Windows Server 2003에서 DNS 동적 업데이트를 구성하는 방법

이 문서에서는 Microsoft Windows Server 2003에서 DNS 업데이트 기능을 구성하는 방법을 설명합니다.

원래 제품 버전:   Windows Server 2012 R2
원래 KB 번호:   816592

요약

DNS 업데이트 기능을 사용하면 DNS 클라이언트 컴퓨터가 변경이 발생할 때마다 리소스 레코드를 DNS 서버로 등록하고 동적으로 업데이트할 수 있습니다. 이 기능을 사용하는 경우 영역 레코드를 수동으로 관리해야 하는 요구 사항을 줄일 수 있습니다. 특히 DHCP(Dynamic Host Configuration Protocol)를 자주 이동하여 IP 주소를 얻는 클라이언트의 경우 그에 대한 요구 사항을 줄일 수 있습니다.

Windows Server 2003에서는 RFC(Request for Comments) 2136에 설명된 동적 업데이트 기능을 제공합니다. DNS 서버의 경우 DNS 서비스를 사용하면 표준 기본 영역 또는 디렉터리 통합 영역 중 하나를 로드하도록 구성된 각 서버에서 영역별로 DNS 업데이트 기능을 사용하도록 설정하거나 사용하지 않도록 설정할 수 있습니다.

Windows Server 2003 DNS 업데이트 기능

DNS 서비스를 사용하면 클라이언트 컴퓨터가 DNS에서 리소스 레코드를 동적으로 업데이트할 수 있습니다. 이 기능을 사용하면 영역 레코드를 수동으로 관리하는 데 필요한 시간을 줄여 DNS 관리를 개선할 수 있습니다. 컴퓨터의 IP 주소가 변경될 때 DHCP와 함께 DNS 업데이트 기능을 사용하여 리소스 레코드를 업데이트할 수 있습니다. Windows Server 2003을 실행하는 컴퓨터는 동적 업데이트를 보낼 수 있습니다.

Windows Server 2003에서는 DNS 동적 업데이트 프로토콜과 관련된 다음과 같은 기능을 제공합니다.

  • Active Directory 디렉터리 서비스를 도메인 컨트롤러에 대한 로케이터 서비스로 사용

  • Active Directory와의 통합

    DNS 영역은 Active Directory에 통합하여 내결결성 및 보안을 강화할 수 있습니다. 모든 Active Directory 통합 영역은 Active Directory 도메인의 모든 도메인 컨트롤러에서 복제됩니다. 이러한 도메인 컨트롤러에서 실행되는 모든 DNS 서버는 영역의 기본 서버로 사용할 수 있으며 동적 업데이트를 수락할 수 있습니다. Active Directory는 속성에 따라 복제하며 관련 변경 내용만 전파합니다.

  • 레코드의 에이징 및 지우기

    DNS Server 서비스는 더 이상 필요하지 않으면 레코드를 검색하고 제거할 수 있습니다. 이 기능을 사용하도록 설정하면 기존 레코드가 DNS에 남아 있는 것을 방지할 수 있습니다.

  • Active Directory 통합 영역의 동적 업데이트 보호

    권한이 부여된 사용자만 영역이나 레코드를 변경할 수 있도록 보안 동적 업데이트에 대해 Active Directory 통합 영역 구성할 수 있습니다.

  • 명령 프롬프트에서 관리

  • 이름 확인이 향상됩니다.

  • 향상된 캐싱 및 음수 캐싱

  • 다른 DNS 서버 구현과의 상호 실행성

  • 다른 네트워크 서비스와의 통합

  • 증분 영역 전송.

Windows Server 2003 기반 컴퓨터가 DNS 이름을 업데이트하는 방법

기본적으로 Windows Server 2003을 실행하고 TCP/IP에 대해 정적으로 구성된 컴퓨터는 설치된 네트워크 연결에서 구성하고 사용하는 IP 주소에 대해 호스트 주소(A) 및 PTR(포인터) 리소스 레코드를 동적으로 등록하려고 시도합니다. 기본적으로 모든 컴퓨터 등록 레코드는 전체 컴퓨터 이름을 기반으로 합니다.

Windows Server 2003 기반 컴퓨터의 경우 기본 전체 컴퓨터 이름은 FQDN(정규화 된 도메인 이름)입니다. 또한 기본 전체 컴퓨터 이름은 컴퓨터 이름에 추가된 컴퓨터의 주 DNS 접미사입니다. 컴퓨터의 주 DNS 접미사와 컴퓨터 이름을 확인하려면 내 컴퓨터를 마우스 오른쪽 단추로 클릭하고 속성을 클릭한 다음 컴퓨터 이름을 클릭합니다.

다음 이유나 이벤트 중 하나에 대해 DNS 업데이트를 보낼 수 있습니다.

  • 설치된 네트워크 연결 중 하나에 대한 TCP/IP 속성 구성에서 IP 주소가 추가, 제거 또는 수정됩니다.
  • IP 주소 임대는 DHCP 서버와의 설치된 네트워크 연결을 변경하거나 갱신합니다. 예를 들어 이 업데이트는 컴퓨터가 시작되거나 명령을 사용할 때 ipconfig /renew 발생합니다.
  • 이 명령을 사용하여 수동으로 DNS에서 클라이언트 이름 등록을 ipconfig /registerdns 강제로 업데이트합니다.
  • 컴퓨터가 켜져 있습니다.
  • 구성원 서버가 도메인 컨트롤러로 승격됩니다.

