아래 내용은 제가 가장 많이 받는 질문들 입니다.
오늘도 어김없이 문의를 하시는 군요. 고객에게 보내드린 메일 내용을 블로그에 올립니다.
당연히 고객 정보는 없이 올리겠죠. (요즘 보안 무서버)
사진들은 왜 안 올라가는지 .. ㅎㅎ 그냥 모르는척
[문의사항]
AD 클라이언트의 TCP/IP 등록정보에 DNS 값을 주 DNS 내부 AD와 보조 DNS를 LG DNS로 설정하면 어떠한 문제가 발생하나요
본사의 정전 등으로 인해 지사에서 본사의 DNS에 쿼리가 되지 않아 인터넷이 되지 않는다면 어떻게 해야 하나요?
클라이언트를 도메인에 참여할 경우 Local Admin에 도메인 멤버를 자동 추가 방법이 있나요?
클라이언트가 도메인에 참여 하였을 경우 해당 컴퓨터의 administrators 그룹에 도메인 관리자 계정이 들어가는 것이 정상인가요?
[문의답변]
AD 클라이언트의 TCP/IP 등록정보에 DNS 값을 주 DNS 내부 AD와 보조 DNS를 LG DNS로 설정하면 어떠한 문제가 발생하나요?
당연히 문제가 됩니다. 클라이언트는 도메인을 찾을 때 DNS의 SRV 레코드 값을 참고 합니다.
이때 LG DNS를 바라 본다면 DC(도메인 컨트롤러)의 정보를 찾지 못해 도메인 인증이 제대로 되지 않는 문제가 발생합니다.
이때 이론적인 내용을 검토한다면
클라이언트는 주 DNS에게 쿼리를 하여 응답을 받습니다.
이 때 응답은 (신뢰, 조회, 긍정, 부정) 4가지의 경우로 답변을 합니다. 이때 부정 응답 (못찾았다)도 응답이라고 보시면 됩니다.
주 DNS에게 쿼리를 했는데 어떠한 응답도 하지 않는다면 3번의 요청 이후 보조 DNS에게 문의를 하게 됩니다.
여기서 가장 많은 질문 : 그럼 보조를 외부 DNS로 두어도 되지 않나요?
그러나 여기서 이론적으로 나오지 않는 문제가 있습니다. 모든 서버에는 네트워크 트레픽 제한이 있습니다.
서버에서 동시 처리 할 수 있는 패킷양이 있으며 이 양을 초과하게 된다면 패킷을 무시하게 됩니다.
예를 들어 오전 출근하고 모두 인터넷을 한다고 한다면 DNS에 순간 트래픽이 초과 되어 병목현상이 발생하게 되는 문제가 나오겠죠.
즉 주 DNS에게 3번의 쿼리를 했으나 병목현상으로 인해 보조에게 쿼리를 하게 됩니다.
이때 보조DNS에는 SRV레코드가 없으므로 AD를 찾지 못하여 정상적인 로그인이 되지 않는 문제가 발생합니다.
즉 DNS는 반드시 DC의 SRV레코드를 바라보는 DNS로 설정해야 합니다. 대부분의 MS DC는 DNS를 구성하는 것이 기본입니다.
본사의 정전 등으로 인해 지사에서 본사의 DNS에 쿼리가 되지 않아 인터넷이 되지 않는다면 어떻게 해야 하나요?
본사에 2대의 DC와 DNS를 가지고 있어 만약에 본사의 정전으로 지사까지 외부 인터넷까지 마비 되는 사태가 발생하는 초유의 사태를 예기 하는 경우 지사 한군데 DC와 DNS를 두고 클라이언트는 본사 지사 두군데를 모두 발라보면 해당 문제는 해결 될 거 같습니다. 이 경우도 역시 외부 DNS를 설정하는 것은 절대 문제가 있습니다.
예외 경우로 내부 DNS를 바라본 경우 인터넷이 느리거나 혹은 특정 사이트에 접속에 문제가 되는 경우가 간혹 있습니다. 이때 KT DNS등을 바라보면 정상적으로 잘 되는 경우가 있습니다.
이 경우의 원인 분석 결과는 모든 DNS는 Root Hint를 기본으로 가지고 있습니다.
기본 Root Hint는 글로벌망을 통해 서비스 되고 이로 인해 망의 문제 혹은 서비스의 문제로 인한 서비스 장애로 판단되어 집니다.
포워드 설정으로 이 문제는 해결이 가능합니다.
루트 힌트를 건들지 마시고 전달자의 값을 설정해 주시면 됩니다. 글로벌소프트에서는 KT로 설정을 해 놓았습니다. 이 경우 가급적 내부 서비스 받고 있는 인터넷 망의 DNS의 IP를 넣어 주시는게 가장 좋습니다.
클라이언트를 도메인에 참여할 경우 Local Admin에 도메인 멤버를 자동 추가 방법이 있나요?
도메인에 클라이언트를 참여하게 되면 도메인의 권한을 부여 받습니다. 즉 기본 값은 Domain Users 권한이죠 (관리자 제외) 이 경우 사용자는 여러가지 불편함을 느낍니다.
글로벌 보안 디자인 상으로는 당연한 결과 이며, 필요한 경우 해당 권한을 부여 받아 사용하게 되어 있습니다.
굳이 권한을 부여 할 경우 Power Users 그룹에 도메인 사용자 권한을 넣어 권한을 부여해라 라고 되어 있습니다. 이때 실질적인 문제가 바로 은행, 관공서 접근 등등 예)주민등록 등본 출력 의 경우 Local Admin 권한이 없다면 출력이 안됩니다.
우리나라의 경우 대부분의 관공서 은행의 요청 권한이 Local Administrator 권한이 필요하게 되어 대부분(일부 글로벌 기업 제외) 도메인 사용자 계정을 로컬 Administrators 그룹에 멤버로 넣게 되죠.
당연히 보안상 권장하지 않는 작업을 자동으로 넣을 방법은 없습니다.
물론 별도의 마이그레이션 툴을 사용하고 해당 툴에서 제공한다면 가능하겠죠. 그러나 기본적인 방법으로는 수동으로 일일이 도메인 참여할 경우 넣어주시는게 정신 건강에 유리 합니다.
클라이언트가 도메인에 참여 하였을 경우 해당 컴퓨터의 administrators 그룹에 도메인 관리자 계정이 들어가는 것이 정상인가요?
네 당연히 정상입니다.
클라이언트가 도메인 참여 작업을 할 경우 해당 컴퓨터의 모든 관리 권한을 도메인 관리자에게 위임되게 됩니다. 이때 해당 권한으로 로컬 administrators 그룹에 도메인 관리자 계정이 자동으로 들어가게 됩니다.
이 작업은 관리상 반드시 필요한 사항이며 별도로 제거하는 것은 권장하지 않습니다.
질문에 대한 답이 기네요… 에고 머리 속에 있는 것을 막 타이핑 하다보니 저도 손가락이 아프네요. ㅎㅎ
또 다른 추가 질문 있으시면 연락 주세요.
수고하세요.
댓글