如何为大量身份验证请求配置 ISA 服务器计算机
09/15/2020
本文内容
此分步文章介绍如何在运行 Microsoft Internet Security and Acceleration (ISA) Server 的计算机上提高身份验证吞吐量。
适用于: Windows Server 2012R2
原始 KB 编号: 326040
重要
本文包含有关如何修改注册表的信息。 修改注册表之前,一定要先对其进行备份。 并且一定要知道在发生问题时如何还原注册表。 若要详细了解如何备份、还原和修改注册表,请单击以下文章编号以查看 Microsoft 知识库中的文章:256986 Microsoft Windows 注册表说明
摘要
如果计算机对许多 Web 客户端使用 NTLM 或基本身份验证,则可能会遇到性能不佳的问题。 关闭身份验证后,不会发生此问题。
您可以通过增加 ISA 服务器计算机和域控制器之间同时进行中的并发身份验证调用数来提高身份验证吞吐量。
Windows成员服务器默认情况下最多只发出两个并发 NTLM 身份验证请求。 Windows域控制器仅支持使用远程身份验证用户和域控制器 (每个) 个并发身份验证请求。
添加注册表项
警告
如果使用注册表编辑器或使用其他方法错误地修改了注册表,则可能会发生严重问题。 这些问题可能需要重新安装操作系统才能解决。 Microsoft 不能保证可以解决这些问题。 修改注册表的风险由您自行承担。
按照以下步骤在 ISA 服务器计算机和域控制器之间一次增加进行中的并发身份验证呼叫数。
启动 注册表编辑器。 为此,请单击 "开始",单击 " 运行 ",Regedt32.exe, 然后单击"确定 "。
找到以下注册表项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
在" 编辑" 菜单上,单击" 添加值",然后添加以下注册表信息:
值名称:MaxConcurrentApi
数据类型:REG_DWORD
值:介于 0 和 10 之间。
Windows 2008 R2 最大值为 150。
重新启动 NETLOGON 服务。 若要使用较高的值,您需要安装更新 :975363 从高延迟网络中远程域的用户发送许多 NTLM 身份验证请求时,将发生一个退出错误。
备注
将 MaxConcurrentApi 条目的值增大到大于 5 的值时,请确保监视发送到域控制器的请求数。
如果您有一台运行 Microsoft Windows 2000 Advanced Server 的计算机,您可以使用网络负载平衡组件 (以前称为 Windows 2000 Advanced Server 的 WLBS) 在多个 IAS 服务器之间分发传入访问请求。 这有助于服务器在网络流量较高时执行得更佳。
若要平衡 Web 请求和身份验证的负载并提高性能,还可以在阵列中使用更多的 ISA 服务器计算机。
应在资源服务器和在用户域路径上处理 NTLM 身份验证请求的所有中间 DC 上设置值。 在具有域 users.contoso.com 且 servers.contoso.com 具有资源服务器的多级 Active Director contoso.com y 林林中,这意味着您必须在 server.contoso.com 中的资源服务器和 DCS 和 contoso.com 中的 DC 上设置这一点。
另一种提高性能的方法可能是使用 Kerberos 对客户端计算机进行身份验证,但 6 和早期版本不支持Internet Explorer此方法。 之前。
参考
有关增加上述限制的 Windows Server 2008 R2 更新的信息:
975363 从高延迟网络中运行 Windows Server 2008 R2 或 Windows 7 的计算机发送许多 NTLM 身份验证请求时,将发生一个退出错误
359
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