이러한 이벤트 중 하나에서 DNS 업데이트를 트리거하면 DNS 클라이언트 서비스가 아닌 DHCP 클라이언트 서비스가 업데이트를 전송합니다. DHCP로 IP 주소 정보가 변경되는 경우 DNS의 해당 업데이트가 수행하여 컴퓨터의 이름-주소 매핑을 동기화합니다. DHCP 클라이언트 서비스는 시스템의 모든 네트워크 연결에 대해 이 기능을 실행합니다. 여기에는 DHCP를 사용하도록 구성되지 않은 연결이 포함됩니다.

참고

  • DHCP를 사용하여 IP 주소를 얻는 Windows Server 2003 기반 컴퓨터의 업데이트 프로세스는 이 섹션에 설명된 프로세스와 다릅니다. 자세한 내용은 "DNS와 DHCP 통합" 섹션 및 "Windows DHCP 클라이언트 및 DNS 동적 업데이트 프로토콜" 섹션을 참조하세요.
  • 이 섹션에서 설명하는 업데이트 프로세스에서는 Windows Server 2003 설치 기본값이 적용된 것으로 가정합니다. 고급 TCP/IP 속성이 기본이 아닌 DNS 설정을 사용하도록 구성된 경우 특정 이름 및 업데이트 동작을 사용할 수 없습니다.
  • 전체 컴퓨터 이름 또는 컴퓨터의 기본 이름 외에 추가 연결 관련 DNS 이름을 구성하고 선택적으로 DNS에 등록하거나 업데이트할 수 있습니다.

기본적으로 Windows XP 및 Windows Server 2003은 컴퓨터 역할에 관계없이 A 및 PTR 리소스 레코드를 24시간마다 다시 기록합니다. 이 시간을 변경하기 위해 다음 레지스트리 하위 키 아래에 DefaultRegistrationRefreshInterval 레지스트리 항목을 추가합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters

간격은 초로 설정됩니다.

DNS 업데이트 작동 방식의 예

Windows Server 2003의 경우 일반적으로 컴퓨터의 DNS 이름 또는 IP 주소가 변경될 때 동적 업데이트가 요청됩니다. 예를 들어 "oldhost"라는 클라이언트는 먼저 시스템 속성에서 다음 이름을 가지도록 구성됩니다.
컴퓨터 이름: oldhost
컴퓨터의 DNS 도메인 이름: example.microsoft.com
전체 컴퓨터 이름: oldhost.example.microsoft.com

이 예에서는 컴퓨터에 대해 연결별 DNS 도메인 이름이 구성되지 않습니다. 컴퓨터 이름을 "oldhost"에서 "newhost"로 변경하면 다음과 같은 이름이 변경됩니다.
컴퓨터 이름: newhost
컴퓨터의 DNS 도메인 이름: example.microsoft.com
전체 컴퓨터 이름: newhost.example.microsoft.com

시스템 속성에 이름 변경이 적용된 후 Windows Server 2003에서 컴퓨터를 다시 시작하라는 메시지가 표시됩니다. 컴퓨터가 Windows를 다시 시작하면 DHCP 클라이언트 서비스는 다음 순서를 수행하여 DNS를 업데이트합니다.

  1. DHCP 클라이언트 서비스는 컴퓨터의 DNS 도메인 이름을 사용하여 SOA(권한) 형식 쿼리를 전송합니다.

    클라이언트 컴퓨터는 현재 구성된 컴퓨터의 FQDN(예: ")을 이 쿼리에 지정된 이름으로 newhost.example.microsoft.com 사용합니다.

  2. 클라이언트 FQDN이 포함된 영역의 권한이 있는 DNS 서버가 SOA 형식 쿼리에 응답합니다.

    표준 기본 영역의 경우 SOA 쿼리 응답에 반환되는 기본 서버 또는 소유자는 고정 및 정적입니다. 기본 서버 이름은 항상 영역과 함께 저장된 SOA 리소스 레코드에 표시되는 정확한 DNS 이름과 일치합니다. 그러나 업데이트되는 영역이 디렉터리와 통합된 경우 해당 영역이 로드되는 모든 DNS 서버는 SOA 쿼리 응답에서 영역의 기본 서버로 자체 이름을 동적으로 삽입할 수 있습니다.

  3. DHCP 클라이언트 서비스가 주 DNS 서버에 연결합니다.

    클라이언트는 이름에 대한 SOA 쿼리 응답을 처리하여 이름을 수락하기 위한 기본 서버로 권한이 부여된 DNS 서버의 IP 주소를 확인할 수 있습니다. 필요한 경우 클라이언트는 다음 단계를 수행하여 기본 서버에 연결하고 해당 기본 서버를 동적으로 업데이트합니다.

    1. 클라이언트는 SOA 쿼리 응답에서 결정되는 기본 서버로 동적 업데이트 요청을 전송합니다.

      업데이트가 성공하면 추가 작업이 수행되지 않습니다.

    2. 이 업데이트가 실패하면 클라이언트는 SOA 레코드에 지정된 영역 이름에 대한 NS 형식 쿼리를 전송합니다.

