DNS for ISA


이 글은 isaserver.org에서 나온 글을 번역하여 정리한 것입니다. DNS는 Windows 2000에서부터 주목받기 시작했으며, 인터넷의 발달에 힘입어 가장 많이 사용하는 그리고 가장 많은 문제점을 가지고 있는 프로토콜이기도 합니다.

이 글에서는 ISA Server를 구현하고자 하는 네트워크 상에서 사용가능한 DNS의 종류와 사설 공인 DNS의 구현 등 다양한 정보를 제공하고자 합니다.

목차:


  1. 서문 및 용어 정리
  2. Windows 2000의 이름풀이
  3. 고정 IP
  4. DHCP
  5. ISA DNS Proxy
  6. DNS 구현시 고려사항
  7. 외부 공인 DNS
  8. ISA용 DNS
  9. Split DNS
  10. 내부 독립 DNS
  11. 다중 내부 DNS



서문


MS사는 구시대의 유물인 NetBEUI 프로토콜과 NBT(NetBIOS over TCP/IP)를 퇴출시키기 위해 많은 노력을 기울여 왔다. 실제로 몇몇 성과가 나타났다. Win9x, WinME와 같은 구형 OS는 물론 NT까지도 매일 업무를 수행하는데 있어 NetBIOS를 사용하고 있다. 하지만,이러한 운영체제는 동작하기 위한 네트워크가 필요하므로 네트워크를 NetBIOS/WINS 기반에서 DNS 기반의 이름풀이로 업그레이드하는 방법이 있어야 한다. 하위 호환성을 위해 NetBIOS/WINS 이름풀이는 Windows 2000에서도 여전히 지원한다. 



용어 정리


DNS - Domain Name Services, 컴퓨터에서 동작하는 서비스로 이름 풀이 쿼리에 응답할 수 있다. 응답은 그 서버에 얼마나 많은 설정이 구성되어 있느냐에 달려 있다.
DDNS - Dynamic(동적) DNS, RFC 2136에 기술된 DNS의 새로운 기능. 클라이언트가 DNS 영역에 자신의 레코드를 업데이트할 수 있게 해준다. DDNS 패킷에 대한 자세한 정보는 Q186346을 참고한다.
Forwarder - 전달자, 알 수 없는 이름의 이름풀이를 다른 DNS 서버로 전달(forward)하는 DNS 서버. 기본적으로 전달하는 서버는 업스트립(upstream) DNS 서버에 대해 DNS 클라이언트로 동작하게 된다.
FQDN - Fully Qualified Domain Name, 이름과 관련된 도메인 구조에 의해 논리적인 연결를 알려주는 컴퓨터 이름. 예를 들면, www.microsoft.com 은 “www"는 호스트이름, ”microsoft"는 도메인, “com"은 상위 도메인이다. 이들 이름들은 서로 "."으로 구분되고 보통 ”dotted decimal"이라고 한다.
NetBEUI - NetBIOS Extended User Interface, Windows NT3과 W3x에서 소개된 프로토콜로 TCP/IP와는 달리 단일 서브넷 밖에서는 사용할 수 없는 라우팅이되지 않는(non-routable) 프로토콜.
NetBIOS - Network Basic Input Output System, NetBEUI 프로토콜의 핵심.
Record - 호스트, 메일 서버 또는 다른 영역과 같은 단일 요소를 표현하는 DNS 영역내의 엔트리.
Secondary protocol -  ISA 서버를 통한 초기(주:primary) 연결이 아닌 연결을 사용하는 애플리케이션이 사용하는 프로토콜으로 ISA 서버를 통한 초기(주:primary) 연결이외의 연결을 사용한다.
TTL(Time To Live) - 요청자의 이름케쉬에서 개싱되지 전에 얼마나 오랬동안 보관할지를 나타내는 시간
WINS - Windows Internet Name Services, DNS와 비슷한 이름 풀이 서비스로 NetBIOS(unqualified)이름만을 처리한다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요


    • Windows 2000 설치하기
    • DNS 서버 및 DNS 영역 정보 구성하기
    • DNS 서버 정방향 및 역방향 조회 영역 구성하기
    • 시스템을 DC로 수준올리기(Promotion)
    • DNS 전달자 구성하기
    • DNS 서버 테스트하기
    • ISA 서버 설치하기
    타임 서버 세팅하기


    7. ISA 서버 설치하기

    실제 DC 상에 ISA 서버를 설치할 때 특별히 필요한 과정은 없다. 그냥 한번 더 확인삼아 정리해 보자.

    1) ISA Server CD를 CD-ROM 드라이브에 넣으면 자동 실행 대화상자가 나타난다. Install ISA Server 버튼을 클릭한다.

    2) Welcome 페이지에서 Continue를 클릭한다.

    3) CD Key 페이지에서 CD Key를 입력하고 OK를 클릭한다. Product ID 페이지에서 OK를 클릭한다.

    4) License agreement 페이지에서 I Agree를 클릭한다.

    5) Setup 페이지에서 Full Installation을 클릭한다.

    6) 액티브 디렉터리의 스키마를 변경하지 않았으로 아직 어레이(array)에 참여할 수 없다. 만약 SBS를 운영한다면 아마 단일 서버를 모두 설치할 것이므로 이는 그리 문제가 되지 않는다. 여기서는 단독실행형(Stand-alone) 서버로 설치할 것이다. 스키마 변경사항을 찾을 수 없다는 대화상자에서 Yes를 클릭한다.

    7) Mode 페이지에서 Integrated mode 옵션을 선택하고 Continue를 클릭한다.

    8) IIS 서비스가 중지되고 80 포트가 사용된다는 정보를 알리는 대화상자에서 OK를 클릭한다.

    9) Cache size 페이지에서 캐시의 크기를 정한 후에 Set 버튼을 클릭하고 OK를 클릭한다.

    10) LAT configuration 페이지에서 Construct Table 버튼을 클릭한다.

    사용자 삽입 이미지

    11) Local Address Table 대화상자에 있는 옵션을 선택한다. NIC 선택 부분에서 DC/ISA 서버의 내부 인터페이스를 선택하고 OK를 클릭한다. 그리고 나면 LAT이 구성되었음을 알려주는 대화상자에서 다시 OK를 누른다. 그리고, OK를 누른다.

    12) 설치가 진행된다. 완료되었을 때, ISA Management 콘송을 열기 위해 OK를 클릭한다. OK를 눌러 설치를 마친다.

    13) 이제 설치는 모두 끝났다. ISA Management 콘솔에서 Servers and Arrays 노드를 오른클릭한다. View를 클릭하고  Advanced를 클릭한다.

    참고 : 패킷 필터링은 기본적으로 활성화되어 있다. DNS 패킷 필터도 이미 구성되어 있어 DNS 쿼리에 대한 문제를 걱정할 필요는 없다. DNS 쿼리가 제대로 동작하는지 다시 한번 확인한다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요


      • Windows 2000 설치하기
      • DNS 서버 및 DNS 영역 정보 구성하기
      • DNS 서버 정방향 및 역방향 조회 영역 구성하기
      • 시스템을 DC로 수준올리기(Promotion)
      • DNS 전달자 구성하기
      • DNS 서버 테스트하기
      • ISA 서버 설치하기
      타임 서버 세팅하기

      6. DNS 서버 테스트하기

      이번 단계는 이 전에 구성한 DNS 서버가 제대로 동작하는 지 확인하는 작업이다. 즉, 로컬 및 원격 도메인이름을 제대로 풀이할 수 있는지 확인하는 작업이다.

      1) DNS 콘솔에서 서버이름을 마우스 오른쪽 버튼을 클릭하고 등록정보를 클릭한다.

      2) 서버 등록정보 대화상자에서 Monitoring 탭을 클릭한다.


      사용자 삽입 이미지

      3) Monitoring 탭에서 A simple query against this DNS server 체크박스에 체크한다. 그리고 Test Now 버튼을 클릭한다. 그러면, Simple Query 컴럼에 PASS 엔트리가 나타나는 것을 볼 수 있다.

      4) A simple query against this DNS server 체크박스를 해제하고 A recursive query to other DNS server 체크박스를 체크한다. 그리고 Test Now 버튼을 클릭한다. Recursive Query 컬럼에서 PASS 엔트리를 볼 수 있다.

      이제 여기까지가 DNS 및 액티브 디렉터리의 설치가 모두 끝난 것이다. 이제 ISA 서버를 설치한다.

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요


        • Windows 2000 설치하기
        • DNS 서버 및 DNS 영역 정보 구성하기
        • DNS 서버 정방향 및 역방향 조회 영역 구성하기
        • 시스템을 DC로 수준올리기(Promotion)
        • DNS 전달자 구성하기
        • DNS 서버 테스트하기
        • ISA 서버 설치하기
        타임 서버 세팅하기

        5. DNS 전달자 구성하기

        여러분의 서버가 권한을 가지지 않는 도메인에 대한 이름풀이를 제공하기 위해 전달자(forwarder) 사용을 고려해야할 시점이다. 실제로 이것은 여러분의 도메인 이외의 모든 다른 도메인을 포함한다. DNS  콘솔에서 다음의 과정을 수행한다.

        1) 서버 이름을 마우스 오른쪽 버튼으로 클릭하고 등록정보를 클릭한다.

        2) 서버 등록정보 대화상자에서 Forwarder 탭을 클릭한다.

        3) Forwarder 탭에서 Enable forwarders 옵션을 선택한다. 그리고 ISP의 DNS 서버 주소를 입력하고 Add버튼을 클릭한다. Do not use recursion 체크박스에 체크상태를 유지한다. 이는 성능을 향상시켜줄 것이다.

        4) 서버이름을 마우스 오른쪽 버튼을 클릭하고 All Tasks를 선택하고 Restart 명령어를 클릭한다. DNS 서버 서비스가 재시작될 것이다.

