Active Directory 는 올바르게 구성되고 작동하는 DNS 인프라를 사용 합니다. Active Directory 문제가있는 경우 DNS 문제가있을 수 있습니다. 가장 먼저 확인해야 할 것은 DNS입니다. 두 번째로 확인해야 할 것은 DNS입니다. 세 번째로 확인해야 할 것은 DNS입니다.
DNS 란 정확히 무엇입니까?
이 사이트는 전문가 용 사이트이므로 적어도 훌륭한 Wikipedia 기사를 읽었다 고 가정합니다 . 즉, DNS를 사용하면 이름으로 장치를 조회하여 IP 주소를 찾을 수 있습니다. 우리가 알고있는대로 인터넷이 작동하는 것이 중요하며 가장 작은 LAN을 제외한 모든 LAN에서 실행됩니다.
가장 기본적인 수준의 DNS는 세 가지 기본 부분으로 나뉩니다.
DNS 서버 : 이들은 담당하고있는 모든 클라이언트에 대한 레코드 를 보유하는 서버입니다 . Active Directory의 도메인 컨트롤러에서 DNS 서버 역할을 실행합니다.
영역 : 영역 사본은 서버에서 보유합니다. AD라는 이름 ad.example.com의 도메인 컨트롤러에는 DNS가 설치된 영역이 있습니다 ad.example.com. 당신이 컴퓨터라는 한 경우 computer그리고 해당 DNS 서버에 등록 된, 그것은라는 이름의 DNS 레코드를 만들 것입니다 computer에를 ad.example.com하면 될 것 정규화 된 도메인 이름 (FQDN)을 통해 해당 컴퓨터에 도달 할 수있을 것입니다computer.ad.example.com
레코드 : 위에서 언급했듯이 영역에는 레코드가 있습니다. 레코드는 컴퓨터 또는 리소스를 특정 IP 주소에 매핑합니다. 가장 일반적인 종류의 레코드는 호스트 이름과 IP 주소를 포함하는 A 레코드입니다. 두 번째로 가장 일반적인 것은 CNAME 레코드입니다. CNAME에는 호스트 이름과 다른 호스트 이름이 있습니다. hostname1을 조회하면 다른 조회를 수행하고 hostname2의 주소를 리턴합니다. 이것은 웹 서버 또는 파일 공유와 같은 리소스를 가리는 데 유용합니다. 에 대한 CNAME이 intranet.ad.example.com있고 그 뒤에 서버가 변경되면 모든 사람이 자신이 알고있는 이름을 계속 사용할 수 있으며 새 서버를 가리 키도록 CNAME 레코드 만 업데이트하면됩니다. 유용한 응?
좋아, 이것이 Active Directory와 어떤 관련이 있습니까?
도메인의 첫 번째 도메인 컨트롤러에 Active Directory 및 DNS 서버 역할을 설치하면 도메인에 대한 두 개의 정방향 조회 영역이 자동으로 생성됩니다. AD 도메인이 ad.example.com위의 예와 같으면 ( " example.com" 만 Active Directory의 도메인 이름으로 사용해서는 안 됨 ), ad.example.com및에 대한 영역이 있습니다 _msdcs.ad.example.com.
이 구역들은 무엇을합니까? 대단한 질문! _msdcs영역 부터 시작하겠습니다 . 클라이언트 시스템이 도메인 컨트롤러를 찾는 데 필요한 모든 레코드를 보유합니다. AD 사이트를 찾는 레코드가 포함되어 있습니다. 다른 FSMO 역할 보유자에 대한 레코드가 있습니다. 이 선택적 서비스를 실행하는 경우 KMS 서버에 대한 레코드도 보유합니다. 이 영역이 존재하지 않으면 워크 스테이션이나 서버에 로그온 할 수 없습니다.
ad.example.com영역 은 무엇을 보유합니까? 클라이언트 컴퓨터, 구성원 서버 및 도메인 컨트롤러의 A 레코드에 대한 모든 레코드를 보유합니다. 이 영역 이 왜 중요한가요? 워크 스테이션과 서버가 네트워크에서 서로 통신 할 수 있도록합니다. 이 영역이 존재하지 않으면 로그인 할 수 있지만 인터넷 검색 이외의 다른 작업은 수행 할 수 없습니다.
