Zum Beschränken der Suchs isolierter Namen auf vertrauenswürdigen externen Domänen in Windows Server

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 818024 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Wichtig Dieser Artikel enthält Informationen dazu, wie Sie die Registrierung ändern. Erstellen Sie eine Sicherung der Registrierung, bevor Sie sie ändern. Stellen Sie sicher, dass Sie wissen, wie Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung finden im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Standardmäßig Wenn dieLookupAccountName -Funktion oder die LsaLookupNames -Funktion in Windows Server isoliert Vererbungsstatus Sicherheits-IDs (SIDs) löst einen Remoteprozeduraufruf (RPC) auf den Domänencontrollern in vertrauenswürdigen externen Domänen erfolgt. (Ein isolierter Name ist ein Benutzerkonto nicht eindeutig, nicht-Domain-qualifizierter.) In Situationen, in denen die primäre Domäne hat viele externe Vertrauensstellungen mit anderen Domänen, oder welche viele Suchvorgänge gleichzeitig ausgeführt werden kann die Leistung verringern. Verbesserte Speichernutzung und erhöhte CPU-Auslastung möglicherweise auf dem Domänencontroller angezeigt.

Der LookupAccountName und die LsaLookupNames-Funktion können auch aufgerufen werden, Skripten oder Tools, die Sicherheitseinstellungen zu bearbeiten. SIDs müssen es, Kontonamen zugeordnet werden. Beispiele für Tools, die Sie verwenden können, um Sicherheitseinstellungen bearbeiten sind Cacls.exe, Xcacls.exe Icacls, Dsacls.exe und Subinacl.exe.

Dieser Artikel beschreibt, wie zum Bearbeiten der Registrierung zu Steuerelement, ob das Suchs isolierter Namen in vertrauenswürdigen externen Domänen unter Windows Server ausgeführt wird.

Weitere Informationen

Die Verweis-Funktionen akzeptieren Namen, die die folgenden Formaten verwenden:
  • NetBIOSDomainName\Kontoname
  • DNS-Domänenname\Kontoname
  • (UPN) Kontoname@DNS-Domänenname
  • (Isoliert) Kontoname
Für die ersten drei Formate in der Liste können Such-Funktionen direkt in der entsprechenden Domäne einen Domänencontroller abzielen, da diese Formate für die Domäne enthalten, die für den Sicherheitsprinzipal autorisierend ist.

Das vierte Namensformat (isoliert) Kontoname, ist nicht eindeutig. Die Verweis-Funktionen müssen systematisch zum Auflösen des Namens einer SID durch Zuordnen von RPC für jede vertrauenswürdige Domäne versuchen. Für Umgebungen, in denen viele externe Vertrauensstellungen vorhanden sind, kann dieser Vorgang eine serielle Enumeration von vertrauenswürdigen Domänen erforderlich, die darin besteht eine RPC zu einem Domänencontroller in jeder Domäne. In diesem Szenario verringert die Leistung erhöht die Anzahl der vertrauenswürdigen Domänen.

Wenn ein Skript oder ein Programm versucht, einen isolierten Namen aufzulösen, kann Leistung langsam sein. Dieses Problem kann beispielsweise auftreten, wenn das Skript oder die Anwendung so konfiguriert ist, dass zum Anmeldezeitpunkt ausgeführt. Das Problem kann auch auftreten, wenn das Skript oder die Anwendung auf viele Clients gleichzeitig ausgeführt. In Umgebungen mit vielen externen vertrauenswürdigen Domänen, die dieser Programme verwenden, möchten Sie möglicherweise die Lookups und zur Auflösung isolierter Namen in SIDs bei externen, vertrauenswürdigen Domänen deaktivieren.

Bearbeiten Sie die Registrierung der Suchs isolierter Namen in vertrauenswürdigen externen Domänen deaktivieren (oder aktivieren)

Wichtig: Wenn Sie Windows 2000 Server ausführen, müssen Sie zunächst den Hotfix installieren, der im Abschnitt "Windows 2000 Server-Hotfix-Informationen" weiter unten in diesem Artikel beschrieben wird, bevor Sie dieses Verfahren verwenden können.

Zum Bearbeiten der Registrierung zu Steuerelement, ob Suchs isolierter Namen in vertrauenswürdigen externen Domänen ausgeführt wird, erstellen Sie den folgenden Registrierungseintrag:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • Wenn dieser Eintrag nicht vorhanden ist oder wenn der Wert auf 0 festgelegt ist, wird die Suche nach isolierter Namen in externen vertrauenswürdigen Domänen ausgeführt.
  • Wenn dieser Registrierungseintrag auf 1 festgelegt ist, erfolgt keine Suche nach isolierten Namen in vertrauenswürdigen externen Domänen.
Standardmäßig erfolgt die Suche nach isolierten Namen in externen vertrauenswürdigen Domänen und die
LsaLookupRestrictIsolatedNameLevel
Eintrag ist in der Registrierung vorhanden.

Zum Erstellen der
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
Eintrag in der Registrierung und deaktivieren oder Aktivieren der Suchs isolierter Namen in vertrauenswürdigen externen Domänen, gehen Sie folgendermaßen vor.

Hinweis Dieser Registrierungseintrag nur auf Domänencontrollern zu erstellen.

