DNS for ISA


이 글은 isaserver.org에서 나온 글을 번역하여 정리한 것입니다. DNS는 Windows 2000에서부터 주목받기 시작했으며, 인터넷의 발달에 힘입어 가장 많이 사용하는 그리고 가장 많은 문제점을 가지고 있는 프로토콜이기도 합니다.

이 글에서는 ISA Server를 구현하고자 하는 네트워크 상에서 사용가능한 DNS의 종류와 사설 공인 DNS의 구현 등 다양한 정보를 제공하고자 합니다.

목차:


  1. 서문 및 용어 정리
  2. Windows 2000의 이름풀이
  3. 고정 IP
  4. DHCP
  5. ISA DNS Proxy
  6. DNS 구현시 고려사항
  7. 외부 공인 DNS
  8. ISA용 DNS
  9. Split DNS
  10. 내부 독립 DNS
  11. 다중 내부 DNS

7. 외부 공인 DNS

사용자 삽입 이미지

 위 그림은 예를 들면 전화접속 시나리오와 같은 인터넷 이름풀이만을 원할 때 사용할 수 있다. ISA 서버를 포함하는 클라이언트는 ISP DNS 서버를 1차 DNS 서버로 가지고 있다. 이 설치를 사용하여 서버를 게시할 수 있지만 ISP의 협력이 필요한다. 일반적으로, ISP가 호스팅 서비스를 제공한다면 여러분에게 알맞다. Email을 가지고 있거나 영역 데이터(리소스 레코드)를 변경하기 위해서는 ISP에 연락해야 하고 그 영역에 내부 IP들을 추가할 수 없다는 것이 단점이다. 즉 여러분의 네부 네트워크를 지원할 수 없다.

ISA 설정 :
• Packet Filters : DNS Lookup (UDP-53) out
• Protocol Rules : DNS Lookup (UDP-53) out
• DNS Publishing : 보통 사용할 수 없다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요


     DNS for ISA


    이 글은 isaserver.org에서 나온 글을 번역하여 정리한 것입니다. DNS는 Windows 2000에서부터 주목받기 시작했으며, 인터넷의 발달에 힘입어 가장 많이 사용하는 그리고 가장 많은 문제점을 가지고 있는 프로토콜이기도 합니다.

    이 글에서는 ISA Server를 구현하고자 하는 네트워크 상에서 사용가능한 DNS의 종류와 사설 공인 DNS의 구현 등 다양한 정보를 제공하고자 합니다.

    목차:


    1. 서문 및 용어 정리
    2. Windows 2000의 이름풀이
    3. 고정 IP
    4. DHCP
    5. ISA DNS Proxy
    6. DNS 구현시 고려사항
    7. 외부 공인 DNS
    8. ISA용 DNS
    9. Split DNS
    10. 내부 독립 DNS
    11. 다중 내부 DNS

    6. DNS 구현시 고려사항

    DNS 솔류션을 구현할 때 고려해야 하는 사항들을 정리해 보았다.

    1. Active Directory 도메인은 DNS를 필요로 한다.
    2. ISA Array의 성능은 AD 스키마에 대한 액세스에 크게 의존한다.
    3. ISA 서버 Array 참여(participation)은 ISA 서버간(inter-ISA) 통신에 크게 의존한다.
    4. W2K DNS 이름풀이는 NetBIOS/WINS 보다 먼저 시도된다.
    5. DNS 서버 검색 과정은 멀티홈드 서버의 모든 구성도나 인터페이스를 포함한다.
    6. 각 서버에 DNS 서버 IP가 많을 수록 시간초과(timeout) 에러가 날 확률이 커진다.
    7. 내부 서비스들이 DNS 지원(AD, SMTP, POP, 기타)을 필요로 하는가 ?
    8. 외부 서비스들이 DNS 지원(SMTP, WEB, FTP, 기타)을 필요로 하는가 ?

