Triệu chứng
Bạn có thể gặp một hoặc nhiều hiện tượng sau. Hiện tượng này có thể bị gián đoạn hoặc liên tục. Hiện tượng này là hơn và phổ biến thời "cao cách sử dụng", chẳng hạn như bắt đầu một doanh nghiệp ngày khi gia tăng khách hàng tải xảy ra trên máy chủ trong môi trường.
Bạn có thể gặp phải các vấn đề sau trong một kịch bản dịch vụ web: bạn có thể gặp phải các vấn đề sau trong một kịch bản web proxy: bạn có thể gặp phải các vấn đề sau trong một kịch bản Exchange khách hàng: bạn có thể gặp phải vấn đề sau đây trong bất kỳ trường hợp trong đó NTLM xác thực được sử dụng cho các ứng dụng:
Dòng của doanh nghiệp hoặc tuỳ chỉnh các ứng dụng sử dụng NTLM xác thực không thành công. Ngoài ra, bạn có thể nhận được lỗi khác nhau được liên tục và có thể bao gồm "truy cập bị từ chối."Bạn có thể gặp phải các vấn đề sau trong một kịch bản truy cập tập tin từ xa:
Windows khách hàng nhận được lỗi "truy cập bị từ chối" hoặc bị trì hoãn câu trả lời từ máy chủ tệp.Bạn có thể gặp phải vấn đề sau đây trong bất kỳ trường hợp trong đó Kerberos đoàn đang được sử dụng trong dịch vụ trung cấp:
Khách hàng truy cập thành công ban đầu nhưng sau đó mất quyền truy cập vào tài nguyên tương tự. Ngoài ra, bạn có thể liên tục được nhắc nhập uỷ nhiệm hoặc gặp lỗi "truy cập bị từ chối".Lưu ý:
Nguyên nhân
Sự cố này xảy ra khi một số lượng lớn NTLM xác thực hoặc Kerberos PAC xác nhận giao dịch (hoặc cả hai) xảy ra trên máy chủ chạy Windows và ổ đĩa đó là lớn hơn khối lượng có thể được xử lý một lúc bằng máy chủ thành viên hoặc bộ điều khiển vùng đang cung cấp xác thực. Nói cách khác, điều này là do một nút cổ chai tài nguyên xác thực.
NTLM xác thực và PAC xác nhận được thực hiện bởi dành riêng cho chủ đề của trình Lsass.exe trên Windows trên máy tính. Có một số tối đa của các chủ đề được cung cấp để xử lý các yêu cầu cùng một lúc, và nếu các yêu cầu vượt quá sự sẵn có của các chủ đề và các yêu cầu không thể chờ, sự cố này xảy ra.
Theo mặc định, máy trạm có các chủ đề có sẵn để sử dụng và tài khoản của máy chủ có hai chủ đề có sẵn để sử dụng. Bộ điều khiển vùng có một chuỗi có một kênh bảo mật đáng tin cậy miền. Số này tối đa là chủ đề được dành riêng cho mục đích này được gọi là "Maxconcurrentapi" và là cấu hình.
Giải pháp
Để khắc phục sự cố, hãy sử dụng một hoặc nhiều phương pháp sau:
-
Cài đặt hotfix sau, và sau đó làm theo các bước được mô tả trong phần "thông tin đăng ký". Sau khi bạn cài đặt hotfix này trên Windows Vista, Windows Server 2008, Windows 7 hoặc Windows Server 2008 R2, maximumlimit đồng thời kết nối giữa máy khách và máy chủ khác hoặc điều khiển vùng cho NTLM xác thực hoặc PAC xác nhận có thể thay đổi lên đến 150. Này sẽ được thực hiện trên tất cả các máy chủ Hiển thị Perfmon Netlogon "semaphore chờ" chỉ dẫn trong Nhật ký hiệu suất của họ hoặc đã có bản "NlpUserValidateHigher: không thể cấp phát khe cắm máy khách API" văn bản trong bản ghi gỡ lỗi Netlogon của họ.
-
Ứng dụng và dịch vụ đang sử dụng NTLM, chỉ cần cấu hình để sử dụng xác thực Kerberos thay thế. Các phương pháp để làm điều đó sẽ được duy nhất cho các ứng dụng.
Lưu ý Để quyết định giá trị cho MaxConcurrentApi cài đặt trong môi trường của bạn tham khảo bài viết cơ sở kiến thức dưới đây.
2688798 làm thế nào để làm điều chỉnh hiệu năng cho NTLM xác thực bằng cách sử dụng thiết đặt MaxConcurrentApi
Thông tin về cập nhật nóng
Cập nhật nóng được hỗ trợ do Microsoft cung cấp. Tuy nhiên, cập nhật nóng này chỉ được dùng để khắc phục sự cố được mô tả trong bài viết này. Chỉ áp dụng hotfix này cho hệ thống đang gặp sự cố được mô tả trong bài viết này. Cập nhật nóng này có thể được kiểm tra thêm. Vì vậy, nếu bạn không bị ảnh hưởng nghiêm trọng bởi sự cố này, chúng tôi khuyên bạn đợi bản cập nhật phần mềm tiếp theo có chứa cập nhật nóng này.
Nếu cập nhật nóng này sẵn có để tải xuống thì sẽ có phần "Cập nhật nóng có sẵn để tải xuống" ở đầu bài viết Cơ sở Kiến thức này. Nếu phần này không xuất hiện, hãy liên hệ với Dịch vụ Khách hàng và Bộ phận Hỗ trợ của Microsoft để nhận được các cập nhật nóng.
Lưu ý Nếu sự cố khác xảy ra hoặc nếu cần khắc phục sự cố, bạn có thể phải tạo một yêu cầu dịch vụ riêng. Chi phí hỗ trợ thông thường sẽ tính cho các câu hỏi hỗ trợ bổ sung và các sự cố không phù hợp với cập nhật nóng cụ thể này. Để có danh sách đầy đủ số điện thoại của Bộ phận Hỗ trợ và Dịch vụ Khách hàng của Microsoft hoặc để tạo yêu cầu dịch vụ riêng, hãy truy cập website sau của Microsoft:
http://support.microsoft.com/contactus/?ws=supportLưu ý Mẫu "Tải xuống cập nhật nóng sẵn có" hiển thị các ngôn ngữ mà cập nhật nóng này sẵn có. Nếu bạn không thấy ngôn ngữ của mình thì đó là do cập nhật nóng này hiện không có ngôn ngữ đó.
Điều kiện tiên quyết
Để áp dụng hotfix này, máy tính của bạn phải đang chạy Windows 7, Windows Server 2008 R2, Windows Vista gói dịch vụ 2 hoặc Windows Server 2008 gói dịch vụ 2.
Thông tin đăng ký
Quan trọng Phần, phương pháp hoặc tác vụ này chứa các bước chỉ dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, sự cố nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không đúng. Vì vậy, hãy đảm bảo bạn làm theo các bước sau đây một cách cẩn thận. Để bảo vệ tốt hơn, sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
322756 cách sao lưu và khôi phục sổ đăng ký trong WindowsSau khi bạn cài đặt hotfix, tăng giá trị Maxconcurrentapi một số lượng lớn trên tất cả máy chủ mà có Perfmon Netlogon "semaphore timeout" chỉ dẫn trong Nhật ký hiệu suất của họ hoặc có "NlpUserValidateHigher: không thể cấp phát khe cắm máy khách API" văn bản trong bản ghi gỡ lỗi Netlogon của họ. Để thực hiện việc này, hãy làm theo các bước sau:ghi chú
Yêu cầu khởi động lại
Bạn phải khởi động lại máy tính sau khi áp dụng bản sửa lỗi này.
Thông tin thay thế cập nhật nóng
Cập nhật nóng này không thay thế cập nhật nóng được phát hành trước đó.
Thông tin về tệp
Phiên bản tiếng Anh (Hoa Kỳ) của hotfix này cài đặt các tệp có các thuộc tính được liệt kê trong bảng sau. Ngày và giờ của các tệp này được liệt kê theo Giờ Phối hợp Quốc tế (UTC). Ngày và giờ của các tệp này trên máy tính cục bộ của bạn được hiển thị theo giờ địa phương cùng với độ lệch giờ mùa hè (DST) hiện tại của bạn. Ngoài ra, ngày và giờ cũng có thể thay đổi khi bạn thực hiện các thao tác nhất định trên tệp.
-
Tệp MANIFEST (.manifest) và các tệp MUM (.mum) được cài đặt cho từng môi trường là liệt kê riêng trong phần "thông tin tệp bổ sung dành cho Windows Vista và Windows Server 2008". MUM và tệp MANIFEST cũng như các bảo mật liên quan (.cat) các tệp danh mục là rất quan trọng để duy trì trạng thái của cấu phần được Cập Nhật. Các tệp danh mục bảo mật, không được liệt kê các thuộc tính, được ký bằng chữ kỹ số của Microsoft.
Thông tin tệp Windows Vista và Windows Server 2008
Thông tin tệp cho x86 dựa trên các phiên bản của Windows Server 2008 và Windows Vista
|
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
592,896 |
16-Dec-2009 |
12:09 |
x86 |
|
Nlsvc.mof |
Không áp dụng |
2,873 |
03-Apr-2009 |
21:24 |
Không áp dụng |
Thông tin tệp cho x64 dựa trên các phiên bản của Windows Server 2008 và Windows Vista
|
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
716,800 |
16-Dec-2009 |
12:07 |
x64 |
|
Nlsvc.mof |
Không áp dụng |
2,873 |
03-Apr-2009 |
20:58 |
Không áp dụng |
Thông tin tệp cho các phiên bản dựa trên IA-64 của Windows Server 2008
|
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
1,216,512 |
16-Dec-2009 |
12:05 |
IA-64 |
|
Nlsvc.mof |
Không áp dụng |
2,873 |
03-Apr-2009 |
20:59 |
Không áp dụng |
Thông tin tệp Windows 7 và Windows Server 2008 R2
Ghi chú về thông tin tệp cho Windows 7 và Windows Server 2008 R2
Quan trọng Windows 7 và cập nhật nóng Windows Server 2008 R2 được bao gồm trong cùng gói. Tuy nhiên, cập nhật nóng trên trang Yêu cầu Cập nhật nóng được liệt kê trong cả hai hệ điều hành. Để yêu cầu gói hotfix áp dụng một hoặc cả hai hệ điều hành, hãy chọn hotfix được liệt kê trong "Windows 7/Windows Server 2008 R2" trên trang. Luôn tham khảo phần "Áp dụng cho" trong bài viết để xác định hệ điều hành thực mà mỗi hotfix áp dụng.
-
Các tệp MANIFEST (.manifest) và các tệp MUM (.mum) được cài đặt cho từng môi trường được liệt kê riêng trong phần "Thông tin tệp bổ sung cho Windows Server 2008 R2 và Windows 7". MUM và tệp MANIFEST cũng như các bảo mật liên quan (.cat) các tệp danh mục là rất quan trọng để duy trì trạng thái của cấu phần được Cập Nhật. Các tệp danh mục bảo mật, không được liệt kê các thuộc tính, được ký bằng chữ kỹ số của Microsoft.