    3. 클라이언트가 이 쿼리에 대한 응답을 받으면 클라이언트는 응답에 나열된 첫 번째 DNS 서버로 SOA 쿼리를 전송합니다.

    4. SOA 쿼리가 확인되면 클라이언트는 반환된 SOA 레코드에 지정된 서버로 동적 업데이트를 전송합니다.

      업데이트가 성공하면 추가 작업이 수행되지 않습니다.

    5. 이 업데이트가 실패하면 클라이언트는 응답에 나열된 다음 DNS 서버로 보내 SOA 쿼리 프로세스를 반복합니다.

  4. 업데이트를 수행할 수 있는 기본 서버에 연결하면 클라이언트가 업데이트 요청을 보내고 서버는 업데이트를 처리합니다.

    업데이트 요청의 내용에는 ""에 대한 리소스 레코드인 A 및 PTR을 추가하고 " "에 대해 동일한 레코드 형식을 제거하는 지침이 newhost.example.microsoft.com oldhost.example.microsoft.com 포함되어 있습니다. (" " 는 이전에 등록된 oldhost.example.microsoft.com 이름입니다.)

    또한 서버는 클라이언트 요청에 대해 업데이트가 허용되어 있는지 확인합니다. 표준 기본 영역의 경우 동적 업데이트가 보안되지 않습니다. 업데이트하려는 클라이언트가 성공합니다. Active Directory 통합 영역의 경우 디렉터리 기반 보안 설정을 사용하여 업데이트가 보호되고 수행됩니다.

동적 업데이트는 주기적으로 보내거나 새로 고쳐지며, 기본적으로 컴퓨터는 24시간마다 업데이트를 전송합니다. 업데이트로 인해 영역 데이터가 변경되지 않고 영역이 현재 버전으로 유지되어 변경 내용이 기록되지 않습니다. 실제 영역 변경 또는 영역 전송을 발생하게 하는 업데이트는 이름이나 주소가 실제로 변경된 경우만 발생합니다.

참고

이름이 비활성으로되거나 24시간의 업데이트 간격 내에 업데이트되지 않으면 DNS 영역에서 제거되지 않습니다. DNS 클라이언트는 새 이름 또는 주소 변경이 적용될 때 이전 이름 레코드를 삭제하거나 업데이트하려고 하지만 DNS는 이름을 해제하거나 삭제 표시하는 메커니즘을 사용하지 않습니다.

DHCP 클라이언트 서비스가 Windows Server 2003 기반 컴퓨터에 대해 A 및 PTR 리소스 레코드를 등록하면 클라이언트는 호스트 레코드에 대해 기본 TTL(캐싱 시간 대 라이브) 값인 15분을 사용하게 됩니다. 이 값은 다른 DNS 서버 및 클라이언트가 쿼리 응답에 포함될 때 컴퓨터의 레코드를 캐시하는 기간을 확인합니다.

DHCP와 DNS 통합

Windows Server 2003에서는 DHCP 서버가 이러한 업데이트를 지원하는 클라이언트 중 하나에 대해 DNS 네임스페이스에서 동적 업데이트를 사용하도록 설정할 수 있습니다. 범위 클라이언트는 DHCP 할당 주소가 변경될 때마다 DNS 동적 업데이트 프로토콜을 사용하여 호스트 이름과 주소 매핑 정보를 업데이트할 수 있습니다. 이 매핑 정보는 DNS 서버의 영역으로 저장됩니다. Windows Server 2003 기반 DHCP 서버는 모든 DNS 서버에 대한 DHCP 클라이언트를 대신하여 업데이트를 수행할 수 있습니다.

DHCP/DNS 업데이트 상호 작용의 작동 방식

DHCP 서버를 사용하여 서버의 DHCP 사용 클라이언트 대신 PTR 및 A 리소스 레코드를 등록하고 업데이트할 수 있습니다. 이렇게 할 때 추가 DHCP 옵션인 클라이언트 FQDN 옵션(옵션 81)을 사용해야 합니다. 이 옵션을 사용하면 클라이언트가 해당 FQDN을 DHCPREQUEST 패킷의 DHCP 서버로 보낼 수 있습니다. 이렇게 하면 클라이언트가 필요한 서비스 수준에 대해 DHCP 서버에 알릴 수 있습니다.

FQDN 옵션에는 다음과 같은 여섯 가지 필드가 포함됩니다.

  • 코드
    이 옵션(81)의 코드를 지정합니다.
  • Len
    이 옵션의 길이를 지정합니다. (이 제한은 4 이상이 되어야 합니다.)
  • 플래그
    서비스 유형을 지정합니다.
  • 0
    클라이언트는 "A"(호스트) 레코드를 등록합니다.
  • 1
    클라이언트는 DHCP가 "A"(호스트) 레코드를 등록하기를 원합니다.
  • 3
    DHCP는 클라이언트의 요청에 관계없이 "A"(호스트) 레코드를 등록합니다.
  • RCODE1
    서버가 클라이언트에 보내는 응답 코드를 지정합니다.
  • RCODE2
    RCODE1의 추가 선형을 지정합니다.
  • Domain Name
    클라이언트의 FQDN을 지정합니다.

클라이언트가 DNS에 리소스 레코드를 등록할 경우 클라이언트는 RFC(Request for Comments) 2136당 동적 UPDATE 요청을 생성해야 합니다. 그런 다음 DHCP 서버가 해당 PTR(포인터) 레코드를 등록합니다.

