Cómo restringir la búsqueda de nombres aislados en dominios externos de confianza en Windows Server

Nº de error: 51191 (Windows SE)
Importante: Este artículo contiene información acerca de cómo modificar el registro. Asegúrese de hacer copia de seguridad del registro antes de modificarlo. Asegúrese de que sabe cómo restaurarlo si ocurre algún problema. Para obtener más información acerca de cómo hacer copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows

Resumen

De forma predeterminada, cuando la función LookupAccountName o LsaLookupNames resuelve nombres aislados en identificadores de seguridad (SID) de Windows Server, se realiza una llamada a procedimiento remoto (RPC) en controladores de dominio en dominios de confianza externos. (Un nombre aislado es una cuenta de usuario ambigua, no calificadas de dominio). En situaciones en las que el dominio principal tiene muchas relaciones de confianza externas con otros dominios o en que se efectúan muchas búsquedas al mismo tiempo, el rendimiento puede disminuir. Puede ver el uso de memoria aumenta y un mayor uso de CPU en el controlador de dominio.

También se pueden llamar la función LookupAccountName y la función LsaLookupNames mediante secuencias de comandos o herramientas que modificar la configuración de seguridad. Allí, los nombres de cuenta deben asignarse a SID. Ejemplos de herramientas que puede utilizar para modificar la configuración de seguridad son Cacls.exe, Xcacls.exe, icacls, Dsacls.exe y Subinacl.exe.

Este artículo describe cómo modificar el registro para controlar si se realiza la búsqueda de nombres aislados en dominios externos de confianza en Windows Server.

Más información

Las funciones de búsqueda aceptan nombres que utilizan los siguientes formatos:
  • NetBIOSDomainName\AccountName
  • DnsDomainName\AccountName
  • (UPN) NombreCuenta@NombreDominioDns
  • (Aislado) NombreCuenta
Para los formatos de tres nombre primeros en la lista, las funciones de búsqueda pueden destinar directamente un controlador de dominio en el dominio apropiado, porque estos formatos de nombre contienen el dominio en el que está autorizado para la entidad de seguridad.

El cuarto formato de nombre (aislado) AccountName, es ambiguo. Las funciones de búsqueda sistemáticamente deben intentar resolver el nombre a un SID haciendo una llamada RPC en cada dominio de confianza. Para entornos donde existen muchos confianzas externas, esta operación puede requerir una enumeración serie de los dominios de confianza que conlleva la realización de una llamada RPC a un controlador de dominio en cada dominio. En este escenario, el rendimiento disminuye como el número de dominios de confianza aumenta.

Si una secuencia de comandos o un programa intenta resolver un nombre aislado, el rendimiento puede ser lento. Por ejemplo, este problema puede producirse si la secuencia de comandos o el programa está configurado para ejecutarse en el momento de inicio de sesión. El problema también puede producirse si la secuencia de comandos o el programa se ejecuta en muchos clientes al mismo tiempo. En entornos con muchos dominios de confianza externos que utilizan dichos programas, es aconsejable deshabilitar la búsqueda y resolución de nombres aislados a los SID de los dominios de confianza externos.

Modificar el registro para desactivar (o activar) la búsqueda de nombres aislados en dominios de confianza externos

Importante: Si está ejecutando Windows 2000 Server, deberá primero instalar la revisión que se describe en la sección "Información de hotfix de Windows 2000 Server" más adelante en este artículo antes de realizar este procedimiento.

Para modificar el registro para controlar si se realiza la búsqueda de nombres aislados en dominios externos de confianza, cree la entrada de registro siguiente:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • Si esta entrada no existe, o si el valor se establece en 0, se realiza la búsqueda de nombres aislados en dominios de confianza externos.
  • Si esta entrada del registro se establece en 1, no se realiza la búsqueda de nombres aislados en dominios de confianza externos.
De forma predeterminada, se realiza la búsqueda de nombres aislados en dominios de confianza externos y no está presente en el registro la entrada LsaLookupRestrictIsolatedNameLevel .

Para crear la entrada de registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel y para deshabilitar o habilitar la búsqueda de nombres aislados en dominios externos de confianza, siga estos pasos.

Nota: Crear esta entrada del registro sólo en controladores de dominio.

Advertencia: pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o mediante cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar que estos problemas puedan resolverse. Modifique el registro bajo su propio riesgo.
  1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
  2. En el cuadro Abrir, escriba regedit y, a continuación, haga clic en Aceptar.
  3. Busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
  4. En el menú Edición , seleccione Nuevo y, a continuación, haga clic en Valor DWORD.
  5. Escriba LsaLookupRestrictIsolatedNameLevely, a continuación, presione ENTRAR.
  6. En el menú Edición , haga clic en Modificar.
  7. Siga uno de los siguientes valores, dependiendo de su situación:
    • Para deshabilitar la búsqueda de nombres aislados en dominios de confianza externos, escriba 1 en el cuadro datos de valor .
    • Para habilitar la búsqueda de nombres aislados en dominios de confianza externos, escriba 0 en el cuadro datos de valor .
  8. Haga clic en Aceptar y, a continuación, salga del Editor del registro.

Información de hotfix de Windows 2000 Server

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, envíe una solicitud al servicio de atención al cliente y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Requisitos previos

Esta revisión requiere Microsoft Windows 2000 Service Pack 3 (SP3).

Requisito de reinicio

Tendrá que reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix no sustituye a otras revisiones.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria en el elemento de Fecha y hora del Panel de control.
Date         Time   Version        Size     File name --------------------------------------------------------
25-Sep-2003 12:11 5.0.2195.6824 124,688 Adsldp.dll
25-Sep-2003 12:11 5.0.2195.6824 132,368 Adsldpc.dll
25-Sep-2003 12:11 5.0.2195.6824 63,760 Adsmsext.dll
25-Sep-2003 12:11 5.0.2195.6824 381,712 Advapi32.dll
25-Sep-2003 12:11 5.0.2195.6824 69,904 Browser.dll
25-Sep-2003 12:11 5.0.2195.6824 136,464 Dnsapi.dll
25-Sep-2003 12:11 5.0.2195.6824 96,016 Dnsrslvr.dll
25-Sep-2003 12:11 5.0.2195.6824 47,376 Eventlog.dll
25-Sep-2003 12:11 5.0.2195.6824 148,240 Kdcsvc.dll
20-Sep-2003 15:32 5.0.2195.6824 205,584 Kerberos.dll
20-Sep-2003 15:32 5.0.2195.6824 71,888 Ksecdd.sys
25-Sep-2003 08:58 5.0.2195.6826 510,224 Lsasrv.dll
25-Sep-2003 08:58 5.0.2195.6826 33,552 Lsass.exe
20-Sep-2003 15:32 5.0.2195.6824 109,840 Msv1_0.dll
25-Sep-2003 12:11 5.0.2195.6824 307,984 Netapi32.dll
25-Sep-2003 12:11 5.0.2195.6824 361,232 Netlogon.dll
25-Sep-2003 12:11 5.0.2195.6826 931,600 Ntdsa.dll
25-Sep-2003 12:11 5.0.2195.6824 392,464 Samsrv.dll
25-Sep-2003 12:11 5.0.2195.6824 113,936 Scecli.dll
25-Sep-2003 12:11 5.0.2195.6824 259,856 Scesrv.dll
25-Sep-2003 12:11 5.0.2195.6824 48,912 W32time.dll
20-Sep-2003 15:32 5.0.2195.6824 57,104 W32tm.exe
25-Sep-2003 12:11 5.0.2195.6824 126,224 Wldap32.dll

Propiedades

Id. de artículo: 818024 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios