resolve 이름에 조회 함수를 호출할 때 성능 저하
원본 KB 번호: 818024
LookupAccountName 또는 LsaLookupNames 함수를 호출하여 격리된 이름(모호하거나 도메인 정규화되지 않은 사용자 계정)을 SID(보안 식별자)에 resolve 경우 도메인 컨트롤러에서 메모리 및 CPU 사용량이 증가하고 성능이 저하될 수 있습니다.
예를 들어 스크립트 또는 도구(예: Cacls.exe,Xcacls.exe, icacls.exe, Dsacls.exe및 Subinacl.exe)를 사용하여 함수를 호출하여 보안 설정을 편집할 때 성능이 저하될 수 있습니다.
신뢰할 수 있는 도메인 또는 포리스트(외부 및 포리스트 트러스트 모두에 적용됨)가 많거나 이러한 도메인 또는 포리스트 중 일부가 오프라인이거나 응답 속도가 느린 경우 문제가 나타날 수 있습니다.
함수가 격리된 이름(domain\AccountName과 달리 AccountName 형식)에 대해 호출되면 모든 신뢰할 수 있는 도메인/포리스트의 도메인 컨트롤러에 대해 RPC(원격 프로시저 호출)가 수행됩니다. 이 문제는 주 도메인에 다른 도메인/포리스트와 트러스트 관계가 많거나 동시에 많은 조회를 수행하는 경우에 발생할 수 있습니다. 예를 들어 스크립트는 많은 클라이언트의 시작 시 실행되도록 구성되거나 많은 신뢰할 수 있는 도메인/포리스트가 동일한 스크립트를 동시에 사용합니다.
신뢰할 수 있는 도메인/포리스트에서 격리된 이름의 조회를 사용하지 않도록 설정
참고
도메인 컨트롤러에서만 이 레지스트리 항목을 만듭니다.
신뢰할 수 있는 도메인/포리스트에서 격리된 이름의 조회를 사용하지 않도록 설정하는 레지스트리 항목을 만드는 방법은 다음과 같습니다.
중요
이 문서에는 레지스트리를 수정하는 지침이 포함되어 있습니다. 레지스트리가 잘못 수정되면 심각한 문제가 발생할 수 있습니다. 예방 조치로 레지스트리를 수정하기 전에 백업합니다. 레지스트리 백업, 복원 및 수정 방법에 대한 자세한 내용은 Windows에서 레지스트리를 백업 및 복원하는 방법을 참조하세요.
레지스트리 편집기를 엽니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
로 이동합니다.편집 메뉴에서 새>DWORD 값을 선택합니다.
LsaLookupRestrictIsolatedNameLevel을 입력하고 Enter 키를 누릅니다.
LsaLookupRestrictIsolatedNameLevel을 마우스 오른쪽 단추로 클릭하고 수정을 선택합니다. 값 데이터 상자에 1을 입력합니다.
참고
기본적으로 LsaLookupRestrictIsolatedNameLevel 항목은 0 으로 설정되거나 존재하지 않습니다. 즉, 신뢰할 수 있는 도메인/포리스트에서 격리된 이름을 조회할 수 있습니다.
확인을 선택하고 레지스트리 편집기 닫습니다.
추가 정보
조회 함수는 보안 주체의 신뢰할 수 있는 도메인을 포함하는 다음 이름 형식에 적합한 도메인의 도메인 컨트롤러를 직접 대상으로 지정할 수 있습니다.
- NetBIOSDomainName\AccountName
- DnsDomainName\AccountName
- AccountName@DnsDomainName
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기