저희 AD 서버는 [*.*.*.10](Active) , [*.*.60.100](Standby)
이렇게 이중화 구성이 되어있습니다.
IP를 보시면 서로 네트워크 망이 다른데요,
스탠바이 서버는 다른지역에 있는 서버입니다.
최근에 제가 질문을 올린 내용이 다 여기에 해당되는데요.
저희 AD 도메인 주소를 예를들어, [Excample.com] 이라고 하겠습니다.
이제, 사용자 PC를 AD에 조인시키려고 하는데 간헐적으로 조인이 안되는겁니다..
원인을 이것저것 다 찾아보니 결국 집히는게 Ping 이더라구요..
CMD 에서 [ping Example.com] 이라고 명령어를 입력하면 액티브서버 IP가 나오는게 아닌
스탠바이서버 IP가 계속 나오고있습니다..
[ping Example.com] 을 쳤을때, 액티브서버 IP가 나오게끔, 그리고 고정되게끔 할 수 있는 방법은 없을까요..? 스탠바이 서버 IP가 안나오게끔을 못할련지요.. 이거때문에 3주일을 고통받고있습니다...
구글링 해보아도 명확한 답이 안나와서.. 선배님들에게 여쭤봅니다
7개의 답변이 있습니다.
네트워크의 기본 작동원리 부터 이해하신후에 원인을 찾아 보셔야 할 것 같네요.
근본 개념이 부족한 상태에서 여러 개념에 대해 혼동을 하고 있는게 아닌가 싶어 보이네요.
nslookup, ping 등의 명령과 AD ( Active Directory )와는 무관하고요.
nslookup이나 ping, 등등을 이용해서 도메인 주소에 해당하는 호스트와 통신하려 할때,
사용하는 컴퓨터에 설정해둔 요청 DNS 서버 주소로 DNS 쿼리를 해서
DNS 서버가 알려준 IP 주소로 변환해서 ( 도메인 주소가 아닌 IP 주소를 이용해서 ) 호스트에 접속하게 되는데요.
질문하신 내용은 nslookup이나 ping을 할때 변환되는 IP 주소가 원하지 않는 다른 IP 주소가 나온다는 내용인것 같은데요.
DNS 서버에서 IP 주소를 그렇게 알려 줬기 때문에 그런 IP 주소가 나오게 되는 것입니다.
윈도 컴퓨터라면 TCP/IP 설정 부분에 "다음 DNS 서버 주소 사용(E)" 부분에 "기본 설정 DNS 서버(P):" 및 "보조 DNS 서버(A):" 부분에 요청하려는 DNS 서버에 대한 주소를 넣어서 사용하게 되겠고요.
이 부분에 KT에서 운영하고 있는 168.126.63.1 의 IP 주소를 가진 DNS 서버나 8.8.8.8의 IP 주소를 가진 구글에서 운영하고 있는 DNS 서버, 또는 다른 통신사의 DNS 서버 주소를 사용하기도 하고...
자체적으로 구축해서 구동하고 있는 DNS 서버의 주소를 사용하기도 하고요.
도메인 주소로 ping이나 nslookup 등을 했을 경우에 자기가 원하는 IP 주소를 돌려 받고 싶다면 해당 도메인을 관리하는 DNS 서버의 설정을 변경해 줘야 가능한 일입니다.
example.com 도메인에 대해 응답 받는 IP 주소를 변경하려면 example.com 도메인을 소유하고 있는 회사의 DNS 서버의 설정을 변경해 줘야 원하는 IP 주소가 응답되게 할수 있겠고요.
일반적으로 DNS 서버는 NS라는 컴퓨터 이름을 많이 사용하고 있고요.
example.com 도메인을 관리하는 DNS 서버에 대한 호스트 명으로 ns.example.com 또는 ns1.example.com, ns2.example.com 등의 호스트명 ( 도메인 주소 )을 사용하는 경우가 많이 있지만, 해당 도메인의 DNS 서버를 운영하는 관리자가 임의로 지정해서 사용할 수도 있겠고요.
부하 분산의 목적으로 동일한 도메인 주소에 대해 여러개의 IP 주소를 등록해서 사용하는 경우가 일반적인데... A Record 로 여러개의 IP를 등록해 두고 DNS 서버를 운영할때 DNS 서버를 라운드 로빈 방식으로 등록된 IP 주소들을 요청이 올때마다 번갈아 가면서 순서를 바꿔가면서 리턴해 주게 되고요.
동일한 도메인 주소 ( ex: www.daum.net, www.naver.com, ... )로 클라이언트들이 접속을 시도하지만 각 클라이언트들이 접속하는 DNS 서버에 등록되어 있는 여러개의 IP 들 중에 번갈아 가면서 접속하게 되어 한쪽 서버가 집중적으로 접속되어 과부하가 일어나는 현상을 막을 수 있게 해 주겠고요.
