Làm thế nào để hạn chế việc tra cứu tên bị cô lập để bên ngoài tên miền đáng tin cậy trong Windows Server

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 818024
Quan trọng Bài viết này chứa thông tin về cách sửa đổi sổ kiểm nhập. Đảm bảo rằng bạn sao lưu sổ kiểm nhập trước khi bạn sửa đổi nó. Hãy chắc chắn rằng bạn biết làm thế nào để khôi phục sổ kiểm nhập nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu, khôi phục và sửa đổi sổ kiểm nhập, hãy nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Làm thế nào để sao lưu và khôi phục sổ kiểm nhập trong Windows
Tóm tắt
theo mặc định, khi các chức năngLookupAccountName hoặc các chức năng LsaLookupNames giải quyết bị cô lập namesto an ninh định danh (SIDs) trong Windows Server, một cuộc gọi thủ tục từ xa (RPC) được thực hiện để bộ kiểm soát miền trên bên ngoài tên miền đáng tin cậy. (Một tên bị cô lập là một tài khoản người sử dụng mơ hồ, không-tên miền-trình độ.) Trong các tình huống trong đó các miền chính có nhiều mối quan hệ bên ngoài sự tin tưởng với các tên miền khác hoặc trong đó nhiều tra cứu được thực hiện cùng một lúc, hiệu suất có thể giảm. Bạn có thể thấy sử dụng tăng bộ nhớ và tăng sử dụng CPU trên bộ điều khiển tên miền.

Chức năng LookupAccountName và các chức năng LsaLookupNamescũng có thể được gọi là bởi kịch bản hoặc công cụ chỉnh sửa cài đặt chuyên biệt bảo mật. Có, tên tài khoản phải được ánh xạ tới SIDs. Ví dụ về các công cụ mà bạn có thể sử dụng để chỉnh sửa cài đặt chuyên biệt bảo mật là Cacls.exe, Xcacls.exe, icacls, Dsacls.exe và Subinacl.exe.

Bài viết này mô tả làm thế nào để chỉnh sửa registry để kiểm soát cho dù việc tra cứu tên cô lập được thực hiện trong miền bên ngoài đáng tin cậy trong Windows Server.
Thông tin thêm
Các chức năng tra cứu chấp nhận tên mà sử dụng các định dạng sau:
  • NetBIOSDomainName\AccountName
  • DnsDomainName\AccountName
  • (UPN) AccountName@DnsDomainName
  • (Cô lập) AccountName
Cho các định dạng ba tên đầu tiên trong danh sách, các chức năng tra cứu trực tiếp có thể mục tiêu một bộ điều khiển tên miền trên tên miền thích hợp vì các định dạng tên chứa tên miền là uỷ quyền cho an ninh chính.

Định dạng tên thứ tư, (cô lập) AccountName, là mơ hồ. Các chức năng tra cứu có hệ thống phải cố gắng để quyết định tên cho một SID bằng cách một RPC cho mỗi tên miền đáng tin cậy. Cho môi trường khi có nhiều tín thác bên ngoài phương, thao tác này có thể yêu cầu một điều tra nối tiếp của các tên miền đáng tin cậy mà liên quan đến việc thực hiện một RPC lên bộ kiểm soát miền trên mỗi tên miền. Trong trường hợp này, hiệu suất giảm khi số lượng tên miền đáng tin cậy tăng.

Nếu một kịch bản hoặc một chương trình cố gắng giải quyết một tên bị cô lập, hiệu suất có thể được làm chậm. Ví dụ, vấn đề này có thể xảy ra nếu kịch bản hoặc chương trình được cấu hình để chạy lúc kí nhập. Vấn đề cũng có thể xảy ra nếu kịch bản hoặc chương trình chạy trên nhiều khách hàng cùng một lúc. Trong môi trường với nhiều tên miền đáng tin cậy bên ngoài sử dụng chương trình như vậy, bạn có thể nên vô hiệu hóa các tra cứu và độ phân giải tên bị cô lập để SIDs cho bên ngoài tên miền đáng tin cậy.

