디렉터리 서비스 구성 요소 업데이트
작성자: 저스틴 터너, Windows 그룹의 수석 지원 에스컬레이션 엔지니어
참고 항목
이 콘텐츠는 Microsoft 고객 지원 엔지니어에 의해 작성되었으며 Windows Server 2012 R2의 기능 및 솔루션에 대해 TechNet에서 일반적으로 제공하는 항목보다 더 자세한 기술적 설명을 찾고 있는 숙련된 관리자 및 시스템 설계자를 대상으로 합니다. 그러나 동일한 편집 과정을 수행하지 않았으므로 일부 언어는 일반적으로 TechNet에서 찾을 수 있는 것보다 완벽하지 않을 수 있습니다.
이 단원에서는 Windows Server 2012 R2의 Directory Services 구성 요소 업데이트에 대해 설명합니다.
학습 내용
다음과 같은 새 Directory Services 구성 요소 업데이트를 설명합니다.
다음과 같은 새 Directory Services 구성 요소 업데이트를 설명합니다.
도메인 및 포리스트 기능 수준
개요
이 섹션에서는 도메인 및 포리스트 기능 수준 변경에 대한 간략한 소개를 제공합니다.
새로운 DFL 및 FFL
릴리스에는 새 도메인 및 포리스트 기능 수준이 있습니다.
포리스트 기능 수준: Windows Server 2012 R2
도메인 기능 수준: Windows Server 2012 R2
Windows Server 2012 R2 도메인 기능 수준에서는 다음을 지원할 수 있습니다:
Protected Users에 대한 DC쪽 보호.
Windows Server 2012 R2 도메인에 인증하는 보호된 사용자는 더 이상 다음을 수행할 수 없습니다:
NTLM 인증을 통한 인증
Kerberos 사전 인증에 DES 또는 RC4 암호 그룹 사용
제한 없는 위임 또는 제한된 위임을 사용한 위임
초기 4시간의 수명이 지난 후 사용자 티켓(TGT) 갱신
Authentication Policies
계정이 로그온할 수 있는 호스트를 제어하고 계정으로 실행되는 서비스에 대한 인증을 위한 액세스 제어 조건을 적용하기 위해 Windows Server 2012 R2 도메인의 계정에 적용할 수 있는 새로운 포리스트 기반 Active Directory 정책
Authentication Policy Silos
인증 정책 또는 인증 격리를 위해 계정을 분류하는 데 사용할 사용자, 관리 서비스 및 컴퓨터 계정 간의 관계를 만들 수 있는 새로운 포리스트 기반 Active Directory 개체입니다.
자세한 내용은 보호된 계정을 구성하는 방법을 참조하세요.
위의 기능 외에도 Windows Server 2012 R2 도메인 기능 수준은 도메인의 모든 도메인 컨트롤러가 Windows Server 2012 R2를 실행하도록 합니다. Windows Server 2012 R2 포리스트 기능 수준은 새로운 기능을 제공하지는 않지만 포리스트에 만들어진 모든 새 도메인이 자동으로 Windows Server 2012 R2 도메인 기능 수준에서 작동하도록 보장합니다.
새 도메인 생성 시 최소 DFL 적용
Windows Server 2008 DFL은 새 도메인 생성 시 지원되는 최소 기능 수준입니다.
참고 항목
FRS 사용 중단은 서버 관리자 사용하거나 Windows PowerShell을 통해 Windows Server 2008보다 낮은 도메인 기능 수준으로 새 도메인을 설치하는 기능을 제거하여 수행됩니다.
포리스트 및 도메인 기능 수준 낮추기
포리스트 및 도메인 기능 수준은 기본적으로 새 도메인 및 새 포리스트 만들기에서 Windows Server 2012 R2로 설정되지만 Windows PowerShell을 사용하여 낮출 수 있습니다.
Windows PowerShell을 사용하여 포리스트 기능 수준을 높이거나 낮추려면 Set-ADForestMode cmdlet을 사용합니다.
contoso.com FFL을 Windows Server 2008 모드로 설정하려면 다음을 수행합니다.
Set-ADForestMode -ForestMode Windows2008Forest -Identity contoso.com
Windows PowerShell을 사용하여 도메인 기능 수준을 높이거나 낮추려면 Set-ADDomainMode cmdlet을 사용합니다.
contoso.com DFL을 Windows Server 2008 모드로 설정하려면:
Set-ADDomainMode -DomainMode Windows2008Domain -Identity contoso.com
Windows Server 2012 R2를 실행하는 DC를 2003 DFL을 실행하는 기존 도메인으로 추가 복제본으로 승격합니다.
기존 포리스트에서 새 도메인 만들기
ADPREP
이 릴리스에는 새 포리스트 또는 도메인 작업이 없습니다.
이러한 .ldf 파일에는 디바이스 등록 서비스에 대한 스키마 변경 내용이 포함되어 있습니다.
Sch59
Sch61
Sch62
Sch63
Sch64
Sch65
Sch67
작업 폴더:
- Sch66
MSODS:
- Sch60
인증 정책 및 사일로
Sch68
Sch69
NTFRS 사용 중단
개요
FRS는 Windows Server 2012 R2에서 더 이상 사용되지 않습니다. FRS 사용 중단은 Windows Server 2008의 최소 DFL(도메인 기능 수준)을 적용하여 수행됩니다. 이 적용은 서버 관리자 또는 Windows PowerShell을 사용하여 새 도메인을 만든 경우에만 존재합니다.
Install-ADDSForest 또는 Install-ADDSDomain cmdlet과 함께 -DomainMode 매개 변수를 사용하여 도메인 기능 수준을 지정합니다. 이 매개 변수에 지원되는 값은 유효한 정수 또는 해당 열거 문자열 값일 수 있습니다. 예를 들어 도메인 모드 수준을 Windows Server 2008 R2로 설정하려면 값 4 또는 "Win2008R2"를 지정할 수 있습니다. Server 2012 R2에서 이러한 cmdlet을 실행할 때 유효한 값에는 Windows Server 2008(3, Win2008) Windows Server 2008 R2(4, Win2008R2) Windows Server 2012(5, Win2012) 및 Windows Server 2012 R2(6, Win2012R2)에 대한 값이 포함됩니다. 도메인 기능 수준은 포리스트 기능 수준보다 낮을 수는 없지만 더 높을 수는 있습니다. 이 릴리스에서는 FRS가 더 이상 사용되지 않으므로 Windows Server 2003(2, Win2003)은 Windows Server 2012 R2에서 실행할 때 이러한 cmdlet에서 매개 변수로 인식되지 않습니다.
LDAP 쿼리 옵티마이저 변경 사항
개요
LDAP 쿼리 최적화 프로그램 알고리즘이 다시 평가되고 추가로 최적화되었습니다. 그 결과 복잡한 쿼리의 LDAP 검색 효율성과 LDAP 검색 시간이 개선되었습니다.
참고 항목
개발자로부터:LDAP 쿼리에서 ESE 쿼리로의 매핑 향상을 통해 검색 성능이 향상되었습니다. 특정 수준의 복잡성을 초과하는 LDAP 필터는 최적화된 인덱스 선택을 방지하여 성능이 크게 저하됩니다(1000배 이상). 이 변경은 이 문제를 방지하기 위해 LDAP 쿼리에 대한 인덱스를 선택하는 방식을 변경합니다.
참고 항목
LDAP 쿼리 최적화 프로그램 알고리즘을 완전히 점검하여 다음을 수행합니다.
- 빠른 검색 시간
- 효율성 향상을 통해 DC는 더 많은 작업을 수행할 수 있습니다.
- AD 성능 문제와 관련된 지원 호출 감소
- Windows Server 2008 R2로 다시 이식(KB 2862304)
배경
Active Directory를 검색하는 기능은 도메인 컨트롤러에서 제공하는 핵심 서비스입니다. 다른 서비스 및 기간 업무 애플리케이션은 Active Directory 검색을 사용합니다. 이 기능을 사용할 수 없는 경우 비즈니스 운영이 중단될 수 있습니다. 핵심적이고 많이 사용되는 서비스인 도메인 컨트롤러는 LDAP 검색 트래픽을 효율적으로 처리해야 합니다. LDAP 쿼리 최적화 프로그램 알고리즘은 데이터베이스에 이미 인덱싱된 레코드를 통해 충족할 수 있는 결과 집합에 LDAP 검색 필터를 매핑하여 LDAP 검색을 최대한 효율적으로 만들려고 합니다. 이 알고리즘은 다시 평가되고 추가로 최적화되었습니다. 그 결과 복잡한 쿼리의 LDAP 검색 효율성과 LDAP 검색 시간이 개선되었습니다.
변경 사항 세부 정보
LDAP 검색에는 다음이 포함됩니다.
검색을 시작할 계층 내의 위치(NC 헤드, OU, 개체)
검색 필터
반환할 특성 목록
검색 프로세스는 다음과 같이 요약할 수 있습니다:
가능한 경우 검색 필터를 간소화합니다.
가장 작은 적용 대상 집합을 반환할 인덱스 키 집합을 선택합니다.
인덱스 키의 교차를 하나 이상 수행하여 적용된 집합을 줄입니다.
적용된 집합의 각 레코드에 대해 필터 식과 보안을 평가합니다. 필터가 TRUE로 평가되고 액세스 권한이 부여되면 이 레코드를 클라이언트에 반환합니다.
LDAP 쿼리 최적화 작업은 2단계와 3단계를 수정하여 적용된 집합의 크기를 줄입니다. 보다 구체적으로, 현재 구현에서는 중복 인덱스 키를 선택하고 중복 교집합을 수행합니다.
이전 알고리즘과 새 알고리즘 간의 비교
이 예제에서 비효율적인 LDAP 검색의 대상은 Windows Server 2012 도메인 컨트롤러입니다. 더 효율적인 인덱스를 찾지 못해 검색이 약 44초 만에 완료됩니다.
adfind -b dc=blue,dc=contoso,dc=com -f "(| (& (|(cn=justintu) (postalcode=80304) (userprincipalname=justintu@blue.contoso.com)) (|(objectclass=person) (cn=justintu)) ) (&(cn=justintu)(objectclass=person)))" -stats >>adfind.txt
Using server: WINSRV-DC1.blue.contoso.com:389
<removed search results>
Statistics
=====
Elapsed Time: 44640 (ms)
Returned 324 entries of 553896 visited - (0.06%)
Used Filter:
( | ( & ( | (cn=justintu) (postalCode=80304) (userPrincipalName=justintu@blue.contoso.com) ) ( | (objectClass=person) (cn=justintu) ) ) ( & (cn=justintu) (objectClass=person) ) )
Used Indices:
DNT_index:516615:N
Pages Referenced : 4619650
Pages Read From Disk : 973
Pages Pre-read From Disk : 180898
Pages Dirtied : 0
Pages Re-Dirtied : 0
Log Records Generated : 0
Log Record Bytes Generated: 0
새 알고리즘을 사용한 샘플 결과
이 예제에서는 위와 정확히 동일한 검색을 반복하지만 Windows Server 2012 R2 도메인 컨트롤러를 대상으로 합니다. LDAP 쿼리 최적화 프로그램 알고리즘의 향상된 기능으로 인해 동일한 검색이 1초 이내에 완료됩니다.
adfind -b dc=blue,dc=contoso,dc=com -f "(| (& (|(cn=justintu) (postalcode=80304) (userprincipalname=dhunt@blue.contoso.com)) (|(objectclass=person) (cn=justintu)) ) (&(cn=justintu)(objectclass=person)))" -stats >>adfindBLUE.txt
Using server: winblueDC1.blue.contoso.com:389
.<removed search results>
Statistics
=====
Elapsed Time: 672 (ms)
Returned 324 entries of 648 visited - (50.00%)
Used Filter:
( | ( & ( | (cn=justintu) (postalCode=80304) (userPrincipalName=justintu@blue.contoso.com) ) ( | (objectClass=person) (cn=justintu) ) ) ( & (cn=justintu) (objectClass=person) ) )
Used Indices:
idx_userPrincipalName:648:N
idx_postalCode:323:N
idx_cn:1:N
Pages Referenced : 15350
Pages Read From Disk : 176
Pages Pre-read From Disk : 2
Pages Dirtied : 0
Pages Re-Dirtied : 0
Log Records Generated : 0
Log Record Bytes Generated: 0
트리를 최적화할 수 없는 경우:
예를 들어 트리의 식이 인덱싱되지 않은 열 위에 있었습니다.
