Condividi tramite

Prestazioni scarse quando si chiamano le funzioni di ricerca per risolvere i nomi

  • Articolo

Numero KB originale: 818024

Quando si chiama la funzione LookupAccountName o LsaLookupNames per risolvere i nomi isolati (account utente ambigui o non qualificati da dominio) agli identificatori di sicurezza (SID), è possibile notare un maggiore utilizzo della memoria e della CPU nel controller di dominio e riduzione delle prestazioni.

Ad esempio, possono verificarsi prestazioni scarse quando si usano script o strumenti (ad esempio Cacls.exe, Xcacls.exe, icacls.exe, Dsacls.exe e Subinacl.exe) per chiamare le funzioni per modificare le impostazioni di sicurezza.

Il problema può verificarsi quando si dispone di molti domini o foreste attendibili (si applica a trust esterni e foreste) e/o alcuni di questi domini o foreste sono offline o lenti a rispondere.

Quando le funzioni vengono chiamate per un nome isolato (il formato è AccountName a differenza di domain\AccountName), viene eseguita una chiamata di procedura remota (RPC) ai controller di dominio in tutti i domini/foreste attendibili. Questo problema può verificarsi se il dominio primario ha molte relazioni di trust con altri domini/foreste o se esegue molte ricerche contemporaneamente. Ad esempio, uno script è configurato per l'esecuzione all'avvio di molti client o molti domini/foreste attendibili usano lo stesso script contemporaneamente.

Disabilitare la ricerca di nomi isolati in domini/foreste attendibili

Note

Creare questa voce del Registro di sistema solo nei controller di dominio.

Ecco come creare una voce del Registro di sistema per disabilitare la ricerca di nomi isolati in domini/foreste attendibili:

Importante

Questo articolo contiene istruzioni per modificare il Registro di sistema. Se il Registro di sistema viene modificato in modo non corretto, potrebbero verificarsi problemi gravi. Per precauzione, eseguire il backup del Registro di sistema prima di modificarlo. Per ulteriori informazioni su come eseguire backup, ripristino e modifiche al Registro di sistema, vedere Back up e ripristino del Registro di sistema in Windows.

  1. Aprire l'editor delRegistro di sistema.

  2. Vai a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.

  3. Scegliere Nuovo>valore DWORD dal menu Modifica.

  4. Digitare LsaLookupRestrictIsolatedNameLevel e premere INVIO.

  5. Fare clic con il pulsante destro del mouse su LsaLookupRestrictIsolatedNameLevel e scegliere Modifica. Digitare 1 nella casella Dati valore .

    Note

    Per impostazione predefinita, la voce LsaLookupRestrictIsolatedNameLevel è impostata su 0 o non esiste. Ciò significa che la ricerca di nomi isolati in domini/foreste attendibili è abilitata.

  6. Selezionare OK e chiudere l'editor del Registro di sistema.

Ulteriori informazioni

Le funzioni di ricerca possono essere destinate direttamente a un controller di dominio in un dominio appropriato per i formati di nome seguenti che contengono un dominio autorevole di un'entità di sicurezza:

  • NetBIOSDomainName\AccountName
  • DnsDomainName\AccountName
  • AccountName@DnsDomainName

Per altre informazioni, vedere Algoritmi di convalida dell'accesso alla rete ed esempi per Windows.