Warnung Wenn Sie die Registrierung nicht ordnungsgemäß mithilfe von Registrierungs-Editor oder mithilfe einer anderen Methode ändern, können schwerwiegende Probleme auftreten. Diese Probleme erfordern möglicherweise eine Neuinstallation des Betriebssystems. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Sie ändern die Registrierung auf eigene Gefahr.
  1. Klicken Sie auf Start, und klicken Sie dann auf Ausführen.
  2. Geben Sie im Feld Öffnenregedit, und klicken Sie dann auf OK.
  3. Suchen Sie, und klicken Sie dann auf den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  4. Klicken Sie im Menü Bearbeiten auf neu, und klicken Sie dann auf DWORD-Wert.
  5. Typ LsaLookupRestrictIsolatedNameLevel, und drücken Sie dann die EINGABETASTE.
  6. Klicken Sie im Menü Bearbeiten auf Ändern.
  7. Gehen Sie je nach Ihrer Situation folgendermaßen vor:
    • Geben Sie zum Deaktivieren der Suchs isolierter Namen in vertrauenswürdigen externen Domänen 1 in das Feld Wert ein.
    • Geben Sie zum Aktivieren der Suchs isolierter Namen in vertrauenswürdigen externen Domänen 0 in das Feld Wert ein.
  8. Klicken Sie auf OK, und beenden Sie Registrierungs-Editor.

Windows 2000 Server-Hotfix-Informationen

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix behebt jedoch nur das Problem, welches in diesem Artikel beschrieben wird. Wenden Sie diesen Hotfix nur auf Systeme an, bei denen dieses spezielle Problem auftritt.

Wenn der Hotfix zum Download zur Verfügung steht, wird es im oberen Bereich dieses Artikels einen Link "Hotfix donwload" geben. Wenn dieser Link nicht angezeigt wird, senden Sie eine Anforderung an Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die üblichen Support-Kosten gelten für zusätzliche Supportfragen und Probleme, die für diesen speziellen Hotfix nicht qualifizieren. Eine vollständige Liste der Microsoft-Kundendienst und Support-Telefonnummern oder eine Möglichkeit zum Erstellen einer separaten Serviceanfrage finden Sie auf der folgenden Microsoft-Website:
http://support.Microsoft.com/contactus/?WS=Support
Hinweis Das Formular "Hotfixdownload available" zeigt die Sprachen an, in denen der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, liegt es daran, dass kein Hotfix für diese Sprache verfügbar ist.

Erforderliche Komponenten

Dieser Hotfix erfordert Microsoft Windows 2000 Service Pack 3 (SP3).

Ist ein Neustart erforderlich?

Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix angewendet haben.

Ersetzte Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist Dateiattribute (oder neuere Attribute) auf, die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien werden in Coordinated Universal Time (UTC) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, wird es in die lokale Ortszeit konvertiert. Um die Zeitverschiebung zwischen UTC-Zeit und lokaler Zeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone unter Datum und Uhrzeit in der Systemsteuerung.
Date         Time   Version        Size     File name 
--------------------------------------------------------
25-Sep-2003  12:11  5.0.2195.6824  124,688  Adsldp.dll 
25-Sep-2003  12:11  5.0.2195.6824  132,368  Adsldpc.dll 
25-Sep-2003  12:11  5.0.2195.6824  63,760   Adsmsext.dll 
25-Sep-2003  12:11  5.0.2195.6824  381,712  Advapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  69,904   Browser.dll 
25-Sep-2003  12:11  5.0.2195.6824  136,464  Dnsapi.dll 
25-Sep-2003  12:11  5.0.2195.6824  96,016   Dnsrslvr.dll 
25-Sep-2003  12:11  5.0.2195.6824  47,376   Eventlog.dll 
25-Sep-2003  12:11  5.0.2195.6824  148,240  Kdcsvc.dll 
20-Sep-2003  15:32  5.0.2195.6824  205,584  Kerberos.dll 
20-Sep-2003  15:32  5.0.2195.6824  71,888   Ksecdd.sys 
25-Sep-2003  08:58  5.0.2195.6826  510,224  Lsasrv.dll 
25-Sep-2003  08:58  5.0.2195.6826  33,552   Lsass.exe 
20-Sep-2003  15:32  5.0.2195.6824  109,840  Msv1_0.dll 
25-Sep-2003  12:11  5.0.2195.6824  307,984  Netapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  361,232  Netlogon.dll 
25-Sep-2003  12:11  5.0.2195.6826  931,600  Ntdsa.dll 
25-Sep-2003  12:11  5.0.2195.6824  392,464  Samsrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  113,936  Scecli.dll 
25-Sep-2003  12:11  5.0.2195.6824  259,856  Scesrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  48,912   W32time.dll 
20-Sep-2003  15:32  5.0.2195.6824  57,104   W32tm.exe 
25-Sep-2003  12:11  5.0.2195.6824  126,224  Wldap32.dll

Eigenschaften

Artikel-ID: 818024 - Geändert am: Mittwoch, 8. Januar 2014 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Keywords: 
kbautohotfix kbhotfixserver kbqfe kbwin2000presp5fix kbhowto kbmt KB818024 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 818024
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com