1. 도메인 트러스트란 무엇이며, Active Directory 환경에서 왜 필요한가요?
A:
도메인 트러스트는 두 도메인 간 보안 관계를 설정해, 한 도메인의 사용자 계정이 다른 도메인의 리소스에 접근할 수 있도록 인증/인가를 가능하게 하는 메커니즘입니다. 기업 합병, 다국적 법인 환경, 리소스 분리(예: R&D vs Production) 등에서 필수적입니다.
2. 트러스트의 주요 유형에는 어떤 것들이 있으며, 각각 언제 사용되나요?
A:
- Parent-Child Trust: 도메인 트리 내 자동 생성, 양방향·전이적
- Tree-Root Trust: 서로 다른 트리 간 자동 생성, 양방향·전이적
- External Trust: 포리스트 외부 단일 도메인과 수동 생성, 보통 NT4/레거시 환경 호환
- Forest Trust: 두 개 포리스트 간, 전이 가능, AD 2003 이상
- Realm Trust: Kerberos 기반 Unix/Linux 환경 통합
- Shortcut Trust: 큰 포리스트에서 인증 경로 최적화용
3. Transitive Trust와 Non-Transitive Trust 차이를 설명해보세요.
A:
- Transitive: A↔B, B↔C 관계라면 A↔C도 신뢰 → Forest Trust, Parent-Child Trust
- Non-Transitive: 직접 연결된 도메인 사이에만 유효 → External Trust
→ 성능 최적화·보안 경계 강화 목적에 따라 선택
4. 양방향(Bidirectional) Trust와 단방향(One-Way) Trust의 차이는 무엇인가요?
A:
- One-Way Trust: A→B 방향만, A 사용자가 B 리소스 접근 가능
- Two-Way Trust: 상호 신뢰, 양 도메인 사용자 모두 접근 가능
→ 보안 요구사항에 따라 최소 권한 원칙(Principle of Least Privilege)을 적용
5. Forest Trust와 External Trust의 차이를 설명하고, 어떤 시나리오에서 Forest Trust가 선호되나요?
A:
- External Trust: 특정 도메인과만 신뢰, 전이 불가, 단순 리소스 공유
- Forest Trust: 포리스트 단위 신뢰, 전이 가능, 더 유연하고 대규모 통합 환경 적합
→ 예: 대기업 간 협업, Cross-Forest 리소스 공유 시 Forest Trust 선호
6. SID Filtering이란 무엇이며, 트러스트 보안에 어떤 역할을 하나요?
A:
SID Filtering은 트러스트 관계에서 잘못된 SID(특히 SID History 악용)를 차단하는 기능입니다. 공격자가 위조된 SID를 통해 관리자 권한을 획득하는 걸 막아줍니다.
Forest Trust/External Trust 기본 활성화 상태입니다.
7. Selective Authentication 옵션은 언제 사용하며, 기본 Trust와 어떤 차이가 있나요?
A:
Selective Authentication은 트러스트를 맺었더라도 특정 사용자/그룹만 지정 리소스에 접근 가능하도록 제한하는 옵션입니다.
기본은 **Forest-wide Authentication(자동 승인)**인데, 보안 요구가 높은 환경에서는 Selective를 써서 접근 제어를 세밀히 합니다.
8. Shortcut Trust는 왜 필요하며, 어떤 상황에서 성능 최적화 효과가 있나요?
A:
큰 포리스트에서 루트→하위 도메인 간 인증 경로가 길어져 Kerberos TGT 체인이 복잡해질 수 있습니다.
Shortcut Trust를 만들어 직접적인 인증 경로를 단축해 로그인 지연을 줄이는 데 사용합니다.
9. 트러스트 관계에서 DNS 설정은 왜 중요한가요?
A:
트러스트가 제대로 작동하려면 각 도메인이 서로의 이름을 해석할 수 있어야 합니다. 따라서 조건부 전달자(Conditional Forwarder)나 Stub Zone 등을 통해 상호 DNS 네임리졸루션이 가능해야 하며, 이게 안 되면 Kerberos 티켓 교환이 실패합니다.
