Windows Server 2003에서 DNS 동적 업데이트를 구성하는 방법

기술 자료 번역 기술 자료 번역
기술 자료: 816592 - 이 문서가 적용되는 제품 보기.
이 문서의 Microsoft Windows 2000 버전에 대한 내용은 317590을 참조하십시오.
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에서는 Microsoft Windows Server 2003에서 DNS 업데이트 기능을 구성하는 방법을 설명합니다. DNS 클라이언트 컴퓨터는 DNS 업데이트 기능을 통해 변경 내용이 생길 때마다 DNS 서버에 리소스 레코드를 등록하고 동적으로 업데이트할 수 있습니다. 특히 IP 주소를 얻기 위해 DHCP(동적 호스트 구성 프로토콜)를 빈번하게 이동하고 사용하는 클라이언트의 경우 이 기능을 사용하면 영역 레코드를 수동으로 관리할 필요성을 줄일 수 있습니다.

Windows Server 2003은 RFC(Request for Comments) 2136에서 설명하는 대로 동적 업데이트 기능을 지원합니다. DNS 서버의 경우 DNS 서비스를 사용하면 표준 주 영역이나 디렉터리 통합 영역을 로드하도록 구성된 각 서버에서 영역별로 DNS 업데이트 기능을 설정하거나 해제할 수 있습니다.

Windows Server 2003 DNS 업데이트 기능

클라이언트 컴퓨터는 DNS 서비스를 사용하여 DNS에서 리소스 레코드를 동적으로 업데이트할 수 있습니다. 이 기능을 사용하면 영역 레코드를 수동으로 관리하는 데 걸리는 시간이 줄어들어 DNS 관리가 개선됩니다. DNS 업데이트 기능과 DHCP를 함께 사용하여 컴퓨터의 IP 주소가 변경될 때 리소스 레코드를 업데이트할 수 있습니다. Windows Server 2003을 실행하는 컴퓨터는 동적 업데이트를 보낼 수 있습니다.

Windows Server 2003이 제공하는 DNS 동적 업데이트 프로토콜과 관련된 기능은 다음과 같습니다.
  • 도메인 컨트롤러에 대한 로케이터 서비스로 Active Directory 디렉터리 서비스 사용
  • Active Directory와 통합

    Active Directory에서 DNS 영역을 통합하여 내결함성 및 보안을 강화할 수 있습니다. 모든 Active Directory 통합 영역은 Active Directory 도메인의 모든 도메인 컨트롤러에서 복제됩니다. 이러한 도메인 컨트롤러에서 실행되는 모든 DNS 서버는 영역의 주 서버 역할을 할 수 있으며 동적 업데이트를 받아들일 수 있습니다. Active Directory는 속성별로 복제하여 관련 변경 사항만 전파합니다.
  • 레코드 에이징 및 청소

    DNS 서버 서비스는 더 이상 필요하지 않은 레코드를 검색하여 제거할 수 있습니다. 이 기능을 사용하면 오래된 레코드가 DNS에 남아 있지 않도록 할 수 있습니다.
  • Active Directory 통합 영역의 보안 동적 업데이트

    보안 동적 업데이트를 수행하도록 Active Directory 통합 영역을 구성하여 권한이 있는 사용자만 영역이나 레코드를 변경하게 할 수 있습니다.
  • 명령 프롬프트에서 관리
  • 개선된 이름 확인
  • 개선된 캐싱 및 부정적 캐싱
  • 다른 DNS 서버 구현과 상호 운용
  • 다른 네트워크 서비스와 통합
  • 증분 영역 전송

Windows Server 2003 기반 컴퓨터가 DNS 이름을 업데이트하는 방법

기본적으로 Windows Server 2003을 실행하고 TCP/IP를 사용하도록 정적으로 구성된 컴퓨터는 설치된 네트워크 연결에서 구성되고 사용되는 IP 주소에 대한 호스트 주소(A) 및 포인터(PTR) 리소스 레코드를 동적으로 등록하려고 합니다. 기본적으로 모든 컴퓨터 등록 레코드는 전체 컴퓨터 이름을 기초로 합니다.

Windows Server 2003 기반 컴퓨터의 경우 전체 주 컴퓨터 이름은 FQDN(정규화된 도메인 이름)입니다. 또한 전체 주 컴퓨터 이름은 컴퓨터 이름에 컴퓨터의 주 DNS 접미사가 추가된 이름입니다. 컴퓨터의 주 DNS 접미사와 컴퓨터 이름을 확인하려면 내 컴퓨터를 마우스 오른쪽 단추로 누르고 속성을 누른 다음 컴퓨터 이름을 누릅니다.

