Cómo restringir la búsqueda de nombres aislados en dominios externos de confianza en Windows Server

Seleccione idioma Seleccione idioma
Id. de artículo: 818024 - Ver los productos a los que se aplica este artículo
Importante Este artículo contiene información acerca de cómo modificar el registro. Asegúrese de hacer copia de seguridad del registro antes de modificarlo. Asegúrese de que sabe cómo restaurarlo si surge algún problema. Para obtener más información acerca de cómo hacer copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo hacer copia de seguridad y restaurar el registro en Windows
Expandir todo | Contraer todo

En esta página

Resumen

De manera predeterminada, cuando la funciónLookupAccountName o la LsaLookupNames resuelve totalmente aislado los identificadores de seguridad (SID) de Windows Server, se realiza una llamada a procedimiento remoto (RPC) para los controladores de dominio en dominios externos de confianza. (Un nombre aislado es una cuenta de usuario ambigua, no cualificado por dominio). En situaciones en las que el dominio principal tiene muchas relaciones de confianza externas con otros dominios o en que se efectúan muchas búsquedas al mismo tiempo, el rendimiento puede disminuir. Puede ver el uso de memoria aumenta y un mayor uso de la CPU en el controlador de dominio.

La función LookupAccountName y la función de LsaLookupNamestambién se puede llamar mediante secuencias de comandos o herramientas que edición la configuración de seguridad. Allí, los nombres de cuenta deben asignarse a SID. Ejemplos de herramientas que puede utilizar para modificar la configuración de seguridad son Cacls.exe, Xcacls.exe, icacls, Dsacls.exe y Subinacl.exe.

Este artículo describe cómo modificar el registro para controlar si se realiza la búsqueda de nombres aislados en dominios externos de confianza en Windows Server.

Más información

Las funciones de búsqueda aceptan nombres que utilicen los siguientes formatos:
  • NetBIOSDomainName.\Nombre de cuenta
  • NombreDominioDns\Nombre de cuenta
  • (UPN) Nombre de cuenta@NombreDominioDns
  • (Aislado) Nombre de cuenta
Para los formatos de tres nombre primeros en la lista, las funciones de búsqueda pueden destinar directamente un controlador de dominio en el dominio apropiado, porque estos formatos de nombre contienen el dominio en el que está autorizado para la entidad de seguridad.

El formato de nombre cuarto, (aislado) Nombre de cuenta, es ambiguo. Las funciones de búsqueda sistemáticamente deben intentar resolver el nombre a un SID haciendo una llamada RPC en cada dominio de confianza. Para entornos donde existen muchos confianzas externas, esta operación puede requerir una enumeración de serie de los dominios de confianza que conlleva la realización de una llamada RPC a un controlador de dominio en cada dominio. En este escenario, el rendimiento disminuye el número de dominios de confianza aumenta.

Si una secuencia de comandos o un programa intenta resolver un nombre aislado, el rendimiento puede ser lento. Por ejemplo, este problema puede producirse si la secuencia de comandos o el programa está configurado para ejecutarse en el momento de inicio de sesión. El problema también puede producirse si la secuencia de comandos o el programa se ejecuta en muchos clientes al mismo tiempo. En entornos con muchos dominios de confianza externos que utilizan este tipo de programas, es aconsejable deshabilitar la búsqueda y la resolución de nombres aislados a SID de dominios externos de confianza.

Modificar el registro para desactivar (o activar) la búsqueda de nombres aislados en dominios externos de confianza

Importante: Si está ejecutando Windows 2000 Server, debe instalar la revisión que se describe en la sección "Información de revisión de Windows 2000 Server" más adelante en este artículo antes de utilizar este procedimiento.

Para modificar el registro para controlar si se realiza la búsqueda de nombres aislados en dominios externos de confianza, cree la siguiente entrada del registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • Si esta entrada no existe, o si el valor se establece en 0, se realiza la búsqueda de nombres aislados en dominios externos de confianza.
  • Si esta entrada del registro se establece en 1, no se realiza la búsqueda de nombres aislados en dominios externos de confianza.
De forma predeterminada, se realiza la búsqueda de nombres aislados en dominios de confianza externos y la
LsaLookupRestrictIsolatedNameLevel
entrada no está presente en el registro.

Para crear el
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
entrada de registro y para deshabilitar o habilitar la búsqueda de nombres aislados en dominios externos de confianza, siga estos pasos.

Nota Crear esta entrada del registro en los controladores de dominio.

