반응형
항목 위임 (Delegation) 조건부 전달자 (Conditional Forwarder)
목적 | DNS 네임스페이스의 권한 자체를 자식 존으로 위임해 표준 DNS 레퍼럴 경로를 따르게 함 | 특정 도메인 접미사 질의를 지정한 포워더로 바로 보내 해석 경로를 단축 |
패킷 흐름(요지) | 로컬 재귀 DNS → (부모의 NS/Glue 참조) → 자식 존 권한 NS들로 직접 재귀 질의 | 로컬 재귀 DNS → 전달자(지정 DNS) 1~N → 결과만 반환(전달자 내부 재귀/권한 처리) |
강점 | 표준 권한 경로 보존, 다수 NS로 트래픽 분산, 대규모 하위 네임스페이스에 적합 | 체인 단계 제거/트래픽 감소, 방화벽 경계 밖 통신 대상 축소(보안), 크로스-네임스페이스 라우팅에 유용 |
약점 | 부모 존의 NS 목록 수동 갱신 필요(새 권한 DNS 추가 시 놓치기 쉬움). 포워더를 병용하면 표준 레퍼럴 흐름이 우회될 수 있음 | 전달자 가용성/지연에 종속. 잘못 구성하면 병목/단일 실패점(SPOF). 포워더 체이닝 지양 |
운영 비용 | 위임 NS/Glue 변경 시 부모 갱신 필수. 이를 자동화하려면 Stub Zone으로 NS를 자동 최신화 | 전달자 IP 정기 헬스체크/다중 등록으로 폴백 확보. 구성은 단순하나 설계 실수 시 영향 큼 |
성능/확장성 | 권한 NS 다수로 자연 분산. 대규모 서브도메인 확장·조직 구조 반영 용이 | 사이트별로 다른 포워더로 보낼 수 있어 WAN 최적화 및 해석 단계 단축에 유리 |
보안/네트워크 | 표준 DNS 동작(레퍼럴). 외부 통신 대상을 넓게 가져갈 수 있음 | 방화벽 경계 통신 대상을 최소화(지정된 포워더로만 나감) → 보안에 우호적 |
장애 내성 | 특정 권한 NS 장애 시 다른 NS로 재시도(분산) | 전달자 장애 시 다른 전달자로 폴백 필요(다중 등록 권장) |
적합 시나리오 | 장기적 권한 분리, 대규모 하위 도메인 운영, 조직적 관리 위임 | 타 포리스트/외부 네임스페이스 해석, 사이트 간 최적화, 방화벽 통제/보안 강화 필요 시 |
반응형
'IT' 카테고리의 다른 글
DNS (3) | 2025.08.22 |
---|---|
lsass (2) | 2025.08.22 |
AD/DNS (4) | 2025.08.18 |
AD 백업 및 복구 핵심 Q&A 20 (4) | 2025.07.18 |
ADAC(Active Directory 관리 센터)와 휴지통 (1) | 2025.07.18 |