다음과 같은 이유나 이벤트 중 하나에 해당하는 경우 DNS 업데이트를 보낼 수 있습니다.
  • 설치된 네트워크 연결 중 하나에 대한 TCP/IP 속성 구성에서 IP 주소가 추가, 제거 또는 수정됩니다.
  • IP 주소 임대가 DHCP 서버를 사용하여 설치된 네트워크 연결 중 하나를 변경하거나 갱신합니다. 예를 들어, 이 업데이트는 컴퓨터가 시작되거나 ipconfig /renew 명령을 사용하는 경우에 발생합니다.
  • ipconfig /registerdns 명령을 사용하여 DNS에서 클라이언트 이름 등록을 수동으로 업데이트합니다.
  • 컴퓨터가 켜져 있습니다.
  • 구성원 서버의 수준을 도메인 컨트롤러로 올렸습니다.
이러한 이벤트 중 하나로 인해 DNS 업데이트가 시작되면 DNS 클라이언트 서비스가 아닌 DHCP 클라이언트 서비스가 업데이트를 보냅니다. DHCP 때문에 IP 주소 정보가 변경되면 DNS에서 상응하는 업데이트가 수행되어 컴퓨터의 이름과 주소 매핑을 동기화합니다. DHCP 클라이언트 서비스는 시스템의 모든 네트워크 연결에서 이 기능을 수행합니다. 여기에는 DHCP를 사용하도록 구성되지 않은 연결이 포함됩니다.

참고
  • DHCP를 사용하여 IP 주소를 얻는 Windows Server 2003 기반 컴퓨터의 업데이트 프로세스는 이 절에서 설명하는 프로세스와 다릅니다. 자세한 내용은 "DNS와 DHCP의 통합" 절과 "Windows DHCP 클라이언트 및 DNS 동적 업데이트 프로토콜" 절을 참조하십시오.
  • 이 절에서 설명하는 업데이트 프로세스에서는 Windows Server 2003 설치 기본값이 적용된다고 가정합니다. 기본값이 아닌 DNS 설정을 사용하도록 고급 TCP/IP 속성을 구성하는 경우 특정 이름과 업데이트 동작을 조정할 수 있습니다.
  • 컴퓨터의 전체 컴퓨터 이름 또는 주 이름 외에도 추가 연결별 DNS 이름을 구성할 수 있고 DNS에서 이러한 이름을 선택적으로 등록하거나 업데이트할 수 있습니다.
기본적으로 Windows XP와 Windows Server 2003에서는 24시간마다 A 및 PTR 리소스 레코드를 다시 등록합니다. 이 시간을 변경하려면
DefaultRegistrationRefreshInterval
레지스트리 키를 다음 레지스트리 하위 키 아래에 추가합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\TcpIP\Services\Parameters
간격은 초 단위로 설정됩니다.

DNS 업데이트의 작동 방식 예제

Windows Server 2003의 경우 컴퓨터에서 DNS 이름이나 IP 주소가 변경되면 일반적으로 동적 업데이트가 요청됩니다. 예를 들어, "oldhost"라는 클라이언트가 처음에는 다음 이름으로 시스템 속성에 구성되어 있습니다.
컴퓨터 이름: oldhost
컴퓨터의 DNS 도메인 이름: example.microsoft.com
전체 컴퓨터 이름: oldhost.example.microsoft.com
이 예제에서는 컴퓨터에 대해 구성되어 있는 연결별 DNS 도메인 이름이 없습니다. 컴퓨터의 이름을 "oldhost"에서 "newhost"로 변경하면 다음과 같이 이름이 변경됩니다.
컴퓨터 이름: newhost
컴퓨터의 DNS 도메인 이름: example.microsoft.com
전체 컴퓨터 이름: newhost.example.microsoft.com
시스템 속성에 이름 변경이 적용되면 Windows Server 2003은 컴퓨터를 다시 시작하라는 메시지를 표시합니다. 컴퓨터를 다시 시작하면 DHCP 클라이언트 서비스가 다음과 같은 순서로 DNS를 업데이트합니다.
  1. DHCP 클라이언트 서비스가 컴퓨터의 DNS 도메인 이름을 사용하여 SOA(권한 시작) 형식 쿼리를 보냅니다.

    클라이언트 컴퓨터는 컴퓨터의 현재 구성된 FQDN(예; "newhost.example.microsoft.com")을 이 쿼리에 지정된 이름으로 사용합니다.
  2. 클라이언트 FQDN이 포함된 영역에 대한 권한이 있는 DNS 서버가 SOA 형식 쿼리에 응답합니다.

    표준 주 영역의 경우 SOA 쿼리 응답에 반환되는 주 서버 또는 소유자가 정적으로 고정되어 있습니다. 주 서버 이름은 정확한 DNS 이름과 항상 일치하며 영역에 저장되는 SOA 리소스 레코드에 표시됩니다. 하지만 업데이트되는 영역이 디렉터리 통합 영역이면 영역을 로드하는 DNS 서버가 응답하고 SOA 쿼리 응답에 영역의 주 서버로 자신의 이름을 동적으로 삽입할 수 있습니다.
  3. DHCP 클라이언트 서비스는 주 DNS 서버에 연결하려고 합니다.

    클라이언트는 자신의 이름에 대한 SOA 쿼리 응답을 처리하여 자신의 이름을 허용하는 주 서버로 승인된 DNS 서버의 IP 주소를 확인합니다. 필요한 경우 클라이언트는 다음 단계에 따라 주 서버에 연결하고 동적으로 업데이트합니다.
    1. 클라이언트가 SOA 쿼리 응답에서 확인된 주 서버로 동적 업데이트 요청을 보냅니다.

