你目前正处于脱机状态,正在等待 Internet 重新连接

如何通过使用 MaxConcurrentApi 设置 NTLM 身份验证的性能调整

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 2688798
简介
最近,没有 upswing 消费企业信息技术,以及面向客户的设备 (如智能手机和平板电脑的增加中。这增加的公司可能会遇到大量增加他们的企业环境中传统的身份验证方案的编号。这种增长的传统的身份验证的客户端可能导致性能问题,例如延迟或超时。

身份验证超时或延迟,也称为 MaxConcurrentApi 瓶颈,这在环境中,您会发现解决问题的典型方法时引发的最大允许的工作线程该服务的身份验证。您可以通过更改 MaxConcurrentApi 注册表值,然后重新启动 Net Logon 服务的服务器上执行此操作。

确定哪些服务器瓶颈的受害者,哪些服务器是实际上的瓶颈的延迟源可能会比较困难。本文介绍如何通过 MaxConcurrentApi 设置为 NT LAN 管理器 (NTLM) 身份验证的性能调整。这篇文章包含用于标识要对其引发的 MaxConcurrentApi 值以及该值应设置为服务器的管理员的指导。
解决方案
重要 此部分、 方法或任务包含说明如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重的问题。因此,请确保您小心地执行这些步骤。然后,备份注册表之前对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表
若要解决此问题,您必须检查来自该方案中涉及的所有服务器的性能数据。然后,您可以尝试增加性能显示丢失这些服务器上的 MaxConcurrentApi 设置。

注意网络登录性能对象计数器可以一致地显示了身份验证的瓶颈的唯一的性能数据计数器。默认情况下,通过这些计数器都有更高版本的操作系统版本和 Windows Server 2008 中。在以下知识库文章中详细讨论了网络登录性能对象:
928576对于 Windows Server 2003 的新性能计数器可以监视性能的网络登录身份验证
若要确定最佳的 MaxConcurrentApi 值,您的服务器,必须组合在一起并使用公式计算的几个数据点。要用来估计 MaxConcurrentApi 的数据,如下所示:
  • Net 登录信号获取
  • Net 登录信号超时
  • 信号量的平均存放时间的网络登录
  • 完成日志记录的性能的持续时间,以秒为单位。
获取数据后,可以使用以下公式,以估计正确的 MaxConcurrentApi 值:
(semaphore_acquires+semaphore_time 版本) * average_semaphore_hold_time / time_collection_length = New_MaxConcurrentApi_setting
从网络登录性能数据收集服务器的身份验证负载的情况下,时间后,您应该确定在数据收集过程的持续时间通过查看时间线视图的开始和结束时间。

"获取信号量"和"信号量超时"是指示在数据收集过程中出现的方式多次超时的累积数字。性能监视器 (Perfmon.msc) 中使用单行视图时的起始编号必须减去的最后一个编号。然后,您可以使用此计算的数字的公式,新的 MaxConcurrentApi 设置中。

通过从行视图的默认视图改为在 Perfmon.msc 中的报表视图,可以确定信号量的平均等待时间。例如,如果获取了信号量值是 8,286,信号量的超时值是 883、 信号量的平均等待时间是.5 (即半秒),和报告的持续时间为 90 秒,公式将如下:
(8,286 + 883) *.5 / 90 =<>

如果公式从派生值为 150 或更大,则应添加更多服务器以提供服务的传统的身份验证负载。

如果该值小于 150,您应修改建议按此公式的值或较大的值为该服务器上的 MaxConcurrentApi 注册表值。为此,请执行以下步骤:
  1. 单击 启动单击 运行类型 注册表编辑器然后单击 确定.
  2. 找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. 在上 编辑 菜单上指向 然后单击双字节值.
  4. 类型 MaxConcurrentApi然后按 Enter 键。
  5. 在上 编辑 菜单上,单击 修改.
  6. 以十进制表示,键入新的 MaxConcurrentApi 设置,然后单击确定.
  7. 在命令提示符下键入下面的命令,然后按 Enter 键:
    net stop netlogon
  8. 键入下面的命令,然后按 Enter 键:
    net start netlogon
更多信息
下面的知识库文章可用于标识客户端的传统的身份验证的详细信息的瓶颈的症状:
975363 间歇性地提示输入凭据,或连接到经过身份验证服务时遇到超时
身份验证瓶颈可能是在方案中的多个服务器上。因此,您必须确保在给定方案中的所有服务器都有他们审查是忙于处理大量负载的性能数据。

获取信号量的计数器,用于信号超时,并平均信号量的保留时间必须检查所有的应用程序服务器、 域控制器和客户端请求提供服务所涉及的受信任的域控制器上。

服务器负载下时,必须跟踪的性能数据。负载过重的服务器,请参阅大多数客户端请求时发生。例如,在电子邮件服务器方案中,收集的性能数据的最佳时间是用户到达工作并检查他们的电子邮件时。

