Como restringir a pesquisa de nomes isolados para domínios confiáveis externos no Windows Server

Traduções deste artigo Traduções deste artigo
ID do artigo: 818024 - Exibir os produtos aos quais esse artigo se aplica.
Importante Este artigo contém informações sobre como modificar o registro. Certifique-se de fazer backup do registro antes de modificá-lo. Certifique-se de que você saiba como restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup, restaurar e modificar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
322756 Como fazer backup e restaurar o registro no Windows
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Por padrão, quando a funçãoLookupAccountName ou a função LsaLookupNames resolve isolado namesto identificadores de segurança (SIDs) no Windows Server, é feita uma chamada de procedimento remoto (RPC) em controladores de domínio em domínios confiáveis externos. (Um nome isolado é uma conta de usuário ambíguo, não qualificado de domínio). Em situações em que o domínio primário tem muitas relações de confiança externas com outros domínios ou no qual muitas pesquisas são executadas ao mesmo tempo, pode diminuir o desempenho. Você pode ver o maior uso de memória e maior utilização da CPU no controlador de domínio.

A função LookupAccountName e a função LsaLookupNamestambém podem ser chamados por scripts ou ferramentas que editar configurações de segurança. Lá, os nomes de conta devem ser mapeados para SIDs. Exemplos de ferramentas que você pode usar para editar as configurações de segurança são Cacls.exe, Xcacls.exe, icacls, Dsacls.exe e Subinacl.exe.

Este artigo descreve como editar o registro para controlar se a pesquisa de nomes isolados é realizada em domínios confiáveis externos no Windows Server.

Mais Informações

As funções de pesquisa aceitam nomes que usam os formatos a seguir:
  • NetBIOSDomainName\AccountName
  • Nome_de_domínio_dns\AccountName
  • (UPN) AccountName@Nome_de_domínio_dns
  • (Isolado) AccountName
Para os formatos de três nome primeiro na lista, as funções de pesquisa podem direcionar diretamente um controlador de domínio no domínio apropriado porque esses formatos de nome contém o domínio autoritativo para o objeto de segurança.

O formato do nome do quarto, (isolado) AccountName, é ambíguo. As funções de pesquisa sistematicamente devem tentar resolver o nome para um SID fazendo uma RPC para todos os domínios confiáveis. Para ambientes em que existem muitas relações de confiança externas, essa operação pode requerer uma enumeração serial dos domínios confiáveis que envolve uma RPC para um controlador de domínio em cada domínio. Nesse cenário, o desempenho diminui aumenta conforme o número de domínios confiáveis.

Se um script ou um programa tenta resolver um nome isolado, o desempenho pode ser lento. Por exemplo, esse problema pode ocorrer se o script ou o programa está configurado para ser executado no momento do logon. O problema também pode ocorrer se o script ou o programa é executado em vários clientes ao mesmo tempo. Em ambientes com muitos domínios confiáveis externos que usam esses programas, você talvez queira desativar a pesquisa e a resolução de nomes isolados para SIDs para os domínios confiáveis externos.

Edite o registro para desativar (ou ativar) a pesquisa de nomes isolados em domínios confiáveis externos

Importante Se você estiver executando o Windows 2000 Server, você precisa primeiro instalar o hotfix descrito na seção "Informações de hotfix do Windows 2000 Server", mais adiante neste artigo antes de usar este procedimento.

Para editar o registro para controlar se a pesquisa de nomes isolados é realizada em domínios confiáveis externos, crie a seguinte entrada do registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • Se essa entrada não existir, ou se o valor for definido como 0, pesquisa de nomes isolados é realizada em todos os domínios confiáveis externos.
  • Se essa entrada do registro estiver definida como 1, pesquisa de nomes isolados não é executada em todos os domínios confiáveis externos.
Por padrão, a consulta para nomes isolados é executada em todos os domínios confiáveis externos e o
LsaLookupRestrictIsolatedNameLevel
entrada não estiver presente no registro.

Para criar o
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
entrada do registro e desabilitar ou habilitar a pesquisa de nomes isolados em domínios confiáveis externos, siga estas etapas.

Observação Crie essa entrada do registro somente em controladores de domínio.

