480 likes | 668 Views
Windows 2000 DNS. 2000년 12월 11~12일 한국 PSINet 기술지원팀 박규식 ( ksp2000@kr.psi.net , 531-7905 ). 목 차. DNS 기본 개념 DNS 작동 원리 Windows 2000 DNS 특징 DNS 서버 서비스 설치 영역( Zone) 추가 및 설정 DNS 이름 Windows 2000 Resolver 액티브 디렉토리 통합 동적 업데이트 DNS 와 DHCP 의 통합 DNS 서비스 트러블슈팅.
E N D
Windows 2000 DNS 2000년 12월 11~12일 한국 PSINet 기술지원팀 박규식 ( ksp2000@kr.psi.net , 531-7905 )
목 차 • DNS 기본 개념 • DNS 작동 원리 • Windows 2000 DNS 특징 • DNS 서버 서비스 설치 • 영역(Zone) 추가 및 설정 • DNS 이름 • Windows 2000 Resolver • 액티브 디렉토리 통합 • 동적 업데이트 • DNS와 DHCP 의 통합 • DNS 서비스 트러블슈팅
1.1 DNS 소개 1.2 도메인 네임스페이스 1.3 인터넷 도메인 네임스페이스 1.4 영역 (Zone) 1.5 DNS 서버 1.6 캐시 전용 서버 1. DNS 기본 개념
1.1 DNS 소개 • 사용자가 읽기 쉬운 이름(도메인 네임)을 IP주소로 해석 • 초창기 Hosts 파일로 관리 • 규모가 커짐에 따라 체계적인 관리의 필요성 대두 • 계층적이고 논리적인 트리 구조 • 분산된 데이타베이스
“.” com microsoft korea usa • 도메인 이름 시스템은 도메인 네임스페이스에 기초를 두고 있음 • 도메인 네임스페이스는 계층적, 논리적 트리 구조로 이루어짐 • Subdividing 은 DNS 에서 중요한 개념 (Subdomain) • Subdividing 은 보통 분야, 부서 또는 지역적 구분으로 이루어짐 1.2 도메인 네임스페이스
“.” org. com. net. ... microsoft.com. training.microsoft.com. training.microsoft.com. Subdomain Second-Level Domain Top-Level Domain Root • 최상위 레벨(root)은 InterNIC 에서 관리 • 상위 레벨은 세가지 형태로 구성 • 1. 조직상의 도메인 : 3 문자로 구성 (com, edu, gov, int, mil, net, org) • 2. 지역상의 도메인 : 2 문자로 구성 (kr, jp, fr, ca, …) • 3. 역방향(Reverse) 도메인 : IP 주소를 DNS 이름으로 매핑 1.3 인터넷 도메인 네임스페이스
DNS 서버에 저장된 일련의 레코드를 포함 • 각 영역은 특정 도메인 노드를 나타냄 • 한 도메인은 여러 영역으로 나뉘어 질 수 있음 • 각각의 영역은 여러 서버에서 관리할 수 있음 • 주(Primary) 영역과 보조(Secondary) 영역이 있음 • 보조 영역은 주 영역(마스터 서버)으로부터 복제된 복사본을 가짐 • 윈도우 NT 4.0 이전 : 텍스트 파일, 오직 한 서버가 주 영역 관리 • 윈도우 2000 : 액티브 디렉토리, 여러 서버에 분산 관리 1.4 영역 (Zone)
한 개 또는 여러 영역 정보 저장 • 쿼리 요청 • 1. 로컬 영역 검색 • 2. 캐시 검색 • 3. 다른 서버에 요청 • 주 영역 또는 보조 영역 관리 • 보조 영역의 장점 • 1. 결함 허용(Fault Tolerance) : 주 서버 다운시 이름 해석 가능 • 2. WAN 구간 트래픽 감소 : 원격지의 클라이언트가 많을 경우 • 3. 주 버서 부하 감소 : 클라이언트 수가 많아 질수록 주 서버의 부하를 분산 1.5 DNS 서버
