Du arbetar offline, väntar på att återansluta till Internet

Du ombeds periodvis referenser eller uppstå timeout när du ansluter till autentiserade tjänster

VIKTIGT: Denna artikel är översatt av Microsofts automatiska översättningsprogram och inte av en mänsklig översättare. För att Du skall ha åtkomst till alla artiklar i Knowledge Base på Ditt föredragna språk så är en del artiklar översatta av människor och en del artiklar av översättningsprogram. Tänk på att en artikel som är översatt av ett översättningsprogram inte alltid är perfekt. Artikeln kan innehålla fel ord, grammatik eller meningsbyggnad, ungefär som en utländsk talare kan göra misstag när han eller hon pratar med Dig på Ditt språk. Microsoft ansvarar inte för eventuella felaktigheter i översättningen, fel eller skador som orsakats av någon felöversättning av innehållet eller våra kunders användande av det översatta innehållet. Microsoft uppdaterar kontinuerligt mjukvaran för översättningsprogrammet.

Den engelska versionen av artikeln är följande: 975363
Symptom
En eller flera av följande problem kan uppstå. Dessa symptom kan vara intermittent eller kontinuerligt. Dessa symptom är mer sannolikt och mer omfattande under tider med "hög användning", som i början av en dag när klienten ökad ladda inträffar på servrar i miljön.

I ett scenario för web services följande problem uppstå:
 • Webbklienter få fördröjda svar från servern.
 • Webbklienter ombeds upprepade gånger referenser även om rätt autentiseringsuppgifter anges.
I ett scenario för web proxy följande problem uppstå:
 • Webbklienter få fördröjda svar från servern.
 • Webbklienter ombeds upprepade gånger referenser även om rätt autentiseringsuppgifter anges.
I ett scenario för Exchange-klienten följande problem uppstå:
 • Klienter få fördröjda svar från servern.
 • Klienter ombeds upprepade gånger referenser även om rätt autentiseringsuppgifter har angetts.
I alla fall NTLM-autentisering används för program följande problem uppstå:

Linje eller anpassade program som använder NTLM-autentisering misslyckas. Dessutom kan du få olika fel som avstannar och kan omfatta "åtkomst nekad".
I ett scenario för åtkomst av fjärrfil följande problem uppstå:
Windows-klienter ta emot "åtkomst nekad" fel eller fördröjda svar från servern.
I alla fall där Kerberos-delegering som används i en mellannivåtjänsten följande problem uppstå:
Klienterna tillgång har vid första men sedan förlora åtkomst till samma resurser. Dessutom får upprepade gånger ombeds uppge referenser eller "åtkomst nekad" fel uppstå.
Anteckningar
 • Problemet är mer sannolikt att uppstå om en eller flera av följande villkor är uppfyllda:
  • Det finns mycket transaktionell och hårt belastade tjänster i miljön.
  • Det är tung använda skript som använder WINNT-provider.
  • Det finns program och tjänster som inte har konfigurerats (eller kan inte konfigureras) att använda Kerberos-autentisering.
  • När följande tre villkor är uppfyllda samtidigt:
   • Det finns många "konton" domäner (med andra ord domäner som har användarkonton) i miljön.
   • Det finns en Windows Server 2003-baserade domänkontrollanter (DCs).
   • Det finns program eller tjänster som kan autentisera utan domännamnet. Det är t ex program eller tjänster som ger <null>\</null>användarnamn i stället för domännamn\användarnamn.
 • Följande symptom indikerar att detta problem uppstår i miljön:
  • En källa Kerberos-händelse loggas i systemloggen för programservrar. Den här händelsen anger Kerberos PAC validering misslyckas. Händelsen liknar följande:

   Händelsetyp: fel
   Källa: Kerberos
   Händelsekategori: ingen
   Händelse-ID: 7
   Användare: saknas
   Beskrivning: Kerberos-undersystemet upptäckte ett PAC-verifieringsfel. Anger att PAC från klienten datornamn i sfären AD-DNS-domännamn hade en PAC som inte kunde verifieras eller ändrades. Kontakta din systemadministratör.
   Data: 0000: c0000192