Đối với tất cả phiên bản dựa trên x86 được hỗ trợ của Windows 7
|
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
563,712 |
16-Nov-2009 |
06:40 |
x86 |
|
Nlsvc.mof |
Không áp dụng |
2,873 |
10-Jun-2009 |
21:29 |
Không áp dụng |
Đối với tất cả các phiên bản dựa trên x64 được hỗ trợ của Windows 7 và Windows Server 2008 R2
|
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
692,736 |
16-Nov-2009 |
07:45 |
x64 |
|
Nlsvc.mof |
Không áp dụng |
2,873 |
10-Jun-2009 |
20:47 |
Không áp dụng |
Đối với tất cả phiên bản dựa trên IA-64 được hỗ trợ của Windows Server 2008 R2
|
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
1,148,416 |
16-Nov-2009 |
06:10 |
IA-64 |
|
Nlsvc.mof |
Không áp dụng |
2,873 |
10-Jun-2009 |
20:52 |
Không áp dụng |
Trạng thái
Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".
Thông tin
Hotfix này được bao gồm trong Windows 7 gói dịch vụ 1 (SP1) và Windows Server 2008 R2 gói dịch vụ 1 (SP1).
MaxConcurrentApi thiết lập và cài đặt mặc định cho nó là một di sản của Windows 2000 và khả năng phần cứng giới hạn thời gian đó. Với phần cứng cũ hơn, cho phép các chủ đề và lưu lượng truy cập RPC họ sẽ tạo ra là một mối quan tâm nghiêm trọng và đã có khả năng xảy ra tắc nghẽn hiệu suất nếu quá nhiều chủ đề được tạo ra. Nền tảng phần cứng mới và cải tiến hiệu suất, giới hạn hiệu suất phần cứng đó là ít có khả năng xảy ra. Như thường lệ, rất quan trọng để đánh giá và tìm hiểu hiệu suất của máy chủ trong một môi trường trước khi bạn tăng tải tiềm năng bằng cách sử dụng thiết đặt MaxConcurrentApi cao.
Để biết thêm thông tin về cách sử dụng dịch vụ Netlogon gỡ lỗi đăng nhập (Netlogon.log), nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
109626 cho phép gỡ lỗi đăng nhập dịch vụ đăng nhập mạngMột bước lessening bổ sung có thể được thực hiện trên bộ điều khiển dựa trên Windows Server 2003 tên miền có mục trong dịch vụ Netlogon gỡ lỗi đăng nhập cho biết khách hàng đang gửi < null > \tên người dùng thay vì domainname\tên người dùng. Các bước được mô tả trong bài viết sau trong cơ sở kiến thức Microsoft:
923241 quy trình Lsass.exe có thể ngừng đáp ứng nếu bạn có độ tin cậy bên ngoài nhiều bộ điều khiển miền chạy trên Windows Server 2003Thông tin về cách sử dụng đối tượng giám sát hiệu suất Netlogon có sẵn, cùng với bản cập nhật thêm đối tượng hiệu suất trong Windows Server 2003. Bản Cập Nhật cho Windows Server 2003 cho phép bạn theo dõi tốc độ và thông lượng của NTLM ́c thực không. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
928576 mới hiệu suất quầy cho Windows Server 2003 cho phép bạn theo dõi hiệu suất của Netlogon xác thực
Bản Cập Nhật cho Windows Server 2008 R2 giới thiệu các sự kiện mới để theo dõi Netlogoan API quá tải có:
Mục Nhật ký sự kiện mới theo dõi NTLM xác thực chậm trễ và thất bại trong Windows Server 2008 R2 có sẵn
http://support.Microsoft.com/default.aspx?scid=kB; EN-US; 2654097
Để biết thêm thông tin về thuật ngữ cập nhật phần mềm, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
824684
Mô tả thuật ngữ chuẩn được sử dụng để mô tả các bản cập nhật phần mềm của Microsoft
Thông tin tệp bổ sung
Thông tin tệp bổ sung dành cho Windows Vista và Windows Server 2008
Thông tin tệp bổ sung cho x86 dựa trên các phiên bản của Windows Vista và Windows Server 2008
|
Tên tệp |
Update.mum |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
3.068 người |
|
Ngày (UTC) |
16-Dec-2009 |
