如何限制外部的受信任域中 Windows Server 的独立名称查找

文章翻译 文章翻译
文章编号: 818024 - 查看本文应用于的产品
重要 本文包含有关如何修改注册表的信息。确保在修改注册表前对其进行了备份。请确保您知道出现问题时如何还原注册表。有关如何备份、 还原和修改注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows XP 中备份和还原注册表
展开全部 | 关闭全部

本文内容

概要

默认情况下,当 Windows 服务器上,以解决独立的 namesto 安全标识符 (Sid)LookupAccountName函数的LsaLookupNames函数到外部的受信任域的域控制器进行远程过程调用 (RPC)。(独立的名称是不明确的非域限定的用户帐户。其中主要域有多个外部信任关系,与其他域的情况下或在其许多执行查找在同一时间,可能会降低性能。在域控制器上,可能会看到更高的内存使用情况和更高的 CPU 使用率。

此外可以通过编辑安全设置的脚本或工具调用LookupAccountName函数和LsaLookupNames函数。那里,帐户名称必须映射到 Sid。工具,可用于编辑安全设置的示例包括 Cacls.exe、 Xcacls.exe、 icacls、 Dsacls.exe 和 Subinacl.exe。

本文介绍了如何编辑注册表以控制是否在 Windows 服务器的外部受信任的域中执行的独立名称查找。

更多信息

查找函数接受名称,使用以下格式:
  • NetBIOSDomainName\帐户名
  • DnsDomainName\帐户名
  • (UPN) 帐户名@DnsDomainName
  • (独立) 帐户名
列表中的第三个名称格式,用于查找函数可以直接目标上适当的域的域控制器,因为这些名称格式包含安全主体具有权威性的域。

第四个姓名的格式 (独立) 帐户名不明确。查找函数必须系统地尝试将名称解析为 SID 时,通过对每个受信任的域进行 RPC。对于存在多个外部信任的环境,此操作可能需要串行受信任的域的枚举,其中涉及到对每个域的域控制器进行 RPC。在这种情况下,性能将下降为受信任的域的数目增加。

如果脚本或程序尝试将独立的名称解析,则性能会降低。例如,如果该脚本或程序被配置为在登录时运行,则可能会出现此问题。如果在脚本或程序上运行多个客户端在相同的时间,也可能出现此问题。在使用此类程序的很多外部受信任域的环境中,可能需要禁用查找和外部的受信任域 sid 独立名称的解析。

编辑注册表以禁用 (或启用) 的独立外部的受信任域中的名称查找

重要提示如果您运行的 Windows 2000 服务器,您必须首先安装之前,您可以使用此过程,在本文内下文中的"Windows 2000 服务器修补程序信息"部分中介绍的修复程序。

无论外部的受信任域中执行的独立名称查找,请编辑注册表控制,创建以下注册表项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • 如果此项不存在,或者如果该值设置为 0,在外部受信任的域之间执行的独立名称查找。
  • 如果此注册表项设置为 1 时,在外部受信任的域之间不执行独立名称查找。
默认情况下,在外部的受信任域之间执行独立名称查找和
LsaLookupRestrictIsolatedNameLevel
项不存在于注册表中。

若要创建
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
注册表项和要禁用或启用的独立外部的受信任域中的名称查找,请按照下列步骤操作。

注意只在域控制器上创建此注册表项。

警告如果您通过使用注册表编辑器或使用另一种方法对注册表修改不当,则可能会出现严重的问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证可以解决这些问题。修改注册表的风险由您自己承担。
  1. 单击开始,然后单击运行
  2. 打开框中,键入 注册表编辑器然后单击确定
  3. 找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
  4. 编辑菜单上,指向新建,然后单击DWORD 值
  5. 键入 LsaLookupRestrictIsolatedNameLevel然后按 enter 键。
  6. 编辑菜单上,单击修改
  7. 执行以下操作之一,具体取决于您的情况:
    • 若要禁用的独立外部的受信任域中的名称查找,请键入 1数值数据框中。
    • 若要启用隔离外部的受信任域中的名称的查询,请键入 0数值数据框中。
  8. 单击确定,然后退出注册表编辑器。

