R2 для систем на базе процессоров IA-64
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Netlogon.dll6.1.7600.205761,148,41616 ноября 2009 г.06:10IA-64
Nlsvc.MOFНеприменимо2,87310 июня 2009 г.20:52Неприменимо


Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительная информация
Это исправление включено в Пакет обновления 1 (SP1) для Windows 7 и Windows Server 2008 R2 Пакет обновления 1 (SP1).

Параметр MaxConcurrentApi и параметры по умолчанию для него являются прежних версий Windows 2000 и ограниченными возможностями возможности этого времени. Старое оборудование предоставляя дополнительные потоки и RPC-трафика, которые будут созданы было серьезной проблемой и возникла вероятность возникновения узких мест производительности были созданы слишком много потоков. С новых аппаратных платформах и повышения производительности это ограничение производительности оборудования, менее вероятно. Как всегда очень важно оценить и понять производительность серверов в среде, прежде чем увеличить потенциальные нагрузки с помощью параметра MaxConcurrentApi высокой.

Дополнительные сведения об использовании службы входа в сеть (Netlogon.log) журнал отладки, щелкните следующий номер статьи базы знаний Майкрософт:
109626 Ведение журнала отладки для службы сетевого входа в систему
Дополнительные lessening действия могут выполняться на контроллерах домена под управлением Windows Server 2003, которые имеют в своих журнал отладки службы Netlogon записей, которые указывают, что клиенты предоставляют <null>\</null>имя пользователя Вместо имя_домена\имя пользователя. Шаги, описанные в следующей статье базы знаний Майкрософт:
923241 Процесс Lsass.exe может перестать отвечать на запросы при наличии многих внешних доверий на контроллере домена под управлением Windows Server 2003
Дополнительные сведения об использовании объектов наблюдения производительности службы входа в сеть доступна, а также обновления для добавления объекта производительности в Windows Server 2003. Имеется обновление для Windows Server 2003, которая позволяет отслеживать скорость и пропускную способность проверок подлинности NTLM. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
928576 Новые счетчики производительности для Windows Server 2003 позволяют наблюдать за производительностью службы входа в сеть проверки подлинности

Имеется обновление для Windows Server 2008 R2, что вводит новые события для отслеживания Netlogoan API перегрузки:

Доступны новые записи журнала событий, используемые для отслеживания задержки проверки подлинности NTLM и сбоев в Windows Server 2008 R2
http://support.Microsoft.com/default.aspx?scid=KB; EN-US; 2654097
Для получения дополнительных сведений о терминологии обновлений программного обеспечения щелкните следующий номер статьи базы знаний Майкрософт:
824684 Описание стандартной терминологии, используемой для описания обновлений программных продуктов Майкрософт

Сведения о дополнительных файлах

Сведения о дополнительных файлах для системы Windows Vista и Windows Server 2008

Сведения о дополнительных файлах для 32-разрядных версий операционной системы Windows Vista и Windows Server 2008
Имя файлаUpdate.MUM
Версия файлаНеприменимо
Размер файла3,068
Дата (UTC)16 декабря 2009 г.
Время (UTC)21:16
ПлатформаНеприменимо
Имя файлаX86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest
Версия файлаНеприменимо
Размер файла705
Дата (UTC)16 декабря 2009 г.
Время (UTC)21:16
ПлатформаНеприменимо
Имя файлаX86_microsoft-windows безопасность netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest
Версия файлаНеприменимо
Размер файла22,701
Дата (UTC)16 декабря 2009 г.
Время (UTC)14:05
ПлатформаНеприменимо
Дополнительные сведения о файлах для 64-разрядных версий Windows Server 2008 и Windows Vista
Имя файлаAmd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest
Версия файлаНеприменимо
Размер файла1 060
Дата (UTC)16 декабря 2009 г.
Время (UTC)21:16
ПлатформаНеприменимо
Имя файлаAmd64_microsoft-windows безопасность netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest
Версия файлаНеприменимо
Размер файла23,180
Дата (UTC)16 декабря 2009 г.
Время (UTC)15:52
ПлатформаНеприменимо
Имя файлаUpdate.MUM
Версия файлаНеприменимо
Размер файла3,092
Дата (UTC)16 декабря 2009 г.
Время (UTC)21:16
ПлатформаНеприменимо
Имя файлаWow64_microsoft-windows безопасность netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
Версия файлаНеприменимо
Размер файла18,332
Дата (UTC)16 декабря 2009 г.
Время (UTC)14:00
ПлатформаНеприменимо
Сведения о дополнительных файлах для IA-64-разрядных версий Windows Server 2008
Имя файлаIa64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest
Версия файлаНеприменимо
Размер файла1 058
Дата (UTC)16 декабря 2009 г.
Время (UTC)21:16
ПлатформаНеприменимо
Имя файлаIa64_microsoft-windows безопасность netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest
Версия файлаНеприменимо
Размер файла23,156
Дата (UTC)16 декабря 2009 г.
Время (UTC)16:08
ПлатформаНеприменимо
Имя файлаUpdate.MUM
Версия файлаНеприменимо
Размер файла2,247
Дата (UTC)16 декабря 2009 г.
Время (UTC)21:16
ПлатформаНеприменимо
Имя файлаWow64_microsoft-windows безопасность netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
Версия файлаНеприменимо
Размер файла18,332
Дата (UTC)16 декабря 2009 г.
Время (UTC)14:00
ПлатформаНеприменимо

Сведения о дополнительных файлах для Windows 7 и Windows Server 2008 R2

Дополнительные файлы для всех поддерживаемых 32-разрядных версий Windows 7


Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Package_for_kb975363_rtm ~ «31BF3856AD364E35.» ~ x 86 ~ ~ 6.1.1.0.mumНеприменимо1,94716 ноября 2009 г.09:45Неприменимо
X86_microsoft-windows безопасность netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifestНеприменимо35,54116 ноября 2009 г.08:08Неприменимо
Дополнительные файлы для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2

Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Amd64_microsoft-windows безопасность netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifestНеприменимо35,54716 ноября 2009 г.08:11Неприменимо
Package_for_kb975363_rtm ~ «31BF3856AD364E35.» ~ amd64 ~ ~ 6.1.1.0.mumНеприменимо2,18116 ноября 2009 г.09:45Неприменимо
Wow64_microsoft-windows безопасность netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestНеприменимо16,59616 ноября 2009 г.08:01Неприменимо
Дополнительные файлы для всех поддерживаемых версий Windows Server 2008 R2 с архитектурой IA-64

Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Ia64_microsoft-windows безопасность netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifestНеприменимо35,54416 ноября 2009 г.09:06Неприменимо
Package_for_kb975363_rtm ~ «31BF3856AD364E35.» ~ ia64 ~ ~ 6.1.1.0.mumНеприменимо1,68316 ноября 2009 г.09:45Неприменимо
Wow64_microsoft-windows безопасность netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestНеприменимо16,59616 ноября 2009 г.08:01Неприменимо

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 975363 — последний просмотр: 01/04/2016 16:25:00 — редакция: 10.0

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbqfe kbhotfixserver kbsurveynew kbautohotfix kbexpertiseinter kbbug kbfix kbmt KB975363 KbMtru
Отзывы и предложения