        참고: AD 구성시에 DNS가 공인 DNS 역할까지 수행하는 경우에는 반드시 전달자 설정을 해줘야만 이름풀이가 가능해 진다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          댓글을 달아 주세요


          • Windows 2000 설치하기
          • DNS 서버 및 DNS 영역 정보 구성하기
          • DNS 서버 정방향 및 역방향 조회 영역 구성하기
          • 시스템을 DC로 수준올리기(Promotion)
          • DNS 전달자 구성하기
          • DNS 서버 테스트하기
          • ISA 서버 설치하기
          타임 서버 세팅하기

          4. 시스템을  DC로 수준올리기(Promotion)


          1. 시작을 클릭하고 실행을 클릭한다.

          2. 실행 대화상자에서 dcpromo라고 입력하고 확인 버튼을 클릭한다.

          3. Welcom 페이지에서 Next를 클릭한다.

          4. Domain Controller for a new domain을 선택하고 Next를 클릭한다.

          5. Create a new domain tree를 선택하고 Next를 클릭한다.

          6. Create a new forest of domain trees를 선택하고 Next를 클릭한다.

          7. New Domain Name 박스에서 전체 도메인 이름을 입력하고 Next를 클릭한다.
          사용자 삽입 이미지

          8) NetBIOS Domain Name 페이지에서 기본값 그대로 넘어간다. 여러분의 도메인이름이 너무 길다면 NetBIOS 이름이 잘려질 수도 있다. 만약 그렇다면 도메인 이름을 다시 한번 고려해야 할 수도 있다. Next를 클릭한다.
          사용자 삽입 이미지


          9. Database and Log Locations 페이제엇 기본값 상태에서 변경할 사항이 있으면 변경하고 나서 Next를 클릭한다.

          10. Shared System Volume 페이지에서도 마찬가지로 변경하고 Next를 클릭한다.

          11. 마법사가 액티브 디렉터리에 대한 도메인 권한이 없다는 경고 대화상자를 보여준다. 그냥 확인 버튼을 눌러 다음으로 진행한다.

          12.  Configure DNS 페이지에서, No, I will install and configure DNS myself.를 선택한다. 마법사가 직접 DNS를 구성하지 않게 해야 한다. Next를 클릭한다.

          13. 여러분의 환경에 맞는 적절한 권한을 선택하고 Next를 클릭한다.

          14. 디렉터리 서비스 복원 모드에서 사용할 비밀번호를 2번 입력하고 Next를 클릭한다.

          15. 지금까지 구성한 설정들이 올바른지 다시 한번 검토하고 Next를 클릭한다.

          16. 모든 것이 적절히 구성되었다면 잠시후에는 액티브 디렉터리가 구성되어 완료될 것이다. Completing the Active Directory Installation Wizard 페이지에서 Finish를 클릭한다.

          17. Active Directory Installation Wizard 대화상자에서 Restart Now 버튼을 클릭한다.

          18. 서버가 재시작하는 동안에는 DNS에 액티브 디렉터리에 관련된 리소스 레코드를 생성하기 때문에 시간이 조금더 서요된다. 이제 로그온 창에서 도메인으로 로그온하면 모든 작업이 완료된다.

          19. 로그온한 후에 대략 5분 정도 기다린 후에 DNS 콘솔을 연다. 도메인의 정방향 조회영역을 검토하여 새로운 레코드들이 등록되어 있는지 확인한다.




          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            댓글을 달아 주세요


            이 자료는 http://www.isatools.org 에서 가져 왔습니다.

             

