본문 바로가기

IT

DNS 위임(delegation) 조건부 전달자(conditional forwarders) 차이

반응형

항목 위임 (Delegation) 조건부 전달자 (Conditional Forwarder)

목적 DNS 네임스페이스의 권한 자체를 자식 존으로 위임해 표준 DNS 레퍼럴 경로를 따르게 함 특정 도메인 접미사 질의를 지정한 포워더로 바로 보내 해석 경로를 단축
패킷 흐름(요지) 로컬 재귀 DNS → (부모의 NS/Glue 참조) → 자식 존 권한 NS들로 직접 재귀 질의 로컬 재귀 DNS → 전달자(지정 DNS) 1~N → 결과만 반환(전달자 내부 재귀/권한 처리)
강점 표준 권한 경로 보존, 다수 NS로 트래픽 분산, 대규모 하위 네임스페이스에 적합 체인 단계 제거/트래픽 감소, 방화벽 경계 밖 통신 대상 축소(보안), 크로스-네임스페이스 라우팅에 유용
약점 부모 존의 NS 목록 수동 갱신 필요(새 권한 DNS 추가 시 놓치기 쉬움). 포워더를 병용하면 표준 레퍼럴 흐름이 우회될 수 있음 전달자 가용성/지연에 종속. 잘못 구성하면 병목/단일 실패점(SPOF). 포워더 체이닝 지양
운영 비용 위임 NS/Glue 변경 시 부모 갱신 필수. 이를 자동화하려면 Stub Zone으로 NS를 자동 최신화 전달자 IP 정기 헬스체크/다중 등록으로 폴백 확보. 구성은 단순하나 설계 실수 시 영향 큼
성능/확장성 권한 NS 다수로 자연 분산. 대규모 서브도메인 확장·조직 구조 반영 용이 사이트별로 다른 포워더로 보낼 수 있어 WAN 최적화해석 단계 단축에 유리
보안/네트워크 표준 DNS 동작(레퍼럴). 외부 통신 대상을 넓게 가져갈 수 있음 방화벽 경계 통신 대상을 최소화(지정된 포워더로만 나감) → 보안에 우호적
장애 내성 특정 권한 NS 장애 시 다른 NS로 재시도(분산) 전달자 장애 시 다른 전달자로 폴백 필요(다중 등록 권장)
적합 시나리오 장기적 권한 분리, 대규모 하위 도메인 운영, 조직적 관리 위임 타 포리스트/외부 네임스페이스 해석, 사이트 간 최적화, 방화벽 통제/보안 강화 필요 시

 

반응형

'IT' 카테고리의 다른 글

DNS  (3) 2025.08.22
lsass  (2) 2025.08.22
AD/DNS  (4) 2025.08.18
AD 백업 및 복구 핵심 Q&A 20  (4) 2025.07.18
ADAC(Active Directory 관리 센터)와 휴지통  (1) 2025.07.18