모든 DNS 서버는 캐시를 수행 • 일정시간(TTL)동안 캐시에 저장 • DNS 트래픽 감소 및 안정성 제공 • 수정된 내용이 바로 적용되지 않는 단점이 있음 (TTL 조절) • 캐시 전용 서버는 오직 캐시 및 쿼리 기능만을 수행 • 영역에 대한 권한이 없고 정보도 가지고 있지 않음 • 윈도우 NT, 2000 에서는 DNS 서비스만 추가 • 장점 : 영역 전송(Zone transfer)에 필요한 트래픽을 발생시키지 않음 • 단점 : 서버가 초기화되면 캐시 정보가 다 없어짐 1.6 캐시 전용 서버
“ . “ kr. co.kr. DNS 서버 DNS 서버 Web 서버 1. 로컬 영역 kr. 2. DNS 의 작동원리 2. 캐시 co.kr. yahoo.co.kr. www.yahoo.co.kr www.yahoo.co.kr. 사내 Yahoo Korea
도메인 컨트롤러 로케이터서비스 • 액티브 디렉토리와 통합 • 동적 업데이트 지원 • 레코드 에이징 및 청소 지원 • 액티브 디렉토리 통합 영역에서 보안된 동적 업데이트 지원 • 향상된 관리상의 편이 • 명령 프롬프트 상에서의 관리 • 향상된 이름 해석 • 향상된 캐싱 및 부정적(Negative) 캐싱 • 향상된 클라이언트 기능 • 순수한 DNS 환경 지원 • 다른 DNS 서버와의 상호 호환성 • 다른 네트워크 서비스와의 통합 • Incremental 영역 전송 • 새로운 리소스 레코드 유형 지원 3. Windows 2000 DNS 특징
DNS 서버는 반드시 고정 IP 주소를 가짐 • 서버에 도메인 이름을 구성하는 것이 좋음 4. DNS 서비스 설치
Windows 구성 요소 마법사 실행 • 1. 제어판 – 프로그램 추가/제거 – Windows 구성 요소 추가/제거 • 2. 제어판 – 네트워크 및 전화 접속 연결 – 네트워크 구성 요소 추가 4. DNS 서비스 설치 (계속) Demo
표준 영역 표준 보조 영역 표준 주 영역 액티브 디렉토리 통합 영역 • 도메인 컨트롤러가 아닌 DNS 서버의 영역 관리 • - 로컬 Administrators 그룹의 구성원 • 도메인 컨트롤러인 DNS 서버의 영역 관리 • - DNSAdmins, Domain Admins, Enterprise Admins 그룹 중의 구성원 5. 영역 추가 및 설정 영역 전송 변경 영역 전송 변경 변경 변경
5. 영역 추가 및 설정 (계속) Demo
6. DNS 이름 • 6.1 호스트 및 도메인 이름 • 6.2 DNS 와 NetBIOS 이름 • 6.3 이름 제한 • 6.4 DNS 접미사 설정에 그룹 정책 사용
호스트 이름 주 DNS 접미사 Default : 액티브 디렉토리 이름 • Windows NT 4.0 이전 : NetBIOS 사용 • Windows 2000 : FQDN (Fully Qualified Domain Name) 사용 • seoul.edu.kr.psi.net 6.1 호스트 및 도메인 이름
인트라넷 인터넷 edu.kr.psi.net edu-ext.kr.psi.net 어댑터 A 어댑터 B 연결 특정 DNS 접미사 edu.kr.psi.net edu-ext.kr.psi.net FQDN seoul.edu.kr.psi.net seoul.edu-ext.kr.psi.net • 연결 특정(connection-specific) DNS 접미사 6.1 호스트 및 도메인 이름 (계속) 호스트 이름 : seoul 주 DNS 접미사 : edu.kr.psi.net 기본 FQDN : seoul.edu.kr.psi.net
(표) NetBIOS 및 DNS 이름 비교 6.2 DNS 와 NetBIOS 이름
