1005

DNS (Domain Name Service,System)
도메인이름 => IP로 변경 : 정방향조회
IP => 이름 : 역방향조회

FQDN(Full Qualified Domain Name)
= host name + Domain name

ex) dc + steacher.com = dc.steacher.com
www + naver.com = www.naver.com

https://216.58.221.131/board/index.php?gws_rd=ssl#newwindow=1&q=%EC%9B%94%EC%9A%94%EB%B3%91
=> URL (Uniform Resouce Locator)

https:// => 프로토콜(http, https, ftp)
www.google.co.kr => FQDN
/board/index.php => 해당 호스트 내에서 자원의 경로
?gws_rd=ssl#newwindow=1&q=%EC%9B%94%EC%9A%94%EB%B3%91 => 파라미터


많이 사용되는 DNS서버
168.168.63.1~2 : KORNET DNS서버
164.124.121.2 : LG Uplus DNS
8.8.8.8, 8.8.4.4 : Google DNS

이름 확인 순서
1. hosts
리눅스 - /etc/hosts
윈도우 - %SystemRoot%\System32\drivers\etc

2. DNS 캐시
한번 요청한 DNS 정보를 일정 기간동안 보유
조회 ipconfig /displaydns
삭제 ipconfig /flushdns

3. DNS 쿼리
DNS서버에 요청한 FQDN에 대한 IP를 요청
=> 재귀 Query (Recursive)

재귀 질의(Query), 순환 질의(Query)
재귀 : 요청 -> 응답
순환 : DNS서버 -> Root Hint DNS -> Top Level DNS -> Second Level DNS -> ....

. : Root Hint DNS - Top Level DNS 서버의 주소
kr : Top Level DNS - Second Level DNS
co : Second Level DNS - Third Level DNS(google, naver)
google : google 내부의 호스트에 대한 정보를 가지고 있는 DNS서버

레코드 종류
A : IPv4 IP주소 레코드
AAAA : IPv6 IP주소 레코드
CNAME : 별칭(Alias)
MX : Mail Exchange. 메일 서버
SOA : Start Of Authorization. (권한의 시작)
NS : Name Server
SRV : Service (gc, ldap, kerberos...)
PTR : 역방향조회

======================================

DNS 서비스 설치
1. Active Directory Domain Service 설치시 함께 설치
2. 서버관리자 - 역할 및 기능 추가 - 역할 - DNS서버


DNS 영역 생성
1. 주 영역 - 자신이 관리하는 영역을 생성
2. 보조 영역 - 다른 DNS 서버에서 서비스하는 영역을 복제
3. Stub 영역 - 다른 DNS 서버에서 서비스하는 레코드 중 SOA, NS, 일부 A레코드를 복제하여 서비스 (네임서버 연결)

보조/Stub 영역 복제시는 해당 영역에 대한 권한을 가지고 있는 주 DNS 서버에서 영역 전송 설정을 해 주어야 함

영역 전송 대상
아무 서버로 - 모든 DNS 영역 복제 요청에 복제 허용
	보안상 문제 발생 가능
네임 서버로 - 네임 서버로 등록되어 있는 서버들로만 복제 허용
지정된 서버로 - 복제를 허용할 서버의 IP를 등록하여 해당 서버로만 복제를 허용


Zone File - DNS 레코드를 저장하고 있는 파일
%SystemRoot%\system32\dns 위치에 저장
[도메인이름].dns 형태로 파일 생성
영역에 대한 SOA, NS등의 정보 및 일련번호, 갱신주기 등의 정보와 서비스하는 레코드에 대한 정보가 저장됨


Active Directory 통합영역
Active Directory Database (SYSVOL) 에 DNS 레코드를 저장하여, 도메인컨트롤러간의 동기화시 DNS 레코드도 함께 동기화됨 => DFS복제 기능을 사용하여 복제됨


전달자
전달자가 지정되어 있을 경우 자신이 서비스하고 있는 영역을 제외한 다른 레코드에 대한 요청을 받으면, 직접 Root Hint DNS 로부터 순환질의를 시행하지 않고, 전달자로 지정된 DNS 서버로 해당 레코드에 대한 요청을 전달.
전달자로 지정된  DNS 서버에서 받은 응답을 요청한 클라이언트에게 전달함
전달자 기능을 사용하여 DNS 캐싱 서버를 지정하여 운영


조건부전달자
전달자와 비슷하지만, 특정 도메인에 대한 요청만을 지정된 전달자에게 전달함


라운드로빈
같은 호스트이름을 사용하는 여러개의 A레코드가 있을 경우, 요청을 받을 때 마다 순서를 변경하여 레코드에 응답.
부하분산의 효과를 기대할 수 있음.

splitdns.pdf

======================================

DNS 분리 (Split DNS)
- Active Directory Domain Controller 에 포함되어 있는 DNS 서버를 외부 서비스용으로 사용하지 말고, 외부 서비스 용 DNS 서버를 분리할 것

왜? 
해킹의 기본 - 정보수집
ADDS 에 있는 DNS 서버를 통해 외부 DNS 서비스를 제공할 경우, gc, ldap, kerberos, dc, 모든 호스트의 네트워크 정보