MaxConcurrentApi ayarını kullanarak NTLM kimlik doğrulaması için performans ayarlaması yapma

  • Makale

Bu makalede, MaxConcurrentApi ayarını kullanarak NTLM kimlik doğrulaması için performans ayarlama işleminin nasıl yapılacağını açıklar.

Şunlar için geçerlidir: Windows Server 2012 R2
Özgün KB numarası: 2688798

Giriş

Kurumsal bilgi teknolojisinin tüketiciye yönelik artışı (kurumsal kuruluşta kullanılan akıllı telefonlar ve tabletler gibi tüketici odaklı cihazlarda artış), işletmelerin kurumsal ortamlarında eski kimlik doğrulamasında büyük bir artışla karşılaşabileceği senaryoların sayısını artırmaya yol açmıştır. Eski kimlik doğrulamasındaki bu artış, istemciler için gecikmeler veya zaman aşımları gibi performans sorunlarına yol açabilir.

Bir ortamda kimlik doğrulama zaman aşımları veya gecikmeleri (MaxConcurrentApi performans sorunları olarak da bilinir) bulduğunuzda, sorunu çözmenin tipik yolu, bu kimlik doğrulamasına hizmet veren izin verilen en fazla çalışan iş parçacığını yükseltmektir. Bunu, MaxConcurrentApi kayıt defteri değerini değiştirip sunucularda Net Logon hizmetini yeniden başlatarak yaparsınız.

Hangi sunucuların performans sorununa kurban olduğunu ve performans sorunu gecikmelerinin kaynağının aslında hangi sunucuların olduğunu belirlemek zor olabilir. Bu makalede, MaxConcurrentApi ayarını kullanarak NT LAN Manager (NTLM) kimlik doğrulaması için performans ayarlama işleminin nasıl yapılacağını açıklar. Bu makale, MaxConcurrentApi değerinin yükseltileceği sunucuları ve bu değerin ayarlanacağı miktarı belirleme konusunda yöneticilere yönelik yönergeler içerir.

Çözüm

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:
322756 Windows'da kayıt defterini yedekleme ve geri yükleme

Bu sorunu çözmek için, senaryoya dahil olan tüm sunuculardan alınan performans verilerini gözden geçirmeniz gerekir. Ardından, performans kaybı gösteren sunucularda MaxConcurrentApi ayarını artırmayı deneyebilirsiniz.

Netlogon NTLM kimlik doğrulama sorunlarını bildiren olaylar vardır, bkz:
2654097 Windows Server 2008 R2'de NTLM kimlik doğrulama gecikmelerini ve hatalarını izleyen yeni olay günlüğü girdileri kullanılabilir

Olaylar iki sayaç için etkinliği gösterir:

  • Olaylar 5818/5819: Olaylar etkinse "Semaphore Waiters" vardır.
  • Olaylar 5816/5817: "Semaphore Zaman Aşımları" vardır.

Sunucularınız için en iyi MaxConcurrentApi değerini belirlemek için birkaç veri noktasının bir araya getirilmesi ve bir formül kullanılarak hesaplanması gerekir. MaxConcurrentApi tahmininde kullanılacak veriler aşağıdaki gibidir:

  • Net Logon semaforu alır
  • Net Logon semaforu zaman aşımları
  • Net Logon ortalama semafor saklama süresi
  • Tamamlanan ve saniye cinsinden ölçülen performans günlüğü süresi

Veriler alındıktan sonra doğru MaxConcurrentApi değerini tahmin etmek için aşağıdaki formül kullanılabilir:(semaphore_acquires + semaphore_time-outs) * average_semaphore_hold_time / time_collection_length = <New_MaxConcurrentApi_setting
Sunucunun kimlik doğrulama yükü altında olduğu zamanlardan Net Logon performans verilerini topladıktan sonra, Satır Görünümü başlangıç ve bitiş saatlerine bakarak veri toplama işleminin süresini belirlemeniz gerekir.