10. 트러스트 문제 발생 시 대표적인 장애 증상과 진단 방법은?
A:
- 증상: 로그인 실패(“The trust relationship between this workstation and the primary domain failed”), Kerberos 오류(4004/4016 DNS, KDC_ERR_C_PRINCIPAL_UNKNOWN 등)
- 진단:
📌 One-Way Trust 방향 해석
· A → B One-Way Trust 라고 하면:
o A 도메인 사용자가 B 리소스에 접근 가능
o 즉, B는 A를 신뢰한다 (B 입장에서 Incoming Trust)
o 반대로 A 입장에서는 Outgoing Trust
📌 용어 매핑
· Incoming Trust (인커밍 트러스트)
o "다른 도메인이 나(A)를 신뢰하는 경우"
o 내 도메인 리소스에 외부 사용자가 접근할 수 있게 됨
· Outgoing Trust (아웃고잉 트러스트)
o "내(A)가 다른 도메인을 신뢰하는 경우"
o 내 사용자가 외부 도메인 리소스에 접근할 수 있게 됨
예시
· One-Way A→B
o A 사용자 → B 리소스 접근 가능
o B 입장: Incoming Trust
o A 입장: Outgoing Trust
11. One-Way Trust에서 “Incoming Trust”와 “Outgoing Trust”는 어떻게 구분하나요?
A:
- Incoming Trust: 내 도메인이 다른 도메인의 사용자 계정을 신뢰 → 외부 사용자가 내 리소스에 접근 가능
- Outgoing Trust: 내 도메인이 다른 도메인을 신뢰 → 내 사용자가 외부 리소스에 접근 가능
👉 netdom trust <DomainName> /domain:<OtherDomain> /verify 명령으로 확인 가능
12. External Trust와 Forest Trust 모두 만들 수 있는 상황에서 External Trust를 선택할 수밖에 없는 경우는 언제인가요?
A:
- 상대 포리스트가 2003 이전 버전일 때
- 특정 도메인만 제한적으로 신뢰해야 할 때
- 보안 경계 상, 전이적 신뢰(Transitive Trust)를 의도적으로 차단해야 할 때
👉 Forest Trust가 범위가 더 크지만, 항상 보안적으로 바람직한 건 아님
13. Selective Authentication을 적용했는데, 접근이 차단되는 이유를 진단하려면 어떻게 해야 하나요?
A:
- 이벤트 로그(Security, Directory Service)에서 Kerberos 티켓 거부 이벤트 확인 (Event ID 4769, 4771 등)
- 대상 리소스 서버의 ACL 및 Allowed to Authenticate 권한 확인
- whoami /groups로 그룹 SID 포함 여부 검증
14. SID Filtering을 해제해야 하는 상황은 언제 있을까요?
A:
- 도메인/포리스트 마이그레이션 중 SIDHistory 속성을 활용해야 할 때
- 기존 계정이 새 환경에서 리소스를 그대로 접근해야 할 경우
👉 단, 해제 시 SID 위조 공격에 노출되므로, 임시로만 사용 후 반드시 재활성화
15. Realm Trust와 Forest Trust의 근본적인 차이는 무엇인가요?
A:
- Realm Trust: Kerberos 기반 다른 OS(Unix/Linux)와 AD를 연결하는 신뢰 관계
- Forest Trust: AD 포리스트 간 신뢰
👉 Realm Trust는 RFC 1510 Kerberos 표준 기반, Forest Trust는 AD 전용
16. Shortcut Trust를 만들었는데 성능이 개선되지 않는 경우 어떤 점을 점검해야 할까요?
A:
- DNS 네임리졸루션이 제대로 되는지 확인
- Kerberos 티켓 경로가 정말 단축되었는지 klist로 TGT 체인 확인
- 트러스트 방향이 실제 접근 시나리오와 일치하는지 검토
17. 도메인 트러스트를 설정할 때 방화벽에서 반드시 열어야 하는 포트는 무엇인가요?