    DNS 서비스는 ISA 서버에서 돌릴 수 있지만, SNAT 클라이언트일때보다 설치가 간단치 않다.
    사용자 삽입 이미지

    알림 :
    • 여기서 제공되는 대부분의 시나리오들은 좀더 복잡하게 결합될 수 있다. 여러분의 요구사항을 주의깊게 선택한다. 몇몇 시나리오에서는 예를 들어 전화접속을 통한 게시 와 같은 거의 불가능한 것들도 있다.
    • DNS Server 서비스를 운영하는 시스템은 1차 DNS 주소(preferred DNS resolver)를 “127.0.0.1”을 가짐을 알 수 있다. 만약 DDDNS(W2K에서는 기본)를 사용한다면  DNS 서버가 서버가 아닌 자체 도메인을 업데이트하도록 하길 원할 때에 추천한다.  예외로는 DNS서버가 영역에 대한 권한을 가지지 않을 때이다.
    • 몇몇 시나리오에서는 TCP/IP 설정에서 수동으로 127.0.0.1을 입력할 수 없다. 하지만 DNS 서비스를 운영하는 서버의 리스트 목록에서 모든 DNS resolver IP들을 지운다면, Windows 2000은 엔트리가 비워져있다는 것을 사용자에게 알리고 로컬 IP 주소를 입력할 수 있게 해준다. 사실 1차 DNS 주소에 127.0.0.1을 입력하는 것과 다름없다.
    • DNS 영역전송이 서버의 TCP 53포트를 사용하는 반면에 DNS 이름 쿼리는 UDP 53번을 사용한다. 둘다 클라이언트 포트는 유동적이다.
    • 아래에는 각 시나리오별 패킷 필터 및 프로토콜 규칙을 정리해 두었다. 자세한 과정은 ISA 도움말을 참고한다.


    경고 :

    • DNS를 제대로 설치하고 구성하지 않는다면 엄청난 문제가 발생한다. 여러분의 서버에 DNS를 설치하기전에 DNS에 관련된 문서를 충분히 읽고 이해해야 한다.
    • AD 서버에 DNS를 운영하려면 몇가지 추가적인 주의사항이 필요하다. AD 시동 에러를 피하기 위해서는 NetLogon 및 DNSCache 서비스를 의존하게 만들 필요가 있다. 자세한 내용은 Q193888을 참고한다. 설정사항을 반영하기 위해 두 번 리부팅을 한다.
    • 만약 IIS5 나  Exchange와 같은 윈도즈 기반의 SMTP 서버를 운영한다면 패킷 필터 그리고/또는 프로토콜 리스트에 TCP-53이 추가되어 있는지 확인할 필요가 있다. 자세한 내용은 Q292278을 참고한다.
    • 여러분의 DNS 영역이 망가지지 않게 하려면 DDNS를 비활성화한다. DNS 프로토콜 헤더에서 DNS 쿼리와 DNS 업데이트는 약간 틀리다. 두 요청 모두 UDP 53포트를 사용하기 때문에 ISA 서버로의 쿼리로 비슷해서 단순한 프로토콜/포트 규칙으로는 차단할 수 없다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      1. Favicon of http://www.dalyong.com BlogIcon 달룡이네집 2007.02.13 07:57  댓글주소  수정/삭제  댓글쓰기

        이른 아침부터..빠르시군요..이렇게 빨리 포스팅하시고..혹시 예약글? 좋은 하루 되시길..


       DNS for ISA


      이 글은 isaserver.org에서 나온 글을 번역하여 정리한 것입니다. DNS는 Windows 2000에서부터 주목받기 시작했으며, 인터넷의 발달에 힘입어 가장 많이 사용하는 그리고 가장 많은 문제점을 가지고 있는 프로토콜이기도 합니다.

      이 글에서는 ISA Server를 구현하고자 하는 네트워크 상에서 사용가능한 DNS의 종류와 사설 공인 DNS의 구현 등 다양한 정보를 제공하고자 합니다.

