Monitor de máximo de API simultáneas

Resumen

Cuando los clientes experimentan interrupciones de autenticación de Windows, Exchange, SharePoint y LOB debido al bajo valor predeterminado de MaxConcurrentAPI, que es el límite del máximo de validaciones de contraseña de PAC de Kerberos o NTLM de las que puede ocuparse un servidor en un momento dado.

Considere el siguiente escenario:

• Dispone de uno o varios bosques que tienen varios dominios.

• Existen combinaciones de usuarios y recursos (por ejemplo, aplicaciones o servidores proxy) en dominios diferentes.

• Hay numerosas solicitudes de inicio de sesión de NTLM de los usuarios de dominio remoto para un servidor de recursos que ejecuta Windows Server.

En este escenario, NTLM solicita tiempo de espera. Por ejemplo, los clientes de Exchange no se autentican en el servidor de Exchange cuando se produce este problema. Por lo tanto, los usuarios no pueden acceder a sus buzones y parece que Microsoft Outlook deja de responder.

Causas

Este problema se produce porque se alcanza el límite de API de NTLM.

La proliferación de dispositivos que generan carga de autenticación está causando una tendencia al aumento de las interrupciones en las grandes organizaciones.

La economía de escala obtenida mediante la nube lleva al límite la infraestructura de Windows que aprovecha nuestro Active Directory.

BPOS y O365 ya han aumentado este valor a 10 y 150 respectivamente. La corrección del Registro se ha implementado ampliamente mediante la implicación de casos de CSS anteriores.

Soluciones

• Aumente el valor del Registro de MaxConcurrentApi en el servidor o los servidores que ven el problema. Para cambiar la configuración de MaxConcurrentApi, siga estos pasos:

• 1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y haga clic en Aceptar.

• 2. Busque y haga clic en la siguiente subclave del Registro:

• 3. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

• 4. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.

• 5. Escriba MaxConcurrentApi y presione ENTRAR.

• 6. En el menú Edición, haga clic en Modificar.

• 7. Escriba la nueva configuración de MaxConcurrentApi en formato decimal y haga clic en Aceptar.

• 8. En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR:

• 9. net stop netlogon

• 10. Escriba el comando siguiente y presione ENTRAR:

• 11. net start netlogon

  • Compruebe que la red entre el servidor y sus controladores de dominio (o los controladores de dominio de confianza si la condición se vio en un controlador de dominio) no vea ninguna latencia. La latencia de red puede provocar o agravar el problema.

  • En el caso de las aplicaciones y los servicios que utilicen NTLM, simplemente configúrelos para utilizar la autenticación Kerberos en su lugar. Los métodos para hacerlo serán exclusivos para esas aplicaciones.

  • Si la validación de PAC de Kerberos se ve como un síntoma, deshabilite la validación de PAC de Kerberos si el servicio lo permite. Esto se debe hacer en el servidor en el que aparece el evento 7 del sistema con origen Kerberos.

Nota: No se puede deshabilitar la validación de PAC de Kerberos para los grupos de aplicaciones IIS o para algunos servicios relacionados con Exchange.

Nota: Para decidir qué valor se establece para la configuración de MaxConcurrentApi en su entorno, consulte el siguiente artículo de Knowledge Base.

Artículo de la Knowledge Base: 2688798

Adicional

Ajuste del rendimiento de la autenticación NTLM mediante la configuración de MaxConcurrentApi.

Más información

Para más información sobre este problema, revise el artículo de TechNet siguiente. Configuración de MaxConcurrentAPI para la autenticación de paso NTLM.