Chỉnh sửa registry để vô hiệu hóa (hoặc kích hoạt) tra cứu tên bị cô lập trong miền bên ngoài đáng tin cậy

Quan trọng Nếu bạn đang chạy Windows 2000 Server, bạn phải lần đầu tiên cài đặt chuyên biệt hotfix được mô tả trong phần "Thông tin hotfix Windows 2000 Server" sau này trong bài viết này trước khi bạn có thể sử dụng quy trình này.

Để chỉnh sửa registry để kiểm soát cho dù các tra cứu tên cô lập được thực hiện trong miền bên ngoài đáng tin cậy, tạo ra các mục kiểm nhập sau đây:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • Nếu cụm từ này không tồn tại, hoặc nếu giá trị được đặt thành 0, tra cứu tên cô lập được thực hiện trên miền bên ngoài đáng tin cậy.
  • Nếu mục kiểm nhập này được thiết lập để 1, tra cứu cho cô lập tên chưa được thực hiện trên miền bên ngoài đáng tin cậy.
theo mặc định, tra cứu tên cô lập được thực hiện qua bên ngoài tên miền đáng tin cậy, và các
LsaLookupRestrictIsolatedNameLevel
mục nhập không phải là hiện diện trong sổ kiểm nhập.

Để tạo ra các
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
mục kiểm nhập và để vô hiệu hoá hoặc để cho phép tra cứu tên bị cô lập trong miền bên ngoài đáng tin cậy, hãy làm theo các bước sau.

Lưu ý Tạo ra các mục kiểm nhập này chỉ trên bộ bộ kiểm soát miền.

Cảnh báo Vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác bằng cách sử dụng ký biên soạn hoặc bằng cách sử dụng một phương pháp. Những vấn đề này có thể yêu cầu bạn cài đặt chuyên biệt lại hệ điều hành. Microsoft không thể đảm bảo rằng những vấn đề này có thể được giải quyết. Sửa đổi registry nguy cơ của riêng bạn.
  1. Nhấp vào Bắt đầu, và sau đó nhấp vào chạy.
  2. Trong các mở hộp, gõ regedit, và sau đó nhấp vào OK.
  3. Xác định vị trí và sau đó nhấp vào registry subkey sau đây:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
  4. Trên các chỉnh sửa trình đơn, điểm đến mới, và sau đó bấm Giá trị DWORD.
  5. Loại LsaLookupRestrictIsolatedNameLevel, và sau đó nhấn ENTER.
  6. Trên menu chỉnh sửa , bấm sửa đổi.
  7. Thực hiện một trong những điều sau đây, tùy thuộc vào tình hình của bạn:
    • Để vô hiệu hóa việc tra cứu tên bị cô lập ở bên ngoài tên miền đáng tin cậy, gõ 1 trong các dữ liệu giá trị hộp.
    • Để cho phép tra cứu tên bị cô lập trong miền bên ngoài đáng tin cậy, gõ 0 trong các dữ liệu giá trị hộp.
  8. Nhấp vào OK, và sau đó thoát khỏi Registry Editor.

Thông tin hotfix Windows 2000 Server

Một hotfix được hỗ trợ có sẵn từ Microsoft. Tuy nhiên, hotfix này là nhằm khắc phục chỉ sự cố được mô tả trong bài viết này. Hotfix này chỉ áp dụng cho hệ thống đang gặp vấn đề cụ thể này.

Nếu các hotfix có sẵn để tải về, có là một phần "Hotfix download available" ở đầu bài viết cơ sở kiến thức này. Nếu phần này không xuất hiện, gửi một yêu cầu bản ghi dịch vụ khách hàng của Microsoft và hỗ trợ để có được các hotfix.