A:
- Kerberos: TCP/UDP 88
- LDAP/GC: TCP 389, 3268
- SMB: TCP 445
- RPC: TCP 135 + 동적 RPC 포트
- DNS: UDP/TCP 53
👉 트러스트는 결국 DNS + Kerberos + LDAP 통신이 전제 조건
18. 트러스트 관계 문제로 자주 발생하는 “The trust relationship between this workstation and the primary domain failed” 오류 원인은 무엇인가요?
A:
- 클라이언트 컴퓨터 계정(AD 오브젝트) 비밀번호 불일치
- DC 복제 지연으로 인한 Kerberos 인증 실패
- DNS 오류로 인한 KDC 탐색 실패
👉 해결: 컴퓨터 계정 재가입(netdom reset), DNS 정합성 검증
19. Forest Trust 구성 시 UPN Suffix가 다른 경우 발생할 수 있는 문제와 해결 방법은?
A:
- 서로 다른 UPN 접미사가 존재하면 사용자 로그인 시 혼동 발생
- DNS 네임스페이스 해석 실패 가능
- 해결:
20. 트러스트 관계가 정상인지 AD 관리자 입장에서 진단할 수 있는 방법은 무엇인가요?
A:
- nltest /domain_trusts → 트러스트 목록 확인
- netdom trust → 트러스트 검증 및 재설정
- 이벤트 뷰어 (Directory Service, Kerberos, DNS) 로그 분석
- AD Sites and Services에서 연결 메타데이터 점검
👉 실무에서는 항상 DNS와 Kerberos 티켓 발급 확인이 핵심
문제: 트러스트가 맺어진 뒤에도 다른 도메인 사용자가 리소스에 접근할 수 없다.
가능한 원인/해결:
- DNS 조건부 전달자/Stub Zone 미구성 → 네임해결 불가 → DNS 설정 확인
- 방화벽에서 Kerberos(88), LDAP(389), SMB(445) 차단 → 포트 오픈
- UPN Suffix 라우팅 미구성 → UPN 기반 로그인 실패 → Suffix Routing 설정
2. 문제: 트러스트 생성 시 “The RPC server is unavailable” 오류 발생
원인/해결:
- 양쪽 DC 간 RPC(135) 및 동적 포트 차단 → 방화벽 예외 필요
- Netlogon 서비스 중단 → 서비스 재시작
- 네트워크 단절 → ping, tracert로 경로 확인
3. 문제: 트러스트 검증 시 “Access denied” 오류 발생
원인/해결:
- 트러스트 계정(Trusted Domain Object)의 암호 불일치 → netdom trust /reset
- DC 간 시간 동기화 문제 → NTP 점검
- 관리자 권한 없는 계정으로 검증 시도 → Domain Admin 권한 필요
4. 문제: 크로스 포리스트 인증에서 Kerberos 대신 NTLM이 사용된다
원인/해결:
- SPN 누락 또는 잘못 등록 → setspn -Q로 검증 후 수정
- 트러스트 경로 최적화 필요 → Shortcut Trust 구성
- 애플리케이션이 Kerberos 비호환(예: 오래된 IIS/SQL 버전) → 서비스 업데이트
5. 문제: “The trust relationship between this workstation and the primary domain failed”
원인/해결:
- 클라이언트 컴퓨터 계정 암호와 DC 저장 암호 불일치 → netdom reset or 도메인 재가입
- DC 복제 지연 → Repadmin /syncall 실행
- VM 스냅샷 복구 후 발생 → 계정 비밀번호 재설정
6. 문제: External Trust 환경에서 특정 사용자만 접근이 안 된다
원인/해결:
- SID Filtering 활성화로 SIDHistory 무효화 → 필요 시 일시 해제
- Selective Authentication 설정 누락 → 대상 사용자/그룹에 “Allowed to Authenticate” 권한 부여
- Foreign Security Principal(FSP) 매핑 오류 → AD 객체 확인