      업데이트에 성공하면 추가 작업이 수행되지 않습니다.
    2. 업데이트에 실패하면 클라이언트가 SOA 레코드에 지정된 영역 이름에 대한 NS 형식 쿼리를 보냅니다.
    3. 클라이언트가 이 쿼리에 대한 응답을 받으면 클라이언트는 응답에 표시된 첫 번째 DNS 서버로 SOA 쿼리를 보냅니다.
    4. SOA 쿼리가 해결된 후 클라이언트가 반환된 SOA 레코드에 지정된 서버로 동적 업데이트를 보냅니다.

      업데이트에 성공하면 추가 작업이 수행되지 않습니다.
    5. 업데이트에 실패하면 클라이언트가 응답에 표시된 다음 DNS 서버로 SOA 쿼리를 보내 SOA 쿼리 프로세스를 반복합니다.
  4. 업데이트를 수행할 수 있는 주 서버에 연결되면 클라이언트가 업데이트 요청을 보내고 서버가 이를 처리합니다.

    업데이트 요청의 내용에는 "newhost.example.microsoft.com"의 A(PTR도 가능) 리소스 레코드를 추가하고 이전에 등록한 이름인 "oldhost.example.microsoft.com"의 동일한 레코드 종류를 제거하라는 지시가 포함되어 있습니다.

    서버는 클라이언트가 요청한 업데이트가 허용되는지 확인하기 위한 검사도 합니다. 표준 주 영역의 경우 동적 업데이트가 보안되지 않고 모든 클라이언트의 업데이트 시도가 성공합니다. Active Directory 통합 영역의 경우 디렉터리 기반 보안 설정을 사용하여 업데이트가 보안되고 수행됩니다.
주기적으로 동적 업데이트를 보내거나 새로 고치게 되는데, 기본적으로 컴퓨터는 24시간마다 업데이트를 보냅니다. 업데이트한 결과 영역 데이터가 변경되지 않으면 영역은 현재 버전으로 유지되고 변경 내용이 기록되지 않습니다. 실제 영역을 변경하거나 증분 영역 전송을 일으키는 업데이트는 이름이나 주소가 실제로 변경되는 경우에만 발생합니다.

참고 이름이 비활성화되거나 업데이트 간격(24시간) 안에 업데이트되지 않으면 DNS 영역에서 제거되지 않습니다. DNS는 이름을 해제하거나 삭제하는 방법을 사용하지 않지만, DNS 클라이언트는 새 이름이나 주소 변경이 적용될 때 기존의 이름 레코드를 삭제하거나 업데이트하려고 합니다.

DHCP 클라이언트 서비스가 Windows Server 2003 기반 컴퓨터에 대한 A 및 PTR 리소스 레코드를 등록하면 클라이언트가 호스트 레코드에 대한 기본 캐싱 TTL(Time-To-Live) 값인 15분을 사용합니다. 이 값은 컴퓨터의 레코드가 쿼리 응답에 포함되는 경우 다른 DNS 서버와 클라이언트가 컴퓨터의 레코드를 캐시하는 기간을 결정합니다.

DNS와 DHCP의 통합

Windows Server 2003에서 DHCP 서버는 동적 업데이트를 지원하는 클라이언트 중 하나에 대해 DNS 네임스페이스에서 동적 업데이트를 사용 가능하게 설정할 수 있습니다. 범위 클라이언트는 DHCP 할당 주소가 변경될 때마다 DNS 동적 업데이트 프로토콜을 사용하여 호스트 이름과 주소의 매핑 정보를 업데이트할 수 있습니다. 이 매핑 정보는 DNS 서버에서 영역에 저장됩니다. Windows Server 2003 기반 DHCP 서버는 DHCP 클라이언트를 대신하여 DNS 서버에 대한 업데이트를 수행할 수 있습니다.

DHCP/DNS 업데이트의 상호 작용 방식

DHCP 서버를 사용하여 서버의 DHCP 사용 가능 클라이언트 대신 PTR 및 A 리소스 레코드를 등록하고 업데이트할 수 있습니다. 이렇게 하는 경우에는 추가 DHCP 옵션인 클라이언트 FQDN 옵션(옵션 81)을 사용해야 합니다. 이 옵션을 사용하면 클라이언트가 FQDN을 DHCPREQUEST 패킷으로 DHCP 서버에 보낼 수 있습니다. 이렇게 하면 클라이언트가 DHCP 서버에서 요구하는 서비스 수준에 관해 알릴 수 있습니다.

FQDN 옵션에는 다음 6가지 필드가 포함되어 있습니다.
  • Code
    이 옵션의 코드(81)를 지정합니다.
  • Len
    이 옵션의 길이를 지정합니다. 이 길이는 최소 4가 되어야 합니다.
  • Flags
    서비스 종류를 지정합니다.
  • 0
    클라이언트가 "A"(호스트) 레코드를 등록합니다.
  • 1
    클라이언트가 DHCP를 "A"(호스트) 레코드에 등록하려고 합니다.
  • 3
    DHCP가 클라이언트 요청에 관계없이 "A"(호스트) 레코드를 등록합니다.
  • RCODE1
    서버가 클라이언트에 보내는 응답 코드를 지정합니다.
  • RCODE2
    RCODE1의 추가 대상을 지정합니다.
  • Domain Name
    클라이언트의 FQDN을 지정합니다.
클라이언트가 DNS를 사용하여 리소스 레코드를 등록할 것을 요구하는 경우 클라이언트는 RFC(Request for Comments) 2136에 대해 동적 UPDATE 요청을 생성해야 합니다. 그러면 DHCP 서버는 PTR(포인터) 레코드를 요청합니다.

