도메인 트러스트

1. Q. “트러스트(Trust)”는 정확히 무엇이며 왜 필요한가?
   A. 트러스트는 서로 다른 도메인(또는 포리스트) 간에 “인증‧인가”를 가능하게 하는 보안 관계입니다. 신뢰하는 쪽(리소스 도메인)은 신뢰받는 쪽(계정 도메인)이 발행한 사용자 자격 증명을 검증하여, 파일 공유/웹 포털/로그온 같은 액세스를 허용할지 결정합니다. Windows 네트워크 보안 아키텍처의 핵심 구성요소로 AD 간 보안 통신의 기반을 이룹니다.

1. Q. 트러스트의 방향성(Direction)은 어떻게 구분하나요?
   A. 기본은 “일방(One-way)”과 “양방(Two-way)”입니다. 일방 트러스트에서 trusting(리소스) 도메인은 outgoing(상대 도메인을 신뢰)이고, trusted(계정) 도메인은 incoming(신뢰를 받음)입니다. 양방은 두 개의 일방 트러스트가 상호로 존재하는 형태입니다.

1. Q. “Transitive(전이)”와 “Non-transitive(비전이)” 차이는?
   A. 전이 트러스트는 기업 경계(동일 포리스트 등) 내 간접 경로를 통한 인증 위임이 가능하며, 비전이는 직접 연결된 도메인에만 인증이 허용됩니다. 주의: “A가 B를, B가 C를 신뢰하니 A가 C를 신뢰한다”는 자동 성립이 아닙니다. 트러스트 종류에 따라 전이 속성이 다릅니다.

1. Q. 같은 포리스트 내부 트러스트 종류와 생성 방식은?
   A. Tree-Root와 Parent-Child 트러스트는 새 도메인/트리 추가 시 자동 생성되며, 둘 다 전이/양방입니다. Shortcut 트러스트는 관리자가 수동 생성하며 전이이고, 일방 또는 양방으로 구성할 수 있어 인증 경로를 단축(토큰 발급 지연 감소 등)합니다.

1. Q. 포리스트 간 트러스트는 어떤 옵션이 있나요?
   A. External(도메인 대 도메인)과 Forest(포리스트 대 포리스트)가 있습니다. External은 비전이/일방 또는 양방, Forest는 전이/일방 또는 양방입니다. Forest 트러스트는 상대 포리스트의 네임 서픽스(UPN/SPN/SID 네임스페이스)를 수집해 이름 라우팅을 수행합니다.

1. Q. Realm 트러스트는 언제 쓰나요?
   A. 비-Windows Kerberos Realm과 Windows 도메인 사이에 수동으로 구성합니다. 기본은 비전이/일방이며 필요 시 상호 일방 2개로 양방처럼 구성할 수 있습니다(심화 내용은 문서에서 생략).

1. Q. “Enterprise”의 범위는 언제 “도메인”, 언제 “포리스트”인가요?
   A. External 트러스트에서는 양끝이 “도메인” 단위(Enterprise=Domain), Forest 트러스트에서는 양끝이 “포리스트” 단위(Enterprise=Forest)입니다. 따라서 Forest 트러스트에서는 신뢰받는 포리스트의 모든 도메인 사용자가(다른 제한 없다는 가정하에) 신뢰하는 포리스트의 모든 도메인 리소스에 접근할 수 있습니다.

1. Q. 신뢰 관계는 AD 내부에 어떻게 저장되나요(TDO)?
   A. Trusted Domain Object(TDO) 로 표현되며 System 컨테이너에 저장됩니다. External은 각 도메인 파티션, Forest는 각 포리스트의 루트 도메인 파티션에 생성됩니다. TDO에는 도메인 SID, 트러스트 타입/전이/방향, SID 필터링/Selective Auth 등 주요 속성이 담깁니다.

1. Q. TDO의 핵심 속성은 무엇이 있나요?
   A. trustAttributes(SID Filtering/SelectiveAuth 등), trustDirection, trustAuthIncoming / trustAuthOutgoing(트러스트 암호), 그리고 Forest 트러스트용 네임스페이스/UPN/SPN 정보가 저장됩니다. 관리/점검 시 이 속성 해석이 중요합니다.

1. Q. 트러스트 암호(Trust Password) 동작과 갱신 주기는?
   A. 각 파트너 도메인이 공유하는 공통 비밀(암호)이며 불일치 시 트러스트는 끊깁니다. 기본 30일마다 trusting 도메인의 PDCe 가 갱신을 시도하고, 새 암호(N)와 직전 암호(N-1)를 모두 보관합니다. 오래 복제 지연된 DC는 N/N-1 모두 몰라서 인증 실패가 날 수 있습니다.