최적화를 방지하는 인덱스 목록을 기록합니다.
ETW 추적 및 이벤트 ID 1644를 통해 노출됨
LDP에서 통계 컨트롤을 사용하도록 설정하려면
LDP.exe 열고 도메인 컨트롤러에 연결하고 바인딩합니다.
옵션 메뉴에서 컨트롤을 선택합니다.
컨트롤 대화 상자에서 미리 정의된 풀다운 로드 메뉴를 확장하고 통계 검색을 선택한 다음 확인을 선택합니다.
Browse 메뉴에서 Search를 선택합니다.
검색 대화 상자에서 Options 버튼을 선택합니다.
검색 옵션 대화 상자에서 확장 확인란이 선택되어 있는지 확인하고 확인을 선택합니다.
이 시도: LDP를 사용하여 쿼리 통계 반환
도메인 컨트롤러 또는 AD DS 도구가 설치된 도메인 가입 클라이언트 또는 서버에서 다음을 수행합니다. Windows Server 2012 DC 및 Windows Server 2012 R2 DC를 대상으로 다음을 반복합니다.
"보다 효율적인 Microsoft AD 지원 애플리케이션 만들기" 문서를 검토하고 필요에 따라 다시 참조하세요.
LDP를 사용하여 검색 통계를 사용하도록 설정합니다(LDP에서 통계 컨트롤을 사용하도록 설정하려면 참조).
여러 LDAP 검색을 수행하고 결과의 맨 위에 있는 통계 정보를 관찰합니다. 다른 작업에서 동일한 검색을 반복하여 메모장 텍스트 파일에 문서화합니다.
특성 인덱스 때문에 쿼리 최적화 프로그램에서 최적화할 수 있어야 하는 LDAP 검색 수행
완료하는 데 시간이 오래 걸리는 검색을 구성하려고 시도합니다(검색 시간이 초과되지 않도록 시간 제한 옵션을 늘릴 수 있음).
추가 리소스
보다 효율적인 Microsoft Active Directory 지원 애플리케이션 만들기
951581 LDAP 쿼리가 AD 또는 LDS/ADAM 디렉터리 서비스에서 예상보다 더 느리게 실행되고 이벤트 ID 1644가 기록될 수 있습니다.
1644 이벤트 개선 사항
개요
이 업데이트는 문제 해결을 돕기 위해 이벤트 ID 1644에 추가 LDAP 검색 결과 통계를 추가합니다. 또한 시간 기반 임계값에 대한 로깅을 사용하도록 설정하는 데 사용할 수 있는 새 레지스트리 값이 있습니다. 이러한 개선 사항은 KB 2800945 통해 Windows Server 2012 및 Windows Server 2008 R2 SP1에서 제공되었으며 Windows Server 2008 SP2에서 사용할 수 있게 됩니다.
참고 항목
- 비효율적이거나 비용이 많이 드는 LDAP 검색 문제를 해결하기 위해 이벤트 ID 1644에 추가 LDAP 검색 통계가 추가됩니다.
- 이제 비싸고 비효율적인 검색 결과 임계값을 지정하는 대신 검색 시간 임계값(예: 100ms 이상 걸리는 검색의 경우 이벤트 1644 로그)을 지정할 수 있습니다.
