Hair-Extensions, oder - so werden auch alte Zöpfe schön

Hallo, hier ist mal wieder Herbert.

Der regelmäßige Leser dieses Blogs hat schon den Artikel zu den exzessiven NTLM-Anmeldungen durch die RPC Runtime und andere auf NTLM-Anmeldungen fixierte Applikationen gelesen.

Seit neuestem gibt es nun einen Update für Windows Server 2008 R2. Mit diesem Update werden nun Time-Outs beim Warten auf einen API Slot in der System Eventlog berichtet in den Events 5816 und 5817: https://support.microsoft.com/default.aspx?scid=kb;EN-US;2654097

Mit diesem Update kann zusätzlich über den Registry Eintrag „WarningEventThreshold“ Warnungsevents aktiviert werden. Event 5818 wird geloggt, wenn eine Anmeldung „WarningEventThresholdSekunden auf einen API Slot warten musste, Event 5819 wird geloggt wenn das innerhalb des Monitoring Intervalls mindestens einmal wieder passiert ist. Als Admin bekommt Ihr also schon eine Warnung, wenn die Benutzer "nur" länger warten müssen als erwartet.

Es gibt einen weiteren Fehlerzustand, wenn der Request zwar einen API Slot bekommt, beim Warten auf die Antwort des Domain Controllers die 45 Sekunden Wartezeit ablaufen. In dem Fall wird das Event 5783 geloggt, maximal alle vier Stunden. An der Behandlung dieser Situation haben wir nichts geändert.

Zusammen mit den Netlogon Performance Countern (siehe KB 2688798 "How to do performance tuning for NTLM authentication by using the MaxConcurrentApi setting", https://support.microsoft.com/default.aspx?scid=kb;EN-US;2688798) und dem Erhöhen von „MaxConcurrentAPI“ bietet der Update eine deutliche Erleichterung bei der Skalierung und Überwachung der NTLM-Aktivitäten im Forest.

Mit diesen Werkzeugen ausgestattet könnten sich die NTLM-affinen Applikationen nun doch bis and Ende Ihrer Lebenszeit vernünftig betreiben lassen.

Trägt sein Haar offen: Herbert