1. Q. 트러스트 암호 갱신 재시도/주기를 어떻게 조정하나요?
   A. 레지스트리 HKLM\SYSTEM\CCS\Services\Netlogon\Parameters 의 MaximumPasswordAge(일), DisablePasswordChange, ScavengeInterval(분)로 제어합니다. 동일 정책은 “도메인 구성원: 컴퓨터 계정 암호” 관련 보안 옵션과도 매핑됩니다.

1. Q. Kerberos와 NTLM의 “크로스 도메인 인증” 경로 차이는?
   A. Kerberos는 클라이언트가 자신의 계정 도메인 KDC에서 시작해 신뢰 경로를 따라 Referral TGT 를 연속 발급받습니다. NTLM은 리소스 서버가 자신의 도메인 DC에 패스스루 인증을 요청하며, 직접/전이 신뢰 경로를 따라 사용자의 계정 도메인까지 릴레이합니다. 둘 다 신뢰 경로의 존재(방향/전이)에 의존합니다.

1. Q. 같은 포리스트의 서로 다른 트리 간 Kerberos 인증 흐름은?
   A. Shortcut 트러스트가 없으면 루트 도메인을 경유한 경로가 산출됩니다(경로 최단화 미적용). 빈번한 교차 접근이 있다면 Shortcut을 고려해 TGT 체인을 단축하고 인증 지연을 줄일 수 있습니다.

1. Q. Forest 트러스트에서 “Name Suffix Routing”은 무엇을 의미하나요?
   A. 상대 포리스트의 UPN/SPN 접미사와 SID 네임스페이스를 수집해 “목적 도메인 판별 및 라우팅”을 수행합니다. 중복/겹침이 없어야 하며, 이를 근거로 신뢰 경로가 계산됩니다.

1. Q. External 트러스트에서 Kerberos가 기본적으로 잘 안 되는 이유는?
   A. 외부 도메인의 KDC가 상대 도메인의 SPN을 찾기 어렵기 때문입니다. 워크어라운드로 “3-part SPN(Service/Server@Realm)”을 애플리케이션이 명시적으로 사용하거나, KDC/Kerberos 정책의 Forest Search Order(KFSO) 를 활용하는 방법이 있습니다(고급 시나리오).

1. Q. 트러스트 관리에 어떤 도구를 쓰나요(핵심 CLI)?
   A. GUI는 “Active Directory Domains and Trusts”, CLI는 netdom.exe 와 nltest.exe 입니다. 예:

• netdom trust <TrustingDomain> /domain:<TrustedDomain> /quarantine:Yes /selectiveauth:Yes /enableSIDhistory:No
• nltest /domain_trusts, nltest /sc_verify 등으로 상태/보안 채널을 점검합니다.

1. Q. 신뢰 경로 문제를 어떻게 진단하나요(트러블슈팅 기초)?
   A. Dcdiag/Netdiag, Network Monitor/Wireshark 로 Kerberos/NTLM 트래픽을 캡처해 리퍼럴/패스스루 흐름을 확인합니다. Netlogon 보안 채널 이벤트, KDC 이벤트, 복제 상태와 TDO 암호 동기화(N/N-1)도 함께 점검합니다.

1. Q. SIDHistory가 보안상 문제가 될 수 있는 이유는?
   A. 마이그레이션된 계정의 과거 SID가 토큰에 추가되어 “과거 권한”이 현재 경계를 넘어 확대될 수 있기 때문입니다. 신뢰 받는 측의 sidHistory 에 임의/불분명 SID가 섞이면 신뢰하는 측에서 권한 상승 경로가 됩니다. 따라서 SID 필터링이 중요합니다.

1. Q. “SID Filtering”과 “SID Filter Quarantining”의 차이는?
   A. 일반적 “SID Filtering”은(주로 Forest 트러스트) “신뢰된 포리스트 내 도메인 SID 성분과 일치하지 않는 SID”를 필터링합니다(/enableSIDhistory 관련). “Quarantining”(주로 External)은 더 엄격해서 “직접 신뢰된 단일 도메인에서 온 SID만 유효”로 간주합니다(/quarantine 관련).

1. Q. TDO에서 SID Filtering 관련 비트는 무엇인가요?
   A. trustAttributes에 저장되며, 대표적으로 0x04(QUARANTINED_DOMAIN: 외부트러스트 격리), 0x40(TREATED_AS_EXTERNAL: enableSIDhistory) 비트가 있습니다. 양방 트러스트라면 각 방향별로 독립 설정됩니다.

