Avez-vous déjà entendu parler de « MaxConcurrentApi » ?

Cette valeur qui peut être modifiée dans le registre, permet d’optimiser le nombre de canaux simultanés utilisés lors de requête d’authentification NTLM.

L’article suivant reprend le principe de l’authentification NTLM : http://blogs.technet.com/b/isrpfeplat/archive/2010/11/05/optimizing-ntlm-authentication-flow-in-multi-domain-environments.aspx.

Lorsqu’une authentification NTLM est demandée par un serveur, il demande à l’utilisateur de répondre à un chalenge. Il envoie un code au poste client dont la réponse sera liée à la fois au code et au mot de passe de l’utilisateur. Ensuite la réponse du client et le code du challenge sont envoyés à un des contrôleurs de domaine qui validera l’utilisateur. Les canaux de communication des serveurs et des contrôleurs de domaine sont par défaut limités, pour éviter que le nombre de demande mette à mal les performances des serveurs.

Dans le cas d’environnement mono-domaine le contrôleur de domaine ayant reçu la demande est en mesure de validé l’authentification. Dans une forêt multi-domaine si la ressource et l’utilisateur n’appartiennent pas au même domaine, le serveur envoie sa demande à un contrôleur de domaine de son domaine qui doit la transférer vers le domaine de l’utilisateur en passant par défaut par le domaine racine de la forêt.

Ce mécanisme peut augmenter le nombre de requête que doit suivre un contrôleur de domaine en même temps et créer un goulot d’étranglement au niveau de NTLM.

Une des conséquences possible et de se retrouver avec des fenêtres d’authentification sur les postes clients. C’est le cas par exemple pour Exchange 2010  où le rôle CAS multiplie les demandes NTLM. D’autres applications tel que SharePoint, Lync, System Center augmentent également le nombre de requête.

La valeur par défaut de « MaxConcurrentApi » est de :

-          1 pour un OS client membre du domaine

-          2 pour un serveur membre du domaine avant Windows 2012.

-          1 pour un contrôleur de domaine avant Windows 2012

-          10 pour l’ensemble des cas sur des serveurs Windows 2012 et suivants.

On constate donc que cette valeur n’a pas évolué de Windows 2000 à 2008R2, même si les serveurs physiques ont largement progressé. En 2012 cette valeur a été réactualisée.

Quelle est la valeur maximale pour «  MaxConcurrentApi » ?

-          Windows 2003 : 10

-          Windows 2008 et 2008R2 : 10 sans correctif, 150 après application d’un correctif

-          Windows 2008 R2 SP1 : 150 sans correctif

-          Windows 2012 : 150

Comment améliorer la prise en charge des requêtes NTLM :

-          En augmentant la valeur par défaut de « MaxConcurrentApi » à 10, si ce n’est pas suffisant vous pouvez utiliser la formule de calcul pour optimiser la requête (attention pas simple à reprendre les compteurs si vous disposez d’une version française, la documentation reprenant les noms anglais)

-          En créant des relations d’approbations raccourcies entre les domaines utilisateurs et serveurs. Ce point est important si vous avez en plus du multi sites et que vous n’avez pas de DC de chaque domaine sur chaque site.

-          En augmentant le nombre de contrôleurs de domaines

-          En utilisant Kerberos plutôt que NTLM

 

Comment modifier « MaxConcurrentApi » ?

Modifier la clé de registre sur vos contrôleurs de domaine et sur les serveurs concernés, par exemple :

Contrôleur de domaine : 10

Exchange , Sharepoint :5

Poste client : non modifié.

 

Il faut ajouter la valeur « MaxConcurrentApi » de type Dword dans « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters ».

Redémarrer le service « Netlogon »

« net stopt netlogon » 

« net start netlogon »

 

Quelques références :

The Curious Case of MaxConcurrentAPI :http://blogs.technet.com/b/get-exchangehelp/archive/2013/01/31/the-curious-case-of-maxconcurrentapi.aspx

Comment effectuer le réglage des performances pour l'authentification NTLM en utilisant le paramètre MaxConcurrentApi : http://support.microsoft.com/kb/2688798

Vous êtes invité par intermittence des informations d'identification ou rencontrez des délais d'attente lorsque vous vous connectez aux Services authentifiés : http://support.microsoft.com/kb/975363

http://social.technet.microsoft.com/wiki/contents/articles/9759.configuring-maxconcurrentapi-for-ntlm-pass-through-authentication.aspx

Configuring MaxConcurrentAPI for NTLM Pass-Through Authentication : http://blogs.technet.com/b/get-exchangehelp/archive/2013/01/31/configuring-kerberos-authentication-in-exchange-2010.aspx

Optimizing NTLM authentication flow in multi-domain environments : http://blogs.technet.com/b/isrpfeplat/archive/2010/11/05/optimizing-ntlm-authentication-flow-in-multi-domain-environments.aspx

Exchange 2010 : Configuration de l’authentification Kerberos pour les serveurs d’accès au client avec équilibrage de charge : http://technet.microsoft.com/fr-fr/library/ff808312(v=exchg.141).aspx

Activation de l'enregistrement de débogage pour le service Net Logon : http://support.microsoft.com/kb/109626

Ajouter un commentaire

Bloc brute

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
CAPTCHA
Cette question empêche les soumissions de spam automatisées. Merci de votre compréhension
14 + 0 =
Solve this simple math problem and enter the result. E.g. for 1+3, enter 4.