DNS 정책 생성
Contoso의 인프라 팀이 “Windows Server DNS는 위치에 따라 동일한 쿼리에 대해 서로 다른 결과가 DNS 해결 프로그램에 반환되기를 원한다는 사실을 어떻게 처리할 수 있을까요?”라는 질문을 했습니다. 시애틀의 사용자에게 FQDN www.Contoso.com에 대한 쿼리는 런던의 사용자와 다른 IP 주소를 반환해야 한다고 설명했습니다.
DNS 정책 사용 시나리오
DNS 정책을 사용하여 DNS 서버에서 다양한 요인을 기준으로 쿼리를 관리하는 방법을 조작할 수 있습니다. 예를 들어, 클라이언트에게서 가장 가까운 데이터 센터를 기준으로 하는 서로 다른 IP 주소를 사용하여 웹 서버의 IP 주소에 대한 질문 쿼리에 응답하는 DNS 정책을 만들 수 있습니다.
참고
클라이언트의 로컬 서브넷 주소가 웹 서버와 동일하지는 않지만 특정 웹 서버가 클라이언트의 관점에서는 다른 서버보다 더 가깝기 때문에, 이는 네트워크 마스크를 재정렬하는 등의 다른 방법과는 다릅니다.
필요에 따라 여러 DNS 정책을 만들 수 있습니다. 다음 시나리오에 따라 DNS 정책을 만드는 데 도움이 될 수 있는 다양한 요인이 있습니다.
- 애플리케이션 고가용성합니다. 클라이언트는 애플리케이션에 가장 적합한 엔드포인트로 리디렉션됩니다. 여기서 “가장 적합한”이라는 부분은 장애 조치(failover) 클러스터의 고가용성 요인에 의해 결정됩니다.
- 트래픽 관리 클라이언트는 가장 가까운 데이터 센터 또는 서버 위치로 리디렉션됩니다.
- 분할 DNS 클라이언트는 내부인지 외부인지에 따라 응답을 수신하고 DNS 레코드는 서로 다른 영역 범위로 분할됩니다.
- 필터링 악성 IP 주소 또는 FQDN 목록에서 가져온 DNS 쿼리인 경우에는 차단됩니다.
- 포렌식 악성 DNS 클라이언트는 도달하려는 컴퓨터가 아닌 싱크홀로 리디렉션됩니다.
- 시간 기반 리디렉션 클라이언트는 시간을 기준으로 데이터 센터로 리디렉션됩니다.
DNS 정책 개체
앞에서 설명한 시나리오를 사용하여 정책을 만들려면 영역, 네트워크의 클라이언트 그룹 또는 기타 요소에서 레코드 그룹을 식별해야 합니다. 다음 표에서 설명하는 DNS 정책 개체를 기준으로 요소를 확인할 수 있습니다.
| 요소 | 설명 |
|---|---|
| 클라이언트 서브넷 | DNS 서버로 쿼리를 전송하는 IPv4 또는 IPv6 서브넷을 나타냅니다. 서브넷을 만들어서, 요청을 생성하는 서브넷을 기준으로 적용되는 정책을 추후에 정의합니다. 예를 들어 www.contoso.com의 이름 확인 요청을 내부 클라이언트에 대한 내부 IP 주소로 응답할 수 있고, 외부 클라이언트에 대한 다른 IP 주소로 응답할 수 있는 분할 DNS 시나리오가 있을 수 있습니다. |
| 재귀 범위 | DNS 서버의 재귀를 제어하는 설정 그룹의 고유한 인스턴스를 나타냅니다. 재귀 범위는 전달자 목록을 포함하며 재귀가 사용되는지 여부를 지정합니다. DNS 서버는 여러 재귀 범위를 가질 수 있습니다. DNS 서버 재귀 정책을 사용하여 지정된 쿼리 집합에 대한 재귀 범위를 선택할 수 있습니다. DNS 서버가 특정 쿼리에 대해 권한이 없는 경우, DNS 서버 재귀 정책을 통해 관련 쿼리를 해결하는 방법을 제어할 수 있습니다. 이 경우 사용할 전달자와 재귀 사용 여부를 지정할 수 있습니다. |
| 영역 범위 | DNS 영역에는 여러 영역 범위가 있을 수 있으며, 각 영역 범위에는 자체 DNS 리소스 레코드 집합이 포함될 수 있습니다. 범위에 따라 서로 다른 IP 주소를 사용하여 여러 범위에 동일한 리소스 레코드가 있을 수 있습니다. 또한 영역 전송은 영역 범위 수준에서 발생할 수 있습니다. 이렇게 하면 주 영역에 있는 영역 범위의 리소스 레코드가 보조 영역의 동일한 영역 범위로 전송될 수 있습니다. |