AD/DNS

1) AD가 DNS에 의존하는 이유는?

A. 도메인 컨트롤러(DC)는 부팅/역할 유지 중 Netlogon이 A/SRV 레코드를 DNS에 등록합니다. 클라이언트는 _ldap._tcp.dc._msdcs.<도메인> 등에 질의해 DC 목록을 얻고, 이어 LDAP(UDP) ping으로 응답 가능성을 확인한 뒤 Netlogon 캐시에 보관합니다. 이 전체 DC Locator 절차가 DNS를 전제하기 때문에 DNS가 불안하면 인증·복제·GC 조회가 모두 흔들립니다.

---

2) DC가 등록하는 레코드와 등록 트리거는?

A. 예: phoenix.contoso.com A, _ldap._tcp.contoso.com SRV, _kerberos._tcp.dc._msdcs.contoso.com SRV 등. 등록은 IP 변경/갱신, 부팅, ipconfig /registerdns, DC 승격 같은 이벤트에 의해 촉발되고, 실제 업데이트 전송은 DHCP Client 서비스가 담당합니다(비DHCP 환경에도 동작).

---

3) _msdcs 서브도메인의 역할은?

A. 도메인/포리스트 전체에서 DC/GC/PDC/도메인(GUID) 등 역할 기반 탐색을 위한 SRV/CNAME 집합을 보관합니다. 특히 **포리스트 루트의 _msdcs**는 모든 DC가 등록·조회해야 하므로 가용성·복제 범위가 매우 중요합니다.

---

4) 왜 _msdcs.forest_root_domain을 별도 존으로?

A. 모든 DC가 복제·GC 조회에 필요로 하는 포리스트 전역 레코드를 안정적으로 제공하기 위해서입니다. 권장 구성은 _msdcs.forest_root_domain을 ForestDNSZones 범위로 분리·복제하는 것입니다.

---

5) DC Locator 단계별 상세

A. (1) 클라이언트가 Netlogon RPC(DsGetDcName) 호출 → (2) DNS에 SRV/A 질의 → (3) 응답 DC들에 LDAP UDP ping → (4) 가장 먼저 응답한 DC를 선택 → (5) 캐싱으로 후속 요청 성능/일관성 확보.

---

6) “가까운 사이트” 선호는 어떻게 판단?

A. AD 사이트/서브넷 정보로 Closest Site를 계산합니다. 해당 사이트에 DC가 없으면 자동 사이트 커버리지(Automatic Site Coverage) 로 인접 사이트 DC가 해당 사이트의 site-SRV를 등록해 커버합니다(링크 비용 기반).

---

7) 자동 사이트 커버리지 알고리즘

A. (1) 대상 사이트(DC 없음) 목록 산출 → (2) 후보 사이트(해당 도메인 DC 존재) 목록 → (3) 최저 사이트링크 비용 후보만 남김 → (4) 동률이면 DC 수가 많은 사이트, 그래도 동률이면 알파벳 순 → (5) 선정된 사이트의 DC가 타깃 사이트용 SRV를 등록.

---

8) “DC 끈적임(Stickiness)” 줄이는 법

A. Netlogon 캐시로 일관성은 좋아지지만, 오래 같은 DC만 쓰는 현상이 생길 수 있습니다. 이때 Force Rediscovery Interval 정책(기본 미구성, 활성 시 12시간(43200초), 최소 1시간)을 통해 재탐색 주기를 강제할 수 있습니다. 필요 시 API 호출에 DS_FORCE_REDISCOVERY 플래그도 사용합니다.

---

9) DsGetDcName 주요 FLAGS 용도

A.