      목차:


      1. 서문 및 용어 정리
      2. Windows 2000의 이름풀이
      3. 고정 IP
      4. DHCP
      5. ISA DNS Proxy
      6. DNS 구현시 고려사항
      7. 외부 공인 DNS
      8. ISA용 DNS
      9. Split DNS
      10. 내부 독립 DNS
      11. 다중 내부 DNS

      5. ISA DNS Proxy

      ISA Web Proxy 서비스는 ISA 서버상의 다른 DNS 서비스에 더하여 "DNS proxy" 기능을 제공한다. 이 proxy 는 Web 및 Firewall 클라이언트에서만 사용할 수 있고  SecureNAT 클라이언트는 사용할 수 없다. DNS proxy 는 실제 레코드의 TTL 값에 관계없이 6시간동안만 레코드를 유지한다. 이는 Web proxy 서비스가 이름풀이한 이름들은 ISA DNS proxy cache에 6시간동안 남아있다는 뜻이다. 또는 Web proxy 서비스를 재시작할 때까지이다. 클라이언트가  IP 설정에 DNS resolver IP를 가지고 있다면 먼저 그것을 사용하게 되며 잠재적으로 ISA 6시간짜리 DNS cache를 피할 수 있다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요


         DNS for ISA


        이 글은 isaserver.org에서 나온 글을 번역하여 정리한 것입니다. DNS는 Windows 2000에서부터 주목받기 시작했으며, 인터넷의 발달에 힘입어 가장 많이 사용하는 그리고 가장 많은 문제점을 가지고 있는 프로토콜이기도 합니다.

        이 글에서는 ISA Server를 구현하고자 하는 네트워크 상에서 사용가능한 DNS의 종류와 사설 공인 DNS의 구현 등 다양한 정보를 제공하고자 합니다.

        목차:


        1. 서문 및 용어 정리
        2. Windows 2000의 이름풀이
        3. 고정 IP
        4. DHCP
        5. ISA DNS Proxy
        6. DNS 구현시 고려사항
        7. 외부 공인 DNS
        8. ISA용 DNS
        9. Split DNS
        10. 내부 독립 DNS
        11. 다중 내부 DNS

        4. DHCP

        DHCP는 DHCP 서버에서 설정한다.

        1. 내 컴퓨터를 마우스 오른쪽 버튼으로 클릭하고 관리를 선택한다.

        2. Services를 확장하고 DHCP를 확장하고 scope를 확장한다.
        사용자 삽입 이미지

        3. Scope Option을 마우스 오른쪽 버튼으로 클릭하고 Configure Options를 선택한다.

        4. 015 - DNS Domain Name을 볼 수 있도록 리스트를 스크롤다운한다.

        5. String Value 대화상자에서 도메인 이름( 호스트 이름이 아님)을 입력하고 Apply를 클릭하고 Ok를 클릭한다.
        사용자 삽입 이미지

        6. 새로운 구성을 반영하기 위해 각 DHCP 클라이언트에서 ipconfig /renew 명령어를 수행한다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          댓글을 달아 주세요


           DNS for ISA


          이 글은 isaserver.org에서 나온 글을 번역하여 정리한 것입니다. DNS는 Windows 2000에서부터 주목받기 시작했으며, 인터넷의 발달에 힘입어 가장 많이 사용하는 그리고 가장 많은 문제점을 가지고 있는 프로토콜이기도 합니다.

          이 글에서는 ISA Server를 구현하고자 하는 네트워크 상에서 사용가능한 DNS의 종류와 사설 공인 DNS의 구현 등 다양한 정보를 제공하고자 합니다.

          목차:


          1. 서문 및 용어 정리
          2. Windows 2000의 이름풀이
          3. 고정 IP
          4. DHCP
          5. ISA DNS Proxy
          6. DNS 구현시 고려사항
          7. 외부 공인 DNS
          8. ISA용 DNS
          9. Split DNS
          10. 내부 독립 DNS
          11. 다중 내부 DNS

          3. 고정(Static) IP

          1. 내 네트워크 환경에서 마우스 오른쪽 버튼으로 클릭하고 등록정보를 선택한다.
          사용자 삽입 이미지

          2. Local Area Connection을 마우스 오른쪽 버튼으로 클릭하고 등록정보를 선택한다.
          사용자 삽입 이미지

          3. Internet Protocol(TCP/IP)를 더블클릭하거나, 선택하고 등록정보 버튼을 클릭한다.
          사용자 삽입 이미지

          4.  고급(Advanced) 버튼을 클릭하고 DNS 탭을 선택한다.
          사용자 삽입 이미지

          5. Append these DNS suffixed(in order)를 선택하고 Add 버튼을 클릭한다.
          사용자 삽입 이미지

          6.   대화상자에서 도메인 이름을 입력하고 add 버튼을 클릭한다.
          사용자 삽입 이미지

          7.   이제 아래 그림과 같이 접미사 검색 목록에 도메인 이름이 추가된 것을 볼 수 있다.
          사용자 삽입 이미지

          8. 확인 버튼을 눌러 열려진 모든 등록정보 창을 닫는다. 이제 한 대의 접미사 검색 목록을 완성했다. 랜 환경의 모든 컴퓨터에서 동일한 과정을 반복해 준다.
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            댓글을 달아 주세요


