Cara untuk membatasi pencarian nama terisolasi ke domain eksternal yang terpercaya di Windows Server

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 818024 - Melihat produk di mana artikel ini berlaku.
Penting Artikel ini berisi informasi tentang cara mengubah registri. Pastikan bahwa Anda membuat cadangan registri sebelum Anda memodifikasinya. Pastikan bahwa Anda tahu cara memulihkan registri jika terjadi masalah. Untuk informasi lebih lanjut tentang cara membuat cadangan, memulihkan, dan memodifikasi registri, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri pada Windows
Perbesar semua | Perkecil semua

Pada Halaman ini

Ringkasan

secara asali, bilaLookupAccountName fungsi atau fungsi LsaLookupNames menyelesaikan namesto terisolasi pengidentifikasi keamanan (SID) di Windows Server, panggilan prosedur jauh (RPC) dibuat ke pengendali domain di domain eksternal yang terpercaya. (Nama terisolasi adalah akun pengguna ambigu, kualifikasi domain). Dalam situasi di mana domain utama memiliki banyak eksternal percaya hubungan dengan domain lainnya atau yang banyak pencarian dilakukan pada waktu yang sama, kinerja dapat menurunkan. Anda mungkin melihat penggunaan kehabisan memori meningkat dan peningkatan penggunaan CPU pada domain controller.

LookupAccountName fungsi dan fungsi LsaLookupNamesdapat juga disebut oleh script atau alat yang mengedit pengaturan keamanan. Di sana, nama akun harus dipetakan ke SIDs. Contoh alat yang dapat Anda gunakan untuk mengedit pengaturan keamanan adalah Cacls.exe, Xcacls.exe, icacls, Dsacls.exe, dan Subinacl.exe.

Artikel ini menjelaskan cara mengedit registri untuk mengontrol apakah lookup terisolasi nama dilakukan di luar domain yang terpercaya di Windows Server.

Informasi lebih lanjut

Fungsi lookup menerima nama yang menggunakan format berikut:
  • NetBIOSDomainName\AccountName
  • DnsDomainName\AccountName
  • (UPN) AccountName@DnsDomainName
  • (Terisolasi) AccountName
Untuk format nama tiga pertama dalam daftar, fungsi pencarian yang dapat langsung menargetkan pengendali domain pada domain yang sesuai karena mengandung format nama domain yang otoritatif untuk keamanan utama.

Format nama keempat, (terisolasi) AccountName, ambigu. Fungsi pencarian sistematis harus mencoba menetapkan nama untuk SID dengan membuat RPC untuk setiap domain yang terpercaya. Untuk lingkungan dimana banyak eksternal percaya ada, operasi ini mungkin memerlukan enumerasi serial dari domain yang terpercaya yang melibatkan membuat RPC ke pengendali domain di setiap domain. Dalam skenario ini, kinerja berkurang karena jumlah domain yang terpercaya meningkat.

Jika script atau program mencoba menetapkan nama yang terisolasi, kinerja mungkin lambat. Misalnya, masalah ini dapat terjadi jika script atau program dikonfigurasi untuk menjalankan saat masuk. Masalahnya juga dapat terjadi jika script atau program berjalan pada banyak klien pada waktu yang sama. Di lingkungan dengan banyak domain yang terpercaya eksternal yang menggunakan program tersebut, Anda mungkin ingin menonaktifkan lookup dan resolusi dari nama-nama yang terisolasi untuk SIDs untuk eksternal domain yang terpercaya.

Mengedit registri untuk menonaktifkan (atau mengaktifkan) lookup nama-nama yang terisolasi di luar domain yang terpercaya

Penting Jika Anda menjalankan Windows 2000 Server, Anda harus terlebih dahulu menginstal hotfix yang dijelaskan di bagian "Windows 2000 Server perbaikan terbaru informasi" nanti dalam artikel ini sebelum Anda dapat menggunakan prosedur ini.

Untuk mengedit registri untuk mengontrol apakah lookup terisolasi nama dilakukan di luar domain yang terpercaya, membuat entri registri berikut:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • Jika Catatan ini tidak ada, atau jika nilai ditentukan ke 0, lookup untuk nama terisolasi dilakukan di luar domain yang terpercaya.
  • Jika entri registri ini diatur ke 1, lookup untuk terisolasi nama tidak dilakukan di luar domain yang terpercaya.
secara asali, pencarian nama terisolasi dilakukan di luar domain yang terpercaya, dan
LsaLookupRestrictIsolatedNameLevel
tidak ada entri di registri.

Untuk membuat
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
entri registri dan untuk menonaktifkan atau mengaktifkan pencarian nama-nama yang terisolasi di luar domain yang terpercaya, ikuti langkah berikut.

Catatan Membuat entri registri ini hanya pada pengendali domain.