            도구 버전 출시일 개발자 설명
            block_bagle.vbs 2.3 07/24/04 Jim Harrison Bagle 바이러스를 차단하는 정책 작성
            block_blaster.vbs 2.3 07/24/04 Jim Harrison Blaster 웜을 차단하는 정책 작성
            block_mydoom.vbs 2.3 07/24/04 Jim Harrison MyDoom 바이러스를 차단하는 정책 작성
            block_sasser.vbs 1.9 07/25/04 Jim Harrison Sasser 웜을 차단하는 정책 작성
            Cas-TS-Spr.vbs 1.0 05/19/02 Jim Harrison 터미널 서비스 게시를 위한 클라이언트 주소 셋과 게시 규칙 작성
            ClrDNS.cmd 1.0 10/31/01 Jim Harrison ISA 2000 DNS 캐시 삭제
            dest.zip 1.0 01/01/06 Sergey V. Gordeychik Squid 블랙리스트를 ISA Server 2000 데스티네이션 셋으로 가져오기
            Fix LinkTranslation 1.0 05/28/03 Jim Harrison Link Translation 14146 Errors 오류 임시 픽스
            Fix_IntraArray.vbs 1.2 01/24/03 Jim Harrison "The ISA Server Intra-Array Address is not in the LAT" 오류 해결 방안
            Forensic log analysis 1.0 07/18/03 Mark Burnett 포렌식 로그 감식을 위해 Log Parser를 사용하는 방법 안내
            GetISA.zip 1.0 05/19/06 Jim Harrison 버전에 맞는 ISA  도구를 작성할 수 있도록 도와주는 스크립트 예제
            HTTP_Test.zip 1.0 10/12/06 Jim Harrison 브라우저를 사용하지 않고 HTTP 트래픽을 테스트하는 도구
            IE_Proxy.vbs 1.0 01/03/02 Jim Harrison IE에서 프록시 설정을 해주는 스크립트
            ISA Ads 2.1 12/17/02 Jim Harrison 광고 차단을위한 데스티네이션 셋 작성 및 관련된 사이트 및 컨텐트 필터 작성(XML 데이터)
            ISA Bandwidth Simulator 2.1 09/23/02 Jamie Pirnie ISA BW 숫자를 실제 비트레이트로 변경해주는 엑셀 도구
            ISA Export/Import tool 1.0.3 05/18/03 Ernie Chen ISA Server 설정사항을 내보내기하여 새로운 서버에 붙여넣기 해주는 도구
            ISA Log Analyzer 1.0.52 05/25/03 Murat Erentürk W3C로그를 평가하기 위해 사용할 수 있는 로그 분석기
            ISA Quota Enforcer 1.0 08/09/03 Memet Anwar 웹프록시 대역폭 쿼타 제한 도구
            ISA Redirects 1.0 06/10/03 Jim Harrison 클라이언트 전환시 제공하는 오류 화면 예제
            ISA Reporting 1.0 08/09/03 Memet Anwar Access© 기반의 보고서 도구
            ISA TPRE 1.0 11/07/04 Steven Soekrasno 표준 웹 프록시 포트 연결을 사용하지 않는 경우 사용할 수 있는 터널 포트 도구
            ISA Tunnel Port tool 1.0 08/19/04 Jim Harrison ISA 표준 웹 프록시 포트 연결을 사용하지 않는 경우 사용할 수 있는 터널 포트 도구
            ISA_IP_Refresh.vbs 1.0 11/25/01 Jim Harrison ISA 서비스 중지 후, DHCP 임대 재시작, ISA 서비스 재시작하는 스크립트
            ISA_Log to HTML 1.0 11/23/03 Ulrich Lennartz 로그를 HTML 포맷으로 변환
            ISAInfo 1.9.8 03/15/05 Jim Harrison 문제 해결을 위해 서버의 중요한 데이터를 수집하는 도구
            ISASecPort 1.0 09/15/02 Carl Calvello 표준 웹 프록시 포트 연결을 사용하지 않는 경우 사용할 수 있는 터널 포트 도구
            Log Changer 1.0 04/04/04 Jim Harrison SQL 로그 기록 실패시 텍스트 포맷으로 로그를 저장하도록 다시 설정하는 스크립트
            ms04-039.js 1.0 11/10/04 Jim Harrison ms04-039 workaround steps for ISA Server 2000 & Proxy 2.0 Server 자동화 스크립트
            MSNIM tool 1.2 06/10/03 Jim Harrison  윈도우 및 MSN 메신저를 지원하도록 설정하는 도구
            PortQuery 2.0 2.2 08/02/04 Microsoft© 네트워크 서비스 검색 및 테스트 도구
            Reporting Tools 1.0 08/09/03 Lars Bentzen 문제를 해결하는데 도움을 주는 세가지 보고 도구
            Reset Server Pub Rules 1.2 11/23/03 Jim Harrison DHCP가 외부 IP를 변경하 ㄹ때 서버 게시 규칙 및 웹 리스너를 업데이트하는 방법
            RRAS_Fix 1.5 12/09/01 Jim Harrison 라우팅 및 원격 액세스 서비스의 시동시 의존성 문제 해결 픽스
            SBS_WPAD 1.0 08/03/06 Jim Harrison SBS 서버에서 WPAD 기능을 사용할 수 있게 해주는 도구
            Service Pack Tool 8.5 09/25/05 Microsoft© 서비스팩 체크 도구
            Session Kill 1.0 01/04/02 Jim Harrison 스케쥴을 적용할 수 있도록 모든 세션을 차단하는 방법
            SQL Logging 1.0 04/12/04 Joseph Kravis ISA 텍스트 로그를 SQL DB로 복사하는 스크립트 모음
            SQL Logging 1.0 03/05/02 Joseph Kravis ISA 로그와 IIS 웹로그를 SQL DB에 넣는 SQL/VBS 스크립트
            StartStop.vbs 1.0 09/07/01 Jim Harrison 서비스 중지 및 재시작 스크립트
            t_spr.vbs 1.0 09/05/01 Jim Harrison 서버 게시 규칙을 위해 내부 IP를 사용하도록 토글
            testautoconfig.vbs 1.0 02/10/03 Jim Harrison wpad 구성 테스트 도구
            TrafficQuota 2.1 06/13/06 DigiRain Technologies 트래픽 쿼터 제어
            updatepf 1.0 01/11/03 Jim Harrison 패킷 필터에서 서버이름과 IP주소가 나타나도록 하는 업데이트
            UpdateReports 1.1 07/06/03 Dimiter Vassilev 보고서에 IP로 나오는 것을 호스트이름으로 나오도록 하는 업데이트
            W3c2isa.pl 1.0 08/10/02 Shawn Quillman W3C로 포맷된 로그를 ISA 포맷으로 변환하는 펄 스크립트
            Winsock Tool 1.1.0.14 06/20/03 Jim Harrison ISA를 통해 나가는 트래픽 경로를 테스트하는 도구

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              댓글을 달아 주세요


              • Windows 2000 설치하기
              • DNS 서버 및 DNS 영역 정보 구성하기
              • DNS 서버 정방향 및 역방향 조회 영역 구성하기
              • 시스템을 DC로 수준올리기(Promotion)
              • DNS 전달자 구성하기
              • DNS 서버 테스트하기
              • ISA 서버 설치하기
              타임 서버 세팅하기



              3. DNS 서버 및 DNS 영역 정보 구성하기이제 DNS 서버 및 영역 등록정보를 구성해 보자.

              1) 여러분의 DNS 서버이름을 오른클릭하고 Properties를 클릭한다.

