다음을 통해 공유


연결되지 않은 네임 스페이스

연결되지 않은 네임스페이스는 하나 이상의 도메인 구성원 컴퓨터에 컴퓨터가 멤버인 Active Directory 도메인의 DNS 이름과 일치하지 않는 기본 DNS(Domain Name Service) 접미사가 있는 경우에 발생합니다. 예를 들어 na.corp.fabrikam.com Active Directory 도메인에서 corp.fabrikam.com 기본 DNS 접미사를 사용하는 멤버 컴퓨터는 연결되지 않은 네임스페이스를 사용합니다.

연결되지 않는 네임스페이스는 연속 네임스페이스보다 관리, 유지 관리 및 문제 해결이 더 복잡합니다. 연속 네임스페이스에서 주 DNS 접미사는 Active Directory 도메인 이름과 일치합니다. Active Directory 네임스페이스가 모든 도메인 구성원 컴퓨터의 기본 DNS 접미사와 동일하다고 가정하도록 작성된 네트워크 애플리케이션은 연결되지 않은 네임스페이스에서 제대로 작동하지 않습니다.

연결되지 않은 네임스페이스 지원

도메인 컨트롤러를 포함한 도메인 구성원 컴퓨터는 연결되지 않은 네임스페이스에서 작동할 수 있습니다. 도메인 구성원 컴퓨터는 연결되지 않은 DNS 네임스페이스에 호스트(A) 리소스 레코드 및 IP 버전 6(IPv6) 호스트(AAAA) 리소스 레코드를 등록할 수 있습니다. 도메인 구성원 컴퓨터가 이러한 방식으로 리소스 레코드를 등록하는 경우 도메인 컨트롤러는 Active Directory 도메인 이름과 동일한 DNS 영역에 전역 및 사이트별 서비스(SRV) 리소스 레코드를 계속 등록합니다.

예를 들어 corp.fabrikam.com 기본 DNS 접미사를 사용하는 na.corp.fabrikam.com Active Directory 도메인의 도메인 컨트롤러가 corp.fabrikam.com DNS 영역에서 호스트(A) 및 IPv6 호스트(AAAA) 리소스 레코드를 등록한다고 가정합니다. 도메인 컨트롤러는 _msdcs.na.corp.fabrikam.com 및 na.corp.fabrikam.com DNS 영역에 전역 및 사이트별 서비스(SRV) 리소스 레코드를 계속 등록하여 서비스 위치를 가능하게 합니다.

Important

Windows 운영 체제에서 연결되지 않은 네임스페이스를 지원할 수 있지만 기본 DNS 접미사가 Active Directory 도메인 접미사와 동일하다고 가정하도록 작성된 애플리케이션은 이러한 환경에서 작동하지 않을 수 있습니다. 따라서 연결되지 않은 네임스페이스를 배포하기 전에 모든 애플리케이션과 해당 운영 체제를 신중하게 테스트해야 합니다.

다음과 같은 상황에서는 연결되지 않은 네임스페이스가 작동(및 지원)됩니다.

  • 여러 Active Directory 도메인이 있는 포리스트에서 DNS 영역이라고도 하는 단일 DNS 네임스페이스를 사용하는 경우

    이 예는 na.corp.fabrikam.com, sa.corp.fabrikam.com 및 asia.corp.fabrikam.com 같은 이름의 지역 도메인을 사용하고 corp.fabrikam.com 같은 단일 DNS 네임스페이스를 사용하는 회사입니다.

  • 단일 Active Directory 도메인이 별도의 DNS 네임스페이스로 분할되는 경우

    예를 들어 hr.corp.contoso.com, production.corp.contoso.com 및 it.corp.contoso.com 같은 DNS 영역을 사용하는 corp.contoso.com Active Directory 도메인이 있는 회사입니다.

다음과 같은 상황에서는 연결되지 않은 네임스페이스가 제대로 작동(및 지원)되지 않습니다.

  • 도메인 구성원이 사용하는 연결되지 않은 접미사는 이 포리스트 또는 다른 포리스트의 Active Directory 도메인 이름과 일치합니다. 이렇게 하면 Kerberos 이름 접미사 라우팅이 중단됩니다.

  • 다른 포리스트에서 동일한 연결되지 않는 접미사가 사용됩니다. 이렇게 하면 포리스트 간에 이러한 접미사를 고유하게 라우팅할 수 없습니다.

  • 도메인 멤버 CA(인증 기관) 서버가 FQDN(정규화된 도메인 이름)을 변경하여 CA 서버가 멤버인 도메인의 도메인 컨트롤러에서 사용하는 것과 동일한 기본 DNS 접미사를 더 이상 사용하지 않도록 하는 경우 이 경우 CRL 배포 지점에서 사용되는 DNS 이름에 따라 CA 서버에서 발급한 인증서의 유효성을 검사하는 데 문제가 있을 수 있습니다. 그러나 CA 서버를 안정적인 연결되지 않는 네임스페이스에 배치하면 제대로 작동하고 지원됩니다.

연결되지 않은 네임스페이스 고려 사항

다음 고려 사항은 연결되지 않은 네임스페이스를 사용해야 하는지 여부를 결정하는 데 도움이 될 수 있습니다.

애플리케이션 호환성

앞에서 설명한 것처럼 연결되지 않은 네임스페이스는 컴퓨터 기본 DNS 접미사가 멤버인 도메인 이름의 이름과 동일하다고 가정하기 위해 작성된 모든 애플리케이션 및 서비스에 문제를 일으킬 수 있습니다. 연결되지 않는 네임스페이스를 배포하기 전에 애플리케이션에서 호환성 문제를 확인해야 합니다. 또한 분석을 수행할 때 사용하는 모든 애플리케이션의 호환성을 확인해야 합니다. 여기에는 Microsoft 및 다른 소프트웨어 개발자의 애플리케이션이 포함됩니다.

연결되지 않은 네임스페이스의 장점

연결되지 않은 네임스페이스를 사용하면 다음과 같은 이점이 있을 수 있습니다.

  • 컴퓨터의 기본 DNS 접미사는 서로 다른 정보를 나타낼 수 있으므로 Active Directory 도메인 이름과 별도로 DNS 네임스페이스를 관리할 수 있습니다.

  • 비즈니스 구조 또는 지리적 위치에 따라 DNS 네임스페이스를 구분할 수 있습니다. 예를 들어 사업부 이름 또는 대륙, 국가/지역 또는 건물과 같은 물리적 위치에 따라 네임스페이스를 구분할 수 있습니다.

연결되지 않은 네임 스페이스의 장점

연결되지 않은 네임 스페이스를 사용하면 다음과 같은 이점이 있을 수 있습니다.

  • 연결되지 않은 네임스페이스를 사용하는 멤버 컴퓨터가 있는 포리스트의 각 Active Directory 도메인에 대해 별도의 DNS 영역을 생성, 관리해야 합니다. 즉, 추가적이고 복잡한 구성이 필요합니다.

  • 도메인 멤버가 지정된 기본 DNS 접미사를 사용할 수 있도록 하는 Active Directory 특성을 수정하고 관리하려면 수동 단계를 수행해야 합니다.

  • 이름 확인을 최적화하려면 그룹 정책을 수정하고 유지 관리하는 수동 단계를 수행하여 대체 기본 DNS 접미사가 있는 멤버 컴퓨터를 구성해야 합니다.

참고 항목

WINS(Windows Internet Name Service)를 사용하여 단일 레이블 이름을 확인하여 이러한 단점을 상쇄할 수 있습니다. WINS 속성에 대한 자세한 내용은 WINS 스크립트 참조를 참고하세요.

  • 환경에 여러 기본 DNS 접미사가 필요한 경우 포리스트의 모든 Active Directory 도메인에 대해 DNS 접미사 검색 순서를 적절하게 구성해야 합니다.

    DNS 접미사 검색 순서를 설정하려면 그룹 정책 개체 또는 DHCP(동적 호스트 구성 프로토콜) 서버 서비스 매개 변수를 사용할 수 있습니다. 레지스트리를 수정할 수도 있습니다.