(표) 이름 제한 기준 6.3 호스트 및 도메인 이름 제한 (표) 윈도우 2000 DNS 서버문자세트설정옵션
그룹 정책에 설정된 DNS 접미사가 로컬 주 DNS 접미사를 대체 • 기본적으로 액티브 디렉토리의 이름과 동일 • 일반 사용자의 주 DNS 접미사의 이름 변경을 방지 6.4 DNS 접미사 지정에 그룹 정책 사용 Demo
7. Windows 2000 Resolver • 7.1 Windows 2000 Resolver • 7.2 이름 해석 • 7.3 DNS 쿼리 • 7.4 캐시 설정 및 부정적(Negative) 캐시 • 7.5 로컬 서브넷 우선 순위 지정
윈도우 2000 DNS는 캐싱 Resolver 서비스를 포함 • 기능 • - 이름 해석 • - 일반적인쿼리캐싱 • - 부정적캐싱 • - 플러그앤플레이어댑터의기록및IP 설정값유지 • - 연결특정도메인이름의기록유지 • - 쿼리에대해실패시일정시간동안그서버로의쿼리중단 • - 다중A 타입 리소스레코드를수신시우선순위를설정 7.1 Windows 2000 Resolver
윈도우 NT 4.0 : NetBIOS -> DNS • 윈도우 2000 : DNS -> NetBIOS • 이름 해석이 시작되면 Resolver 는 우선 어떤 유형의 이름인지 판단 • 3 가지 유형의 이름 • 1. FQDN: 점으로 끝나는 이름 (예: seoul.edu.kr.psi.net.) • 2. 싱글 레이블(unqualified domain name): 점을 포함하지 않음 (예: seoul) • 3. 다중 레이블(Unqualified Domain Name): 하나 또는 두개 이상의 점을 포함, 점으로 끝나지 않음 • (예: seoul.edu.kr.psi.net , seoul.edu) • FQDN 입력시: 바로 DNS 에 쿼리 • 다중 레이블 입력시: 점(.)을 붙여 쿼리 • 위에서 실패 또는 싱글 레이블, 불완전 다중 레이블 입력시: • DNS 접미사와 점(.)을 붙여 쿼리 7.2 이름 해석
DNS 접미사 추가 순서 • - “다음 DNS 접미사 추가” 부분에 리스트 추가하지 않은 경우 • 1. 주 DNS 접미사 추가 • 2. 1번 실패시, 연결 특정 DNS 접미사 추가 • 3. 2번 실패시, 주 DNS 접미사의 부모 접미사 추가, 최종 2개의 레이블까지 진행 • ( 예: 사용자 입력 = seoul , 주 DNS 접미사 = edu.kr.psi.net 일 경우 • FQDN = seoul.kr.psi.net. -> seoul.psi.net ) • - “다음 DNS 접미사 추가” 부분에 리스트 추가한경우 • - 주 DNS 접미사 및 연결 특정 DNS 접미사 모두 무시 • - 리스트에 입력한 순서대로 추가 7.2 이름 해석 (계속)
Resolver 는 먼저 캐시를 확인 • DNS 서버 쿼리 순서 • 1. 기본 어댑터에 설정된 첫 번째 서버로 쿼리, 1초 대기 • 2. 무응답시, 모든 어댑터에 설정된 첫 번째 서버로 쿼리, 2초 대기 • 3. 무응답시, 모든 어댑터에 설정된 모든 서버로 쿼리, 2초 대기 • 4. 무응답시, 같은 방법으로 쿼리, 4초 대기 • 5. ‘ ‘ , 8초 대기 • - 쿼리에 성공하면 캐시에 저장 후 클라이언트에 리턴 • - 응답을 받지 못하면 타임아웃 리턴 • - 특정 어댑터에 설정된 서버들로부터 아무 응답이 없으면, 이 후 30초 동안 해당 서버로의 • 쿼리를 하지 않음 • - 어떤 시점에서든 부정적 응답을 받으면, 현재 쿼리의 종료까지 해당 어댑터의 모든 서버로 • 쿼리를 하지 않음 7.3 DNS 쿼리
