4. DNS 서버를 구성해 보자

DNS 는 Domain Name Server 또는 Domain Name Service 로 칭합니다.
기능은 사람들이 기억하기 어려운 인터넷의 IP 주소를 기억하기 쉬는 영문 또는 한글 주소로 변환하여 주는 서비스를 말합니다.
전세계에 할당 되어있는 IP V4 총 주소는 256*256*256*256 = 4,294,967,296 개 정도 됩니다.
실 IP 주소는 42억개 정도 되는 거지요 이걸 외운다는 건 불가능하겠지요
그래서 외우기 쉬운 yahoo.com 또는 Microsoft.com , apple.com 과 같은 외우기 쉬운 주소로 변환을 해야 되는 겁니다.

그럼 이러한 주소를 지정하고 관리하는 곳이 어딘가엔 있을 겁니다. 전세계의 인터넷 주소를 관리하는 곳이 Internic.net 입니다 이곳에서는 (com, net, org) 와 같은 국가 분류 지정이 안되어 있는 루트 주소를 관리합니다. 그리고 krnic.net 은 (co.kr, or.kr, ne.kr, kr)과 같은 국가 명기 도매인을 관리합니다 물론 각 국가별로 한곳 씩 있을 겁니다.

우리가 whois.co.kr 이나 iname.com 과 같은 도메인 등록 업체를 통해서 필요한 도메인을 신청할 경우 등록 대행 업체는 com 도메인은 internic kr 도메인은 krnic 에 등록을 하는 것이지요

그럼 우리가 인터넷 익스플로러와 같은 웹 브라우저에서 주소를 치면 internic 나 krnic 로 가느냐 그건 아닙니다. 각 국가마다 있는 통신사 즉 KT 나 SK , LG 와 같은 통신사업자의 주 네임서버 즉 DNS 에 다가 이 정보를 제공하는 것입니다. 여기서 ROOT 도메인 주소 즉 Com, KR 과 같은 정보를 하부 DNS 서버들 에게 복제하여 전파하는 것입니다. 즉 DNS 서버는 그물망 방식으로 서로에게 복제하여 전파합니다. 그럼 각 통신사는 어떻게 개별 DNS 주소를 확인 할까요 ? 그것은 사용하고 있는 회선의 통신사에서 등록하게 됩니다.


즉 KRNIC (KR)-> KT (도메인.kr)-> 회사(호스트.도메인.KR) DNS 로 주소를 찾아오고  등록된 호스트(www, mail ) 는 회사 DNS -> KT 이런 식으로 전파 되는 것이지요
일반 사용자 (개인) 은 서비스 받는 통신사의 DNS 서버에서 kr 앞의 도메인 주소의 IP 를 확인 하여 원하는 DNS 로 가서 호스트 명을 확인하여 웹브라우저의 Http 또는 Https 의 프로토콜의 요청을 하면 이에 웹 서버가 요청된 주소로 데이터를 전송하는 것입니다. 


이번 시간에는 이러한 인터넷 주소를 풀어주는 DNS 서버를 AD 와 함께 알아보고 구성하여 보도록 하겠습니다. 

먼저 서버에 관리자 계정으로 로그인 합니다. 

시작-> Windows 관리도구-> DNS 를 실행합니다.
앞서 강좌에서 AD 구성 시 DNS 를 같이 설치하는 것으로 하였습니다. AD 에서 DNS 의 기본 구성을 자동으로 설정하였습니다. (고마운 일이지요 ^^)

크게 “정방향 조회 영역”과 “역방향 조회 영역”, “신뢰지점” 과 “조건부 전달자” 라는 4가지 큰 항목이 생성되어 있습니다.

이번 연재에서는 정방향 조회 영역과 역방향 조회 영역을 우선 보도록 하겠습니다. 아무래도 많이 쓰는걸 먼저 언급하는게 좋겠지만 신뢰지점 과 조건부 전달자도 시간을 봐서 추가로 올리도록 하겠습니다.

Windows Server 의 DNS 는 크게 AD 로 구성된 DNS 와 구성되지 않은 DNS 가 있습니다.
이 말은 AD로 구성된 DNS 서버는 기존과 달리 추가되는 항목이 좀 있습니다.
 

정방향 조회 영역을 펼쳐 보면 _msdcs.innobitlab.kr 이라는 영역이 있습니다. 이를 다시 펼쳐보면 dc, domains, gc, pdc 라는 세부 폴더가 보일 것입니다. 앞에서도 잠시 언급했듯이 AD 의 정로를 보내기 위한 서브 폴더들입니다. 여기에 AD 에서 구성되었던 주 도메인 컨트롤러 정보와 글로벌 카탈로그 하부 도메인들에 대한 정보들이 기록됩니다.
내부의 정보들은 AD 도메인 컨트롤러가 알아서 기록해 주니 특이한 일이 없으면 거의 손댈 일이 없습니다.
 

