resolve 이름에 조회 함수를 호출할 때 성능 저하

원본 KB 번호: 818024

LookupAccountName 또는 LsaLookupNames 함수를 호출하여 격리된 이름(모호하거나 도메인 정규화되지 않은 사용자 계정)을 SID(보안 식별자)에 resolve 경우 도메인 컨트롤러에서 메모리 및 CPU 사용량이 증가하고 성능이 저하될 수 있습니다.

예를 들어 스크립트 또는 도구(예: Cacls.exe,Xcacls.exe, icacls.exe, Dsacls.exe및 Subinacl.exe)를 사용하여 함수를 호출하여 보안 설정을 편집할 때 성능이 저하될 수 있습니다.

신뢰할 수 있는 도메인 또는 포리스트(외부 및 포리스트 트러스트 모두에 적용됨)가 많거나 이러한 도메인 또는 포리스트 중 일부가 오프라인이거나 응답 속도가 느린 경우 문제가 나타날 수 있습니다.

함수가 격리된 이름(domain\AccountName과 달리 AccountName 형식)에 대해 호출되면 모든 신뢰할 수 있는 도메인/포리스트의 도메인 컨트롤러에 대해 RPC(원격 프로시저 호출)가 수행됩니다. 이 문제는 주 도메인에 다른 도메인/포리스트와 트러스트 관계가 많거나 동시에 많은 조회를 수행하는 경우에 발생할 수 있습니다. 예를 들어 스크립트는 많은 클라이언트의 시작 시 실행되도록 구성되거나 많은 신뢰할 수 있는 도메인/포리스트가 동일한 스크립트를 동시에 사용합니다.

신뢰할 수 있는 도메인/포리스트에서 격리된 이름의 조회를 사용하지 않도록 설정

참고

도메인 컨트롤러에서만 이 레지스트리 항목을 만듭니다.

신뢰할 수 있는 도메인/포리스트에서 격리된 이름의 조회를 사용하지 않도록 설정하는 레지스트리 항목을 만드는 방법은 다음과 같습니다.

중요

이 문서에는 레지스트리를 수정하는 지침이 포함되어 있습니다. 레지스트리가 잘못 수정되면 심각한 문제가 발생할 수 있습니다. 예방 조치로 레지스트리를 수정하기 전에 백업합니다. 레지스트리 백업, 복원 및 수정 방법에 대한 자세한 내용은 Windows에서 레지스트리를 백업 및 복원하는 방법을 참조하세요.

1. 레지스트리 편집기를 엽니다.

2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa로 이동합니다.

3. 편집 메뉴에서 새>DWORD 값을 선택합니다.

4. LsaLookupRestrictIsolatedNameLevel을 입력하고 Enter 키를 누릅니다.

5. LsaLookupRestrictIsolatedNameLevel을 마우스 오른쪽 단추로 클릭하고 수정을 선택합니다. 값 데이터 상자에 1을 입력합니다.

   참고

   기본적으로 LsaLookupRestrictIsolatedNameLevel 항목은 0 으로 설정되거나 존재하지 않습니다. 즉, 신뢰할 수 있는 도메인/포리스트에서 격리된 이름을 조회할 수 있습니다.

6. 확인을 선택하고 레지스트리 편집기 닫습니다.

추가 정보

조회 함수는 보안 주체의 신뢰할 수 있는 도메인을 포함하는 다음 이름 형식에 적합한 도메인의 도메인 컨트롤러를 직접 대상으로 지정할 수 있습니다.

• NetBIOSDomainName\AccountName
• DnsDomainName\AccountName
• AccountName@DnsDomainName

자세한 내용은 Windows에 대한 네트워크 액세스 유효성 검사 알고리즘 및 예제를 참조하세요.