만약 DNS 쿼리를 했을 때 항상 특정 IP만을 받고 싶을 경우라면 해당 도메인을 운영하는 DNS 서버 설정에서 도메인 주소에 대한 A(ddress) Record 값을 원하는 특정 IP만을 등록해서 사용하면 되겠고요.
만약 우선적으로 변환되어 리턴될 IP와 보조적으로 변환되어 리턴될 IP 주소로 순위를 정해서 받고 싶을 경우라면...
해당 도메인 ( example.com )에 대한 DNS 서버를 2대 구축해서 각 DNS 서버에 도메인 주소의 A Record로 각각 1개 등록해서 사용하면서, 접속하려는 ( DNS 쿼리 하는 , nslookup 명령을 실행시키려는, .. ) 컴퓨터의 TCP/IP 설정의 DNS 서버 지정하는 부분에서 "주 DNS 서버(P):" 로 우선적으로 받으려는 IP 주소가 A Record로 등록해둔 DNS 서버의 주소를 넣어주고, 보조 DNS 서버의 IP 주소를 "보조 DNS 서버(A):" 부분에다 등록해서 사용하면 될걸로 보여 지네요.,
지금 AD에 join이 간헐적으로 되지 않는 부분은 DNS문제는 아닌 것으로 보이구요.
말씀하신 것처럼 AD가 master-slave 구성있라면 master 우선이기에
PC에서 AD인증은 master로만 연결합니다.
그리고 AD를 master-slave로 구성하셨다면 DNS도 동일하게 양쪽에 구성되었을 것이구요.
DNS은 active-active구성이라 Ping을 하면 말씀하신 active(60)과 stand-by(100)를
번갈아 표시됩니다. 이상한게 아니라는 말이죠.
Ping해서 무조건 active(60) 나오게 하려면 dns에 stand-by정보를 수정해야 하는데
이렇게 하면 이중화 구성이 되지 않기에 하지 않는게 좋을것 같구요.
만약 가능하다면 slave AD 를 down 시킨 상태에서 모니터링 해보시는 것두
좋을것 같습니다.
kjr06167 | 약 2년 전
nslookup [example.com] 했을 때, Active, Standby 둘 다 나오긴 합니다만..
Ping 했을때 Standby IP가 보여서 도메인 가입이 안되는건가? 싶은 생각이 들었습니다.
PC에서 계정 인증 받을때 Active에서 받는다고 말씀 하신것처럼
DNS는 active-active 구성이 되어있어, Standby(100) 쪽으로 타고 들어가게되면
계정인증이 되지 않아 조인이 안되는 것이라 가설 세우고 있습니다..
애초에 AD에 join이 간헐적으로 되지 않는 부분이 DNS 부분이 아니라면
더 골치아파지겠네요..
아무쪼록 친절한 답변 감사드립니다.
질문의 요지가 "Ping 쳤을때 뭐가 나오게 해주세요"라고 하다보니 답변들이 산으로 가는것 같네요. ㅜㅜ
A 지역과 B 지역의 네트워크가 통신이 되지 않는 환경이라면 지금처럼 구성을 하면 안됩니다.
Primary와 Secondary AD 구성에서는 둘다 AD 역할을 합니다.
두개가 하나처럼 동작을 하되 몇가지 마스터 기능을 Primary AD가 할뿐이에요.
AD 기준으로 Primary와 Secondary AD 를 구성한다면
어떤 네트워크에서든 두대의 AD에 접속이 가능하게 구성을 하셔야 하고
다른 지역의 PC간에 통신은 안되더라도 모든 PC들은 두대의 AD에 AD 통신이 가능하게 해야 합니다.
도메인 참가 부분만 얘기하셨지만 도메인 참가가 된다고 해도 이후에 LDAP 통신등 여러가지 문제가 생길수 있습니다.
그게 물리적으로 불가능한 상황이라면
지역별로 각각 별도의 단일 AD를 두고 트러스트 설정을 하던지, SITE 설정에서 서브넷별로 구성을 하던지 해야 할것 같습니다.
저희는 전자의 구성으로 다른 지역에 지사가 있고
지역간에 클라이언트들은 통신이 안되지만
클라이언트들과 AD 서버 2대의 통신은 가능한 구성입니다.
어차피 가까운 AD로 통신 시도를 하기 때문에 같은 지역의 AD로 접속을 하지만.
구성 자체가 두대를 같이 쓴다는 구성이기 때문에 어쩔수 없는 부분입니다.
트러스트나 사이트 설정은 관련 검색을 해보시고 내부 테스트를 통해 구현하시거나
전문업체에 문의를 하시는게 좋을듯 합니다.
저도 있다는것만 알고 실제로 구현을 해본적은 없네요.
hmlee | 약 2년 전
자세한 답변 감사드립니다!