이 옵션은 Windows Server 2003, Microsoft Windows 2000 또는 Microsoft Windows XP를 실행하는 DHCP 사용 가능 컴퓨터와 같은 적격 DHCP 클라이언트에서 발급했다고 가정합니다. 이 경우 이 옵션은 Windows Server 2003 기반 DHCP 서버에서 처리 및 해석하여 서버가 클라이언트를 대신하여 업데이트를 시작하는 방법을 확인합니다.

예를 들어 다음 구성 중 하나를 사용하여 클라이언트 요청을 처리합니다.

  • DHCP 서버는 클라이언트 요청에 따라 구성된 DNS 서버로 클라이언트 정보를 등록하고 업데이트합니다.

    Windows Server 2003, Windows 2000 또는 Windows XP를 실행하는 Windows Server 2003 기반 DHCP 서버 및 클라이언트의 기본 구성입니다. 이 모드에서는 이러한 Windows DHCP 클라이언트 중 하나에서 DHCP 서버가 호스트 A 및 PTR 리소스 레코드를 업데이트하는 방법을 지정할 수 있습니다. 가능한 경우 DHCP 서버는 DNS의 이름 및 IP 주소 정보에 대한 업데이트를 처리하기 위한 클라이언트 요청을 처리합니다.

    클라이언트의 요청에 따라 클라이언트 정보를 등록하도록 DHCP 서버를 구성하기 위해 다음 단계를 수행합니다.

    1. 서버 또는 개별 범위에 대한 DHCP 속성을 열 수 있습니다.
    2. DNS 탭을 클릭하고 속성을 클릭한 다음 DHCP 클라이언트에서 요청한 경우 동적으로 업데이트되는 DNS A 및 PTR 레코드를 클릭하여 선택합니다.
  • DHCP 서버는 항상 구성된 DNS 서버로 클라이언트 정보를 등록하고 업데이트합니다.

    Windows Server 2003, Windows 2000 또는 Windows XP를 실행하는 Windows Server 2003 기반 DHCP 서버 및 클라이언트에 대해 지원되는 수정된 구성입니다. 이 모드에서 DHCP 서버는 클라이언트가 자체 업데이트를 수행하기를 요청한지 여부에 관계없이 항상 클라이언트의 FQDN 및 임대 IP 주소 정보를 업데이트합니다.

    구성된 DNS 서버로 클라이언트 정보를 등록하고 업데이트하도록 DHCP 서버를 구성하기 위해 다음 단계를 수행합니다.

    1. 서버의 DHCP 속성 열기
    2. DNS를 클릭하고 속성을 클릭하고 아래 확인란에 따라 DNS 동적 업데이트 사용을 클릭하여 선택한 다음 항상 DNS A 및 PTR 레코드를 동적으로 업데이트합니다.
  • DHCP 서버는 구성된 DNS 서버로 클라이언트 정보를 등록하고 업데이트하지 않습니다.

    이 구성을 사용하려면 DHCP/DNS Proxied 업데이트의 성능을 사용하지 않도록 DHCP 서버를 구성해야 합니다. 이 구성을 사용하면 DHCP 클라이언트에 대한 DNS에서 클라이언트 호스트 A 또는 PTR 리소스 레코드가 업데이트되지 않습니다.

    클라이언트 정보를 업데이트하지 못하도록 서버를 구성하기 위해 다음 단계를 수행합니다.

    1. Windows Server 2003 기반 DHCP 서버에서 DHCP 서버 또는 해당 범위 중 하나에 대한 DHCP 속성을 열 수 있습니다.
    2. DNS를 클릭하고 속성을 클릭한 다음 아래 확인란의 설정에 따라 DNS 동적 업데이트 사용 선택을 취소합니다.

    기본적으로 새로 설치된 Windows Server 2003 기반 DHCP 서버 및 새로 만드는 범위에 대해 업데이트가 항상 수행됩니다.

Windows DHCP 클라이언트 및 DNS 동적 업데이트 프로토콜

Windows Server 2003, Windows 2000, Windows XP 또는 이전 운영 체제를 실행하는 DHCP 클라이언트는 DHCP/DNS 상호 작용을 수행할 때 다르게 상호 작용할 수 있습니다. 다음 예제에서는 이 프로세스가 서로 다른 경우를 보여 주며,

Windows Server 2003 기반, Windows 2000 기반 및 Windows XP 기반 DHCP 클라이언트에 대한 DHCP/DNS 업데이트 상호 작용의 예

Windows Server 2003, Windows 2000 또는 Windows XP DHCP를 실행하는 클라이언트는 다음과 같은 방식으로 DNS 동적 업데이트 프로토콜과 상호 작용합니다.

  1. 클라이언트가 서버에 대한 DHCP 요청 메시지(DHCPREQUEST)를 시작됩니다. 요청에는 옵션 81이 포함됩니다.
  2. 서버는 DHCPACK(DHCPACK) 확인 메시지를 클라이언트에 반환합니다. 클라이언트는 IP 주소 임대를 부여하고 옵션 81을 포함합니다. DHCP 서버가 기본 설정으로 구성된 경우 옵션 81은 DHCP 서버가 DNS PTR 레코드를 등록하고 클라이언트가 DNS A 레코드를 등록하도록 클라이언트에 알렸다.
  3. 클라이언트는 비동기적으로 자체 정방 지원 레코드인 호스트 A 리소스 레코드에 대한 DNS 업데이트 요청을 DNS 서버로 전송합니다.
  4. DHCP 서버는 클라이언트의 PTR 레코드를 등록합니다.

