Den här övervakaren skickar en aviseringar när maximalt antal samtidiga API har uppnåtts.
Kunder kan uppleva avbrott i Windows Authentication, Exchange, SharePoint + LOB på grund av ett lågt standardvärde för MaxConcurrentAPI, vilket är ett tak för hur många NTLM- eller Kerberos PAC -lösenordsverifieringar en server kan hantera samtidigt.
Tänk dig följande scenario:
Du har en eller flera skogar med flera domäner.
Olika kombinationer av användare och resurser (till exempel program eller proxyservrar) förekommer i olika domäner.
Fjärrdomänanvändarna skickar många NTLM-inloggningsförfrågningar till en resursserver som kör Windows Server 2008 R2.
I det här läget överskrids tidsgränsen för NTLM-förfrågningarna. Det innebär till exempel att Exchange-klienter inte kan autentiseras mot Exchange-servern. Användarna kan därför inte komma åt sina postlådor och Microsoft Outlook svarar inte.
Problemet uppstår på grund av att kontrollgränsen för NTLM-gränssnittet har nåtts.
Spridningen av enheter som medför ökad autentisering leder till allt fler avbrott inom stora organisationer.
Skalekonomiska fördelar, som uppnås via molnanvändning, belastar Windows-infrastrukturen som använder Active Directory.
BPOS och O365 har redan ökat detta värde till 10 respektive 150. Registeråtgärder har distribuerats i stor utsträckning via tidigare CSS-åtaganden.
Öka registervärdet för MaxConcurrentApi på de servrar där problemet uppstått. Så här ändrar du MaxConcurrentApi-inställningen:
1. Klicka på Start, klicka på Kör, skriv regedit och klicka på OK.
2. Leta upp och klicka på följande registerundernyckel:
3. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
4. Peka på Nytt på Redigera-menyn och klicka sedan på DWORD Value.
5. Skriv MaxConcurrentApi och tryck på Retur.
6. Klicka på Ändra på Redigera-menyn.
7. Skriv det nya värdet för MaxConcurrentApi med decimaltecken och klicka på OK.
8. Ange följande kommando i kommandotolken och tryck på Retur:
9. net stop netlogon
10. Ange följande kommando och tryck på Retur:
11. net start netlogon
Kontrollera att ingen fördröjning uppstår i nätverket mellan servern och domänkontrollanterna (eller betrodda domänkontrollanter om problemet uppstod på en domänkontrollant). Nätverksfördröjning kan orsaka eller förvärra problemet.
Konfigurera program och tjänster som använder NTLM för användning av Kerberos-autentisering i stället. Sättet att göra detta skiljer sig från varje program.
Om Kerberos PAC-verifiering verkar vara ett symtom inaktiverar du Kerberos PAC-verifiering om tjänsten tillåter detta. Det här bör göras på den server där Kerberos-systemkällhändelse 7 visas.
Obs! Det går inte att inaktivera Kerberos PAC-verifiering för IISA-programpooler eller för vissa Exchange-relaterade tjänster.
Obs! Läs kunskapsbasartikeln nedan för att ta reda på vilket MaxConcurrentApi-värde du ska ange i din miljö.
Knowledge Base-artikel: 2688798
Ställa in prestanda för NTLM-autentisering med MaxConcurrentApi-inställningen.
Mer information
Mer information om det här problemet hittar du i TechNet-artikeln nedan. Configuring MaxConcurrentAPI for NTLM Pass-Through Authentication (Konfigurera MaxConcurrentAPI för NTLM-direktautentisering).
Target | Microsoft.Windows.Server.6.2.OperatingSystem | ||
Parent Monitor | System.Health.AvailabilityState | ||
Category | StateCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.Server.MaxConcurrentAPI.MonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | System.PrivilegedMonitoringAccount |
<UnitMonitor ID="Microsoft.Windows.Server.2012.MaxConcurrentAPI.Monitor" Accessibility="Public" Enabled="true" Target="WindowsServer!Microsoft.Windows.Server.6.2.OperatingSystem" ParentMonitorID="SystemHealth!System.Health.AvailabilityState" Remotable="true" Priority="Normal" TypeID="WindowsServer!Microsoft.Windows.Server.MaxConcurrentAPI.MonitorType" ConfirmDelivery="false" RunAs="System!System.PrivilegedMonitoringAccount">
<Category>StateCollection</Category>
<AlertSettings AlertMessage="Microsoft.Windows.Server.2012.MaxConcurrentAPI.Monitor.AlertMessage">
<AlertOnState>Error</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="MaxConcurrentAPIAvailable" MonitorTypeStateID="Success" HealthState="Success"/>
<OperationalState ID="MaxConcurrentAPIReached" MonitorTypeStateID="Error" HealthState="Error"/>
</OperationalStates>
<Configuration>
<DiagnosticMode>0</DiagnosticMode>
<IntervalSeconds>900</IntervalSeconds>
<SyncTime/>
<TimeoutSeconds>300</TimeoutSeconds>
<ThresholdWaiters>50</ThresholdWaiters>
<ThresholdTimeouts>2000</ThresholdTimeouts>
</Configuration>
</UnitMonitor>