Resolver 캐시 보기 : ipconfig /displaydns • Resolver 캐시 내용 • 1. 미리 로드된 Hosts 파일 내용 • 2. 최근 쿼리에 성공한 이름 • 3. 부정적 캐시 내용 • 캐시의 내용은 일정시간(TTL) 동안 유지 • TTL 보기 : DNS 관리자 – “보기” 메뉴 – “고급” 체크 • Resolver 캐시 내용 지우기 : ipconfig /flushdns • Hosts 파일 내용 : DNS 시작시, 파일 내용 업데이트시 로드 • 캐시 레지스트리 정보 • - HKLM\System\CurrentControlSet\Services\DNSCache\Parameters • - MaxCacheEntryTtlLimit : 긍정적 응답의 최대 TTL 값 (기본값: 하루) • - NagativeCacheTime : 부정적 응답의 캐시 저장 시간 ( 0 은 저장 안함) 7.4 캐시 설정 및 부정적(Negative) 캐시
다중 A 형식 리소스 레코드 수신시 클라이언트의 IP 주소에 따라 응답 순서 결정 • 예) www.edu.kr.psi.net A 203.255.112.11 • www.edu.kr.psi.net A 203.255.113.22 • www.edu.kr.psi.net A 203.255.114.33 • 203.255.113.2 번 클라이언트에서 쿼리할 경우, 리턴 순서 • www.edu.kr.psi.net A 203.255.113.22 • www.edu.kr.psi.net A 203.255.112.11 • www.edu.kr.psi.net A 203.255.114.33 • 라운드 로빈 기능 : 다중 A 타입 리소스 레코드를 차례대로 리턴 • - 목적 : 로드 밸런싱 • 로컬 서브넷 우선 순위 지정 비 활성화 (클라이언트) • - HKLM\System\CurrentControlSet\Services\DNSCache\Parameters • - PrioritizeRecordData 값을 0 으로 설정 7.5 로컬 서브넷 우선 순위 지정
8. 액티브 디렉토리 통합 • 8.1 기본 개념 • 8.2 설치 방법 • 8.3 액티브 디렉토리 통합 장점 • 8.4 멀티마스터 복제
액티브 디렉토리는 윈도우 2000 의 디렉토리 서비스 • 디렉토리 서비스의 기능 • - 객체 정보 저장소의 기능 • - 사용자 및 응용프로그램이 정보를 사용 가능하게 하는 기능 • 분산 데이타베이스 구조 • 액티브 디렉토리 통합 DNS 특징 • - 액티브 디렉토리의 객체로서 저장 • - 도메인 복제의 일부로 복제됨 • 액티브 디렉토리는 DNS 를 이용해 도메인 컨트롤러를 찾음 • - LDAP 의 이름과 IP 주소를 제공하는 SRV 리소스 레코드를 이용 • LDAP(Lightweight Directory Access Protocol) • - 액티브 디렉토리 업데이트 및 쿼리에 사용되는 프로토콜 • 모든 도메인 컨트롤러는 LDAP 서버 8.1 기본 개념
액티브 디렉토리 설치 시 • - 액티브 디렉토리를 설치하기 위해서는 DNS 서비스가 미리 설치 되어야 함 • - 설치 도중 액티브 디렉토리가 DNS 영역 구성 • 액티브 디렉토리 설치 후 • - 직접 레코드 입력 • - netdiag 툴을 사용 영역 정보 구성 ( 윈도우 2000 서버 CD에서 Support Tools 설치) 8.2 설치 방법
내결함성 (Fault Tolerance) 향상 • - 여러 도메인 컨트롤러들이 액티브 디렉토리에서 주 영역을 관리 • - 한 서버가 다운시 영역 복구 가능 • 보안 강화 • - 영역 및 레코드에 대한 권한 설정 (보안된 동적 업데이트) • 단일 복제 토폴로지 • - 액티브 디렉토리 복제의 일부로 복제. 추가적으로 복제에 대한 구성이 불필요 • 더욱 효율적인 복제 • - 수정된 정보만을 복제. 전체 영역 전송에 필요한 트래픽 감소 8.3 액티브 디렉토리 통합 장점
