Active Directory에서 Split-Brain DNS에 DNS 정책 사용

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 항목을 사용하여 Windows Server 2016에서 Active Directory 통합 DNS 영역을 사용하여 분할 브레인 배포를 위한 DNS 정책의 트래픽 관리 기능을 활용할 수 있습니다.

Windows Server 2016에서 DNS 정책 지원은 Active Directory 통합 DNS 영역으로 확장됩니다. Active Directory 통합은 DNS 서버에 다중 마스터 고가용성 기능을 제공합니다.

이전에이 시나리오는 DNS 관리자가 서로 다른 두 DNS 서버, 내부 및 외부 사용자가 각 집합에 각 제공 서비스를 유지 하는 데 필요 합니다. 만 해당 영역 내부에 몇 가지 레코드가 된 분할 brained 또는 영역 (내부 및 외부)의 두 인스턴스에서 모두 동일한 부모 도메인에 게 위임 된 관리 수수께끼 알게 되었습니다.

참고 항목

  • DNS 배포는 단일 영역의 두 가지 버전, 조직 인트라넷의 내부 사용자용 버전 하나, 외부 사용자용 버전 1개(일반적으로 인터넷 사용자)가 있는 경우 분할 브레인입니다.
  • Split-Brain DNS 배포에 DNS 정책 사용 항목에서는 DNS 정책 및 영역 범위를 사용하여 단일 Windows Server 2016 DNS 서버에 분할 브레인 DNS 시스템을 배포하는 방법을 설명합니다.

Active Directory의 Split-Brain DNS 예제

이 예제에서는 www.career.contoso.com 경력 웹 사이트를 기본 하나의 가상 회사 Contoso를 사용합니다.

사이트는 내부 작업 게시물을 사용할 수 있는 내부 사용자에 대 한 두 가지 버전이 있습니다. 이 내부 사이트 10.0.0.39 로컬 IP 주소에 제공 됩니다.

두 번째 버전이 65.55.39.10 공용 IP 주소에서 제공 되는 동일한 사이트의 공개 버전을 보여 줍니다.

DNS 정책이 없는 경우 관리자는 별도 Windows Server DNS 서버에 이러한 두 가지 영역을 호스트 하 고 개별적으로 관리 하는 데 필요 합니다.

DNS 정책을 사용 하 여 이러한 영역을 동일한 DNS 서버에서 호스팅될 이제 수 있습니다.

contoso.com 위한 DNS 서버가 Active Directory 통합되어 있고 두 네트워크 인터페이스에서 수신 대기하는 경우 Contoso DNS 관리istrator는 이 항목의 단계에 따라 분할 브레인 배포를 수행할 수 있습니다.

DNS 관리istrator는 다음 IP 주소를 사용하여 DNS 서버 인터페이스를 구성합니다.

  • 인터넷 연결 네트워크 어댑터는 외부 쿼리에 대해 공용 IP 주소 208.84.0.53으로 구성됩니다.
  • 인트라넷 연결 네트워크 어댑터는 내부 쿼리에 대해 10.0.0.56의 개인 IP 주소로 구성됩니다.

다음 그림에서는이 시나리오를 보여 줍니다.

Split-Brain AD integrated DNS Deployment

Active Directory의 Split-Brain DNS에 대한 DNS 정책 작동 방식

DNS 서버를 구성 하 여 필요한 DNS 정책을 사용 하 여, 각 이름 확인 요청 DNS 서버에서 정책에 따라 평가 됩니다.

서버 인터페이스는 내부와 외부 클라이언트를 구분할 수 조건으로이 예제에서 사용 됩니다.

쿼리가 수신 되 고 있는 서버 인터페이스는 정책 중 하 나와 일치 하는 경우 관련된 영역 범위 쿼리에 응답 하도록 사용 됩니다.

따라서 이 예제에서 개인 IP(10.0.0.56)에서 수신된 www.career.contoso.com 대한 DNS 쿼리는 내부 IP 주소를 포함하는 DNS 응답을 수신하고 공용 네트워크 인터페이스에서 수신되는 DNS 쿼리는 기본 영역 범위의 공용 IP 주소를 포함하는 DNS 응답을 받습니다(일반 쿼리 확인과 동일함).

DDNS(동적 DNS) 업데이트 및 청소에 대한 지원은 기본 영역 범위에서만 지원됩니다. 내부 클라이언트는 기본 영역 범위에서 서비스되므로 Contoso DNS 관리istrators는 기존 메커니즘(동적 DNS 또는 정적)을 계속 사용하여 contoso.com 레코드를 업데이트할 수 있습니다. 기본이 아닌 영역 범위(예: 이 예제의 외부 범위)의 경우 DDNS 또는 청소 지원을 사용할 수 없습니다.

정책의 고가용성

DNS 정책은 Active Directory 통합되지 않습니다. 이 때문에 DNS 정책은 동일한 Active Directory 통합 영역을 호스팅하는 다른 DNS 서버에 복제본(replica) 없습니다.

DNS 정책은 로컬 DNS 서버에 저장됩니다. 다음 예제 Windows PowerShell 명령을 사용하여 한 서버에서 다른 서버로 DNS 정책을 쉽게 내보낼 수 있습니다.

$policies = Get-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server01
$policies |  Add-DnsServerQueryResolutionPolicy -ZoneName "contoso.com" -ComputerName Server02

자세한 내용은 다음 Windows PowerShell 참조 항목을 참조하세요.