             DNS for ISA


            이 글은 isaserver.org에서 나온 글을 번역하여 정리한 것입니다. DNS는 Windows 2000에서부터 주목받기 시작했으며, 인터넷의 발달에 힘입어 가장 많이 사용하는 그리고 가장 많은 문제점을 가지고 있는 프로토콜이기도 합니다.

            이 글에서는 ISA Server를 구현하고자 하는 네트워크 상에서 사용가능한 DNS의 종류와 사설 공인 DNS의 구현 등 다양한 정보를 제공하고자 합니다.

            목차:


            1. 서문 및 용어 정리
            2. Windows 2000의 이름풀이
            3. 고정 IP
            4. DHCP
            5. ISA DNS Proxy
            6. DNS 구현시 고려사항
            7. 외부 공인 DNS
            8. ISA용 DNS
            9. Split DNS
            10. 내부 독립 DNS
            11. 다중 내부 DNS

            2. Windows 2000의 이름풀이(Name Resolution)

            각각의 MS OS에는 컴퓨터 이름을 풀이할 수 있는 두 가지 클라이언트 서비스가 존재한다.

            DNS Cache - DNS 서버로 쿼리를 통해 이름풀이한 컴퓨터 이름을 로컬에 저장한 것. DNS 캐시는 메모리에 상주한다. FQDN을 이름풀이하는데 가장 먼저 사용된다. 이름풀이된 이름들은 각각의 TTL이 만료되기 전까지 유지되며 만료되면 삭제된다. ipconfig /flushdns 명령어를 사용하여 강제로 캐시에서 삭제할 수 있다.
            WINS Client - WINS 서버로 쿼리를 통해 NetBIOS 이름을 풀이해주는 로컬 서비스.  NetBIOS 이름캐시에 저장된 이들 쿼리에서 이름이 IP로 매핑된다. 또한 NetBIOS 이름 쿼리는 UDP 137/138 포트 번호를 통해 이루어진다. 이 캐시들은 nbtstat -R 명령어를 사용하여 삭제할 수 있다. 게다가 각 MS OS의 이름풀이 클라이언트 서비스와 동작하는 두개의 파일이 있다.
            Hosts 파일 - FQDN을 IP로 매핑하는 정보를 담고 있는 텍스트 파일. DNS Cache 서비스와 비슷하게 동작하지만 매핑되어 있는 이름에 대한 TTL이 없다.
            LMHosts 파일 - NetBIOS 이름을 IP로 매핑하는 정보를 담고 있는 텍스트 파일.  NetBIOS 이름을 풀이하는 WINS 서버와 비슷하게 동작한다. 일반적으로 Windows 2000에서 이름풀이되는 순서는 아래와 같다.

            FQDN 이름풀이 순서
                ➀ DNS name cache
                ➁ Hosts 파일
                ➂ DNS 서버에 쿼리한다.

            NetBIOS 이름풀이 순서
                ➀ NetBIOS name cache
                ➁ LMHosts 파일
                ➂ WINS 서버에 쿼리한다
                ➃ NetBIOS 이름 브로드캐스팅(broadcasting)

            자세히 살펴보면, 가능한한 로컬 시스템상에서 이름풀이하려고 한다는 것을 알 수 있을 것이다. 왜냐하면 만약 이름이 로컬에서 풀이된다면 전체 과정을 느리게 할 수도 있는 네트워크상의 잠재적인 문제점을 피할 수 있기 때문이다. 또한, WIndows 2000 이외의 모든 Microsoft OS들은 NetBIOS 이름 풀이순서를 사용하여 이름풀이한다.

