Al momento sei offline in attesa che la connessione Internet venga ristabilita

Il tuo browser non è supportato

Devi aggiornare il browser per usare il sito.

Esegui l'aggiornamento all'ultima versione di Internet Explorer

Come limitare la ricerca di nomi isolati a domini trusted esterni in Windows Server

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 818024
Importante In questo articolo contiene informazioni su come modificare il Registro di sistema. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo. Assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows
Sommario
Per impostazione predefinita, quando la funzioneLookupAccountName o la funzione LsaLookupNames risolve namesto isolato gli identificatori di protezione (SID) in Windows Server a controller di dominio in domini trusted esterni viene effettuata una chiamata di procedura remota (RPC). (Un nome isolato è un account utente ambigua, non qualificato del dominio). In situazioni in cui il dominio primario ha molte relazioni di trust esterne con altri domini o in cui vengono eseguite molte ricerche contemporaneamente, le prestazioni potrebbero diminuire. Si può vedere maggior utilizzo di memoria e un aumento dell'utilizzo della CPU sul controller di dominio.

La funzione LookupAccountName e la funzione LsaLookupNamespuò essere chiamati anche da script o strumenti che consentono di modificare le impostazioni di protezione. È presente, i nomi di account devono essere mappati a SID. Esempi di strumenti che è possibile utilizzare per modificare le impostazioni di protezione sono Cacls.exe, Xcacls.exe, icacls, Dsacls.exe e Subinacl.exe.

In questo articolo viene descritto come modificare il Registro di sistema per controllare se viene eseguita la ricerca di nomi isolati in domini trusted esterni in Windows Server.
Informazioni
Le funzioni di ricerca accettano nomi di utilizzano i seguenti formati:
  • NetBIOSDomainName\Nome account
  • NomeDominioDns\Nome account
  • (UPN) Nome account@NomeDominioDns
  • (Isolata) Nome account
Per i formati di tre Nome primo nell'elenco, le funzioni di ricerca possono essere destinati direttamente un controller di dominio nel dominio appropriato perché questi formati di nome contengono il dominio di fiducia per l'identità di protezione.

Quarto formato di nome (isolata) Nome account, è ambiguo. Le funzioni di ricerca sistematicamente devono tentare di risolvere il nome di un SID effettuando una chiamata RPC per ogni dominio trusted. Per gli ambienti in cui sono presenti molte trust esterni, questa operazione può richiedere un'enumerazione seriale dei domini trusted che comporta l'implementazione di una chiamata RPC a un controller di dominio in ciascun dominio. In questo scenario, come il numero di domini trusted prestazioni diminuiscono aumenta.

Se uno script o un programma tenta di risolvere un nome isolato, le prestazioni potrebbero risultare lenta. Ad esempio, questo problema può verificarsi se il programma o lo script è configurato per l'esecuzione al momento dell'accesso. Il problema può verificarsi anche se lo script o il programma viene eseguito su più client contemporaneamente. Negli ambienti con numerosi domini trusted esterni che utilizzano tali programmi, è possibile disattivare la ricerca e la risoluzione di nomi isolati in SID di domini trusted esterni.

Modificare il Registro di sistema per disattivare (o attivare) la ricerca di nomi isolati in domini trusted esterni

Importante Se si esegue Windows 2000 Server, è necessario innanzitutto installare l'hotfix descritto nella sezione "Informazioni aggiornamento rapido di Windows 2000 Server" più avanti in questo articolo prima di poter utilizzare questa procedura.

Per modificare il Registro di sistema per controllare se viene eseguita la ricerca di nomi isolati in domini trusted esterni, creare la seguente voce del Registro di sistema:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • Se questa voce non esiste o se il valore è impostato su 0, viene eseguita la ricerca di nomi isolati in domini trusted esterni.
  • Se questa voce del Registro di sistema è impostata su 1, viene eseguita non ricerca di nomi isolati in domini trusted esterni.
Per impostazione predefinita, viene eseguita la ricerca di nomi isolati in domini trusted esterni e il
LsaLookupRestrictIsolatedNameLevel
voce non è presente nel Registro di sistema.

Per creare il
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
voce del Registro di sistema per disattivare o attivare la ricerca di nomi isolati in domini trusted esterni, attenersi alla seguente procedura.

Nota. Creare questa voce del Registro di sistema solo su controller di dominio.

Avviso. L'errata modifica del Registro di sistema utilizzando l'Editor del Registro di sistema o un altro metodo può causare problemi gravi. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che questi problemi possano essere risolti. Modificare il Registro di sistema a proprio rischio.
  1. Fare clic su Start, quindi su Esegui
  2. Nella casella Apri digitare Regedit, quindi scegliere OK.
  3. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  4. Dal menu Modifica , scegliere Nuovoe quindi fare clic su Valore DWORD.
  5. Tipo LsaLookupRestrictIsolatedNameLevel, quindi premere INVIO.
  6. Dal menu Modifica , fare clic su Modifica.
  7. Effettuare una delle seguenti, a seconda della situazione:
    • Per disattivare la ricerca di nomi isolati in domini trusted esterni, digitare 1 Nella casella dati valore .
    • Per attivare la ricerca di nomi isolati in domini trusted esterni, digitare 0 Nella casella dati valore .
  8. Fare clic su OKe quindi chiudere l'Editor del Registro di sistema.

