Compartilhar via

Baixo desempenho ao chamar funções de pesquisa para resolver nomes

  • Artigo

Número original do KB: 818024

Ao chamar a função LookupAccountName ou LsaLookupNames para resolver nomes isolados (contas de usuário ambíguas ou não qualificadas para domínio) para SIDs (identificadores de segurança), você pode observar um aumento no uso de memória e CPU no controlador de domínio e diminuição do desempenho.

Por exemplo, pode ocorrer um desempenho ruim ao usar scripts ou ferramentas (como Cacls.exe, Xcacls.exe, icacls.exe, Dsacls.exe e Subinacl.exe) para chamar as funções para editar as configurações de segurança.

O problema pode aparecer quando você tem muitos domínios ou florestas confiáveis (aplica-se a relações de confiança externas e de floresta) e/ou alguns desses domínios ou florestas estão offline ou demoram para responder.

Quando as funções são chamadas para um nome isolado (o formato é AccountName em contraste com domain\AccountName), uma chamada de procedimento remoto (RPC) é feita para controladores de domínio em todos os domínios/florestas confiáveis. Esse problema pode ocorrer se o domínio primário tiver muitas relações de confiança com outros domínios/florestas ou se estiver fazendo muitas pesquisas ao mesmo tempo. Por exemplo, um script é configurado para ser executado na inicialização de muitos clientes ou muitos domínios/florestas confiáveis usam o mesmo script simultaneamente.

Desabilitar a pesquisa de nomes isolados em domínios/florestas confiáveis

Observação

Crie essa entrada do Registro somente em controladores de domínio.

Veja como criar uma entrada de registro para desabilitar a pesquisa de nomes isolados em domínios/florestas confiáveis:

Importante

Este artigo contém instruções para modificar o registro. Problemas graves podem ocorrer se o registro for modificado incorretamente. Como precaução, faça backup do registro antes de modificá-lo. Para obter mais informações sobre como fazer backup do Registro, restaurá-lo e modificá-lo, consulte Como fazer backup e restaurar o Registro no Windows.

  1. Abra o Editor do Registro.

  2. Ir para HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.

  3. No menu Editar, selecione Novo>Valor DWORD.

  4. Digite LsaLookupRestrictIsolatedNameLevel e pressione Enter.

  5. Clique com o botão direito do mouse em LsaLookupRestrictIsolatedNameLevel e selecione Modificar. Digite 1 na caixa Dados do valor.

    Observação

    Por padrão, a entrada LsaLookupRestrictIsolatedNameLevel é definida como 0 ou não existe. Isso significa que a pesquisa de nomes isolados em domínios/florestas confiáveis está habilitada.

  6. Selecione OK e feche o Editor do Registro.

Mais informações

As funções de pesquisa podem direcionar diretamente um controlador de domínio em um domínio apropriado para os seguintes formatos de nome que contêm um domínio autoritativo de uma entidade de segurança:

  • NetBIOSDomainName\AccountName
  • DnsDomainName\AccountName
  • AccountName@DnsDomainName

Para obter mais informações, consulte Algoritmos e exemplos de validação de acesso à rede para Windows.