Windows Server 2003 이전 버전의 Windows를 사용하는 Windows 기반 DHCP 클라이언트에 대한 DHCP/DNS 업데이트 상호 작용의 예

이전 버전의 Windows 기반 DHCP 클라이언트는 DNS 동적 업데이트 프로세스를 직접 지원하지 않고 DNS 서버와 직접 상호 작용할 수 없습니다. 이러한 DHCP 클라이언트의 경우 일반적으로 업데이트는 다음과 같은 방식으로 처리됩니다.

  1. 클라이언트가 서버에 대한 DHCP 요청 메시지(DHCPREQUEST)를 시작됩니다. 이 요청에는 옵션 81이 포함되어 있지 않습니다.
  2. 서버는 DHCPACK(DHCPACK) 확인 메시지를 클라이언트에 반환합니다. 클라이언트는 옵션 81이 없는 IP 주소 임대를 부여합니다.
  3. 서버는 클라이언트의 정방향 업데이트 레코드, 호스트 A 리소스 레코드에 대한 업데이트를 DNS 서버로 보내고 클라이언트의 PTR 역방향 업데이트 레코드에 대한 업데이트를 전송합니다.

동적 업데이트 보안

Windows Server 2003의 경우 DNS 업데이트 보안은 Active Directory에 통합된 영역만 사용할 수 있습니다. 영역 통합 후 DNS 스냅인에서 사용할 수 있는 ACL(액세스 제어 목록) 편집 기능을 사용하여 특정 영역 또는 리소스 레코드에 대한 사용자 또는 그룹을 ACL에서 추가하거나 제거할 수 있습니다.

자세한 내용은 Windows Server 2003 도움말에서 "리소스 레코드에 대한 보안을 수정하려면" 항목 또는 "디렉터리 통합 영역의 보안을 수정하려면" 항목을 참조하세요.

기본적으로 Windows Server 2003 DNS 서버 및 클라이언트에 대한 동적 업데이트 보안은 다음과 같은 방식으로 처리됩니다.

  1. Windows Server 2003 기반 DNS 클라이언트는 비보안 동적 업데이트를 먼저 사용하려고 시도합니다. 비보안 업데이트가 거부된 경우 클라이언트는 보안 업데이트를 사용하려고 합니다.

    또한 클라이언트는 업데이트 보안에 의해 특별히 차단되지 않는 한 이전에 등록된 리소스 레코드를 덮어 사용할 수 있는 기본 업데이트 정책을 사용하게 됩니다.

  2. 기본적으로 영역이 Active Directory에 통합된 후 Windows Server 2003 기반 DNS 서버는 보안 동적 업데이트만 사용하도록 설정할 수 있습니다.

기본적으로 표준 영역 저장소를 사용하는 경우 DNS 서버 서비스는 해당 영역의 동적 업데이트를 사용하도록 설정하지 않습니다. 디렉터리 통합 또는 표준 파일 기반 저장소를 사용하는 영역의 경우 모든 동적 업데이트를 사용하도록 해당 영역이 변경될 수 있습니다. 이렇게 하면 보안 업데이트 사용을 전달하여 모든 업데이트를 수락할 수 있습니다.

중요

DHCP 서버 서비스는 동적 업데이트를 지원하지 않는 레거시 클라이언트에 대해 프록시 등록 및 DNS 레코드 업데이트를 수행할 수 있습니다. 자세한 내용은 Windows Server 2003 도움말의 "DHCP와 함께 DNS 서버 사용" 항목을 참조하세요.

네트워크에서 여러 Windows Server 2003 기반 DHCP 서버를 사용하고 보안 동적 업데이트만 사용하도록 영역이 구성된 경우 Active Directory 사용자 및 컴퓨터 스냅인을 사용하여 기본 제공 DnsUpdateProxy 그룹에 DHCP 서버 컴퓨터를 추가합니다. 이 작업을 수행하면 모든 DHCP 서버에 DHCP 클라이언트 중 하나에 대한 프록시 업데이트를 수행할 수 있는 보안 권한도 있습니다. 자세한 내용은 Windows Server 2003 도움말의 "DHCP에서 DNS 서버 사용" 항목 또는 "그룹 관리" 항목을 참조하세요.

주의

다음 조건에 해당하면 보안 동적 업데이트 기능이 손상될 수 있습니다.

  • Windows Server 2003 기반 도메인 컨트롤러에서 DHCP 서버를 실행합니다.
  • DHCP 서버는 클라이언트를 대신하여 DNS 레코드 등록을 수행하도록 구성됩니다. 이 문제를 방지하려면 DHCP 서버 및 도메인 컨트롤러를 별도의 컴퓨터에 배포하거나 동적 업데이트에 전용 사용자 계정을 사용하도록 DHCP 서버를 구성합니다. 자세한 내용은 Windows Server 2003 도움말의 "DHCP와 함께 DNS 서버 사용" 항목을 참조하세요.

자세한 내용은 "DnsUpdateProxy 그룹을 사용할 때의 보안 고려 사항" 섹션을 참조하세요.

