Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie die Active Directory-Replikation (AD) und Netlogon-Remoteprozeduraufrufe (RPCs) für Anforderungsbacklogwerte in Windows Server konfigurieren.
Es treten eine der folgenden Probleme auf:
- Tcp-Zurücksetzungen (Transmission Control Protocol) treten häufig auf, aber eine Netzwerkablaufverfolgungsanalyse stellt die Ursache nicht bereit.
- Microsoft Exchange-Server erhalten zeitweise 401 Fehler beim Authentifizieren bei Domänencontrollern.
- Exchange-Server können keine Verbindung mit Domänencontrollern herstellen und melden "Der Server ist nicht verfügbar".
- Microsoft Outlook fordert beim Authentifizieren bei einem Domänencontroller wiederholt zur Eingabe von Benutzeranmeldeinformationen auf.
- Diese Fehlermeldung wird angezeigt, wenn Sie sich anmelden:
"Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen."
Möglicherweise werden auch die folgenden Ereignisse in Windows Server angezeigt:
Ereignis-ID 3210
Event Log: System Event Type: Error Event Source: Netlogon Event ID: 3210 Event Text: This computer could not authenticate with [file://%3cDomain]\\<Domain Controller Name>.<Domain Name>, a Windows domain controller for domain <Domain Name>, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.Ereignis-ID 5719
Event Log: System Event Type: Error Event Source: Netlogon Event ID: 5719 Event Text: This computer was not able to set up a secure session with a domain controller in domain <Domain Name> due to the following: The remote procedure call failed and did not execute. This may lead to authentication problems. Make sure that this computer is connected to the network. If the problem persists, please contact your domain administrator.Ereignis-ID 7
Event Log: System Event Type: Error Event Source: Microsoft-Windows-Security-Kerberos Event ID: 7 Event Text: The digitally signed Privilege Attribute Certificate (PAC) that contains the authorization information for client <Hostname>$ in realm <Domain Name> could not be validated.
Ereignisse nach der Installation von Windows Preview-Updates Juni 2022
Windows Server 2019 , 23. Juni 2022 – KB5014669 (Os Build 17763.3113) Preview Update und Windows Server 2022 , 23. Juni 2022 – KB5014665 (Os Build 20348.803) Preview update report the problem and adjust settings for the RPC request backlog. Nach der Installation dieser Updates erhalten Sie möglicherweise die folgenden Ereignisse.
Der Netlogon-Dienst wird erfolgreich mit der angegebenen RPC-Backloggröße gestartet.
Event Log: System Event Type: Info Event Source: Netlogon Event ID: 5836 Event Text: The Netlogon service was able to bind to a TCP/IP port with the configured backlog size of <Configured Backlog Size>Fehler bei der Netlogon-Dienstgröße.
Event Log: System Event Type: Warning Event Source: Netlogon Event ID: 5837 Event Text: The Netlogon service tried to bind to a TCP/IP port with the configured backlog size of <Configured RPC Backlog Size> but failed. More information can be found in the following log file '%SystemRoot%\debug\netlogon.log' and, potentially, in the log file '%SystemRoot%\debug\netlogon.bak' created if the former log becomes full. For steps in enabling the log, please visit https://go.microsoft.com/fwlink/?linkid=2163327.Fehler bei der Active Directory-Replikation im Zusammenhang mit dem Grenzwert für den Backlog.
Event Log: Active Directory Domain Services Event Type: Warning Event Source: ActiveDirectory_DomainService Event ID: 3042 Event Text: Active Directory Domain Services could not configure the TCP port with the backlog limit as specified in registry. Additional Data TCP Port: <Configured Port> Configured backlog limit: <Backlog Limit Configured on Port> Registry backlog limit: <Backlog Limit Specified in Registry> User Action: Make sure the same TCP port is not being used by other services such as Netlogon and the Active Directory Domain Controller has been rebooted after configuring the backlog limit value in registry.
Der Grenzwert für den Backlog wird überschritten.
Die für die AD-Replikation und RPCs für den Netlogon-Dienst registrierten TCP/IP-Ports (Transmission Control Protocol/Internet Protocol) werden mit einem Backlog-Grenzwert konfiguriert. Der Standardwert lautet 10. Dieser Wert stellt die maximale Anzahl von Anforderungen dar, die im registrierten TCP/IP-Port in die Warteschlange gestellt werden können. Wenn der Grenzwert für den Backlog überschritten wird, werden die TCP SYN-Pakete sofort von der RPC-Ebene auf dem Server zurückgesetzt. Dieses Verhalten wirkt sich auf die Authentifizierung auf den Systemen aus.
Erhöhen des Grenzwerts für RPC-Backlog für DRSUAPI und Netlogon
Wichtig
Dieser Abschnitt enthält Anweisungen zum Ändern der Registrierung. Schwerwiegende Probleme können auftreten, wenn die Registrierung falsch geändert wird. Sichern Sie als Vorsichtsmaßnahme die Registrierung, bevor Sie sie ändern. Weitere Informationen zum Sichern, Wiederherstellen und Ändern der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.
Sie können den Registrierungs-Editor verwenden, um die RPC-Backlog-Grenzwerte für DRSUAPI und den Netlogon-Dienst wie folgt zu erhöhen:
Notiz
Es wird empfohlen, dass Administratoren die richtigen Werte in den Registrierungsschlüsseln konfigurieren. Große Werte auf Ihren Windows-Servern können zu großen Mengen nicht ausgelagerter Poolspeicherauslastung führen. Administratoren sollten den Speicherbedarf gegenüber den Skalierbarkeitsanforderungen ausgleichen.
Registrierungsschlüssel für DRSUAPI
Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Registrierungswert: TCP/IP Backlog Limit
Werttyp: REG_DWORD
Wertdaten: Beliebiger Wert zwischen 10 und 100Starten Sie das System neu, damit die Einstellung wirksam wird.
Registrierungsschlüssel für Netlogon
Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Registrierungswert: DcTcpipBacklogLimit
Werttyp: REG_DWORD
Wertdaten: Beliebiger Wert zwischen 10 und 100Starten Sie den Netlogon-Dienst neu, damit die Einstellung wirksam wird. Möglicherweise müssen Sie den Domänencontroller auch neu starten.