연결되지 않은 네임 스페이스

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

연결되지 않은 네임스페이스는 하나 이상의 수행기본 멤버 컴퓨터에 Active Directory의 DNS 이름과 일치하지 않는 DNS(Do기본 Name Service) 접미사가 있는 경우 발생합니다기본 그 중 컴퓨터가 멤버입니다. 예를 들어 Active Directory에서 corp.fabrikam.com 기본 DNS 접미사를 사용하는 멤버 컴퓨터는 na.corp.fabrikam.com 이름이 기본 연결되지 않은 네임스페이스를 사용합니다.

연결되지 않는 네임스페이스는 인접한 네임스페이스보다 관리, 기본 및 문제 해결에 더 복잡합니다. 연속 네임스페이스에서 기본 DNS 접미사는 Active Directory do기본 이름과 일치합니다. Active Directory 네임스페이스가 모든 작업에 대한 기본 DNS 접미사와 동일하다고 가정하도록 작성된 네트워크 애플리케이션기본 멤버 컴퓨터가 연결되지 않은 네임스페이스에서 제대로 작동하지 않습니다.

연결이 해제된 네임스페이스 지원

do기본 컨트롤러를 포함한 구성원 컴퓨터는 연결이 끊긴 네임스페이스에서 작동할 수 기본. 수행기본 멤버 컴퓨터는 연결이 끊긴 DNS 네임스페이스에 호스트(A) 리소스 레코드 및 IP 버전 6(IPv6) 호스트(AAAA) 리소스 레코드를 등록할 수 있습니다. 기본 멤버 컴퓨터가 이러한 방식으로 리소스 레코드를 등록하는 경우 기본 컨트롤러는 Active Directory와 동일한 DNS 영역에 전역 및 사이트별 서비스(SRV) 리소스 레코드를 계속 등록합니다기본.

예를 들어 Active Directory의 do기본 컨트롤러가 corp.fabrikam.com DNS 영역에서 corp.fabrikam.com 레지스터 호스트(A) 및 IPv6 호스트(AAAA) 리소스 레코드의 기본 DNS 접미사를 사용하는 na.corp.fabrikam.com 기본 가정합니다. do기본 컨트롤러는 _msdcs.na.corp.fabrikam.com 및 na.corp.fabrikam.com DNS 영역에 전역 및 사이트별 서비스(SRV) 리소스 레코드를 계속 등록하여 서비스 위치를 가능하게 합니다.

Important

Windows 운영 체제에서 연결되지 않은 네임스페이스를 지원할 수 있지만 기본 DNS 접미사가 Active Directory와 동일하다고 가정하도록 작성된 애플리케이션은 이러한 환경에서 작동하지 않을 수 기본. 따라서 연결이 끊긴 네임스페이스를 배포하기 전에 모든 애플리케이션과 해당 운영 체제를 신중하게 테스트해야 합니다.

다음과 같은 상황에서는 연결되지 않는 네임스페이스가 작동하며 지원됩니다.

  • Active Directory가 여러 기본 있는 포리스트에서 DNS 영역이라고도 하는 단일 DNS 네임스페이스를 사용하는 경우

    예를 들어 na.corp.fabrikam.com, sa.corp.fabrikam.com 및 asia.corp.fabrikam.com 같은 이름의 지역별 do기본를 사용하고 corp.fabrikam.com 같은 단일 DNS 네임스페이스를 사용하는 회사가 있습니다.

  • 단일 Active Directory가 수행하는 경우기본 별도의 DNS 네임스페이스로 분할됩니다.

    예를 들어 Hr.corp.contoso.com, production.corp.contoso.com 및 it.corp.contoso.com 같은 DNS 영역을 사용하는 corp.contoso.com 기본 Active Directory가 있는 회사입니다.

다음과 같은 상황에서는 연결되지 않은 네임스페이스가 제대로 작동하지 않으며 지원되지 않습니다.

  • do기본 멤버가 사용하는 연결되지 않은 접미사는 이 또는 다른 포리스트의 Active Directory do기본 이름과 일치합니다. 이렇게 하면 Kerberos 이름 접미사 라우팅이 중단됩니다.

