Симптомы

Могут возникнуть одно или несколько из следующих симптомов. Эти симптомы могут быть сбои и непрерывной. Эти признаки чаще и более распространенными во время «высокая загрузка», такие, как в начале бизнес-день, когда увеличение рабочей нагрузки возникает на серверах в среде.

Могут возникнуть следующие проблемы в веб-приложениях служб: могут возникнуть следующие проблемы в веб-сценарии прокси: могут возникнуть следующие проблемы в клиентском сценарии Exchange: могут возникнуть следующие проблемы в любой ситуации, в которых NTLM проверка подлинности используется для приложений:

Сбой линии бизнеса или пользовательских приложений, использующих проверку подлинности NTLM. Кроме того может появиться различные ошибки, которые периодически и могут включать «доступ запрещен».Могут возникнуть следующие проблемы в случае удаленного файла access.

Клиенты Windows ошибки «Отказано в доступе» или задержки ответов от файлового сервера.Могут возникнуть следующие проблемы в любой ситуации, в которой делегирование Kerberos, используется в службы среднего уровня.

Клиенты доступа успешно в первую очередь, а затем потерять доступ к тем же ресурсам. Кроме того может быть повторный запрос учетных данных, или возникают ошибки «доступ запрещен».Примечания

Причина

Эта проблема возникает, когда большой объем проверки подлинности NTLM или Kerberos PAC проверки операций (или оба) происходят на сервере под управлением Windows и тома больше, чем тома, которые могут обрабатываться одновременно с рядового сервера или контроллеров домена, которые предоставляют проверку подлинности. Другими словами это вызвано узким местом ресурсов проверки подлинности.

Выделенные потоки в процессе Lsass.exe на компьютерах под управлением Windows выполняет проверку подлинности NTLM и проверки PAC. Максимальное количество этих потоков, доступных для обработки этих запросов, в то же время и если запросы превышению доступности потоков и запросов не может ждать дольше, эта проблема возникает.

По умолчанию рабочие станции имеют один из потоков, доступных для использования, и рядовые серверы имеют двух потоков, доступных для использования. Контроллеры домена имеют один доступный поток на канал безопасности для доверенных доменов. Это максимальное число потоков, выделенных для этой цели, называется «Maxconcurrentapi» и настраивается.

Решение

Для решения проблемы используйте один или несколько из следующих методов:

  • Установите следующее исправление, а затем выполните действия, описанные в разделе «сведения о реестре». После установки этого исправления на Windows Vista, Windows Server 2008, Windows 7 или Windows Server 2008 R2, maximumlimit одновременных подключений между клиентским компьютером и другой сервер или контроллер домена для проверки подлинности NTLM или проверка PAC может быть изменен до 150. Это следует делать на всех серверах, на которых Perfmon Netlogon указаний «семафора ожидания» в свои журналы производительности или что у «NlpUserValidateHigher: не удается выделить разъем API клиента» текст в свои журналы отладки Netlogon.

  • Для приложений и служб, использующих NTLM настройте их на использование проверки подлинности Kerberos. Методы для этого будет уникальным для этих приложений.

Примечание. Чтобы определить значение, задаваемое для MaxConcurrentApi параметр в среде обратитесь к указанной ниже статье базы знаний.

способ оптимизации производительности для проверки подлинности NTLM с помощью параметра MaxConcurrentApi

Сведения об исправлении

Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте данное исправление только в тех системах, где наблюдается вышеописанная проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.

Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.

Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Для получения полного списка телефонов поддержки и обслуживания клиентов корпорации Майкрософт, или для создания отдельного запроса на обслуживание, посетите следующий веб-сайт Майкрософт:

Примечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.

Предварительные условия

Данное исправление на компьютере должна быть установлена Windows 7, Windows Server 2008 R2, Пакет обновления 2 для Windows Vista или Пакет обновления 2 для Windows Server 2008.

Сведения о реестре

Важно. Этот раздел, метод или задача содержат действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Чтобы узнать дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи базы знаний Майкрософт:

как резервное копирование и восстановление реестра WindowsПосле установки исправления, увеличьте значение Maxconcurrentapi на большом числе на всех серверах в свои журналы производительности, имеющие указаний «таймаут семафора» сетевого монитора «NlpUserValidateHigher: не удается выделить разъем API клиента» текст в свои журналы отладки Netlogon. Чтобы сделать это, выполните следующие действия:примечания

Необходимость перезагрузки

После установки исправления компьютер необходимо перезагрузить.

Сведения о замене исправлений

Это исправление не заменяет ранее выпущенные исправления.

Сведения о файлах

Английский (США) версия данного исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.

  • Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе «сведения о дополнительных файлах для системы Windows Vista и Windows Server 2008». MUM и файлы МАНИФЕСТА и связанные файлы каталога безопасности (.cat), очень важны для поддержания состояния обновляемого компонента. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.

Сведения о файлах для системы Windows Vista и Windows Server 2008

Сведения о файлах для x86-разрядных версий Windows Server 2008 и Windows Vista

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?

Что повлияло на вашу оценку?

Добавите что-нибудь? Это необязательно

Спасибо за ваш отзыв!

×