보안 동적 업데이트만 사용하도록 설정

  1. 시작 을 클릭하고 관리 도구 를 가리킨 다음 DNS 를 클릭합니다.
  2. DNS에서 해당 DNS 서버를 두 번 클릭하고 정방향 검색 영역 또는 역방향 검색 영역, 해당 영역의 마우스 오른쪽 단추를 클릭합니다.
  3. 속성 을 클릭합니다.
  4. 일반 탭에서 영역 유형이 Active Directory에 통합되어 있는지 확인합니다.
  5. 동적 업데이트 상자에서 보안만 클릭합니다.
  6. 확인 을 클릭합니다.

참고

보안 동적 업데이트 기능은 Active Directory 통합된 영역만 지원됩니다. 다른 영역 유형을 구성하는 경우 영역 유형을 변경한 다음 DNS 업데이트를 위해 보호하기 전에 해당 영역과 통합합니다. 동적 업데이트는 DNS 표준에 대한 RFC 규격 확장입니다. DNS 업데이트 프로세스는 RFC 2136 "Domain Name System의 동적 업데이트(DNS UPDATE)"에 정의되어 있습니다.

DnsUpdateProxy 보안 그룹 사용

DHCP 클라이언트를 대신하여 호스트 A 및 PTR 리소스 레코드를 동적으로 등록하도록 Windows Server 2003 기반 DHCP 서버를 구성할 수 있습니다. Windows Server 2003 기반 DNS 서버에서 이 구성에서 보안 동적 업데이트를 사용하는 경우 리소스 레코드가 부실해질 수 있습니다.

예를 들어 다음 시나리오를 고려합니다.

  1. Windows Server 2003 DHCP 서버(DHCP1)는 특정 DNS 도메인 이름에 대한 클라이언트 중 하나를 대신하여 보안 동적 업데이트를 실행합니다.
  2. DHCP 서버가 이름을 성공적으로 만들었다면 이 서버는 이름의 소유자가 됩니다.
  3. DHCP 서버가 클라이언트 이름의 소유자가 된 후 DHCP 서버만 이름을 업데이트할 수 있습니다.

경우에 따라 이 시나리오로 인해 문제가 발생할 수 있습니다. 예를 들어 DHCP1이 실패하고 두 번째 백업 DHCP 서버가 온라인이 될 경우 서버가 이름의 소유자가 아니기 때문에 백업 서버에서 클라이언트 이름을 업데이트할 수 없습니다.

다른 예에서는 DHCP 서버가 레거시 클라이언트에 대해 동적 업데이트를 수행된다고 가정합니다. 이러한 클라이언트를 Windows Server 2003, Windows 2000 또는 Windows XP로 업그레이드하는 경우 업그레이드된 클라이언트는 소유권을 가지거나 해당 DNS 레코드를 업데이트할 수 없습니다.

이 문제를 해결하기 위해 DnsUpdateProxy라는 기본 제공 보안 그룹이 제공됩니다. 모든 DHCP 서버를 DnsUpdateProxy 그룹에 추가하면 첫 번째 서버가 실패할 경우 다른 서버에서 한 서버의 레코드를 업데이트할 수 있습니다. 또한 DnsUpdateProxy 그룹의 구성원이 만든 모든 개체는 보안되지 않습니다. 따라서 DnsUpdateProxy 그룹의 구성원이 아니며 DNS 이름과 연결된 레코드 집합을 수정하는 첫 번째 사용자가 소유자가 됩니다. 레거시 클라이언트가 업그레이드될 때 DNS 서버에서 해당 이름 레코드의 소유권을 사용할 수 있습니다. 레거시 클라이언트에 대한 리소스 레코드를 등록하는 모든 DHCP 서버가 DnsUpdateProxy 그룹의 구성원인 경우 많은 문제가 제거됩니다.

DnsUpdateProxy 그룹에 구성원 추가

Active Directory 사용자 및 컴퓨터 스냅인을 사용하여 DnsUpdateProxy 보안 그룹을 구성합니다.

참고

내결제성 및 보안 동적 업데이트에 여러 DHCP 서버를 사용하는 경우 DnsUpdateProxy 전역 보안 그룹에 각 서버를 추가합니다.

DnsUpdateProxy 그룹을 사용할 때의 보안 고려 사항

DHCP 서버가 DnsUpdateProxy 그룹의 구성원인 경우 DHCP 서버에서 등록된 DNS 도메인 이름은 안전하지 않습니다. DHCP 서버 자체의 호스트(A) 리소스 레코드는 이러한 레코드의 예입니다. 또한 DnsUpdateProxy 그룹의 구성원이 만든 개체는 안전하지 않습니다. 따라서 그룹의 구성원이 만든 레코드를 보호하는 추가 단계를 수행하지 않으면 동적 업데이트 보안만 사용하도록 설정하는 Active Directory 통합 영역의 경우 이 그룹을 효과적으로 사용할 수 없습니다.

비보안 레코드로부터 보호하거나 DnsUpdateProxy 그룹의 구성원이 보안 동적 업데이트만 사용하도록 설정하는 영역의 레코드를 등록할 수 있도록 설정하려면 다음 단계를 수행합니다.