Not

semaphore_acquires ve semaphore_time çıkışları yer tutucuları, bir güvenlik kanalının ömrü boyunca kaç zaman aşımı oluştuğuna işaret eden kümülatif sayıları temsil eder. Bu nedenle, toplanan verilerde sayılar büyük olasılıkla sıfırdan başlamaz. Performans İzleyicisi (Perfmon.msc) içinde Çizgi Görünümü'nü kullandığınızda başlangıç numarası bitiş numarasından çıkarılmalıdır. Ardından, yeni MaxConcurrentApi ayarı için formülde bu hesaplanan sayıyı kullanırsınız. Veri toplama sırasında gerçekleşen zaman aşımlarının sayısını belirlemek için Perfmon.msc dosyasındaKi Çizgi Görünümü'nü kullanın ve fare işaretçisini sondaki ve başlangıçtaki sayacın çizgisinin üzerinde bekletin ve başlangıç numarasını bitiş numarasından çıkarın. Bu sonuç, denkleme konulacak sayıdır.

Ortalama semafor saklama süresi, varsayılan görünümün Çizgi Görünümü'nden Perfmon.msc'deki Rapor Görünümü'ne değiştirilmesiyle belirlenebilir. Örneğin, şu senaryoyu inceleyin:

  • Semafor 8.286 değerini alır.
  • Semafor zaman aşımları değeri 883'dür.
  • Ortalama semafor tutma süresidir .5 (yani yarım saniye).
  • Raporlama süresi 90 saniyedir.

Bu senaryoda formül aşağıdaki gibi olacaktır:
(8.286 + 883) *.5 / 90 =< 51

Formülden türetilen değer 150 veya daha büyükse, eski kimlik doğrulama yüküne hizmet vermek için daha fazla sunucu eklemeniz gerekir.

Değer 150'den küçükse, bu sunucudaki MaxConcurrentApi kayıt defteri değerini formül tarafından önerilen değerle veya daha büyük bir değerle değiştirmeniz gerekir.

Not

MaxConcurrentApi değerini 10'dan büyük bir değere yükseltmeye karar verirseniz, değişikliği üretim ortamında uygulamadan önce istenen ayarın yükü ve performansı üretim dışı bir ortamda test edilmelidir. Bu değeri artırmanın diğer kaynak performans sorunlarına neden olmadığından emin olmak için bu önerilir. Ayrıca, yük koşullarının her senaryoya ve iş ortamına göre değişebileceğini unutmayın. Bu nedenle, hizmet yükü değişirse MaxConcurrentApi değerinin daha sonraki bir tarihte farklı bir ayarı olması gerekebilir.

MaxConcurrentApi ayarını değiştirmek için şu adımları izleyin:

  1. Başlat'ı, ardından Çalıştır'ı tıklayın, regedit yazın ve Tamam'ı tıklayın.

  2. Şu kayıt defteri alt anahtarını bulup tıklayın: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Düzen menüsünde Yeni'nin üzerine gelin ve DWORD Değeri'ne tıklayın.

  4. MaxConcurrentApi yazın ve Enter tuşuna basın.

  5. Düzenle menüsünde Değiştir'e tıklayın.

  6. Yeni MaxConcurrentApi ayarını ondalık olarak yazıp Tamam'a tıklayın.

  7. Komut isteminde aşağıdaki komutu yazın ve Enter tuşuna basın:
    net stop netlogon

  8. Aşağıdaki komutu yazın ve Enter tuşuna basın:
    net start netlogon

Daha fazla bilgi

Eski kimlik doğrulama performans sorunlarının istemci tarafı belirtilerini daha ayrıntılı olarak tanımlamak için aşağıdaki Bilgi Bankası makalesini kullanabilirsiniz:
975363 Kimliği Doğrulanmış Hizmetler'e bağlanırken zaman zaman kimlik bilgileri girmeniz veya zaman aşımlarıyla karşılaşmanız istenir. Kimlik doğrulama sorunu senaryoda birden çok sunucuda olabilir. Bu nedenle, belirli bir senaryodaki tüm sunucuların ağır yüklere hizmet verirken performans verilerinin gözden geçirildiğinden emin olmanız gerekir.