供考虑的其他项如下所示:
  • 没有值意味着无需任何操作。 " 信号量持有者 信号量保持时间 除非有持续的服务器上的负载,计数器将不显示任何值。如果不没有存在任何值,则不需要 MaxConcurrentApi 值中的任何更改。
  • 一种尺寸不适合所有。MaxConcurrentApi 值都必须为每个服务器不同的值。由多个应用程序服务器获得来自单个域控制器身份验证或类似的方案中的多个服务器提供更大的卷的负载情况下,会导致这种情况下使用的域控制器必须处理。
  • 信任关系。如果受信任的域进行身份验证的用户,这可能导致较长的延迟,因为本地域控制器必须等待来自受信任的域控制器的答复之前的本地域控制器提供了对应用程序服务器的响应。
  • 网络滞后时间。网络滞后时间还可以播放中导致 MaxConcurrentApi 瓶颈的主要因素。发生这种情况时,MaxConcurrentApi 信号量使用基于时间的超时计数器,因此传统的身份验证的客户端不无限期地等待。
  • 延迟可能是下游。 如果 信号量保持时间 任何时间计数器的值是持续大于 0 (零) 和 信号量持有者 值小于该服务器上的 MaxConcurrentApi 设置、 瓶颈不在该服务器上。在这种情况下,看起来中列为主机计算机的完全合格的域名的计数器名称所引用的域控制器。这个域控制器信号量保持时间 信号量持有者 应查看性能数据。
  • 在加载或网络配置的更改。将来的更改或网络配置中正在处理的负载可能会产生网络延迟,可能需要确定正确的 MaxConcurrentApi 会导致再次设置。对于 MaxConcurrentApi 设置了所检查的范围内,传统的身份验证卷可见的环境,我们强烈建议您不断地监视并查看网络登录性能对象计数器。通过使用计划的自定义 Perfmon.msc 数据收集器、 使用系统中心操作管理器中,或使用其他方法,您可以执行此操作。
  • Windows Server 2008 的最大值。MaxConcurrentApi 及更高版本 Windows Server 2008 中所允许的最大设置为 150。您必须将应用有 150 最大可用的设置,如果您正在使用的服务器未运行 Windows Server 2008 R2 以下知识库文章中描述的修补程序:
    975363 间歇性地提示输入凭据,或连接到经过身份验证服务时遇到超时
  • Windows Server 2003 的最大值。在 Windows Server 2003 和早期版本的 MaxConcurrentApi 所允许的最大设置为 10。
  • Windows Server 2003 和性能计数器。Windows Server 2003 的原始版本中不包含网络登录性能计数器。他们不得不通过修补程序添加。有关如何添加这些计数器的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    928576 对于 Windows Server 2003 的新性能计数器可以监视性能的 Netlogon 身份验证
识别未经授权的或未知的客户端或服务,所做工作重复和连续的 NTLM 身份验证很有用时您希望减少总的 NTLM 身份验证负载,从而最终减少 MaxConcurrentApi 信号使用的次数。重复身份验证,以这种方式可以标识使用 Net Logon 服务调试日志记录。有关如何使用 Netlogon.log 文件来调试网络登录服务的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
109626 启用调试日志记录的网络登录服务
注意,NTLM 身份验证下的 Perfmon.msc 计数器安全系统范围内的统计信息对象不是使用 MaxConcurrentApi 跟踪线程数的结果。没有任何显示在网络登录性能计数器 MaxConcurrentApi 信号使用 NTLM 身份验证计数器的递增之间的一对一关系。NTLM 身份验证计数器不是可用于确定最佳的 MaxConcurrentApi 值。

此外,则很可能会看到和不会反映在网络登录计数器以外的其他任何性能计数器与 MaxConcurrentApi 相关的传统的身份验证性能超时。这意味着使用其他性能测量数据 (如 CPU 和磁盘和网络使用可能会显示任何负载,而 MaxConcurrentApi 负载很重,用户有问题。

可以具有其 Net Logon 服务调试日志中的项指示客户机要提交<null>\</null>的域控制器上执行其他步骤,最小化用户名 而不是 域名称\用户名.下面的 Microsoft 知识库文章中介绍的步骤:
923241 Lsass.exe 进程可能会停止响应,如果您在基于 Windows Server 2003 的域控制器上有多个外部信任

属性

文章 ID:2688798 - 上次审阅时间:03/26/2012 22:49:00 - 修订版本: 1.1

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86), Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003, Standard x64 Edition

  • kbhowto kbinfo kbperformance kbexpertiseinter kbsurveynew kbmt KB2688798 KbMtzh
反馈