              2) 서버 Properties 대화상자에서 Interfaces 탭을 클릭한다. Only the following IP Addresses 옵션을 클릭한다. 그리고 DC/ISA 서버 컴퓨터의 외부 IP 주소를 클릭하고 Remove 버튼을 클릭한다. Apply를 클릭한다.

              3) Root Hints 탭을 클릭하여 Root Hints 파일이 있는지 확인한다.

              4) 지금은 전달자(forwarder)에 대해 다루지 않을 것이다. DNS 서버가 재귀(recursion) 쿼리하도록 할 것이다. Ok를 클릭한다.

              5) 방금전에 생성한 영역을 오른클릭하고 Properties를 클릭한다.

              6) General 탭을 클릭하고 Allow Dynamic Updates 설정을 Yes로 변경한다. OK를 클릭한다.

              7) WINS 탭에서 Use WINS forward lookup을 선택한다. DC/ISA 서버 컴퓨터의 내부 인터페이스의 주소를 입력하고 Add를 클릭한다.

              8) Zone Transfer 탭을 클릭하고 Only to servers listed on the Name Servers 탭 옵션을 선택한다.

              9) Name Servers 탭을 클릭한다. IP 주소가 unknown으로 되어 있으면, 여러분의 컴퓨터 이름을 선택하고 Edit 버튼을 클릭한다. Edit Record 대화상자에서 Browse버튼을 클릭한다. 여러분의 컴퓨터 이름을 더블클릭하고 Forward Lookup Zones를 더블클릭하고 여러분의 Forward Lookup Zone에서 더블클릭한다. 컴퓨터 이름을 더블클릭하고 OK를 클릭하고 Apply를 클릭한다. 등록정보 대화상자를 닫기 위해 OK를 클릭한다.

              사용자 삽입 이미지

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                댓글을 달아 주세요

                • Windows 2000 설치하기
                • DNS 서버 및 DNS 영역 정보 구성하기
                • DNS 서버 정방향 및 역방향 조회 영역 구성하기
                • 시스템을 DC로 수준올리기(Promotion)
                • DNS 전달자 구성하기
                • DNS 서버 테스트하기
                • ISA 서버 설치하기
                타임 서버 세팅하기


                2. DNS 서버 정방향 및 역방향 조회 영역 구성하기

                DCPROMO를 실행하기 전에 DNS 서버를 적절히 구성하는 것은 아주 중요하다. 대부분의 ISA Server 관리자들은 DNS를 구성하기 전에 시스템을 수준 올리기(Promotion)하기 때문에 곤경에 빠지곤 한다. 경험상 Acitve Directory DNS 마법사를 절대 신뢰해서는 안되며 여러분이 직접 작업을 수행해야 한다.

                DNS 서버를 구성하려면 다음의 과정을 수행한다.

                1) Start -> Administrative Tools -> DNS를 선택한다.

                2) 모든 노드를 확장하고 Forward Lookup Zone을 오른클릭한다. View를 선택하고 Advanced를 선택한다.

                3) Reverse Lookup Zone을 오른클릭하고 New Zone을 클릭한다. Welcome 페이지에서 Next를 클릭한다.

                4) Reverse Lookup Zone 페이지에서 DC/ISA 서버 컴퓨터의 내부 인터페이스에 연결된 세그먼트의 네트워크 ID를 입력한다. 내부 네트워크가 여러개의 세그먼트를 가지고 있다면 추가적인 reverse lookup zone들을 생성할 수도 있다. Next를 클릭한다.

                사용자 삽입 이미지

                5) Zone file 페이지에서 주어진 이름을 그대로 수용한다. Next를 클릭한다.

                6) Completing the New Zone Wizard 페이지에서 Finish를 클릭한다.

                다음 과정은 정방향 조회 영역을 구성하는 것이다.

                1) Forward Lookup Zone 노드를 오른클릭하여 New Zone을 클릭한다. Welcome 페이지에서 Next를 클릭한다.

                2) Zone Type 페이지에서 Standard Primary를 선택하고 Next를 클릭한다.

                3) Zone Name 페이지에서 내부 네트워크 도메인 이름을 입력한다. Next를 클릭한다.

                사용자 삽입 이미지

                4) Zone File 페이지에서 제공된 기본 DNS 영역 이름을 수용한다. Next를 클릭한다.

                5) Completing the New Zone Wizard 페이지에서 Finish를 클릭한다.