Windows Server 2003, Microsoft Windows 2000 또는 Microsoft Windows XP를 실행하는 DHCP 사용 가능 컴퓨터와 같은 정규화된 DHCP 클라이언트가 이 옵션을 사용한다고 가정해 봅니다. 이 경우 옵션은 Windows Server 2003 기반 DHCP 서버가 이를 처리하고 해석하여 서버가 클라이언트를 대신하여 업데이트를 시작하는 방법을 결정합니다.

예를 들어, 다음 구성 중 하나를 사용하여 클라이언트 요청을 처리할 수 있습니다.
  • DHCP 서버가 클라이언트 요청에 따라 구성된 DNS 서버에 클라이언트 정보를 등록하고 업데이트합니다.

    이것이 Windows Server 2003, Windows 2000 또는 Windows XP를 실행하는 Windows Server 2003 기반 DHCP 서버 및 클라이언트의 기본 구성입니다. 이 모드에서 Windows DHCP 클라이언트는 DHCP 서버가 호스트 A 및 PTR 리소스 레코드를 업데이트하는 방법을 지정할 수 있습니다. 이것이 가능하면 DHCP 서버는 DNS에서 해당 이름과 IP 주소 정보의 업데이트를 처리하라는 클라이언트의 요청을 처리합니다.

    클라이언트 요청에 따라 클라이언트 정보를 등록하도록 DHCP 서버를 구성하려면 다음과 같이 하십시오.
    1. 서버 또는 개별 범위에 대한 DHCP 속성을 엽니다.
    2. DNS 탭, 속성을 차례로 누른 다음 DHCP 클라이언트가 요청할 때만 DNS A 및 PTR 레코드를 동적으로 업데이트 확인란을 선택합니다.
  • DHCP 서버가 구성된 DNS 서버에 항상 클라이언트 정보를 등록하고 업데이트합니다.

    이것은 Windows Server 2003, Windows 2000 또는 Windows XP를 실행하는 Windows Server 2003 기반 DHCP 서버 및 클라이언트에서 지원되는 수정된 구성입니다. 이 모드에서 DHCP 서버는 클라이언트가 업데이트를 수행하도록 요청했는지 여부와 관계 없이 항상 클라이언트의 FQDN과 임대된 IP 주소 정보의 업데이트를 수행합니다.

    구성된 DNS 서버에 클라이언트 정보를 등록하고 업데이트하도록 DHCP 서버를 구성하려면 다음과 같이 하십시오.
    1. 서버의 DHCP 속성을 엽니다.
    2. DNS, 속성을 차례로 누른 다음 아래 설정에 따라 DNS 동적 업데이트 사용 확인란을 선택하고 항상 DNS A 및 PTR 레코드를 동적으로 업데이트를 누릅니다.
  • DHCP 서버가 구성된 DNS 서버에 클라이언트 정보를 등록하고 업데이트하지 않습니다.

    이 구성을 사용하려면 DHCP 서버가 DHCP/DNS 업데이트를 대신 수행하지 않도록 구성되어 있어야 합니다. 이 구성을 사용하면 클라이언트 호스트 A 또는 PTR 리소스 레코드가 DHCP 클라이언트의 DNS에서 업데이트되지 않습니다.

    클라이언트 정보를 업데이트하지 않도록 서버를 구성하려면 다음과 같이 하십시오.
    1. Windows Server 2003 기반 DHCP 서버에서 범위 중 하나 또는 DHCP 서버의 DHCP 속성을 엽니다.
    2. DNS, 속성을 차례로 누른 다음 아래 설정에 따라 DNS 동적 업데이트 사용 확인란의 선택을 취소합니다.
    기본적으로 새로 설치된 Windows Server 2003 기반 DHCP 서버와 이러한 서버를 위해 만든 새로운 범위에 대한 업데이트는 항상 수행됩니다.

Windows DHCP 클라이언트 및 DNS 동적 업데이트 프로토콜

Windows Server 2003, Windows 2000 또는 Windows XP를 실행하거나 이전 버전의 운영 체제를 실행하는 DHCP 클라이언트는 DHCP/DNS 상호 작용을 수행할 때 다르게 상호 작용할 수 있습니다. 다음 예제에서는 각 경우에 이러한 상호 작용이 어떻게 달라지는지를 보여 줍니다.

Windows Server 2003, Windows 2000 및 Windows XP 기반 DHCP 클라이언트의 DHCP/DNS 업데이트 상호 작용에 대한 예제

Windows Server 2003, Windows 2000 및 Windows XP DHCP를 실행하는 클라이언트는 다음과 같이 DNS 동적 업데이트 프로토콜과 상호 작용합니다.
  1. 클라이언트가 DHCP 요청 메시지(DHCPREQUEST)를 서버로 보냅니다. 요청에는 옵션 81이 포함되어 있습니다.
  2. 서버가 DHCP 응답 메시지(DHCPACK)를 클라이언트로 반환합니다. 클라이언트는 IP 주소 임대를 허용하고 옵션 81이 포함되어 있습니다. DHCP 서버가 기본 설정으로 구성되어 있으면 옵션 81은 DHCP 서버가 DNS PTR 레코드를 등록하고 클라이언트가 DNS A 레코드를 등록할 것임을 클라이언트에게 알립니다.
  3. 비동기적으로 클라이언트는 정방향 조회 레코드(호스트 A 리소스 레코드)에 대한 DNS 업데이트 요청을 DNS 서버로 보냅니다.
  4. DHCP 서버가 클라이언트의 PTR 레코드를 등록합니다.

