间歇性地提示输入凭据或连接到身份验证服务时遇到超时

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 975363
症状
您可能会遇到一个或多个以下症状。这些症状可能是间歇性或持续。有这些症状的可能性更大和更广泛期间"使用率过高",如在业务开始增加的客户端加载时的一天发生在环境中的服务器上。

您可能会遇到 web 服务方案中的以下问题:
  • Web 客户端收到来自 web 服务器的延迟的响应。
  • 即使输入正确的凭据,web 客户端重复会提示提供凭据。
您可能会遇到 web 代理服务器方案中的以下问题:
  • Web 客户端收到来自 web 服务器的延迟的响应。
  • 即使输入正确的凭据,web 客户端重复会提示提供凭据。
您可能会遇到一个 Exchange 客户端方案中的以下问题:
  • 客户端收到来自服务器的响应延迟。
  • 即使输入正确的凭据,客户端会反复提示提供凭据。
您可能会遇到以下问题在任何方案中为应用程序中使用 NTLM 身份验证:

业务线或自定义应用程序使用 NTLM 身份验证失败。此外,您可能会收到不同的错误,是间歇性,可能包括"访问被拒绝"。
您可能会遇到远程文件访问方案中的下列问题:
Windows 客户端收到"访问被拒绝"错误,或从文件服务器的响应延迟。
您可能会遇到以下问题在任何方案中的 Kerberos 委派中正在使用的中间层服务:
客户端访问开始时成功,但然后失去了对相同的资源访问。此外,您可能会反复提示您输入凭据,或出现"访问被拒绝"错误。
备注:
  • 此问题是更有可能发生,如果一个或多个下列条件都为真:
    • 在环境中有高事务性和经常使用的服务。
    • 没有使用 WINNT 提供程序的脚本中大量使用。
    • 有应用程序和服务没有配置 (或不可配置) 来使用 Kerberos 身份验证。
    • 当同时满足以下三个条件都为真:
      • 在环境中有许多"帐户"域 (换句话说,它们中有用户帐户的域)。
      • 有基于 Windows Server 2003 的域控制器 (Dc)。
      • 有应用程序或服务可能不提供的域名进行身份验证。例如,有一些应用程序或服务的提供<null>\</null>用户名 而不是 域名称\用户名.
  • 以下症状表明,环境中发生此问题:
    • 应用程序服务器的系统日志中记录一个 Kerberos 源事件。此事件表示 PAC Kerberos 验证出现故障。该事件类似于以下内容:

      事件类型: 错误
      事件源: Kerberos
      事件类别: 无
      事件 ID: 7
      用户: 不适用
      说明: Kerberos 子系统遇到 PAC 验证失败。这指示客户端从 PAC 计算机名 领域中 AD DNS 域名 有没有验证或修改一个 PAC。请与您的系统管理员联系。
      数据: 0000: c0000192

    • Netlogon 服务调试日志 (Netlogon.log) 中的文本与文本匹配"NlpUserValidateHigher: 无法分配客户端 API 插槽。"这些项可能出现在任何 Netlogon 调试日志中的下列服务器:
      • 应用程序服务器
      • 应用程序服务器域中的域控制器
      • 信任域控制器
    • Perfmon 性能日志记录的 Netlogon 性能计数器信号量超时期间时出现问题的时间显示的数字大于零。此计数器的值可能会出现对任何在此方案中的下列服务器:
      • 应用程序服务器
      • 应用程序服务器域中的域控制器
      • 信任域控制器
原因
当有大量的 NTLM 身份验证时,会发生此问题或 Kerberos PAC 验证交易记录 (或两者) 出现在基于 Windows 的服务器上,且该卷大于卷可由提供身份验证的域控制器或成员服务器一次处理。换句话说,这被因为通过身份验证的资源瓶颈。

在基于 Windows 的计算机上 Lsass.exe 进程中的专用线程执行 NTLM 身份验证和 PAC 验证。没有这些线程可用于处理这些请求,在同一时间,最大的数,并且如果请求超过可用的线程,并且请求不能再等待了,会发生此问题。