  • 모든 애플리케이션에서 호환성 문제를 신중하게 테스트해야 합니다.

이러한 단점을 해결하기 위해 수행할 수 있는 단계에 대한 자세한 내용은 연결되지 않은 네임스페이스 만들기를 참조하세요.

네임스페이스 전환 계획

네임스페이스를 수정하기 전에 연속 네임스페이스에서 연결되지 않은 네임스페이스(또는 반대)로의 전환에 적용되는 다음 고려 사항을 검토합니다.

  • 수동으로 구성된 SPN(Service Principal Names)은 네임스페이스가 변경된 후 DNS 이름과 더 이상 일치하지 않을 수 있습니다. 이로 인해 인증 오류가 발생할 수 있습니다.

    자세한 내용은 잘못된 SPN 설정으로 인한 서비스 로그온 실패를 참조하세요.

    • 제한된 위임이 있는 Windows Server 2003 기반 컴퓨터를 사용하는 경우 해당 컴퓨터는 Active Directory에서 msDS-AllowedToDelegateTo 특성을 수동으로 편집해야 할 수 있습니다. 자세한 내용은 ms-DS-Allowed-To-Delegate-To 특성을 참조하세요.

    • SPN을 수정할 권한을 하위 관리자에게 위임하려면 SPN 수정 기관 위임을 참조하세요.

  • 연결되지 않은 네임스페이스에 구성된 도메인 컨트롤러가 있는 배포에서 CA와 함께 SSL(Secure Sockets Layer)(LDAPS)을 통해 LDAP(Lightweight Directory Access Protocol)를 사용하는 경우 LDAPS 인증서를 구성할 때 적절한 Active Directory 도메인 이름 및 기본 DNS 접미사를 사용해야 합니다.

    도메인 컨트롤러 인증서 요구 사항에 대한 자세한 내용은 Microsoft 기술 자료 문서 321051, 타사 인증 기관에서 SSL을 통해 LDAP를 사용하도록 설정하는 방법을 참조하세요.

    참고 항목

    LDAPS에 인증서를 사용하는 도메인 컨트롤러는 인증서를 다시 배포해야 할 수 있습니다. 이렇게 하면 도메인 컨트롤러가 다시 시작될 때까지 적절한 인증서를 선택할 수 없습니다. Windows Server 2003에 대한 LDAPS(Secure Sockets Layer) 인증을 통한 LDAP(Lightweight Directory Access Protocol)에 대한 자세한 내용은 Microsoft 기술 자료의 938703 문서, LDAP 상의 SSL 연결 문제 해결 방법을 참조하세요.

연결되지 않은 네임스페이스 배포 계획

연결되지 않은 네임스페이스가 있는 환경에 컴퓨터를 배포하는 경우 다음 주의 사항을 따르세요.

  1. 비즈니스를 수행하는 모든 소프트웨어 공급업체에 연결이 끊긴 네임스페이스를 테스트하고 지원해야 함을 알립니다. 연결이 끊긴 네임스페이스를 사용하는 환경에서 애플리케이션을 지원하는지 확인하도록 요청합니다.

  2. 연결되지 않은 네임스페이스 랩 환경에서 모든 버전의 운영 체제 및 애플리케이션을 테스트합니다. 그러한 경우에는 다음 단계를 따르세요.

    1. 환경에 소프트웨어를 배포하기 전에 모든 소프트웨어 문제를 해결합니다.

    2. 가능한 경우, 연결되지 않은 네임스페이스에 배포하려는 운영 체제 및 애플리케이션의 베타 테스트에 참여합니다.

  3. 관리자와 기술 지원팀 직원이 서로 다른 네임스페이스와 해당 영향을 알고 있는지 확인합니다.

  4. 필요한 경우 연결이 끊긴 네임스페이스에서 연속 네임스페이스로 전환할 수 있도록 하는 계획을 만듭니다.

  5. 운영 체제 및 애플리케이션 공급자와 연결이 끊긴 네임스페이스 지원의 중요성을 전파합니다.