Semafor alma sayaçları, semafor zaman aşımları ve ortalama semafor saklama süresi için istemci isteklerine hizmet veren tüm uygulama sunucularında, etki alanı denetleyicilerinde ve güvenilen etki alanı denetleyicilerinde gözden geçirilmelidir.

Sunucular ağır yük altındayken performans verilerinin izlenmesi gerekir. Sunucular en fazla istemci isteğini gördüğünde ağır yük oluşur. Örneğin, bir e-posta sunucusu senaryosunda performans verilerini toplamak için en iyi zaman, kullanıcıların işe gelip e-posta iletilerini denetlemeleridir.

Dikkat edilmesi gereken ek öğeler şunlardır:

  • Hiçbir değer, eylem gerektir olmadığı anlamına gelir. Semaphore Holders ve Semaphore Hold Time sayaçları, sunucuda sürekli yük olmadığı sürece herhangi bir değer göstermez. Değer yoksa MaxConcurrentApi değerinde değişiklik yapılması gerekmez.

  • Tek bir boyut tümüne sığmaz. MaxConcurrentApi değerinin her sunucu için farklı bir değer olması gerekebilir. Bu durum, birden çok uygulama sunucusu tek bir etki alanı denetleyicisinden kimlik doğrulaması kazandığından veya birden çok sunucunun etki alanı denetleyicisinin ilgilenmesi gereken daha büyük bir yük hacmi sağladığı benzer senaryolardan kaynaklanabilir.

  • Güven. Kimliği doğrulanan kullanıcılar güvenilen etki alanlarından geliyorsa, yerel etki alanı denetleyicisinin uygulama sunucusuna yanıt sağlamadan önce güvenilen etki alanı denetleyicisinin yanıtını beklemesi gerektiğinden bu durum daha uzun gecikmelere neden olabilir.

  • Ağ gecikme süresi. Ağ gecikmesi, MaxConcurrentApi performans sorunlarına neden olma konusunda da önemli bir rol oynayabilir. MaxConcurrentApi semaphore istemcilerin eski kimlik doğrulaması için süresiz olarak beklememesi için zaman tabanlı bir zaman aşımı sayacı kullandığında bu sorun oluşabilir.

  • Birlikte bulundurma. Ağ gecikmesi varsa ve MaxConcurrentApi iş parçacıklarını tamamlarken gecikmelere ve performans sorunlarına neden oluyorsa, ağ gecikme süresinin azaltılması için sunucuları aynı fiziksel konuma yerleştirmek yaygın bir çözümdür. Örneğin, güvenilen bir etki alanının Microsoft Exchange CAS sunucularına sahip olduğu ve kullanıcının etki alanının başka bir bölgede veya Active Directory sitesinde yer aldığı bir etki alanı modelinde, kullanıcının etki alanı denetleyicilerini Exchange CAS sunucuları ve etki alanı denetleyicileriyle aynı fiziksel konuma ve Active Directory sitesine yerleştirmek anlamına gelir.

  • Olası aşağı akış gecikmesi. Semaphore Waiters sayaç değeri herhangi bir zaman için sürekli olarak 0'dan (sıfır) büyükse ve Semaphore Holders değeri söz konusu sunucudaki MaxConcurrentApi ayarından küçükse, performans sorunu o sunucuda yer almaz. Bu durumda, ana bilgisayar tam etki alanı adı olarak listelenen sayaç adında belirtilen etki alanı denetleyicisine bakın. Bu etki alanı denetleyicisinin Semaphore Waiters ve Semaphore Holders performans verileri gözden geçirilmelidir.