  • Text i Netlogon-tjänsten felsökningsloggar (Netlogon.log) matchar texten "NlpUserValidateHigher: kan inte allokera klienten API-kortplatsen." Dessa poster kan visas i alla felsökningsloggar Netlogon följande servrar:
   • Application server
   • Domänkontrollanter i domänen för servrar
   • Förtroende för domänkontrollanter
  • Perfmon prestanda loggas Netlogon-prestandaräknare för semaforen timeout under den tid när problemet uppstår visas tal större än noll. Detta värde kan visas på någon av följande servrar i det här scenariot:
   • Application server
   • Domänkontrollanter i domänen för servrar
   • Förtroende för domänkontrollanter
Orsak
Problemet uppstår när en hög volym av NTLM-autentisering eller Kerberos PAC validering transaktioner (eller båda) som uppstår på en Windows-baserad server och volymen är större än den volym som kan hanteras samtidigt av på medlemsservrar eller domänkontrollanter som tillhandahåller autentisering. Med andra ord orsakas av en resurs flaskhals för autentisering.

NTLM-autentisering och PAC validering utförs av dedicerade trådar i Lsass.exe-processen på Windows-baserade datorer. Det finns ett maximalt antal dessa trådar som är tillgängliga för att hantera dessa begäranden samtidigt och om ansökningarna överskrider tillgänglighet trådar och begäranden kan inte vänta längre, det här problemet uppstår.

Arbetsstationer har ett av trådarna som kan användas som standard och medlemsservrar har två trådar tillgängliga för användning. Domänkontrollanter har en tråd som är tillgängliga per säkerhetskanal betrodda domäner. Maximalt antal trådar som har reserverats för detta ändamål kallas "Maxconcurrentapi" och kan konfigureras.
Lösning
Lös problemet genom att använda en eller flera av följande metoder:
 • Installera följande snabbkorrigering och följ sedan stegen som beskrivs i den "Registerinformation"avsnittet. När du installerar snabbkorrigeringen på Windows Vista, Windows Server 2008, Windows 7 eller Windows Server 2008 R2 maximumlimit samtidiga anslutningar mellan en klientdator och en annan server eller domänkontrollant för NTLM-autentisering eller PAC-validering kan ändras upp till 150. Detta bör göras på alla servrar som uppvisar Perfmon Netlogon "semaphore timeout" uppgifter i deras Prestandaloggar eller som har den "NlpUserValidateHigher: kan inte allokera en kortplats för klienten API" text i deras Netlogon felsökningsloggar.
 • För program och tjänster som använder NTLM bara konfigurera dem att använda Kerberos-autentisering i stället. Metoder att göra som är unik för dessa program.
 • Om Kerberos-PAC validering ses som ett symptom, inaktivera Kerberos PAC validering om tjänsten tillåter detta. Detta bör göras på den server som har en systemhändelse Kerberos stora försörjningskedja 7 visas.

  Obs!PAC Kerberos-verifiering kan inte inaktiveras för programpooler i IIS eller för vissa Exchange-relaterade tjänster.
Obs! För att avgöra vilket värde du anger för MaxConcurrentApi inställningen i miljön finns i Knowledge Base-artikeln nedan.

2688798 Hur du gör prestandajustering för NTLM-autentisering med inställningen MaxConcurrentApi

Information om snabbkorrigeringen

Det finns en snabbkorrigering från Microsoft. Den här snabbkorrigeringen är emellertid avsedd att åtgärda de problem som beskrivs i denna artikel. Den här snabbkorrigeringen endast på datorer som har drabbats av problemet som beskrivs i denna artikel. Den här snabbkorrigeringen kan komma att testas igen. Om inte störs alltför mycket av detta problem rekommenderar vi att du väntar på nästa programuppdatering som innehåller den här snabbkorrigeringen.

Om snabbkorrigeringen är tillgänglig för hämtning, finns det ett avsnitt "Snabbkorrigeringen är tillgänglig" överst i den här Knowledge Base-artikel. Om det här avsnittet inte visas, kontaktar du Microsoft Support för att få snabbkorrigeringen.

Obs! Om det uppstår ytterligare problem eller krävs felsökning, kan du behöva skapa en serviceförfrågan. De vanliga supportkostnaderna gäller för övriga supportfrågor och problem som inte uppfyller kraven för den här snabbkorrigeringen. En fullständig lista över Microsofts kundtjänst och Support telefonnummer eller skapa en serviceförfrågan finns på följande Microsoft-webbplats: Obs! Språk som snabbkorrigeringen är tillgänglig visar formuläret "Snabbkorrigeringen är tillgänglig". Om ditt språk inte visas beror det på att en snabbkorrigering inte är tillgänglig för språket.

Förutsättningar

Den här snabbkorrigeringen kör på datorn Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 eller Windows Server 2008 Service Pack 2.