                6) 방금 생성했던 영역을 오른클릭하고 New Host 명령어를 클릭한다.

                7) New Host 대화상자에서 DC/ISA 서버 컴퓨터의 호스트이름, 내부 인터페이스의 IP 주소를 입력하고, Create associated pointer(PTR) record를 체크한다. Add Host를 클릭한다. 레코드가 생성되었다는 알림 메시지가 나타난다. Ok를 클릭한다. New Host 대화상자에서 Done을 클릭한다.

                8) DC/ISA 서버 컴퓨터를 위해 생성한 레코드가 정방향 및 역방향 조회 영역에 모두 있는지 확인한다. 레코드가 제대로 보이지 않는다면 Refresh를 클릭한다.




                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  댓글을 달아 주세요


                  ISA Server 컴퓨터는 방화벽이면서도 캐시 서버의 역할을 수행하므로 보통, 네트워크의 가장 바깥쪽(edge)에 위치한다. 물론, 캐시 전용 서버로 사용할 경우에는 네트워크에서 가장 빠른 곳에 놓는 것이 좋을 방편일 수도 있다.

                  하지만, SBS(Small Business Server) 제품과 같이 모든 구성요소(DC, SQL, Exchange)를 하나의 서버 컴퓨터에 설치해야 하는 경우도 있다. SBS는 저렴한 가격을 주무기로 시장에서 매력적인 제품이다. 하지만, 보안이나 유지 보수(관리)적 측면에서 볼 때에는, '한 바구니에 모든 달걀을 담지 마라'라는 서양의 속담이 생각날 정도로 그리 좋은 제품이 아니라고 생각된다.

                  하지만, 필요하다면 써야 하고, 가장 적절한 배치 방법 및 보안 구성을 위해 노력한다면, 그리 걱정하지는 않아도 될 것이다.

                  AD를 이용하고자 할 때에는 가장 먼저 고려할 부분이 DNS 서버의 구성이다. AD와 DNS는 필수불가결한 관계를 맺고 있다는 것은 잘 알고 있을 것이다. 보통 DC 컴퓨터에 DNS도 함께 운영하는 것이 대부분이며, 당연히 DC에서 사용되는 각종 엔트리를 DNS에 추가할 수 있어야 한다. 당연한 얘기지만, DC가 하나 밖에 없다면 이 DC는 DNS 서버이기도 해야 한다.

                  SBS 서버를 운영한다면, 보통 Exchange에서 OWA를 통해 사용자가 내부 또는 원격에서 메일을 액세스할 수 있도록 퍼블리시 해줘야 한다. 물론, SMTP 서버(메일 서버)로도 게시를 해야 한다.

                  하드웨어적 측면에서 보자면, DC는 멀티 홈드(랜카드가 두 개 이상)로 구성되어야 한다. 하지만, 멀티 홈드로 구성할 경우에는 NetBIOS와 브라우저 서비스의 왕국(realm)에 대한 문제점을 내포하고 있다.

                  DC는 PDC 에뮬레이터로 동작하며, 또한 도메인 마스터 브라우저와 네트워크의 마스터 브라우저가 된다. 이에 대한 자세한 사항은 DC에 관한 책자를 참고하기 바란다.

                  이 글에서는 Windows 2000의 설치 부분에서 DC를 구성하는 부분까지 살펴볼 것이다. 특히 다룰 내용들은 다음과 같다.

                  • Windows 2000 설치하기
                  • DNS 서버 및 DNS 영역 정보 구성하기
                  • DNS 서버 정방향 및 역방향 조회 영역 구성하기
                  • 시스템을 DC로 수준올리기(Promotion)
                  • DNS 전달자 구성하기
                  • DNS 서버 테스트하기
                  • ISA 서버 설치하기
                  타임 서버 세팅하기


                  1. Windows 2000 설치하기

                  가장 먼저 할 일은 Windows 2000을 설치하는 것이다. 이미 Windows 2000을 설치했다면 재설치를 고려해 봐도 좋다. 하지만, ISA 서버와 문제를 피하기 위해서 시스템에 새로 설치(clean installation)을 할 필요는 없다. Windows 2000 및 ISA 서버를 설치하여 DC를 구성하려면 다음과 같은 요구사항들이 필요하다.

                  • Windows 2000 Server, Advanced Server 또는 Datacenter Server
                  • 충분한 램의 크기, 적어도 512MB이상.
                  • 사용하려는 모든 NIC은 모두 설치되어 있어야 한다 - DC는 NIC 설치할 때 고생한다.
                  • 설치 중에 인터넷으로 외부 인터페이스를 연결하지 않고, ISA 서버 설치가 완료되기 전에까지 끊어 둔다 - 웜 등의 유입이 걱정되므로 패치 등으로 모두 CD로 준비하는 것도 좋다.

                  또한 다른 하드웨어 요구사항들이 있다. 이제 Windows 2000을 설치한다.

                  1) CD로 부팅한다. 필요하다면 파티션을 포맷하고 설치의 텍스트 모드 과정중에 다른 작업들도 수행한다. 이 과정중에는 DC에 관련된 아무런 동작이 필요치 않다.