  1. 전용 사용자 계정을 만드시다.
  2. 사용자 계정 자격 증명을 사용하여 DNS 동적 업데이트를 수행하도록 DHCP 서버를 구성합니다. 이러한 자격 증명은 사용자 이름, 암호 및 도메인입니다.

하나의 전용 사용자 계정의 자격 증명은 여러 DHCP 서버에서 사용할 수 있습니다.

전용 사용자 계정은 DNS 동적 업데이트 등록을 위한 자격 증명을 DHCP 서버에 제공하기 위한 용도로만 사용하는 사용자 계정입니다. 전용 사용자 계정을 만들며 계정 자격 증명으로 DHCP 서버를 구성했다고 가정합니다. 각 DHCP 서버는 DNS 동적 업데이트를 사용하는 DHCP 클라이언트를 대신하여 이름을 등록할 때 이러한 자격 증명을 제공합니다. 업데이트할 영역의 기본 DNS 서버가 있는 포리스트에 전용 사용자 계정을 만들어야 합니다. 전용 사용자 계정은 다른 포리스트에도 위치할 수 있습니다. 그러나 계정이 있는 포리스트에는 영역이 업데이트될 기본 DNS 서버가 포함된 포리스트와의 포리스트 트러스트가 설정되어 있어야 합니다.

DHCP 서버 서비스가 도메인 컨트롤러에 설치된 경우 서버가 도메인 컨트롤러의 기능을 상속하고 오용하는 것을 방지하기 위해 전용 사용자 계정의 자격 증명을 사용하여 DHCP 서버를 구성할 수 있습니다. DHCP 서버 서비스가 도메인 컨트롤러에 설치되면 도메인 컨트롤러의 보안 권한을 상속합니다. 또한 이 서비스에는 보안 Active Directory 통합된 영역으로 등록된 DNS 레코드를 업데이트하거나 삭제할 수 있는 권한이 있습니다. 여기에는 다른 Windows 2000 기반 또는 Windows Server 2003 기반 컴퓨터와 도메인 컨트롤러에 의해 안전하게 등록된 레코드가 포함됩니다.

DNS 동적 업데이트 구성

Windows Server 2003에 포함된 동적 업데이트 기능은 RFC 2136을 따르는 기능입니다. 동적 업데이트를 사용하면 클라이언트와 서버가 RFC 2136 호환 DNS 서버에 DNS 도메인 이름(PTR 리소스 레코드) 및 IP 주소 매핑(리소스 레코드)을 등록할 수 있습니다.

DHCP 클라이언트에 대한 DNS 동적 업데이트 구성

기본적으로 Windows Server 2003 기반, Windows 2000 기반 및 Windows XP 기반 DHCP 클라이언트는 클라이언트가 A 리소스 레코드를 등록하고 서버에서 PTR 리소스 레코드를 등록하도록 구성됩니다. 기본적으로 DNS 등록에 사용되는 이름은 컴퓨터 이름과 주 DNS 접미사의 연결입니다. 이 기본 이름을 변경하기 위해 네트워크 연결의 TCP/IP 속성을 갖습니다.

동적 업데이트 클라이언트에서 동적 업데이트 기본값을 변경하기 위해 다음 단계를 수행합니다.

  1. 제어판에서 네트워크 연결을 두 번 클릭합니다.

  2. 구성할 연결을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  3. 인터넷 프로토콜(TCP/IP)을 클릭하고 속성을 클릭한 다음 고급을 클릭합니다.

  4. DNS를 클릭합니다.

    기본적으로 DNS에 이 연결의 주소를 등록하면 DNS 등록에 이 연결의 DNS 접미사 사용이 선택되어 있지 않습니다. 이 기본 구성을 통해 클라이언트는 클라이언트가 A 리소스 레코드를 등록하고 서버에서 PTR 리소스 레코드를 등록할 수 있습니다.

  5. DNS 등록 확인란에서 이 연결의 DNS 접미사 사용을 클릭하여 선택합니다.

    그러면 클라이언트는 FQDN을 사용하여 서버가 PTR 레코드를 업데이트할 수 있는 업데이트를 요청합니다. DHCP 서버가 클라이언트의 요청에 따라 DNS 레코드를 등록하도록 구성된 경우 클라이언트는 다음 레코드를 등록합니다.

    • PTR 레코드입니다.
    • 컴퓨터 이름 및 주 DNS 접미사와 연결된 이름을 사용하는 A 레코드입니다.
    • 컴퓨터 이름과 연결 관련 DNS 접미사와 연결되어 있는 이름을 사용하는 A 레코드입니다.
  6. DNS 등록을 요청할 수 없는 클라이언트를 구성하려면 DNS 확인란에서 이 연결의 주소 등록을 선택 취소합니다.

다중Homed 클라이언트 컴퓨터에서 DNS 동적 업데이트 구성

동적 업데이트 클라이언트가 다중homed인 경우 기본적으로 모든 IP 주소를 DNS에 등록합니다. 클라이언트에 어댑터와 연결된 IP 주소가 두 개 이상 있는 경우 멀티코미드됩니다. 클라이언트가 모든 IP 주소를 등록하지 못하게 하려는 경우 네트워크 연결 속성에 하나 이상의 IP 주소를 등록하지 못하도록 구성할 수 있습니다.

컴퓨터가 모든 IP 주소를 등록하지 못하게 방지하려면 다음 단계를 수행합니다.