Registerinformation

Viktigt Det här avsnittet, metod eller aktivitet innehåller instruktioner om hur du ändrar i registret. Allvarliga problem uppstå om du felaktigt ändrar registret. Kontrollera därför att du följer instruktionerna noga. För extra skydd säkerhetskopiera registret innan du ändrar den. Du kan sedan återställa registret om det uppstår problem. Mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322756 Säkerhetskopiera och återställa registret i Windows
När du har installerat snabbkorrigeringen kan du öka värdet Maxconcurrentapi till ett större värde på alla servrar som har Perfmon Netlogon "semaphore timeout" uppgifter i deras Prestandaloggar eller som har "NlpUserValidateHigher: kan inte allokera en kortplats för klienten API" text i deras Netlogon felsökningsloggar. Gör så här:
 1. Starta Registereditorn.
 2. Leta upp följande registerundernyckel:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
 3. Skapa följande registerpost:

  Namn: MaxConcurrentApi
  Typ: REG_DWORD
  Värde:Ange värdet till det större talet du testat (alla tal större än standardvärdet).
 4. I Kommandotolken kör net stop netlogon, och sedan köra net start netlogon.
Anteckningar
 • Det högsta värdet som kan konfigureras beror på operativsystemets version och om det finns en snabbkorrigering.
  • Den maximala konfigurerbara inställningen i Windows Server 2003 är 10.
  • Den maximala konfigurerbara inställningen i Windows Server 2008 (utan snabbkorrigeringen i den här artikeln) är 10. Med den här snabbkorrigeringen är maximalt 150.
  • Den maximala konfigurerbara inställningen i Windows Server 2008 R2 (utan snabbkorrigeringen i den här artikeln) är 10. Med den här snabbkorrigeringen är maximalt 150.
 • Om du vill öka MaxConcurrentApivalue större än 10 bör belastningen och prestanda för önskad inställning testas i en nonproduction miljö innan du implementerar i produktionen. Det rekommenderas att kontrollera som ökar det här värdet inte orsakar flaskhalsar i andra resurs.
Så här inaktiverar du PAC Kerberos-verifiering på en server.
 1. Starta programmet Regedt32.
 2. Leta reda på sökvägen för registernyckeln HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
 3. Skapa ett DWORD-värde med namnet på den platsen i registret ValidateKdcPacSignature.
 4. Värdet av ValidateKdcPacSignature-värdet till 0.
 5. Starta om servern.
Obs! PAC Kerberos-verifiering kan inte inaktiveras för programpooler i IIS eller för vissa Exchange-relaterade tjänster.

Omstartskrav

Du måste starta om datorn när du har installerat snabbkorrigeringen.

Ersättningsinformation

Den här snabbkorrigeringen ersätter inte tidigare utgiven snabbkorrigering.

Filinformation

Den engelska (USA) versionen av denna snabbkorrigering installerar filer med de filattribut som visas i följande tabeller. Datum och tider för dessa filer anges i UTC (Coordinated Universal Time). Datum och tider för dessa filer på den lokala datorn visas i lokal tid med din aktuella (DST) sommartid. Datum och tider kan dessutom ändra när du utför vissa åtgärder på filerna.

 • I MANIFESTET (.manifest) och MUM-filerna (.mum) som installeras för varje miljö är anges separat i avsnittet "Ytterligare filinformation för Windows Vista och Windows Server 2008". MUM- och MANIFEST-filer och tillhörande säkerhetskatalogfiler (.cat) filer, är mycket viktiga för upprätthållande av den uppdaterade komponenten tillstånd. Säkerhetskatalogfilerna attribut som inte finns som signeras med en digital Microsoft-signatur.

Filinformation för Windows Vista och Windows Server 2008

Filinformation för x 86-baserade versioner av Windows Server 2008 och Windows Vista
FilnamnFilversionFilstorlekDatumTidPlattform
Netlogon.dll6.0.6002.22289592 89616-Dec-200912: 09x 86
Nlsvc.MOFEj tillämpligt2,87303-Apr-200921: 24Ej tillämpligt
Filinformation för x 64-baserade versioner av Windows Server 2008 och Windows Vista
FilnamnFilversionFilstorlekDatumTidPlattform
Netlogon.dll6.0.6002.22289716,80016-Dec-200912: 07x 64
Nlsvc.MOFEj tillämpligt2,87303-Apr-200920: 58Ej tillämpligt
Filinformation för IA-64-baserade versioner av Windows Server 2008
FilnamnFilversionFilstorlekDatumTidPlattform
Netlogon.dll6.0.6002.222891,216,51216-Dec-200912: 05IA-64
Nlsvc.MOFEj tillämpligt2,87303-Apr-200920: 59Ej tillämpligt