            이제 ISA 시나리오에 대해 살펴보자. 대부분의 사람들이 외부 NIC에는 ISP DNS 이름풀이용 IP를, 내부에는 로컬 DNS 이름풀이용 IP를 사용한다. 이것이 이해가 된다면 실제로 얼마나 비효율적인지 알 수 있고 엄청난 시간초과(timeout)을 야기할 수 있다. TCP/IP는 데이터가 어디에 기초되는지가 아니라 목적지에 바탕으로 주어진 패킷에 대해 라우트를 선택한다는 사실을 주의하자. 이 말은 DNS 엔트리들은 랜카드에 따라 지정되지 않다는 뜻으로 DNS에 입문하는 사람들에게 아주 의미심장한 말이다. Windows 2000은 다음과 같은 형식으로 DNS resolver를 사용한다.

                ➀ NIC1, DNS1
                ➁ NIC2, DNS1
                ➂ NIC1, DNS2
                ➃ NIC2, DNS2

            각각의 DNS 쿼리에 DNS 접미사를 추가하고,( 다중 도메인 이름 환경일 경우 막대할 수도 있다) 또다른 W2K DNS resolver의 특징은은 만약 인터페이스에 주워진 DNS 목록중 한 DNS 가 응답을 하지 않는다면, 전체 NIC는 DNS 검색에서 차단된다. 그래서 NIC1의 DNS2가 쿼리에 대한 응답을 실패하면 그 인터페이스에 있는 DNS1도 잠시동안 무시된다. 이러한 이유로 내부 ISA NIC에는 모든 DNS resolver IP를 두는 것이 가장 좋다.

            Windows는 NetBIOS 이름을 풀이하기 위해 DNS를 사용할 수 있다. 좀전에는 DNS가 FQDN을 이름풀이한다고 설명했는데... 아직 설명하지 않는 부분이 있는데 이것이 바로 “suffix search list(접미사 검색 목록)"이다. 이는 DNS를 통해 풀이할 수 있도록 NetBIOS 이름에 추가될 수 있는 도메인 ”접미사“의 목록이다. 왜 이것이 필요할까 ? "mydomain.com"이라는 내부 AD 기반의 도메인을 가지고 있고 클라이언트에서 ISA Server로 이름풀이를 테스트하기 위해 ping을 하려 한다고 하자. 여러분은 ping isa.mydomain.com을 입력할 수 있지만 다 치기에는 손가락이 좀 피곤하지 않을까 ? 그래서 ping isa 라고 입력해 본다. 여러분이 도메인을 적절히 구성하였다면 다음과 같은 메시지가 나타날 것이다. Pinging isa.mydomain.com [192.168.0.1] with 32 bytes of data. 이떻게 이것이 가능한 것일까 ? 여러분이 도메인에 가입할 때 AD가 제공하는 접미사 목록을 사용하는 DNS cache service 때문이다. 명령 프롬프트를 열어서 ipconfig /all을 입력하면 다음과 같은 내용을 볼 수 있다.

            Host Name : client
            Primary DNS suffix : mydomain.com
            Node Type : Hybrid
            IP Routing Enabled : No
            WINS Proxy Enabled : No
            DNS Suffix Search List : mydomain.com

            DNS cache service는 접미사 검색 목록에서 "mydomain.com"을 “isa"에 추가하여 "isa.mydomain.com"을 생성하고 이름 풀이를 위해 DNS 서버에 넘겨주는 일을 한다. 이런 식으로 WINS/NetBIOS 브로드캐스트를 수행하기 전에 DNS 이름풀이 과정이 존재하게 된다.

            여러분의 LAN 환경에 AD가 없어도 걱정안해도 된다. 고정 IP나 DHCP 설정을 통해 검색 목록을 추가할 수 있다.
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              댓글을 달아 주세요


               DNS for ISA


              이 글은 isaserver.org에서 나온 글을 번역하여 정리한 것입니다. DNS는 Windows 2000에서부터 주목받기 시작했으며, 인터넷의 발달에 힘입어 가장 많이 사용하는 그리고 가장 많은 문제점을 가지고 있는 프로토콜이기도 합니다.

              이 글에서는 ISA Server를 구현하고자 하는 네트워크 상에서 사용가능한 DNS의 종류와 사설 공인 DNS의 구현 등 다양한 정보를 제공하고자 합니다.

