Come limitare la ricerca di nomi isolati a domini trusted esterni in Windows Server

Informazioni di supporto interne di Microsoft

BUG #: 51191 (SE Windows)

Importante Questo articolo contiene informazioni su come modificare il Registro di sistema. Assicurarsi che il backup del Registro di sistema prima di modificarlo. Assicurarsi di sapere come ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

come eseguire il backup e ripristinare il Registro di sistema Windows

Riepilogo

Per impostazione predefinita, quando la funzione LookupAccountName o LsaLookupNames risolve nomi isolati per gli identificatori di protezione (SID) in Windows Server, viene effettuata una chiamata di procedura remota (RPC) al controller di dominio in domini trusted esterni. (Il nome di un isolato è un account utente ambigua e non dominio qualificato). In situazioni in cui il dominio primario ha molte relazioni di trust esterne con altri domini o in cui molte ricerche vengono eseguite contemporaneamente, è possibile riduzione delle prestazioni. Si può vedere della memoria e della CPU maggiore sul controller di dominio.

Inoltre, la funzione LookupAccountName e la funzione LsaLookupNames può essere chiamati da script o strumento per modifica le impostazioni di protezione. I nomi di account, devono essere mappati a SID. Esempi di strumenti che è possibile utilizzare per modificare le impostazioni di protezione sono Cacls.exe, Xcacls.exe, icacls, Dsacls.exe e Subinacl.exe.

In questo articolo viene descritto come modificare il Registro di sistema per controllare se viene eseguita la ricerca di nomi isolati in domini trusted esterni in Windows Server.

Ulteriori informazioni

Le funzioni di ricerca accettano nomi che utilizzano i seguenti formati:

  • NetBIOSDomainName\AccountName

  • DnsDomainName\AccountName

  • (UPN) AccountName@NomeDominioDns

  • (Isolata) Nome account

Per i formati di tre Nome primo nell'elenco, le funzioni di ricerca possono essere destinati direttamente un controller di dominio nel dominio appropriato in quanto questi formati di nome contengono il dominio di fiducia per l'identità di protezione.

Il quarto formato nome (isolata), nome account, è ambiguo. Le funzioni di ricerca sistematicamente devono tentare di risolvere il nome di un SID effettuando una chiamata RPC per ogni dominio trusted. Per gli ambienti in cui sono presenti molte trust esterni, questa operazione può richiedere un'enumerazione seriale dei domini trusted che comporta l'implementazione di una chiamata RPC a un controller di dominio in ciascun dominio. In questo scenario, le prestazioni diminuiscono man mano che il numero di domini trusted aumenta.

Se uno script o un programma tenta di risolvere un nome isolato, prestazioni potrebbero risultare lenta. Ad esempio, questo problema può verificarsi se il programma o lo script è configurato per l'esecuzione al momento dell'accesso. Il problema può verificarsi anche se lo script o il programma viene eseguito su più client contemporaneamente. Negli ambienti con numerosi domini trusted esterni che utilizzano tali programmi, è possibile disattivare la ricerca e risoluzione dei nomi isolati in SID di domini trusted esterni.

Modificare il Registro di sistema (attivare o disattivare) la ricerca di nomi isolati in domini trusted esterni

Importante Se si esegue Windows 2000 Server, è necessario prima installare l'hotfix descritto nella sezione "Informazioni hotfix di Windows 2000 Server" più avanti in questo articolo prima di poter utilizzare questa procedura.

Per modificare il Registro di sistema per controllare se viene eseguita la ricerca di nomi isolati in domini trusted esterni, creare la seguente voce del Registro di sistema:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel

  • Se questa voce non esiste o se il valore è impostato su 0, viene eseguita la ricerca per nomi isolati in domini trusted esterni.

  • Se questa voce del Registro di sistema è impostata su 1, viene eseguita non ricerca di nomi isolati in domini trusted esterni.

Per impostazione predefinita, viene eseguita ricerca di nomi isolati in domini trusted esterni, e la voce LsaLookupRestrictIsolatedNameLevel non è presente nel Registro di sistema.

Per creare la voce del Registro di sistema HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel e per disattivare o attivare la ricerca di nomi isolati in domini trusted esterni, attenersi alla seguente procedura.

Nota: Creare questa voce del Registro di sistema solo su controller di dominio.

Avviso L'errata modifica del Registro di sistema utilizzando l'Editor del Registro di sistema o un altro metodo può causare problemi gravi. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che questi problemi possano essere risolti. Modificare il Registro di sistema a proprio rischio.