默认情况下,工作站有一个线程可供使用,和成员服务器有两个可供使用的线程。域控制器到信任域有一个可用线程,每个安全通道。此最大数目的线程专用于此目的的被称为"Maxconcurrentapi"并进行配置。
解决方案
若要解决此问题,请使用一个或多个下列方法:
  • 安装以下修补程序,,然后按照中介绍的步骤"注册表信息"一节。之后您安装此修补程序在 Windows Vista、 Windows Server 2008,Windows 7 或 Windows Server 2008 R2, maximumlimit的客户端计算机之间的另一台服务器的并发连接,或 NTLM 身份验证或 PAC 验证的域控制器可能会更改多达 150。应在所有服务器上 Perfmon Netlogon 中其性能日志或"信号超时"的迹象已经表现出"NlpUserValidateHigher: 无法分配客户端 API 槽"及其 Netlogon 调试日志中的文本。
  • 为应用程序和服务使用 NTLM,只需将其配置为改为使用 Kerberos 身份验证。要做到这一点的方法是唯一的那些应用程序。
注意:为了决定为 MaxConcurrentApi 设置的值在您环境中请参阅下面的知识库文章。

2688798 如何通过使用 MaxConcurrentApi 设置,性能调优的 NTLM 身份验证

修补程序信息

Microsoft 提供了一个受支持的修补程序。然而,此修补程序仅用于解决本文中描述的问题。此修复程序仅适用于系统遇到本文中描述的问题。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。

如果此修复程序可供下载,则在此知识库文章顶部"提供修补程序下载"部分。如果未显示此节,请与 Microsoft 客户服务和支持联系以获取此修复程序。

注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于此特定的修补程序不需要照常收取支持费用到其他支持问题和事项。Microsoft 客户服务和支持电话号码,或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站: 注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。

系统必备组件

要应用此修补程序,您的计算机必须运行 Windows 7,Windows Server 2008 R2,Windows Vista Service Pack 2 或 Windows 服务器 2008 Service Pack 2。

注册表信息

重要:此部分、 方法或任务包含一些介绍如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重的问题。因此,请确保仔细按照下列步骤操作。为增加保护,对其进行修改之前备份注册表。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows 中备份和还原注册表
安装此修复程序后,将Maxconcurrentapi值增加到所有服务器,其性能日志具有 Perfmon Netlogon"信号超时"的迹象或具有更多"NlpUserValidateHigher: 无法分配客户端 API 槽"及其 Netlogon 调试日志中的文本。若要执行此操作,请按照下列步骤操作:
  1. 启动注册表编辑器。
  2. 找到下面的注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. 创建下面的注册表项:

    名称:MaxConcurrentApi
    类型:REG_DWORD
    值:的值设置为较大的数量,您测试 (任何编号大于默认值)。
  4. 在命令提示符下,运行 net stop netlogon然后再运行 净启动 netlogon.
备注:
  • 可配置的最大值取决于操作系统的版本和修复程序是否可用。
    • Windows Server 2003 中的最大可配置设置为 10。
    • Windows Server 2008 中 (而不是这篇文章中的修复程序中) 的最大可配置设置为 10。该修补程序后,最大值为 150。
    • 在 Windows Server 2008 R2 中 (没有本文中的修复程序中) 的最大可配置设置为 10。该修补程序后,最大值为 150。
  • 如果您决定增加到大于 10 MaxConcurrentApivalue ,负载和性能所需的设置,应测试在非生产环境中之前您在生产环境中实现。建议这样做,以确保增加该值,不会导致其他资源瓶颈。

重新启动要求

应用此修补程序后,必须重新启动计算机。

修补程序替换信息

此修补程序不替代以前发布的修补程序。

文件信息

此修复程序的英语 (美国) 版本将安装具有下表中列出的属性文件。日期和这些文件的时间以协调世界时 (UTC) 列出。日期和您的本地计算机上这些文件的时间在您本地时间再加上当前夏令时 (DST) 偏差显示。此外,日期和时间可能会更改您执行某些操作的文件。

  • 清单文件 (.manifest) 和菊花安装的文件 (.mum) 为每个环境都是 分别列出 在"Windows Vista 和 Windows Server 2008" 部分中的其他文件信息。菊花和清单文件和关联的安全目录 (.cat) 文件,是为维护更新组件的状态非常重要。对其属性没有列出的安全目录文件已在 Microsoft 的数字签名签名。