              목차:


              1. 서문 및 용어 정리
              2. Windows 2000의 이름풀이
              3. 고정 IP
              4. DHCP
              5. ISA DNS Proxy
              6. DNS 구현시 고려사항
              7. 외부 공인 DNS
              8. ISA용 DNS
              9. Split DNS
              10. 내부 독립 DNS
              11. 다중 내부 DNS



              서문


              MS사는 구시대의 유물인 NetBEUI 프로토콜과 NBT(NetBIOS over TCP/IP)를 퇴출시키기 위해 많은 노력을 기울여 왔다. 실제로 몇몇 성과가 나타났다. Win9x, WinME와 같은 구형 OS는 물론 NT까지도 매일 업무를 수행하는데 있어 NetBIOS를 사용하고 있다. 하지만,이러한 운영체제는 동작하기 위한 네트워크가 필요하므로 네트워크를 NetBIOS/WINS 기반에서 DNS 기반의 이름풀이로 업그레이드하는 방법이 있어야 한다. 하위 호환성을 위해 NetBIOS/WINS 이름풀이는 Windows 2000에서도 여전히 지원한다. 



              용어 정리


              DNS - Domain Name Services, 컴퓨터에서 동작하는 서비스로 이름 풀이 쿼리에 응답할 수 있다. 응답은 그 서버에 얼마나 많은 설정이 구성되어 있느냐에 달려 있다.
              DDNS - Dynamic(동적) DNS, RFC 2136에 기술된 DNS의 새로운 기능. 클라이언트가 DNS 영역에 자신의 레코드를 업데이트할 수 있게 해준다. DDNS 패킷에 대한 자세한 정보는 Q186346을 참고한다.
              Forwarder - 전달자, 알 수 없는 이름의 이름풀이를 다른 DNS 서버로 전달(forward)하는 DNS 서버. 기본적으로 전달하는 서버는 업스트립(upstream) DNS 서버에 대해 DNS 클라이언트로 동작하게 된다.
              FQDN - Fully Qualified Domain Name, 이름과 관련된 도메인 구조에 의해 논리적인 연결를 알려주는 컴퓨터 이름. 예를 들면, www.microsoft.com 은 “www"는 호스트이름, ”microsoft"는 도메인, “com"은 상위 도메인이다. 이들 이름들은 서로 "."으로 구분되고 보통 ”dotted decimal"이라고 한다.
              NetBEUI - NetBIOS Extended User Interface, Windows NT3과 W3x에서 소개된 프로토콜로 TCP/IP와는 달리 단일 서브넷 밖에서는 사용할 수 없는 라우팅이되지 않는(non-routable) 프로토콜.
              NetBIOS - Network Basic Input Output System, NetBEUI 프로토콜의 핵심.
              Record - 호스트, 메일 서버 또는 다른 영역과 같은 단일 요소를 표현하는 DNS 영역내의 엔트리.
              Secondary protocol -  ISA 서버를 통한 초기(주:primary) 연결이 아닌 연결을 사용하는 애플리케이션이 사용하는 프로토콜으로 ISA 서버를 통한 초기(주:primary) 연결이외의 연결을 사용한다.
              TTL(Time To Live) - 요청자의 이름케쉬에서 개싱되지 전에 얼마나 오랬동안 보관할지를 나타내는 시간
              WINS - Windows Internet Name Services, DNS와 비슷한 이름 풀이 서비스로 NetBIOS(unqualified)이름만을 처리한다.

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                댓글을 달아 주세요


                • Windows 2000 설치하기
                • DNS 서버 및 DNS 영역 정보 구성하기
                • DNS 서버 정방향 및 역방향 조회 영역 구성하기
                • 시스템을 DC로 수준올리기(Promotion)
                • DNS 전달자 구성하기
                • DNS 서버 테스트하기
                • ISA 서버 설치하기
                타임 서버 세팅하기

                5. DNS 전달자 구성하기

                여러분의 서버가 권한을 가지지 않는 도메인에 대한 이름풀이를 제공하기 위해 전달자(forwarder) 사용을 고려해야할 시점이다. 실제로 이것은 여러분의 도메인 이외의 모든 다른 도메인을 포함한다. DNS  콘솔에서 다음의 과정을 수행한다.

                1) 서버 이름을 마우스 오른쪽 버튼으로 클릭하고 등록정보를 클릭한다.

