您目前已離線,請等候您的網際網路重新連線

如何進行效能調整的 NTLM 驗證,藉由使用 [MaxConcurrentApi] 設定

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:2688798
簡介
最近,程式中的企業資訊技術,加上增加客戶為導向的裝置,例如手機和平板消費化朝。這會增加一系列的企業可能會遇到以往的驗證,其企業環境中大幅增加的情況。增加的以往的驗證可能會導致效能問題,例如延遲或逾時為用戶端。

驗證逾時或延遲,也就是 MaxConcurrentApi 瓶頸,在環境中,您會發現一般的方式來解決問題時要引發的最大允許背景工作執行緒該服務驗證。您只要變更 MaxConcurrentApi 的登錄值,然後再重新啟動伺服器上的 Net Logon 服務。

用來識別哪一部伺服器是瓶頸的受害者,實際上這些瓶頸延遲原因,是哪一部伺服器,可能會很困難。本文將告訴您如何進行效能調整 NT NTLM) 驗證,藉由使用 [MaxConcurrentApi] 設定。本文包含指導中用來識別在其上引發的 MaxConcurrentApi 值,該值應該設定的量的伺服器系統管理員。
解決方案
重要 這個章節、 方法或工作包含步驟告訴您如何修改登錄。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請確定小心執行這些步驟。為加強保護,請先備份登錄再進行修改。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756如何備份及還原 Windows 中的登錄
如果要解決這個問題,您必須檢視效能資料,來自所有案例中的伺服器。然後,您可以嘗試增加 [MaxConcurrentApi] 設定,在這些伺服器上,顯示在效能的損失。

附註唯一的效能資料計數器,能一致地顯示驗證瓶頸是網路登入效能物件計數器。根據預設,這些計數器有 Windows Server 2008 中,並在較新的作業系統版本。在以下的知識庫文件中的更詳細地討論 [Net Logon] 效能物件:
928576Windows Server 2003 的新效能計數器可讓您監視效能的網路登入驗證
若要判斷您的伺服器的最佳 MaxConcurrentApi 值,幾個資料點必須放在一起並使用公式來計算。要用來估計 MaxConcurrentApi 資料如下所示:
  • Net 登入的號誌取得
  • Net 登入的信號逾時
  • 平均的號誌扣留時間的網路登入
  • 已完成的效能,記錄的持續時間,以秒為單位。
取得資料之後,下列公式可用來估計正確的 MaxConcurrentApi 值:
(semaphore_acquires+semaphore_time 報告) * average_semaphore_hold_time / time_collection_length = New_MaxConcurrentApi_setting
您網路登入從中收集效能資料在驗證負載下的伺服器的時間之後,您應該決定資料收集程序執行期間,藉由查看 [行] 檢視的開始和結束時間。

"取得號誌"和"號誌逾時 」 是累加的數字,代表資料收集過程中發生多少逾時。當您使用效能監視器 (Perfmon.msc) 中的行檢視起始編號必須從結束的數字中減去。然後,您可以使用此導出的數字在公式中,新的 MaxConcurrentApi 設定。

平均的號誌扣留時間都可以藉由從 [行] 檢視中變更預設檢視報告] 檢視中 Perfmon.msc 來決定。比方說,如果此號誌取得值是 8,286、 的信號逾時的值是 883、 平均的號誌扣留時間是.5 (也就是半秒),以及報告的持續期間為 90 秒,公式,如下所示為:
(8,286 + 883) 1.5 / 90 =<>

如果此值是衍生自公式為 150 或更大,您應該加入更多的伺服器來服務以往的驗證負載。

如果這個值是小於 150,您應該變更 MaxConcurrentApi 登錄值的公式所建議的值或較大的值,該伺服器上。執行這項操作,請依照下列步驟執行:
  1. 按一下 啟動按一下 執行型別 regedit然後按一下 [確定].
  2. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. 在上 編輯 功能表上指向 然後按一下DWORD 值.
  4. 型別 MaxConcurrentApi然後按 Enter 鍵。
  5. 在上 編輯 功能表中,按一下 修改.
  6. 在 [小數位數,輸入新的 MaxConcurrentApi 設定,然後按一下[確定].
  7. 在命令提示字元中,輸入下列命令,並再按 Enter 鍵:
    net stop netlogon
  8. 輸入下列命令,然後再按 Enter 鍵:
    net start netlogon
其他相關資訊
識別用戶端的徵狀以往的驗證更詳細的瓶頸,您可以使用下列 「 知識庫 」 文件:
975363 您在間歇地提示您輸入認證或當您連線至驗證服務時,發生逾時
驗證瓶頸可能是在案例中的多台伺服器上。因此,您必須確定特定案例中的所有伺服器都具有他們檢閱不忙於高度負載時的效能資料。

取得號誌的計數器,如信號的等候逾時,並基於平均的號誌的保留時間必須檢閱所有的應用程式伺服器、 網域控制站,以及服務用戶端要求中涉及的受信任的網域控制站上。

當伺服器負載過重時,就必須追蹤的效能資料。當伺服器看見多數的用戶端要求時,就會發生負載過重。比方說,在電子郵件伺服器案例中,來收集效能資料的最佳時機是當使用者工作時出現,並檢查其電子郵件。