저희도 선배님처럼 구성되어있습니다.
다만, 본사 자사 각각 단일 AD로 트러스트 구성이 아닌 본사,자사 각 각 하나의 도메인을 사용중이며 각 각 도메인컨트롤러입니다.
제 생각으론.. 현상황에서 AD구성을 바꾸거나 재구축하는데는 무리인거같고, [Example.com]
DNS 우선순위를 지정할 수 있다면 해결될 것 같은데..
우선순위를 지정해, [Example.com]을 조회하면 우선적으로 Primary가 조회되고, 이후에 Secondary로 조회되게끔 우선순위 설정을 해주면 될 것 같은데.. 방법을 모르겠습니다.
아무쪼록 답변 감사합니다
낭만생선 | 약 2년 전
각각의 도메인이라고 하면 문제가 안되죠
본사 자사에서 하나의 도메인을 쓰는것 아닌가요?
AD 부분은 DNS에서의 조회만이 문제는 아닐걸로 보입니다.
그리고 AD를 구성하면서 자동으로 등록된 DNS 값을 변경한다는것 자체가 상당한 리스크에요.
DNS에 등록된 단순 레코드값 말고 AD 관련된 레코드 값들을 전부 이해한 후에야 건드릴수 있는부분인데
그런것을 다 이해한 고수분들이라면 아마 그런 편법을 안쓸것 같네요.
hmlee | 약 2년 전
제 설명이 부족해 전달이 잘못된거같네요..
답변 감사드립니다
dns 문제로 보이네요.
> nslookup example.com
해서 리턴되는 ip로 접속이 되겠지요.
dns를 조정하거나 문제의 pc만 lmhosts를 변경하는 방법도 있지만 임시방편이겠지요.
보통 A-S 구조로 운영되는 기기들은 vip가 active에 할당되었다가
active가 죽으면 ip가 standby로 넘어가는 구조죠.
그리고 dns에는 각 서버에 할당된 고유 ip를 등록하지 않고 vip를 등록하는 방법으로..
그런데 완전 다른 네트워크에 구성된 a-s방식이면 vip를 넘기는 것을 어려울 듯 하고요..
A-A로 구성하셔서 어느 ad에 접속되해도 문제가 없도록 구성하는 것이 나을 수도 있겠네요.
hmlee | 약 2년 전
AD의 전반적인 구성을 변경하는건 지금 불가능합니다 ㅠ
간단히 DNS정도 손볼 수 있을 것 같은데, 어렵네요..
답변 감사드립니다
안녕하세요 코레이즈입니다.
AD는 Active 만 되는 구조이기 때문에 Standby 가 없습니다.
아마도 지역간에 떨어져 있기 때문에 Client 접속 기준을 정해 주시는게 좋습니다.
Active Directory 의 사이트 및 서비스의 Subnet 등으로 Site 개념을 나누시고,
Cost 값으로 동기화 및 우선순위 결정을 하시면 될 것 같습니다.
감사합니다.
코레이즈 드림
hmlee | 약 2년 전
AD 이중화하여, DC를 두대 나누어 사용중입니다
제가 앞서 말한 Active, Standby 서버는
FSMO DC가 Active, 일반 DC가 Standby로 설명한것입니다
답변 감사드립니다
DNS 서버에서 중복 등록되어 발생하는 문제로 보입니다. DNS 서버를 우선 확인해 보시는게 좋을 듯 합니다.
kjr06167 | 약 2년 전
답변 감사합니다!
입사한지 얼마 안된 햇병아리라, DNS에서 건드려야될 거 같긴 한데
무엇을 어떻게 건드려야될지 모르겠네요...ㅋㅋ
DNS 서버에서 Excample.com 에 대한 A Record에 해당하는 IP를 여러개 등록해두었기 때문에 그런걸로 보입니다.
원하는 IP만 두고, 응답되어 나오지 않게 하려는 IP를 DNS 서버 설정에서 제거해 주면 될 것 같네요.
kjr06167 | 약 2년 전
답변 정말 감사합니다!
그 방법도 시도해보았지만...
A Record 같은 경우엔 도메인에 로그인 하기만 하면 다시 생성되더라구요..
wansoo | 약 2년 전
A Record라는 건 DNS 설정에서 Address Record를 의미합니다.
아래 링크의 자료 참조하시면 도움될걸로 보여지네요.
https://server-talk.tistory.com/79
hmlee | 약 2년 전
예 A Record는 DNS 동적업데이트를 허용해두면 지속적으로 재생성 되는걸로 알고있습니다.
도메인 신규 가입이 많은 환경이라, 동적업데이트를 허용 할 수 밖에 없어, Standby 서버 IP주소 레코드를 지운다 해도, 다시 재생성되는 상황입니다..
답변해주셔서 감사합니다