                2) 서버 등록정보 대화상자에서 Forwarder 탭을 클릭한다.

                3) Forwarder 탭에서 Enable forwarders 옵션을 선택한다. 그리고 ISP의 DNS 서버 주소를 입력하고 Add버튼을 클릭한다. Do not use recursion 체크박스에 체크상태를 유지한다. 이는 성능을 향상시켜줄 것이다.

                4) 서버이름을 마우스 오른쪽 버튼을 클릭하고 All Tasks를 선택하고 Restart 명령어를 클릭한다. DNS 서버 서비스가 재시작될 것이다.

                참고: AD 구성시에 DNS가 공인 DNS 역할까지 수행하는 경우에는 반드시 전달자 설정을 해줘야만 이름풀이가 가능해 진다.
                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  댓글을 달아 주세요

                  • Windows 2000 설치하기
                  • DNS 서버 및 DNS 영역 정보 구성하기
                  • DNS 서버 정방향 및 역방향 조회 영역 구성하기
                  • 시스템을 DC로 수준올리기(Promotion)
                  • DNS 전달자 구성하기
                  • DNS 서버 테스트하기
                  • ISA 서버 설치하기
                  타임 서버 세팅하기


                  2. DNS 서버 정방향 및 역방향 조회 영역 구성하기

                  DCPROMO를 실행하기 전에 DNS 서버를 적절히 구성하는 것은 아주 중요하다. 대부분의 ISA Server 관리자들은 DNS를 구성하기 전에 시스템을 수준 올리기(Promotion)하기 때문에 곤경에 빠지곤 한다. 경험상 Acitve Directory DNS 마법사를 절대 신뢰해서는 안되며 여러분이 직접 작업을 수행해야 한다.

                  DNS 서버를 구성하려면 다음의 과정을 수행한다.

                  1) Start -> Administrative Tools -> DNS를 선택한다.

                  2) 모든 노드를 확장하고 Forward Lookup Zone을 오른클릭한다. View를 선택하고 Advanced를 선택한다.

                  3) Reverse Lookup Zone을 오른클릭하고 New Zone을 클릭한다. Welcome 페이지에서 Next를 클릭한다.

                  4) Reverse Lookup Zone 페이지에서 DC/ISA 서버 컴퓨터의 내부 인터페이스에 연결된 세그먼트의 네트워크 ID를 입력한다. 내부 네트워크가 여러개의 세그먼트를 가지고 있다면 추가적인 reverse lookup zone들을 생성할 수도 있다. Next를 클릭한다.

                  사용자 삽입 이미지

                  5) Zone file 페이지에서 주어진 이름을 그대로 수용한다. Next를 클릭한다.

                  6) Completing the New Zone Wizard 페이지에서 Finish를 클릭한다.

                  다음 과정은 정방향 조회 영역을 구성하는 것이다.

                  1) Forward Lookup Zone 노드를 오른클릭하여 New Zone을 클릭한다. Welcome 페이지에서 Next를 클릭한다.

                  2) Zone Type 페이지에서 Standard Primary를 선택하고 Next를 클릭한다.

                  3) Zone Name 페이지에서 내부 네트워크 도메인 이름을 입력한다. Next를 클릭한다.

                  사용자 삽입 이미지

                  4) Zone File 페이지에서 제공된 기본 DNS 영역 이름을 수용한다. Next를 클릭한다.

                  5) Completing the New Zone Wizard 페이지에서 Finish를 클릭한다.

                  6) 방금 생성했던 영역을 오른클릭하고 New Host 명령어를 클릭한다.

                  7) New Host 대화상자에서 DC/ISA 서버 컴퓨터의 호스트이름, 내부 인터페이스의 IP 주소를 입력하고, Create associated pointer(PTR) record를 체크한다. Add Host를 클릭한다. 레코드가 생성되었다는 알림 메시지가 나타난다. Ok를 클릭한다. New Host 대화상자에서 Done을 클릭한다.

                  8) DC/ISA 서버 컴퓨터를 위해 생성한 레코드가 정방향 및 역방향 조회 영역에 모두 있는지 확인한다. 레코드가 제대로 보이지 않는다면 Refresh를 클릭한다.




