Симптомы
Могут возникнуть одно или несколько из следующих симптомов. Эти симптомы могут быть сбои и непрерывной. Эти признаки чаще и более распространенными во время «высокая загрузка», такие, как в начале бизнес-день, когда увеличение рабочей нагрузки возникает на серверах в среде.
Могут возникнуть следующие проблемы в веб-приложениях служб: могут возникнуть следующие проблемы в веб-сценарии прокси: могут возникнуть следующие проблемы в клиентском сценарии Exchange: могут возникнуть следующие проблемы в любой ситуации, в которых NTLM проверка подлинности используется для приложений:
Сбой линии бизнеса или пользовательских приложений, использующих проверку подлинности NTLM. Кроме того может появиться различные ошибки, которые периодически и могут включать «доступ запрещен».Могут возникнуть следующие проблемы в случае удаленного файла access.
Клиенты Windows ошибки «Отказано в доступе» или задержки ответов от файлового сервера.Могут возникнуть следующие проблемы в любой ситуации, в которой делегирование Kerberos, используется в службы среднего уровня.
Клиенты доступа успешно в первую очередь, а затем потерять доступ к тем же ресурсам. Кроме того может быть повторный запрос учетных данных, или возникают ошибки «доступ запрещен».Примечания
Причина
Эта проблема возникает, когда большой объем проверки подлинности NTLM или Kerberos PAC проверки операций (или оба) происходят на сервере под управлением Windows и тома больше, чем тома, которые могут обрабатываться одновременно с рядового сервера или контроллеров домена, которые предоставляют проверку подлинности. Другими словами это вызвано узким местом ресурсов проверки подлинности.
Выделенные потоки в процессе Lsass.exe на компьютерах под управлением Windows выполняет проверку подлинности NTLM и проверки PAC. Максимальное количество этих потоков, доступных для обработки этих запросов, в то же время и если запросы превышению доступности потоков и запросов не может ждать дольше, эта проблема возникает.
По умолчанию рабочие станции имеют один из потоков, доступных для использования, и рядовые серверы имеют двух потоков, доступных для использования. Контроллеры домена имеют один доступный поток на канал безопасности для доверенных доменов. Это максимальное число потоков, выделенных для этой цели, называется «Maxconcurrentapi» и настраивается.
Решение
Для решения проблемы используйте один или несколько из следующих методов:
-
Установите следующее исправление, а затем выполните действия, описанные в разделе «сведения о реестре». После установки этого исправления на Windows Vista, Windows Server 2008, Windows 7 или Windows Server 2008 R2, maximumlimit одновременных подключений между клиентским компьютером и другой сервер или контроллер домена для проверки подлинности NTLM или проверка PAC может быть изменен до 150. Это следует делать на всех серверах, на которых Perfmon Netlogon указаний «семафора ожидания» в свои журналы производительности или что у «NlpUserValidateHigher: не удается выделить разъем API клиента» текст в свои журналы отладки Netlogon.
-
Для приложений и служб, использующих NTLM настройте их на использование проверки подлинности Kerberos. Методы для этого будет уникальным для этих приложений.
Примечание. Чтобы определить значение, задаваемое для MaxConcurrentApi параметр в среде обратитесь к указанной ниже статье базы знаний.
2688798 способ оптимизации производительности для проверки подлинности NTLM с помощью параметра MaxConcurrentApi
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте данное исправление только в тех системах, где наблюдается вышеописанная проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Для получения полного списка телефонов поддержки и обслуживания клиентов корпорации Майкрософт, или для создания отдельного запроса на обслуживание, посетите следующий веб-сайт Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Данное исправление на компьютере должна быть установлена Windows 7, Windows Server 2008 R2, Пакет обновления 2 для Windows Vista или Пакет обновления 2 для Windows Server 2008.
Сведения о реестре
Важно. Этот раздел, метод или задача содержат действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Чтобы узнать дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи базы знаний Майкрософт:
322756 как резервное копирование и восстановление реестра WindowsПосле установки исправления, увеличьте значение Maxconcurrentapi на большом числе на всех серверах в свои журналы производительности, имеющие указаний «таймаут семафора» сетевого монитора «NlpUserValidateHigher: не удается выделить разъем API клиента» текст в свои журналы отладки Netlogon. Чтобы сделать это, выполните следующие действия:примечания
Необходимость перезагрузки
После установки исправления компьютер необходимо перезагрузить.
Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Сведения о файлах
Английский (США) версия данного исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
-
Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе «сведения о дополнительных файлах для системы Windows Vista и Windows Server 2008». MUM и файлы МАНИФЕСТА и связанные файлы каталога безопасности (.cat), очень важны для поддержания состояния обновляемого компонента. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
Сведения о файлах для системы Windows Vista и Windows Server 2008
Сведения о файлах для x86-разрядных версий Windows Server 2008 и Windows Vista
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
592,896 |
16-Dec-2009 |
12:09 |
x86 |
|
Nlsvc.mof |
Неприменимо |
2,873 |
03-Apr-2009 |
21:24 |
Неприменимо |
Сведения о файлах для x64-разрядных версий Windows Server 2008 и Windows Vista
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
716,800 |
16-Dec-2009 |
12:07 |
x64 |
|
Nlsvc.mof |
Неприменимо |
2,873 |
03-Apr-2009 |
20:58 |
Неприменимо |
Сведения о файлах для IA-64-разрядных версий Windows Server 2008
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
1,216,512 |
16-Dec-2009 |
12:05 |
IA-64 |
|
Nlsvc.mof |
Неприменимо |
2,873 |
03-Apr-2009 |
20:59 |
Неприменимо |
Сведения о файлах для Windows 7 и Windows Server 2008 R2
Примечания к сведениям о файлах Windows 7 и Windows Server 2008 R2
Важно. Исправления для Windows Server 2008 R2 и Windows 7 включены в одни и те же пакеты. Однако исправления на странице запроса исправлений перечислены под обеими операционными системами. Для получения пакета исправлений, который применяется к одной или обеих операционных систем, установите исправления, перечисленные в разделе «Windows 7/Windows Server 2008 R2» на странице. Всегда обращайтесь к разделу «Применяется к» в статьях, для определения фактических операционной системы, к которому применяется каждое исправление.
-
Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе "Сведения о дополнительных файлах для Windows Server 2008 R2 и Windows 7". MUM и файлы МАНИФЕСТА и связанные файлы каталога безопасности (.cat), очень важны для поддержания состояния обновляемого компонента. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
Для всех поддерживаемых 86-разрядных версий Windows 7
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
563,712 |
16-Nov-2009 |
06:40 |
x86 |
|
Nlsvc.mof |
Неприменимо |
2,873 |
10-Jun-2009 |
21:29 |
Неприменимо |
Для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
692,736 |
16-Nov-2009 |
07:45 |
x64 |
|
Nlsvc.mof |
Неприменимо |
2,873 |
10-Jun-2009 |
20:47 |
Неприменимо |
Для всех поддерживаемых версий Windows Server 2008 R2 для систем на базе процессоров IA-64
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
1,148,416 |
16-Nov-2009 |
06:10 |
IA-64 |
|
Nlsvc.mof |
Неприменимо |
2,873 |
10-Jun-2009 |
20:52 |
Неприменимо |
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительные сведения
Это исправление включено в Пакет обновления 1 (SP1) для Windows 7 и Windows Server 2008 R2 Пакет обновления 1 (SP1).
Параметр MaxConcurrentApi и параметры по умолчанию для него являются прежних версий Windows 2000 и ограниченными возможностями возможности этого времени. Старое оборудование предоставляя дополнительные потоки и RPC-трафика, которые будут созданы было серьезной проблемой и возникла вероятность возникновения узких мест производительности были созданы слишком много потоков. С новых аппаратных платформах и повышения производительности это ограничение производительности оборудования, менее вероятно. Как всегда очень важно оценить и понять производительность серверов в среде, прежде чем увеличить потенциальные нагрузки с помощью параметра MaxConcurrentApi высокой.