도메인 내의 모든 도메인 컨트롤러는 멀티마스터 복제를 실행 • 이름 충돌 문제 • - 같은 영역에 대해 모든 도메인 컨트롤러가 변경을 할 수 있음 • - 각 도메인 컨트롤러에 있는 같은 정보를 동시 혹은 거의 동시에 변경 가능 • - 액티브 디렉토리는 해당 개체에 특별한 문자 및 GUID를 추가해 구분 • ( GUID : 액티브 디렉토리에서 개체에 부여된 유일한 이름, 128 비트 문자 ) • 직접 복제 실행 • 관리도구 – 액티브 디렉토리 사이트 및 서비스 실행 8.4 멀티마스터 복제 Demo
RFC 2136 에 명시 • DNS 서버의 클라이언트 레코드 정보를 동적으로 업데이트 • 직접 관리상의 불편 및 시간을 해결 ( 이동 및 변동이 잦은 환경, DHCP ) • 기본적으로 컴퓨터의 “전체 컴퓨터 이름”을 사용해 업데이트 • 동적 업데이트 발생 시기 • - TCP/IP 등록정보의 IP 주소가 추가, 삭제, 변경시 • - DHCP 서버로부터 IP 임대가 변경 또는 갱신되는 경우 ( ipconfig /renew ) • - ipconfig /registerdns 를 이용해 이름 등록을 강제 수행할 경우 • - 컴퓨터 시작시 • 보안된 동적 업데이트 • - 영역 관리 및 수정 권한을 부여 • - 윈도우 2000 클라이언트는 먼저 비보안 동적 업데이트를 시도, 거절시 보안된 업데이트 시도 • - 액티브 디렉토리 통합환경에서 윈도우 2000 DNS 서버는 기본적으로 보안된 업데이트만 허용 9. 동적 업데이트
client1 203.235.127.2 영역 DB • 동적 업데이트 개요 9. 동적 업데이트 (계속) client1 IP 주소 요청 1 DHCP 서버 IP 주소 할당 203.235.127.2 2 동적 업데이트 동적 업데이트 DNS 서버
1 2 3 4 • 윈도우 NT 및 98 이전 버전은 동적 업데이트 기능이 지원 안됨 • 윈도우 2000 DHCP 클라이언트의 DNS/DHCP 상호 작용 10. DNS 와 DHCP 의 통합 client1 IP 임대 요청 (FQDN) Windows 2000 DHCP 서버 IP 임대 알림 DHCP 클라이언트 (윈도우 2000) PTR 타입 레코드 업데이트 A 타입 레코드 업데이트 Windows 2000 DNS 서버
1 2 3 4 • 윈도우 2000 이전 버전 DHCP 클라이언트의 DNS/DHCP 상호 작용 10. DNS 와 DHCP 의 통합 (계속) client1 IP 임대 요청 Windows 2000 DHCP 서버 IP 임대 알림 DHCP 클라이언트 (윈도우 2000 이전 버전) A 타입 레코드 업데이트 PTR 타입 레코드 업데이트 Windows 2000 DNS 서버
동적 업데이트를 위한 DHCP 서버 구성 • - DHCP 관리자 실행 – 서버 등록정보 – DNS 탭 • - “DNS 에서 DHCP 클라이언트 정보를 자동으로 업데이트” 체크 (Default) • * “DHCP 클라이언트가 요청할 때만 DNS 업데이트” 옵션 (Default) • * “항상 DNS 업데이트” 옵션 • - “임대가 만료되면 정방향(이름 – 주소) 조회 데이터 삭제” 옵션 (Default) • : IP 임대 만료 후 A 타입 레코드와 상관 없이 DNS 서버에 업데이트 내용 전송 • - “동적 업데이트를 지원하지 않는 DNS 클라이언트 업데이트” 옵션 • : 윈도우 2000 이전 버전 클라이언트 • 동적 업데이트를 위한 DHCP 클라이언트 구성 • - “인터넷 프로토콜(TCP/IP)” 등록정보 – 고급 – DNS 탭 • * “DNS 에 이 연결의 주소를 등록” 옵션 체크 • * “DNS 등록에 이 연결의 DNS 접미사 사용” 옵션 • : 연결 특정 DNS 접미사 사용 • : DNS 접미사가 도메인 이름과 다른 경우 사용 10. DNS 와 DHCP 의 통합 (계속)