  1. Fare clic su Start e quindi fare clic su Esegui.

  2. Nella casella Apri digitare regedit e quindi fare clic su OK.

  3. Individuare e fare clic sulla sottochiave del Registro di sistema seguente:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

  4. Dal menu Modifica , scegliere Nuovoe quindi fare clic su Valore DWORD.

  5. Digitare LsaLookupRestrictIsolatedNameLevele quindi premere INVIO.

  6. Dal menu Modifica, fare clic su Modifica.

  7. Eseguire una delle seguenti, a seconda della situazione:

    • Per disattivare la ricerca di nomi isolati in domini trusted esterni, digitare 1 nella casella dati valore .

    • Per attivare la ricerca di nomi isolati in domini trusted esterni, digitare 0 nella casella dati valore .

  8. Fare clic su OKe quindi chiudere l'Editor del Registro di sistema.

Informazioni sull'hotfix per Windows 2000 Server

Un hotfix supportato è disponibile da Microsoft. Tuttavia, questo hotfix è destinato esclusivamente alla correzione del problema descritto in questo articolo. Applicare questo hotfix solo ai sistemi in cui si verificano questo problema specifico.

Se l'hotfix è disponibile per il download, è presente una sezione "Hotfix disponibile per il download" all'inizio di questo articolo della Knowledge Base. Se non viene visualizzato in questa sezione, inviare una richiesta al servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.

Nota: Se si verificano ulteriori problemi o se è necessaria attività di risoluzione aggiuntiva, potrebbe essere necessario creare una richiesta di assistenza separata. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare specifico hotfix in questione. Per un elenco completo dei numeri di telefono del servizio clienti Microsoft e supporto tecnico o per creare una richiesta di assistenza separata, visitare il seguente sito Web Microsoft:

Nota: Il modulo "Hotfix disponibile per il download" Visualizza le lingue per cui è disponibile l'hotfix. Se non viene visualizzata la lingua, è perché un aggiornamento rapido non è disponibile per tale lingua.

Prerequisiti

Questo hotfix richiede Microsoft Windows 2000 Service Pack 3 (SP3).

Richiesta di riavvio

È necessario riavviare il computer dopo avere applicato questo hotfix.

Informazioni sulla sostituzione dell'aggiornamento rapido

Questo hotfix non sostituisce eventuali altri aggiornamenti rapidi.

Informazioni sui file

La versione inglese di questo hotfix presenta gli attributi di file (o attributi successivi) elencati nella tabella riportata di seguito. Le date e ore dei file sono elencate in base al formato UTC (Coordinated Universal Time Coordinated). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e ora locale, utilizzare la scheda fuso orario nell'elemento di Data e ora nel Pannello di controllo.

Date         Time   Version        Size     File name 
--------------------------------------------------------
25-Sep-2003 12:11 5.0.2195.6824 124,688 Adsldp.dll
25-Sep-2003 12:11 5.0.2195.6824 132,368 Adsldpc.dll
25-Sep-2003 12:11 5.0.2195.6824 63,760 Adsmsext.dll
25-Sep-2003 12:11 5.0.2195.6824 381,712 Advapi32.dll
25-Sep-2003 12:11 5.0.2195.6824 69,904 Browser.dll
25-Sep-2003 12:11 5.0.2195.6824 136,464 Dnsapi.dll
25-Sep-2003 12:11 5.0.2195.6824 96,016 Dnsrslvr.dll
25-Sep-2003 12:11 5.0.2195.6824 47,376 Eventlog.dll
25-Sep-2003 12:11 5.0.2195.6824 148,240 Kdcsvc.dll
20-Sep-2003 15:32 5.0.2195.6824 205,584 Kerberos.dll
20-Sep-2003 15:32 5.0.2195.6824 71,888 Ksecdd.sys
25-Sep-2003 08:58 5.0.2195.6826 510,224 Lsasrv.dll
25-Sep-2003 08:58 5.0.2195.6826 33,552 Lsass.exe
20-Sep-2003 15:32 5.0.2195.6824 109,840 Msv1_0.dll
25-Sep-2003 12:11 5.0.2195.6824 307,984 Netapi32.dll
25-Sep-2003 12:11 5.0.2195.6824 361,232 Netlogon.dll
25-Sep-2003 12:11 5.0.2195.6826 931,600 Ntdsa.dll
25-Sep-2003 12:11 5.0.2195.6824 392,464 Samsrv.dll
25-Sep-2003 12:11 5.0.2195.6824 113,936 Scecli.dll
25-Sep-2003 12:11 5.0.2195.6824 259,856 Scesrv.dll
25-Sep-2003 12:11 5.0.2195.6824 48,912 W32time.dll
20-Sep-2003 15:32 5.0.2195.6824 57,104 W32tm.exe
25-Sep-2003 12:11 5.0.2195.6824 126,224 Wldap32.dll

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×