Toto monitorování zobrazí výstrahu, pokud je dosaženo stavu s maximálním souběžným počtem rozhraní API.
Pokud zákazníci zaznamenají výpadky ověřování systému Windows, systému Exchange, služby SharePoint a podnikových aplikací kvůli nízké výchozí hodnotě MaxConcurrentAPI, což je maximální limit ověřování hesel Kerberos PAC nebo NTLM, může server tyto procesy obsluhovat postupně po jednom.
Zvažte následující scénář:
Máte doménové struktury, které mají více domén.
V různých doménách existují kombinace uživatelů a prostředků (například aplikací nebo proxy serverů) .
Na serveru prostředků se systémem Windows Server 2008 R2 je mnoho žádostí o přihlášení NTLM od vzdálených uživatelů domény.
V tomto scénáři vyprší žádostem NTLM časový limit. Pokud dojde k tomuto problému, nebudou například klienti systému Exchange ověřeni na serveru Exchange. Uživatelé tak nebudou mít přístup ke svým poštovním schránkám a bude to vypadat, že aplikace Microsoft Outlook přestala reagovat.
K tomuto problému dochází proto, že byl dosažen limit omezení NTLM API.
Postupný nárůst počtu zařízení, které zvyšují počet požadavků na ověření, stále častěji vede u velkých organizací k výpadkům.
Úspory z rozsahu získané díky využívání cloudových služeb, znamenají vyšší nároky na infrastrukturu Windows využívající naši službu Active Directory.
U řešení BPOS a O365 již byla tato hodnota zvýšena na 10 a 150 (v uvedeném pořadí). Obecně byla nasazena oprava registru prostřednictvím dříve nasazených CSS.
Zvyšte na serverech, na kterých dochází k tomuto problému, hodnotu registru MaxConcurrentApi. Chcete-li změnit nastavení hodnoty MaxConcurrentApi, postupujte podle následujících pokynů:
1. Klikněte na tlačítko Start a na příkaz Spustit, zadejte příkaz regedit a klikněte na tlačítko OK.
2. Vyhledejte následující podklíč registru a klikněte na něj:
3. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
4. V nabídce Úpravy přejděte na příkaz Nový a potom klikněte na příkaz Hodnota DWORD.
5. Zadejte MaxConcurrentApi a stiskněte klávesu Enter.
6. V nabídce Úpravy klikněte na příkaz Změnit.
7. Zadejte nové nastavení hodnoty MaxConcurrentApi v desítkové soustavě a potom klikněte na tlačítko OK.
8. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu Enter:
9. net stop netlogon
10. Zadejte následující příkaz a stiskněte klávesu Enter:
11. net start netlogon
Ověřte, že v síti mezi serverem a jeho řadičem domény (nebo důvěryhodnými řadiči domény v případě, že k potížím dochází na řadiči domény) nedochází k žádné latenci. Latence sítě může problém způsobovat nebo ho zhoršovat.
Aplikace a služby, které používají protokol NTLM, stačí nakonfigurovat tak, aby místo toho používaly ověřování pomocí protokolu Kerberos. Metody k tomu použité se budou u jednotlivých aplikací lišit.
Pokud je jako příčina potíží určeno ověřování Kerberos PAC, zakažte ho, pokud to služba umožňuje. Je třeba to provést na serveru, na kterém se objevuje událost 7 zdrojového systému Kerberos.
Poznámka: Ověřování Kerberos PAC nelze zakázat pro fondy aplikací služby IIS ani pro některé služby související se systémem Exchange.
Poznámka: To, jakou hodnotu nakonfigurovat pro nastavení MaxConcurrentApi ve vašem prostředí, můžete zjistit z následujícího článku znalostní báze Knowledge Base.
Článek znalostní báze: 2688798
Jak provádět ladění výkonu pro ověřování NTLM pomocí nastavení MaxConcurrentApi
Další informace
Další informace k těmto potížím najdete v níže uvedeném článku TechNet. Konfigurace hodnoty MaxConcurrentAPI předávacího ověřování NTLM.
Target | Microsoft.Windows.Server.2008.OperatingSystem | ||
Parent Monitor | System.Health.AvailabilityState | ||
Category | StateCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.Server.MaxConcurrentAPI.MonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | System.PrivilegedMonitoringAccount |
<UnitMonitor ID="Microsoft.Windows.Server.2008.MaxConcurrentAPI.Monitor" Accessibility="Public" Enabled="true" Target="Server2008!Microsoft.Windows.Server.2008.OperatingSystem" ParentMonitorID="SystemHealth!System.Health.AvailabilityState" Remotable="true" Priority="Normal" TypeID="WindowsServer!Microsoft.Windows.Server.MaxConcurrentAPI.MonitorType" ConfirmDelivery="false" RunAs="System!System.PrivilegedMonitoringAccount">
<Category>StateCollection</Category>
<AlertSettings AlertMessage="Microsoft.Windows.Server.2008.MaxConcurrentAPI.Monitor.AlertMessage">
<AlertOnState>Error</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="MaxConcurrentAPIAvailable" MonitorTypeStateID="Success" HealthState="Success"/>
<OperationalState ID="MaxConcurrentAPIReached" MonitorTypeStateID="Error" HealthState="Error"/>
</OperationalStates>
<Configuration>
<DiagnosticMode>0</DiagnosticMode>
<IntervalSeconds>900</IntervalSeconds>
<SyncTime/>
<TimeoutSeconds>300</TimeoutSeconds>
<ThresholdWaiters>50</ThresholdWaiters>
<ThresholdTimeouts>2000</ThresholdTimeouts>
</Configuration>
</UnitMonitor>