Windows DNS를 기존 DNS 네임스페이스에 통합

  • 아티클

이 문서에서는 Active Directory 도메인의 이름을 가진 영역에 대해 신뢰할 수 있는 DNS 서버가 RFC 2136(동적 업데이트)을 지원하지 않는 DNS 네임스페이스가 이미 구현된 organization Windows DNS를 통합하는 방법을 설명합니다.

적용 대상: Windows Server 2012 R2
원본 KB 번호: 255913

요약

DNS(Windows Domain Name System)의 한 가지 기능은 동적 호스트 업데이트(RFC 2136에 설명되어 있음)에 대한 지원입니다. 이 기능을 활용하기 위해 다른 DNS 서버가 없는 환경과 비동기 DNS 서버가 이미 구현된 환경(예: BIND 4.9.7 이하)에 Windows DNS를 배포할 수 있습니다. BIND 서버가 이미 구현된 환경에서 Windows DNS를 배포하는 경우 다음과 같은 몇 가지 통합 옵션이 있습니다.

  • 비동기 신뢰할 수 있는 DNS 서버에서 Windows DNS를 실행하는 서버로 영역을 마이그레이션합니다.
  • 부모 DNS 도메인 아래에 자식 DNS 도메인을 위임합니다. 영역의 루트와 이름이 같지 않은 Active Directory 도메인 이름의 경우 하위 도메인을 Windows DNS에 위임합니다. 예를 들어 Active Directory 도메인의 이름이 이 dev.reskit.com 고 이 이름을 reskit.com포함하는 영역이 인 경우 DNS를 실행하는 Windows 기반 서버에 위임 dev.reskit.com 합니다.
  • 도메인 컨트롤러(DC) 로케이터 레코드(SRV 레코드)에서 사용하는 각 하위 도메인을 Windows 기반 서버에 위임합니다. 이러한 하위 도메인은 , _sites.reskit.com, _tcp.reskit.com_udp.reskit.com입니다_msdcs.reskit.com. 이 옵션은 영역 루트의 이름과 동일한 Active Directory 도메인 이름(reskit.comreskit.com: )을 DNS를 실행하는 Windows 기반 서버에 직접 위임할 수 없는 경우 사용됩니다. 필요에 따라 클라이언트는 라는 reskit.comActive Directory 도메인의 멤버일 수 있지만 라는 dynamic.reskit.comDNS 영역에 등록할 수 있습니다.

이 문서에서는 위에 나열된 네 번째 옵션, Active Directory 도메인의 이름으로 영역에 대해 신뢰할 수 있는 DNS 서버가 RFC 2136(동적 업데이트)을 지원하지 않는 DNS 네임스페이스가 이미 구현된 organization Windows DNS를 통합하는 방법을 설명합니다. 또한 이 문서에서는 Active Directory 도메인의 이름을 가진 영역에 대해 권한이 있는 DNS 서버가 동적 DNS 업데이트를 지원하지 않는 경우 도메인 멤버가 Active Directory 도메인 이름과 다른 기본 DNS 접미사를 사용하여 Windows 기반 컴퓨터에서 DNS 레코드를 동적으로 등록할 수 있도록 하는 시나리오에 대해서도 설명합니다.

추가 정보

비동기 DNS 서버를 기반으로 Windows DNS를 기존 네임스페이스에 통합하려면 RFC 2136에 따라 동적 업데이트를 사용할 수 있도록 로케이터 레코드(SRV 레코드)에서 사용하는 하위 도메인을 위임할 수 있습니다. 다음 단계를 따릅니다.

  1. Active Directory 도메인의 이름을 가진 영역에 대해 신뢰할 수 있는 비동기 DNS 서버에서 DNS를 실행하는 Windows 2000 기반 서버에 다음 영역을 위임합니다.

    _Udp. DNSDomainName
    _Tcp. DNSDomainName
    _사이트. DNSDomainName
    _msdcs. DNSDomainName

    예를 들어 루트 영역이 호출reskit.com되면 , , _tcp.reskit.com, _sites.reskit.com_msdcs.reskit.com 를 Windows 기반 서버에 위임_udp.reskit.com합니다.