  • 다른 포리스트에서 동일한 연결되지 않는 접미사가 사용됩니다. 이렇게 하면 포리스트 간에 이러한 접미사를 고유하게 라우팅할 수 없습니다.

  • do기본 멤버 CA(인증 기관) 서버가 FQDN(정규화된 do기본 이름)을 변경하여 CA 서버가 멤버인 do기본기본 컨트롤러에서 사용하는 것과 동일한 기본 DNS 접미사를 더 이상 사용하지 않도록 합니다. 이 경우 CRL 배포 지점에서 사용되는 DNS 이름에 따라 CA 서버에서 발급한 인증서의 유효성을 검사하는 데 문제가 있을 수 있습니다. 그러나 CA 서버를 안정적인 연결되지 않는 네임스페이스에 배치하면 제대로 작동하고 지원됩니다.

연결이 해제된 네임스페이스에 대한 고려 사항

다음 고려 사항은 연결이 끊긴 네임스페이스를 사용해야 하는지 여부를 결정하는 데 도움이 될 수 있습니다.

애플리케이션 호환성

이전에 멘션 연결되지 않은 네임스페이스는 컴퓨터 기본 DNS 접미사가 멤버인 do기본 이름의 이름과 동일하다고 가정하도록 작성된 모든 애플리케이션 및 서비스에 문제를 일으킬 수 있습니다. 연결되지 않는 네임스페이스를 배포하기 전에 호환성 문제에 대한 애플리케이션을 검사 합니다. 또한 분석을 수행할 때 사용하는 모든 애플리케이션의 호환성을 검사 합니다. 여기에는 Microsoft 및 다른 소프트웨어 개발자의 애플리케이션이 포함됩니다.

연결이 해제된 네임스페이스의 장점

연결이 해제된 네임스페이스를 사용하면 다음과 같은 이점이 있을 수 있습니다.

  • 컴퓨터의 기본 DNS 접미사는 다른 정보를 나타낼 수 있으므로 Active Directory do기본 이름과 별도로 DNS 네임스페이스를 관리할 수 있습니다.

  • 비즈니스 구조 또는 지리적 위치에 따라 DNS 네임스페이스를 구분할 수 있습니다. 예를 들어 사업부 이름 또는 대륙, 국가/지역 또는 건물과 같은 물리적 위치에 따라 네임스페이스를 구분할 수 있습니다.

연결이 해제된 네임스페이스의 단점

연결이 해제된 네임스페이스를 사용하면 다음과 같은 단점이 있을 수 있습니다.

  • 서로 다른 네임스페이스를 사용하는 멤버 컴퓨터가 있는 포리스트에서 기본 각 Active Directory에 대해 별도의 DNS 영역을 만들고 관리해야 합니다. 즉, 추가적이고 복잡한 구성이 필요합니다.

  • 수동 단계를 수행하여 do기본 멤버가 지정된 기본 DNS 접미사를 사용할 수 있도록 하는 Active Directory 특성을 수정하고 관리해야 합니다.

  • 이름 확인을 최적화하려면 그룹 정책을 수정하고 기본 대체 기본 DNS 접미사가 있는 멤버 컴퓨터를 구성하는 수동 단계를 수행해야 합니다.

참고 항목

WINS(Windows Internet Name Service)를 사용하여 단일 레이블 이름을 확인하여 이러한 단점을 상쇄할 수 있습니다. WINS에 대한 자세한 내용은 WINS 기술 참조를 참조하세요.

  • 환경에 여러 기본 DNS 접미사가 필요한 경우 포리스트의 모든 Active Directory do기본에 대해 DNS 접미사 검색 순서를 적절하게 구성해야 합니다.

    DNS 접미사 검색 순서를 설정하려면 그룹 정책 개체 또는 DHCP(동적 호스트 구성 프로토콜) 서버 서비스 매개 변수를 사용할 수 있습니다. 레지스트리를 수정할 수도 있습니다.

