DNS 요청을 Umbrella로 전달하도록 Windows Server 구성

소개

이 문서에서는 향상된 클라이언트 보호 및 로깅을 위해 DNS 요청을 Umbrella로 전달하도록 Windows Server를 구성하는 방법에 대해 설명합니다.

개요

Windows Server는 DNS 전달자 역할을 수행하여 네트워크 ID를 사용하는 클라이언트를 보호할 수 있습니다. 도메인 컨트롤러 또는 DNS 역할이 있는 다른 서버는 등록된 네트워크에서 Umbrella로 DNS를 전송할 수 있습니다.

컨피그레이션 단계

1. DNS Manager(dnsmgmt.msc)를 엽니다.
2. 트리에서 서버 이름을 마우스 오른쪽 버튼으로 클릭하고 Properties를 선택합니다.
3. 전달자 탭을 선택합니다.
4. Edit...를 클릭하고 Umbrella DNS 서버 IP 주소를 입력합니다.
5. 전달자 편집 창에서 확인을 누릅니다. 항목이 전달자 목록에 표시됩니다.
6. 사용할 수 있는 전달자가 없는 경우 루트 힌트 사용 확인란을 선택 취소합니다.
   mceclip0.png

모범 사례 메모

• 사용 가능한 전달자가 없는 경우 루트 힌트 사용이 선택되지 않은 상태로 유지되는지 확인합니다. 선택하면 Umbrella 보호 및 로깅이 일관되지 않습니다. 예를 들어 도메인이 DNSSEC 검증에 실패하거나 DDoS 완화 이벤트의 대상이 될 경우 Windows DNS 서버는 Umbrella가 응답하지 않는 것으로 간주하고 Umbrella를 우회하여 루트 힌트를 사용하여 직접 재귀를 시도할 수 있습니다.
  
  

• 전달자로 Umbrella만 사용하십시오. 서드파티 리졸버를 구성하지 마십시오. Umbrella는 수신한 DNS 쿼리만 로깅하고 보호할 수 있습니다.
  
  

• 이중화를 위해 이전 스크린샷과 같이 4개의 모든 Umbrella 애니캐스트 IP 주소를 전달자로 구성합니다.
  
  

• Umbrella 사이트 및 가상 어플라이언스를 사용하는 경우 Umbrella 애니캐스트 주소 대신 전달자로 로컬 가상 어플라이언스를 가리킵니다.
  
  

  • 요청 루프 방지: 가상 어플라이언스에서 서버를 로컬 DNS 서버 중 하나로 나열하는 경우 해당 가상 어플라이언스를 전달자로 추가하지 마십시오.
  • 가상 어플라이언스는 서비스하는 개별 클라이언트의 주소가 아니라 DNS 서버의 IP 주소만 확인합니다.
  • Active Directory를 가상 어플라이언스와 통합하는 경우 Windows DNS 서버 IP를 예외로 추가합니다. Umbrella Dashboard에서 Deployments(구축) > Sites and Active Directory > Service Account Exceptions(서비스 계정 예외)로 이동하고 DNS 서버 IP를 추가합니다. 이렇게 하면 서버 트래픽에 대한 사용자 ID의 잘못된 속성을 방지할 수 있습니다.
    
    

• Umbrella 서버를 Root Hints(루트 힌트) 탭에 추가하지 마십시오. Umbrella DNS 서버는 재귀적 확인자이며 반복적 조회의 루트로 사용되지 않습니다. 이를 루트 힌트로 추가하면 원치 않는 동작이 발생하고 Umbrella 보호 및 로깅이 우회됩니다.