Windows Server 2003 이전의 Windows 버전을 사용하는 Windows 기반 DHCP 클라이언트의 DHCP/DNS 업데이트 상호 작용에 대한 예제

이전 버전의 Windows 기반 DHCP 클라이언트는 DNS 동적 업데이트 프로세스를 직접 지원하지 않고 DNS 서버와 직접 상호 작용할 수 없습니다. 이러한 DHCP 클라이언트의 경우 일반적으로 다음과 같이 업데이트가 처리됩니다.
  1. 클라이언트가 DHCP 요청 메시지(DHCPREQUEST)를 서버로 보냅니다. 이 요청에는 옵션 81이 포함되어 있지 않습니다.
  2. 서버가 DHCP 응답 메시지(DHCPACK)를 클라이언트로 반환합니다. 클라이언트는 IP 주소 임대를 허용하고 옵션 81이 포함되지 않습니다.
  3. 서버가 클라이언트의 정방향 조회 레코드인 호스트 A 리소스 레코드에 대한 업데이트를 DNS 서버로 보내고 클라이언트의 PTR 역방향 조회 레코드에 대한 업데이트를 보냅니다.

보안 동적 업데이트

Windows Server 2003의 경우 Active Directory에 통합된 영역인 경우에만 DNS 업데이트 보안을 사용할 수 있습니다. 영역을 통합하면 DNS 스냅인에서 사용할 수 있는 ACL(액세스 제어 목록) 편집 기능을 사용하여 특정 영역이나 리소스 레코드의 ACL에서 사용자나 그룹을 추가하거나 제거할 수 있습니다.

자세한 내용을 보려면 Windows Server 2003 도움말에서 "리소스 레코드 보안을 수정하려면"이나 "디렉터리 통합 영역의 보안을 수정하려면"을 검색하십시오.

기본적으로 Windows Server 2003 DNS 서버와 클라이언트의 동적 업데이트 보안은 다음과 같이 처리됩니다.
  1. Windows Server 2003 기반 DNS 클라이언트가 먼저 보안되지 않는 동적 업데이트를 사용하려고 합니다. 보안되지 않는 업데이트가 거부되면 클라이언트가 보안 업데이트를 사용하려고 합니다.

    또한 클라이언트가 업데이트 보안으로 특정하게 차단되지 않는 한 이전에 등록된 리소스 레코드를 덮어쓰는 것을 허용하는 기본 업데이트 정책을 사용합니다.
  2. 기본적으로 영역이 Active Directory와 통합되면 Windows Server 2003 기반 DNS 서버가 보안 동적 업데이트만 허용합니다.
표준 영역 저장소를 사용하는 경우에는 기본적으로 DNS 서버 서비스가 영역에서 동적 업데이트를 허용하지 않습니다. 디렉터리와 통합되거나 표준 파일 기반 저장소를 사용하는 영역의 경우 모든 동적 업데이트를 허용하도록 영역을 변경할 수 있습니다. 이렇게 되면 모든 업데이트가 보안 업데이트의 사용을 통과하여 받아들여질 수 있습니다.

중요 DHCP 서버 서비스가 동적 업데이트를 지원하지 않는 레거시 클라이언트의 DNS 레코드를 대신 등록하고 업데이트할 수 있습니다. 자세한 내용은 Windows Server 2003 도움말의 "DNS 서버에서 DHCP 사용" 항목을 참조하십시오.

네트워크에서 Windows Server 2003 기반 DHCP 서버를 여러 대 사용하고 보안 동적 업데이트만 허용하도록 영역을 구성하는 경우 Active Directory 사용자 및 컴퓨터 스냅인을 사용하여 DHCP 서버 컴퓨터를 기본 제공 DnsUpdateProxy 그룹에 추가하십시오. 이렇게 하면 모든 DHCP 서버가 DHCP 클라이언트 중 하나에 대한 업데이트를 대신 수행할 보안 권한을 갖습니다. 자세한 내용은 Windows Server 2003 도움말에의 "DNS 서버에 DHCP 사용" 항목이나 "그룹 관리" 항목을 참조하십시오.

주의 다음 조건에 해당하는 경우 보안 동적 업데이트 기능이 손상될 수 있습니다.
  • Windows Server 2003 기반 도메인 컨트롤러에서 DHCP 서버를 실행하고 있는 경우
  • DHCP 서버가 클라이언트를 대신하여 DNS 레코드를 등록하도록 구성되어 있는 경우
이 문제를 방지하려면 DHCP 서버와 도메인 컨트롤러를 서로 다른 컴퓨터에 구축하거나 동적 업데이트 전용 사용자 계정을 사용하도록 DHCP 서버를 구성하십시오. 자세한 내용은 Windows Server 2003 도움말의 "DNS 서버에서 DHCP 사용" 항목을 참조하십시오.

