네트워크 기초 실습 14주차 정리 - 3교시

NOS 2 - 윈도우 서버 2 : 서버 프로그램 (DNS)

DNS 서버

윈도우 DNS 서버

 윈도우 서버는 DNS 서버를 제공
• DDNS(Dynamic Domain Name Service)도 포함

 주요 기능
• 호스트 이름(도메인 명)과 IP주소에 대한 정방향/역방향 제공
– 정방향: Forward Lookup Zones
– 역방향: Reverse Lookup Zones
• TCP, UDP의 53번 포트번호 사용

 

# DNS Cache

• DNS 서버의 부하를 줄이기 위해 DNS 서버를 분산 배치
• 최근 자주 참조하는 도메인 명과 IP주소를 메모리에 유지
• 동일한 요청이 오면 메모리상의 정보를 우선적으로 서비스  DNS Cache
• DNS Cache는 사용자 PC와 DNS 서버에 존재

주 영역 DNS와 보조 영역 DNS

 DNS 이중화 개념
 DNS 서버의 장애 시 원활한 서비스 유지를 위한 보조 영역 DNS를 운영

 주 영역 DNS
• DNS 서버로서 도메인을 해석하고 DNS 서버에 영역(Zone)을 등록
• 등록된 영역 정보는 Zone Transfer를 통해서 보조 영역 DNS에 전송

 보조 영역 DNS
• 주 영역 DNS 서버 장애 시에 DNS 서버의 역할을 수행
• 주 영역 DNS에서 Zone Transfer를 통해 영역 정보를 수신 받음

 

# Zone

• DNS에서 도메인 주소를 관리하는 기본 단위
• Zone Transfer : 영역 정보를 전송 통째로 전송

 

실험 환경 구축

 질의 서버(DNS Server)를 로컬 컴퓨터로 설정

zone 설정

 DNS 레코드 종류(대표적)

• A : 정규화 된 도메인 이름을 32비트 IPv4 주소와 연결 (정방향 조회용)
• AAAA : 도메인 이름을 32비트 IPv6 주소와 연결 (정방향 조회용)
• PTR (PoinTeR) : IP주소를 도메인 이름과 연결 (역방향 조회용)
• NS (Name Server) : DNS 서버를 나타냄
• MX (Mail eXchanger) : 도메인 이름으로 보낸 메일을 받도록 구성되는 호스트 목록을 지정
• CNAME (Canonical Name) :
– 이미 지정된 이름에 대한 별칭
– 윈도우 서버에서는 앨리어스(Alias)라고도 함

AD

디렉터리 서비스

정의

 분산 처리 환경에서 개개의 컴퓨터(서버)에 어떤 응용 프로그램(자원: resource) 이 있는지를 관리
 응용 프로그램을 모두 서비스명으로 관리
• 네임 서비스(name service)라고도 함
• 중앙의 저장소에서 통합/관리

 사용자는 중앙의 저장소를 통해 원하는 자원에 접근
 자원의 물리적인 위치를 의식할 필요가 없음

엑티브 디렉터리

개요

 디렉터리 서비스를 MS에서 구현
 MS 윈도우 시스템으로 구성된 자원(resource)들을 효율적으로 관리하기 위해 Windows Server에서 구현
 여러 자원을 중앙의 관리자가 통합/관리
• 동일 조직내 구성원(직원)들이 각자 자신의 업무용 PC에 별도의 데이터를 보관할 필요가 없음
• 다른 PC에서도 자신의 계정으로 로그인만 하면 자신의 데이터에 접근이 가능
• 어떤 컴퓨터에서 접속하든지 자신이 사용하던 폴더가 그대로 보이도록 하는 정책 

:폴더 리디렉션(Folder Redirection)

 AD : Active Directory

 중앙에서 통합적으로 관리하기 위해서 네트워크 정보를 등록
 자원(네트워크, 사용자, 그룹에 대한 정보 등)를 통합적으로 관리
 일반 데스크톱PC에서 컴퓨터 소속 그룹을 도메인으로 설정
• 기업 내에 모든 컴퓨터 및 사용자 계층을 도메인 컨트롤러(Domain Controller)에 의해 집중적으로 관리
• 도메인 컨트롤러: 전체 컴퓨터의 디렉터리 데이터베이스(Directory Database)를 가짐
• 디렉터리 데이터베이스(또는 디렉터리 서비스)는 네트워크 내 자원을 관
리하기 위한 기능을 모두 포함

주요 기능

 사용자 계정 관리를 중앙에서 통합적으로 관리
 사용자에 대한 일관된 보안 정책을 적용
 사용자 데스크톱 환경에 대해서 보안 설정을 관리
 공유자원에 대한 접근 권한 할당이 가능
 응용 프로그램에 대해서 디렉터리 서비스 제공

# LDAP
• Lightweight Directory Access Protocol
• TCP/IP를 기반으로 디렉터리 데이터베이스에 접속하기 위한 통신규약
• 디렉터리 정보의 등록, 갱신, 검색, 삭제를 실행하며 네트워크를 사용해서 사용자 정보를 검색

 

구조

 네트워크 상의 모든 정보를 계층형 디렉터리에 저장하고 관리
 네트워크 자원(Resource)을 디렉터리에 저장
 사용자들이 자원을 쉽게 검색
 관리자는 관리의 편의성을 향상
 정보 검색은 이름 공간(Name Space)에서 검색
 객체(Object)는 액티브 디렉터리에서 자원의 최소 단위
 객체 포함 사항:
• 컴퓨터, 메일 주소, 권한용 그룹, 조직단위, 로그인 계정, 공유 폴더 등

 글로벌 카탈로그(GC : Global Catalog)
• 트러스트내 도메인들에 포함된 개체에 대한 정보를 수집하여 저장하는 통합 저장
• 모든 객체들의 간략 정보와 일반적인 속성 데이터를 갖고 있음
• 글로벌 카탈로그 데이터는 도메인 컨트롤러 사이에 복제(Replication)가 일어날 때마다 갱신

 

# 트러스트(Trust)
• 도메인 또는 포레스트 간 사용자의 공유 리소스 접근을 위한 인증 및 권한 부여
• 다른 도메인의 리소스를 사용할 수 있는 권한을 부여
• 서로 다른 도메인의 클라이언트와 서버 간에 인증 및 권한 부여 가능
-> 두 도메인 간에 설정

논리적인 구조

물리적인 구조

AD 서비스 종류

 AD 인증서 서비스(CS)
• 공개 키 및 인증서 관리

 AD 도메인 서비스(DS)
• 디렉터리 데이터를 저장
• 사용자와 도메인 간 통신 관리
– 사용자 로그온 프로세스 인증 및 디렉터리 검색 포함

 AD Federation 서비스(FS)
• 도메인 연합
• 웹 기반 단일 로그인 관리

 AD Lightweight Directory Services(LDS)
• LDAP라고 하는 디렉토리 방식 구현

 AD Rights Management 서비스(RMS)
• AD 정보보호 및 권한 관리

관련 명령어들

 gpresult : 대상 사용자 및 컴퓨터에 대한 “정책 결과 집합”을 표시
 gpupdate : 감사 정책 갱신 및 적용
 dsadd : 디렉터리에 객체를 추가
 dsmod : 디렉터리내 객체의 속성을 변경
 dsrm : 디렉터리내 객체를 삭제