重要:本文包含有关如何修改注册表的信息。请确保备份注册表之前对其进行修改。请确保您知道如何出现问题时还原注册表。有关如何备份、 还原和修改注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章︰
Microsoft Windows 注册表256986说明
症状
在运行 Microsoft Windows Server 2003 的域控制器上的本地安全身份验证服务器 (Lsass.exe) 过程可能会停止响应如果符合以下条件,则︰
-
您有多个外部信任和许多同时登录请求。
-
这些登录请求未指定域的名称。
其他症状可能会变慢或延迟传统的身份验证 (NTLM) 请求的用户的身份验证。此外,如果监视 Netlogon 性能对象,平均信号存放时间性能计数器可能会延迟向用户显示来自其他域。
原因
发生此问题是因为 Lsass.exe 进程如果信任的数字乘以同时登录次数多于 1000 耗尽资源。
解决方案
警告如果使用注册表编辑器或其他方法错误地修改了注册表,可能会出现严重问题。这些问题可能需要您重新安装操作系统。Microsoft 不能保证这些问题能够得到解决。修改注册表的风险由您自己承担。
若要解决此问题,请应用 Windows Server 2003 或以下修补程序为最新的 service pack。然后,启用NeverPing设置。
重要:如果您的客户端登录请求中未指定域名,此设置可能会导致不希望的副作用。这些客户端可能包括 Microsoft Windows 98 客户端和 Outlook Web Access。这些客户端在登录请求使用的用户帐户在 Windows Server 2003 域或全局编录中是否正常工作。只有一个用户帐户是在外部域中,则会出现问题。
要启用NeverPing设置,请执行以下步骤︰
-
单击开始,单击运行,键入注册表编辑器,然后单击确定。
-
找到下面的注册表子项︰
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
-
用鼠标右键单击该子项,指向新建,然后单击DWORD 值。
-
为注册表项的名称,键入NeverPing ,然后按 enter 键。
-
双击NeverPing,在数值数据文本框中键入1 ,然后单击确定。
-
退出注册表编辑器。
Service Pack 信息
若要解决此问题,请获取最新的 Windows Server 2003 服务包。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
889100如何获取最新的 service pack,Windows Server 2003
修补程序信息
可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。仅对出现这一特定问题的系统应用此修补程序。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。
如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。
注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰
http://support.microsoft.com/contactus/?ws=support注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。
系统必备组件
不需要任何先决条件。
重启要求
应用此修补程序后,必须重新启动计算机。
修补程序替换信息
此修补程序不替换任何其他修补程序。
文件信息
此修复程序的英文版具有的文件属性 (或更新的文件属性)在下表中列出。日期和为这些文件的时间以协调世界时 (UTC) 列出。当您查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用控制面板中的日期和时间项中的时区选项卡。
Windows Server 2003 ,基于 x86 版本
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
---|---|---|---|---|---|
Netlogon.dll |
5.2.3790.573 |
419,328 |
08-Aug-2006 |
13:01 |
x86 |
Windows Server 2003 中,基于 Itanium 的版本
文件名称 |
文件版本 |
文件大小 |
日期 |
时间 |
平台 |
服务分支 |
---|---|---|---|---|---|---|
Netlogon.dll |
5.2.3790.573 |
959,488 |
07-Aug-2006 |
21:58 |
IA-64 |
RTMQFE |
Wnetlogon.dll |
5.2.3790.573 |
419,328 |
07-Aug-2006 |
22:01 |
x86 |
哇 |
状态
Microsoft 已经确认这是"适用于"一节中列出的 Microsoft 产品中的一个问题。这个问题最早在 Windows 服务器 2003 Service Pack 2。
详细信息
当应用程序使用传统的 NTLM 身份验证并不提交用户相关联的域与提交的身份验证请求时,会出现此问题。在旧的行为需要由客户端时,域控制器必须使用传统方法来定位用户的正确的域,以便为该用户的权威域提供的用户的凭据进行验证。旧的行为是与每个域的域控制器的顺序的网络通信的信任。当有更多的域和缺少的用户凭据的域部分的身份验证请求的编号,此问题会更加恶化。
可以标识的 Netlogon 服务调试记录在域控制器寻找 SamLogon 条目显示"< nulll > \username"这一问题。只需搜索"< 空 > \"的日志将显示问题是否发生在所有。
这个问题可以会降低传统的身份验证的性能瓶颈。有关详细信息,请参阅知识文库文章︰
975363间歇性地提示输入凭据或连接到身份验证服务时遇到超时
有关 Microsoft Windows 2000 中的类似问题的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章︰
825107 Lsass.exe 进程可能会停止响应如果您在基于 Windows 2000 的服务器的域控制器上有多个外部信任关系
在某些情况下,仍可能将 Neverping 设置配置后甚至出现性能问题。在这些情况下,MaxConcurrentApi 将设置更高的值。下面知识库文章中可以找到如何评估最佳的 MaxConcurrentApi 设置的详细信息。
2688798如何执行 NTLM 身份验证使用的 MaxConcurrentApi 设置的性能调整