배경
Active Directory 성능 문제를 해결하는 동안 LDAP 검색 작업이 문제에 기여할 수 있다는 것이 명백해집니다. 도메인 컨트롤러에서 처리되는 비용이 많이 들거나 비효율적인 LDAP 쿼리를 볼 수 있도록 로깅을 사용하도록 설정하기로 결정했습니다. 로깅을 사용하도록 설정하려면 Field Engineering 진단 값을 설정해야 하며 선택적으로 비용이 많이 드는/비효율적인 검색 결과 임계값을 지정할 수 있습니다. 필드 엔지니어링 로깅 수준을 값 5로 설정하면 이러한 조건을 충족하는 모든 검색이 이벤트 ID가 1644인 Directory Services 이벤트 로그에 기록됩니다.
이벤트에는 다음이 포함됩니다:
클라이언트 IP 및 포트
노드 시작
필터
검색 범위
속성 선택
서버 컨트롤
방문한 항목
반환된 항목
그러나 검색 작업에 소요된 시간 및 사용된 인덱스(있는 경우)와 같은 주요 데이터가 이벤트에서 누락되었습니다.
이벤트 1644에 추가된 추가 검색 통계
사용된 인덱스
참조된 페이지
디스크에서 읽은 페이지
디스크에서 미리 읽은 페이지
수정된 페이지 정리
수정된 더티 페이지
Search time
최적화를 방지하는 속성
이벤트 1644 로깅에 대한 새로운 시간 기반 임계값 레지스트리 값
비용이 많이 들고 비효율적인 검색 결과 임계값을 지정하는 대신 검색 시간 임계값을 지정할 수 있습니다. 50ms 이상인 모든 검색 결과를 기록하려는 경우 필드 엔지니어링 값을 설정하는 것 외에도 50진수/3216600000을 지정합니다.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Search Time Threshold (msecs)"=dword:00000032
이전 이벤트 ID와 새 이벤트 ID 1644 비교
OLD
NEW
이 시도: 이벤트 로그를 사용하여 쿼리 통계 반환
Windows Server 2012 DC 및 Windows Server 2012 R2 DC를 대상으로 다음을 반복합니다. 각 검색 후 두 DC에서 이벤트 ID 1644를 관찰합니다.
regedit를 사용하여 Windows Server 2012 R2 DC의 시간 기반 임계값과 Windows Server 2012 DC의 이전 메서드를 사용하여 이벤트 ID 1644 로깅을 사용하도록 설정합니다.
임계값을 초과하는 여러 LDAP 검색을 수행하고 결과의 맨 위에 있는 통계 정보를 관찰합니다. 앞에서 문서화한 LDAP 쿼리를 사용하고 동일한 검색을 반복합니다.
하나 이상의 특성이 인덱싱되지 않으므로 쿼리 최적화 프로그램에서 최적화할 수 없는 LDAP 검색을 수행합니다.
Active Directory 복제 처리량 개선
개요
AD 복제는 복제 전송에 RPC를 사용합니다. 기본적으로 RPC는 8K 전송 버퍼와 5K 패킷 크기를 사용합니다. 이는 송신 인스턴스가 3개의 패킷(약 15K 상당의 데이터)을 전송한 다음, 더 많은 패킷을 보내기 전에 네트워크 왕복을 기다려야 하는 순 효과가 있습니다. 3ms 왕복 시간을 가정하면 가장 높은 처리량은 1Gbps 또는 10Gbps 네트워크에서도 약 40Mbps입니다.
참고 항목
이 업데이트는 최대 AD 복제 처리량을 40Mbps에서 약 600Mbps로 조정합니다.
- RPC 송신 버퍼 크기를 늘려 네트워크 왕복 횟수를 줄입니다.
이 효과는 고속, 높은 대기 시간 네트워크에서 가장 두드러질 것입니다.
이 업데이트는 RPC 송신 버퍼 크기를 8K에서 256KB로 변경하여 최대 처리량을 약 600Mbps로 증가합니다. 이렇게 변경하면 TCP 창 크기가 8K를 초과하여 네트워크 왕복 횟수를 줄일 수 있습니다.
참고 항목
이 동작을 수정할 수 있는 구성 가능한 설정은 없습니다.