您目前已離線,請等候您的網際網路重新連線

如何限制在 Windows Server 中的外部信任網域隔離的名稱查詢

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:818024
重要 本文包含有關如何修改登錄的資訊。請確定您在修改之前,先備份登錄。請確定您知道如何在發生問題時還原登錄。如需有關如何備份、 還原和修改登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756 如何備份及還原 Windows 中的登錄
結論
根據預設,當LookupAccountName函式,或是使用LsaLookupNames函數可以隔離的 namesto 安全性識別碼 (Sid) 解決在 Windows Server 遠端程序呼叫 (RPC) 做外部信任網域的網域控制站。(隔離的名稱是模稜兩可的不合格網域使用者帳戶)。在主要網域有許多的外部信任關係,與其他網域的情況下,或是在其中許多查詢會執行相同的時間,可能會降低效能。您可能會看到增加的記憶體使用狀況] 和 [CPU 使用率的增加的網域控制站上。

LookupAccountName函式並使用LsaLookupNames函式也可以呼叫指令碼或編輯安全性設定的工具。那里,帳戶名稱必須對應至 Sid。工具,您可以用來編輯安全性設定的範例包括 Cacls.exe、 Xcacls.exe、 icacls、 Dsacls.exe 和 Subinacl.exe。

本文說明如何編輯登錄,以控制是否隔離名稱的查詢執行 Windows Server 中的外部信任網域中。
其他相關資訊
查閱函式接受使用下列格式的名稱:
  • NetBIOSDomainName\AccountName
  • DnsDomainName\AccountName
  • (UPN) AccountName@DnsDomainName
  • (隔離) AccountName
在清單中,第三個名稱格式,查閱函式可以直接針對適當的網域的網域控制站因為這些名稱的格式含有被授權的安全性原則的網域。

第四個的名稱格式,(隔離) AccountName模稜兩可。查閱函式必須有系統地嘗試以該名稱解析為 SID,藉由每個受信任的網域使用 RPC。其中許多外部信任存在的環境下,這項作業可能需要牽涉到對每個網域的網域控制站進行 RPC 序列列舉受信任的網域。在這個案例中,效能降低的受信任的網域數目增加。

如果指令碼或程式嘗試要隔離的名稱解析,效能可能會很慢。例如,如果指令碼或程式設定為在登入時執行,可能會發生這個問題。如果在指令碼或程式上執行多個用戶端在同一時間,也可能會發生這個問題。在與使用這類程式的許多外部信任網域的環境下,您可能想要停用尋找和隔離名稱解析成 Sid 的外部信任的網域。

編輯登錄以停用 (或啟用) 的外部信任網域中的隔離名稱查閱

重要如果您正在執行 Windows 2000 Server,您必須先安裝才能使用此程序,在本文稍後的 「 Windows 2000 伺服器 hotfix 資訊 」 一節中描述的 hotfix。

若要編輯登錄,以控制是否隔離名稱的查詢執行外部信任網域中建立下列登錄項目:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
  • 如果這個項目不存在,或如果值設為 0 時,隔離名稱的查詢會執行跨外部信任的網域。
  • 如果此登錄項目設定為 1 時,隔離名稱的查詢不會執行跨外部信任的網域。
根據預設,隔離名稱的查詢執行跨外部信任網域,
LsaLookupRestrictIsolatedNameLevel
項目不存在於登錄中。

若要建立
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LsaLookupRestrictIsolatedNameLevel
登錄項目,若要停用或啟用的外部信任網域中的隔離名稱查閱,請依照下列步驟執行。

附註只能在網域控制站上建立這個登錄項目。

警告如果您不當修改登錄使用登錄編輯程式,或使用另一種方法,可能會發生嚴重的問題。這些問題可能會要求您重新安裝作業系統。Microsoft 不保證可以解決這些問題。修改登錄,自行承擔風險。
  1. 按一下 [開始],然後按一下 [執行]。
  2. 在 [開啟] 方塊中,輸入 regedit然後按一下[確定]
  3. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
  4. 在 [編輯] 功能表上指向 [新增],然後按一下 [ DWORD 值
  5. 型別 LsaLookupRestrictIsolatedNameLevel然後按 ENTER 鍵。
  6. 按一下 [編輯] 功能表的 [修改]。
  7. 執行下列命令,視您的情況其中一項:
    • 若要停用的外部信任網域中的隔離名稱查閱,請鍵入 1 在 [數值資料] 方塊中。
    • 若要啟用隔離的名稱,外部信任網域中的查詢,輸入 0 在 [數值資料] 方塊中。
  8. 按一下 [確定],然後結束 [登錄編輯程式。