    두 개의 추가 하위 도메인도 위임해야 합니다.

    ForestDnsZones. ForestDNSName
    DomainDnsZones. DNSDomainName

  2. Windows 기반 서버에서 1단계에서 위임된 정방향 영역을 만들고 동적 업데이트를 위해 영역을 사용하도록 설정합니다.

    새 영역을 만들려면 다음을 수행합니다.

    1. Windows 서버에서 DNS 관리자를 시작합니다.

    2. DNS 관리자 내에서 적절한 DNS 서버를 확장합니다.

    3. 앞으로 조회 영역 폴더를 마우스 오른쪽 단추로 클릭한 다음 새 영역을 클릭합니다.

    4. 새 영역 마법사가 시작되면 다음을 클릭하고 "기본 영역"을 선택한 다음 Active Directory 검사 영역에 저장 상자를 선택한 다음 다음을 클릭합니다.

    5. AD 통합 영역의 경우 도메인 또는 포리스트의 모든 DNS 서버 또는 도메인의 모든 DCS(Windows 2000에서만 옵션)로 영역 데이터가 이동해야 하는 위치를 선택합니다.

    6. 이름 상자에 영역 이름을 입력합니다. 예를 들어 _msdcs.reskit.com 입력합니다.

    7. 다음을 클릭합니다. 마법사의 요약을 검토한 후 마침을 클릭합니다.

    영역이 동적 업데이트를 수락할 수 있도록 하려면 다음을 수행합니다.

    1. DNS를 실행하는 Windows 서버에서 DNS 관리자를 사용하여 새 영역을 마우스 오른쪽 단추로 클릭하고 속성을 클릭한 다음 일반 탭을 클릭합니다.
    2. 동적 업데이트 허용 상자에서 보안 업데이트(권장) 또는 예를 클릭합니다. 보안 업데이트 옵션은 서버가 도메인 컨트롤러로 승격된 후에만 사용할 수 있습니다. 1단계에서 설명한 네 개의 영역이 모두 만들어지고 동적 업데이트를 허용할 때까지 이 프로세스를 반복합니다. 이렇게 하면 도메인 컨트롤러 로케이터 레코드를 DNS에 동적으로 등록 및 등록 해제할 수 있습니다.

  3. 또한 클라이언트와 서버가 Windows 서버에 동적으로 등록할 수 있도록 단일 영역 또는 여러 영역을 만들고 구성할 수 있습니다. 예를 들어 라는 dynamic.reskit.com 영역을 사용하여 동적 업데이트를 통해 네트워크의 모든 클라이언트 및 서버를 등록할 수 있습니다. 이러한 영역을 구성하려면 다음을 수행합니다.

    1. 부모 영역에 대해 신뢰할 수 있는 비동기 DNS 서버(예: reskit.com)에서 DNS를 실행하는 Windows 기반 서버에 새 영역을 위임합니다. 예를 들어 를 위임합니다 dynamic.reskit.com. Windows 서버에 대한 영역입니다.
    2. Windows 서버에서 위에 위임된 영역에 대한 정방향 조회 영역을 만듭니다(dynamic.reskit.com).
    3. Windows 서버에서 동적 업데이트에 대해 영역을 사용하도록 설정합니다.

  4. Windows 도메인 컨트롤러가 시작되면 Netlogon 서비스는 신뢰할 수 있는 영역에 여러 SRV 레코드를 등록하려고 시도합니다. SRV 레코드를 등록할 영역이 동적으로 업데이트할 수 있는 Windows 서버에 위임되었기 때문에 이러한 등록은 성공합니다. 또한 DC는 루트 영역의 Netlogon.dns 파일에 나열된 A 레코드를 등록하려고 시도합니다(예: reskit.com). 이 경우 루트 영역이 비동기 DNS 서버에 있으므로 이러한 업데이트는 성공하지 못합니다. DC의 시스템 로그에서 다음 이벤트가 생성됩니다.