对于 Windows Vista 和 Windows Server 2008 的文件信息

对于基于 x86 的版本的文件信息的 Windows Vista 和 Windows Server 2008
文件名称文件版本文件大小日期时间平台
Netlogon.dll6.0.6002.22289592,8962009 年 12 月-16-12:09x86
Nlsvc.mof不适用2,8732009 年4月 3 日21:24不适用
文件信息基于 x64 版本的 Windows Vista 和 Windows Server 2008
文件名称文件版本文件大小日期时间平台
Netlogon.dll6.0.6002.22289716,8002009 年 12 月-16-12:07x64
Nlsvc.mof不适用2,8732009 年4月 3 日20:58不适用
Windows Server 2008 的基于 IA-64 的版本文件信息
文件名称文件版本文件大小日期时间平台
Netlogon.dll6.0.6002.222891,216,5122009 年 12 月-16-12:05IA-64
Nlsvc.mof不适用2,8732009 年4月 3 日20:59不适用

Windows 7 和 Windows Server 2008 R2 的文件信息

Windows 7 和 Windows Server 2008 R2 文件信息备注重要:相同的软件包中包含 Windows 7 的修复程序和 Windows Server 2008 R2 的修复程序。但是,热修复程序请求页上的修补程序下列出这两个操作系统。要请求适用于其中一个或两个操作系统修补程序包,请选择此修补程序在"Windows 7/Windows Server 2008 R2"页上列出。始终参考文章,以确定每个修补程序应用于实际的操作系统中的"适用于"部分。
  • 清单文件 (.manifest) 和菊花安装的文件 (.mum) 为每个环境都是 分别列出 在"Windows server 2008 R2 和 Windows 7" 部分的其他文件信息。菊花和清单文件和关联的安全目录 (.cat) 文件,是为维护更新组件的状态非常重要。对其属性没有列出的安全目录文件已在 Microsoft 的数字签名签名。
对于所有受支持的基于 x86 的 Windows 7 版本
文件名称文件版本文件大小日期时间平台
Netlogon.dll6.1.7600.20576563,7122009 年 11 月 16-06:40x86
Nlsvc.mof不适用2,8732009-10-06 月21:29不适用
所有受支持的基于 x64 版本的 Windows 7 以及 Windows Server 2008 R2
文件名称文件版本文件大小日期时间平台
Netlogon.dll6.1.7600.20576692,7362009 年 11 月 16-07:45x64
Nlsvc.mof不适用2,8732009-10-06 月20:47不适用
对于所有受支持的 Windows Server 2008 R2-基于 IA-64 的版本
文件名称文件版本文件大小日期时间平台
Netlogon.dll6.1.7600.205761,148,4162009 年 11 月 16-06:10IA-64
Nlsvc.mof不适用2,8732009-10-06 月20:52不适用


状态
Microsoft 已经确认这是"适用于"一节中列出的 Microsoft 产品中的问题。
更多信息
此修复程序包含在 Windows 7 Service Pack 1 (SP1) 和 Windows 服务器 2008 R2 Service Pack 1 (SP1)。

MaxConcurrentApi设置,并为它的默认设置是旧式的 Windows 2000 和那时的有限的硬件功能。较旧的硬件,允许其他线程,它们会生成 RPC 通信是一个严重的问题,如果过多的线程被创建时的性能瓶颈的可能性。使用较新的硬件平台和更好的性能,该硬件的性能限制是不太可能发生。与以往一样,十分重要,来测量和了解环境中的服务器的性能之前您增加潜在负载使用较高的MaxConcurrentApi设置。

有关如何使用 Netlogon 服务调试日志记录 (Netlogon.log),请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
109626 启用 Net Logon 服务的调试日志记录
可以在基于 Windows Server 2003 的域控制器上具有其 Netlogon 服务调试日志中的条目指示客户机要提交<null>\</null>执行 lessening 的一个附加步骤用户名 而不是 域名称\用户名.在下面的 Microsoft 知识库文章中介绍的步骤:
923241 Lsass.exe 进程可能会停止响应,如果您在基于 Windows Server 2003 的域控制器上有多个外部信任关系
有关如何使用 Netlogon 性能监视对象的详细信息是可用的以及在 Windows Server 2003 中添加性能对象的更新。没有允许您监视的速度和吞吐量的 NTLM 身份验证的 Windows Server 2003 的更新。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
928576 新的 Windows Server 2003 的性能计数器可以监视性能的 Netlogon 身份验证