• DS_GC_SERVER_REQUIRED: 반드시 GC 반환(포리스트 이름 필요)
• DS_FORCE_REDISCOVERY: 캐시 무시하고 새 탐색
• DS_DIRECTORY_SERVICE_REQUIRED/…PREFERRED: AD DS 지원 DC 필수/선호
• DS_DIRECTORY_SERVICE_6_REQUIRED: 쓰기 가능한 WS2008 이상 DC만 허용
  

---

10) DsGetDcName의 DomainGuid/SiteName 파라미터

A. DomainGuid로 도메인 찾기(이름 인식 실패 시 GUID로 재탐색), SiteName=NULL이면 로컬 컴퓨터 기준 가까운 사이트 DC를 반환합니다.

---

11) 존 유형 비교(표준 Primary/Secondary vs AD-통합)

A. Primary는 단일 쓰기 지점(DDNS 수용)이라 SPOF 소지가 있고, Secondary는 읽기 전용이며 Zone Transfer(TCP 53) 로 동기화됩니다. AD-통합 존은 AD 객체로 저장·복제되어 멀티마스터 쓰기가 가능.

---

12) Zone Transfer 동작

A. Secondary는 Primary(또는 다른 Secondary)에서 전체/증분 전송으로 데이터베이스 파일을 받아 반영하며, 전송은 TCP 53을 사용합니다. 대규모 존의 조회 분산·가용성 향상에 유효합니다.

---

13) Secondary를 어디에 두면 좋은가?

A. 조회 수요가 높은 지점 근처 또는 WAN 링크 건너에 둬 캐시/백업 역할을 하게 하고, Primary 장애 시 권한 있는 응답을 제공하도록 배치합니다.

---

14) Background Zone Loading(WS2008) 원리

A. 재시작 시 AD DS에서 존을 백그라운드 스레드로 로드합니다. 서버는 루트힌트·파일존을 먼저 올리고 곧바로 질의에 응답, 아직 메모리에 없는 노드는 AD에서 즉시 읽어 업데이트합니다. 대형 존 환경에서 재가동 공백을 줄입니다.

---

15) Forwarder의 개념·보안·구성 팁

A. 로컬에서 풀지 못한 질의를 지정 Forwarder로 전송합니다. 방화벽 밖으로 통신하는 DNS 수를 줄여 보안을 강화하고, 체이닝 지양/구성 단순화/비효율 경로 만들지 않기가 팁입니다(루트 존 “.” 존재 시 설정 불가).

---

16) Conditional Forwarding은 어떻게 동작하나?

A. 도메인별로 다른 포워더를 지정해 오프사이트 내부 도메인·다른 네임스페이스를 효율 해석합니다. 질의의 FQDN 접미사를 기준으로 해당 목록의 서버에 바로 위임하므로 체인 단축·트래픽 감소 효과가 있습니다.

---

17) Delegation vs Conditional Forwarding 차이와 선택법

A.

• Delegation(위임): 부모 존이 자식 존의 권한을 NS(+필요 시 glue A) 로 영구 위임. 권한이 자식 권한 DNS로 넘어가며, 부모에 NS 레코드를 유지/갱신해야 합니다(신규 권한 서버 추가 시 부모 갱신 필요). 권한 경로가 표준 DNS 규칙을 따릅니다.
• Conditional Forwarding: 권한을 넘기는 것이 아니라, 질의를 특정 서버로 프록시. 도메인 접미사 기준으로 지정된 서버로만 보내 해석 경로를 강제 단축합니다. 부모 존의 NS 유지/갱신 부담 없음. 다만 해당 서버 가용성/지연에 종속됩니다.
• Stub Zone: 부모가 자식의 권한 NS 목록을 자동 최신화(자식 SOA/NS/A만 복제)해 위임의 관리 공백을 줄입니다. 복잡한 다조직 환경에서 Delegation 대용/보완으로 유용.
  선택 가이드: 영속적 권한 분리·표준 동작 선호 ⇒ Delegation/Stub. 빠른 상호 신뢰·크로스 네임스페이스·WAN 단축 ⇒ Conditional Forwarder.

---

18) Stub Zone은 무엇을 해결하나?

