間歇性地提示您輸入認證,或當您連線至驗證服務時,發生逾時

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:975363
徵狀
您可能會遇到下列一或多個下列的徵狀。這些徵狀可能會間歇性或持續。這些徵狀的可能性和在"高使用率",更廣泛,例如公司的開頭增加用戶端的負載時的日期發生在環境中的伺服器上。

您可能會遇到下列問題,在 web 服務案例中:
  • Web 用戶端會接收回應延遲,從 web 伺服器。
  • 即使輸入正確的認證,web 用戶端重複提示輸入認證。
您可能會遇到下列問題,在 web proxy 案例中:
  • Web 用戶端會接收回應延遲,從 web 伺服器。
  • 即使輸入正確的認證,web 用戶端重複提示輸入認證。
您可能會遇到下列問題,在 Exchange 用戶端案例中:
  • 用戶端會接收來自伺服器的回應延遲。
  • 即使輸入正確的憑證,用戶端重複提示輸入認證。
您可能會遇到下列問題,在任何應用程式使用 NTLM 驗證的案例:

商務或使用 NTLM 驗證的自訂應用程式失敗。此外,您可能會收到不同的錯誤,斷斷續續,還會包含 「 拒絕存取 」。
您可能會遇到下列問題,在遠端檔案存取案例:
Windows 用戶端收到 「 拒絕存取 」 錯誤,或延遲從檔案伺服器的回應。
您可能會遇到下列問題,在任何情況下,在其中 Kerberos 委派中所使用的中介層服務:
用戶端第一次成功的存取,但是然後無法存取相同的資源。此外,您可能會重複提示輸入認證,或遇到 「 拒絕存取 」 錯誤。
注意事項
  • 這個問題是比較容易發生一個或多個下列條件成立時:
    • 在環境中有高度交易和常用的服務。
    • 沒有大量使用 WINNT 提供者的指令碼使用。
    • 有應用程式和服務未設定 (或沒有可設定) 才能使用 Kerberos 驗證。
    • 在下列三個條件同時都為真:
      • 在環境中有許多 「 帳戶 」 網域 (亦即,網域中有使用者帳戶)。
      • 有 Windows Server 2003 網域控制站 (Dc)。
      • 沒有應用程式或服務,可能會驗證而不需提供網域名稱。例如,有應用程式或服務,提供<null>\</null>使用者名稱 而不是 網域名稱\使用者名稱.
  • 下列徵狀,表示這個問題發生在環境中:
    • Kerberos 來源事件會記錄在應用程式伺服器的系統記錄檔。此事件表示 Kerberos PAC 驗證失敗。類似下列的事件:

      事件類型: 錯誤
      事件來源: Kerberos
      事件類別: 無
      事件識別碼: 7
      使用者: n/A
      描述: Kerberos 子系統發生 PAC 驗證失敗。這表示從用戶端的 PAC 電腦名稱 領域中 AD DNS 網域名稱 pac 其中並未驗證,或已遭修改。請連絡您的系統管理員。
      資料: 0000: c0000192

    • Netlogon 服務偵錯記錄檔 (Netlogon.log) 中的文字符合的文字 「 NlpUserValidateHigher: 無法配置用戶端 API 插槽。"這些項目會顯示在任何 Netlogon 偵錯記錄檔中的下列伺服器:
      • 應用程式伺服器
      • 網域控制站的伺服器應用程式定義域
      • 信任的網域控制站
    • Perfmon 效能記錄 Netlogon 效能計數器的信號逾時問題何時發生的時間內會顯示數字大於零。這個計數器的值可能會出現任何在此案例中的下列伺服器:
      • 應用程式伺服器
      • 網域控制站的伺服器應用程式定義域
      • 信任的網域控制站
發生的原因
當大量 NTLM 驗證,就會發生這個問題,或 Kerberos PAC 驗證交易 (或兩者) 發生在 Windows 架構的伺服器上,且該磁碟區大於可在由成員伺服器或網域控制站,都能提供驗證一次處理的磁碟區。換句話說,這被因為驗證資源瓶頸。

NTLM 驗證和 PAC 驗證是由專用的執行緒在 Lsass.exe 處理程序,在 Windows 架構的電腦上執行的。沒有可用來處理這些要求,在此同時,這些執行緒最大數目,如果要求超過之執行緒的可用性,並要求不能再等了,就會發生這個問題。

根據預設,工作站有其中一個執行緒可供使用,而且成員伺服器擁有兩個執行緒可供使用。網域控制站至信任的網域,有一個可用的執行緒,每個安全性通道。這專門用於此用途的執行緒的最大數目就所謂的"Maxconcurrentapi",並設定。
解決方案
若要解決這個問題,請使用一或多個下列方法:
  • 安裝下列 hotfix,並依照所述的步驟 >登錄資訊> 一節。之後,請在 Windows Vista、 Windows Server 2008,Windows 7 中或 Windows Server 2008 R2,用戶端電腦和另一部伺服器之間的同時連線的maximumlimit安裝此 hotfix 或 NTLM 驗證或 PAC 驗證的網域控制站可能會變更最多為 150。應該在展示區 Perfmon Netlogon"號誌逾時 」 的指示,在其效能記錄檔或有的所有伺服器上執行這個 「 NlpUserValidateHigher: 無法配置用戶端 API 插槽"其 Netlogon 偵錯記錄檔中的文字。
  • 應用程式和服務所使用 NTLM,只是將其設定為使用 Kerberos 驗證來代替。若要這樣做的方法將會是那些應用程式唯一的。
注意為了要決定什麼值,若要設定的 MaxConcurrentApi 環境中的設定會參考下列知識庫文件。

2688798 如何進行效能調整的 NTLM 驗證,使用 MaxConcurrentApi 設定

Hotfix 資訊

支援的 hotfix 是可以從 Microsoft 取得的。不過,此 Hotfix 僅用於修正本文中所述的問題。套用此 hotfix,僅提供給已遭遇本文所述問題的系統。此 hotfix 可能會接受其他測試。因此,如果此問題不會嚴重影響,我們建議您等候下一版包含此 hotfix 的軟體更新。

如果 hotfix 可供下載,在此知識庫文件頂端將出現 [有可用的 Hotfix 供您下載] 區段。如果這個區段不會出現,請連絡 Microsoft 客戶服務及支援以取得 hotfix。

注意如果發生其他問題,或如果需要進行疑難排解,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題和此特定 hotfix 無法解決的問題。如需 Microsoft 客戶服務和支援的電話號碼或建立個別的服務要求的完整清單,請造訪下列 Microsoft 網站: 注意「 下載 Hotfix 」 表單會顯示 hotfix 可用的語言。如果看不到您的語言,是因為未提供該語言的 Hotfix 。

先決條件

若要套用此 hotfix,您的電腦必須執行 Windows 7、 Windows Server 2008 R2、 Windows Vista Service Pack 2 或 Windows Server 2008 Service Pack 2。

登錄資訊

重要這個章節、 方法或工作包含修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756 如何備份及還原 Windows 中的登錄
安裝 hotfix 之後, Maxconcurrentapi的值增加到大的數字,其效能記錄檔中具有 Perfmon Netlogon"號誌逾時 」 的指示,或具有所有的伺服器上 「 NlpUserValidateHigher: 無法配置用戶端 API 插槽"其 Netlogon 偵錯記錄檔中的文字。若要執行這項操作,請依照下列步驟執行:
  1. 啟動登錄編輯程式。
  2. 找出下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. 建立下列的登錄項目:

    名稱:MaxConcurrentApi
    型別:REG_DWORD
    值:設定為較大的數字,您所測試的值 (任何數字大於預設值)。
  4. 在命令提示字元中執行 net 停止 netlogon然後再執行 網路開始 netlogon.
注意事項
  • 您可以設定的最大值取決於作業系統版本以及重要補充程式是否可以使用。
    • Windows Server 2003 中最大可設定的值為 10。
    • Windows Server 2008 中 (不含本文中的 hotfix) 最大可設定值為 10。此 hotfix 之後,最大值為 150。
    • Windows Server 2008 R2 中 (不含本文中的 hotfix) 的最大可設定設定為 10。此 hotfix 之後,最大值為 150。
  • 如果您決定要增加到大於 10 的MaxConcurrentApivalue ,負載與效能的想要的設定應該經過測試在非生產環境之前您在實際執行環境中實作。建議您先確認,增加這個值不會造成其他資源的瓶頸。

重新啟動需求

套用此 hotfix 之後,您必須重新啟動電腦。

Hotfix 取代資訊

此 hotfix 不會取代先前發行的 hotfix。

檔案資訊

此 hotfix 的英文 (美國) 版會安裝具有下列表格中所列的屬性的檔案。這些檔案的日期和時間均以國際標準時間 (UTC) 列出。本機電腦上這些檔案的時間以您當地的時間與目前的日光節約時間 (DST) 的時差來顯示日期和時間。此外,當您在檔案上執行特定作業時,日期和時間可能會變更。

  • 資訊清單檔案 (.manifest) 及菊檔案 (.mum) 所安裝的每個環境都 分別列出 在 「 Windows Vista 和 Windows Server 2008 > 一節的其他檔案資訊。菊和資訊清單檔案,與相關的安全性類別目錄 (.cat) 檔案中,是非常重要對於維持已更新元件的狀態。安全性類別目錄檔案 (將不會為其列出屬性) 是使用 Microsoft 數位簽章簽署的。

Windows Vista 和 Windows Server 2008 的檔案資訊

檔案資訊以 x86 為基礎的版本和 Windows Vista 的 Windows Server 2008
檔案名稱檔案版本檔案大小日期時間平台
Netlogon.dll6.0.6002.22289592,8962009 年 12 月 16 日12:09x86
Nlsvc.mof不適用2,8732009 年 4 月 03 日21:24不適用
檔案資訊 x64 版本的 Windows Server 2008,Windows Vista 的
檔案名稱檔案版本檔案大小日期時間平台
Netlogon.dll6.0.6002.22289716,8002009 年 12 月 16 日12:07x64
Nlsvc.mof不適用2,8732009 年 4 月 03 日20:58不適用
Windows Server 2008 IA 64 基礎版本的檔案資訊
檔案名稱檔案版本檔案大小日期時間平台
Netlogon.dll6.0.6002.222891,216,5122009 年 12 月 16 日12:05IA-64
Nlsvc.mof不適用2,8732009 年 4 月 03 日20:59不適用

Windows 7 和 Windows Server 2008 R2 的檔案資訊

Windows 7 和 Windows Server 2008 R2 檔案資訊附註重要Windows 7 hotfix 及 Windows Server 2008 R2 hotfix 隨附在相同的套件中。不過,在 [Hotfix 要求] 頁面上的 Hotfix 會在這兩個作業系統下列出。若要要求 hotfix 套件套用至一或兩個作業系統,選取列在 [Windows 7/Windows Server 2008 R2] 下,在頁面的 hotfix。永遠參考文件以判斷實際要套用每個 hotfix 的作業系統的 < 適用於 > 一節。
  • 資訊清單檔案 (.manifest) 及菊檔案 (.mum) 所安裝的每個環境都 分別列出 在 「 Windows Server 2008 R2 和 Windows 7 > 一節的其他檔案資訊。菊和資訊清單檔案,與相關的安全性類別目錄 (.cat) 檔案中,是非常重要對於維持已更新元件的狀態。安全性類別目錄檔案 (將不會為其列出屬性) 是使用 Microsoft 數位簽章簽署的。
適用於所有支援的 Windows 7 x86 版本
檔案名稱檔案版本檔案大小日期時間平台
Netlogon.dll6.1.7600.20576563,7122009 年 11 月 16 日06:40x86
Nlsvc.mof不適用2,8732009 年 6 月 10 日21:29不適用
適用於所有支援的 x64 版本 Windows 7 和 Windows Server 2008 R2
檔案名稱檔案版本檔案大小日期時間平台
Netlogon.dll6.1.7600.20576692,7362009 年 11 月 16 日07:45x64
Nlsvc.mof不適用2,8732009 年 6 月 10 日20:47不適用
所有支援 IA 64 版本的 Windows Server 2008 R2
檔案名稱檔案版本檔案大小日期時間平台
Netlogon.dll6.1.7600.205761,148,4162009 年 11 月 16 日06:10IA-64
Nlsvc.mof不適用2,8732009 年 6 月 10 日20:52不適用


狀況說明
Microsoft 已確認這是<套用> 一節所列出的 Microsoft 產品的問題。
其他相關資訊
此 hotfix 會包含在 Windows 7 Service Pack 1 (SP1) 和 Windows Server 2008 R2 Service Pack 1 (SP1) 中。

MaxConcurrentApi設定和它的預設設定是時間的舊式限制的硬體功能和 Windows 2000。較舊的硬體,允許其他執行緒和 RPC 流量,就會產生嚴重的問題,而且如果太多執行緒建立時的效能瓶頸的可能性。有較新的硬體平台和改善的效能,這樣的硬體效能限制是比較不可能發生的。同樣的請務必評量,並瞭解環境中的伺服器的效能,您就會增加潛在負載使用較高的MaxConcurrentApi設定之前。

如需有關如何使用 Netlogon 服務偵錯記錄 (Netlogon.log),請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
109626 啟用 [Net Logon 服務的偵錯記錄功能
可以有其 Netlogon 服務偵錯記錄檔中表示用戶端會送出<null>\</null>的項目的 Windows Server 2003 網域控制站上執行額外的 lessening 步驟使用者名稱 而不是 網域名稱\使用者名稱.下列的 「 Microsoft 知識庫 」 文件說明的步驟:
923241 Lsass.exe 處理程序可能會停止回應,如果您在 Windows Server 2003 網域控制站上有許多的外部信任
更多有關如何使用 Netlogon 效能監視物件的資訊是可用的資源,以及在 [更新] 以在 Windows Server 2003 中新增該效能物件。沒有可讓您監視的速度和 NTLM 驗證的產能的 Windows Server 2003 的更新。如需詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
928576 Windows Server 2003 的新效能計數器可讓您監視的 Netlogon 驗證效能

