メイン コンテンツに進む
  • すばやく簡単に注文します
  • 注文を表示して配送状況を追跡します
  • 製品リストの作成とアクセス
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。

Active Directory 도메인의 DNS 구성에 대한 모범 사례

概要: Active Director에서 DNS를 구성하기 위한 최상의 권장 사항

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容


現象

문서 요약: 이 문서에서는 Active Directory 도메인에서 DNS 구성을 위한 최상의 권장 사항을 제공합니다.


 

Active Directory가 의도대로 작동하려면 DNS가 적절하게 구성되어야 합니다. DNS를 잘못 구성하면 로그인 실패, 그룹 정책 처리 문제 및 복제 문제를 비롯한 다양한 문제가 발생할 수 있습니다. 다음 모범 사례 목록은 모든 것을 포함하는 것은 아니지만 Active Directory 도메인 내에서 올바른 이름 확인이 가능하도록 지원합니다.

  • 소규모 환경에서는 하나 이상의 도메인 컨트롤러(DC)가 DNS 서버여야 합니다. Windows 서버가 아닌 서버를 포함하여 DC가 아닌 서버에 DNS를 설치할 수 있지만 DC에 DNS를 설치하면 AD 통합 조회 영역(아래 참조)을 사용할 수 있으므로 보안이 향상되고 구역 복제가 간소화됩니다.
     
  • 대규모 환경에서는 실제 사이트에서 최소 2개의 도메인 컨트롤러가 DNS 서버여야 합니다. 이렇게 하면 DC가 예기치 않게 오프라인 상태가 될 경우 중복 기능을 제공합니다. 이 기능을 사용하려면 도메인에 가입된 시스템을 다중 DNS 서버를 사용하도록 구성해야 합니다.

     
  • 여러 개의 DC가 DNS 서버로 구성된 경우, 먼저 각 DC를 서로 문제 해결에 사용하고 두 번째는 자체를 문제 해결에 사용하도록 구성해야 합니다. 각 DC의 DNS 서버 목록에는 자체 주소가 포함되어야 하지만 목록의 첫 번째 서버로는 포함되지 않습니다. 한 개의 DC를 문제 해결용으로만 사용하는 경우 다른 DC와의 복제가 중단될 수 있습니다. 이것은 한 개의 DC만 있는 도메인의 문제가 아닙니다.

     
  • 모든 도메인에 가입된 컴퓨터는 내부 DNS 서버만 사용해야 합니다. 도메인에 가입된 컴퓨터가 외부 서버를 대체 DNS 서버로 사용하도록 구성되어 있는 경우, 내부 DNS 서버에 대한 연결이 일시적으로 중단되면 이 시스템이 외부 서버를 사용하여 해결을 시작합니다. 외부 서버가 AD 도메인 내의 쿼리를 확인할 수 없고 연결이 복원될 때 클라이언트 시스템이 내부 DNS 서버로 자동으로 복구되지 않습니다. 이는 일반적으로 영향을 받는 시스템에서 도메인의 리소스에 액세스할 수 없는 것으로 나타납니다. SOHO(small-office/home-office) 라우터를 사용하여 클라이언트 시스템에 DHCP 주소를 할당할 때 수동으로 구성하지 않은 경우 외부 DNS 서버를 해당 클라이언트에 할당할 수 있습니다.

     
  • 다중 사이트 환경에서는 다른 사이트의 DNS 서버보다 먼저 로컬 사이트의 DNS 서버를 사용하도록 도메인 구성원을 구성해야 합니다. 이렇게 하면 느린 WAN 링크를 통과하는 DNS 트래픽 양이 최소화됩니다.

     
  • Active Directory 통합 DNS 영역을 사용하여 보안을 강화하고 DNS 복제를 간소화합니다. AD 통합 DNS 영역은 Active Directory 내의 디렉터리 파티션에 저장됩니다. 이러한 디렉터리 파티션은 나머지 AD와 함께 복제되므로 DNS 복제에 대한 추가 구성(예: 영역 전송 설정)이 필요하지 않습니다. 또한 AD 통합 영역을 통해 보안 동적 업데이트를 사용할 수 있습니다. 이렇게 하면 도메인에서 인증할 수 없는 시스템에서 DNS 레코드를 업데이트할 수 없습니다.

     
  • 합당한 이유가 없는 경우 DNS 영역은 보안 동적 업데이트만 허용해야 합니다. 비보안 동적 업데이트를 허용하면 도메인의 일부가 아닌 시스템에서 도메인의 DNS 서버 레코드를 수정할 수 있게 되며, 이는 보안상 위험합니다. 반면, 동적 업데이트를 완전히 비활성화하면 DNS 레코드를 보호하지만 도메인 관리가 더욱 어려워집니다.

     
  • 인터넷에 연결된 환경에서 외부 이름 확인을 위한 전달자 또는 루트 힌트를 구성합니다. 전달자는 외부 쿼리에 대한 보다 빠른 응답을 제공할 수 있지만, 이 쓰기 작업으로 존재하며 널리 배포된 374개의 루트 DNS 서버보다 덜 중복됩니다. 루트 힌트는 Windows Server에 기본적으로 존재하지만 전달자는 수동으로 구성해야 합니다. 

     
  • 도메인 내의 DNS 서버는 서로를 전달자로 사용해서는 안 됩니다. 전달자는 DNS 서버가 응답할 수 없는 쿼리(예: 호스트하지 않는 영역의 레코드 쿼리)를 보낼 서버입니다. 도메인 내의 DNS 서버는 일반적으로 모두 동일한 영역을 호스트하므로, 도메인 내 DNS 서버 중 하나가 지정된 쿼리에 응답할 수 없는 경우 모든 DNS 서버가 응답할 수 없으며, 해당 쿼리를 한 서버에서 다른 서버로 전달하면 지연이 발생합니다.

     
  • 오래된 DNS 레코드를 방지하기 위해 에이징 및 청소를 구성합니다. 에이징 및 청소를 적절히 구성하면 오래된 레코드(특정 시기보다 오래되었으며 구성 가능)가 DNS에서 자동으로 제거됩니다. 

     
  • DNS Best Practice Analyzer를 사용합니다. DNS BPA는 여기에 문서화되어 있는 것보다 더 많은 항목을 확인하고 발견된 문제를 해결하기 위한 지침을 제공합니다.  DNS BPA에 대한 자세한 내용은 도메인 이름 시스템용 Best Practices Analyzer를 참조하십시오.
 

 

SLN155801_ko__1icon 참고: DNS Best Practice에 대한 자세한 내용은 운영 체제 버전에 따라 Microsoft 공식 설명서를 참조하십시오.

 


文書のプロパティ


影響を受ける製品

Servers

最後に公開された日付

21 2 2021

バージョン

3

文書の種類

Solution