A. 위임 후 자식 권한 서버가 늘었지만 부모가 모르는 상황을 해소합니다. 부모 쪽 Stub이 자식에서 최신 NS 목록을 자동 가져와 질의가 최신 권한 서버로 향하게 합니다.

---

19) Parent vs Child DNS서버 사용 판단 기준

A. 관리 위임 필요, 부하 분산/성능/내결함성, 대량 서브도메인 확장 등이 존 분할·위임의 주된 이유입니다. 조직 구조를 반영해 존을 설계합니다.

---

20) Child 도메인 DNS 구축 기본 순서

A. (1) 부모 DNS에 delegation 생성 → (2) 자식 서버에 DNS 설치 → (3) 자식에 자식 존 생성 → (4) 클라이언트를 자식 DNS로 지정 → (5) 필요 시 부모를 포워더로 추가 → (6) 클라이언트 ipconfig /registerdns.

---

21) SRV 질의 검증 방법

A. nslookup → set type=all → _ldap._tcp.dc._msdcs.<도메인> 질의로 DC 목록이 나오는지 확인합니다.

---

22) 동적 업데이트가 발생하는 시점

A. IP 변경/임대 갱신, 부팅, ipconfig /registerdns, DC 승격 등일 때 DHCP Client 서비스가 DNS에 업데이트를 전송합니다.

---

23) IPv6 전환기 DNS 질의 동작

A. Vista/WS2008 클라이언트는 연결성 결정을 위해 기본적으로 A와 AAAA를 조회합니다. 단, 링크로컬/Teredo만 있으면 A만 질의합니다. 이는 IPv6 전환 시 접근 성공률과 인프라 검증을 높입니다.

---

24) AAAA 등록과 Teredo 예외

A. DNS 동적 업데이트 시 IPv4 A/PTR + IPv6 AAAA를 한 패킷에 묶어 등록하고, Teredo 주소는 등록 제외됩니다(트래픽 영향 최소화).

---

25) 공인 DNS(인터넷)와 동적 업데이트 영향

A. 일반 인터넷 DNS는 동적 업데이트를 지원하지 않으며, 설령 지원하더라도 일반적인 Vista/WS2008 호스트는 글로벌 IPv6 주소가 없어 추가 트래픽 영향이 거의 없습니다.

---

26) WAN 지사에 Secondary 배치 시 장점

A. 현지 조회를 현지에서 해결해 대역폭·지연을 절감하고, 상위 링크 장애 시에도 일정 수준 권한 응답을 제공합니다. 지사 가까이에 두는 것을 권장합니다.

---

27) Microsoft DNS와 타 벤더(BIND) 호환성

A. BIND 8.1.2 이상이면 RFC(1034/1035/…/2052 등) 준수로 상호운용 가능하며, AD에는 SRV 지원(동적 업데이트는 선택)이 필수입니다.

---

28) Single-Label 도메인을 쓰지 말아야 하는 이유

A. 레지스트라 등록 불가, 동적 업데이트/해결 추가 구성 필요, 기본 동적 업데이트 비활성, 일부 서버 앱/도메인 이름 변경 비호환 등 장기 운영 리스크가 큽니다.

---

29) 위임과 포워더가 섞이면 어떤 일이?

A. 정상적인 위임 기반의 권한 경로가 포워더에 의해 우회될 수 있습니다. 위임을 설계했다면 포워더/조건부 포워더가 의도치 않게 해석 경로를 바꾸지 않는지 검토해야 합니다.

---

30) 포리스트 전체 가용성을 높이려면?

A. _msdcs.forest_root_domain을 별도 존으로 만들고 복제 범위를 숲 전체(ForestDNSZones) 로 설정하십시오. 신규 DC의 레코드 등록/조회와 도메인 간 복제/GC 탐색의 전제 조건입니다.

 

A1) nslookup은 실무에서 어떻게 써야 하나요?