沒有引入新的事件來追蹤 Netlogoan API 的多載的 Windows Server 2008 R2 的更新:

可用的新追蹤 NTLM 驗證延遲和在 Windows Server 2008 R2 的失敗的事件日誌項目
http://support.microsoft.com/default.aspx?scid=kb;EN-US; 2654097
如需有關軟體更新術語的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
824684 用來描述 Microsoft 軟體更新標準術語的說明

其他檔案資訊

和 Windows Server 2008 的 Windows Vista,會產生額外的檔案資訊。

其他的檔案資訊 x86 版本的 Windows Vista 及 Windows Server 2008 的
檔案名稱Update.mum
檔案版本不適用
檔案大小3,068
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)21:16
平台不適用
檔案名稱X86_d097c3e62c5fe28649de747cfa96d8cc_31bf3856ad364e35_6.0.6002.22289_none_8f4d35d9370e9c53.manifest
檔案版本不適用
檔案大小705
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)21:16
平台不適用
檔案名稱X86_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffda50c84e769578.manifest
檔案版本不適用
檔案大小22,701
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)14:05
平台不適用
其他的檔案資訊 x64 版本的 Windows Vista 及 Windows Server 2008 的
檔案名稱Amd64_0fe0181b07108c9de21c48d7ff24c52a_31bf3856ad364e35_6.0.6002.22289_none_f87d1e5f85e49530.manifest
檔案版本不適用
檔案大小1,060
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)21:16
平台不適用
檔案名稱Amd64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.0.6002.22289_none_5bf8ec4c06d406ae.manifest
檔案版本不適用
檔案大小23,180
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)15:52
平台不適用
檔案名稱Update.mum
檔案版本不適用
檔案大小3,092
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)21:16
平台不適用
檔案名稱Wow64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
檔案版本不適用
檔案大小18,332
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)14:00
平台不適用
IA 64 基礎版本 Windows Server 2008 的其他檔案資訊
檔案名稱Ia64_93a1c37632c96e8463a7fa3608662f92_31bf3856ad364e35_6.0.6002.22289_none_f505daf555102feb.manifest
檔案版本不適用
檔案大小1,058
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)21:16
平台不適用
檔案名稱Ia64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.0.6002.22289_none_ffdbf4be4e749e74.manifest
檔案版本不適用
檔案大小23,156
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)16:08
平台不適用
檔案名稱Update.mum
檔案版本不適用
檔案大小2,247
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)21:16
平台不適用
檔案名稱Wow64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.0.6002.22289_none_664d969e3b34c8a9.manifest
檔案版本不適用
檔案大小18,332
日期 (UTC)2009 年 12 月 16 日
時間 (UTC)14:00
平台不適用

適用於 Windows 7 和 Windows Server 2008 R2 的其他檔案資訊

適用於所有受支援的 x86 版本 Windows 7 的其他檔案


檔案名稱檔案版本檔案大小日期時間平台
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ x86 ~ ~ 6.1.1.0.mum不適用1,9472009 年 11 月 16 日09:45不適用
X86_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe237c4db262181f.manifest不適用35,5412009 年 11 月 16 日08:08不適用
所有支援 x64 型版本的 Windows 7 和 Windows Server 2008 R2 的其他檔案

檔案名稱檔案版本檔案大小日期時間平台
Amd64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.1.7600.20576_none_5a4217d16abf8955.manifest不適用35,5472009 年 11 月 16 日08:11不適用
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.1.1.0.mum不適用2,1812009 年 11 月 16 日09:45不適用
Wow64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest不適用16,5962009 年 11 月 16 日08:01不適用
所有支援 IA 64 版本 Windows Server 2008 R2 的其他檔案

檔案名稱檔案版本檔案大小日期時間平台
Ia64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.1.7600.20576_none_fe252043b260211b.manifest不適用35,5442009 年 11 月 16 日09:06不適用
Package_for_kb975363_rtm ~ 31bf3856ad364e35 ~ ia64 ~ ~ 6.1.1.0.mum不適用1,6832009 年 11 月 16 日09:45不適用
Wow64_microsoft windows 安全性-netlogon_31bf3856ad364e35_6.1.7600.20576_none_6496c2239f204b50.manifest不適用16,5962009 年 11 月 16 日08:01不適用

警告:本文為自動翻譯

內容

文章識別碼:975363 - 最後檢閱時間:01/04/2016 17:40:00 - 修訂: 8.0

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbqfe kbhotfixserver kbsurveynew kbautohotfix kbexpertiseinter kbbug kbfix kbmt KB975363 KbMtzh
意見反應