Partager via

Performances médiocres lors de l’appel des fonctions de recherche pour résoudre les noms

  • Article

Numéro de la base de connaissances d’origine : 818024

Lors de l’appel de la fonction LookupAccountName ou LsaLookupNames pour résoudre les noms isolés (comptes d’utilisateur ambigus ou non qualifiés par domaine) aux identificateurs de sécurité (SID), vous remarquerez peut-être une utilisation accrue de la mémoire et du processeur sur le contrôleur de domaine et une diminution des performances.

Par exemple, des performances médiocres peuvent se produire lors de l’utilisation de scripts ou d’outils (tels que Cacls.exe, Xcacls.exe, icacls.exe, Dsacls.exe et Subinacl.exe) pour appeler les fonctions pour modifier les paramètres de sécurité.

Le problème peut apparaître lorsque vous avez de nombreux domaines ou forêts approuvés (s’applique aux approbations externes et aux approbations de forêt), et/ou à certains de ces domaines ou forêts sont hors connexion ou lents à répondre.

Lorsque les fonctions sont appelées pour un nom isolé (le format est AccountName contrairement à domain\AccountName), un appel de procédure distante (RPC) est effectué aux contrôleurs de domaine sur tous les domaines/forêts approuvés. Ce problème peut se produire si le domaine principal a de nombreuses relations d’approbation avec d’autres domaines/forêts ou s’il effectue de nombreuses recherches en même temps. Par exemple, un script est configuré pour s’exécuter au démarrage de nombreux clients, ou de nombreux domaines/forêts approuvés utilisent simultanément le même script.

Désactiver la recherche de noms isolés dans des domaines/forêts approuvés

Note

Créez cette entrée de Registre uniquement sur les contrôleurs de domaine.

Voici comment créer une entrée de Registre pour désactiver la recherche de noms isolés dans des domaines/forêts approuvés :

Important

Cet article contient des instructions pour modifier le Registre. Des problèmes graves peuvent se produire si le Registre est modifié de manière incorrecte. Par précaution, sauvegardez le Registre avant de le modifier. Pour plus d’informations sur la procédure à suivre pour sauvegarder, restaurer et modifier le Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.

  1. Ouvrez l’Éditeur du Registre.

  2. Accédez à HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.

  3. Dans le menu Modifier , sélectionnez Nouvelle>valeur DWORD.

  4. Tapez LsaLookupRestrictIsolatedNameLevel, puis appuyez sur Entrée.

  5. Cliquez avec le bouton droit sur LsaLookupRestrictIsolatedNameLevel , puis sélectionnez Modifier. Tapez 1 dans la zone de données Valeur.

    Note

    Par défaut, l’entrée LsaLookupRestrictIsolatedNameLevel est définie sur 0 ou n’existe pas. Cela signifie que la recherche de noms isolés dans les domaines/forêts approuvés est activée.

  6. Sélectionnez OK et fermez l’Éditeur du Registre.

Plus d’informations

Les fonctions de recherche peuvent cibler directement un contrôleur de domaine sur un domaine approprié pour les formats de nom suivants qui contiennent un domaine faisant autorité d’un principal de sécurité :

  • NetBIOSDomainName\AccountName
  • DnsDomainName\AccountName
  • AccountName@DnsDomainName

Pour plus d’informations, consultez algorithmes de validation d’accès réseau et exemples pour Windows.