자세한 내용은 "DnsUpdateProxy 그룹을 사용하는 경우의 보안 고려 사항" 절을 참조하십시오.

보안 동적 업데이트만 사용

  1. 시작을 누르고 관리 도구를 가리킨 다음 DNS를 누릅니다.
  2. DNS에서 적절한 DNS 서버를 두 번 누르고 정방향 조회 영역이나 역방향 조회 영역을 두 번 누른 다음 적절한 영역을 마우스 오른쪽 단추로 누릅니다.
  3. 속성을 누릅니다.
  4. 일반 탭에서 영역 종류가 Active Directory 통합 영역인지 확인합니다.
  5. 동적 업데이트 상자에서 보안된 항목만을 누릅니다.
  6. 확인을 누릅니다.
참고 보안 동적 업데이트 기능은 Active Directory 통합 영역에만 지원됩니다. 다른 영역 종류를 구성하는 경우 DNS 업데이트를 위해 영역에 보안을 설정하기 전에 영역 종류를 변경하고 영역을 통합해야 합니다. 동적 업데이트는 DNS 표준에 대한 RFC 규격 확장입니다. DNS 업데이트 프로세스는 RFC 2136, "Dynamic Updates in the Domain Name System (DNS UPDATE)"에 정의되어 있습니다.

DnsUpdateProxy 보안 그룹 사용

DHCP 클라이언트를 대신하여 호스트 A 및 PTR 리소스 레코드를 동적으로 등록하도록 Windows Server 2003 기반 DHCP 서버를 구성할 수 있습니다. Windows Server 2003 기반 DNS 서버가 포함된 이 구성에서 보안 동적 업데이트를 사용하면 리소스 레코드가 부실 레코드가 될 수 있습니다.

예를 들어, 다음과 같은 시나리오를 생각해볼 수 있습니다.
  1. Windows Server 2003 DHCP 서버(DHCP1)가 클라이언트 중 하나를 대신하여 특정 DNS 도메인 이름에 대한 보안 동적 업데이트를 수행합니다.
  2. DHCP 서버가 성공적으로 이름을 만들었기 때문에 이름의 소유자가 됩니다.
  3. DHCP 서버가 클라이언트 이름의 소유자가 되면 DHCP 서버만 이름을 업데이트할 수 있습니다.
경우에 따라 이 시나리오가 문제를 일으킬 수 있습니다. 예를 들어, DHCP1이 실패하고 두 번째 백업 DHCP 서버가 온라인 상태가 되면 백업 서버가 클라이언트 이름의 소유자가 아니기 때문에 이 이름을 업데이트할 수 없습니다.

다른 예로 DHCP 서버가 레거시 클라이언트에 대한 동적 업데이트를 수행한다고 가정해 봅니다. 이러한 클라이언트를 Windows Server 2003, Windows 2000 또는 Windows XP로 업그레이드하는 경우 업그레이드한 클라이언트가 소유권을 갖거나 DNS 레코드를 업데이트할 수 없습니다.

이 문제를 해결하기 위해 DnsUpdateProxy라는 기본 제공 보안 그룹이 제공됩니다. 모든 DHCP 서버가 DnsUpdateProxy 그룹에 추가되면 첫 번째 서버가 실패하는 경우 다른 서버가 이 서버의 레코드를 업데이트할 수 있습니다. 또한 DnsUpdateProxy 그룹의 구성원이 만드는 모든 개체가 보안되지 않기 때문에 DNS 이름과 관련된 레코드 집합을 수정하는 첫 번째 사용자(DnsUpdateProxy 그룹의 구성원이 아님)가 소유자가 됩니다. 레거시 클라이언트가 업그레이드되면 DNS 서버에서 이름 레코드의 소유권을 가질 수 있습니다. 레거시 클라이언트의 리소스 레코드를 등록하는 모든 DHCP 서버가 DnsUpdateProxy 그룹의 구성원이면 많은 문제가 발생하지 않습니다.

DnsUpdateProxy 그룹에 구성원 추가

Active Directory 사용자 및 컴퓨터 스냅인을 사용하여 DnsUpdateProxy 보안 그룹을 구성할 수 있습니다.

참고 내결함성을 위해 DHCP 서버를 여러 대 사용하고 있고 보안 동적 업데이트를 사용하는 경우 각 서버를 DnsUpdateProxy 글로벌 보안 그룹에 추가하십시오.

DnsUpdateProxy 그룹을 사용하는 경우의 보안 고려 사항

DHCP 서버가 DnsUpdateProxy 그룹의 구성원인 경우 DHCP 서버가 등록하는 DNS 도메인 이름은 보안되지 않습니다. DHCP 서버 자체의 호스트(A) 리소스 레코드는 이러한 레코드의 예입니다. 또한 DnsUpdateProxy 그룹의 구성원이 만드는 개체가 보안되지 않기 때문에 이 그룹의 구성원이 만드는 레코드가 보안될 수 있도록 하는 추가 단계를 수행하지 않으면 보안 동적 업데이트만 허용하는 Active Directory 통합 영역에서 이 그룹을 효과적으로 사용할 수 없습니다.

