症状
您可能会遇到一个或多个以下症状。这些症状可能是间歇性或持续。有这些症状的可能性更大和更广泛期间"使用率过高",如在业务开始增加的客户端加载时的一天发生在环境中的服务器上。
您可能会遇到 web 服务方案中的以下问题︰ 您可能会遇到 web 代理服务器方案中的以下问题︰ 您可能会遇到以下问题在 Exchange 客户端方案︰ 您可能会遇到以下问题在任何方案中的 NTLM 身份验证用于应用程序︰
业务线或自定义应用程序使用 NTLM 身份验证失败。此外,您可能会收到不同的错误,是间歇性,可能包括"访问被拒绝"。您可能会遇到远程文件访问方案中的下列问题︰
Windows 客户端收到"访问被拒绝"错误,或从文件服务器的响应延迟。您可能会遇到以下问题在任何方案中的 Kerberos 委派中正在使用的中间层服务︰
客户端访问开始时成功,但然后失去了对相同的资源访问。此外,您可能会反复提示您输入凭据,或出现"访问被拒绝"错误。备注:
原因
当有大量的 NTLM 身份验证时,会发生此问题或 Kerberos PAC 验证交易记录 (或两者) 出现在基于 Windows 的服务器上,且该卷大于卷可由提供身份验证的域控制器或成员服务器一次处理。换句话说,这被因为通过身份验证的资源瓶颈。
在基于 Windows 的计算机上 Lsass.exe 进程中的专用线程执行 NTLM 身份验证和 PAC 验证。没有这些线程可用于处理这些请求,在同一时间,最大的数,并且如果请求超过可用的线程,并且请求不能再等待了,会发生此问题。
默认情况下,工作站有一个线程可供使用,和成员服务器有两个可供使用的线程。域控制器到信任域有一个可用线程,每个安全通道。此最大数目的线程专用于此目的的被称为"Maxconcurrentapi"并进行配置。
解决方案
若要解决此问题,请使用一个或多个下列方法︰
-
安装以下修补程序,,然后按照"注册表信息"一节中描述的步骤。之后您安装此修补程序在 Windows Vista、 Windows Server 2008,Windows 7 或 Windows Server 2008 R2, maximumlimit的客户端计算机之间的另一台服务器的并发连接,或 NTLM 身份验证或 PAC 验证的域控制器可能会更改多达 150。应在所有服务器上 Perfmon Netlogon 中其性能日志或"信号超时"的迹象已经表现出"NlpUserValidateHigher︰ 无法分配客户端 API 槽"及其 Netlogon 调试日志中的文本。
-
为应用程序和服务使用 NTLM,只需将其配置为改为使用 Kerberos 身份验证。要做到这一点的方法是唯一的那些应用程序。
注意:为了决定为 MaxConcurrentApi 设置的值在您环境中请参阅下面的知识库文章。
2688798如何执行 NTLM 身份验证使用的 MaxConcurrentApi 设置的性能调整
修补程序信息
可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。此修复程序仅适用于系统遇到本文中描述的问题。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。
如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。
注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码的完整列表,或要创建单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。
系统必备组件
要应用此修补程序,您的计算机必须运行 Windows 7,Windows Server 2008 R2,Windows Vista Service Pack 2 或 Windows 服务器 2008 Service Pack 2。
注册表信息
重要:此部分、 方法或任务包含一些介绍如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重的问题。因此,请确保仔细按照下列步骤操作。为增加保护,对其进行修改之前备份注册表。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表安装此修复程序后,将Maxconcurrentapi值增加到所有服务器,其性能日志具有 Perfmon Netlogon"信号超时"的迹象或具有更多"NlpUserValidateHigher︰ 无法分配客户端 API 槽"及其 Netlogon 调试日志中的文本。若要执行此操作,请执行以下步骤︰注释
重启要求
应用此修补程序后,必须重新启动计算机。
修补程序替换信息
此修补程序不替代以前发布的修补程序。
文件信息
此修复程序的英语 (美国) 版本将安装具有下表中列出的属性的文件。这些文件的日期和时间以协调世界时 (UTC) 列出。您的本地计算机上这些文件的日期和时间以您的本地时间加上当前夏令时 (DST) 偏差显示。此外,当您对文件执行某些操作时,日期和时间可能会更改。
-
清单文件 (.manifest) 和菊花安装的文件 (.mum) 为每个环境都单独列出"Windows Vista 和 Windows Server 2008 的其它文件信息"部分中。菊花和清单文件和关联的安全目录 (.cat) 文件,是为维护更新组件的状态非常重要。对其属性没有列出的安全目录文件已签署 Microsoft 数字签名。
对于 Windows Vista 和 Windows Server 2008 的文件信息
对于基于 x86 的版本的文件信息的 Windows Vista 和 Windows Server 2008
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
592,896 |
16-Dec-2009 |
12:09 |
x86 |
|
Nlsvc.mof |
不适用 |
2,873 |
03-Apr-2009 |
21:24 |
不适用 |
文件信息基于 x64 版本的 Windows Vista 和 Windows Server 2008
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
716,800 |
16-Dec-2009 |
12:07 |
x64 |
|
Nlsvc.mof |
不适用 |
2,873 |
03-Apr-2009 |
20:58 |
不适用 |
Windows Server 2008 的基于 IA-64 的版本文件信息
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.0.6002.22289 |
1,216,512 |
16-Dec-2009 |
12:05 |
IA-64 |
|
Nlsvc.mof |
不适用 |
2,873 |
03-Apr-2009 |
20:59 |
不适用 |
Windows 7 和 Windows Server 2008 R2 的文件信息
Windows 7 和 Windows Server 2008 R2 文件信息备注
重要:相同的软件包中包含 Windows 7 的修复程序和 Windows Server 2008 R2 的修复程序。但是,热修复程序请求页上的修补程序在这两个操作系统中列出。要请求适用于其中一个或两个操作系统修补程序包,请选择此修补程序在"Windows 7/Windows Server 2008 R2"页上列出。始终参考文章,以确定每个修补程序应用于实际的操作系统中的"适用于"部分。
-
为每个环境安装的 MANIFEST 文件 (.manifest) 和 MUM 文件 (.mum) 在“Windows Server 2008 R2 和 Windows 7 的其他文件信息”部分单独列出。菊花和清单文件和关联的安全目录 (.cat) 文件,是为维护更新组件的状态非常重要。对其属性没有列出的安全目录文件已签署 Microsoft 数字签名。
对于所有受支持的基于 x86 的 Windows 7 版本
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
563,712 |
16-Nov-2009 |
06:40 |
x86 |
|
Nlsvc.mof |
不适用 |
2,873 |
10-Jun-2009 |
21:29 |
不适用 |
对于所有受支持的基于 x64 版本的 Windows 7 以及 Windows Server 2008 R2
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
692,736 |
16-Nov-2009 |
07:45 |
x64 |
|
Nlsvc.mof |
不适用 |
2,873 |
10-Jun-2009 |
20:47 |
不适用 |
对于所有受支持的基于 IA-64 的 Windows Server 2008 R2 版本
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.20576 |
1,148,416 |
16-Nov-2009 |
06:10 |
IA-64 |
|
Nlsvc.mof |
不适用 |
2,873 |
10-Jun-2009 |
20:52 |
不适用 |
状态
Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。
详细信息
此修复程序包含在 Windows 7 Service Pack 1 (SP1) 和 Windows 服务器 2008 R2 Service Pack 1 (SP1)。
MaxConcurrentApi设置,并为它的默认设置是旧式的 Windows 2000 和那时的有限的硬件功能。较旧的硬件,允许其他线程,它们会生成 RPC 通信是一个严重的问题,如果过多的线程被创建时的性能瓶颈的可能性。使用较新的硬件平台和更好的性能,该硬件的性能限制是不太可能发生。与以往一样,十分重要,来测量和了解环境中的服务器的性能之前您增加潜在负载使用较高的MaxConcurrentApi设置。
有关如何使用 Netlogon 服务调试日志记录 (Netlogon.log),请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章︰
109626启用调试日志记录的 Net Logon 服务Lessening 的一个附加步骤可以在基于 Windows Server 2003 的域控制器上具有其 Netlogon 服务调试日志中的条目指示客户机要提交 < 空 > 执行 \用户名而不是域名\用户名。在下面的 Microsoft 知识库文章中介绍的步骤︰
923241 Lsass.exe 进程可能会停止响应如果您在基于 Windows Server 2003 的域控制器上有多个外部信任关系有关如何使用 Netlogon 性能监视对象的详细信息是可用的以及在 Windows Server 2003 中添加性能对象的更新。没有允许您监视的速度和吞吐量的 NTLM 身份验证的 Windows Server 2003 的更新。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
928576新的 Windows Server 2003 的性能计数器可以监视性能的 Netlogon 身份验证
没有更新的 Windows Server 2008 R2 引入新的事件来跟踪 Netlogoan API 重载︰
新跟踪 NTLM 身份验证的延迟和 Windows Server 2008 R2 中的失败的事件日志条目都可用
http://support.microsoft.com/default.aspx?scid=kb;EN-US; 2654097
有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684
用来描述 Microsoft 软件更新的标准术语的说明
其他文件信息
对于 Windows Vista 和 Windows Server 2008 的附加文件信息
其他文件信息基于 x86 版本的 Windows Vista 和 Windows Server 2008 的
|
文件名称 |
Update.mum |
|
