Active Directory에 대한 익명 LDAP 작업은 도메인 컨트롤러에서 사용하지 않도록 설정됩니다.

이 문서에서는 도메인 컨트롤러에서 Active Directory에 대한 익명 LDAP 작업을 사용하지 않도록 설정한 문제에 대한 몇 가지 정보를 제공합니다.

적용 대상: Windows Server 2003
원본 KB 번호: 326690

요약

기본적으로 RootDSE 검색 및 바인딩 이외의 Active Directory에 대한 익명 LDAP(Lightweight Directory Access Protocol) 작업은 Microsoft Windows Server 2003에서 허용되지 않습니다.

추가 정보

이전 버전의 Microsoft Windows 기반 도메인의 Active Directory는 익명 요청을 수락합니다. 이러한 버전에서 성공적인 결과는 Active Directory에서 올바른 사용자 권한을 갖는 것에 따라 달라집니다.

Windows Server 2003에서는 인증된 사용자만 Windows Server 2003 기반 도메인 컨트롤러에 대해 LDAP 요청을 시작할 수 있습니다. 다음과 같이 DN 경로에서 dsHeuristics 특성의 일곱 번째 문자를 변경하여 이 새로운 기본 동작을 재정의할 수 있습니다.
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, 포리스트의 루트 도메인
DsHeuristics 설정은 동일한 포리스트의 모든 Windows Server 2003 기반 도메인 컨트롤러에 적용됩니다. 값은 Windows를 다시 시작하지 않고 Active Directory 복제 시 도메인 컨트롤러에 의해 실현됩니다. Microsoft Windows 2000 기반 도메인 컨트롤러는 이 설정을 지원하지 않으며 Windows Server 2003 기반 포리스트에 있는 경우 익명 작업을 제한하지 않습니다.

dsHeuristic 특성의 유효한 값은 0이고 0000002. 기본적으로 DsHeuristics 특성은 존재하지 않지만 내부 기본값은 0입니다. 일곱 번째 문자를 2(0000002)로 설정하면 익명 클라이언트는 Windows 2000 기반 도메인 컨트롤러와 마찬가지로 ACL(액세스 제어 목록)에서 허용하는 모든 작업을 수행할 수 있습니다.

Forest_Name.com 포리스트의 도메인 컨트롤러에 있는 dsHeuristics 문자열은 Ldp.exe 사용하여 볼 때 다음과 같이 표시됩니다. 선택한 특성만 표시됩니다.

>>Dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest_name,DC>=com
2> objectClass: top; nTDSService;
1> cn: 디렉터리 서비스;
1> dSHeuristics: 0000002; <7번째 문자의 -2 = 익명
액세스가 허용됩니다. 앞에 오는 0을 기록해 둡니다.
1> 이름: 디렉터리 서비스;