보안되지 않은 레코드 문제를 방지하거나 DnsUpdateProxy 그룹의 구성원이 보안 동적 업데이트만 허용하는 영역에서 레코드를 등록할 수 있도록 하려면 다음과 같이 하십시오.
  1. 전용 사용자 계정을 만듭니다.
  2. 사용자 계정 자격 증명(사용자 이름, 암호 및 도메인)을 사용하여 DNS 동적 업데이트를 수행하도록 DHCP 서버를 구성할 수 있습니다.
전용 사용자 계정의 자격 증명은 여러 DHCP 서버에서 사용할 수 있습니다.

전용 사용자 계정은 DNS 동적 업데이트 등록을 위해 DHCP 서버에 자격 증명을 제공하는 데만 사용되는 사용자 계정입니다. 전용 사용자 계정을 만들고 계정 자격 증명을 사용하여 DHCP 서버를 구성했다고 가정합니다. 각 DHCP 서버는 DNS 동적 업데이트를 사용하여 DHCP 클라이언트 대신 이름을 등록할 때 이러한 자격 증명을 제공합니다. 전용 사용자 계정은 업데이트될 영역의 주 DNS 서버가 있는 포리스트에서 만들어야 합니다. 전용 사용자 계정이 다른 포리스트에 있을 수도 있습니다. 그러나 계정이 있는 포리스트에 업데이트될 영역의 주 DNS 서버가 포함된 포리스트에서 설정된 포리스트 트러스트가 있어야 합니다.

DHCP 서버 서비스가 도메인 컨트롤러에 설치되는 경우 도메인 컨트롤러의 권한을 상속(잘못 사용)하지 못하도록 전용 사용자 계정의 자격 증명을 사용하여 DHCP 서버를 구성할 수 있습니다. DHCP 서버 서비스가 도메인 컨트롤러에 설치되면 도메인 컨트롤러의 보안 사용 권한을 상속하고 보안 Active Directory 통합 영역에 등록된 DNS 레코드를 업데이트하거나 삭제할 권한을 갖습니다. 이러한 레코드에는 Windows 2000 또는 Windows Server 2003 기반의 다른 컴퓨터와 도메인 컨트롤러가 안전하게 등록한 레코드가 포함됩니다.

DNS 동적 업데이트 구성

Windows Server 2003에 포함된 동적 업데이트 기능은 RFC 2136을 따릅니다. 동적 업데이트를 통해 클라이언트와 서버는 DNS 도메인 이름(PTR 리소스 레코드)과 IP 주소 매핑(A 리소스 레코드)을 RFC 2136 규격 DNS 서버에 등록할 수 있습니다.

DHCP 클라이언트에 대한 DNS 업데이트 구성

기본적으로 Windows Server 2003, Windows 2000 및 Windows XP 기반 DHCP 클라이언트는 클라이언트가 A 리소스 레코드를 등록하고 서버가 PTR 리소스 레코드를 등록하라고 요청하도록 구성됩니다. 기본적으로 DNS 등록에 사용되는 이름은 컴퓨터 이름과 주 DNS 접미사를 연결한 것입니다. 이 기본 이름을 변경하려면 네트워크 연결의 TCP/IP 속성을 여십시오.

동적 업데이트 클라이언트에서 동적 업데이트 기본값을 변경하려면 다음과 같이 하십시오.
  1. 제어판에서 네트워크 연결을 두 번 누릅니다.
  2. 구성할 연결을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  3. 인터넷 프로토콜(TCP/IP)을 누르고 속성을 누른 다음 고급을 누릅니다.
  4. DNS를 누릅니다.

    기본적으로 DNS에 이 연결의 주소를 등록이 선택되어 있고 DNS 등록에 이 연결의 DNS 접미사 사용이 선택되어 있지 않습니다. 이 기본 구성으로 인해 클라이언트는 클라이언트가 A 리소스 레코드를 등록하고 서버가 PTR 리소스 레코드를 등록하라고 요청합니다.
  5. DNS 등록에 이 연결의 DNS 접미사 사용 확인란을 선택합니다.

    클라이언트는 서버가 FQDN을 사용하여 PTR 레코드를 업데이트하라고 요청합니다. 클라이언트의 요청에 따라 DNS 레코드를 등록하도록 DHCP 서버가 구성된 경우 클라이언트가 다음 레코드를 등록합니다.
    • PTR 레코드
    • 컴퓨터 이름과 주 DNS 접미사를 연결한 이름을 사용하는 A 레코드
    • 컴퓨터 이름과 연결별 DNS 접미사를 연결한 이름을 사용하는 A 레코드
  6. DNS 등록 요청을 하지 않도록 클라이언트를 구성하려면 DNS에 이 연결의 주소를 등록 확인란 선택을 취소합니다.

멀티홈 클라이언트 컴퓨터에서 DNS 업데이트 구성

동적 업데이트 클라이언트가 다중 홈 컴퓨터인 경우 기본적으로 DNS를 사용하여 모든 IP 주소를 등록합니다. 클라이언트는 둘 이상의 어댑터와 관련 IP 주소가 있는 경우 다중 홈입니다. 클라이언트가 모든 IP 주소를 등록하는 것을 원하지 않으면 네트워크 연결 속성에서 하나 이상의 IP 주소를 등록하지 않도록 클라이언트를 구성하면 됩니다.