文件版本 |
不适用 |
|
文件大小 |
3,068 |
|
日期(UTC) |
16-Dec-2009 |
|
时间 (UTC) |
21:16 |
|
平台 |
不适用 |
|
文件名称 |
X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
705 |
|
日期(UTC) |
16-Dec-2009 |
|
时间 (UTC) |
21:16 |
|
平台 |
不适用 |
|
文件名称 |
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
22,701 |
|
日期(UTC) |
16-Dec-2009 |
|
时间 (UTC) |
14:05 |
|
平台 |
不适用 |
其他文件信息基于 x64 版本的 Windows Vista 和 Windows Server 2008
|
文件名称 |
Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
1,060 |
|
日期(UTC) |
16-Dec-2009 |
|
时间 (UTC) |
21:16 |
|
平台 |
不适用 |
|
文件名称 |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
23,180 |
|
日期(UTC) |
16-Dec-2009 |
|
时间 (UTC) |
15:52 |
|
平台 |
不适用 |
|
文件名称 |
Update.mum |
|
文件版本 |
不适用 |
|
文件大小 |
3,092 |
|
日期(UTC) |
16-Dec-2009 |
|
时间 (UTC) |
21:16 |
|
平台 |
不适用 |
|
文件名称 |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
18,332 |
|
日期(UTC) |
16-Dec-2009 |
|
时间 (UTC) |
14:00 |
|
平台 |
不适用 |
Windows Server 2008 基于 IA-64 的版本的其他文件信息
|
文件名称 |
Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
1,058 |
|
日期(UTC) |
16-Dec-2009 |
|
时间 (UTC) |
21:16 |
|
平台 |
不适用 |
|
文件名称 |
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
23,156 |
|
日期(UTC) |
16-Dec-2009 |
|
时间 (UTC) |
16:08 |
|
平台 |
不适用 |
|
文件名称 |
Update.mum |
|
文件版本 |
不适用 |
|
文件大小 |
2,247 |
|
日期(UTC) |
16-Dec-2009 |
|
时间 (UTC) |
21:16 |
|
平台 |
不适用 |
|
文件名称 |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest |
|
文件版本 |
不适用 |
|
文件大小 |
18,332 |
|
日期(UTC) |
16-Dec-2009 |
|
时间 (UTC) |
14:00 |
|
平台 |
不适用 |
Windows 7 和 Windows Server 2008 R2 的附加文件信息
所有受支持的基于 x86 的 Windows 7 版本的其他文件
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
|---|---|---|---|---|---|
|
Package_for_kb975363_rtm~31bf3856ad364e35~x86~~6.1.1.0.mum |
不适用 |
1,947 |
16-Nov-2009 |
09:45 |
不适用 |
|
X86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest |
不适用 |
35,541 |
16-Nov-2009 |
08:08 |
不适用 |
对于所有支持基于 x64 版本的 Windows 7 和 Windows Server 2008 R2 中的其他文件
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest |
不适用 |
35,547 |
16-Nov-2009 |
08:11 |
不适用 |
|
Package_for_kb975363_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum |
不适用 |
2,181 |
16-Nov-2009 |
09:45 |
不适用 |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
不适用 |
16,596 |
16-Nov-2009 |
08:01 |
不适用 |
对于所有受支持基于 IA-64 的版本的 Windows Server 2008 R2 的附加文件
|
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
|---|---|---|---|---|---|
|
Ia64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest |
不适用 |
35,544 |
16-Nov-2009 |
09:06 |
不适用 |
|
Package_for_kb975363_rtm~31bf3856ad364e35~ia64~~6.1.1.0.mum |
不适用 |
1,683 |
16-Nov-2009 |
09:45 |
不适用 |
|
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest |
不适用 |
16,596 |
16-Nov-2009 |
08:01 |
不适用 |