Filinformation för Windows 7 och Windows Server 2008 R2

Filinformation för Windows 7 och Windows Server 2008 R2Viktigt Snabbkorrigeringar för Windows 7 och Windows Server 2008 R2 snabbkorrigeringar ingår i samma paket. Emellertid finns på begäran av snabbkorrigeringen sidan snabbkorrigeringar under båda operativsystemen. Välj snabbkorrigeringen som nämns under "Windows 7 och Windows Server 2008 R2" på sidan om du vill begära snabbkorrigeringspaket som gäller för ett eller båda operativsystemen. Alltid finns i avsnittet "Gäller för" i artiklarna för att fastställa varje snabbkorrigering gäller själva operativsystemet.
 • I MANIFESTET (.manifest) och MUM-filerna (.mum) som installeras för varje miljö är anges separat i avsnittet "Ytterligare filinformation för Windows Server 2008 R2 och Windows 7". MUM- och MANIFEST-filer och tillhörande säkerhetskatalogfiler (.cat) filer, är mycket viktiga för upprätthållande av den uppdaterade komponenten tillstånd. Säkerhetskatalogfilerna attribut som inte finns som signeras med en digital Microsoft-signatur.
För alla stöd för x 86-baserade versioner av Windows 7
FilnamnFilversionFilstorlekDatumTidPlattform
Netlogon.dll6.1.7600.20576563,71216-Nov-200906: 40x 86
Nlsvc.MOFEj tillämpligt2,87310-Jun-200921: 29Ej tillämpligt
För alla stöd för x 64-baserade versioner av Windows 7 och Windows Server 2008 R2
FilnamnFilversionFilstorlekDatumTidPlattform
Netlogon.dll6.1.7600.20576692,73616-Nov-200907: 45x 64
Nlsvc.MOFEj tillämpligt2,87310-Jun-200920: 47Ej tillämpligt
För alla IA-64-baserade versioner av Windows Server 2008 R2 som stöds
FilnamnFilversionFilstorlekDatumTidPlattform
Netlogon.dll6.1.7600.205761,148,41616-Nov-200906: 10IA-64
Nlsvc.MOFEj tillämpligt2,87310-Jun-200920: 52Ej tillämpligt


Status
Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna i avsnittet "Gäller".
Mer Information
Den här snabbkorrigeringen ingår i Windows 7 Service Pack 1 (SP1) och Windows Server 2008 R2 Service Pack 1 (SP1).

Inställningen MaxConcurrentApi och standardinställningar för det är en äldre version av Windows 2000 och de begränsade funktioner som tid. Med äldre maskinvara tillåter fler trådar och RPC-trafik som de skulle generera var allvarlig oro och det var risk för flaskhalsar om för många trådar har skapats. Begränsning för prestanda som maskinvara är mindre sannolikt med nyare maskinvaruplattformar och förbättrade prestanda. Som alltid är det viktigt att mäta och förstå prestanda för servrar i en miljö innan du öka belastningen potentiella med en hög inställning MaxConcurrentApi .

Mer information om hur du använder tjänsten Netlogon felsökningsloggning (Netlogon.log), klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
109626 Aktivera felsökningsloggning för NETLOGON-tjänsten
Ytterligare en lessening åtgärd kan utföras på Windows Server 2003-baserade domänkontrollanter som har transaktioner i deras felsökningsloggen för Netlogon-tjänsten som anger att klienter skickar <null>\</null>användarnamn i stället för domännamn\användarnamn. Stegen beskrivs i följande artikel i Microsoft Knowledge Base:
923241 Lsass.exe-processen slutar svara om du har många externa förtroenden på en domänkontrollant med Windows Server 2003
Mer information om hur du använder objektet Netlogon prestanda övervakning är tillgängliga med en uppdatering som du vill lägga till objektet prestanda i Windows Server 2003. Det finns en uppdatering för Windows Server 2003 som gör att du kan övervaka hastighet och genomströmning av NTLM-autentiseringar. Mer information klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
928576 Nya prestandaräknare för Windows Server 2003 kan du övervaka prestanda för Netlogon-autentisering

Det finns en uppdatering för Windows Server 2008 R2 som introducerar nya händelser om du vill spåra överbelastning av Netlogoan API:

Det finns nya poster i händelseloggen som spårar NTLM-autentisering förseningar och fel i Windows Server 2008 R2
http://support.microsoft.com/default.aspx?scid=kb;EN-US; 2654097
Mer information om terminologin för programuppdateringar klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
824684 Beskrivning av standardterminologi för beskrivning av Microsoft-programuppdateringar

Ytterligare filinformation

Ytterligare filinformation för Windows Vista och Windows Server 2008

Ytterligare filinformation för x 86-baserade versioner av Windows Vista och Windows Server 2008
FilnamnUpdate.mum
FilversionEj tillämpligt
Filstorlek3,068
Datum (UTC)16-Dec-2009
Tid (UTC)21: 16
PlattformEj tillämpligt
FilnamnX86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest
FilversionEj tillämpligt
Filstorlek705
Datum (UTC)16-Dec-2009
Tid (UTC)21: 16
PlattformEj tillämpligt
FilnamnX86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest
FilversionEj tillämpligt
Filstorlek22,701
Datum (UTC)16-Dec-2009
Tid (UTC)14: 05
PlattformEj tillämpligt
Ytterligare filinformation för x 64-baserade versioner av Windows Server 2008 och Windows Vista
FilnamnAmd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest
FilversionEj tillämpligt
Filstorlek1,060
Datum (UTC)16-Dec-2009
Tid (UTC)21: 16
PlattformEj tillämpligt
FilnamnAmd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest
FilversionEj tillämpligt
Filstorlek23,180
Datum (UTC)16-Dec-2009
Tid (UTC)15: 52
PlattformEj tillämpligt
FilnamnUpdate.mum
FilversionEj tillämpligt
Filstorlek3,092
Datum (UTC)16-Dec-2009
Tid (UTC)21: 16
PlattformEj tillämpligt
FilnamnWow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
FilversionEj tillämpligt
Filstorlek18,332
Datum (UTC)16-Dec-2009
Tid (UTC)14: 00
PlattformEj tillämpligt
Ytterligare filinformation för IA-64-baserade versioner av Windows Server 2008
FilnamnIa64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest
FilversionEj tillämpligt
Filstorlek1,058
Datum (UTC)16-Dec-2009
Tid (UTC)21: 16
PlattformEj tillämpligt
FilnamnIa64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest
FilversionEj tillämpligt
Filstorlek23,156
Datum (UTC)16-Dec-2009
Tid (UTC)16: 08
PlattformEj tillämpligt
FilnamnUpdate.mum
FilversionEj tillämpligt
Filstorlek2,247
Datum (UTC)16-Dec-2009
Tid (UTC)21: 16
PlattformEj tillämpligt
FilnamnWow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
FilversionEj tillämpligt
Filstorlek18,332
Datum (UTC)16-Dec-2009
Tid (UTC)14: 00
PlattformEj tillämpligt

Ytterligare filinformation för Windows 7 och Windows Server 2008 R2

Ytterligare filer för alla stöd för x 86-baserade versioner av Windows 7


FilnamnFilversionFilstorlekDatumTidPlattform
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ x 86 ~ ~ 6.1.1.0.mumEj tillämpligt1,94716-Nov-200909: 45Ej tillämpligt
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifestEj tillämpligt35,54116-Nov-200908: 08Ej tillämpligt
Ytterligare filer för alla stöd för x 64-baserade versioner av Windows 7 och Windows Server 2008 R2

FilnamnFilversionFilstorlekDatumTidPlattform
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifestEj tillämpligt35,54716-Nov-200908: 11Ej tillämpligt
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.1.1.0.mumEj tillämpligt2,18116-Nov-200909: 45Ej tillämpligt
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestEj tillämpligt16,59616-Nov-200908: 01Ej tillämpligt
Ytterligare filer för alla IA-64-baserade versioner av Windows Server 2008 R2

FilnamnFilversionFilstorlekDatumTidPlattform
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifestEj tillämpligt35,54416-Nov-200909: 06Ej tillämpligt
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ ia64 ~ ~ 6.1.1.0.mumEj tillämpligt1,68316-Nov-200909: 45Ej tillämpligt
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifestEj tillämpligt16,59616-Nov-200908: 01Ej tillämpligt

Varning: Den här artikeln har automatöversatts

Egenskaper

Artikel-id: 975363 – senaste granskning 11/01/2012 08:34:00 – revision: 2.0

 • kbqfe kbhotfixserver kbsurveynew kbautohotfix kbexpertiseinter kbbug kbfix kbmt KB975363 KbMtsv
Feedback