5.Windows2000 DNS Server관리(계속)

(4)SRV Record - 2
처 음에 전반적인 개요를 설명할 때 WIndows2000에서의 DNS는 그 기능이 휠씬 확장되었다는 이야기를 했다. Windows2000과 DNS가 어떤 관계에 있는지를 알아보자. 4.0때만 하더라도 마이크로소프트 네트워크에서 DNS의 영향은 그다지 크지 않았다. 보통의 경우라면 인터넷에 접근해야 하는 경우에만 사용하는 것이 일반적이었고, 유닉스네트워크와 혼합된 환경이라면 유닉스기반의 네트워크에 접근하기 위해서 이름서비스를 제공하는 것이 DNS의 주된 기능이었다. Microsoft자체의 도메인기반의 네트워크에서는 DNS가 아닌 WINS라고 하는 다른 형태의 이름분해를 처리하는 서비스가 주된 임무를 수행했다. 하지만, Windows2000으로 오면서 WINS Server가처리하던 서비스를 이제는 DNS가 처리해야 한다. 당연히 클라이언트는 DNS에게 query를 던져서 원하는 정보를찾아야 하는 것이다.

마 이크로소프트는 기업네트워크를 위해서 "도메인"이라는 이름의 작업그룹을 이용한다. MS가 도메인모델을 통해서 추구하고자 하는 것은  "디렉토리서비스"를 통하여 도메인내의 모든 사용자들은 최초 한번의 로그온만으로 도메인내의 모든 서버에 접근을 용이하게 하겠다는 것이다. NT4.0에서는 이러한 마이크로소프트의 "도메인"과 DNS상에서의 "도메인"을 별개로 취급했었다. 그래서 회사환경의 "도메인"에 대한 이름분해 서비스로서 "WINS"라고 부르는 name server를 두었고, 인터넷 DNS상의 "도메인"에 대한 이름분해 서비스로서 "DNS"라는 name server를 두고 이원화 되어 있는 구조를 사용했던 것이다. 하지만, Windows2000으로 들어오면서 두 도메인을 따로 생각하지 않고, 통합시킨 구조를 사용한다. 엄밀히 말하면 통합이라고 표현하기에는 상당한 이해가 필요해진다. 결국 통합되었다는 표현은 다음과 같이 정리한다. 기업내부 네트워크를 구성하기 위한 도메인을 만드는데 있어서, 그 도메인이름을 인터넷상의 DNS Domain Name을 사용하게 되는 것이다. 이렇듯 이름이 통합되었다는 얘기다. 결국 회사에 존재하는 사용자, 그룹, 컴퓨터 등 모든 정보들은 Active Directory라고 부르는 디렉토리 데이터베이스에 저장하고, 그들을 가지고 있는 서버를 찾는 작업에 있어서 DNS가 서비스를 제공하고 있는 것이다. 결국 DNS가 하는 서비스는 Active Directory위치를 찾아주는 "Locator Service"라고 할 수 있다.

그 렇다면 Windows2000의 DNS에는 뭔가 큰 변화가 있었을 거라는 짐작이 간다. 하지만 실제로 들여다보면 그다지 큰 변화는 없다. 단지 "SRV"라고 하는 레코드type을 지원하고 있다는 것을 알 수 있다. 그 SRV는 의미 그대로 "서비스를 하고 있는 서버"라는 뜻이 된다. <화면36>


< 화면36. SRV Record >

< 화면36>에서 왼쪽에 보이는 4개의 하위도메인들이 Domain Controller가 자동으로 등록하는 도메인들이다. 오른쪽에 보이는 "_ldap"이라는 호스트이름이 "서비스위치"라는 type으로 등록되어 있는 것을 볼 수 있다. 그것이 바로 "SRV"라는 레코드이다. 화면에서 보여지고 있는 정보는 "ldap"서비스를 하는 서버가 "blueapple.mcpstudy.com"이라는 사실을 알려주고 있다. "ldap"서비스는 사용자 로그온을 처리하는 도메인컨트롤러가 제공하는 서비스이다. 사용자가 로그온을 할 때, 로그온을 받아주는 서버가 누구인지를 알고 있어야만 한다. Windows 2000 client는 그 정보를 바로 DNS Server에게 요청을 하게 되는데, 그때 요청은 결국 "ldcp server가 누구인가?"라는 요청이 되고, DNS Server는 등록된 레코드중 해당 서비스를 하는 서버로 등록된 레코드를 알려주게 되는 것이다. 이들 레코드에 대한 자세한 정보는 Active Directory를 통해서 공부하도록 한다.

(3)Dynamic Update사용
Windows2000 의 DNS Service는 동적업데이트를 지원한다. 이것은 당연한 결과라고 보여진다. 앞에서 설명한 바와 같이 DNS가 기업내부네트워크까지 적극적으로 반영하고 있기 때문에 NT4.0에 비해서 상당히 많은 양의 정보를 제공해야만 한다. 이것을 예전 버전처럼 일일이 수동으로 작업을 한다면 상당히 번거로운 작업이된다. 이러한 문제점을 Windows 2000 DNS Server는 dynamic update protocol을 사용함으로써 관리작업을 단순화 시켜 주고 있다. Windows2000 관리자라면 당연히 사용해야 할 옵션중의 하나이다. 작업에 대한 과정은 이미 3장에서 설명한 바 있다.

(4)DHCP Service와의 연동
만 일 dynamic update protocol을 통해서 등록되는 DNS Client가 DHCP Client라면 어떻게 될까? DHCP Client는매번 다른 IP Address를 사용할 수도 있는 유동적인 시스템이다. 이에 Windows 2000 DNS는 이러한 DHCP Client에게 IP를 제공하는 역할을 하고 있는 DHCP Server와 연동을 시키는 방법을 사용한다. 탁월한 방법이다. 아래의 <그림12>를 참조한다.


< 그림 12. Dynamic update 동작원리 >

(5)Active Directory 통합영역 사용
DNS를 설치하고, 관리할 도메인에 대한 Zone을 추가하다 보면 영역의 종류를 결정하는 항목이 나온다. 아래의<화면37>을 참고한다.


< 화면37. Zone type 변경 >

'Active Directory통합영역'이란 말 그대로 Windows2000 Domain Controller가 가지고 있는 Active Directory에 DNS Zone database를 통합하겠다는 뜻이다. 그렇게 했을 때 얻는 이점이 무엇이 있을지 생각해 보자.

앞서서 Secondary DNS Server의 필요성과 설정방법에 대해 설명하였다. 분명히 백업의 측면을 고려한 설정이긴 하지만 부족한 점이 있다. Primary DNS Server는 DNS Zone database원본을 가지고 있고, Secondary DNS Server는 복사본을 가지고 있다. 실제로 DNS Zone database변경에 영향을 줄 수 있는 서버는 오로지 Primary DNS Server만이 가지고 있는 기능이다. Secondary DNS Server는 수동적으로 Primary server에 변경이 있으면 그 내용을 복제하는 역할을 하고 있을 뿐이다. 만일 Primary DNS Server가 문제가 있어서 다운이 되었다면, Secondary DNS Server는 DNS Client에게는 정상적인 서비스를 할 수 있겠지만, DNS Zone database의 변경작업은 더 이상 할 수가 없게 된다. 다시 말하면 새로운 레코드를 추가한다거나, 삭제, 레코드 수정 등의 작업은 하지 못한다는 뜻이다. 이런 문제를 해결할 수 있는 방법이 있다. 바로 'Active Directory통합영역'을 사용하는 방법이다. 비록 Active Directory를 가지고 있는 도메인컨트롤러에서만 구현되는 방법이긴 하지만, 어떤 DNS Server든지 레코드 변경작업이 가능하다는 장점이 있다. 추가로 DNS Zone transfer가 더 이상 필요가 없다. 도메인컨트롤러간의 Active Directory repilcation작업에 DNS 복제프로세스가 통합되기 때문에 보다 유연한 복제토폴러지를 사용할 수 있게 되는 것이다. 또 한가지 장점이라면 Active Directory통합영역을 사용하면승인받은 클라이언트만 DNS에 접근하게 만드는 방법도 제공하기 때문에 보안의 측면에서도 보다 효과적인 방법이다.

'Active Directory통합영역'으로의 변경작업은 DNS 콘솔의 해당 Zone의 등록정보를 통해서 수정할 수 있다. <화면38> 'Active Directory통합영역'을 사용하면 동적업데이트 옵션에서 "보안된 업데이트만"을 사용할 수 있게 된다.


< 화면38. Secure Update >

지금까지 Windows 2000 DNS Service의 몇가지 기능과 관리방법에 대해서 설명하였다.

출처: http://www.secure.pe.kr