  • Yükteki veya ağ yapılandırmasındaki değişiklikler. Hizmet vermekte olan yükte veya ağ yapılandırmalarında gelecekte yapılan değişiklikler ağ gecikme süresine neden olabilir ve doğru MaxConcurrentApi ayarının yeniden değiştirilmesine neden olabilir. Eski kimlik doğrulama biriminin MaxConcurrentApi ayarlarının incelendiği ölçüde görüldüğü ortamlar için, Net Logon performans nesnesi sayaçlarını sürekli izlemenizi ve gözden geçirmenizi kesinlikle öneririz. Bunu yapmak için zamanlanmış özel Perfmon.msc veri toplayıcılarını, Microsoft System Center Operations Manager'ı veya diğer yöntemleri kullanabilirsiniz.

  • Windows Server 2008 maksimum. Windows Server 2008'de ve Windows'un sonraki sürümlerinde MaxConcurrentApi için izin verilen en yüksek ayar 150'dir. Kullandığınız sunucu Windows Server 2008 R2 çalıştırmıyorsa kullanılabilir en fazla 150 ayarına sahip olmak için aşağıdaki Bilgi Bankası makalesinde açıklanan düzeltmeyi uygulayın:
    975363 Kimliği Doğrulanmış Hizmetlere bağlanırken zaman zaman kimlik bilgileri girmeniz veya zaman aşımları yaşamanız istenir

  • Windows Server 2003 üst sınırı. Windows Server 2003 ve önceki sürümlerde MaxConcurrentApi için izin verilen en yüksek ayar 10'dur.

  • Windows Server 2012 ve daha yeni Varsayılanlar. MaxConcurrentApi için varsayılan değer Windows Server 2012 değiştirildi. Üye Sunucular ve Etki Alanı Denetleyicileri için 10'dur. Üye İş İstasyonları için 1'de kalır.

  • Windows Server 2003 ve performans sayaçları. Windows Server 2003'ün özgün sürümünde Net Logon performans sayaçları yoktu. Eklemek için bir düzeltme uygulayabilirsiniz.

Yinelenen ve sürekli NTLM kimlik doğrulaması gerçekleştiren yetkisiz veya bilinmeyen istemcileri veya hizmetleri tanımlamak, genel NTLM kimlik doğrulama yükünü azaltmak ve dolayısıyla maxConcurrentApi semaphore'un kullandığı sayısını azaltmak istediğinizde yararlı olabilir. Bu şekilde yinelenen kimlik doğrulaması, Net Logon hizmeti hata ayıklama günlüğü kullanılarak tanımlanabilir. Net Logon hizmetinde hata ayıklamak için Netlogon.log dosyasını kullanma hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
109626 Net Logon hizmeti için hata ayıklama günlüğünü etkinleştirme

Güvenlik System-Wide İstatistikleri nesnesi altındaki NTLM kimlik doğrulamaları için Perfmon.msc sayacı, MaxConcurrentApi izlenen iş parçacığının kullanım sayısının yansıması değildir. Net Logon performans sayacında gösterilen MaxConcurrentApi semaphore kullanımı ile NTLM kimlik doğrulama sayacı artışları arasında bire bir bağıntı yoktur. NTLM kimlik doğrulama sayacı en iyi MaxConcurrentApi değerini belirlemede yararlı değildir.

Buna ek olarak, MaxConcurrentApi ile ilgili eski kimlik doğrulama performansı zaman aşımları büyük olasılıkla görülür ancak Net Logon sayacı dışında herhangi bir performans sayacına yansıtılmaz. Bu, MaxConcurrentApi yükü ağır olsa ve kullanıcılar sorun yaşıyor olsa bile CPU kullanımı ve disk ve ağ kullanımı gibi diğer performans ölçümlerinin yük göstermeyebileceği anlamına gelir.

Net Logon hizmeti hata ayıklama günlüğünde istemcilerin yerine domainname\usernamegönderdiğini <null>\username belirten girdileri olan etki alanı denetleyicilerinde ek bir en aza indirme yordamı gerçekleştirilebilir. Bu yordam, Microsoft Bilgi Bankası'ndaki aşağıdaki makalede açıklanmıştır:
923241 Bir Active Directory etki alanı denetleyicisinde çok fazla dış güvene sahipseniz Lsass.exe işlemi yanıt vermeyi durdurabilir