Lưu ý Nếu vấn đề khác xảy ra hoặc nếu bất cứ xử lý sự cố là cần thiết, bạn có thể cần phải tạo một yêu cầu bản ghi dịch vụ riêng biệt. Các chi phí hỗ trợ thông thường sẽ áp dụng để hỗ trợ thêm câu hỏi và vấn đề mà không đủ điều kiện cho hotfix này cụ thể. Cho một danh sách đầy đủ của Microsoft bản ghi dịch vụ khách hàng và hỗ trợ số điện thoại hoặc để tạo ra một yêu cầu bản ghi dịch vụ riêng biệt, ghé thăm Web site sau của Microsoft: Lưu ý Các hình thức "Hotfix download available" sẽ hiển thị các ngôn ngữ mà các hotfix có sẵn. Nếu bạn không nhìn thấy ngôn ngữ của bạn, đó là vì một hotfix là không có sẵn cho ngôn ngữ đó.

Điều kiện tiên quyết

Hotfix này yêu cầu Microsoft Windows 2000 Service Pack 3 (SP3).

Khởi động lại yêu cầu

Bạn phải khởi động lại máy tính sau khi bạn áp dụng hotfix này.

Thông tin thay thế hotfix

Hotfix này không thay thế bất kỳ hotfix nào khác.

Chi tieát taäp tin

Các phiên bản tiếng Anh của hotfix này có các thuộc tính tệp (hoặc sau này tập tin thuộc tính) mà được liệt kê trong bảng sau. Ngày tháng và thời gian cho những tập tin được liệt kê trong Giờ Quốc tế Phối hợp (UTC). Khi bạn xem chi tieát taäp tin, nó bị chuyển thành giờ cục bộ. Để tìm sự khác nhau giữa UTC và local time, sử dụng thời gian khu vực thẻ tab trong ngaøy giôø mục trong Panel điều khiển.
Date         Time   Version        Size     File name --------------------------------------------------------25-Sep-2003  12:11  5.0.2195.6824  124,688  Adsldp.dll 25-Sep-2003  12:11  5.0.2195.6824  132,368  Adsldpc.dll 25-Sep-2003  12:11  5.0.2195.6824  63,760   Adsmsext.dll 25-Sep-2003  12:11  5.0.2195.6824  381,712  Advapi32.dll 25-Sep-2003  12:11  5.0.2195.6824  69,904   Browser.dll 25-Sep-2003  12:11  5.0.2195.6824  136,464  Dnsapi.dll 25-Sep-2003  12:11  5.0.2195.6824  96,016   Dnsrslvr.dll 25-Sep-2003  12:11  5.0.2195.6824  47,376   Eventlog.dll 25-Sep-2003  12:11  5.0.2195.6824  148,240  Kdcsvc.dll 20-Sep-2003  15:32  5.0.2195.6824  205,584  Kerberos.dll 20-Sep-2003  15:32  5.0.2195.6824  71,888   Ksecdd.sys 25-Sep-2003  08:58  5.0.2195.6826  510,224  Lsasrv.dll 25-Sep-2003  08:58  5.0.2195.6826  33,552   Lsass.exe 20-Sep-2003  15:32  5.0.2195.6824  109,840  Msv1_0.dll 25-Sep-2003  12:11  5.0.2195.6824  307,984  Netapi32.dll 25-Sep-2003  12:11  5.0.2195.6824  361,232  Netlogon.dll 25-Sep-2003  12:11  5.0.2195.6826  931,600  Ntdsa.dll 25-Sep-2003  12:11  5.0.2195.6824  392,464  Samsrv.dll 25-Sep-2003  12:11  5.0.2195.6824  113,936  Scecli.dll 25-Sep-2003  12:11  5.0.2195.6824  259,856  Scesrv.dll 25-Sep-2003  12:11  5.0.2195.6824  48,912   W32time.dll 20-Sep-2003  15:32  5.0.2195.6824  57,104   W32tm.exe 25-Sep-2003  12:11  5.0.2195.6824  126,224  Wldap32.dll

Cảnh báo: Bài viết này được dịch tự động

属性

文章 ID:818024 - 上次审阅时间:01/09/2014 23:17:00 - 修订版本: 3.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

  • kbautohotfix kbhotfixserver kbqfe kbwin2000presp5fix kbhowto kbmt KB818024 KbMtvi
反馈