呼叫查閱函式來解析名稱時效能不佳
原始 KB 編號: 818024
呼叫 LookupAccountName 或 LsaLookupNames 函式來解析隔離名稱 (模棱兩可或非網域限定使用者帳戶,) 安全標識碼 (SID) 時,您可能會注意到域控制器上的記憶體和 CPU 使用量增加,且效能降低。
例如,使用Cacls.exe、 (Xcacls.exe、 icacls.exe、Dsacls.exe和Subinacl.exe) 等腳本或工具來呼叫函式來編輯安全性設定 時,可能會發生 效能不佳的情況。
當您有許多受信任的網域或樹系 (同時套用至外部和樹系信任) ,以及/或其中一些網域或樹系離線或回應速度緩慢時,可能會顯示問題。
針對隔離名稱呼叫函式 (格式為 AccountName,與 domain\AccountName) 相反時,會對所有受信任網域/樹系上的域控制器進行遠端過程調用 (RPC) 。 如果主域與其他網域/樹系有許多信任關係,或同時進行許多查閱,就可能發生此問題。 例如,腳本設定為在許多客戶端啟動時執行,或許多受信任的網域/樹系同時使用相同的腳本。
停用信任網域/樹系中隔離名稱的查閱
注意事項
僅在域控制器上建立此登錄專案。
以下說明如何建立登錄專案,以停用對受信任網域/樹系中隔離名稱的查閱:
重要事項
本文包含修改登錄的指示。 如果登錄修改不正確,可能會發生嚴重問題。 若要採取預防措施,請先備份登錄,再加以修改。 有關如何備份、還原和修改登錄的詳細資訊,請參閱 Windows 備份及登錄方法說明。
開啟 [登錄編輯程式]。
移至
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa。在 [ 編輯] 功能表上,選取 [ 新增>DWORD 值]。
輸入 LsaLookupRestrictIsolatedNameLevel,然後按 Enter。
以滑鼠右鍵按兩下 [LsaLookupRestrictIsolatedNameLevel] ,然後選取 [ 修改]。 在 [值數據] 方塊中輸入 1。
注意事項
根據預設, LsaLookupRestrictIsolatedNameLevel 項目會設定為 0 或不存在。 這表示已啟用在受信任網域/樹系中尋找隔離名稱的功能。
選取 [確定] 並關閉登錄 編輯器。
其他相關資訊
查閱函式可以針對包含安全性主體授權網域的下列名稱格式,直接以適當網域上的域控制器為目標:
- NetBIOSDomainName\AccountName
- DnsDomainName\AccountName
- AccountName@DnsDomainName
如需詳細資訊,請參閱 Windows 的網路存取驗證演算法和範例。