如何为大量身份验证请求配置 ISA 服务器计算机
本分步文章介绍如何在运行 Microsoft Internet Security and Acceleration (ISA) Server 的计算机上提高身份验证吞吐量。
适用于: Windows Server 2012 R2
原始 KB 编号: 326040
重要
本文包含有关如何修改注册表的信息。 修改注册表之前,一定要先对其进行备份。 并且一定要知道在发生问题时如何还原注册表。 有关如何备份、还原和修改注册表的详细信息,请单击以下文章编号以查看 Microsoft 知识库中的文章: 256986 Microsoft Windows 注册表的说明
摘要
如果计算机对许多 Web 客户端使用 NTLM 或基本身份验证,则可能会遇到性能不佳的问题。 关闭身份验证时不会发生此问题。
可以通过增加在 ISA 服务器计算机和域控制器之间同时进行的并发身份验证调用数来提高身份验证吞吐量。
默认情况下,Windows 成员服务器最多只发出两个并发 NTLM 身份验证请求。 Windows 域控制器仅支持与远程 (用户) 域控制器的每个会话一个并发身份验证请求。
添加注册表项
警告
如果使用注册表编辑器或使用其他方法错误地修改了注册表,则可能会发生严重问题。 这些问题可能需要重新安装操作系统才能解决。 Microsoft 不能保证可以解决这些问题。 修改注册表的风险由您自行承担。
请按照以下步骤在 ISA 服务器计算机和域控制器之间同时增加正在进行的并发身份验证调用数。
启动注册表编辑器。 为此,请单击“ 开始 ”,单击“ 运行”,键入 Regedt32.exe,然后单击“ 确定”。
找到以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters在 “编辑 ”菜单上,单击“ 添加值”,然后添加以下注册表信息:
- 值名称:MaxConcurrentApi
- 数据类型:REG_DWORD
- 值:介于 0 和 10 之间。
Windows 2008 R2 最大值为 150。
重启 NETLOGON 服务。 若要使用更高的值,需要安装更新: 975363 当从高延迟网络中远程域的用户从域成员发送许多 NTLM 身份验证请求时,会发生超时错误。
注意
将 MaxConcurrentApi 条目的值增加到大于 5 的值时,请确保监视发送到域控制器的请求数。
如果你有一台运行 Microsoft Windows 2000 高级服务器的计算机,则可以使用网络负载均衡组件 (以前称为 Windows 2000 高级服务器的 WLBS) 在多个 IAS 服务器之间分发传入的访问请求。 这有助于在网络流量较高时提高服务器的性能。
若要对 Web 请求和身份验证进行负载均衡并提高性能,还可以在数组中使用更多 ISA Server 计算机。
应在资源服务器和处理用户域路径上的 NTLM 身份验证请求的所有中间 DC 上设置值。 在多级 Active Directory 林 contoso.com 中,域与用户 users.contoso.com,资源服务器 servers.contoso.com,这意味着必须在 server.contoso.com 中的资源服务器和 DC 上设置此设置,并在 contoso.com 中的 DC 上设置此设置。
提高性能的另一种方法可能是使用 Kerberos 对客户端计算机进行身份验证,但 Internet Explorer 6 及更早版本不支持此操作。 早些 时候。
References
有关 Windows Server 2008 R2 更新的信息,该更新增加了上述限制:
975363 当从高延迟网络中运行 Windows Server 2008 R2 或 Windows 7 的计算机发送许多 NTLM 身份验证请求时,会发生超时错误
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