Toto monitorování zobrazí výstrahu, pokud je dosaženo stavu s maximálním souběžným počtem rozhraní API.
Dochází-li u zákazníků k výpadkům služeb Ověřování systému Windows, Exchange, SharePoint + LOB z důvodu nízké výchozí hodnoty pro MaxConcurrentAPI, která je stropem pro maximální hodnotu NTLM nebo ověření hesla Kerberos PAC, které může server kdykoliv zpracovat.
Zvažte následující situaci:
Máte jednu nebo více doménových struktur s několika doménami.
V různých doménách existují kombinace uživatelů a prostředků (jako například aplikace či proxy servery).
Od vzdálených uživatelů domény přichází na server prostředků s Windows Serverem množství žádostí o přihlášení NTLM.
V tomto scénáři vyprší časový limit požadavků NTLM. Když k tomuto problému dojde, nemůžou se například klienti Exchange ověřovat vůči serveru Exchange. Z tohoto důvodu nemohou uživatelé přistupovat ke svým poštovním schránkám a zdá se, že aplikace Microsoft Outlook přestala reagovat.
K tomuto problému dochází proto, že byl dosažen limit omezení rozhraní NTLM API.
Rozšíření zařízení generujících zatížení související s ověřováním vede k tomu, že ve velkých organizacích dochází k rostoucímu trendu výpadků.
Úspory plynoucí z velkého rozsahu získané prostřednictvím cloudu zdůrazňují infrastrukturu Windows, která podporuje naši službu Active Directory.
Služby BPOS a O365 tuto hodnotu již zvýšily na 10 a 150, resp. nástroj Registry Fix byl široce nasazen prostřednictvím minulých případových zásahů zákaznické podpory.
Zvyšte hodnotu registru MaxConcurrentApi v serveru či serverech, v nichž dochází k tomuto problému. Chcete-li změnit nastavení MaxConcurrentApi, postupujte takto:
1. Klikněte na tlačítko Start, klikněte na možnost Spustit, zadejte příkaz regedit a poté klikněte na tlačítko OK.
2. Vyhledejte následující podklíč registru a klikněte na něj:
3. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
4. V nabídce Úpravy ukažte na možnost Nový a poté klikněte na hodnotu DWORD.
5. Zadejte MaxConcurrentApi a stiskněte klávesu Enter.
6. V nabídce Úpravy klikněte na Změnit.
7. Zadejte nové nastavení hodnoty MaxConcurrentApi v desítkové soustavě a klikněte na tlačítko OK.
8. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu Enter:
9. net stop netlogon
10. Zadejte následující příkaz a stiskněte klávesu Enter:
11. net start netlogon
Ověřte, že v síti mezi severem a jeho řadiči domény (nebo důvěryhodnými řadiči domény, jestliže jste tento stav zaregistrovali v určitém řadiči domény) nedochází k žádné latenci. Latence sítě může způsobovat nebo podporovat tyto potíže.
Aplikace a služby používající protokol NTLM jednoduše konfigurujte tak, aby místo tohoto protokolu používaly ověřování Kerberos. Postupy této konfigurace se liší podle příslušných aplikací.
Jestliže se jako symptom jeví ověřování Kerberos PAC, zakažte ověřování Kerberos PAC, pokud to daná služba umožňuje. To byste měli provést v serveru, v němž se objevuje událost 7 zdrojového systému Kerberos.
Poznámka: Ověřování Kerberos PAC nelze zakázat u fondů aplikací ISS a u některých služeb souvisejících se systémem Exchange.
Poznámka: Na základě níže uvedeného článku znalostní báze stanovte hodnotu, kterou zadáte jako hodnotu MaxConcurrentApi ve vašem prostředí.
Knowledge Base Article: 2688798
Postup ladění výkonu ověřování NTLM pomocí nastavení MaxConcurrentApi.
Další informace
Další informace k těmto potížím najdete v níže uvedeném článku TechNet. Konfigurace hodnoty MaxConcurrentAPI předávacího ověřování NTLM.
Target | Microsoft.Windows.Server.10.0.OperatingSystem | ||
Parent Monitor | System.Health.AvailabilityState | ||
Category | StateCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.Server.MaxConcurrentAPI.MonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | System.PrivilegedMonitoringAccount |
<UnitMonitor ID="Microsoft.Windows.Server.10.0.MaxConcurrentAPI.Monitor" Accessibility="Public" Enabled="true" Target="ServervNext!Microsoft.Windows.Server.10.0.OperatingSystem" ParentMonitorID="SystemHealth!System.Health.AvailabilityState" Remotable="true" Priority="Normal" TypeID="WindowsServer!Microsoft.Windows.Server.MaxConcurrentAPI.MonitorType" ConfirmDelivery="false" RunAs="System!System.PrivilegedMonitoringAccount">
<Category>StateCollection</Category>
<AlertSettings AlertMessage="Microsoft.Windows.Server.10.0.MaxConcurrentAPI.Monitor.AlertMessage">
<AlertOnState>Error</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="MaxConcurrentAPIAvailable" MonitorTypeStateID="Success" HealthState="Success"/>
<OperationalState ID="MaxConcurrentAPIReached" MonitorTypeStateID="Error" HealthState="Error"/>
</OperationalStates>
<Configuration>
<DiagnosticMode>0</DiagnosticMode>
<IntervalSeconds>900</IntervalSeconds>
<SyncTime/>
<TimeoutSeconds>300</TimeoutSeconds>
<ThresholdWaiters>50</ThresholdWaiters>
<ThresholdTimeouts>2000</ThresholdTimeouts>
</Configuration>
</UnitMonitor>