Ad (Active Directory) 도메인 설계 조언에 대 한 모범 사례는 등록 된 도메인 이름을 AD 도메인 이름으로 사용 하기 위한 것입니다. 가능한 대안은 AD 도메인 이름에 비공용 DNS 접미사 (예:로컬 또는 lan등)를 사용 하거나 ad 도메인을 등록 된 도메인의 하위 도메인 (예:corp.domain.com)으로 설정 하는 것입니다.
하지만 언제 든 지 선택할 수 있는 것은 아닙니다. 회사의 등록 된 도메인과 이름이 같은 AD 도메인을 지원 하 고, 관리에서 두 이름을 변경 하지 않을 수 있습니다. 이를 분할 DNS (또는 분할 된 DNS) 시나리오 라고 하며, AD에서 사용 하는 내부 네임 스페이스와 공용 도메인 등록자에서 사용 하는 외부 네임 스페이스가 같은 이름으로 구분 된 두 가지 DNS 네임 스페이스가 있습니다. 이 시나리오는 몇 가지 고유한 문제를 나타낼 수 있습니다. 이 문서에서는 분할 DNS 환경에서 발생 하는 몇 가지 일반적인 문제와이를 완화 하기 위해 수행할 수 있는 작업에 대해 설명 합니다.
아래의 모든 예에서 AD 도메인 및 등록 된 도메인은 모두 domain.com이며, www.domain.com이라는 회사 웹 사이트가 있습니다.
문제 1: 사무실 내부에서 외부에서 호스팅되는 회사 웹 사이트에 액세스할 수
없음 이는 분할 DNS 환경에서 가장 일반적으로 발생 하는 문제입니다. 회사의 웹 사이트 또는 다른 회사 소유의 인터넷 연결 리소스에는 AD 도메인에 연결 된 시스템에 대해서는 액세스할 수 없지만, 사무실 외부에 있는 시스템은 웹 사이트에 대 한 문제가 없습니다. 이 문제가 발생 하는 이유는 내부 사용자가 회사 웹 사이트를 탐색 하려고 할 때 발생 하는 작업을 확인 하는 것입니다.
이 문제는 데이터베이스에 특정 조회 존이 있는 DNS 서버 (이 예의 경우 domain.com )가 발생 하기 때문에 다른 곳에 해당 존의 레코드에 대 한 쿼리를 전송 하지 않습니다. 지정 된 쿼리와 일치 하는 레코드가 없는 경우 "not found" 응답이 반환 됩니다. 이 예에서는 해당 레코드가 포함 된 다른 DNS 서버가 있어야 합니다. 즉, 도메인 등록자에 속한 공용 domain.com 존을 호스팅하는 DNS 서버로 서, 사무실 외부의 시스템은 웹 사이트에 접속할 수 있습니다. 하지만 내부 시스템의 쿼리는 해당 서버에 연결 되지 않습니다.
이 문제에 대 한 해결 방법은 DC의 domain.com 영역에서 www 라는 이름의 호스트 레코드를 생성 하 고 웹 사이트의 IP 주소를 기록 하는 것입니다. 해당 DNS 서버를 쿼리 하는 시스템은 올바른 응답을 수신 하 고 웹 사이트를 탐색할 수 있습니다.
문제 2: 사무실 내부에서 내부에서 호스팅되는 공용 웹 사이트에 액세스할 수
없음 이는 위의 문제 1에서 변형 된 것으로 간주 될 수 있습니다. 이 경우, 웹 사이트는 회사 내부 네트워크 또는 DMZ의 방화벽 뒤에서 내부적으로 호스팅됩니다. 내부 사용자와 외부 사용자 모두에 게 액세스할 수 있지만 외부 사용자는 문제를 보고 하지 않습니다.
문제의 원인은 문제 1과 유사 하지만,이 경우 내부 사용자는 웹 사이트 이름을 공용 IP 주소로 올바르게 확인할 수 있습니다. 하지만 방화벽을 구성 하는 방식 때문에 여전히 웹 사이트에 접속할 수 없습니다. 내부 네트워크의 사용자는 공용 주소가 아니라 전용 주소를 사용 하 여 웹 사이트에 액세스 해야 합니다.
마찬가지로, DC의 domain.com 영역에서 www 라는 이름의 호스트 레코드를 생성 하는 간단한 수정 사항이 있습니다. 하지만 이번에는 웹 사이트의 전용 IP 주소를 기록에 제공 합니다. 내부 시스템은 웹 사이트의 이름을 해당 개인 주소로 확인 하 고 외부 시스템은 계속 해 서 해당 이름을 웹 사이트의 공용 주소로 확인 합니다.
문제 3: 위의 변경 사항을 적용 한 후에도 웹 사이트가 불완전 하 게 로드 되거나 로드 되지 않음
이 문제는 웹 사이트 코드가 브라우저를 www.domain.com 에서 domain.com 으로 리디렉션하는 경우 또는 내부 링크가 www.domain.com대신 domain.com 로 사이트를 지칭 하는 경우에 발생할 수 있습니다. 내부 또는 외부에서 사이트가 호스팅되어 있는지 여부와 관계 없이 내부 시스템에서 다음과 같은 증상이 나타납니다.
이 경우 문제는 조금 더 복잡 합니다. 시스템에서 domain.com 를 IP 주소로 확인 하려면 DNS의 domain.com 영역에 빈 호스트 레코드가 있어야 합니다. 이 레코드의 이름은 Windows DNS 콘솔에 상위 폴더와 동일 하 게 표시 됩니다. 하지만이 경우에는 문제가 있습니다. AD는 domain.com 영역에서 빈 호스트 레코드를 사용 하 여 domain.com 도메인에 대 한 dc를 나타냅니다. 도메인 구성원은 인증을 위해 DC를 찾을 때 이러한 레코드를 사용 하 고 domain.com 영역에 빈 호스트 레코드가 추가로 있을 경우 지연 또는 인증 문제가 발생할 수 있습니다.
위의 이유로이 문제는 DNS 단독으로 해결할 수 없습니다. 웹 사이트의 IP 주소를 사용 하 여 빈 호스트 레코드를 생성 하면 도메인에 있는 Dc의 IP 주소를 사용 하는 다른 빈 호스트 레코드가 이미 있지만 도메인 인증 문제가 발생 하기 때문에 내부 사용자에 대 한 웹 사이트 액세스 문제가 간헐적으로 해결 됩니다.
이 문제를 해결 하는 가장 간단한 방법은 웹 사이트의 코드를 수정 하 여 리디렉션을 제거 하거나 내부 링크를 수정 하 여 모든 항목이 domain.com가 아닌 www.domain.com 로 사이트를 참조 하도록 하는 것입니다. 코드를 수정할 수 없는 경우이 문제를 해결 하는 유일한 다른 옵션은 AD 도메인의 이름을 변경 하는 것입니다. 이는 환경의 규모와 복잡도에 따라 복잡 한 작업 일 수 있습니다.