DNS 정책 구현
완료됨
- 10분
수준 및 유형에 따라 DNS 정책을 생성합니다. 쿼리 확인 정책을 사용하여 클라이언트 이름 확인 쿼리를 관리하는 방법을 정의하고, 영역 전송 정책을 사용하여 영역 전송을 정의할 수 있습니다.
팁
두 정책 유형 모두 서버 또는 영역 수준에서 적용될 수 있습니다.
처리 순서에 다른 값이 있는 경우 동일한 수준에서 여러 쿼리 확인 정책을 만들 수 있습니다. 재귀 정책은 서버 수준 정책의 특수한 유형입니다. 해당하는 경우, DNS 서버에서 쿼리 재귀를 수행하는 방법을 제어합니다. 재귀 정책은 쿼리 처리가 재귀 경로에 도달할 때만 적용됩니다. 지정된 쿼리 집합에 대한 재귀의 경우 DENY 또는 IGNORE 값을 선택할 수 있습니다. 그렇지 않으면, 쿼리 집합에 대한 전달자 집합을 선택할 수 있습니다.
DNS 정책 생성 및 관리
특정 IP 주소 범위의 사용자에 대한 호스트 레코드를 다르게 확인하는 대략적인 단계는 다음과 같습니다.
- IP 주소 범위에 대한 DNS 서버 클라이언트 서브넷을 생성합니다.
- 호스트 레코드가 포함된 영역에 대한 DNS 서버 영역 범위를 생성합니다.
- 영역 범위와 관련된 영역에 호스트 레코드를 추가합니다.
- DNS 서버 클라이언트 서브넷이 해당 영역에 대한 영역 범위를 쿼리할 수 있도록 DNS 서버 쿼리 확인 정책을 추가합니다.
Windows PowerShell을 사용하여 DNS 정책을 구성하는 데 사용되는 단계의 예시는 다음과 같습니다.
# Create the required subnets
Add-DnsServerClientSubnet -Name "LondonSubnet" -IPv4Subnet "172.16.18.0/24"
Add-DnsServerClientSubnet -Name "SeattleSubnet" -IPv4Subnet "172.16.10.0/24"
# Create the DNS server zone scopes
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "LondonZoneScope"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "SeattleZoneScope"
# Add the required host records
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.16.10.41" -ZoneScope "SeattleZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.16.18.17" -ZoneScope "LondonZoneScope"
# Create the DNS server query resolution policies
Add-DnsServerQueryResolutionPolicy -Name "LondonPolicy" -Action ALLOW -ClientSubnet "eq,LondonSubnet" -ZoneScope "LondonZoneScope,1" -ZoneName "Contoso.com"
Add-DnsServerQueryResolutionPolicy -Name "SeattlePolicy" -Action ALLOW -ClientSubnet "eq,SeattleSubnet" -ZoneScope "SeattleZoneScope,1" -ZoneName "Contoso.com"
데모
다음 비디오에서는 Windows PowerShell을 사용하여 DNS 정책을 구현하는 방법을 보여 줍니다. 프로세스의 주요 단계는 다음과 같습니다.
- 서버 관리자를 열고 DNS 콘솔을 엽니다.
- Contoso.com 영역에 있는 기존 서버에 대한 새 별칭 레코드를 생성합니다.
- 클라이언트 컴퓨터로 전환하고, NSLookup을 사용하여 해당 별칭을 테스트할 때 반환되는 IP 주소를 확인합니다.
- 서버에서 관리자 권한으로 Windows PowerShell 창을 엽니다.
-
$s = New-PSSession –ComputerName <target server>을 실행한 다음Enter-PSSession $s명령을 실행하여 PowerShell 원격을 통해<target server>에 연결합니다. -
Add-DnsServerClientSubnetcmdlet을 실행하여 필요한 서브넷을 생성합니다. -
Add-DnsServerZoneScopecmdlet을 실행하여 DNS 서버 영역 범위를 생성합니다. -
Add-DnsServerResourceRecordcmdlet을 실행하여 필요한 호스트 레코드를 추가합니다. -
Add-DnsServerQueryResolutionPolicycmdlet을 실행하여 DNS 서버 쿼리 확인 정책을 생성합니다. - 클라이언트로 다시 전환하고 해결 프로그램 캐시를 제거한 다음,
www.Contoso.com레코드에 대한 이름 확인을 테스트합니다.