Du ombeds periodvis referenser eller uppstå timeout när du ansluter till autentiserade tjänster

Symptom

En eller flera av följande problem kan uppstå. Dessa symptom kan vara intermittent eller kontinuerligt. Dessa Symptom är mer sannolikt och mer omfattande under tider med "hög belastning", som i början av en verksamhet uppstår dag när ökad klienten visas på servrar i miljön.

I ett scenario för web services följande problem kan uppstå: i ett scenario för web proxy följande problem kan uppstå: i ett scenario för Exchange-klienten följande problem kan uppstå: uppstår följande problem i vissa situationer i vilka NTLM-autentisering används för program:

Rad eller anpassade program som använder NTLM-autentisering misslyckas. Dessutom kan du få olika felmeddelanden som oregelbundna och kan omfatta "åtkomst nekad".I ett scenario för åtkomst av fjärrfil följande problem kan uppstå:

Windows-klienter tar emot "åtkomst nekad" fel eller fördröjda svar från servern.I vissa situationer där Kerberos-delegering som används i en Mellannivåtjänsten följande problem kan uppstå:

Klienterna kommer åt lyckas vid första men förlora åtkomst till samma resurser. Dessutom kan ombes att autentiseringsuppgifter eller "åtkomst nekad" fel uppstå.Kommentarer

Orsak

Det här problemet uppstår när en stor mängd NTLM-autentisering eller Kerberos PAC validering transaktioner (eller båda) som uppstår på en Windows-baserad server och volymen är större än den volym som kan hanteras samtidigt av på medlemsservrar eller domänkontrollanter som tillhandahåller autentisering. Med andra ord orsakas av en resurs flaskhals för autentisering.

NTLM-autentisering och PAC validering utförs av dedicerade trådar i Lsass.exe-processen på Windows-baserade datorer. Det finns ett maximalt antal dessa trådar som är tillgängliga för att hantera dessa begäranden samtidigt och om ansökningarna överskrider tillgänglighet trådar och begäranden kan inte vänta längre, det här problemet uppstår.

Arbetsstationer har en av trådarna som kan användas som standard, och medlemsservrar har två trådar tillgängliga för användning. Domänkontrollanter har en tillgänglig tråd per säkerhetskanal betrodda domäner. Maximalt antal trådar som har reserverats för detta ändamål kallas "Maxconcurrentapi" och konfigureras.

Lösning

Lös problemet med en eller flera av följande metoder:

  • Installera följande snabbkorrigering och följ stegen som beskrivs i avsnittet "information om registret". När du installerar snabbkorrigeringen på Windows Vista, Windows Server 2008, Windows 7 eller Windows Server 2008 R2, maximumlimit samtidiga anslutningar mellan en klientdator och en annan server eller en domänkontrollant för NTLM-autentisering eller PAC validering kan ändras upp till 150. Detta bör göras på alla servrar som uppvisar Perfmon Netlogon "semaforen timeout" uppgifter i deras prestandaloggar eller som har den "NlpUserValidateHigher: kan inte allokera en kortplats för klienten API" text i deras Netlogon felsökningsloggar.

  • För program och tjänster som använder NTLM bara konfigurera dem att använda Kerberos-autentisering i stället. Metoder för att göra som är unik för dessa program.

Obs! För att avgöra vilket värde du anger för MaxConcurrentApi inställningen i miljön finns i Knowledge Base-artikeln nedan.

hur du gör prestandajustering för NTLM-autentisering med inställningen MaxConcurrentApi

Information om snabbkorrigeringen

En snabbkorrigering är tillgänglig från Microsoft. Den här snabbkorrigeringen är emellertid avsedd att åtgärda det problem som beskrivs i denna artikel. Den här snabbkorrigeringen endast på datorer som drabbas av problemet som beskrivs i denna artikel. Snabbkorrigeringen kan komma att testas igen. Om du inte störs alltför mycket av detta problem rekommenderar vi att du väntar på nästa programuppdatering som innehåller den här snabbkorrigeringen.

Om snabbkorrigeringen är tillgänglig för hämtning finns ett avsnitt för "Snabbkorrigeringen är tillgänglig" överst i den här Knowledge Base-artikeln. Om den sektionen saknas, kontakta Microsofts support för att få tag på hotfixen.

Obs! Om det uppstår ytterligare problem eller krävs felsökning, kan du behöva skapa en serviceförfrågan. De vanliga supportkostnaderna gäller för övriga supportfrågor och problem som inte uppfyller kraven för den här snabbkorrigeringen. En fullständig lista över telefonnummer för Microsofts kundtjänst och Support eller skapa en serviceförfrågan finns på följande Microsoft-webbplats:

Obs! "Snabbkorrigeringen tillgänglig"-formuläret visar de språk som snabbkorrigeringen är tillgänglig. Om ditt språk inte visas beror det på att ingen snabbkorrigering är tillgänglig för språket.

Förutsättningar

Om du vill installera den här snabbkorrigeringen måste datorn köra Windows 7, Windows Server 2008 R2, Windows Vista Service Pack 2 eller Windows Server 2008 Service Pack 2.

Registerinformation

Viktigt Avsnittet, metoden eller aktiviteten innehåller instruktioner om hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret felaktigt. Se därför till att du följer instruktionerna noga. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. För mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

hur du säkerhetskopierar och återställer registret i WindowsNär du har installerat snabbkorrigeringen kan du öka värdet Maxconcurrentapi till ett större värde på alla servrar som har Perfmon Netlogon "semaforen timeout" uppgifter i deras prestandaloggar eller som har "NlpUserValidateHigher: kan inte allokera en kortplats för klienten API" text i deras Netlogon felsökningsloggar. Gör så här:Anteckningar

Krav på omstart

Du måste starta om datorn när du har installerat den här snabbkorrigeringen.

Ersättningsinformation för Hotfix

Den här snabbkorrigeringen ersätter inte någon tidigare utgiven snabbkorrigering.

Filinformation

Engelska (USA) versionen av den här snabbkorrigeringen installerar filer med de filattribut som visas i följande tabeller. Datum och tider för dessa filer anges i UTC-tid (UTC). Datum och tider för dessa filer på den lokala datorn visas i lokal tid tillsammans med din aktuella sommartid (DST). Datum och tider kan dessutom ändras när du utför vissa åtgärder på filerna.

  • I MANIFESTET (.manifest) och MUM filerna (.mum) som installeras för de olika miljöerna anges separat i avsnittet "Ytterligare filinformation för Windows Vista och Windows Server 2008". MUM- och MANIFEST-filer, och tillhörande säkerhetskatalogfiler (.cat) filer, är mycket viktiga för upprätthållande av den uppdaterade komponenten tillstånd. Säkerhetskatalogfilerna attribut som inte finns listade, är signerade med en digital Microsoft-signatur

Filinformation för Windows Vista och Windows Server 2008

Filinformation för x86-baserade versioner av Windows Server 2008 och Windows Vista

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×