7. 문제: 도메인 간 그룹 정책이 적용되지 않는다
원인/해결:
- SYSVOL/NETLOGON 접근 실패 → SMB 445 차단 여부 확인
- Kerberos 티켓 누락 → klist로 TGT/TGS 확인
- Universal Group 멤버십이 제대로 전파되지 않음 → 글로벌 카탈로그(3268) 접근 확인
8. 문제: Forest Trust 환경에서 특정 자원에 접근 시 “Logon failure: The target account name is incorrect” 발생
원인/해결:
- SPN 중복 등록 → setspn -X로 확인
- 서버가 잘못된 도메인 컨트롤러 참조 → nltest /dsgetdc
- DNS SRV 레코드 불일치 → _kerberos._tcp.dc._msdcs 영역 점검
9. 문제: 트러스트 삭제 후에도 여전히 사용자 계정이 남아 인증을 시도한다
원인/해결:
- 캐시된 TGT/TGS 존재 → klist purge
- AD 복제 지연으로 Trust Object가 아직 남아 있음 → Repadmin /syncall
- 리소스 서버 ACL에 FSP(외부 사용자 SID) 남아있음 → ACL 정리 필요
10. 문제: 트러스트 구성 후 성능 저하, 로그인 지연 발생
원인/해결:
- 인증 경로가 루트 도메인까지 길게 이어짐 → Shortcut Trust 추가
- 글로벌 카탈로그 서버 부재 → GC 배치 필요
- PAC 검증 트래픽이 과도 → Netlogon 보안 채널 상태 점검
1. Kerberos 기반 트러스트에서 PAC(Privilege Attribute Certificate)의 역할은 무엇이며, 보안적으로 어떤 취약점이 있을 수 있나요?
A:
PAC는 사용자 SID와 그룹 멤버십을 담아 리소스 도메인 서버가 토큰을 구성할 수 있게 합니다.
취약점은 SIDHistory 필드 위조 공격으로, 이를 막기 위해 SID Filtering과 PAC 서명 검증(Netlogon secure channel)이 필요합니다.
2. Forest Trust 환경에서 UPN Suffix Routing이 왜 중요한가요?
A:
사용자가 user@customsuffix.com 같은 별도 UPN으로 로그인할 때, 트러스트된 포리스트가 해당 UPN을 인식할 수 있어야 합니다. Routing이 없으면 KDC가 사용자 위치를 못 찾아 Kerberos 실패가 발생합니다.
3. Selective Authentication과 SID Filtering은 어떻게 다르고, 보안 모델 상 어떤 상황에서 각각을 활용하나요?
A:
- Selective Auth: 접근 가능 계정을 제한 (권한 위임 기반)
- SID Filtering: 잘못된/위조 SID를 차단 (보안 방어 기반)
→ Selective는 “누구를 통과시킬 것인가” / SID Filtering은 “무엇을 차단할 것인가”
4. External Trust가 Non-Transitive인 이유는 무엇일까요?
A:
역사적으로 NT4 호환성을 유지해야 했기 때문에 전이적 신뢰를 허용하면 예측 불가능한 경로가 열릴 수 있었습니다. 따라서 External Trust는 항상 특정 도메인 쌍에만 한정됩니다.
5. Shortcut Trust를 설계할 때 고려해야 할 리스크는 무엇인가요?
A:
경로 단축으로 성능은 개선되지만, 트러스트 관계가 늘어나면 공격 표면이 넓어집니다. 따라서 “최소 신뢰(Minimal Trust)” 원칙을 지켜, 정말 빈번한 인증 지연이 발생하는 경로에서만 Shortcut을 사용해야 합니다.
6. Kerberos 트러스트 체인에서 DomainA → DomainB → DomainC 접근 시 PAC 검증은 어떻게 이루어지나요?
A:
최초 PAC은 DomainA KDC가 발급하고, DomainB KDC가 신뢰 체인에 따라 PAC을 재검증하거나 전달합니다. DomainC 리소스 서버는 DomainC KDC가 검증한 PAC을 신뢰합니다. 이 과정에서 Netlogon secure channel이 각 KDC 간에 PAC 서명 검증을 수행합니다.
