Freigeben über

Schlechte Leistung beim Aufrufen von Nachschlagefunktionen zum Auflösen von Namen

  • Artikel

Ursprüngliche KB-Nummer: 818024

Beim Aufrufen der LookupAccountName- oder LsaLookupNames-Funktion, um isolierte Namen (mehrdeutige oder nicht domänenqualifizierte Benutzerkonten) in Sicherheits-IDs (SIDs) aufzulösen, stellen Sie möglicherweise eine erhöhte Auslastung von Arbeitsspeicher und CPU auf dem Domänencontroller fest und verringerte Leistung.

Beispielsweise kann eine schlechte Leistung auftreten, wenn Sie Skripts oder Tools (z . B. Cacls.exe, Xcacls.exe, icacls.exe, Dsacls.exe und Subinacl.exe) verwenden, um die Funktionen zum Bearbeiten von Sicherheitseinstellungen aufzurufen.

Das Problem kann auftreten, wenn Sie viele vertrauenswürdige Domänen oder Gesamtstrukturen haben (gilt sowohl für externe als auch für Gesamtstrukturvertrauensstellungen), und/oder einige dieser Domänen oder Gesamtstrukturen sind offline oder langsam zu reagieren.

Wenn die Funktionen für einen isolierten Namen aufgerufen werden (das Format ist AccountName im Gegensatz zu Domäne\AccountName), wird ein Remoteprozeduraufruf (RPC) an Domänencontrollern in allen vertrauenswürdigen Domänen/Gesamtstrukturen vorgenommen. Dieses Problem kann auftreten, wenn die primäre Domäne viele Vertrauensbeziehungen mit anderen Domänen/Gesamtstrukturen hat oder viele Nachschlagevorgänge gleichzeitig durchführt. Beispielsweise ist ein Skript so konfiguriert, dass es beim Start vieler Clients ausgeführt wird, oder viele vertrauenswürdige Domänen/Gesamtstrukturen verwenden dasselbe Skript gleichzeitig.

Deaktivieren der Suche von isolierten Namen in vertrauenswürdigen Domänen/Gesamtstrukturen

Notiz

Erstellen Sie diesen Registrierungseintrag nur auf Domänencontrollern.

Hier erfahren Sie, wie Sie einen Registrierungseintrag erstellen, um die Suche von isolierten Namen in vertrauenswürdigen Domänen/Gesamtstrukturen zu deaktivieren:

Wichtig

Dieser Artikel enthält Anweisungen zum Ändern der Registrierung. Schwerwiegende Probleme können auftreten, wenn die Registrierung falsch geändert wird. Sichern Sie als Vorsichtsmaßnahme die Registrierung, bevor Sie sie ändern. Weitere Informationen zum Sichern, Wiederherstellen und Ändern der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

  1. Öffnen Sie den Registrierungs-Editor.

  2. Wechseln Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.

  3. Wählen Sie im Menü "Bearbeiten" die Option "Neuer DWORD-Wert">aus.

  4. Geben Sie LsaLookupRestrictIsolatedNameLevel ein, und drücken Sie die EINGABETASTE.

  5. Klicken Sie mit der rechten Maustaste auf "LsaLookupRestrictIsolatedNameLevel", und wählen Sie "Ändern" aus. Geben Sie "1 " in das Feld "Wert" ein .

    Notiz

    Standardmäßig ist der LsaLookupRestrictIsolatedNameLevel-Eintrag entweder auf 0 festgelegt oder nicht vorhanden. Das bedeutet, dass die Suche nach isolierten Namen in vertrauenswürdigen Domänen/Gesamtstrukturen aktiviert ist.

  6. Wählen Sie "OK" aus, und schließen Sie den Registrierungs-Editor.

Weitere Informationen

Die Nachschlagefunktionen können direkt auf einen Domänencontroller in einer geeigneten Domäne für die folgenden Namensformate abzielen, die eine autorisierende Domäne eines Sicherheitsprinzipals enthalten:

  • NetBIOSDomainName\AccountName
  • DnsDomainName\AccountName
  • AccountName@DnsDomainName

Weitere Informationen finden Sie unter Netzwerkzugriffsüberprüfungsalgorithmen und Beispiele für Windows.