Informazioni sull'aggiornamento rapido di Windows 2000 Server

Un hotfix supportato è disponibile da Microsoft. Tuttavia, questo hotfix è destinato esclusivamente alla risoluzione del problema descritto in questo articolo. Applicare questo hotfix solo ai sistemi in cui si verificano questo problema specifico.

Se l'hotfix è disponibile per il download, esiste una sezione "Hotfix disponibile per il download" all'inizio di questo articolo della Knowledge Base. Se non viene visualizzato in questa sezione, inviare una richiesta al servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.

Nota. Se si verificano ulteriori problemi o se occorrono attività di risoluzione, potrebbe essere necessario creare una richiesta di assistenza separata. I costi di supporto usuali verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico hotfix. Per un elenco completo di numeri di telefono del servizio clienti Microsoft e supporto tecnico o per creare una richiesta di assistenza separata, visitare il seguente sito Web Microsoft: Nota. Il modulo "Hotfix disponibile per il download" visualizza le lingue per cui è disponibile l'hotfix. Se non è disponibile la lingua, è perché non è disponibile alcun hotfix per tale lingua.

Prerequisiti

Questo aggiornamento rapido richiede Windows 2000 Service Pack 3 (SP3).

Richiesta di riavvio

È necessario riavviare il computer dopo avere applicato questo hotfix.

Informazioni sulla sostituzione dell'hotfix

Questo hotfix non sostituisce eventuali altri hotfix.

Informazioni sui file

La versione inglese di questo hotfix presenta gli attributi di file (o attributi successivi) elencati nella tabella riportata di seguito. Le date e ore dei file sono elencate nel tempo universale coordinato (UTC). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e ora locale, utilizzare la scheda fuso orario nell'elemento di Data e ora nel Pannello di controllo.
Date         Time   Version        Size     File name --------------------------------------------------------25-Sep-2003  12:11  5.0.2195.6824  124,688  Adsldp.dll 25-Sep-2003  12:11  5.0.2195.6824  132,368  Adsldpc.dll 25-Sep-2003  12:11  5.0.2195.6824  63,760   Adsmsext.dll 25-Sep-2003  12:11  5.0.2195.6824  381,712  Advapi32.dll 25-Sep-2003  12:11  5.0.2195.6824  69,904   Browser.dll 25-Sep-2003  12:11  5.0.2195.6824  136,464  Dnsapi.dll 25-Sep-2003  12:11  5.0.2195.6824  96,016   Dnsrslvr.dll 25-Sep-2003  12:11  5.0.2195.6824  47,376   Eventlog.dll 25-Sep-2003  12:11  5.0.2195.6824  148,240  Kdcsvc.dll 20-Sep-2003  15:32  5.0.2195.6824  205,584  Kerberos.dll 20-Sep-2003  15:32  5.0.2195.6824  71,888   Ksecdd.sys 25-Sep-2003  08:58  5.0.2195.6826  510,224  Lsasrv.dll 25-Sep-2003  08:58  5.0.2195.6826  33,552   Lsass.exe 20-Sep-2003  15:32  5.0.2195.6824  109,840  Msv1_0.dll 25-Sep-2003  12:11  5.0.2195.6824  307,984  Netapi32.dll 25-Sep-2003  12:11  5.0.2195.6824  361,232  Netlogon.dll 25-Sep-2003  12:11  5.0.2195.6826  931,600  Ntdsa.dll 25-Sep-2003  12:11  5.0.2195.6824  392,464  Samsrv.dll 25-Sep-2003  12:11  5.0.2195.6824  113,936  Scecli.dll 25-Sep-2003  12:11  5.0.2195.6824  259,856  Scesrv.dll 25-Sep-2003  12:11  5.0.2195.6824  48,912   W32time.dll 20-Sep-2003  15:32  5.0.2195.6824  57,104   W32tm.exe 25-Sep-2003  12:11  5.0.2195.6824  126,224  Wldap32.dll

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 818024 - Ultima revisione: 01/09/2014 22:47:00 - Revisione: 1.0

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
  • kbautohotfix kbhotfixserver kbqfe kbwin2000presp5fix kbhowto kbmt KB818024 KbMtit
Feedback
://c1.microsoft.com/c.gif?DI=4050&did=1&t=">appendChild(m);" src="http://c1.microsoft.com/c.gif?"> > + (window.location.protocol) + "//c.microsoft.com/ms.js'><\/script>");