7. Forest Trust와 Forest Functional Level(FFL)의 관계는 무엇인가요?
A:
Forest Trust는 Windows Server 2003 FFL 이상에서만 지원됩니다.
이는 Kerberos cross-forest referral 기능이 2003에서 처음 도입되었기 때문입니다. 낮은 FFL에서는 트러스트 타입이 제한됩니다.
8. 도메인 트러스트 환경에서 글로벌 그룹, 유니버설 그룹, 도메인 로컬 그룹의 역할은 각각 무엇인가요?
A:
- 글로벌 그룹: 사용자 계정을 묶어 다른 도메인 리소스 접근 시 사용
- 유니버설 그룹: 포리스트 전역에서 멤버/리소스를 혼합 가능 (GC 필요)
- 도메인 로컬 그룹: 리소스 도메인에서 실제 ACL에 부여됨
→ 즉, “Global은 사용자 묶기, Universal은 교차 도메인 배포, Local은 리소스 보호”
9. Realm Trust를 구성할 때 Kerberos 표준(RFC 4120)과 Active Directory 구현 간 차이점은 무엇인가요?
A:
표준 Kerberos는 PAC 개념이 없고 단순 티켓 교환만 수행합니다. AD는 PAC과 SID, 그룹 정보를 추가로 넣어 토큰을 풍부하게 만듭니다. Realm Trust에서 PAC이 없으면 토큰이 제한적이므로, 보통 **리소스 도메인에서 별도의 매핑(FSP)**이 필요합니다.
10. 트러스트 키(Trusted Domain Password)는 어떻게 관리되고, 보안적 취약점은 없을까요?
A:
- 각 트러스트 관계는 **양쪽 도메인에 공유된 비밀키(Password)**로 보호됨.
- 이 키는 Netlogon 서비스가 30일 주기로 자동 갱신.
- 문제: 방화벽 차단이나 보안 채널 끊김 시 갱신 실패 → 암호 불일치 → 트러스트 깨짐.
- 해결: netdom trust /reset으로 수동 동기화 가능.
📌 도메인 트러스트 인터뷰 핵심 15문제 세트
① 기본 개념 & 아키텍처
1. 도메인 트러스트란 무엇이며, 왜 필요한가요?
→ 다른 도메인 간 보안 경계를 설정해 사용자가 다른 도메인 리소스 접근 가능. 합병·다국적 기업 등에서 필수.
2. 트러스트 유형(Parent-Child, Forest, External, Realm, Shortcut)의 차이점과 적용 시나리오를 설명하세요.
→ 자동/수동, Transitive 여부, 포리스트 경계, Unix 환경 등.
3. One-Way Trust에서 Incoming vs Outgoing Trust 차이를 설명하세요.
→ A→B 트러스트 시: B는 Incoming, A는 Outgoing.
② 인증 메커니즘 (Kerberos 중심)
4. Cross-Forest Kerberos 인증 흐름을 단계별로 설명해보세요.
→ 자기 도메인 TGT → Cross-Realm TGT 발급 → 다른 도메인 KDC로 서비스 티켓 요청 → 리소스 서버 접속(AP-REQ, SMB 445 등).
5. PAC(Privilege Attribute Certificate)의 역할과 보안상 취약점은 무엇인가요?
→ SID·그룹 정보 포함 → SIDHistory 위조 취약 → SID Filtering과 PAC 서명 검증으로 방어.
6. SID Filtering과 Selective Authentication의 차이는 무엇인가요?
→ Selective: 접근 허용 계정 제한 / SID Filtering: 잘못된 SID 차단.
7. Kerberos 트러스트 체인에서 PAC 검증은 어떻게 수행되나요?
→ 리소스 도메인 KDC가 Netlogon 보안 채널로 원본 도메인 KDC에 PAC 서명 검증 요청.
③ 설계와 보안 고려
8. Forest Trust와 External Trust의 차이점은 무엇이고, 어떤 경우 External을 선택하나요?
→ Forest는 전이 가능/유연, External은 단일 도메인만, NT4 호환 시 필요.
9. Selective Authentication을 켜면 운영에 어떤 영향이 있나요?
→ 기본은 Forest-wide Auth(자동 승인). Selective 시 Allowed to Authenticate 권한 부여 필수. 보안 강화되지만 관리 오버헤드 증가.
10.Shortcut Trust의 장점과 리스크는 무엇인가요?
→ 인증 경로 단축으로 성능 향상, 하지만 불필요한 신뢰 관계 증가는 공격 표면 확대.
11.Forest Functional Level과 Forest Trust 지원 관계를 설명하세요.
→ Forest Trust는 2003 FFL 이상 필요. (Cross-Forest Kerberos referral 지원).
④ 그룹/권한 모델
12.트러스트 환경에서 글로벌 그룹, 유니버설 그룹, 도메인 로컬 그룹의 역할은 각각 무엇인가요?
→ 글로벌 = 사용자 묶기, 유니버설 = 포리스트 전역 배포, 로컬 = 리소스 도메인 ACL 적용.
13.Foreign Security Principal(FSP)은 무엇이고, 왜 필요한가요?
→ 외부 도메인 계정을 리소스 도메인에서 참조하기 위한 AD 객체. 리소스 ACL에 외부 계정을 매핑.
⑤ 운영/문제 해결 심화
14.트러스트 키(Trusted Domain Password)는 어떻게 관리되며, 불일치 시 어떤 증상이 발생하나요?
→ Netlogon이 30일 주기 자동 갱신. 갱신 실패 시 “Access denied”, Event 40960 등 발생. netdom trust /reset으로 수동 복구 가능.
15.트러스트 문제 진단 시 반드시 확인해야 할 네트워크 요소와 툴은 무엇인가요?
→ DNS(조건부 전달자, SRV 레코드), 방화벽 포트(88,389,445,135), 시간 동기화.
→ 툴: nltest /domain_trusts, netdom trust, klist, 이벤트 로그(4768, 4769, 4624).
✅ 이 15문제 세트는 “개념 → 인증 메커니즘 → 보안 모델 → 그룹 구조 → 운영/장애 대응” 흐름을 다 담고 있어, 심층 인터뷰에서도 흔들리지 않고 답변할 수 있습니다.
원하시면 제가 이걸 **한 페이지짜리 인터뷰 대비 치트시트 (질문·키워드·핵심 답변 요약 표)**로 만들어드릴까요?
나의 말:
문제를 더 만들어줘
ChatGPT의 말:
좋습니다 👍
앞에서 정리한 기본/심화/문제 해결/심층 인터뷰 QnA에 이어, 이번에는 실제 기술 면접에서 꼬리 질문으로 나올 만한 고난도 문제 10개를 더 드리겠습니다.
이번 세트는 프로토콜, 보안, 설계 Trade-off, 장애 분석 논리에 중점을 두었습니다.
📌 도메인 트러스트 심층 문제 (추가 10개)
1. Kerberos Cross-Realm 인증에서 PAC 검증이 실패하면 어떤 이벤트 로그가 발생하며, 이를 어떻게 분석할 수 있나요?
A:
· 이벤트 ID 4771 (KDC_ERR_PREAUTH_FAILED), 4769 (TGS 실패) 발생 가능
· 리소스 서버 보안 로그에서 Logon Failure(4625) 확인
· Netlogon Debug 로그 켜서 PAC 서명 검증 실패 여부 확인
2. External Trust와 Forest Trust 모두 가능한 경우, 보안팀이 External Trust를 강제하는 이유는 무엇일까요?
A:
· 전이적 신뢰 차단 → 보안 경계 최소화
· 외부와 최소한의 리소스만 공유 필요
· Forest Trust는 경계가 넓어 내부 자산 노출 위험 커짐
3. 트러스트가 깨졌을 때 “암호 불일치(Trust Password mismatch)”와 “네트워크/DNS 문제”를 구분하는 방법은 무엇인가요?