Aviso Problemas sérios podem ocorrer se você modificar o Registro incorretamente usando o Editor do registro ou usando outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro de sua responsabilidade.
  1. Clique em Iniciare, em seguida, clique em Executar.
  2. Na caixa Abrir , digite Regedite, em seguida, clique em OK.
  3. Localize e clique na seguinte subchave do registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  4. No menu Editar , aponte para novoe, em seguida, clique em Valor DWORD.
  5. Tipo LsaLookupRestrictIsolatedNameLevel, e então pressione ENTER.
  6. No menu Editar , clique em Modificar.
  7. Siga um dos seguintes, dependendo da sua situação:
    • Para desabilitar a pesquisa de nomes isolados em domínios confiáveis externos, digite 1 Na caixa dados do valor .
    • Para habilitar a pesquisa de nomes isolados em domínios confiáveis externos, digite 0 Na caixa dados do valor .
  8. Clique em OKe feche o Editor do registro.

Informações sobre o hotfix do Windows 2000 Server

Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, esse hotfix destina-se a corrigir somente o problema descrito neste artigo. Aplique este hotfix somente aos sistemas que apresentarem esse problema específico.

Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Conhecimento. Se essa seção não for exibida, envie uma solicitação ao suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observação Caso outros problemas estejam ocorrendo ou caso qualquer solução de problemas seja necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicadas a questões de suporte adicionais e problemas que não sejam específicos deste hotfix. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e suporte ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft:
http://support.microsoft.com/contactus/?ws=support
Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos

Esse hotfix exige o Microsoft Windows 2000 Service Pack 3 (SP3).

Requisitos de reinicialização

Você precisa reiniciar o computador após aplicar esse hotfix.

Informações de substituição do hotfix

Esse hotfix não substitui outros hotfixes.

Informações sobre o arquivo

A versão em inglês deste hotfix possui os atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas no tempo Universal Coordenado (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para localizar a diferença entre o UTC e a hora local, use a guia fuso horário no item Data e hora no painel de controle.
Date         Time   Version        Size     File name 
--------------------------------------------------------
25-Sep-2003  12:11  5.0.2195.6824  124,688  Adsldp.dll 
25-Sep-2003  12:11  5.0.2195.6824  132,368  Adsldpc.dll 
25-Sep-2003  12:11  5.0.2195.6824  63,760   Adsmsext.dll 
25-Sep-2003  12:11  5.0.2195.6824  381,712  Advapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  69,904   Browser.dll 
25-Sep-2003  12:11  5.0.2195.6824  136,464  Dnsapi.dll 
25-Sep-2003  12:11  5.0.2195.6824  96,016   Dnsrslvr.dll 
25-Sep-2003  12:11  5.0.2195.6824  47,376   Eventlog.dll 
25-Sep-2003  12:11  5.0.2195.6824  148,240  Kdcsvc.dll 
20-Sep-2003  15:32  5.0.2195.6824  205,584  Kerberos.dll 
20-Sep-2003  15:32  5.0.2195.6824  71,888   Ksecdd.sys 
25-Sep-2003  08:58  5.0.2195.6826  510,224  Lsasrv.dll 
25-Sep-2003  08:58  5.0.2195.6826  33,552   Lsass.exe 
20-Sep-2003  15:32  5.0.2195.6824  109,840  Msv1_0.dll 
25-Sep-2003  12:11  5.0.2195.6824  307,984  Netapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  361,232  Netlogon.dll 
25-Sep-2003  12:11  5.0.2195.6826  931,600  Ntdsa.dll 
25-Sep-2003  12:11  5.0.2195.6824  392,464  Samsrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  113,936  Scecli.dll 
25-Sep-2003  12:11  5.0.2195.6824  259,856  Scesrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  48,912   W32time.dll 
20-Sep-2003  15:32  5.0.2195.6824  57,104   W32tm.exe 
25-Sep-2003  12:11  5.0.2195.6824  126,224  Wldap32.dll

Propriedades

ID do artigo: 818024 - Última revisão: quinta-feira, 9 de janeiro de 2014 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Palavras-chave: 
kbautohotfix kbhotfixserver kbqfe kbwin2000presp5fix kbhowto kbmt KB818024 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 818024

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com