내가 아는 바로는 서버가 DNS를 통해 AD 도메인을 확인할 수 없으면 서버를 AD에 가입시킬 수 없습니다. 참여하려면 SRV 레코드를 포함하여 DNS에서 여러 레코드를 가져올 수 있어야 합니다. 따라서 간단한 호스트 파일 항목은 작동하지 않습니다.
이를 염두에 두고 제 질문은 AD 레코드를 호스팅하는 DNS 서버에 액세스하지 않고 서버를 AD에 가입시킬 수 있는 다른 방법이 없다는 것입니다.
제가 묻는 이유는 다음과 같습니다.
회사 네트워크 내부의 AD 도메인에 가입해야 하는 일부 서버가 AWS에 있습니다. AWS에서 회사 네트워크로 연결되는 VPN 터널이 있습니다. 이 도메인은 AWS에서 연결할 수 있는 공용 DNS 서버에 광고되지 않습니다. 적절한 기록을 가진 내부 기업 DNS 서버가 있습니다. 이제 기업 측의 일부 네트워킹 변경을 통해 VPN 터널을 통해 이 DNS에 연결할 수 있습니다. 그러나 AWS에서는 위임된 영역이 있는 AWS DNS 서비스를 사용하여 AWS 내에서 서버 간 통신을 확인한 다음 해결할 수 없는 모든 사항에 대해 회사 공용 DNS 서버에 연결합니다. 또한 AWS의 상태 확인을 위해 AWS DNS 서버를 사용하여 지역 장애 조치를 트리거합니다.
VPN 터널을 통해 AWS 서버가 내부 회사 DNS를 가리키도록 한다면 더 이상 AWS 내에서 내부적으로 확인할 수 없습니다.
몇 가지 옵션만 표시됩니다.
DNS를 사용하지 않고 서버를 AD에 가입시키는 방법을 찾으십시오. 이는 이전에 언급한 이유로 불가능할 것 같습니다. 하지만 혹시 다르게 아시는 분 계시면 말씀해주세요.
외부(공용) DNS에 AD DNS 레코드를 노출합니다.
클라우드 및 기업 환경의 전체 DNS 설계를 재설계합니다. 이 옵션은 시간이 걸리며 아마도 장기적인 솔루션이 될 수도 있습니다. 하지만 동시에 단기적인 해결책도 필요합니다. 옵션 1과 2는 제가 생각할 수 있는 유일한 단기 솔루션이며, 제 생각처럼 1이 불가능하다면 옵션 2만 남게 됩니다.
그렇다면 옵션 1이 불가능하다는 점에 동의하십니까? 그리고/또는 제가 아직 나열하지 않은 다른 아이디어가 있습니까?
미리 감사드립니다
답변1
해당 도메인의 내부 DNS 영역에 액세스할 수 없으면 컴퓨터가 AD 도메인에 가입할 수 없습니다. 도메인 가입이 가능하더라도 컴퓨터가 AD DNS 레코드를 제대로 쿼리할 수 없으면 AD 관련 어떤 것도 작동하지 않습니다(로그온, GPO 등 포함).
AWS에서는 위임된 영역이 있는 AWS DNS 서비스를 사용하여 AWS 내에서 서버 간 통신을 확인한 다음 해결할 수 없는 모든 사항에 대해 회사 공용 DNS 서버에 연결합니다.
적절한 해결책은 AWS의 서버가 내부 DNS 서버를 사용하도록 하는 것입니다. 여기에는 AWS 서버 이름에 대한 레코드도 포함되어야 합니다(도메인에 가입된 경우 자동으로 생성되고, 그렇지 않은 경우 수동으로 생성됨). 서로의 이름을 확인하십시오. 물론 내부 DNS 서버도 인터넷 이름을 확인할 수 있어야 하므로 AWS 서버에서도 그렇게 할 수 있습니다.
그만큼진짜해결책은 AWS 시스템에 도메인 컨트롤러를 생성하고 AWS 네트워크에 대한 Active Directory 사이트를 정의한 다음 모든 AWS 서버가 해당 DC를 DNS 서버로 사용하도록 하는 것입니다. 이 설정을 사용하면 DNS 쿼리 및 도메인 로그온이 매번 VPN을 통과할 필요가 없으며 VPN 연결이 끊어지더라도 계속 작동합니다.