                  2) 재시작하면 GUI 모드 과정으로 들어간다. Regional Setting에서 적절한 국가를 선택하고 Next를 클릭한다.

                  3) Personalize Your Software 페이지에서 이름과 소속을 입력하고 Next를 클릭한다.

                  4) Your Product Key 페이지에서 제품 번호를 입력하고 Next를 클릭한다.

                  5) Licensing Mode 페이지에서 적절한 라이선스 모드를 선택하고 Next를 클릭한다.

                  6) Computer Name and Administrator 암호 페이지에서 컴퓨터의 이름(NetBIOS 이름)을 입력하고 복잡한 암호를 입력한다. Next를 클릭한다.

                  7) Windows Components 페이지가 가장 중요하다. 자세히 살펴보자.

                  Internet Information Services를 더블클릭한다. FTP 와 NNTP가 필요하다면 Internet Information Services(IIS)페이지에서 선택한다. ISA 서버에서 실행되는 IIS 서버의 개수를 최소화하길 추천한다. 하지만 SBS를 사용한다면 이 모든 IIS 서버들이 ISA/DC 시스템에서 운영될 것이다. OK를 클릭한다.

                  사용자 삽입 이미지

                  Windows 2000 Compnonets 페이지로 돌아와서, Management and Monitoring Tools 노드를 더블클릭한다. Network Monitor Tools 옵션을 선택한다. 또한 Windows 2000 서버를 관리하기 위해 SNMP 관리 스테이션을 사용한다면 Simple Network Management Protocol을 선택해도 좋다. CMAK를 사용한다면 설치해도 좋다. OK를 누른다.

                  사용자 삽입 이미지

                  Networking Services 엔트리를 더블클릭한다. 적어도 DNS 와 WINS를 설치할 필요가 있다. networking services 리스트를 스크롤하여 이들을 선택한다. 그리고 OK를 클릭한다.

                  주의 : 만약 WINS를 설치한다면 ISA/DC 컴퓨터의 외부 인터페이스 상에 NetBIOS를 비활성화(disable)해야 한다. NetBIOS를 비활성화하지 않는다면 ISA/DC의 외부 IP 주소가 WINS에 등록된다. 이 문서를 끝까지 읽기 전에는 NetBIOS를 비활성화하지 마라. NetBIOS를 비활성화하기 전에 WINS 데이터베이스에 ISA/DC 컴퓨터의 외부 IP주소 엔트리가 있는지 확인한다. 또한, 외부 인터페이스에 NetBIOS를 비활성화한 후에는 이들 엔트리가 지워졌는지 확인한다.

                  8) Terminal Services 옵션을 더블클릭한다. Enable Terminal Services를 선택한다. 클라이언트에게 필요하다면 Client Creator Files 옵션을 선택한다. OK를 클릭한다.

                  9) WIndows 2000 Components 페이지에서 OK를 클릭한다.

                  10) Data and Time Settings 페이지에서 날짜 시간, 시간대(Time Zone)을 정확히 입력하고 Next를 클릭한다.

                  11) Terminal Services Setup 페이지에서 Remote Administration Mode옵션을 선택하고 Next를 클릭한다.

                  12) Networking Settings 페이지에서 Custom Settings 옵션을 선택한다. Next를 클릭한다.

                  13) Networking Components 페이지에서 ISA 서버의 외부 인터페이스에 대한 구성 대화상자가 나타난다. Client for Microsoft Networks 와 File and Printer Sharing을 해제한다. Internet Protocol(TCP/IP) 엔트리를 더블클릭한다.

                  참고 : Windows 2000 의 설치가 완료된 후에 작업이 편리하도록 인터페이스의 이름을 바꿀 수도 있다. InternalNIC 와 ExternalNIC와 같이 바꾸자. 하지만 internal 과 external 이란 이름을 사용하면 안된다. 왜냐하면 internal 이라는 이름은 RRAS에서도 또한 사용되기 때문이다.

                  14) Internet Protocol(TCP/IP) 등록정보 대화상자에서 외부 인터페이스의 IP 주소정보들을 적절히 입력한다. ISP의 DNS 서버의 주소를 Preferred DNS server 텍스트박스에 입력한다. Default gateway는 ISP에서 할당하여 주거나 인터넷에 연결된 라우터의 랜 인터페이스일 것이다. Advanced 버튼을 클릭한다.

                  15) DNS 탭을 클릭한다. Append parent suffixes of the primary DNS sufficx 체크박스를 해제한다. 외부 인터페이스가 쿼리를 ISP의 DNS 서버로 양도할 이유가 없기 때문에 이는 특정한 상황에서 성능향상을 가져올 수 있다. 또한 Register this connection's addresses in DNS 체크박스를 해제한다. ISP는 여러분의 외부 인터페이스의 등록에 대해 관심이 없으며 DDNS(Dynamic DNS)을 지원해주지도 않을 것이다. OK를 클릭한다. WINS 주소가 비어있다는 대화상자가 나타난다. Yes를 클릭한다. Internet Protocol(TCP/IP)등록정보 대화상자를 닫기위해 OK를 클릭한다. Network Components 페이지에서 Next를 클릭한다.

