Come limitare la ricerca di nomi isolati a domini trusted esterni in Windows Server

Traduzione articoli Traduzione articoli
Identificativo articolo: 818024 - Visualizza i prodotti a cui si riferisce l?articolo.
Importante In questo articolo contiene informazioni su come modificare il Registro di sistema. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo. Assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Per impostazione predefinita, quando la funzioneLookupAccountName o la funzione LsaLookupNames risolve namesto isolato gli identificatori di protezione (SID) in Windows Server a controller di dominio in domini trusted esterni viene effettuata una chiamata di procedura remota (RPC). (Un nome isolato Ŕ un account utente ambigua, non qualificato del dominio). In situazioni in cui il dominio primario ha molte relazioni di trust esterne con altri domini o in cui vengono eseguite molte ricerche contemporaneamente, le prestazioni potrebbero diminuire. Si pu˛ vedere maggior utilizzo di memoria e un aumento dell'utilizzo della CPU sul controller di dominio.

La funzione LookupAccountName e la funzione LsaLookupNamespu˛ essere chiamati anche da script o strumenti che consentono di modificare le impostazioni di protezione. ╚ presente, i nomi di account devono essere mappati a SID. Esempi di strumenti che Ŕ possibile utilizzare per modificare le impostazioni di protezione sono Cacls.exe, Xcacls.exe, icacls, Dsacls.exe e Subinacl.exe.

In questo articolo viene descritto come modificare il Registro di sistema per controllare se viene eseguita la ricerca di nomi isolati in domini trusted esterni in Windows Server.

Informazioni

Le funzioni di ricerca accettano nomi di utilizzano i seguenti formati:
  • NetBIOSDomainName\Nome account
  • NomeDominioDns\Nome account
  • (UPN) Nome account@NomeDominioDns
  • (Isolata) Nome account
Per i formati di tre Nome primo nell'elenco, le funzioni di ricerca possono essere destinati direttamente un controller di dominio nel dominio appropriato perchÚ questi formati di nome contengono il dominio di fiducia per l'identitÓ di protezione.

Quarto formato di nome (isolata) Nome account, Ŕ ambiguo. Le funzioni di ricerca sistematicamente devono tentare di risolvere il nome di un SID effettuando una chiamata RPC per ogni dominio trusted. Per gli ambienti in cui sono presenti molte trust esterni, questa operazione pu˛ richiedere un'enumerazione seriale dei domini trusted che comporta l'implementazione di una chiamata RPC a un controller di dominio in ciascun dominio. In questo scenario, come il numero di domini trusted prestazioni diminuiscono aumenta.

Se uno script o un programma tenta di risolvere un nome isolato, le prestazioni potrebbero risultare lenta. Ad esempio, questo problema pu˛ verificarsi se il programma o lo script Ŕ configurato per l'esecuzione al momento dell'accesso. Il problema pu˛ verificarsi anche se lo script o il programma viene eseguito su pi¨ client contemporaneamente. Negli ambienti con numerosi domini trusted esterni che utilizzano tali programmi, Ŕ possibile disattivare la ricerca e la risoluzione di nomi isolati in SID di domini trusted esterni.

Modificare il Registro di sistema per disattivare (o attivare) la ricerca di nomi isolati in domini trusted esterni

Importante Se si esegue Windows 2000 Server, Ŕ necessario innanzitutto installare l'hotfix descritto nella sezione "Informazioni aggiornamento rapido di Windows 2000 Server" pi¨ avanti in questo articolo prima di poter utilizzare questa procedura.

Per modificare il Registro di sistema per controllare se viene eseguita la ricerca di nomi isolati in domini trusted esterni, creare la seguente voce del Registro di sistema:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • Se questa voce non esiste o se il valore Ŕ impostato su 0, viene eseguita la ricerca di nomi isolati in domini trusted esterni.
  • Se questa voce del Registro di sistema Ŕ impostata su 1, viene eseguita non ricerca di nomi isolati in domini trusted esterni.
Per impostazione predefinita, viene eseguita la ricerca di nomi isolati in domini trusted esterni e il
LsaLookupRestrictIsolatedNameLevel
voce non Ŕ presente nel Registro di sistema.

Per creare il
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
voce del Registro di sistema per disattivare o attivare la ricerca di nomi isolati in domini trusted esterni, attenersi alla seguente procedura.

Nota. Creare questa voce del Registro di sistema solo su controller di dominio.