  1. 제어판에서 네트워크 연결을 두 번 클릭합니다.
  2. 구성할 연결을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
  3. 인터넷 프로토콜(TCP/IP)을 클릭하고 속성을 클릭한 다음 고급을 클릭합니다.
  4. DNS를 클릭합니다.
  5. DNS 확인란에서 이 연결의 주소 등록을 클릭하여 선택을 취소합니다.

DNS에 해당 도메인 이름을 등록하도록 컴퓨터를 구성할 수도 있습니다. 예를 들어 클라이언트가 서로 다른 두 네트워크에 연결되어 있는 경우 각 네트워크에 서로 다른 도메인 이름을 지정하도록 클라이언트를 구성할 수 있습니다.

Windows Server 2003 기반 DHCP 서버에서 DNS 동적 업데이트 구성

Windows Server 2003 기반 DHCP 서버에 대해 DNS 동적 업데이트를 구성하기 위해 다음 단계를 수행합니다.

  1. 시작을 클릭하고 관리 도구를 클릭한 다음 DHCP를 클릭합니다.

  2. 적절한 DHCP 서버 또는 범위를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  3. DNS를 클릭합니다.

  4. 동적 업데이트를 지원하는 클라이언트에 대해 DNS 동적 업데이트를 사용하도록 설정하려면 아래 확인란에 따라 DNS 동적 업데이트 사용을 클릭하여 선택합니다.

    참고

    이 확인란은 기본적으로 선택 됩니다.

  5. DNS 동적 업데이트를 지원하지 않는 DHCP 클라이언트에 대해 DNS 동적 업데이트를 사용하도록 설정하려면 업데이트를 요청하지 않는 DHCP 클라이언트(예: Windows NT 4.0을 실행하는 클라이언트) 확인란을 클릭하여 동적으로 DNS A 및 PTR 레코드를 선택합니다.

  6. 확인 을 클릭합니다.

DNS 서버에 대한 DNS 동적 업데이트 사용

Windows Server 2003 기반 DHCP 서버에서는 직접 업데이트할 수 없는 Windows Server 2003 기반 전 클라이언트의 DNS 레코드를 동적으로 업데이트할 수 있습니다.

DHCP 서버가 클라이언트의 DNS 레코드를 동적으로 업데이트하도록 설정하려면 다음 단계를 수행합니다.

  1. DHCP 관리 콘솔에서 DNS 업데이트를 사용하도록 설정할 범위 또는 DHCP 서버를 선택합니다.
  2. 작업 메뉴에서 속성을 클릭한 다음 DNS를 클릭합니다.
  3. 아래 확인란의 설정에 따라 DNS 동적 업데이트 사용을 클릭하여 선택합니다.
  4. 클라이언트가 만드는 DHCP 요청 유형에 따라 클라이언트의 DNS 레코드를 업데이트하려면 DHCP 클라이언트에서 요청한 경우 DNS A 및 PTR 레코드를 동적으로 업데이트하려면 클릭합니다. 이 업데이트는 클라이언트가 요청을 할 때만 발생합니다.
  5. 항상 클라이언트의 정방향 및 역방향 업데이트 레코드를 업데이트하려면 항상 DNS A 및 PTR 레코드를 동적으로 업데이트하려면 클릭하세요.
  6. 임대가 삭제될 때 A 및 PTR 레코드 삭제 확인란을 클릭하여 클릭하여 DHCP 임대가 만료되고 갱신되지 않을 때 DHCP 서버가 클라이언트의 레코드를 삭제하게 합니다.

DNS 동적 업데이트를 사용하지 않도록 설정

중요

이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업 및 복원하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서의 문서를 참조하십시오.
322756 Windows에서 레지스트리를 백업 및 복원하는 방법

기본적으로 동적 업데이트는 Windows Server 2003 기반 클라이언트에서 구성됩니다. 모든 네트워크 인터페이스에 대해 동적 업데이트를 사용하지 않도록 설정하기 위해 다음 단계를 수행합니다.

  1. 시작, 실행 을 클릭하고 regedit 을 입력한 다음 확인 을 클릭합니다.

  2. 다음 레지스트리 하위 키 찾기 및 클릭합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. 편집 메뉴에서 새로 고치고 DWORD 값을 클릭합니다.

  4. DisableDynamicUpdate를 입력한 다음 Enter를 두 번 눌러야 합니다.

  5. DWORD 값 편집에서 값 데이터 상자에 1을 입력한 다음 확인을 클릭합니다.

  6. 레지스트리 편집기를 종료합니다.

특정 인터페이스에 대해 동적 업데이트를 사용하지 않도록 설정하기 위해 다음 단계를 수행합니다.

  1. 시작, 실행 을 클릭하고 regedit 을 입력한 다음 확인 을 클릭합니다.
  2. 다음 레지스트리 하위 키 찾기 및 클릭합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

    참고

    인터페이스는 동적 업데이트를 사용하지 않도록 설정할 인터페이스에 대한 네트워크 어댑터의 장치 ID입니다.

  3. 편집 메뉴에서 새로 고치고 DWORD 값을 클릭합니다.
  4. DisableDynamicUpdate를 입력한 다음 Enter를 두 번 눌러야 합니다.
  5. DWORD 값 편집에서 값 데이터 상자에 1을 입력한 다음 확인을 클릭합니다.
  6. 레지스트리 편집기를 종료합니다.