|
Thời gian (UTC) |
21:16 |
|
Nền tảng |
Không áp dụng |
|
Tên tệp |
X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
705 |
|
Ngày (UTC) |
16-Dec-2009 |
|
Thời gian (UTC) |
21:16 |
|
Nền tảng |
Không áp dụng |
|
Tên tệp |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
22,701 |
|
Ngày (UTC) |
16-Dec-2009 |
|
Thời gian (UTC) |
14:05 |
|
Nền tảng |
Không áp dụng |
Thông tin tệp bổ sung cho x64 dựa trên các phiên bản của Windows Server 2008 và Windows Vista
|
Tên tệp |
Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
1,060 |
|
Ngày (UTC) |
16-Dec-2009 |
|
Thời gian (UTC) |
21:16 |
|
Nền tảng |
Không áp dụng |
|
Tên tệp |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
23,180 |
|
Ngày (UTC) |
16-Dec-2009 |
|
Thời gian (UTC) |
15:52 |
|
Nền tảng |
Không áp dụng |
|
Tên tệp |
Update.mum |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
3,092 |
|
Ngày (UTC) |
16-Dec-2009 |
|
Thời gian (UTC) |
21:16 |
|
Nền tảng |
Không áp dụng |
|
Tên tệp |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
18,332 |
|
Ngày (UTC) |
16-Dec-2009 |
|
Thời gian (UTC) |
14:00 |
|
Nền tảng |
Không áp dụng |
Thông tin tệp bổ sung cho các phiên bản dựa trên IA-64 của Windows Server 2008
|
Tên tệp |
Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
1.058 |
|
Ngày (UTC) |
16-Dec-2009 |
|
Thời gian (UTC) |
21:16 |
|
Nền tảng |
Không áp dụng |
|
Tên tệp |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
23,156 |
|
Ngày (UTC) |
16-Dec-2009 |
|
Thời gian (UTC) |
16:08 |
|
Nền tảng |
Không áp dụng |
|
Tên tệp |
Update.mum |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
2,247 |
|
Ngày (UTC) |
16-Dec-2009 |
|
Thời gian (UTC) |
21:16 |
|
Nền tảng |
Không áp dụng |
|
Tên tệp |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
Phiên bản tệp |
Không áp dụng |
|
Kích thước tệp |
18,332 |
|
Ngày (UTC) |
16-Dec-2009 |
|
Thời gian (UTC) |
14:00 |
|
Nền tảng |
Không áp dụng |
Thông tin tệp bổ sung dành cho Windows 7 và Windows Server 2008 R2
Các tệp bổ sung cho tất cả phiên bản dựa trên x86 được hỗ trợ của Windows 7
|
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
|---|---|---|---|---|---|
|
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
Không áp dụng |
1,947 |
16-Nov-2009 |
09:45 |
Không áp dụng |
|
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest |
Không áp dụng |
35,541 |
16-Nov-2009 |
08:08 |
Không áp dụng |
Các tệp bổ sung cho tất cả phiên bản dựa trên x64 được hỗ trợ của Windows 7 và Windows Server 2008 R2
|
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest |
Không áp dụng |
35,547 |
16-Nov-2009 |
08:11 |
Không áp dụng |
|
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
Không áp dụng |
2.181 |
16-Nov-2009 |
09:45 |
Không áp dụng |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Không áp dụng |
16,596 |
16-Nov-2009 |
08:01 |
Không áp dụng |
Các tệp bổ sung cho tất cả phiên bản dựa trên IA-64 được hỗ trợ của Windows Server 2008 R2
|
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
|---|---|---|---|---|---|
|
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest |
Không áp dụng |
35,544 |
16-Nov-2009 |
09:06 |
Không áp dụng |
|
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
Không áp dụng |
1.683 người |
16-Nov-2009 |
09:45 |
Không áp dụng |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
Không áp dụng |
16,596 |
16-Nov-2009 |
08:01 |
Không áp dụng |