다시 펼쳐서 내부를 들여다보면 구성에 대한 하부 폴더들과 그 끝부분에 _tcp 프로토콜 이 있고 서비스 위치를 지정하는 SRV 레코드로 구성되어 있는 것을 볼 수 있습니다.
클라이언트 컴퓨터나 관계된 응용프로그램들 에게 AD 에 대한 정보를 제공해 주는 역할을 하지요
이제 실제 설정해야 되는 부분을 보도록 하겠습니다.
 

Innobitlab.kr 영역을 펼쳐보면 _msdcs 와 _sites, _tcp, _u에, 와 DomainDnsZones, ForestDonsZones 이 있습니다
_msdcs 존은 윗쪽 _msdcs.innobitlab.kr 의 네임서버 주소를 가리킵니다.
_sites 는 도메인 컨트롤러 서비스 위치를 가리킵니다.
 

_tcp, _udp는 프로토콜 별로 서비스 위치를 가리킵니다.

아래쪽의 DomainDnsZones 은 앞서 강좌에서 도메인의 구조인 Forest 하부의 Domain으로 나뉘는 AD 트리에 대한 정보를 제공합니다. ForestDnsZones 는 주 루트의 정보를 DomainDnsZones 는 하부 도메인 과 백업 RODC(Read Only Domain Controller) 의 정보들을 클라이언트와 응용프로그램에 제공합니다.
이걸 사람이 수동으로 일일이 만든다면 여간한 일이 아닐 겁니다. 하지만 친절한 AD 는 이걸 다 자동으로 맹글어 줍니다. ^^ (착하지요)
이제 각종 레코드와 정보를 추가하기에 앞서 역방향 영역을 만들어 보겠습니다.
역방향 조회 영역이란 정방향 조회 영역이 kr->innobitlab-> 호스트와 반대로
실 주소와 가상주소의 IPv4 의 192.->168.->123.->2 의 순서로 주소를 찾아갈 수 있도록 같이 풀어주는 역할을 합니다.
물론 없어도 크게 상관은 없습니다만 DNS 서버가 DHCP 등과 함께 네트워크 속도 향상에 지대한 공을 세우기에 이러한 사소한 세팅도 대규모 네트워크에서는 큰 역할을 하게 됩니다.
 

아무것도 없군요 ??? 이런 실망인데요
당연하겠지요 아직 DNS 서버는 사용중인 가상 또는 실 IP 의 주소를 알지 못하는 관계로 자동으로 영역을 만들어 줄 수는 없습니다.

역방향 조회 영역에서 오른쪽 마우스를 클릭하고 “새영역” 만들기를 합니다.
 

3가지 항목이 나왔습니다. 물론 이번에 할 작업은 주 영역 입니다. 보조 영역이나 스텁영역은 AD 주 영역 외에 추가된 도메인에 대한 세부 설정을 위한 항목입니다. 추후에 업무 별 설정 강좌에서 언급하겠습니다.
마지막 체크는 이 정보에 대한 AD 게시 유무 확인 하는 것입니다. 주 영역이니 체크 하는 것이 좋겠지요 ^^
 

먼가 또 이상한 게 나왔습니다.
이 항목은 DNS 정보가 전파되는 범위를 나타냅니다. 물론 www, mail 같은 외부 인터넷 사용에 대한 정보는 아니고 내부 PC 주소 응용프로그램의 서비스 어플리케이션 과 같은 내부 정보에 대한 전파 범위를 전체 포리스트로 할 것인가, 아니면 도메인 있는 같은 레벨의 DNS 로 할 것인가 아니면 하위 버전 호환 용으로 할 것인가 입니다.
중 소규모 네트워크에서는 2번을 선택하면 되지만 이전 버전 서버가 있는 경우 3번 대규모 AD 에 멀티 도메인을 사용하는 경우는 1번을 선택 합니다.
 

IPv4 주소 고갈 문제로 IPv6 가 추가된 지 꽤 되어 이제는 거의 모든 OS 에 IPv6 가 탑재 되어 있습니다. 여기서는 주소 영역을 v4 로 할 것인지 v6로 할 것인지를 선택합니다.  여담 입니다만 IPv6 아무짝에도 쓸모가 없습니다. 왜냐하면 ISP 에서 할당을 안 해주기 때문입니다. 몰론 도메인 대행 업체에서도 v6 등록할 일이 없습니다. 이 IPv6 가 서버에 치명적인 모순을 가지고 있습니다. 추후에 언급하도록 하겠습니다. 

이제 할당 하거나(가상 IP)  또는 할당 받은 (실 IP) 주소를 앞에서 3자리 까지만 넣습니다. 마지막은 호스트용 따로 2개의 영역을 만듭니다. (가상IP, 실IP)
그리고 역방향 조회 영역 이름으로 옵션 버튼을 바꿉니다.
그러면 .126.168.192.in-addr.arpa 라는 주소가 생성됩니다.
 