Advertencia Pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o con cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar que estos problemas puedan resolverse. Modifique el registro bajo su responsabilidad.
  1. Haga clic en Inicioy, a continuación, haga clic en Ejecutar
  2. En el cuadro Abrir , escriba Regedity, a continuación, haga clic en Aceptar.
  3. Busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  4. En el menú Edición , seleccione nuevoy, a continuación, haga clic en Valor DWORD.
  5. Tipo LsaLookupRestrictIsolatedNameLevel, y, a continuación, presione ENTRAR.
  6. En el menú Edición , haga clic en Modificar.
  7. Siga uno de los siguientes valores, dependiendo de su situación:
    • Para deshabilitar la búsqueda de nombres aislados en dominios externos de confianza, escriba 1 en el cuadro información del valor .
    • Para habilitar la búsqueda de nombres aislados en dominios externos de confianza, escriba 0 en el cuadro información del valor .
  8. Haga clic en Aceptary, a continuación, salga del Editor del registro.

Información de la revisión de Windows 2000 Server

Hay un hotfix soportado disponible de Microsoft. Sin embargo, esta revisión se diseñó únicamente para corregir el problema descrito en este artículo. Aplicar esta revisión sólo a los sistemas que experimenten este problema específico.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de la revisión disponible" en la parte superior de este artículo de Knowledge Base. Si no aparece en esta sección, enviar una solicitud de servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota Si se producen problemas adicionales o si necesita solucionar un problema, es posible que deba crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no guarden relación con esta revisión en cuestión. Para obtener una lista completa de los números de teléfono de soporte técnico y servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:
http://support.Microsoft.com/contactus/?ws=support
Nota El formulario de "Descarga de revisión disponible" muestra los idiomas para los que la revisión está disponible. Si no ve su idioma, es porque una revisión no está disponible para ese idioma.

Requisitos previos

Esta revisión requiere Microsoft Windows 2000 Service Pack 3 (SP3).

Requisito de reinicio

Tendrá que reiniciar el equipo después de aplicar esta revisión.

Información de sustitución de la revisión

Este hotfix no sustituye a ninguna otra revisión.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Cuando vea la información de archivo, se convierte en hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria en el elemento Fecha y hora en el Panel de Control.
Date         Time   Version        Size     File name 
--------------------------------------------------------
25-Sep-2003  12:11  5.0.2195.6824  124,688  Adsldp.dll 
25-Sep-2003  12:11  5.0.2195.6824  132,368  Adsldpc.dll 
25-Sep-2003  12:11  5.0.2195.6824  63,760   Adsmsext.dll 
25-Sep-2003  12:11  5.0.2195.6824  381,712  Advapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  69,904   Browser.dll 
25-Sep-2003  12:11  5.0.2195.6824  136,464  Dnsapi.dll 
25-Sep-2003  12:11  5.0.2195.6824  96,016   Dnsrslvr.dll 
25-Sep-2003  12:11  5.0.2195.6824  47,376   Eventlog.dll 
25-Sep-2003  12:11  5.0.2195.6824  148,240  Kdcsvc.dll 
20-Sep-2003  15:32  5.0.2195.6824  205,584  Kerberos.dll 
20-Sep-2003  15:32  5.0.2195.6824  71,888   Ksecdd.sys 
25-Sep-2003  08:58  5.0.2195.6826  510,224  Lsasrv.dll 
25-Sep-2003  08:58  5.0.2195.6826  33,552   Lsass.exe 
20-Sep-2003  15:32  5.0.2195.6824  109,840  Msv1_0.dll 
25-Sep-2003  12:11  5.0.2195.6824  307,984  Netapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  361,232  Netlogon.dll 
25-Sep-2003  12:11  5.0.2195.6826  931,600  Ntdsa.dll 
25-Sep-2003  12:11  5.0.2195.6824  392,464  Samsrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  113,936  Scecli.dll 
25-Sep-2003  12:11  5.0.2195.6824  259,856  Scesrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  48,912   W32time.dll 
20-Sep-2003  15:32  5.0.2195.6824  57,104   W32tm.exe 
25-Sep-2003  12:11  5.0.2195.6824  126,224  Wldap32.dll

Propiedades

Id. de artículo: 818024 - Última revisión: miércoles, 8 de enero de 2014 - Versión: 1.0
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Palabras clave: 
kbautohotfix kbhotfixserver kbqfe kbwin2000presp5fix kbhowto kbmt KB818024 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 818024

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com