1. Q. “Selective Authentication(선택적 인증)”은 무엇이며 언제 쓰나요?
   A. 신뢰 받는 도메인/포리스트의 “모든 사용자”가 아니라 “특정 사용자/그룹”만 리소스에 들어오게 세밀 제어합니다. External/Forest 트러스트 모두 지원하며, 리소스 쪽(신뢰하는 쪽)에서 대상 컴퓨터/서비스 계정의 Allowed to Authenticate 권한으로 강제됩니다.

1. Q. Selective Auth 적용 시 권한을 어디에 부여하나요?
   A. Kerberos: 서비스가 동작하는 보안 주체(서비스 계정/Local System 또는 Network Service라면 컴퓨터 계정)에 Allowed to Authenticate 를 줍니다. NTLM: 항상 리소스가 동작하는 컴퓨터 계정에 부여합니다.

1. Q. Selective Auth도 TDO에 속성이 기록되나요?
   A. 예, trustAttributes의 0x10(CROSS_ORGANIZATION / netdom /SelectiveAuth:Yes) 비트가 해당 방향에 대해 설정됩니다. 양방 트러스트에서는 방향별로 독립 제어가 가능합니다.

1. Q. netdom으로 외부 트러스트를 “안전하게” 만드는 기본 예시는?
   A. 예:

 

netdom trust corp.local /domain:partner.local /quarantine:YES /SelectiveAuth:YES

이렇게 하면 외부 트러스트에서 기본 격리(SID Quarantining)와 선택적 인증을 동시에 활성화해, 최소 권한 원칙에 맞는 교차 접근을 만들 수 있습니다.

 

1. Q. 트러스트 암호 불일치가 의심될 때 무엇을 확인하나요?
   A. trusting 도메인의 PDCe 이벤트 로그(Netlogon/KDC), ScavengeInterval(재시도 주기), 방화벽/네트워크 차단(RPC) 여부를 봅니다. 복제 지연으로 일부 DC만 N/N-1을 알고 다른 DC는 모르면 불규칙 인증 실패가 발생할 수 있습니다.

1. Q. External vs Forest 트러스트 선택 기준은?
   A. 단일 도메인 간 특정 리소스 공유 정도라면 External이 간단합니다(비전이). 포리스트 전체 간 폭넓은 상호 액세스와 이름 라우팅, 향후 확장성을 원한다면 Forest 트러스트가 적합합니다(전이/Name Suffix Routing). 보안 요구(Selective Auth, SID Filtering)도 함께 고려합니다.

1. Q. Shortcut 트러스트는 언제 도입해야 하나요?
   A. 같은 포리스트의 서로 다른 트리 간 빈번한 교차 인증으로 TGT 체인이 길어져 지연이 커질 때입니다. 자주 오가는 도메인 쌍에 “일방 또는 양방” Shortcut을 추가하면 루트 경유를 생략하고 인증 왕복 수를 줄일 수 있습니다.

1. Q. Kerberos PAC/Netlogon은 트러스트에서 어떤 역할을 하나요?
   A. Netlogon은 워크스테이션–DC 간 보안 채널 유지, DC 검색, 자격 증명 전달, PAC 검증/사용자 신원 검증을 담당합니다. Kerberos PAC의 그룹/SID 정보가 토큰에 반영되고, 신뢰하는 쪽 DC는 PAC을 검증하여 교차 인증을 완성합니다.

1. Q. 트러스트 구성 시 흔한 보안 실수와 예방책은?
   A. (1) External을 개방형으로 두고 SID Quarantining/Selective Auth를 미설정 → 최소한 /quarantine:Yes 와 /SelectiveAuth:Yes. (2) 이름 라우팅 중복 방치(UPN/SPN 겹침) → Forest 트러스트 시 접미사 라우팅 재점검. (3) 레거시 SIDHistory 방치 → SID Filtering 정책 검토.

1. Q. 현업 점검 체크리스트(요약)는?
   A. ① 트러스트 종류/전이/방향 정확성, ② TDO trustAttributes(SelectiveAuth, Quarantine, enableSIDhistory) 의도대로 설정 여부, ③ 트러스트 암호 갱신 이벤트/레지스트리 주기, ④ Kerberos/NTLM 리퍼럴 경로 실제 계산 결과, ⑤ 이름 접미사 라우팅 충돌 여부, ⑥ 선택적 인증 권한 부여 대상(서비스/컴퓨터 계정) 적합성, ⑦ 진단 도구(netdom/nltest/Dcdiag)와 패킷 캡처로 경로 확인.