Monitorování maximálního souběžného počtu rozhraní API systému Windows Server 2008

Souhrn

Pokud zákazníci zaznamenají výpadky ověřování systému Windows, systému Exchange, služby SharePoint a podnikových aplikací kvůli nízké výchozí hodnotě MaxConcurrentAPI, což je maximální limit ověřování hesel Kerberos PAC nebo NTLM, může server tyto procesy obsluhovat postupně po jednom.

Zvažte následující scénář:

• Máte doménové struktury, které mají více domén.

• V různých doménách existují kombinace uživatelů a prostředků (například aplikací nebo proxy serverů) .

• Na serveru prostředků se systémem Windows Server 2008 R2 je mnoho žádostí o přihlášení NTLM od vzdálených uživatelů domény.

V tomto scénáři vyprší žádostem NTLM časový limit. Pokud dojde k tomuto problému, nebudou například klienti systému Exchange ověřeni na serveru Exchange. Uživatelé tak nebudou mít přístup ke svým poštovním schránkám a bude to vypadat, že aplikace Microsoft Outlook přestala reagovat.

Příčiny

K tomuto problému dochází proto, že byl dosažen limit omezení NTLM API.

Postupný nárůst počtu zařízení, které zvyšují počet požadavků na ověření, stále častěji vede u velkých organizací k výpadkům.

Úspory z rozsahu získané díky využívání cloudových služeb, znamenají vyšší nároky na infrastrukturu Windows využívající naši službu Active Directory.

U řešení BPOS a O365 již byla tato hodnota zvýšena na 10 a 150 (v uvedeném pořadí). Obecně byla nasazena oprava registru prostřednictvím dříve nasazených CSS.

Řešení

• Zvyšte na serverech, na kterých dochází k tomuto problému, hodnotu registru MaxConcurrentApi. Chcete-li změnit nastavení hodnoty MaxConcurrentApi, postupujte podle následujících pokynů:

  • 1. Klikněte na tlačítko Start a na příkaz Spustit, zadejte příkaz regedit a klikněte na tlačítko OK.

    2. Vyhledejte následující podklíč registru a klikněte na něj:

    3. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    4. V nabídce Úpravy přejděte na příkaz Nový a potom klikněte na příkaz Hodnota DWORD.

    5. Zadejte MaxConcurrentApi a stiskněte klávesu Enter.

    6. V nabídce Úpravy klikněte na příkaz Změnit.

    7. Zadejte nové nastavení hodnoty MaxConcurrentApi v desítkové soustavě a potom klikněte na tlačítko OK.

    8. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu Enter:

    9. net stop netlogon

    10. Zadejte následující příkaz a stiskněte klávesu Enter:

    11. net start netlogon

  • Ověřte, že v síti mezi serverem a jeho řadičem domény (nebo důvěryhodnými řadiči domény v případě, že k potížím dochází na řadiči domény) nedochází k žádné latenci. Latence sítě může problém způsobovat nebo ho zhoršovat.

  • Aplikace a služby, které používají protokol NTLM, stačí nakonfigurovat tak, aby místo toho používaly ověřování pomocí protokolu Kerberos. Metody k tomu použité se budou u jednotlivých aplikací lišit.

  • Pokud je jako příčina potíží určeno ověřování Kerberos PAC, zakažte ho, pokud to služba umožňuje. Je třeba to provést na serveru, na kterém se objevuje událost 7 zdrojového systému Kerberos.

Poznámka: Ověřování Kerberos PAC nelze zakázat pro fondy aplikací služby IIS ani pro některé služby související se systémem Exchange.

Poznámka: To, jakou hodnotu nakonfigurovat pro nastavení MaxConcurrentApi ve vašem prostředí, můžete zjistit z následujícího článku znalostní báze Knowledge Base.

Článek znalostní báze: 2688798

Další informace

Jak provádět ladění výkonu pro ověřování NTLM pomocí nastavení MaxConcurrentApi

Další informace

Další informace k těmto potížím najdete v níže uvedeném článku TechNet. Konfigurace hodnoty MaxConcurrentAPI předávacího ověřování NTLM.