  • 모든 애플리케이션에서 호환성 문제를 신중하게 테스트해야 합니다.

이러한 단점을 해결하기 위해 수행할 수 있는 단계에 대한 자세한 내용은 연결 해제 네임스페이스 만들기를 참조하세요.

네임스페이스 전환 계획

네임스페이스를 수정하기 전에 연속 네임스페이스에서 연결이 끊긴 네임스페이스(또는 반대)로의 전환에 적용되는 다음 고려 사항을 검토합니다.

  • 수동으로 구성된 SPN(서비스 사용자 이름)은 네임스페이스가 변경된 후 DNS 이름과 더 이상 일치하지 않을 수 있습니다. 이로 인해 인증 오류가 발생할 수 있습니다.

    자세한 내용은 잘못된 SPN 설정으로 인한 서비스 로그온 실패를 참조하세요.

    • 제한된 위임이 있는 Windows Server 2003 기반 컴퓨터를 사용하는 경우 해당 컴퓨터는 Active Directory에서 msDS-AllowedToDelegateTo 특성을 수동으로 편집해야 할 수 있습니다. 자세한 내용은 ms-DS-Allowed-To-Delegate-To 특성을 참조 하세요.

    • SPN을 수정할 권한을 하위 관리자에게 위임하려면 SPN 수정 기관 위임을 참조 하세요.

  • 연결되지 않은 네임스페이스에 구성된 기본 컨트롤러가 있는 배포에서 CA와 함께 SSL(Secure Sockets Layer)(LDAPS라고도 함)을 통해 LDAP(Lightweight Directory Access Protocol)를 사용하는 경우 LDAPS 인증서를 구성할 때 적절한 Active Directory do기본 이름 및 기본 DNS 접미사를 사용해야 합니다.

    do기본 컨트롤러 인증서 요구 사항에 대한 자세한 내용은 Microsoft 기술 자료의 문서 321051, 타사 인증 기관에서 SSL을 통해 LDAP를 사용하도록 설정하는 방법을 참조하세요.

    참고 항목

    LDAPS용 인증서를 사용하는 컨트롤러를 기본 인증서를 다시 배포해야 할 수 있습니다. 이렇게 하면 컨트롤러가 다시 시작될 때까지 적절한 인증서를 선택하지 않을 수 기본. Windows Server 2003에 대한 LDAPS(Secure Sockets Layer) 인증을 통한 LDAP(Lightweight Directory Access Protocol)에 대한 자세한 내용은 Microsoft 기술 자료의 938703 문서인 SSL 연결 문제를 해결하는 방법을 참조하세요.

연결이 끊긴 네임스페이스 배포 계획

연결이 끊긴 네임스페이스가 있는 환경에 컴퓨터를 배포하는 경우 다음 주의 사항을 따르세요.

  1. 비즈니스를 수행하는 모든 소프트웨어 공급업체에 연결이 끊긴 네임스페이스를 테스트하고 지원해야 함을 알립니다. 연결이 끊긴 네임스페이스를 사용하는 환경에서 애플리케이션을 지원하는지 확인하도록 요청합니다.

  2. 연결이 끊긴 네임스페이스 랩 환경에서 모든 버전의 운영 체제 및 애플리케이션을 테스트합니다. 이렇게 하면 다음 권장 사항을 따릅니다.

    1. 환경에 소프트웨어를 배포하기 전에 모든 소프트웨어 문제를 해결합니다.

    2. 가능하면 연결되지 않은 네임스페이스에 배포하려는 운영 체제 및 애플리케이션의 베타 테스트에 참여합니다.

  3. 관리자와 기술 지원팀 직원이 서로 다른 네임스페이스와 해당 영향을 알고 있는지 확인합니다.

  4. 필요한 경우 연결이 끊긴 네임스페이스에서 연속 네임스페이스로 전환할 수 있도록 하는 계획을 만듭니다.

  5. 운영 체제 및 애플리케이션 공급자와 연결이 끊긴 네임스페이스 지원의 중요성을 전도합니다.