Analyse du nombre maximal d'API simultanées Windows Server 2012

Résumé

Lorsque des clients connaissent des interruptions Windows Authentication, Exchange, SharePoint + LOB à cause de la valeur par défaut basse de MaxConcurrentAPI, qui est un plafond pour le nombre maximal de validations de mot de passe PAC NTLM ou Kerberos qu'un serveur peut gérer simultanément.

Considérez le scénario suivant :

• Vous avez une ou plusieurs forêts qui disposent de plusieurs domaines.

• Il existe des combinaisons d'utilisateurs et de ressources (telles que des applications ou des serveurs proxy) dans des domaines différents.

• Il y a beaucoup de demandes d'ouverture de session NTLM d'utilisateurs d'un domaine distant à un serveur de ressource qui exécute Windows Server 2008 R2.

Dans ce scénario, le NTLM demande une expiration du délai d'attente. Par exemple, les clients Exchange ne s'authentifient pas sur le serveur Exchange lorsque ce problème se produit. Par conséquent, les utilisateurs ne peuvent pas accéder à leurs boîtes aux lettres, et Microsoft Outlook semble cesser de répondre.

Causes

Ce problème se produit car la limitation de l'API NTLM est atteinte.

La prolifération des dispositifs générant une charge au niveau de l'authentification conduit à une croissance des pannes dans les grandes organisations.

Les économies d'échelle obtenues par le cloud surchargent l'infrastructure Windows qui exploite Active Directory.

BPOS et O365 ont déjà augmenté cette valeur à 10 et 150 respectivement. Un correctif de Registre a été largement déployé via des engagements de cas CSS.

Résolutions

• Augmentez la valeur de Registre MaxConcurrentApi sur le ou les serveurs qui constatent le problème. Pour modifier le paramètre MaxConcurrentApi, procédez comme suit :

  • 1. Cliquez sur Démarrer, sur Exécuter, tapez « regedit », puis cliquez sur OK.

    2. Localisez la sous-clé de Registre suivante, puis cliquez dessus :

    3. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    4. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur DWORD Value.

    5. Tapez « MaxConcurrentApi », et appuyez sur Entrée.

    6. Dans le menu Edition, cliquez sur Modifier.

    7. Tapez le nouveau paramètre MaxConcurrentApi en décimal, puis cliquez sur OK.

    8. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

    9. net stop netlogon

    10. Entrez la commande suivante, puis appuyez sur Entrée :

    11. net start netlogon

  • Vérifiez que le réseau entre le serveur et ses contrôleurs de domaine (ou contrôleurs de domaine approuvé, si la condition a été vue sur un contrôleur de domaine) ne subit aucun temps d'attente. Une latence du réseau peut provoquer ou aggraver le problème.

  • Pour les applications et services qui utilisent NTLM, il suffit de les configurer pour utiliser l'authentification Kerberos à la place. Les méthodes à suivre sont uniques à ces applications.

  • Si la validation PAC Kerberos est considérée comme un symptôme, désactivez la validation PAC Kerberos si le service le permet. Cette opération doit être effectuée sur le serveur sur lequel apparaît l'événement de système Kerberos 7.

Remarque : La validation PAC Kerberos ne peut pas être désactivée pour les pools d'applications IIS ou pour certains services liés à Exchange.

Remarque : Pour déterminer la valeur à définir pour le paramètre MaxConcurrentApi dans votre environnement, reportez-vous à l'article de Base de connaissances ci-dessous.

Article de la Base de connaissances : 2688798

Complément

Comment effectuer le réglage des performances pour l'authentification NTLM en utilisant le paramètre MaxConcurrentApi.

Plus d'informations

Pour plus d'informations à ce sujet, consultez l'article TechNet ci-dessous. Configuring MaxConcurrentAPI for NTLM Pass-Through Authentication (Configuration de MaxConcurrentAPI pour l'authentification directe NTLM).