Suchs isolierter Namen vertrauenswürdigen externen Domänen in Windows Server einschränken

Wichtig Dieser Artikel enthält Informationen dazu, wie Sie die Registrierung ändern. Stellen Sie sicher, dass Sie die Registrierung sichern, bevor Sie sie ändern. Stellen Sie sicher, dass Sie wissen, wie Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Für weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
322756 zum Sichern und Wiederherstellen der Registrierung in Windows

Zusammenfassung

Standardmäßig Wenn LookupAccountName -Funktion oder die Funktion LsaLookupNames isolierte Namen Sicherheits-IDs (SIDs) in Windows Server löst ein Remoteprozeduraufruf (RPC) auf Domänencontroller vertrauenswürdigen externen Domänen erfolgt. (Ein isolierter Name ist nicht eindeutig, nicht Domain-qualifizierter Benutzerkonto.) In Situationen, in denen die primäre Domäne viele externe Vertrauensstellungen mit anderen Domänen oder die viele Abfragen gleichzeitig ausgeführt werden kann die Leistung verringern. Speicherverwendung und erhöhte CPU-Auslastung auftreten auf dem Domänencontroller.

Der LookupAccountName und LsaLookupNames -Funktion können auch aufgerufen werden, Skripten oder Tools, die Sicherheitsrichtlinien zu bearbeiten. Namen müssen, SIDs zugeordnet werden. Beispiele für Tools, mit denen Sie Sicherheit bearbeiten sind Cacls.exe, Xcacls.exe Icacls, Dsacls.exe und Subinacl.exe.

Dieser Artikel beschreibt das Bearbeiten der Registrierung zu kontrollieren, ob Suchs isolierter Namen in vertrauenswürdigen externen Domänen in Windows Server ausgeführt wird.

Weitere Informationen

Die Suchfunktionen akzeptieren Namen, die folgenden Formate verwenden:
  • NetBIOSDomainName\AccountName
  • DnsDomainName\AccountName
  • (UPN) Kontoname@DnsDomänenName
  • (Isoliert) Kontoname
Für die ersten drei Formate in der Liste können Such-Funktionen direkt in der entsprechenden Domäne einen Domänencontroller abzielen, da diese Formate die Domäne enthalten, der für den Sicherheitsprinzipal.

Das vierte Namensformat (isoliert) Kontonameist nicht eindeutig. Die Suchfunktionen müssen systematisch zum Auflösen des Namens einer SID von jeder vertrauenswürdigen Domäne RPC zu versuchen. Umgebungen viele externe Vertrauensstellungen bestehen erfordern dieser Vorgang eine serielle Enumeration der vertrauenswürdigen Domänen, die darin besteht, RPC zu einem Domänencontroller in jeder Domäne. In diesem Szenario verringert die Leistung erhöht die Anzahl der vertrauten Domänen.

Wenn ein Skript oder ein Programm versucht, einen isolierten Namen aufzulösen, möglicherweise Leistung langsam. Dieses Problem kann beispielsweise auftreten, wenn das Skript oder die Anwendung konfiguriert wird bei der Anmeldung. Das Problem kann auftreten, wenn das Skript oder die Anwendung auf vielen Clients gleichzeitig ausgeführt. In einer Umgebung mit vielen vertrauenswürdigen externen Domänen, die solche Programme verwenden, sollten Sie Suche und Auflösung von Namen in SIDs für vertrauenswürdigen externen Domänen isolierten deaktivieren.

Bearbeiten Sie die Registrierung Suchs isolierter Namen in vertrauenswürdigen externen Domänen deaktivieren (oder aktivieren)

Wichtig Wenn Sie Windows 2000 Server ausführen, müssen Sie zunächst den Hotfix installieren, der im Abschnitt "Windows 2000 Server Hotfix-Informationen" beschrieben werden, bevor Sie dieses Verfahren verwenden können.

Bearbeiten die Registrierung zu kontrollieren, ob Suchs isolierter Namen in vertrauenswürdigen externen Domänen ausgeführt wird, erstellen Sie den folgenden Registrierungseintrag:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • Wenn dieser Eintrag nicht vorhanden ist oder der Wert 0 festgelegt ist, erfolgt die Suche nach isolierten Namen in vertrauenswürdigen externen Domänen.
  • Wenn dieser Registrierungseintrag auf 1 festgelegt ist, erfolgt keine Suche nach isolierten Namen in vertrauenswürdigen externen Domänen.
Standardmäßig Suche nach isolierter Namen in vertrauenswürdigen externen Domänen ausgeführt, und der LsaLookupRestrictIsolatedNameLevel -Eintrag in der Registrierung vorhanden ist.

