SharedIT | 묻고 답하기(AMP)

AD , nslookup등 이상현상

keme0516
2023.09.20 () | 0 추천 | 7개의 답변

안녕하세요.

최근 IT 인프라 업무중 특이사항이 확인되어 확인하고 있으나 잘 진행이 되지 않아서 

선배님들의 경험을 배우고자 질문 드립니다.


사내는 AD 서버를 사용중이며 PC들은 AD에 가입하여 운용중입니다.


증상 : nslookup google.co.kr 입력 시

권한 없는 응답:

이름:    kr.co.kr

Address:  183.111.182.251

Aliases:  google.co.kr.co.kr


위와같이 이름, 어드레스가 항상 고정으로 나오며,  주소뒤에는 항상 co.kr이 두번 붙습니다..

com등 다른 주소는 정상적으로 조회됩니다.



모든 PC에서 위와같은 증상이 발생하는것은 아니며, AD에 가입된 PC에서만 증상이 발생됩니다..


추가적으로


nslookup google.co.kr.    <-- . 을 끝에 붙일시


권한 없는 응답:

이름:    google.co.kr

Addresses:  2404:6800:400a:80e::2003

          142.250.76.131


위와같이 정상적으로 조회됩니다.


공격을 받아서 위와같이 된건지.. 단순히 설정문제인지 확인이 어렵네요...

서버 및 전 사용자 백신결과는 이상이 없습니다.

Tags : 태그가 없습니다.

7개의 답변이 있습니다.

명동쓰레빠
  0 추천 | 5달 전

덕분에 내용 잘 보고 갑니다.

김태윤
  0 추천 | 5달 전

혹시 어떻게 해결하셨는지 알 수 있을까요?

앵그리파파
  0 추천 | 7달 전

DNS 설정 문제가 아닌가 생각했는데,

나중에 해결되면 공유해 주세요. 

wansoo
  0 추천 | 7달 전

PC에서 아래와 같은 설정을 했을 경우에 동일한 증상이 발생하네요.


제어판->네트워크 및 인터넷 -> 네트워크 연결 -> 이더넷 ( 오른쪽 마우스 클릭 ) -> 속성 -> 인터넷 프로토콜 버전 4(TCP/IPv4) -> 속성 -> 고급 -> DNS 탭 -> 다음 DNS 접미사 추가(순서대로)(H): -> 추가 -> co.kr -> 추가(A) -> 확인 -> 확인 -> 닫기



nslookup google.co.kr 했을 때 아래와 같이 나오네요.

ping 했을 때는 정상적이고...


nslookup google.com 도 정상적으로 google.com으로 찾는데...


해당 설정과 관련이 있는지 점검해 볼 필요가 있을 것 같네요.

wansoo | 7달 전

AD 정책에 DNS 접미사 설정과 관련된 내용이 적용되고 있는게 아닌지를 점검해 볼 필요가 있을 것 같네요.

wansoo
  0 추천 | 7달 전

DNS 관련 설정에 문제가 있기 때문인걸로 보이는데...

ping google.co.kr

했을때는 어떤 결과가 나오는지 궁금하네요.


다른 컴퓨터에서도 시도해 보면 어떻게 되는지도 확인해 볼 필요가 있을 것 같고요.


DNS 서버의 설정 문제인지, 클라이언트 컴퓨터의 DNS 설정의 문제인지를 확인해 볼 필요가 있을 것 같네요.

동일한 DNS 서버로 설정된 여러 컴퓨터에서 시도했는데도 동일한 결과라면 DNS 서버 설정에 문제가 있는 것이겠고...

특정 컴퓨터에만 발생하는 문제라면 해당 컴퓨터 DNS 서버 설정에 문제가 있을 가능성이 높아 보이고요.


여러가지 Test를 해 볼 필요가 있을 것 같네요.


keme0516 | 7달 전

ping은 정상적으로 진행되며 1대의 PC가 아닌 AD에 가입된 모든 PC가 증상이 발생됩니다.


AD를 해제하면 정상적으로 nslookup이 진행되고있습니다

topkslee
  0 추천 | 7달 전

컨맨드창에서 nslookup하면 기본적으로 설정된 dns 서버에서 검색합니다.

AD 서버에 있는 DNS 설정을 한번 체크해보세요.

도메인 suffix쪽 설정 관련 체크해보시면 도움될것 같습니다.

그리고 AD에 조인된 PC와 AD에 조인되지 않은 PC의 ipconfig 정보도 비교해보시구요.

keme0516 | 7달 전

감사합니다 해당 설정 확인해보겠습니다.!

에이스퐝
  0 추천 | 7달 전

이게 Windows DNS Server 기능때문에 발생하는 것인데,
예를들어 test.co.kr 도메인을 이용하여 Domain Controller와 DNS를 설치하면,
기본적으로 DNS suffix는 두 개가 설정이 됩니다.
하나는 test.co.kr 이고, 또 하나는 co.kr이다.
lookup을 하면 기본적으로 lookup의 대상을 호스트명으로 인식한다.
예를 들어 naver.com을 lookup하는 과정을 살펴보면
먼저, naver.com(한 덩어리로 봄)이라는 것이 있는지 broadcast를 이용하여 검사하고,
다음, naver.com.test.co.kr (첫번째 suffix 적용됨) 이라는 것을 검사하고,
다음, naver.com.co.kr (두번째 suffix 적용됨) 이라는 것을 검사하고,
마지막으로, naver.com. 을 검사하게 됩니다.

keme0516 | 7달 전

감사합니다.


그렇다면 현재 저희는 두번째 suffix 적용되는 값으로 되고 있는것으로 이해하였는데 맞을까요??

원래 정상적인 상황이라면 마지막 . 으로 검사를 해야하는데 

해당 으로 검색되게 하려면 ad서버에서 suffix 설정을 확인하면 되는걸까요?

에이스퐝 | 7달 전

네. suffix 쪽 설정 확인하시면 됩니다.

원본 페이지 보기