Windows 2000 服务器修补程序信息

可以从 Microsoft 获得支持的热修复补丁程序。但是,此修补程序仅能用于解决本文中描述的问题。此热修复补丁程序仅适用于正出现此特定问题的系统。

如果此修补程序可以下载,则此知识库文章顶部会出现"提供修补程序下载"部分。如果未显示此节,则将请求提交到 Microsoft 客户服务和支持,以获取此热修复补丁程序。

注意如果出现其他问题或需要任何故障诊断,您可能需要创建单独的服务请求。到其他支持问题和事项,对于此特定的修补程序不需要将照常收取支持费用。Microsoft 客户服务和支持电话号码,或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意"可用的热修补程序下载"表格显示此热修复补丁程序适用的语言。如果您看不到您的语言,这是因为热修复补丁程序不适用于该语言。

先决条件

此修复程序需要 Microsoft Windows 2000 Service Pack 3 (SP3)。

重新启动要求

您必须在应用此修补程序后,重新启动计算机。

修补程序替换信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有的文件属性 (或更新的文件属性) 下表中列出。这些文件的日期和时间以协调世界时 (UTC) 显示。当您查看文件信息时,它已转换为本地时间。要了解 UTC 与本地时间之间的时差,请在控制面板中的日期和时间项中使用时区选项卡。
Date         Time   Version        Size     File name 
--------------------------------------------------------
25-Sep-2003  12:11  5.0.2195.6824  124,688  Adsldp.dll 
25-Sep-2003  12:11  5.0.2195.6824  132,368  Adsldpc.dll 
25-Sep-2003  12:11  5.0.2195.6824  63,760   Adsmsext.dll 
25-Sep-2003  12:11  5.0.2195.6824  381,712  Advapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  69,904   Browser.dll 
25-Sep-2003  12:11  5.0.2195.6824  136,464  Dnsapi.dll 
25-Sep-2003  12:11  5.0.2195.6824  96,016   Dnsrslvr.dll 
25-Sep-2003  12:11  5.0.2195.6824  47,376   Eventlog.dll 
25-Sep-2003  12:11  5.0.2195.6824  148,240  Kdcsvc.dll 
20-Sep-2003  15:32  5.0.2195.6824  205,584  Kerberos.dll 
20-Sep-2003  15:32  5.0.2195.6824  71,888   Ksecdd.sys 
25-Sep-2003  08:58  5.0.2195.6826  510,224  Lsasrv.dll 
25-Sep-2003  08:58  5.0.2195.6826  33,552   Lsass.exe 
20-Sep-2003  15:32  5.0.2195.6824  109,840  Msv1_0.dll 
25-Sep-2003  12:11  5.0.2195.6824  307,984  Netapi32.dll 
25-Sep-2003  12:11  5.0.2195.6824  361,232  Netlogon.dll 
25-Sep-2003  12:11  5.0.2195.6826  931,600  Ntdsa.dll 
25-Sep-2003  12:11  5.0.2195.6824  392,464  Samsrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  113,936  Scecli.dll 
25-Sep-2003  12:11  5.0.2195.6824  259,856  Scesrv.dll 
25-Sep-2003  12:11  5.0.2195.6824  48,912   W32time.dll 
20-Sep-2003  15:32  5.0.2195.6824  57,104   W32tm.exe 
25-Sep-2003  12:11  5.0.2195.6824  126,224  Wldap32.dll

属性

文章编号: 818024 - 最后修改: 2014年1月9日 - 修订: 1.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
关键字:?
kbautohotfix kbhotfixserver kbqfe kbwin2000presp5fix kbhowto kbmt KB818024 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 818024
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com