Дополнительные сведения об использовании службы входа в сеть (Netlogon.log) журнал отладки, щелкните следующий номер статьи базы знаний Майкрософт:
109626 Включение отладки ведения журнала для службы сетевого входа в системуДополнительные lessening действия могут выполняться на контроллерах домена под управлением Windows Server 2003, которые имеют в своих журнал отладки службы Netlogon записей, которые указывают, что клиенты предоставляют < null > \ вместо имя_доменаимя_пользователя \имя пользователя. Шаги, описанные в следующей статье базы знаний Майкрософт:
923241 процесс Lsass.exe может перестать отвечать при наличии многих внешних доверий на контроллере домена под управлением Windows Server 2003Дополнительные сведения об использовании объектов наблюдения производительности службы входа в сеть доступна, а также обновления для добавления объекта производительности в Windows Server 2003. Имеется обновление для Windows Server 2003, которая позволяет отслеживать скорость и пропускную способность проверок подлинности NTLM. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
928576 новые счетчики производительности для Windows Server 2003 позволяют наблюдать за производительностью службы входа в сеть проверки подлинности
Имеется обновление для Windows Server 2008 R2, что вводит новые события для отслеживания Netlogoan API перегрузки:
Доступны новые записи журнала событий, используемые для отслеживания задержки проверки подлинности NTLM и сбоев в Windows Server 2008 R2
http://support.Microsoft.com/default.aspx?scid=KB; EN-US; 2654097
Для получения дополнительных сведений о терминологии обновлений программного обеспечения щелкните следующий номер статьи базы знаний Майкрософт:
824684
Описание стандартной терминологии, используемой для описания обновлений программных продуктов Майкрософт
Сведения о дополнительных файлах
Сведения о дополнительных файлах для системы Windows Vista и Windows Server 2008
Сведения о дополнительных файлах для x86 версий операционной системы Windows Vista и Windows Server 2008
|
Имя файла |
Update.mum |
|
Версия файла |
Неприменимо |
|
Размер файла |
3,068 |
|
Дата (UTC) |
16-Dec-2009 |
|
Время (UTC) |
21:16 |
|
Платформа |
Неприменимо |
|
Имя файла |
X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
705 |
|
Дата (UTC) |
16-Dec-2009 |
|
Время (UTC) |
21:16 |
|
Платформа |
Неприменимо |
|
Имя файла |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
22,701 |
|
Дата (UTC) |
16-Dec-2009 |
|
Время (UTC) |
14:05 |
|
Платформа |
Неприменимо |
Сведения о дополнительных файлах для x64 под управлением версий Windows Server 2008 и Windows Vista
|
Имя файла |
Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
1 060 |
|
Дата (UTC) |
16-Dec-2009 |
|
Время (UTC) |
21:16 |
|
Платформа |
Неприменимо |
|
Имя файла |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
23,180 |
|
Дата (UTC) |
16-Dec-2009 |
|
Время (UTC) |
15:52 |
|
Платформа |
Неприменимо |
|
Имя файла |
Update.mum |
|
Версия файла |
Неприменимо |
|
Размер файла |
3,092 |
|
Дата (UTC) |
16-Dec-2009 |
|
Время (UTC) |
21:16 |
|
Платформа |
Неприменимо |
|
Имя файла |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
18,332 |
|
Дата (UTC) |
16-Dec-2009 |
|
Время (UTC) |
14:00 |
|
Платформа |
Неприменимо |
Сведения о дополнительных файлах для IA-64-разрядных версий Windows Server 2008
|
Имя файла |
Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
1 058 |
|
Дата (UTC) |
16-Dec-2009 |
|
Время (UTC) |
21:16 |
|
Платформа |
Неприменимо |
|
Имя файла |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
23,156 |
|
Дата (UTC) |
16-Dec-2009 |
|
Время (UTC) |
16:08 |
|
Платформа |
Неприменимо |
|
Имя файла |
Update.mum |
|
Версия файла |
Неприменимо |
|
Размер файла |
2,247 |
|
Дата (UTC) |
16-Dec-2009 |
|
Время (UTC) |
21:16 |
|
Платформа |
Неприменимо |
|
Имя файла |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
18,332 |
|
Дата (UTC) |
16-Dec-2009 |
|
Время (UTC) |
14:00 |
|
Платформа |
Неприменимо |
Сведения о дополнительных файлах для Windows 7 и Windows Server 2008 R2
Дополнительные файлы для всех поддерживаемых 86-разрядных версий Windows 7
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Неприменимо |
1,947 |
16-Nov-2009 |
09:45 |
Неприменимо |
|
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest |
Неприменимо |
35,541 |
16-Nov-2009 |
08:08 |
Неприменимо |
Дополнительные файлы для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest |
Неприменимо |
35,547 |
16-Nov-2009 |
08:11 |
Неприменимо |
|
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Неприменимо |
2,181 |
16-Nov-2009 |
09:45 |
Неприменимо |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Неприменимо |
16,596 |
16-Nov-2009 |
08:01 |
Неприменимо |
Дополнительные файлы для всех поддерживаемых версий Windows Server 2008 R2 с архитектурой IA-64
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest |
Неприменимо |
35,544 |
16-Nov-2009 |
09:06 |
Неприменимо |
|
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Неприменимо |
1,683 |
16-Nov-2009 |
09:45 |
Неприменимо |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Неприменимо |
16,596 |
16-Nov-2009 |
08:01 |
Неприменимо |