Peringatan Masalah serius mungkin muncul saat Anda memodifikasi registri secara tidak benar dengan menggunakan Peninjau suntingan registri atau metode lainnya. Masalah tersebut mengharuskan Anda untuk menginstal sistem operasi. Microsoft tidak dapat menjamin bahwa masalah ini dapat diselesaikan. Mengubah registri risiko Anda sendiri.
  1. Klik mulai, dan kemudian klik Jalankan.
  2. Di kotak buka , ketik regedit, lalu klik OK.
  3. Temukan, dan kemudian klik subkunci registri berikut:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
  4. Pada Edit menu, arahkan ke baru, dan kemudian klik Nilai DWORD.
  5. Jenis LsaLookupRestrictIsolatedNameLevel, kemudian tekan ENTER.
  6. Pada mengedit menu, klik memodifikasi.
  7. Lakukan salah satu berikut ini, tergantung pada situasi Anda:
    • Untuk menonaktifkan lookup nama-nama yang terisolasi di luar domain yang terpercaya, ketik 1 di kotak data nilai .
    • Untuk mengaktifkan pencarian nama-nama yang terisolasi di luar domain yang terpercaya, ketik 0 di kotak data nilai .
  8. Klik OK, dan kemudian tutup Penyunting registri.

Informasi hotfix Windows 2000 Server

Perbaikan terbaru yang didukung tersedia dari Microsoft. Namun, perbaikan terbaru ini ditujukan untuk memperbaiki hanya masalah yang dijelaskan di artikel ini. Menerapkan perbaikan terbaru ini hanya pada sistem yang mengalami masalah khusus ini.

Jika perbaikan terbaru tersedia untuk di-download, ada bagian "Tersedia download perbaikan terbaru" di bagian atas artikel Pangkalan Pengetahuan ini. Jika bagian ini tidak muncul, Kirim permintaan untuk Microsoft Layanan pelanggan dan dukungan untuk mendapatkan perbaikan terbaru.

Catatan Jika terjadi masalah tambahan atau jika pemecahan masalah apa pun diperlukan, Anda mungkin harus membuat Layanan Pertanyaan secara terpisah. Biaya dukungan biasa akan berhubungan dengan dukungan tambahan pertanyaan dan masalah yang tidak memenuhi syarat untuk pembaruan terbaru tertentu ini. Untuk daftar lengkap dari Microsoft Customer Service dan mendukung nomor telepon atau untuk membuat Layanan Pertanyaan tersendiri, kunjungi Web site Microsoft berikut:
http://support.Microsoft.com/contactus/?WS=support
Catatan Formulir "Tersedia download perbaikan terbaru" menampilkan bahasa untuk yang perbaikan terbaru tersedia. Jika Anda tidak melihat bahasa Anda, itu adalah karena perbaikan terbaru tidak tersedia untuk bahasa tersebut.

Prasyarat

Perbaikan terbaru ini memerlukan Microsoft Windows 2000 Service Pack 3 (SP3).

Kebutuhan restart

Anda harus me-restart komputer setelah Anda menerapkan perbaikan terbaru ini.

Informasi penggantian hotfix

Perbaikan terbaru ini tidak menggantikan perbaikan terbaru lainnya.

Informasi file

Versi bahasa Perserikatan Kerajaan dari perbaikan terbaru ini memiliki atribut berkas (atau atribut berkas yang lebih baru) yang didaftar di dalam Daftar Tabel berikut. Tanggal dan waktu untuk berkas-berkas ini tercantum dalam Coordinated Universal Time (UTC). Ketika Anda melihat informasi berkas, waktunya akan diubah ke waktu lokal. Untuk menemukan perbedaan waktu UTC dan waktu lokal, gunakan waktu zona tab di tanggal dan waktu item dalam Control Panel.
Date         Time   Version        Size     File name 
--------------------------------------------------------
25-Sep-2003  12:11  5.0.2195.6824  124,688  Adsldp.dll 
25-Sep-2003  12:11  5.0.2195.6824  132,368  Adsldpc.dll 
25-Sep-2003  12:11  5.0.2195.6824  63,760   Adsmsext.dll 
25-Sep-2003  12:11  5.0.2195.6824  381,712  Advapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  69,904   Browser.dll 
25-Sep-2003  12:11  5.0.2195.6824  136,464  Dnsapi.dll 
25-Sep-2003  12:11  5.0.2195.6824  96,016   Dnsrslvr.dll 
25-Sep-2003  12:11  5.0.2195.6824  47,376   Eventlog.dll 
25-Sep-2003  12:11  5.0.2195.6824  148,240  Kdcsvc.dll 
20-Sep-2003  15:32  5.0.2195.6824  205,584  Kerberos.dll 
20-Sep-2003  15:32  5.0.2195.6824  71,888   Ksecdd.sys 
25-Sep-2003  08:58  5.0.2195.6826  510,224  Lsasrv.dll 
25-Sep-2003  08:58  5.0.2195.6826  33,552   Lsass.exe 
20-Sep-2003  15:32  5.0.2195.6824  109,840  Msv1_0.dll 
25-Sep-2003  12:11  5.0.2195.6824  307,984  Netapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  361,232  Netlogon.dll 
25-Sep-2003  12:11  5.0.2195.6826  931,600  Ntdsa.dll 
25-Sep-2003  12:11  5.0.2195.6824  392,464  Samsrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  113,936  Scecli.dll 
25-Sep-2003  12:11  5.0.2195.6824  259,856  Scesrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  48,912   W32time.dll 
20-Sep-2003  15:32  5.0.2195.6824  57,104   W32tm.exe 
25-Sep-2003  12:11  5.0.2195.6824  126,224  Wldap32.dll

Properti

ID Artikel: 818024 - Kajian Terakhir: 08 Januari 2014 - Revisi: 3.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Kata kunci: 
kbautohotfix kbhotfixserver kbqfe kbwin2000presp5fix kbhowto kbmt KB818024 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 818024

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com