名前を解決するために参照関数を呼び出すときのパフォーマンスが低い
元の KB 番号: 818024
分離名 (あいまいまたは非ドメイン修飾ユーザー アカウント) をセキュリティ識別子 (SID) に解決するために、 LookupAccountName または LsaLookupNames 関数を呼び出すと、ドメイン コントローラーでのメモリと CPU の使用量が増加し、パフォーマンスが低下することがあります。
たとえば、スクリプトやツール ( Cacls.exe、 Xcacls.exe、 icacls.exe、 Dsacls.exe、 Subinacl.exeなど) を使用して関数を呼び出してセキュリティ設定を編集すると、パフォーマンスが低下することがあります。
この問題は、多くの信頼されたドメインまたはフォレスト (外部とフォレストの両方の信頼に適用されます) がある場合、またはこれらのドメインまたはフォレストの一部がオフラインであるか、応答が遅い場合に表示されることがあります。
分離名 (domain\AccountName とは対照的に AccountName の形式) に対して関数が呼び出されると、すべての信頼されたドメイン/フォレスト上のドメイン コントローラーに対してリモート プロシージャ コール (RPC) が行われます。 この問題は、プライマリ ドメインが他のドメイン/フォレストと多くの信頼関係を持っている場合、または多数の参照を同時に実行している場合に発生する可能性があります。 たとえば、スクリプトは多数のクライアントの起動時に実行されるように構成されているか、多くの信頼されたドメイン/フォレストが同じスクリプトを同時に使用します。
信頼されたドメイン/フォレストでの分離名の参照を無効にする
Note
このレジストリ エントリは、ドメイン コントローラーでのみ作成します。
信頼されたドメイン/フォレストの分離名の参照を無効にするレジストリ エントリを作成する方法を次に示します。
重要
この記事では、レジストリを変更する手順について説明します。 レジストリが正しく変更されていない場合は、重大な問題が発生する可能性があります。 予防措置として、レジストリを変更する前にバックアップしてください。 レジストリをバックアップ、復元、および変更する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。
レジストリ エディターを開きます。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsaに移動します。[ Edit ] メニューの [ New>DWORD 値を選択します。
「 LsaLookupRestrictIsolatedNameLevel」と入力し、Enter キーを押します。
[LsaLookupRestrictIsolatedNameLevel右クリックしModify を選択します。 [Value data ボックスに「1」と入力します。
Note
既定では、 LsaLookupRestrictIsolatedNameLevel エントリは 0 に設定されるか 存在しません。 つまり、信頼されたドメイン/フォレスト内の分離名の検索が有効になります。
OKを選択し、Registry Editor を閉じます。
詳細
参照関数は、セキュリティ プリンシパルの権限のあるドメインを含む次の名前形式に対して、適切なドメイン上のドメイン コントローラーを直接ターゲットにすることができます。
- NetBIOSDomainName\AccountName
- DnsDomainName\AccountName
- AccountName@DnsDomainName
詳細については、「 Network アクセス検証アルゴリズムと Windows の例を参照してください。