이 영역에서 레코드를 얻으려면 어떻게합니까?
글쎄, 다행히도 그것은 쉽습니다. 에 DNS 서버 설정을 설치 및 구성 할 때 선택 사항이 있으면 dcpromo허용하도록 Secure Updates Only선택해야합니다. 즉, 알려진 도메인 가입 PC 만 레코드를 작성 / 업데이트 할 수 있습니다.
잠깐만 다시 보자. 영역이 레코드를 가져올 수있는 몇 가지 방법이 있습니다.
DNS 서버를 사용하도록 구성된 워크 스테이션에 의해 자동으로 추가됩니다. 가장 일반적이며 대부분의 시나리오에서 "보안 업데이트 만"과 함께 사용해야합니다. 이런 식으로 가고 싶지 않은 경우가 있지만이 대답에 지식이 필요하면 이것이 원하는 방식입니다. 기본적으로 Windows 워크 스테이션 또는 서버는 24 시간마다 또는 네트워크 어댑터가 DHCP를 통해 또는 정적으로 IP 주소를 할당받을 때 자체 레코드를 업데이트합니다 .
수동으로 레코드를 만듭니다. CNAME 또는 다른 유형의 레코드를 작성해야하거나 신뢰할 수있는 AD 컴퓨터에없는 A 레코드 (예 : 클라이언트가 확인할 수있는 Linux 또는 OS X 서버)를 원하는 경우에 발생할 수 있습니다. 이름으로.
임대가 나올 때 DHCP가 DNS를 업데이트하도록합니다. 클라이언트 대신 레코드를 업데이트하고 DHCPUpdate 서버를 DNSUpdateProxy AD 그룹에 추가하도록 DHCP를 구성하면됩니다. 이것은 영역 중독에 노출되기 때문에 실제로는 좋은 생각이 아닙니다. 영역 중독 (또는 DNS 중독)은 클라이언트 컴퓨터가 악의적 인 레코드로 영역을 업데이트하고 네트워크의 다른 컴퓨터를 가장하려고 할 때 발생합니다. 이것을 보호하는 방법이 있으며 사용법이 있지만 모르는 경우 그대로 두는 것이 좋습니다.
자 이제 우리는 궤도에서 돌아올 수 있습니다. 보안 업데이트 만 허용하도록 AD DNS 서버를 구성했으며, 인프라 스트럭처가 흔들리고 있으며, 수많은 중복 레코드가 있음을 알고 있습니다! 이것에 대해 어떻게합니까?
DNS 청소
이 기사는 읽기가 필요합니다 . 청소를 위해 구성해야 할 모범 사례 및 설정에 대해 자세히 설명합니다. Windows Server 2003 용이지만 여전히 적용 가능합니다. 읽어.
청소는 위에서 제기 한 중복 레코드 문제에 대한 해답입니다. IP가 192.168.1.100 인 컴퓨터가 있다고 가정하십시오. 해당 주소에 대한 A 레코드를 등록합니다. 그런 다음 오랜 시간 동안 전원이 꺼 졌다고 가정하십시오. 다시 연결되면 다른 컴퓨터에서 해당 주소를 가져 와서을 얻습니다 192.168.1.120. 이제 둘 다에 대한 A 레코드가 있습니다.
영역을 청소하면 문제가되지 않습니다. 오래된 레코드는 특정 간격 후에 제거되며 괜찮습니다. 1 일 간격 사용과 같이 실수로 모든 것을 청소하지 않도록하십시오 . AD는 이러한 레코드에 의존합니다. 청소를 확실하게 구성하되, 위 기사에 설명 된대로 책임감있게 수행하십시오.
이제 DNS에 대한 기본 지식과 DNS가 Active Directory와 통합되는 방법을 이해했습니다. 나는 길 아래에 비트와 조각을 추가 할 것이지만 자유롭게 자신의 작품을 추가하십시오.