                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus

                    댓글을 달아 주세요


                    DNS 호스팅에 가능한 시나리오는 두 가지가 있습니다.

                    시나리오 1: ISA Server에서 DNS 서버를 사용한 DNS 호스팅

                    기본적으로 ISA Server에는 미리 정의된 DNS 쿼리 패킷 필터가 포함되어 있습니다.

                    Name: DNS Filter
                    Filter Type: Predefined
                    Protocol: UDP
                    Direction: Send Receive
                    Local Port: All ports
                    Remote Port: Fixed port, 53
                    Local Computer: Default IP address on the External interface(s)
                    Remote Computer: All Remote Computers

                    이전 패킷 필터의 방향이 원격 포트 53에서 "Send Receive"이기 때문에 필터를 사용하면 ISA Server는 사용자 데이터그램 프로토콜(UDP) 포트 53에서 수신 대기하는 외부 DNS 서버로 DNS 쿼리를 보내고 이 쿼리에 대한 응답을 받을 수 있습니다.

                    필터는 ISA Server로 들어오는 DNS 쿼리를 사용하지 못합니다. 외부 클라이언트 컴퓨터에 대해 DNS 서버를 호스트하는 경우 사용자 지정 DNS 패킷 필터를 추가해야 들어오는 DNS 쿼리를 DNS 서버에서 수신할 수 있습니다. 이런 패킷 필터의 예는 다음과 같습니다.

                    Name: DNS Query
                    Protocol: UDP
                    Direction: Receive Send
                    Local Port: Fixed port, 53
                    Remote Port: All ports
                    Local Computer: Default IP address on the External interface(s)
                    Remote Computer: All Remote Computers

                    DNS 쿼리는 UDP 프로토콜을 사용하는 반면 주 DNS 서버와 보조 DNS 서버 간의 DNS 영역 전송은 TCP(전송 제어 프로토콜) 프로토콜을 사용합니다. ISA Server의 외부 네트워크 어댑터에서 보조 DNS 서버로 DNS 영역 전송이 필요할 경우 다음과 같이 다른 사용자 지정 패킷 필터를 만들어야 합니다.

                    Name: DNS Zone transfer
                    Protocol: TCP
                    Direction: Both
                    Local Port: Fixed port, 53
                    Remote Port: All ports
                    Local Computer: Default IP address on the External interface(s)
                    Remote Computer: All Remote Computers

                    승인 받지 않은 DNS 서버로 DNS 영역이 전송되는 것을 방지하려면 DNS 서버를 설정하여 지정된 DNS 서버로만 영역을 전송할 수 있도록 해야 합니다. 그렇지 않으면 지정된 원격 컴퓨터가 "All Remote Computers" 대신 보조 DNS 서버의 인터넷 프로토콜(IP) 주소가 되도록 이전 패킷 필터를 수정할 수 있습니다. DNS 영역 전송에 대한 자세한 내용은 Windows 2000 온라인 도움말을 참조하십시오.


                    시나리오 2: ISA Server의 개인 네트워크에 있는 DNS 서버

                    ISA Server의 개인 네트워크에 있는 DNS 서버를 사용하여 ISA Server의 네트워크 어댑터에 있는 클라이언트에 대한 DNS 쿼리를 확인하려면 DNS 게시 규칙을 만들어야 합니다.


                    1. Server Publishing Rule을 마우스 오른쪽 단추로 누르고 New를 누른 다음 Rule을 누릅니다.
                    2. 서버 게시 규칙의 이름을 입력하고 Next를 누릅니다.

                    3. 내부 DNS 서버의 IP 주소와 ISA Server의 외부 인터페이스를 입력하고 Next를 입력합니다.

                    4. 프로토콜로 DNS Query Server를 누르고 Next를 누릅니다.

                    5. Any Request에 규칙을 적용하고 Next를 누른 다음 Finish를 누릅니다.

                    ISA Server의 네트워크 어댑터에 있는 보조 DNS 서버로 DNS 영역을 전송해야 하는 경우 다른 서버 게시 규칙을 만들어야 합니다. 앞에서 설명한 DNS 쿼리 규칙과 동일한 일반 지침을 사용하고 프로토콜로 DNS Zone Transfer를 선택합니다.
                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus

                      댓글을 달아 주세요



                      Web Analytics Blogs Directory