                  사용자 삽입 이미지

                  참고 : 브라우저 서비스와 관련된 문제 그리고 외부 인터페이스에서 브라우저 공시(Announcements)를 방지하기 위해 DC/ISA 서버 컴퓨터의 외부 인터페이스에 NetBIOS를 비활성화해야 한다. 외부 인터페이스의 NetBIOS 통신을 차단하는 패킷 필터링을 적용한 후에 로그를 채우기 시작한다. 하지만 이글을 끝까지 읽기 전까지는 NetBIOS는 비활성화하지 마라.

                  16) ISA/DC 컴퓨터의 내부 인터페이스를 위한 Networking Components 페이지를 보게된다. Internet Protocol(TCP/IP)를 더블클릭한다. 내부 IP 주소와 서브넷 마스크를 입력한다. Preferred DNS server는 내부 인터페이스의 IP 주소인지 확인한다.(또는 127.0.0.1을 사용한다.) 이는 시스템이 여러분의 액티브 디렉터리 도메인의 DNS 서버이기 때문에 필수적으로 중요하다.

                  사용자 삽입 이미지

                  17) Advanced 버튼을 클릭한다. WINS 탭을 클릭한다. Add 버튼을 클릭하고 ISA/DC 컴퓨터의 내부 인터페이스의 IP 주소를 추가한다. 이 주소만이 WINS에 등록될 것이다. 여러분은 WINS에 외부 인터페이스를 등록해서는 안된다. WINS 서버 주소를 추가한 후에 Advanced TCP/IP Setting 대화상자에서 OK를 클릭한다. Internet Protocol(TCP/IP) 등록정보 대화상자에서 OK를 클릭한다.  Networking Components 페이지에서 Next를 클릭한다.

                  18) Workgroup or Computer Domain 페이지에서는 그냥 그대로 둔다. 아직 참여할 도메인이 없다. Next를 클릭한다.

                  19) 설치 마법사가 여러분이 구성한 서비스들을 설치할 것이다. 시스템을 재시작하기 위해 Finish를 클릭한다.

                  20) 컴퓨터가 재시작된 후에 곧바로 서비스 팩 4를 설치한다. 참고로 슬립 스트림드 시디를 만들어서 설치에 이를 사용하였다면 서비스팩을 설치할 필요는 없다. 마지막으로 윈도우 업데이트를 통해 최신 핫픽스를 적용하고 재부팅을 한다.

                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus

                    댓글을 달아 주세요


                    ISA Server 2000에는 방화벽의 이름에 걸맞게 다양한 보안 기능을 제공합니다. 그 중에서 IP Spoof 공격을 탐지하고 차단할 수 있는 기능을 제공하고 있습니다.

                    하지만, 일부 네트워크 환경에서는 정상적인 패킷을 차단하는 부작용을 나타낼 수 있으며 다음의 상황에서 발생할 수 있습니다

                    • 랜 카드에 여러 개의 메트릭스(metrics)값을 지정한 경우
                    • 낮은 우선순위(priority)나 높은 메트릭스 값을 가진 랜 카드에 패킷이 도착한 경우

                    이러한 상황이 잘 이해가 안된다면 다음의 예를 통해 다시 한번 설명해 봅니다.

                    • ISA Server 컴퓨터에 랜 카드가 2개 이상 장착되어 있다.
                    • Ethernet 1은 아웃고잉 패킷을 처리한다.
                    • Ethernet 2는 서버 퍼블리싱이 사용되며 인커밍 패킷을 처리한다.
                    • Ethernet 2는 Ethernet 1 보다 낮은 우선순위이거나 높은 메트릭스 값을 가진다.

                    IP Spoof 기능을 켜면, Ethernet 2에 도착하는 패킷을 차단할 수 있다. 왜냐 하면, Ethernet 1에서 보낸 패킷이 Ethernet 2에 도착하기 때문이다.

                    IP Spoof 감지 기능을 기본적으로 제공하며, 이 기능은 관리 콘솔에서 끌 수 없으며, 다음과 같이 레지스트리를 통해서만 가능합니다.

                    1. 레지스트리 편집기를 엽니다(시작 -> 실행 -> regedit).

                    2. 다음의 위치로 이동합니다.(키가 없을 경우 새로 만듭니다)

                    위치: HKLM / SYSTEM / CurrentControlSet / Services / MspFltEx / Parameters
                    이름: SpoofDetection
                    형식: DWORD
                    값: 1

                    (만약 값에 0을 입력하면, 위 기능을 다시 사용합니다)


                    ISA Server 2004에서는 레지스트리의 위치가 약간 다릅니다.

                    위치: HKLM / SYSTEM / CurrentControlSet / Services / FwEng / Parameter
                    이름: DisableSpoofDetection
                    형식: DWORD
                    값: 1


                    IP Spoofing에 대한 자세한 정보는 여기를 클릭하세요.

                    원문: MS-KB838114,832659
                     
                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus

                      댓글을 달아 주세요



                      Web Analytics Blogs Directory