단일 레이블 DNS 이름을 사용하여 구성된 Active Directory 도메인의 배포 및 작업

  • 아티클

이 문서에는 단일 레이블 DNS 이름을 사용하여 구성된 AD(Active Directory) 도메인의 배포 및 작업에 대한 정보가 포함되어 있습니다.

적용 대상: Windows Server 2008 R2 서비스 팩 1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows 10, 버전 1809
원본 KB 번호: 300684

요약

단일 레이블 도메인 구성을 제거하려는 경우 도메인 이름을 바꾸는 경우가 많습니다. 이 문서의 애플리케이션 호환성 정보는 도메인 이름을 바꾸는 것을 고려할 수 있는 모든 시나리오에 적용됩니다.

다음 이유로 정규화된 DNS 이름이 있는 새 Active Directory 도메인을 만드는 것이 가장 좋습니다.

  • 인터넷 등록 기관에서는 단일 레이블 DNS 이름을 등록할 수 없습니다.

  • 단일 레이블 도메인에 조인된 클라이언트 컴퓨터 및 도메인 컨트롤러에는 단일 레이블 DNS 영역에 DNS 레코드를 동적으로 등록하기 위한 추가 구성이 필요합니다.

  • 클라이언트 컴퓨터 및 도메인 컨트롤러는 단일 레이블 DNS 영역에서 DNS 쿼리를 resolve 추가 구성이 필요할 수 있습니다.

  • 일부 서버 기반 애플리케이션은 단일 레이블 도메인 이름과 호환되지 않습니다. 애플리케이션 지원은 애플리케이션의 초기 릴리스에 없거나 향후 릴리스에서 지원이 삭제될 수 있습니다.

  • 단일 레이블 DNS 도메인 이름에서 정규화된 DNS 이름으로 전환하는 것은 간단하지 않으며 두 가지 옵션으로 구성됩니다. 사용자, 컴퓨터, 그룹 및 기타 상태를 새 포리스트로 마이그레이션 합니다. 또는 기존 도메인의 도메인 이름을 바꿉니다. 일부 서버 기반 애플리케이션은 Windows Server 2003 및 최신 도메인 컨트롤러에서 지원되는 도메인 이름 바꾸기 기능과 호환되지 않습니다. 이러한 비호환성은 도메인 이름 바꾸기 기능을 차단하거나 단일 레이블 DNS 이름을 정규화된 도메인 이름으로 바꾸려고 할 때 도메인 이름 바꾸기 기능을 사용하기가 더 어려워집니다.

  • Windows Server 2008의 Active Directory 설치 마법사(Dcpromo.exe)는 단일 레이블 DNS 이름이 있는 새 도메인을 만들지 않도록 경고합니다. 단일 레이블 DNS 이름이 있는 새 도메인을 만드는 비즈니스 또는 기술적 이유가 없으므로 Windows Server 2008 R2의 Active Directory 설치 마법사는 이러한 도메인 만들기를 명시적으로 차단합니다.

도메인 이름 바꾸기와 호환되지 않지만 이에 국한되지 않는 애플리케이션의 예는 다음과 같습니다.

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft ISA(인터넷 보안 및 가속) 서버 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • SMS(Microsoft Systems Management Server) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

추가 정보

모범 사례 Active Directory 도메인 이름은 점 문자(".")로 구분된 최상위 도메인과 결합된 하나 이상의 하위 도메인으로 구성됩니다. 다음은 몇 가지 예입니다.

  • contoso.com
  • corp.contoso.com

단일 레이블 이름은 "contoso"와 같은 단일 단어로 구성됩니다.

최상위 도메인은 도메인 이름에서 가장 오른쪽 레이블을 차지합니다. 일반적인 최상위 도메인에는 다음이 포함됩니다.

  • .Com
  • .Net
  • .Org
  • .nz와 같은 ccTLD(두 글자 국가 코드 최상위 도메인)

Active Directory 도메인 이름은 현재 및 미래의 운영 체제와 애플리케이션 환경 및 안정성에 대한 두 개 이상의 레이블로 구성되어야 합니다.

ICANN 보안 및 안정성 자문위원회에서 보고한 잘못된 최상위 도메인 쿼리는 도메인 이름 시스템의 루트 수준에서 잘못된 최상위 도메인 쿼리에서 찾을 수 있습니다.

인터넷 등록 기관에 DNS 이름 등록

인터넷 등록 기관에 가장 많은 내부 및 외부 DNS 네임스페이스에 대한 DNS 이름을 등록하는 것이 좋습니다. 이러한 이름이 organization 이름으로 등록된 DNS 이름의 하위 도메인이 아닌 한 Active Directory 포리스트의 포리스트 루트 도메인을 포함합니다(예: 포리스트 루트 도메인 "corp.example.com"은 내부 "example.com." 네임스페이스의 하위 도메인임). 인터넷 등록 기관에 DNS 이름을 등록하면 인터넷 DNS 서버가 현재 또는 특정 시점에 Active Directory 포리스트의 수명 동안 도메인을 resolve 수 있습니다. 또한 이 등록은 다른 조직에서 가능한 이름 충돌을 방지하는 데 도움이 됩니다.

클라이언트가 단일 레이블 앞으로 조회 영역에 DNS 레코드를 동적으로 등록할 수 없는 경우 발생할 수 있는 증상

사용자 환경에서 단일 레이블 DNS 이름을 사용하는 경우 클라이언트가 단일 레이블 앞으로 조회 영역에 DNS 레코드를 동적으로 등록하지 못할 수 있습니다. 특정 증상은 설치된 Microsoft Windows 버전에 따라 다릅니다.

다음 목록에서는 발생할 수 있는 증상에 대해 설명합니다.

  • 단일 레이블 도메인 이름에 대해 Microsoft Windows를 구성한 후 도메인 컨트롤러 역할이 있는 모든 서버가 DNS 레코드를 등록하지 못할 수 있습니다. 도메인 컨트롤러의 시스템 로그는 다음 예제와 유사한 NETLOGON 5781 경고를 지속적으로 기록할 수 있습니다.

    참고

    상태 코드 0000232a는 다음 오류 코드에 매핑됩니다.

    DNS_ERROR_RCODE_SERVER_FAILURE

  • 다음과 같은 추가 상태 코드 및 오류 코드가 Netdiag.log 같은 로그 파일에 나타날 수 있습니다.

    DNS 오류 코드: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • DNS 동적 업데이트에 대해 구성된 Windows 기반 컴퓨터는 단일 레이블 도메인에 등록되지 않습니다. 다음 예제와 유사한 경고 이벤트는 컴퓨터의 시스템 로그에 기록됩니다.

Windows 기반 클라이언트가 단일 레이블 DNS 영역으로 쿼리 및 동적 업데이트를 수행할 수 있도록 설정하는 방법

기본적으로 Windows는 최상위 도메인에 업데이트를 보내지 않습니다. 그러나 이 섹션에 설명된 메서드 중 하나를 사용하여 이 동작을 변경할 수 있습니다. 다음 방법 중 하나를 사용하여 Windows 기반 클라이언트가 단일 레이블 DNS 영역에 대한 동적 업데이트를 수행할 수 있도록 합니다.

또한 수정 없이 단일 레이블 DNS 이름이 있는 도메인이 없는 포리스트의 Active Directory 도메인 멤버는 DNS Server 서비스를 사용하여 다른 포리스트에 있는 단일 레이블 DNS 이름이 있는 도메인에서 도메인 컨트롤러를 찾지 않습니다. NetBIOS 이름 확인이 올바르게 구성되지 않은 경우 단일 레이블 DNS 이름이 있는 도메인에 대한 클라이언트 액세스가 실패합니다.

방법 1: 레지스트리 편집기 사용

  • Windows XP Professional 이상 버전의 Windows용 도메인 컨트롤러 로케이터 구성

    중요

    이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 자세한 내용은 Windows에서 레지스트리를 백업하고 복원하는 방법을 참조하세요.

    Windows 기반 컴퓨터에서 Active Directory 도메인 멤버는 도메인에 대한 단일 레이블 DNS 이름을 지원하기 위해 추가 구성이 필요합니다. 특히 Active Directory 도메인 구성원의 도메인 컨트롤러 로케이터는 하나 이상의 도메인이 포함된 포리스트에 Active Directory 도메인 멤버가 조인되어 있고 이 도메인에 단일 레이블 DNS 이름이 없는 한 DNS 서버 서비스를 사용하여 단일 레이블 DNS 이름이 있는 도메인에서 도메인 컨트롤러를 찾지 않습니다.

    Active Directory 도메인 멤버가 DNS를 사용하여 다른 포리스트에 있는 단일 레이블 DNS 이름이 있는 도메인에서 도메인 컨트롤러를 찾을 수 있도록 하려면 다음 단계를 수행합니다.

    1. 시작을 선택하고 실행을 선택하고 regedit를 입력한 다음 확인을 선택합니다.

    2. 다음 하위 키를 찾아 선택합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. 세부 정보 창에서 AllowSingleLabelDnsDomain 항목을 찾습니다. AllowSingleLabelDnsDomain 항목이 없는 경우 다음 단계를 수행합니다.

      1. 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 선택합니다.
      2. AllowSingleLabelDnsDomain을 항목 이름으로 입력한 다음 Enter 키를 누릅니다.

    4. AllowSingleLabelDnsDomain 항목을 두 번 클릭합니다.

    5. 값 데이터 상자에 1을 입력한 다음 확인을 선택합니다.

    6. 레지스트리 편집기를 종료하십시오.

  • DNS 클라이언트 구성

    중요

    이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 자세한 내용은 Windows에서 레지스트리를 백업하고 복원하는 방법을 참조하세요.

    단일 레이블 DNS 이름이 있는 도메인에 있는 Active Directory 도메인 멤버 및 도메인 컨트롤러는 일반적으로 해당 도메인의 DNS 이름과 일치하는 단일 레이블 DNS 영역에 DNS 레코드를 동적으로 등록해야 합니다. Active Directory 포리스트 루트 도메인에 단일 레이블 DNS 이름이 있는 경우 해당 포리스트의 모든 도메인 컨트롤러는 일반적으로 포리스트 루트의 DNS 이름과 일치하는 단일 레이블 DNS 영역에 DNS 레코드를 동적으로 등록해야 합니다.

    기본적으로 Windows 기반 DNS 클라이언트 컴퓨터는 루트 영역 "." 또는 단일 레이블 DNS 영역의 동적 업데이트를 시도하지 않습니다. Windows 기반 DNS 클라이언트 컴퓨터가 단일 레이블 DNS 영역의 동적 업데이트를 시도할 수 있도록 하려면 다음 단계를 수행합니다.

    1. 시작을 선택하고 실행을 선택하고 regedit를 입력한 다음 확인을 선택합니다.

    2. 다음 하위 키를 찾아 선택합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. 세부 정보 창에서 UpdateTopLevelDomainZones 항목을 찾습니다. UpdateTopLevelDomainZones 항목이 없는 경우 다음 단계를 수행합니다.

      1. 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 선택합니다.
      2. 항목 이름으로 UpdateTopLevelDomainZones를 입력한 다음 Enter 키를 누릅니다.

    4. UpdateTopLevelDomainZones 항목을 두 번 클릭합니다.

    5. 값 데이터 상자에 1을 입력한 다음 확인을 선택합니다.

    6. 레지스트리 편집기를 종료하십시오.

    이러한 구성 변경 내용은 단일 레이블 DNS 이름이 있는 도메인의 모든 도메인 컨트롤러 및 멤버에 적용해야 합니다. 단일 레이블 도메인 이름이 있는 도메인이 포리스트 루트인 경우 별도의 영역이 _msdcs 않는 한 이러한 구성 변경 내용을 포리스트의 모든 도메인 컨트롤러에 적용해야 합니다. ForestName, _sites. ForestName, _tcp. ForestName, and_udp. ForestNameForestName 영역에서 위임됩니다.

    변경 내용을 적용하려면 레지스트리 항목을 변경한 컴퓨터를 다시 시작합니다.

    참고

    • Windows Server 2003 이상 버전의 경우 UpdateTopLevelDomainZones 항목이 다음 레지스트리 하위 키로 이동되었습니다.
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • Microsoft Windows 2000 SP4 기반 도메인 컨트롤러에서 UpdateTopLevelDomainZones 설정을 사용할 수 없는 경우 컴퓨터는 시스템 이벤트 로그에 다음 이름 등록 오류를 보고합니다.
    • Windows 2000 SP4 기반 도메인 컨트롤러에서 UpdateTopLevelDomainZones 설정을 추가한 후 컴퓨터를 다시 시작해야 합니다.

방법 2: 그룹 정책 사용

그룹 정책 사용하여 최상위 도메인 영역 업데이트 정책 및 사용자 및 컴퓨터의 루트 도메인 컨테이너에 있는 폴더 위치 또는 구성원 컴퓨터의 컴퓨터 계정을 호스트하는 모든 OU(조직 구성 단위)에서 다음 표에 지정된 대로 단일 레이블 DNS 이름 정책을 사용하여 도메인을 호스팅하는 DC의 위치를 사용하도록 설정합니다. 도메인의 도메인 컨트롤러에 대한 및 입니다.

정책 폴더 위치
최상위 도메인 영역 업데이트 컴퓨터 구성\관리 템플릿\Network\DNS 클라이언트
단일 레이블 DNS 이름을 사용하여 도메인을 호스팅하는 DC의 위치 컴퓨터 구성\관리 템플릿\System\Net Logon\DC 로케이터 DNS 레코드

참고

이러한 정책은 Windows Server 2003 기반 컴퓨터 및 Windows XP 기반 컴퓨터에서만 지원됩니다.

이러한 정책을 사용하도록 설정하려면 루트 도메인 컨테이너에서 다음 단계를 수행합니다.

  1. 시작을 선택하고 실행을 선택하고 gpedit.msc를 입력한 다음 확인을 선택합니다.
  2. 로컬 컴퓨터 정책에서 컴퓨터 구성을 확장합니다.
  3. 관리 템플릿을 확장합니다.
  4. 최상위 도메인 영역 업데이트 정책을 사용하도록 설정합니다. 이렇게 하려면 다음 단계를 따르세요.
    1. 네트워크를 확장합니다.
    2. DNS 클라이언트를 선택합니다.
    3. 세부 정보 창에서 최상위 도메인 영역 업데이트를 두 번 클릭합니다.
    4. 사용하도록 설정을 선택합니다.
    5. 적용을 선택한 다음 확인을 선택합니다.
  5. 단일 레이블 DNS 이름 정책을 사용하여 도메인을 호스팅하는 DC의 위치를 사용하도록 설정합니다. 이렇게 하려면 다음과 같이 하십시오.
    1. 시스템을 확장합니다.
    2. Net Logon을 확장합니다.
    3. DC 로케이터 DNS 레코드를 선택합니다.
    4. 세부 정보 창에서 단일 레이블 DNS 이름을 사용하여 도메인을 호스팅하는 DC의 위치를 두 번 클릭합니다.
    5. 사용하도록 설정을 선택합니다.
    6. 적용을 선택한 다음 확인을 선택합니다.
  6. 그룹 정책 종료합니다.

Windows Server 2003 기반 이상 버전 DNS 서버에서 루트 서버가 의도치 않게 만들어지지 않았는지 확인합니다.

Windows 2000 기반 DNS 서버에서 DNS 레코드를 올바르게 선언하려면 루트 영역 ""을 삭제해야 할 수 있습니다. DNS 서버 서비스가 루트 힌트에 도달할 수 없으므로 DNS 서버 서비스가 설치될 때 루트 영역이 자동으로 만들어집니다. 이 문제는 이후 버전의 Windows에서 수정되었습니다.

루트 서버는 DCpromo 마법사에서 만들 수 있습니다. "." 영역이 있으면 루트 서버가 생성됩니다. 이름 확인이 올바르게 작동하려면 이 영역을 제거해야 할 수 있습니다.

Windows Server 2003 이상 버전에 대한 새 DNS 및 수정된 DNS 정책 설정

  • 최상위 도메인 영역 업데이트 정책

    이 정책을 지정하면 다음 레지스트리 하위 키 아래에 항목이 만들어집니다 REG_DWORD UpdateTopLevelDomainZones . HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    다음은 - 사용(0x1)에 대한 UpdateTopLevelDomainZones항목 값입니다. 0x1 설정은 컴퓨터가 TopLevelDomain 영역을 업데이트하려고 시도할 수 있음을 의미합니다. 즉, 설정을 사용하도록 설정하면 UpdateTopLevelDomainZones 이 정책이 적용되는 컴퓨터는 루트 영역을 제외하고 컴퓨터가 업데이트해야 하는 리소스 레코드에 대해 신뢰할 수 있는 영역에 동적 업데이트를 보냅니다. - 사용 안 함(0x0). 0x0 설정은 컴퓨터가 TopLevelDomain 영역을 업데이트할 수 없다는 것을 의미합니다. 즉, 이 설정을 사용하지 않도록 설정하면 이 정책이 적용되는 컴퓨터는 컴퓨터가 업데이트해야 하는 리소스 레코드에 대해 신뢰할 수 있는 루트 영역 또는 최상위 도메인 영역으로 동적 업데이트를 보내지 않습니다. 이 설정이 구성되지 않은 경우 정책은 컴퓨터에 적용되지 않으며 컴퓨터는 로컬 구성을 사용합니다.

  • PTR 레코드 등록 정책

    항목의 REG_DWORD RegisterReverseLookup 가능한 새 값인 0x2 다음 레지스트리 하위 키 아래에 추가되었습니다.
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    다음은 의 항목 값입니다. RegisterReverseLookup- 0x2. "A" 레코드 등록에 성공한 경우에만 등록합니다. 컴퓨터는 해당 "A" 리소스 레코드를 성공적으로 등록한 경우에만 PTR 리소스 레코드 등록을 구현하려고 합니다. - 0x1. 등록. 컴퓨터는 "A" 레코드 등록의 성공 여부에 관계없이 PTR 리소스 레코드 등록을 구현하려고 합니다. - 0x0. 등록하지 마세요. 컴퓨터는 PTR 리소스 레코드 등록을 구현하려고 시도하지 않습니다.

참조