컴퓨터가 모든 IP 주소를 등록하지 못하게 하려면 다음과 같이 하십시오.
  1. 제어판에서 네트워크 연결을 두 번 누릅니다.
  2. 구성할 연결을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  3. 인터넷 프로토콜(TCP/IP)을 누르고 속성을 누른 다음 고급을 누릅니다.
  4. DNS를 누릅니다.
  5. DNS에 이 연결의 주소를 등록 확인란의 선택을 취소합니다.
DNS에서 도메인 이름을 등록하도록 컴퓨터를 구성할 수도 있습니다. 예를 들어, 두 개의 다른 네트워크에 연결된 클라이언트가 있는 경우 각 네트워크에서 다른 도메인 이름을 갖도록 클라이언트를 구성할 수 있습니다.

Windows Server 2003 DHCP 서버에서 DNS 업데이트 구성

Windows Server 2003 기반 DHCP 서버에 DNS 동적 업데이트를 구성하려면 다음과 같이 하십시오.
  1. 시작을 누르고 관리 도구를 가리킨 다음 DHCP를 누릅니다.
  2. 적절한 DHCP 서버나 범위를 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  3. DNS를 누릅니다.
  4. 아래 설정에 따라 DNS 동적 업데이트 사용 확인란을 선택하여 동적 업데이트를 지원하는 클라이언트에 DNS 동적 업데이트를 설정합니다.

    참고 이 확인란은 기본적으로 선택되어 있습니다.
  5. 동적 업데이트를 지원하지 않는 DHCP 클라이언트에 DNS 동적 업데이트를 설정하려면 업데이트를 요청하지 않은 DHCP 클라이언트(예: Windows NT 4.0이 실행되는 클라이언트)의 DNS A 및 PTR 레코드를 동적으로 업데이트 확인란을 선택합니다.
  6. 확인을 누릅니다.

DNS 서버에 대한 DNS 업데이트 설정

자체적으로 DNS 레코드를 동적으로 업데이트할 수 없는 Windows Server 2003 이전 버전의 클라이언트에 대한 DNS 레코드를 Windows Server 2003 기반 DHCP 서버에서 동적으로 업데이트할 수 있습니다.

클라이언트의 DNS 레코드를 동적으로 업데이트하도록 DHCP 서버를 설정하려면 다음과 같이 하십시오.
  1. DHCP 관리 콘솔에서 DNS 업데이트를 허용할 범위나 DHCP 서버를 선택합니다.
  2. 동작 메뉴에서 속성을 누른 다음 DNS를 누릅니다.
  3. 아래 설정에 따라 DNS 동적 업데이트 사용 확인란을 선택합니다.
  4. 클라이언트의 DHCP 요청 유형을 기초로 클라이언트의 DNS 레코드를 업데이트하려면 DHCP 클라이언트가 요청할 때만 DNS A 및 PTR 레코드를 동적으로 업데이트를 선택합니다. 이 업데이트는 클라이언트가 요청할 경우에만 발생합니다.
  5. 클라이언트의 정방향 및 역방향 조회 레코드를 항상 업데이트하려면 항상 DNS A 및 PTR 레코드를 동적으로 업데이트를 선택합니다.
  6. 임대가 삭제되면 A 및 PTR 레코드 삭제 확인란을 선택하여 DHCP 임대가 만료되고 갱신되지 않으면 DHCP 서버가 클라이언트의 레코드를 삭제하도록 합니다.

DNS 업데이트 해제

경고: 레지스트리 편집기를 잘못 사용하면 심각한 문제가 발생할 수 있으며 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용함으로써 발생하는 문제에 대해 해결을 보증하지 않습니다. 레지스트리 편집기의 사용에 따른 모든 책임은 사용자에게 있습니다.

Windows Server 2003 기반 클라이언트에는 기본적으로 동적 업데이트가 구성되어 있습니다. 모든 네트워크 인터페이스에서 동적 업데이트를 해제하려면 다음과 같이 하십시오.
  1. 시작, 실행을 차례로 누르고 regedit를 입력한 다음 확인을 누릅니다.
  2. 다음 레지스트리 하위 키를 찾아 누릅니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 누릅니다.
  4. DisableDynamicUpdate를 입력한 다음 Enter 키를 두 번 누릅니다.
  5. DWORD 값 편집에서 값 데이터 상자에 1을 입력한 다음 확인을 누릅니다.
  6. 레지스트리 편집기를 끝냅니다.
특정 인터페이스에서 동적 업데이트를 해제하려면 다음과 같이 하십시오.
  1. 시작, 실행을 차례로 누르고 regedit를 입력한 다음 확인을 누릅니다.
  2. 다음 레지스트리 하위 키를 찾아 누릅니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
    참고 interface는 동적 업데이트를 해제할 인터페이스에 대한 네트워크 어댑터의 장치 ID입니다.
  3. 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 누릅니다.
  4. DisableDynamicUpdate를 입력한 다음 Enter 키를 두 번 누릅니다.
  5. DWORD 값 편집에서 값 데이터 상자에 1을 입력한 다음 확인을 누릅니다.
  6. 레지스트리 편집기를 끝냅니다.




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 816592 - 마지막 검토: 2007년 12월 3일 월요일 - 수정: 8.2
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
키워드:?
kbhowtomaster KB816592

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com