Compartir a través de

Rendimiento deficiente al llamar a funciones de búsqueda para resolver nombres

  • Artículo

Número de KB original: 818024

Al llamar a la función LookupAccountName o LsaLookupNames para resolver nombres aislados (cuentas de usuario ambiguas o no calificadas por dominio) a identificadores de seguridad (SID), puede observar un mayor uso de memoria y CPU en el controlador de dominio y disminuir el rendimiento.

Por ejemplo, puede producirse un rendimiento deficiente al usar scripts o herramientas (como Cacls.exe, Xcacls.exe, icacls.exe, Dsacls.exe y Subinacl.exe) para llamar a las funciones para editar la configuración de seguridad.

El problema puede aparecer cuando tiene muchos dominios o bosques de confianza (se aplica a las confianzas externas y de bosque) o a algunos de estos dominios o bosques están sin conexión o son lentos para responder.

Cuando se llama a las funciones para un nombre aislado (el formato es AccountName en contraste con domain\AccountName), se realiza una llamada a procedimiento remoto (RPC) a los controladores de dominio en todos los dominios o bosques de confianza. Este problema puede producirse si el dominio principal tiene muchas relaciones de confianza con otros dominios o bosques o si realiza muchas búsquedas al mismo tiempo. Por ejemplo, un script está configurado para ejecutarse al inicio de muchos clientes, o muchos dominios o bosques de confianza usan el mismo script simultáneamente.

Deshabilitar la búsqueda de nombres aislados en dominios o bosques de confianza

Nota:

Cree esta entrada del Registro solo en controladores de dominio.

A continuación se muestra cómo crear una entrada del Registro para deshabilitar la búsqueda de nombres aislados en dominios o bosques de confianza:

Importante

Este artículo contiene instrucciones para modificar el Registro. Es posible que se produzcan problemas graves si el registro se modifica incorrectamente. Como medida de precaución, realice una copia de seguridad del registro antes de modificarlo. Para obtener más información sobre cómo realizar una copia de seguridad, restaurar y modificar el Registro, consulte Cómo hacer una copia de seguridad y restaurar el registro en Windows.

  1. Abra el Editor del Registro.

  2. Ir a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.

  3. En el menú Editar , seleccione Nuevo>valor DWORD.

  4. Escriba LsaLookupRestrictIsolatedNameLevel y presione Entrar.

  5. Haga clic con el botón derecho en LsaLookupRestrictIsolatedNameLevel y seleccione Modificar. Escriba 1 en el cuadro Datos de valor.

    Nota:

    De forma predeterminada, la entrada LsaLookupRestrictIsolatedNameLevel está establecida en 0 o no existe. Esto significa que la búsqueda de nombres aislados en dominios o bosques de confianza está habilitada.

  6. Seleccione Aceptar y cierre el Editor del Registro.

Más información

Las funciones de búsqueda pueden dirigirse directamente a un controlador de dominio en un dominio adecuado para los siguientes formatos de nombre que contienen un dominio autoritativo de una entidad de seguridad:

  • NetBIOSDomainName\AccountName
  • DnsDomainName\AccountName
  • AccountName@DnsDomainName

Para obtener más información, consulte Algoritmos y ejemplos de validación de acceso de red para Windows.