Prestazioni scarse quando si chiamano funzioni di ricerca per risolvere i nomi

Numero KB originale: 818024

Quando si chiama la funzione LookupAccountName o LsaLookupNames per risolvere i nomi isolati (account utente ambigui o non qualificati per il dominio) negli identificatori di sicurezza (SID), è possibile notare un aumento dell'utilizzo della memoria e della CPU nel controller di dominio e una riduzione delle prestazioni.

È ad esempio possibile che si verifichino prestazioni scarse quando si usano script o strumenti , ad esempio Cacls.exe, Xcacls.exe, icacls.exe, Dsacls.exee Subinacl.exe, per chiamare le funzioni per modificare le impostazioni di sicurezza.

Il problema può verificarsi quando si hanno molti domini o foreste attendibili (si applica sia a trust esterni che a foreste) e/o alcuni di questi domini o foreste sono offline o hanno una risposta lenta.

Quando le funzioni vengono chiamate per un nome isolato (il formato è AccountName a differenza di dominio\AccountName), viene effettuata una chiamata di procedura remota (RPC) ai controller di dominio in tutti i domini/foreste attendibili. Questo problema può verificarsi se il dominio primario ha molte relazioni di trust con altri domini/foreste o se esegue molte ricerche contemporaneamente. Ad esempio, uno script è configurato per l'esecuzione all'avvio di molti client o molti domini/foreste attendibili usano lo stesso script contemporaneamente.

Disabilitare la ricerca di nomi isolati in domini/foreste attendibili

Nota

Creare questa voce del Registro di sistema solo nei controller di dominio.

Ecco come creare una voce del Registro di sistema per disabilitare la ricerca di nomi isolati in domini/foreste attendibili:

Importante

Questo articolo contiene istruzioni per modificare il Registro di sistema. È possibile che si verifichino problemi gravi se il Registro di sistema viene modificato in modo errato. Per precauzione, eseguire il backup del Registro di sistema prima di modificarlo. Per ulteriori informazioni su come eseguire backup, ripristino e modifiche al Registro di sistema, vedere Back up e ripristino del Registro di sistema in Windows.

  1. Aprire l'Editor del Registro di sistema.

  2. Vai a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.

  3. Nel menu Modifica selezionare Nuovo>valore DWORD.

  4. Digitare LsaLookupRestrictIsolatedNameLevel e premere INVIO.

  5. Fare clic con il pulsante destro del mouse su LsaLookupRestrictIsolatedNameLevel e scegliere Modifica. Digitare 1 nella casella Dati valore .

    Nota

    Per impostazione predefinita, la voce LsaLookupRestrictIsolatedNameLevel è impostata su 0 o non esiste. Ciò significa che la ricerca di nomi isolati in domini/foreste attendibili è abilitata.

  6. Selezionare OK e chiudere Editor del Registro di sistema.

Ulteriori informazioni

Le funzioni di ricerca possono essere destinate direttamente a un controller di dominio in un dominio appropriato per i formati di nome seguenti che contengono un dominio autorevole di un'entità di sicurezza:

  • NetBIOSDomainName\AccountName
  • DnsDomainName\AccountName
  • AccountName@DnsDomainName

Per altre informazioni, vedere Algoritmi ed esempi di convalida dell'accesso alla rete per Windows.