DNS 서버 모니터링 • 이벤트 표시기 확인 • DNS 서버 디버그 로깅 이용 • nslookup 툴 이용 • ipconfig 툴 이용 11. DNS 서비스 트러블슈팅
12. Q & A Q & A
액티브 디렉토리 • 익스체인지 2000 이전 버전 : 개별적인 디렉토리 서비스를 가짐 • 익스체인지 2000 : 윈도우 2000 액티브 디렉토리와 통합 • 중앙 관리 • Scalable 디자인 • 보안 기능 • 권한 설정 • 향상된 검색 기능 • 관리 • MMC (Microsoft Management Console) • 효율적인 관리 모델 • 사용자 및 사서함 1. 개요
메시징 • 윈도우 2000 서버의 기본 메시징 프로토콜 SMTP (기본 설치) • 익스체인지는 SMTP에 여러가지 기능 추가 • SMTP 가상 서버 • 확장성 • 타 시스템과의 연결 • 인터넷 연결 및 웹 지원 • 기본적으로 인터넷 메일 기능 지원 • IIS 와 통합 • HTTP 확장 지원 • OWA (Outlook Web Access) • 인터넷 보안 1. 개요 (계속)
정보 저장소 • 정보 저장소 기능에 많은 향상 • 웹 저장소 기능 • 멀티미디어 메시지 지원 • 한 서버에 다중 Database 지원 • 통합된 Full-text 검색 • 실시간 통신 • 인스턴트 메시징 • 채팅 서비스 • Custom Solution 개발 • CDO, ADO, OLE DB 를 이용 • 개발 환경 : VBScript, JavaScript, MS Visual Basic, Visual C++ 1. 개요 (계속)
윈도우 클러스터링 • 다중 익스체인지 서버 클러스터링 지원 • 다국어 지원 • 다국어 관리 지원 • 다국어 클라이언트 지원 • 로컬화 된 주소록 • 브라우저 접근 지원 1. 개요 (계속)
시스템 사양 • 펜티엄(호환) 133 MHz 이상 • Windows 2000 서버 • 메모리 : 최소 128 MB (256 MB 권장) • 하드디스크 : 설치 디스크 (500 MB) , 시스템 (200 MB) • CD-ROM • 설치 전 준비 • 액티브 디렉토리 설치 • 포레스트 준비 (ForestPrep) • 권한 : Enterprise Admins, Schema Admins, 설치 컴퓨터의 Administrators 그룹의 구성원 • 설치 : E:\setup\i386\setup /ForestPrep • ForestPrep 수행 내용 • 1. 액티브 디렉토리 스키마에 익스체인지 관련 정보 업데이트 • 2. 익스체인지 조직 이름 및 개체 생성 • 3. 지정한 계정에 Full 익스체인지 관리 권한 부여 2. 설치
도메인 준비 (DomainPrep) • 권한 : Domain Admins, 설치 컴퓨터의 Administrators 그룹의 구성원 • 설치 : E:\setup\i386\setup /DomainPrep • DomainPrep 수행 내용 • 1. 글로벌 보안 그룹 Exchange Domain Servers 생성 • 2. 도메인 로컬 보안 그룹 Exchange Enterprise Servers 생성 • 3. Exchange Enterprise Servers 그룹에 Exchange Domain Servers 그룹 추가 • ForestPrep 및 DomainPrep 이 필요하지 않은 경우 • 익스체인지 관리자 계정이 SchemaAdmin 및 EnterpriseAdmin 그룹의 구성원 • And, Schema Master 와 같은 도메인에서 처음 설치하는 경우 2. 설치 (계속)
3. 기타 설정 • Recipient Policy 설정 • 보안 관련