    이벤트 유형: 경고
    이벤트 원본: NETLOGON
    이벤트 범주: 없음
    이벤트 ID: 5773
    날짜: <DateTime>
    시간: <DateTime>
    사용자: 해당/A
    컴퓨터: DC
    설명:
    이 DC의 DNS 서버는 동적 DNS를 지원하지 않습니다. %SystemRoot%\System32\Config\netlogon.dns 파일의 DNS 레코드를 해당 파일에 참조된 도메인을 제공하는 DNS 서버에 추가합니다.

    이 동작을 수정하려면 다음을 수행합니다.

    1. 모든 Windows DC에는 %SystemRoot%\System32\Config 폴더에 Netlogon.dns 파일이 있습니다. 이 파일에는 Netlogon 서비스가 시작될 때 DC에서 등록하려고 시도하는 DNS 레코드 목록이 포함되어 있습니다. DC가 DNS 서버에 등록하려고 하는 원래 레코드 목록을 만들 수 있도록 다음을 변경하기 전에 이 파일의 복사본을 만드는 것이 좋습니다. 이러한 레코드는 각 DC의 각 네트워크 어댑터에 따라 다르므로 각 DC에 서로 다른 레코드가 있습니다. Netlogon.dns 파일을 검사하여 파일의 모든 A 레코드를 식별합니다. "IN" 클래스 설명자 다음에 있는 레코드 형식으로 A 레코드를 식별할 수 있습니다. 예를 들어 다음 두 항목은 A 레코드입니다.

      reskit.com. 10.10.10.10에서 600
      gc._msdcs.reskit.com. 10.10.10.10에서 600

      Netlogon.dns 파일의 A 레코드 수는 DC에 있는 어댑터 수, 각 어댑터가 구성된 IP 주소 수 및 DC의 역할에 따라 달라집니다. DC 등록:

      • 도메인 이름에 대한 각 IP 주소당 하나의 A 레코드입니다.
      • DC가 GC(글로벌 카탈로그) 서버인 경우 gc._msdcs 등록합니다. 각 IP 주소에 대한 DnsForestName입니다.

    2. 비동기 DNS 서버는 도메인 컨트롤러가 A 레코드를 동적으로 등록하려는 시도를 허용하지 않으므로 신뢰할 수 있는 DNS 서버에서 A 레코드를 수동으로 구성해야 합니다(이 문서의 예제에서 영역에 reskit.com대한 DNS 서버 권한). 도메인 이름(예 reskit.com: )에 해당하는 A 레코드를 추가하는 것은 Windows 배포에 필요하지 않으며 SRV DNS 레코드를 지원하지 않는 타사 LDAP 클라이언트가 Windows DC를 검색하는 경우에만 필요할 수 있습니다.

      Windows 서버에서 적절한 영역에서 A단계에서 식별된 GC 서버별 A 레코드를 만듭니다. 예를 들어 _msdcs.reskit.com 영역에서 GC 서버에 대한 A 레코드를 만듭니다.

      영역의 루트에 대해 신뢰할 수 있는 비동기 DNS 서버에서 A단계에서 식별된 비GC 서버별 A 레코드에 대한 루트 영역(예 reskit.com: )에 A 레코드를 만듭니다. 예를 들어 영역에서 에 대한 reskit.com A 레코드를 만듭니다 reskit.com .

    3. 다음 레지스트리 키를 사용하여 DC가 Netlogon.dns 파일에 표시된 A 레코드를 등록하지 못하도록 설정해야 합니다. 다음에서 REG_DWORD RegisterDnsARecords 값을 0으로 설정합니다.

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  5. 이 동작을 수정하려면 Active Directory 포리스트와 도메인이 있으면 Dns를 실행하는 Windows 서버가 담당하는 DNS 도메인과 Active Directory를 통합해야 합니다. 또한 보안 동적 업데이트만 허용하도록 동적 업데이트를 허용하도록 구성된 영역을 다시 구성해야 합니다.