額外的項目,以便考量如下所示:
  • 沒有任何值,表示不需任何動作。 [ 號誌持有者 以及 號誌扣留時間 除非另有持續的負載,在伺服器上,計數器才會顯示任何值。如果不沒有出現任何值,就需要 MaxConcurrentApi 值並未變更。
  • 一個尺寸無法滿足所有。MaxConcurrentApi 值必須是不同的值,每一部伺服器。取得從一個網域控制站驗證的多個應用程式伺服器,或類似的案例,其中多部伺服器會提供更大的磁碟區的負載,可能造成這種情況下具有必須處理的網域控制站。
  • 信任。如果受信任的網域進行驗證的使用者,則這可能會造成較長的時間延遲,因為本機網域控制站必須等待從受信任的網域控制站的回覆之前的本機網域控制站提供對應用程式伺服器的回應。
  • 網路延遲時間。網路延遲時間也可以播放造成 MaxConcurrentApi 瓶頸的主要因素。這可能是 MaxConcurrentApi 號誌,讓用戶端不等待無限期地以往的驗證,請使用以時間為基礎的逾時計數器時。
  • 延遲時間可能是下游的。 如果 號誌扣留時間 任何時間計數器的值會一直大於 0 (零), 號誌持有者 值必須小於該伺服器上的 [MaxConcurrentApi] 設定,瓶頸可能不在該伺服器。在此情況下,為了在主機電腦完整格式網域名稱列示計數器名稱會區分網域控制站。該網域控制站號誌扣留時間 以及 號誌持有者 應該檢閱效能資料。
  • 在負載,或在網路設定的變更。未來的變更在被服務的負載,或在網路設定中可能會產生網路延遲,可能導致需要正確的 MaxConcurrentApi,判斷所時設定一次。正在檢查 MaxConcurrentApi 設定,以往的驗證磁碟區所看到的環境下,我們強烈建議您持續監視及檢閱網路登入效能物件計數器。您可以藉由使用排定的自訂 Perfmon.msc 資料收集器、 使用系統中心作業管理員之外,或使用其他方法來執行這項操作。
  • Windows Server 2008 的最大值。Windows Server 2008 中,並在較新版本的 MaxConcurrentApi 所允許的最大值為 150。您必須套用下列 「 知識庫 」 文件有 150 的最大可用設定值,如果您正在使用的伺服器沒有在執行 Windows Server 2008 R2 中所述的 hotfix:
    975363 您在間歇地提示您輸入認證或當您連線至驗證服務時,發生逾時
  • Windows Server 2003 的最大值。在 Windows Server 2003 和舊版的 MaxConcurrentApi 所允許的最大值為 10。
  • Windows Server 2003 和效能計數器。Windows Server 2003 的原始發行版本不包含網路登入效能計數器。他們必須透過 hotfix 來新增。如需有關如何新增這些計數器的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    928576 Windows Server 2003 的新效能計數器可讓您監視的 Netlogon 驗證效能
用來識別未經授權或未知的用戶端或服務,正在進行重複和連續的 NTLM 驗證可當您想要減少整體的 NTLM 驗證負載,且因此最終會影響 MaxConcurrentApi 號誌使用次數。重複驗證以該方法可以識別使用 Net Logon 服務偵錯記錄。如需有關如何使用 Netlogon.log 檔案,若要偵錯的 Net Logon 服務的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
109626 啟用偵錯記錄功能,如 [Net Logon] 服務
請注意,NTLM 驗證下的 [Perfmon.msc 計數器安全性系統的統計資料物件不是執行緒的反映的使用情形的追蹤 MaxConcurrentApi 數目。[Net Logon] 效能計數器] 所示的 MaxConcurrentApi 號誌使用量和 NTLM 驗證計數器遞增之間沒有一對一的相互關聯。NTLM 驗證計數器並不適用於決定最佳的 MaxConcurrentApi 值。

此外,就很可能是以往的驗證效能逾時與 MaxConcurrentApi 相關的都可見,且不會反映在網路登入計數器以外的任何效能計數器。這表示其他的效能度量資訊,例如 CPU 使用,而且磁碟和網路使用可能會顯示任何的負載,當 MaxConcurrentApi 負載過重,且使用者也有問題。

額外的至步驟都應在網域控制站,以表示用戶端將要提交<null>\</null> Net Logon 服務偵錯記錄檔項目使用者名稱 而不是 網域名稱\使用者名稱.下列 「 Microsoft 知識庫 」 文件說明的步驟執行:
923241 Lsass.exe 處理程序可能會停止回應,如果您在 Windows Server 2003 網域控制站上有許多外部信任

警告:本文為自動翻譯

內容

文章識別碼:2688798 - 最後檢閱時間:03/26/2012 22:50:00 - 修訂: 1.1

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter x64 Edition, Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition

  • kbhowto kbinfo kbperformance kbexpertiseinter kbsurveynew kbmt KB2688798 KbMtzh
意見反應