Freigeben über

Übersicht: Identifizieren und Beheben von MaxConcurrentApi-Problemen, die sich auf die Benutzerauthentifizierung auswirken

In diesem Artikel wird eine Reihe von Artikeln zusammengefasst, in denen erläutert wird, wie Sie Authentifizierungsfehler (und in einigen Fällen beheben) und Verlangsamungen beheben können, die auftreten, wenn Windows-Server von Authentifizierungsanforderungen überlastet werden. Der Prozess zur Identifizierung und Behebung dieser Probleme ist komplex. Lesen Sie diese Zusammenfassung und die Teile 1, 2 und 3, bevor Sie versuchen, dies zu ändern MaxConcurrentApi.

Wichtig

In den meisten Fällen sind die in diesen Artikeln beschriebenen Methoden Problemumgehungen. Sie lindern die Symptome, lösen aber nicht die zugrunde liegenden Probleme. Die Details dieser Probleme hängen von den Details Ihrer Infrastruktur ab.

Gilt für: Windows Server 2012 und neuere Versionen, Windows 8 und neuere Versionen

Problembeschreibung

Benutzer haben Probleme bei der Authentifizierung und treten möglicherweise auf viele andere Probleme auf, die nicht sofort mit der Authentifizierung zusammenhängen. Zum Beispiel:

  • Wenn Benutzer versuchen, sich bei Anwendungen oder Diensten anzumelden, treten möglicherweise Verhaltensweisen auf, die Folgendes umfassen:
    • Benutzer werden wiederholt zur Eingabe von Anmeldeinformationen aufgefordert, auch wenn sie die richtigen Anmeldeinformationen verwenden.
    • Der Authentifizierungsprozess ist langsamer als üblich oder schlägt vollständig fehl.
  • Benutzer haben Probleme beim Speichern von Dateien, da zugeordnete Laufwerke falsch als nicht verfügbar gekennzeichnet sind.
  • Benutzer haben Probleme beim Drucken oder Scannen, da zugeordnete Drucker oder andere Geräte falsch als nicht verfügbar gekennzeichnet sind.

Der Umfang und schweregrad dieser Probleme können im Laufe der Zeit konsistent bleiben oder schwanken. Zum Beispiel:

  • Die Authentifizierung verlangsamt oder schlägt für alle Benutzer oder für einige Benutzer, aber nicht für andere Benutzer vollständig fehl.
  • Das Problem kann beibehalten oder angezeigt und dann ausgeblendet werden.
  • Probleme können nur während bestimmter Tageszeiten auftreten, z. B. zwischen 8 und 9 Uhr.

Wenn Sie den Netlogon-Dienst auf einem Anwendungsserver oder einem Domänencontroller neu starten, wird das Problem möglicherweise nicht mehr angezeigt. Diese Technik ist jedoch nicht zuverlässig und bietet bestenfalls nur vorübergehende Erleichterungen.

Ursache: Timeouts der Netlogon-Authentifizierung

Diese Symptome können auftreten, wenn eine erhebliche Anzahl von Authentifizierungsanforderungen fehlschlägt, da sie ein Timeout haben.

Unter typischen Bedingungen sollte eine Authentifizierungsanforderung in weniger als einer Sekunde abgeschlossen werden. Die folgenden Merkmale des Netlogon-Diensts können jedoch zu Verzögerungen oder Fehlern im Authentifizierungsprozess führen:

  • Ein Windows-Server oder eine Arbeitsstation kann nur eine bestimmte Anzahl gleichzeitiger Authentifizierungsanforderungen verarbeiten. Diese Zahl wird als MaxConcurrentApi Wert für den Computer bezeichnet.
  • Wenn eine Authentifizierungsanforderung innerhalb von 45 Sekunden keine Antwort erhält, wird ein Zeitüberschreitung ausgeführt.

Betrachten Sie ein einfaches Beispiel: Eine typische Authentifizierungsanforderung übergibt von einem Anwendungsserver an einen Domänencontroller. Je nach Domänentopologie kann dieser Domänencontroller möglicherweise nicht auf die Anforderung antworten. Stattdessen wird die Anforderung an einen anderen Domänencontroller übergeben. Dieser Vorgang wird wiederholt, bis die Anforderung einen Domänencontroller erreicht, der antworten kann. Die Antwort folgt demselben Pfad in umgekehrter Richtung, bis sie den Anwendungsserver erreicht.

Berücksichtigen Sie nun Situationen, in denen einer der Server in dieser Kette mit mehr Authentifizierungsanforderungen beginnt, als MaxConcurrentApi die Verarbeitung zulässt. Dies kann dadurch verursacht werden, dass die Anzahl der Anforderungen erhöht wird oder jede Anforderung länger dauert, um die Lösung zu beheben. Auf beide Weise beginnen Authentifizierungsanforderungen mit einem Timeout. Der Server verfügt nun über das als MaxConcurrentApi (MCA)-Problem (auch als MCA-Engpass bezeichnet).

Mögliche schnelle Lösungen

Bevor Sie Zeit und Energie investieren, um MCA-Engpässe nachzuverfolgen und aufzulösen, überprüfen Sie die folgenden potenziellen Lösungen:

  • Stellen Sie sicher, dass Ihre Server Windows Server 2012 oder eine höhere Version von Windows ausführen. Diese Versionen von Windows weisen standardmäßig höhere MaxConcurrentApi Werte auf und sind weniger wahrscheinlich MCA-Engpässe als frühere Versionen.

  • Überprüfen Sie Ihre DNS-Infrastruktur (Domain Name Services) und Ihre Netzwerkverbindungen auf Fehler oder ineffiziente Konfigurationen.

  • Verwenden Sie die Kerberos-Authentifizierung nach Möglichkeit. Wie im folgenden Diagramm dargestellt, stellt der Netlogon-Dienst Funktionen für alle von Windows unterstützten Authentifizierungsmethoden bereit.

    Diagramm, das die Komponenten zeigt, die die primären Windows-Authentifizierung Funktionen bereitstellen und wie Netlogon zugrunde liegende Funktionen für verschiedene Authentifizierungsmethoden bereitstellt.

    Kerberos verwendet Netlogon jedoch wesentlich effizienter als andere Authentifizierungsmethoden (einmal für jedes Ticket, das anstelle eines Einmalversuchs pro Authentifizierungsversuch erstellt wird). Wenn Sie Kerberos verwenden, tritt weniger wahrscheinlich MCA-Engpässe auf.

    Notiz

    Weitere Informationen zu diesem Diagramm finden Sie unter Anmelde- und Authentifizierungstechnologien.

Nächste Schritte