Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Oryginalny numer KB: 818024
Podczas wywoływania funkcji LookupAccountName lub LsaLookupNames w celu rozpoznawania izolowanych nazw (niejednoznacznych lub niekwalifikowanych kont użytkowników) do identyfikatorów zabezpieczeń (SID) można zauważyć zwiększone użycie pamięci i procesora CPU na kontrolerze domeny i zmniejszoną wydajność.
Na przykład niska wydajność może wystąpić w przypadku używania skryptów lub narzędzi (takich jak Cacls.exe, Xcacls.exe, icacls.exe, Dsacls.exe i Subinacl.exe) w celu wywołania funkcji w celu edytowania ustawień zabezpieczeń.
Problem może pojawić się, gdy masz wiele zaufanych domen lub lasów (dotyczy zarówno relacji zaufania zewnętrznego, jak i lasu) i/lub niektóre z tych domen lub lasów są w trybie offline lub działają wolno.
Gdy funkcje są wywoływane dla nazwy izolowanej (format to AccountName w przeciwieństwie do domeny\AccountName), zdalne wywołanie procedury (RPC) jest wykonywane do kontrolerów domeny we wszystkich zaufanych domenach/lasach. Ten problem może wystąpić, jeśli domena podstawowa ma wiele relacji zaufania z innymi domenami/lasami lub jeśli wykonuje wiele odnośników jednocześnie. Na przykład skrypt jest skonfigurowany do uruchamiania przy uruchamianiu wielu klientów lub wiele zaufanych domen/lasów używa tego samego skryptu jednocześnie.
Wyłączanie wyszukiwania izolowanych nazw w zaufanych domenach/lasach
Uwaga 16.
Utwórz ten wpis rejestru tylko na kontrolerach domeny.
Poniżej przedstawiono sposób tworzenia wpisu rejestru w celu wyłączenia wyszukiwania izolowanych nazw w zaufanych domenach/lasach:
Ważne
Ten artykuł zawiera instrukcje modyfikowania rejestru. Poważne problemy mogą wystąpić, jeśli rejestr został niepoprawnie zmodyfikowany. Jako środek ostrożności utwórz kopię zapasową rejestru przed zmodyfikowaniem go. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.
Uruchom Edytor rejestru.
Przejdź do
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.W menu Edycja wybierz pozycję Nowa>wartość DWORD.
Wpisz LsaLookupRestrictIsolatedNameLevel i naciśnij Enter.
Kliknij prawym przyciskiem myszy pozycję LsaLookupRestrictIsolatedNameLevel i wybierz polecenie Modyfikuj. Wpisz wartość 1 w polu Dane wartości .
Uwaga 16.
Domyślnie wpis LsaLookupRestrictIsolatedNameLevel jest ustawiony na wartość 0 lub nie istnieje. Oznacza to, że wyszukiwanie izolowanych nazw w zaufanych domenach/lasach jest włączone.
Wybierz przycisk OK i zamknij Edytor rejestru.
Więcej informacji
Funkcje wyszukiwania mogą bezpośrednio dotyczyć kontrolera domeny w odpowiedniej domenie dla następujących formatów nazw, które zawierają autorytatywną domenę podmiotu zabezpieczeń:
- NetBIOSDomainName\AccountName
- DnsDomainName\AccountName
- AccountName@DnsDomainName
Aby uzyskać więcej informacji, zobacz Algorytmy weryfikacji dostępu do sieci i przykłady dla systemu Windows.