Avviso. L'errata modifica del Registro di sistema utilizzando l'Editor del Registro di sistema o un altro metodo pu˛ causare problemi gravi. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che questi problemi possano essere risolti. Modificare il Registro di sistema a proprio rischio.
  1. Fare clic su Start, quindi su Esegui
  2. Nella casella Apri digitare Regedit, quindi scegliere OK.
  3. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  4. Dal menu Modifica , scegliere Nuovoe quindi fare clic su Valore DWORD.
  5. Tipo LsaLookupRestrictIsolatedNameLevel, quindi premere INVIO.
  6. Dal menu Modifica , fare clic su Modifica.
  7. Effettuare una delle seguenti, a seconda della situazione:
    • Per disattivare la ricerca di nomi isolati in domini trusted esterni, digitare 1 Nella casella dati valore .
    • Per attivare la ricerca di nomi isolati in domini trusted esterni, digitare 0 Nella casella dati valore .
  8. Fare clic su OKe quindi chiudere l'Editor del Registro di sistema.

Informazioni sull'aggiornamento rapido di Windows 2000 Server

Un hotfix supportato Ŕ disponibile da Microsoft. Tuttavia, questo hotfix Ŕ destinato esclusivamente alla risoluzione del problema descritto in questo articolo. Applicare questo hotfix solo ai sistemi in cui si verificano questo problema specifico.

Se l'hotfix Ŕ disponibile per il download, esiste una sezione "Hotfix disponibile per il download" all'inizio di questo articolo della Knowledge Base. Se non viene visualizzato in questa sezione, inviare una richiesta al servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.

Nota. Se si verificano ulteriori problemi o se occorrono attivitÓ di risoluzione, potrebbe essere necessario creare una richiesta di assistenza separata. I costi di supporto usuali verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico hotfix. Per un elenco completo di numeri di telefono del servizio clienti Microsoft e supporto tecnico o per creare una richiesta di assistenza separata, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota. Il modulo "Hotfix disponibile per il download" visualizza le lingue per cui Ŕ disponibile l'hotfix. Se non Ŕ disponibile la lingua, Ŕ perchÚ non Ŕ disponibile alcun hotfix per tale lingua.

Prerequisiti

Questo aggiornamento rapido richiede Windows 2000 Service Pack 3 (SP3).

Richiesta di riavvio

╚ necessario riavviare il computer dopo avere applicato questo hotfix.

Informazioni sulla sostituzione dell'hotfix

Questo hotfix non sostituisce eventuali altri hotfix.

Informazioni sui file

La versione inglese di questo hotfix presenta gli attributi di file (o attributi successivi) elencati nella tabella riportata di seguito. Le date e ore dei file sono elencate nel tempo universale coordinato (UTC). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e ora locale, utilizzare la scheda fuso orario nell'elemento di Data e ora nel Pannello di controllo.
Date         Time   Version        Size     File name 
--------------------------------------------------------
25-Sep-2003  12:11  5.0.2195.6824  124,688  Adsldp.dll 
25-Sep-2003  12:11  5.0.2195.6824  132,368  Adsldpc.dll 
25-Sep-2003  12:11  5.0.2195.6824  63,760   Adsmsext.dll 
25-Sep-2003  12:11  5.0.2195.6824  381,712  Advapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  69,904   Browser.dll 
25-Sep-2003  12:11  5.0.2195.6824  136,464  Dnsapi.dll 
25-Sep-2003  12:11  5.0.2195.6824  96,016   Dnsrslvr.dll 
25-Sep-2003  12:11  5.0.2195.6824  47,376   Eventlog.dll 
25-Sep-2003  12:11  5.0.2195.6824  148,240  Kdcsvc.dll 
20-Sep-2003  15:32  5.0.2195.6824  205,584  Kerberos.dll 
20-Sep-2003  15:32  5.0.2195.6824  71,888   Ksecdd.sys 
25-Sep-2003  08:58  5.0.2195.6826  510,224  Lsasrv.dll 
25-Sep-2003  08:58  5.0.2195.6826  33,552   Lsass.exe 
20-Sep-2003  15:32  5.0.2195.6824  109,840  Msv1_0.dll 
25-Sep-2003  12:11  5.0.2195.6824  307,984  Netapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  361,232  Netlogon.dll 
25-Sep-2003  12:11  5.0.2195.6826  931,600  Ntdsa.dll 
25-Sep-2003  12:11  5.0.2195.6824  392,464  Samsrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  113,936  Scecli.dll 
25-Sep-2003  12:11  5.0.2195.6824  259,856  Scesrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  48,912   W32time.dll 
20-Sep-2003  15:32  5.0.2195.6824  57,104   W32tm.exe 
25-Sep-2003  12:11  5.0.2195.6824  126,224  Wldap32.dll

ProprietÓ

Identificativo articolo: 818024 - Ultima modifica: giovedý 9 gennaio 2014 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Chiavi:á
kbautohotfix kbhotfixserver kbqfe kbwin2000presp5fix kbhowto kbmt KB818024 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 818024
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com