Arpa ??? 어디서 본듯한 ? 네 맞습니다 이 이름은 인터넷의 전신인 arpa넷을 가리키는 겁니다.
다음으로 진행하면
동적 업데이트에 대한 정보를 확인합니다.
동적 업데이트란 DHCP 서버에서 자동으로 각각의 클라이언트들의 주소를 DNS 에 등록하게 되는데 신뢰된 정보에 대해서만 업데이트 할 것인지 신뢰 유무와 상관없이 할 것인지 아니면 안할 것인지에 대한 것입니다.
AD 서버는 보안 동적 업데이트만 허용을 체크하시기 바랍니다. 2번은 DNS 서버의 주소 정보가 오염될 가능성이 있습니다.
DNS 가 오염되면 스미싱 이나 피싱 사이트의 정보가 등록되어 사용자가 의도하지 않은 주소로 연결될 수 있습니다.
 

다음으로 진행하며 마침 입니다. 에고에고 ㅡㅡ

새로운 역방향 조회영역이 생성 되었습니다. 완료 되었으면 실IP 주소에 대한 영역도 다시 만들어 줍니다.

이제 인터넷과 메일 등의 서비스를 위해 호스트를 생성해 보겠습니다.
기본적으로 권한에 대한 정보와 네임서버 주소 루트 그리고 실제 호스트 명이 내부 IP 주소를 기준으로 생성되어 있습니다.
먼저 정방향 조회 영역의 innobitlab.kr 에서 우측 마우스를 클릭합니다.
 

새 호스트 A 또는 AAAA 를 선택합니다. A레코드는 순수하기 IP 주소로 지정되는 1 to 1 의 DNS 호스트 명입니다.
먼저 외부 ISP 를 통해 지정한 실IP (외부IP) 의 NS 명의 호스트를 생성합니다. 즉 ISP 에 ns.innobitlap.kr 로 네임 서버를 지정했을 경우 외부에서 찾아오기 쉽게 NS (A) 호스트를 생성 합니다. 물론 IP 는 외부IP 입니다.
 

이때 연결된 PTR 레코드 만들기가 체크되어 있습니다. 해제하지 않습니다. 이전에 만든 역방향 조회 영역에 자동으로 생성된 A 레코드에 대한 정보를 기록하기 위함입니다. 

이제 웹서버 를 위해 www 호스트를 생성합니다.  

다음은 메일 서버를 위해 2가지 즉 빈 호스트 와 mail 호스트 를 만듭니다.
이때 빈 호스트를 만드는 이유는 메일 주소를 id@innobitlab.kr 로 사용하기 위함 입니다. 통상적으로 in@mail.innobitlab.kr 로 사용하지는 않기 때문입니다. 이때 내부 용으로 이미 만들어진 192.168.126.3 주소와 중복이 되게 됩니다. 2003 서버까지는 댕청해서 내부 IP 주소가 밖으로 전파되는 증상도 있었으나 서버가 발전을 하면서 TTL(Time TO Live) 의 값을 알아서 조정하기 때문에 내부용 IP 주소가 밖으로 나가지는 않습니다. 즉 밖으로는 생성된 외부 주소만 나가게 되지요

이제 마지막으로 메일서버 수신을 위한 MX 레코드를 생성합니다.
MX 레코드는 타 서버에서 전송되는 메일을 어느 호스트에서 받을것인가를 지정하는 용도입니다.
역시 2개를 만듭니다. 비어있는 것과 mail 추가한 것 물론 메일을 in@innobitlab.kr 로 보내겠지만 id@mail.innobitlab.kr 로 보낼 수도 있고 루트 주소가 실패할 경우 mail(A) 로도 받을 수 있게 하기 위함입니다.
 

여기서 메일 서버의 FQDM 정규화된 도메인 이름에 앞서 메일 서버용으로 생성한 mail.innobitlab.kr 을 지정해 줍니다. 이는 앞으로 설치 될 메일 서버가 mail.innobitlab.kr 을 주소로 사용하기 때문입니다.
메일서버 우선 순위는 10 또는 1 같이 가장 빠른 번호를 지정합니다. 앞에서도 언급했듯이 메일 서버 주소를 찾는 순서 입니다. 만약 FQDN 을 다르게 하고 순위가 다르다면 2개의 서버로 분산할 수도 있겠지요
 

여기 까지 DNS 서버의 기본 설정을 마치겠습니다.
이후 각종 서버용 어플리케이션이 추가 될 때 마다 DNS 부분의 설정을 추가 변경하게 됩니다.
또는 고급 기술로 DNS 로드벨런싱 등의 기술도 언급하도록 하겠습니다.
다음 회에는 DHCP 구성을 보도록 하겠습니다.