A. 레코드 등록/업데이트 검증, 이름해결 문제 분석, 서버 응답 상세 확인에 사용합니다(예: _ldap._tcp.dc._msdcs.<도메인> 질의로 DC 목록 확인). 도구 용도와 문법 참고 경로도 문서에 수록돼 있습니다.

A2) netdiag는 어떤 상황에 유용하죠?

A. 네트워크 바인딩 상태와 핵심 테스트를 일괄 수행해 연결성/네임해결 문제 원인을 좁힙니다. 별도 스위치 없이 실행해 산출물을 바로 분석하기 좋습니다.

A3) dcdiag는 무엇을 점검하나요?

A. 포리스트/사이트/단일 DC 범위를 선택해 DC의 상태를 다각도로 테스트하고 비정상 동작을 리포팅합니다(등록/복제/서비스 등).

A4) ipconfig로 DNS 관련해서 꼭 쓰는 스위치는?

A. /all(구성 덤프), /flushdns(클라이언트 캐시 초기화), /registerdns(A/PTR 재등록) 입니다. IPv4/IPv6 정보를 모두 표시·관리합니다.

A5) ping은 왜 여전히 중요하죠?

A. IP 레벨 도달성 확인의 1차 도구이며, 패킷 크기/횟수/TTL/DF(단편화 금지) 등 옵션으로 경로 특성을 함께 살필 수 있습니다.

A6) Disjoint Namespace 문제가 뭔가요? 어떻게 고치나요?

A. DC 승격 시 기본 DNS 접미사와 도메인 이름이 불일치하면 SRV 동적등록 실패/NETLOGON 5781 등이 발생합니다. 해결은 (1) 접미사 자동변경 체크 후 재승격, 또는 (2) 문서에 언급된 FixDomainSuffix.vbs 스크립트 및 재부팅 절차입니다.

A7) Single-label 도메인(점 없는 이름)이 왜 위험합니까?

A. Windows Server 2003 이후 기본 등록이 제한되고, 다수의 클라이언트/앱 호환 이슈와 레지스트리 예외 설정이 얽힐 수 있어 운영 리스크가 큽니다.

A8) 시간 동기화 기본 원리는?

A. Windows는 도메인 계층 기반 동기화를 기본으로 하며, 정확도는 Stratum 개념으로 표시합니다. 필요 시 수동 소스 지정도 가능하지만, Kerberos 요구사항을 충족하는 도메인 계층 기본값이 권장됩니다.

A9) 누가 최상위(가장 정확) 시간 소스인가요?

A. 포리스트 루트 도메인 PDC 에뮬레이터(스트라텀 1) 가 외부 NTP에 동기화되고, 상위 DC→하위 DC/클라이언트로 내려가며 스트라텀이 증가할수록 오차 가능성이 커집니다.

A10) 방화벽으로 분할된 네트워크에서 DC를 운영할 때?

A. DMZ/분리 세그먼트/상호 분리된 DC 등 시나리오별 인증·복제 트래픽 포트 고려와 IPSec 정책으로 AD 트래픽 보호하는 절차가 제시됩니다(세부 포트는 문서의 MS 문서 링크 참조).

A11) GlobalNames Zone과 DNSSEC은 왜 문서에 등장하나요?

A. 이 모듈은 클라이언트의 DC 찾기 변화점과 함께 GlobalNames Zone/DNSSEC 주제를 소개합니다(상세 구성은 별도 심화 주제). GNZ는 단일 라벨 이름의 포리스트 전역 해석, DNSSEC는 응답 무결성 강화를 다룹니다(개념 소개 수준).

A12) WS2008 DNS의 IPv6/RODC/백그라운드 로딩 포인트는?

A. (1) IPv6 AAAA/역방향 ip6.arpa 지원과 포워더/재귀 질의에서 IPv6 사용, (2) RODC의 읽기 전용 존 복제(도메인/ForestDNSZones/DomainDNSZones), (3) Background Zone Loading으로 재부팅 직후에도 질의 처리 가능