没有更新的 Windows Server 2008 R2 引入新的事件来跟踪 Netlogoan API 重载:

新跟踪 NTLM 身份验证的延迟和 Windows Server 2008 R2 中的失败的事件日志条目都可用
http://support.microsoft.com/default.aspx?scid=kbEN-US; 2654097
有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684 用来描述 Microsoft 软件更新的标准术语的说明

附加文件的信息

对于 Windows Vista 和 Windows Server 2008 的附加文件信息

其他文件信息基于 x86 版本的 Windows Vista 和 Windows Server 2008 的
文件名称Update.mum
文件版本不适用
文件大小3,068
日期(UTC)2009 年 12 月-16-
时间 (UTC)21:16
平台不适用
文件名称X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest
文件版本不适用
文件大小705
日期(UTC)2009 年 12 月-16-
时间 (UTC)21:16
平台不适用
文件名称X86_microsoft windows 安全 netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest
文件版本不适用
文件大小22,701
日期(UTC)2009 年 12 月-16-
时间 (UTC)14:05
平台不适用
其他文件信息基于 x64 版本的 Windows Vista 和 Windows Server 2008
文件名称Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest
文件版本不适用
文件大小1,060
日期(UTC)2009 年 12 月-16-
时间 (UTC)21:16
平台不适用
文件名称Amd64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest
文件版本不适用
文件大小23,180
日期(UTC)2009 年 12 月-16-
时间 (UTC)15:52
平台不适用
文件名称Update.mum
文件版本不适用
文件大小3,092
日期(UTC)2009 年 12 月-16-
时间 (UTC)21:16
平台不适用
文件名称Wow64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
文件版本不适用
文件大小18,332
日期(UTC)2009 年 12 月-16-
时间 (UTC)14:00
平台不适用
Windows Server 2008 基于 IA-64 的版本的其他文件信息
文件名称Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest
文件版本不适用
文件大小1,058
日期(UTC)2009 年 12 月-16-
时间 (UTC)21:16
平台不适用
文件名称Ia64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest
文件版本不适用
文件大小23,156
日期(UTC)2009 年 12 月-16-
时间 (UTC)16:08
平台不适用
文件名称Update.mum
文件版本不适用
文件大小2,247
日期(UTC)2009 年 12 月-16-
时间 (UTC)21:16
平台不适用
文件名称Wow64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
文件版本不适用
文件大小18,332
日期(UTC)2009 年 12 月-16-
时间 (UTC)14:00
平台不适用

Windows 7 和 Windows Server 2008 R2 的附加文件信息

对于所有支持基于 x86 的 Windows 7 版本的其他文件


文件名称文件版本文件大小日期时间平台
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ x 86 ~ ~ 6.1.1.0.mum不适用1,9472009 年 11 月 16-09:45不适用
X86_microsoft windows 安全 netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest不适用35,5412009 年 11 月 16-08:08不适用
对于所有支持基于 x64 版本的 Windows 7 和 Windows Server 2008 R2 中的其他文件

文件名称文件版本文件大小日期时间平台
Amd64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest不适用35,5472009 年 11 月 16-08:11不适用
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.1.1.0.mum不适用2,1812009 年 11 月 16-09:45不适用
Wow64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest不适用16,5962009 年 11 月 16-08:01不适用
对于所有受支持基于 IA-64 的版本的 Windows Server 2008 R2 的附加文件

文件名称文件版本文件大小日期时间平台
Ia64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest不适用35,5442009 年 11 月 16-09:06不适用
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ ia64 ~ ~ 6.1.1.0.mum不适用1,6832009 年 11 月 16-09:45不适用
Wow64_microsoft windows 安全 netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest不适用16,5962009 年 11 月 16-08:01不适用

內容

文章識別碼:975363 - 最後檢閱時間:01/04/2016 17:40:00 - 修訂: 7.0

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbqfe kbhotfixserver kbsurveynew kbautohotfix kbexpertiseinter kbbug kbfix kbmt KB975363 KbMtzh
意見反應