A:
· nltest /sc_verify → Netlogon secure channel 검증 실패 = 암호 불일치 가능성
· DNS nslookup / 포트 테스트 정상 → 그럼 신뢰 암호 자체 문제
· 암호 재설정(netdom trust /reset)으로 해결 가능 여부로 최종 판정
4. SID Filtering이 적용된 환경에서 SIDHistory 기반 마이그레이션을 하려면 어떤 절차가 필요한가요?
A:
· 일시적으로 SID Filtering 해제 (netdom trust /enablesidhistory:yes)
· 계정 마이그레이션 수행 후 검증
· 반드시 다시 SID Filtering 활성화 → 장기적으로 보안 유지
5. Selective Authentication 환경에서 “Allowed to Authenticate” 권한은 어디에 부여해야 하나요?
A:
· 리소스 도메인의 DC(kerberos 인증 프런트엔드)
· 그리고 최종 리소스 서버(파일 서버, SQL 서버 등)의 컴퓨터 객체 ACL
→ 두 레벨 모두 필요하지 않으면 인증/인가가 중간에 끊김
6. 트러스트 환경에서 Kerberos가 NTLM으로 폴백되는 원인은 무엇이고, 보안상 어떤 리스크가 있나요?
A:
· SPN 누락, 서비스 이름 불일치, KDC 접근 불가 → NTLM 사용
· NTLM은 재사용 공격/중간자 공격에 취약
· DC에서 NTLM 차단 정책(LMCompatibilityLevel, NTLM auditing) 설정 고려
7. Realm Trust에서 AD와 MIT Kerberos 간 상호운용 시, 주요 제약 조건은 무엇인가요?
A:
· RFC 4120 표준 Kerberos는 PAC 없음 → 그룹/권한 토큰 단순화
· AD 특정 기능(Universal Group, SIDHistory 등) 미지원
· SPN 매핑/Keytab 관리 필요, DNS SRV 등록 필수
8. 트러스트 환경에서 그룹 멤버십 평가 시 “글로벌 그룹 → 유니버설 그룹 → 도메인 로컬 그룹” 모델이 왜 권장되나요?
A:
· 글로벌 그룹: 사용자 소속 도메인 내부에서 관리
· 유니버설 그룹: 포리스트 전역 배포, GC에 저장됨
· 도메인 로컬 그룹: 리소스 도메인 ACL 적용
→ 이 3단계 모델은 관리 단순화 + 복제 트래픽 최적화
9. Kerberos 인증에서 KDC Referral TGT가 실패하면 어떤 원인이 있을까요?
A:
· 트러스트 없는 경로 요청 (A→C 직접 신뢰 없음)
· DNS SRV 레코드 _kerberos._tcp.dc._msdcs 부재
· 시간 동기화 실패 → 티켓 유효성 오류
· 해결: Shortcut Trust 추가, DNS/시간 점검
10. 도메인 트러스트 설계 시 “최소 권한 원칙(Principle of Least Privilege)”을 어떻게 구현할 수 있을까요?
A:
· 단방향 One-Way Trust만 설정, 불필요한 상호 신뢰 차단
· Forest-wide Authentication 대신 Selective Authentication 적용
· 트러스트는 꼭 필요한 도메인 쌍만, Shortcut 최소화
· 정기적으로 netdom trust /verify 및 보안 로그 검토
'IT' 카테고리의 다른 글
| object management (3) | 2025.08.29 |
|---|---|
| RODC (Read-Only Domain Controller) (0) | 2025.08.29 |
| DNS (3) | 2025.08.22 |
| lsass (2) | 2025.08.22 |
| DNS 위임(delegation) 조건부 전달자(conditional forwarders) 차이 (2) | 2025.08.18 |