Windows 2000 Server hotfix 資訊

您可以從 Microsoft 取得的支援的 hotfix。然而,其目的只為修正這篇文章所說明的問題。套用此 hotfix,僅提供給已遭遇此特定問題的系統。

此 hotfix 已開放下載,有此知識庫文件頂端的 「 下載 Hotfix 」 區段。如果沒有出現這一節,將要求提交到 Microsoft 客戶服務及支援 」 取得 hotfix。

附註如果發生其他問題,或如果需要進行疑難排解,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題,以及此特定 hotfix 無法解決的問題。如 Microsoft 客戶服務和支援的電話號碼或建立個別的服務要求的完整清單,請造訪下列 Microsoft 網站: 附註「可下載的 Hotfix」表單會顯示 hotfix 可以使用的語言。如果看不到您的語言,是因為 hotfix 未提供該語言。

必要條件

此 hotfix 需要 Microsoft Windows 2000 Service Pack 3 (SP3)。

重新啟動需求

您必須套用此 hotfix 之後,重新啟動電腦。

Hotfix 取代資訊

此 hotfix 不會取代任何其他 hotfix。

檔案資訊

此 hotfix 的英文版具有檔案屬性 (或較新的檔案屬性) 下表中所列。日期和時間,這些檔案會列出在國際標準時間 (UTC)。當您檢視檔案資訊時,它會轉換為本地時間。若要查看 UTC 與當地時間的時差,請在 [控制台] 中的日期和時間項目中使用 [時區] 索引標籤。
Date         Time   Version        Size     File name --------------------------------------------------------25-Sep-2003  12:11  5.0.2195.6824  124,688  Adsldp.dll 25-Sep-2003  12:11  5.0.2195.6824  132,368  Adsldpc.dll 25-Sep-2003  12:11  5.0.2195.6824  63,760   Adsmsext.dll 25-Sep-2003  12:11  5.0.2195.6824  381,712  Advapi32.dll 25-Sep-2003  12:11  5.0.2195.6824  69,904   Browser.dll 25-Sep-2003  12:11  5.0.2195.6824  136,464  Dnsapi.dll 25-Sep-2003  12:11  5.0.2195.6824  96,016   Dnsrslvr.dll 25-Sep-2003  12:11  5.0.2195.6824  47,376   Eventlog.dll 25-Sep-2003  12:11  5.0.2195.6824  148,240  Kdcsvc.dll 20-Sep-2003  15:32  5.0.2195.6824  205,584  Kerberos.dll 20-Sep-2003  15:32  5.0.2195.6824  71,888   Ksecdd.sys 25-Sep-2003  08:58  5.0.2195.6826  510,224  Lsasrv.dll 25-Sep-2003  08:58  5.0.2195.6826  33,552   Lsass.exe 20-Sep-2003  15:32  5.0.2195.6824  109,840  Msv1_0.dll 25-Sep-2003  12:11  5.0.2195.6824  307,984  Netapi32.dll 25-Sep-2003  12:11  5.0.2195.6824  361,232  Netlogon.dll 25-Sep-2003  12:11  5.0.2195.6826  931,600  Ntdsa.dll 25-Sep-2003  12:11  5.0.2195.6824  392,464  Samsrv.dll 25-Sep-2003  12:11  5.0.2195.6824  113,936  Scecli.dll 25-Sep-2003  12:11  5.0.2195.6824  259,856  Scesrv.dll 25-Sep-2003  12:11  5.0.2195.6824  48,912   W32time.dll 20-Sep-2003  15:32  5.0.2195.6824  57,104   W32tm.exe 25-Sep-2003  12:11  5.0.2195.6824  126,224  Wldap32.dll

警告:本文為自動翻譯

內容

文章識別碼:818024 - 最後檢閱時間:01/09/2014 23:19:00 - 修訂: 1.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

  • kbautohotfix kbhotfixserver kbqfe kbwin2000presp5fix kbhowto kbmt KB818024 KbMtzh
意見反應
1; var Route = "76500"; var Ctrl = ""; document.write("