Поделиться через

Низкая производительность при вызове функций подстановки для разрешения имен

  • Статья

Исходный номер базы знаний: 818024

При вызове функции LookupAccountName или LsaLookupNames для разрешения изолированных имен (неоднозначных или ненадежных учетных записей пользователей) для идентификаторов безопасности (SID) можно заметить увеличение использования памяти и ЦП на контроллере домена и снижение производительности.

Например, низкая производительность может возникать при использовании скриптов или средств (например, Cacls.exe, Xcacls.exe, icacls.exe, Dsacls.exe и Subinacl.exe) для вызова функций для изменения параметров безопасности.

Проблема может возникнуть, если у вас есть много доверенных доменов или лесов (применяется как к внешним, так и к довериям леса), и /или некоторые из этих доменов или лесов находятся в автономном режиме или медленно отвечают.

Если функции вызываются для изолированного имени (формат accountName в отличие от domain\AccountName), удаленный вызов процедуры (RPC) выполняется для контроллеров домена во всех доверенных доменах или лесах. Эта проблема может возникнуть, если основной домен имеет много отношений доверия с другими доменами или лесами или если он выполняет много подстановок одновременно. Например, сценарий настраивается для запуска множества клиентов, или многие доверенные домены или леса используют один и тот же скрипт одновременно.

Отключение поиска изолированных имен в доверенных доменах или лесах

Примечание.

Создайте эту запись реестра только на контроллерах домена.

Вот как создать запись реестра, чтобы отключить поиск изолированных имен в доверенных доменах или лесах:

Внимание

В этой статье содержатся инструкции по изменению реестра. Если реестр изменен неправильно, могут возникнуть серьезные проблемы. В качестве меры предосторожности создайте резервную копию реестра перед его изменением. Для получения дополнительной информации о том, как создать резервную копию, восстановить и изменить реестр, см. Сведения о резервном копировании и восстановлении реестра Windows.

  1. Откройте редактор реестра.

  2. Перейдите по адресу HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.

  3. В меню "Изменить" выберите "Создать>значение DWORD".

  4. Введите LsaLookupRestrictIsolatedNameLevel и нажмите клавишу ВВОД.

  5. Щелкните правой кнопкой мыши LsaLookupRestrictIsolatedNameLevel и выберите "Изменить". В поле данных "Значение" введите 1.

    Примечание.

    По умолчанию запись LsaLookupRestrictIsolatedNameLevel имеет значение 0 или не существует. Это означает, что включен поиск изолированных имен в доверенных доменах или лесах.

  6. Нажмите кнопку "ОК " и закройте редактор реестра.

Дополнительная информация

Функции подстановки могут напрямую нацелиться на контроллер домена в соответствующем домене для следующих форматов имен, содержащих доверенный домен субъекта безопасности:

  • NetBIOSDomainName\AccountName
  • DnsDomainName\AccountName
  • AccountName@DnsDomainName

Дополнительные сведения см. в разделе "Алгоритмы проверки доступа к сети" и примеры для Windows.