Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come configurare i valori di backlog delle richieste di richieste di Active Directory (AD) e chiamate di routine remota netlogon in Windows Server.
Si verifica uno dei problemi seguenti:
- Le reimpostazioni TCP (Transmission Control Protocol) vengono eseguite frequentemente, ma un'analisi di traccia di rete non fornisce la causa radice.
- I server di Microsoft Exchange ricevono errori 401 in modo intermittente durante l'autenticazione nei controller di dominio.
- I server Exchange non riescono a connettersi ai controller di dominio e segnalano che il server non è disponibile.
- Microsoft Outlook richiede ripetutamente le credenziali utente durante l'autenticazione a un controller di dominio.
- Questo messaggio di errore viene visualizzato quando si esegue l'accesso:
"La relazione di trust tra questa workstation e il dominio primario non è riuscita".
In Windows Server potrebbero essere visualizzati anche gli eventi seguenti:
ID evento 3210
Event Log: System Event Type: Error Event Source: Netlogon Event ID: 3210 Event Text: This computer could not authenticate with [file://%3cDomain]\\<Domain Controller Name>.<Domain Name>, a Windows domain controller for domain <Domain Name>, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.ID evento 5719
Event Log: System Event Type: Error Event Source: Netlogon Event ID: 5719 Event Text: This computer was not able to set up a secure session with a domain controller in domain <Domain Name> due to the following: The remote procedure call failed and did not execute. This may lead to authentication problems. Make sure that this computer is connected to the network. If the problem persists, please contact your domain administrator.ID evento 7
Event Log: System Event Type: Error Event Source: Microsoft-Windows-Security-Kerberos Event ID: 7 Event Text: The digitally signed Privilege Attribute Certificate (PAC) that contains the authorization information for client <Hostname>$ in realm <Domain Name> could not be validated.
Eventi dopo l'installazione degli aggiornamenti di Windows Preview di giugno 2022
Windows Server 2019 23 giugno 2022- KB5014669 (Build del sistema operativo 17763.3113) Aggiornamento dell'anteprima e Windows Server 2022 Giugno 23 giugno 2022- KB5014665 (Build sistema operativo 20348.803) Aggiornamento dell'anteprima segnalano il problema e modificano le impostazioni per il backlog della richiesta RPC. Dopo l'installazione di questi aggiornamenti, è possibile ricevere gli eventi seguenti.
Il servizio Netlogon viene avviato correttamente con le dimensioni del backlog RPC specificate.
Event Log: System Event Type: Info Event Source: Netlogon Event ID: 5836 Event Text: The Netlogon service was able to bind to a TCP/IP port with the configured backlog size of <Configured Backlog Size>Errore relativo alle dimensioni del backlog del servizio Netlogon.
Event Log: System Event Type: Warning Event Source: Netlogon Event ID: 5837 Event Text: The Netlogon service tried to bind to a TCP/IP port with the configured backlog size of <Configured RPC Backlog Size> but failed. More information can be found in the following log file '%SystemRoot%\debug\netlogon.log' and, potentially, in the log file '%SystemRoot%\debug\netlogon.bak' created if the former log becomes full. For steps in enabling the log, please visit https://go.microsoft.com/fwlink/?linkid=2163327.Errore di limite del backlog correlato alla replica di Active Directory.
Event Log: Active Directory Domain Services Event Type: Warning Event Source: ActiveDirectory_DomainService Event ID: 3042 Event Text: Active Directory Domain Services could not configure the TCP port with the backlog limit as specified in registry. Additional Data TCP Port: <Configured Port> Configured backlog limit: <Backlog Limit Configured on Port> Registry backlog limit: <Backlog Limit Specified in Registry> User Action: Make sure the same TCP port is not being used by other services such as Netlogon and the Active Directory Domain Controller has been rebooted after configuring the backlog limit value in registry.
Il valore limite del backlog viene superato
Le porte TCP/IP (Transmission Control Protocol/IP) registrate per la replica di Active Directory e i CONTROLLER di dominio per il servizio Netlogon vengono configurate con un valore limite di backlog. Il valore predefinito è 10. Questo valore rappresenta il numero massimo di richieste che possono essere accodate sulla porta TCP/IP registrata. Quando viene superato il valore limite del backlog, i pacchetti TCP SYN vengono immediatamente reimpostati dal livello RPC nel server. Questo comportamento influirà sull'autenticazione nei sistemi.
Aumentare il valore limite del backlog RPC per DRSUAPI e Netlogon
Importante
Questa sezione contiene istruzioni per modificare il Registro di sistema. Se il Registro di sistema viene modificato in modo non corretto, potrebbero verificarsi gravi problemi. Per precauzione, eseguire il backup del Registro di sistema prima di modificarlo. Per ulteriori informazioni su come eseguire backup, ripristino e modifiche al Registro di sistema, vedere Back up e ripristino del Registro di sistema in Windows.
È possibile usare l'editor del Registro di sistema per aumentare i valori limite del backlog RPC per DRSUAPI e il servizio Netlogon come indicato di seguito:
Note
È consigliabile che gli amministratori configurino i valori appropriati nelle chiavi del Registro di sistema. Valori di grandi dimensioni nei server Windows possono causare grandi quantità di utilizzo della memoria del pool non di paging. Gli amministratori devono bilanciare il footprint della memoria rispetto ai requisiti di scalabilità.
Chiave del Registro di sistema per DRSUAPI
Chiave di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Valore del Registro di sistema: limite backlog TCP/IP
Tipo valore: REG_DWORD
Dati valore: qualsiasi valore compreso tra 10 e 100Riavviare il sistema per rendere effettiva l'impostazione.
Chiave del Registro di sistema per Netlogon
Chiave di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Valore del Registro di sistema: DcTcpipBacklogLimit
Tipo valore: REG_DWORD
Dati valore: qualsiasi valore compreso tra 10 e 100Riavviare il servizio Netlogon per rendere effettiva l'impostazione. Potrebbe anche essere necessario riavviare il controller di dominio.