Active Directory에서 Split-Brain DNS에 대한 DNS 정책을 구성하는 방법

DNS 정책을 사용하여 DNS Split-Brain 배포를 구성하려면 자세한 구성 지침을 제공하는 다음 섹션을 사용해야 합니다.

Active Directory 통합 영역 추가

다음 예제 명령을 사용하여 Active Directory 통합 contoso.com 영역을 DNS 서버에 추가할 수 있습니다.

Add-DnsServerPrimaryZone -Name "contoso.com" -ReplicationScope "Domain" -PassThru

자세한 내용은 Add-DnsServerPrimaryZone을 참조 하세요.

영역의 범위를 만듭니다

이 섹션을 사용하여 영역 contoso.com 분할하여 외부 영역 범위를 만들 수 있습니다.

영역 범위는 영역의 고유 인스턴스입니다. DNS 영역은 자체 DNS 레코드 집합이 포함 된 각 영역 범위를 갖는 여러 영역 범위를 가질 수 있습니다. 동일한 레코드는 동일한 IP 주소 또는 IP 주소가 다른 여러 범위에 있을 수 있습니다.

Active Directory 통합 영역에 이 새 영역 범위를 추가하기 때문에 영역 범위와 해당 영역 내의 레코드는 복제본(replica)API를 통해 할 일의 다른 복제본(replica) 서버에 연결됩니다기본.

기본적으로 영역 범위는 모든 DNS 영역에 존재합니다. 영역을 같은 이름의이 영역 범위 및 레거시 DNS 작업은이 범위에서 작동 합니다. 이 기본 영역 범위는 내부 버전의 www.career.contoso.com 호스트합니다.

다음 예제 명령을 사용하여 DNS 서버에서 영역 범위를 만들 수 있습니다.

Add-DnsServerZoneScope -ZoneName "contoso.com" -Name "external"

자세한 내용은 참조 추가 DnsServerZoneScope합니다.

영역 범위에 레코드를 추가 합니다.

다음 단계는 웹 서버 호스트를 나타내는 레코드를 외부 및 기본값(내부 클라이언트의 경우)의 두 영역 범위에 추가하는 것입니다.

기본 내부 영역 범위에서 레코드 www.career.contoso.com 개인 IP 주소인 IP 주소 10.0.0.39와 함께 추가되고 외부 영역 범위에서 공용 IP 주소 65.55.39.10과 동일한 레코드(www.career.contoso.com)가 추가됩니다.

레코드(기본 내부 영역 범위와 외부 영역 범위 모두)는 해당 영역 범위와 함께 자동으로 복제본(replica)기본.

다음 예제 명령을 사용하여 DNS 서버의 영역 범위에 레코드를 추가할 수 있습니다.

Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "65.55.39.10" -ZoneScope "external"
Add-DnsServerResourceRecord -ZoneName "contoso.com" -A -Name "www.career" -IPv4Address "10.0.0.39”

참고 항목

레코드가 기본 영역 범위에 추가되면 –ZoneScope 매개 변수가 포함되지 않습니다. 이 작업은 일반 영역에 레코드를 추가하는 것과 같습니다.

자세한 내용은 참조 추가 DnsServerResourceRecord합니다.

DNS 정책 만들기

외부 네트워크와 내부 네트워크에 대 한 서버 인터페이스를 파악 한 후 영역 범위가 만든 내부 및 외부 영역 범위를 연결 하는 DNS 정책을 만들어야 합니다.

참고 항목

이 예제에서는 서버 인터페이스(아래 예제 명령의 -ServerInterface 매개 변수)를 내부 클라이언트와 외부 클라이언트를 구분하는 조건으로 사용합니다. 외부 및 내부 클라이언트 간에 구분 하기 위해 다른 방법은 클라이언트 서브넷을 기준으로 사용 하 여입니다. 내부 클라이언트 속한 서브넷을 찾아 DNS 클라이언트 서브넷에 따라 구분 하는 정책을 구성할 수 있습니다. 클라이언트 서브넷 조건을 사용 하 여 트래픽 관리를 구성 하는 방법에 대 한 자세한 내용은 참조 주 서버와 지리적 위치 기반 트래픽 관리에 대 한 DNS 정책을 사용 하 여합니다.

정책을 구성한 후 공용 인터페이스에서 DNS 쿼리를 받으면 영역의 외부 범위에서 응답이 반환됩니다.

참고 항목

기본 내부 영역 범위를 매핑하는 데 정책이 필요하지 않습니다.

Add-DnsServerQueryResolutionPolicy -Name "SplitBrainZonePolicy" -Action ALLOW -ServerInterface "eq,208.84.0.53" -ZoneScope "external,1" -ZoneName contoso.com

참고 항목

208.84.0.53은 공용 네트워크 인터페이스의 IP 주소입니다.

자세한 내용은 참조 추가 DnsServerQueryResolutionPolicy합니다.

이제 DNS 서버는 Active Directory 통합 DNS 영역이 있는 분할 브레인 이름 서버에 필요한 DNS 정책으로 구성됩니다.

관리 요구 사항을 트래픽이 따라 DNS 정책의 수천을 만들 수 있습니다 하 고 들어오는 쿼리-DNS 서버를 다시 시작 하지 않고 모든 새 정책-동적으로 적용 됩니다.