Registrierungseintrag HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel erstellen und deaktivieren oder Suchs isolierter Namen in vertrauenswürdigen externen Domänen, gehen Sie folgendermaßen vor.

Hinweis Erstellen Sie diesen Registrierungseintrag auf Domänencontrollern.

Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung nicht ordnungsgemäß mit dem Registrierungseditor oder mithilfe einer anderen Methode ändern. Diese Probleme können eine Neuinstallation des Betriebssystems erfordern. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Ändern Sie die Registrierung auf eigene Gefahr.
  1. Klicken Sie auf Start, und klicken Sie dann auf Ausführen.
  2. Geben Sie im Feld Öffnen regedit ein, und klicken Sie dann auf OK.
  3. Suchen Sie, und klicken Sie auf den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
  4. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert.
  5. Geben Sie LsaLookupRestrictIsolatedNameLevelund drücken Sie dann die EINGABETASTE.
  6. Klicken Sie im Menü Bearbeiten auf Ändern.
  7. Gehen Sie je nach Ihrer Situation folgendermaßen vor:
    • Deaktivieren Sie Suchs isolierter Namen in vertrauenswürdigen externen Domänen Geben Sie 1 im Feld Wert .
    • Um Suchs isolierter Namen in vertrauenswürdigen externen Domänen zu aktivieren, geben Sie 0 im Feld Wert ein.
  8. Klicken Sie auf OK, und beenden Sie den Registrierungseditor.

Windows 2000 Server Hotfix-Informationen

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Verwenden Sie diesen Hotfix nur auf Systemen, bei denen dieses spezielle Problem auftritt.

Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, senden Sie eine Anforderung an Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Eine vollständige Liste der Telefonnummern von Microsoft Customer Service and Support oder eine separate Serviceanfrage erstellen finden Sie auf der folgenden Microsoft-Website:Hinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.

Voraussetzungen

Dieser Hotfix erfordert Microsoft Windows 2000 Service Pack 3 (SP3).

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix anwenden.

Informationen zu ersetzten Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist Dateiattribute (oder spätere Attribute), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu finden, verwenden Sie die Registerkarte Zeitzone unter Datum und Uhrzeit in der Systemsteuerung.
Date         Time   Version        Size     File name --------------------------------------------------------
25-Sep-2003 12:11 5.0.2195.6824 124,688 Adsldp.dll
25-Sep-2003 12:11 5.0.2195.6824 132,368 Adsldpc.dll
25-Sep-2003 12:11 5.0.2195.6824 63,760 Adsmsext.dll
25-Sep-2003 12:11 5.0.2195.6824 381,712 Advapi32.dll
25-Sep-2003 12:11 5.0.2195.6824 69,904 Browser.dll
25-Sep-2003 12:11 5.0.2195.6824 136,464 Dnsapi.dll
25-Sep-2003 12:11 5.0.2195.6824 96,016 Dnsrslvr.dll
25-Sep-2003 12:11 5.0.2195.6824 47,376 Eventlog.dll
25-Sep-2003 12:11 5.0.2195.6824 148,240 Kdcsvc.dll
20-Sep-2003 15:32 5.0.2195.6824 205,584 Kerberos.dll
20-Sep-2003 15:32 5.0.2195.6824 71,888 Ksecdd.sys
25-Sep-2003 08:58 5.0.2195.6826 510,224 Lsasrv.dll
25-Sep-2003 08:58 5.0.2195.6826 33,552 Lsass.exe
20-Sep-2003 15:32 5.0.2195.6824 109,840 Msv1_0.dll
25-Sep-2003 12:11 5.0.2195.6824 307,984 Netapi32.dll
25-Sep-2003 12:11 5.0.2195.6824 361,232 Netlogon.dll
25-Sep-2003 12:11 5.0.2195.6826 931,600 Ntdsa.dll
25-Sep-2003 12:11 5.0.2195.6824 392,464 Samsrv.dll
25-Sep-2003 12:11 5.0.2195.6824 113,936 Scecli.dll
25-Sep-2003 12:11 5.0.2195.6824 259,856 Scesrv.dll
25-Sep-2003 12:11 5.0.2195.6824 48,912 W32time.dll
20-Sep-2003 15:32 5.0.2195.6824 57,104 W32tm.exe
25-Sep-2003 12:11 5.0.2195.6824 126,224 Wldap32.dll

Eigenschaften

Artikelnummer: 818024 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback