내보내기(0) 인쇄
모두 확장

TechNet - The Cable Guy - 2004년 5월 : 네트워크 관련 그룹 정책 설정에 대한 네트워크 결정 동작

네트워크 관련 그룹 정책 설정에 대한 네트워크 결정 동작

게시 날짜: 2004년 5월 5일

출처: The Cable Guy 

이 페이지에서
Benefits of Alert Tuning소개
Benefits of Alert Tuning네트워크 결정을 사용하는 그룹 정책 설정
Benefits of Alert Tuning네트워크 결정 작동 방법
Benefits of Alert Tuning추가 정보

소개

Microsoft® Windows Server™ 2003 또는 Windows® XP의 네트워킹 구성 요소는 해당 컴퓨터가 속한 도메인의 도메인 컨트롤러를 포함하는 관리되는 네트워크에 컴퓨터가 연결되어 있는지 아니면 다른 네트워크에 컴퓨터가 연결되어 있는지를 알아야 일련의 네트워크 관련 그룹 정책 설정을 올바르게 적용할 수 있습니다. 네트워크와 관련된 그룹 정책 설정으로는 컴퓨터가 관리되는 회사 네트워크에 연결되어 있는지 여부에 따라 ICS(인터넷 연결 공유), ICF(인터넷 연결 방화벽) 및 네트워크 브리지를 사용 또는 사용하지 않도록 하는 컴퓨터 구성 그룹 정책 설정과 Windows 방화벽을 사용 또는 사용하지 않도록 하거나 구성하는 설정이 있습니다.

네트워크 결정을 사용하는 그룹 정책 설정

이 절에서는 다음 컴퓨터 구성 그룹 정책 설정을 설명합니다.

  • 컴퓨터 구성\관리 템플릿\네트워크\네트워크 연결에 있는 사용자의 DNS 도메인 네트워크에서 인터넷 연결 공유의 사용을 금지
  • 컴퓨터 구성\관리 템플릿\네트워크\네트워크 연결에 있는 사용자의 DNS 도메인 네트워크에서 인터넷 연결 방화벽의 사용을 금지
  • 컴퓨터 구성\관리 템플릿\네트워크\네트워크 연결에 있는 사용자의 DNS 도메인 네트워크에서네트워크브리지의 설치 및 구성을 금지
  • 컴퓨터 구성\관리 템플릿\네트워크\네트워크 연결\Windows 방화벽에 있는 Windows XP 서비스 팩 2(SP2)의 Windows 방화벽 설정
이러한 설정은 네트워크 결정을 사용하여 네트워크 서비스의 동작과 구성을 지정합니다.

사용자의 DNS 도메인 네트워크에서 인터넷 연결 공유의 사용을 금지

이 설정은 로컬 관리자(계정이 로컬 관리자 보안 그룹의 구성원인 사용자)가 인터넷 연결에서 ICS를 사용 및 구성할 수 있는지 여부를 결정합니다. ICS를 사용하면 로컬 관리자는 자신의 시스템을 소규모 네트워크용 인터넷 게이트웨이로 구성할 수 있으므로 DHCP를 통한 이름 확인과 주소 지정 같은 네트워크 서비스를 로컬 개인 네트워크에 제공할 수 있습니다.

이 설정을 사용하면 사용자(로컬 관리자 포함)가 ICS를 사용하거나 구성할 수 없습니다. 이 설정을 해제하거나 구성하지 않은 상태에서 연결이 둘 이상 있을 경우 로컬 관리자는 ICS 기능을 설정할 수 있습니다.

사용자의 DNS 도메인 네트워크에서 인터넷 연결 방화벽의 사용을 금지

이 설정은 사용자가 연결에서 ICF를 사용할 수 있는지 여부를 결정합니다. ICF는 서비스 팩 1(SP1)이 설치된 Windows XP 및 서비스 팩이 설치되지 않은 Windows XP에서 사용되는 호스트 기반의 상태 저장 방화벽으로, 가정 및 소규모 회사의 사용자들을 인터넷 네트워크 공격으로부터 보호합니다.

이 설정을 사용하면 사용자(로컬 관리자 포함)가 ICF를 사용하거나 구성할 수 없습니다. 이 설정을 구성하지 않거나 해제하면 LAN 연결이나 VPN 연결을 만들 때 ICF가 해제되지만 로컬 관리자가 연결 속성에 있는 고급 탭을 사용하여 ICF를 설정할 수 있습니다.

사용자의 DNS 도메인 네트워크에서 네트워크 브리지의 설치 및 구성을 금지

이 설정은 사용자가 네트워크 브리지를 설치 및 구성할 수 있는지 여부를 결정합니다. 네트워크 브리지를 사용하면 사용자는 계층 2 투명 브리지를 만들 수 있으므로 이를 통해 LAN 세그먼트를 둘 이상 함께 연결하여 단일 네트워크 세그먼트(서브넷)를 만들 수 있습니다. 이 연결은 네트워크 연결 폴더에 나타납니다.

이 설정을 사용하면 사용자(로컬 관리자 포함)가 네트워크 브리지를 사용하거나 구성할 수 없습니다. LAN 연결의 상황에 맞는 메뉴를 통해 네트워크 브리지를 설정하는 옵션이 제거됩니다. 이 설정을 사용하더라도 사용자의 컴퓨터에서 기존 네트워크 브리지가 제거되지는 않습니다.

이 설정을 구성하지 않거나 해제하면 로컬 관리자가 네트워크 브리지의 구성을 만들거나 수정할 수 있습니다.

Windows XP SP2의 Windows 방화벽 설정

Active Directory® 디렉터리 서비스를 사용하는 회사 네트워크에서 여러 컴퓨터에 대한 구성을 중앙 관리하기 위해, 컴퓨터 구성 그룹 정책을 이용하여 SP2가 설치된 Windows XP 실행 컴퓨터에 WIndows 방화벽 설정을 구축할 수 있습니다. 새 컴퓨터 구성 그룹 정책 Windows 방화벽 설정 집합을 사용하면 네트워크 관리자가 GPO(그룹 정책 개체)를 통해 Windows 방화벽 운영 모드, 예외 트래픽 및 기타 설정을 구성할 수 있습니다.

새 Windows 방화벽 그룹 정책 설정을 사용하면 컴퓨터 구성\관리 템플릿\네트워크\네트워크 연결\Windows 방화벽에서 서로 다른 두 가지 프로필을 구성할 수 있습니다.

  • 도메인 프로필 도메인 프로필은 컴퓨터가 관리되는 네트워크에 연결된 경우 필요한 Windows 방화벽 설정 집합입니다. 예를 들어, 도메인 프로필에는 회사 네트워크에서 관리되는 컴퓨터에 필요한 응용 프로그램 및 서비스의 예외 트래픽에 대한 설정이 포함되어 있을 수 있습니다.
  • 표준 프로필 표준 프로필은 컴퓨터가 다른 네트워크에 연결된 경우 필요한 Windows 방화벽 설정 집합입니다. 출장 중 회사의 랩톱 컴퓨터를 사용하여 광대역 또는 무선 공용 인터넷 서비스 공급자를 통해 인터넷에 연결하는 경우를 예로 들 수 있습니다. 회사의 랩톱 컴퓨터는 인터넷에 직접 연결되므로 표준 프로필은 도메인 프로필보다 더 제한적인 설정이 이루어져야 합니다.

Windows 방화벽 그룹 정책 설정에 대한 자세한 내용은 서비스 팩 2가 설치된 Microsoft Windows XP의 Windows 방화벽 설정 구축  백서를 참조하십시오.

네트워크 결정 작동 방법

이 자료에 설명된 그룹 정책 설정의 경우 네트워크 서비스의 동작 및 구성은 해당 컴퓨터가 자신이 속해 있는 Windows 도메인을 포함하는 관리되는 네트워크에 연결되어 있는지 아니면 다른 네트워크에 연결되어 있는지 여부에 따라 달라집니다. 이러한 결정은 다음 사항을 기반으로 하고 있습니다.

  • Windows Server 2003 또는 Windows XP를 실행하는 컴퓨터에서 그룹 정책 업데이트를 받으면 이 컴퓨터는 그룹 정책 업데이트를 받은 연결의 연결별 DNS 접미사를 레지스트리에 기록합니다. 이 설정을 마지막으로 받은 그룹 정책 업데이트 DNS 이름이라고 합니다.
  • PPP(지점간 프로토콜) 또는 SLIP(Serial Line Internet Protocol) 기반이 아닌 컴퓨터(IP 주소를 할당받은 컴퓨터)의 연결(예: 전화 접속 또는 가상 사설망)에 대한 연결별 DNS 접미사
네트워크 결정 알고리즘은 다음과 같이 분석을 수행합니다.
  • 컴퓨터가 도메인의 구성원이 아니면 무조건 다른 네트워크에 연결되어 있습니다.
  • 마지막으로 받은 그룹 정책 업데이트 DNS 이름이 PPP 또는 SLIP 기반이 아닌 컴퓨터의 현재 연결별 DNS 접미사와 일치하면 해당 컴퓨터는 관리되는 네트워크에 연결되어 있습니다.
  • 마지막으로 받은 그룹 정책 업데이트 DNS 이름이 PPP 또는 SLIP 기반이 아닌 컴퓨터의 현재 연결별 DNS 접미사와 일치하지 않으면 해당 컴퓨터는 다른 네트워크에 연결되어 있습니다.
Windows에서는 Windows를 시작할 때와 NLA(Network Location Awareness) 서비스로부터 컴퓨터의 네트워크 설정이 변경되었다는 통보를 받았을 때 네트워크 결정 프로세스를 사용합니다.

마지막 그룹 정책 업데이트 집합을 받았던 연결의 연결별 DNS 접미사는 해당 TCP/IP 구성으로부터 결정되는데 이 구성은 일반적으로 DHCP(Dynamic Host Configuration Protocol) 및 DNS 도메인 이름 DHCP 옵션(DHCP 옵션 번호 15)을 사용하여 구성됩니다. 네트워크 연결 폴더의 연결 속성에서 사용할 수 있는 인터넷 프로토콜(TCP/IP) 구성 요소의 고급 속성에 있는 DNS 탭에서 연결별 DNS 접미사를 수동으로 구성할 수도 있습니다.

예를 들어, corp.example.com 도메인의 구성원이면서 무선 LAN 연결만 가진 랩톱 컴퓨터가 해당 회사 네트워크에 연결되었다고 가정합니다. 회사 네트워크의 DHCP 서버는 DNS 도메인 이름 DHCP 옵션을 사용하여 DNS 도메인 이름인 corp.example.com을 할당합니다. 컴퓨터 또는 사용자가 도메인에 로그온하면 해당 무선 LAN 연결을 통해 그룹 정책 업데이트를 받게 되며 corp.example.com이라는 DNS 도메인 이름이 레지스트리에 기록됩니다. 마지막으로 받은 그룹 정책 업데이트 DNS 이름이 무선 LAN 연결의 연결별 접미사와 일치하기 때문에 Windows에서는 해당 컴퓨터가 관리되는 네트워크에 연결되어 있다고 결정합니다.

동일한 랩톱 컴퓨터를 근처의 커피숍으로 가져가서 커피숍의 무선 LAN을 사용하여 인터넷에 연결한다고 가정해 봅니다. 이 구성의 경우 무선 LAN 연결은 DHCP를 사용하여 구성되지만 ISP(인터넷 서비스 공급자)가 할당한 DNS 도메인 이름 DHCP 옵션 값은 isp.example.com입니다. 마지막으로 받은 그룹 정책 업데이트 DNS 이름(corp.example.com)이 무선 LAN 연결의 연결별 DNS 접미사(isp.example.com)와 일치하지 않기 때문에 Windows에서는 해당 컴퓨터가 다른 네트워크에 연결되어 있다고 결정합니다. corp.example.com 도메인의 도메인 컨트롤러는 인터넷에서 사용할 수 없으므로 컴퓨터가 인터넷에 연결되어 있는 동안에는 그룹 정책 업데이트를 사용할 수 없습니다. 그러므로 레지스트리에 기록되는 마지막으로 받은 그룹 정책 업데이트 DNS 이름은 corp.example.com으로 설정된 채 계속 남게 됩니다.

이 네트워크 결정 알고리즘이 대부분의 상황에서 잘 작동하더라도, 구성이 변경될 경우 Windows에서 관리되는 네트워크에 항상 연결되어 있다고 결정하거나 관리되는 동일한 네트워크에 있지만 DHCP로 서로 다른 DNS 접미사를 할당하는 다른 부분들 사이를 로밍할 경우 일시적인 구성 문제가 발생할 수 있습니다.

관리되는 네트워크에 항상 연결

컴퓨터의 연결에 대한 연결별 DNS 접미사를 수동으로 구성하면 수동으로 지정된 값은 DNS 도메인 이름 DHCP 옵션 값보다 우선 적용됩니다. 수동으로 구성된 DNS 접미사가 마지막으로 받은 그룹 정책 업데이트 DNS 이름과 일치하면 Windows에서는 항상 컴퓨터가 관리되는 네트워크에 연결되어 있다고 결정합니다.

이러한 결정은 다음 유형의 문제를 발생시킬 수 있습니다.

  • CS, ICF 및 네트워크 브리지에 대한 그룹 정책 설정의 경우 컴퓨터 사용자가 인터넷이나 홈 네트워크 등 다른 네트워크에 연결되어 있으면 이러한 서비스를 사용하지 못하게 됩니다. 인터넷에 연결된 사용자가 ICF를 사용할 수 없게 되면 컴퓨터가 네트워크 공격을 받을 가능성이 커집니다.
  • Windows 방화벽 그룹 정책 설정의 경우 관리되는 네트워크의 관리자가 컴퓨터가 관리되는 네트워크에 연결되어 있으면 Windows 방화벽을 해제하고(이 방법은 다른 호스트 기반 방화벽이 사용되는 경우를 제외하고는 사용하지 않는 것이 좋음) 컴퓨터가 다른 네트워크에 연결되어 있으면 Windows 방화벽을 사용하도록 결정할 가능성이 있습니다. Windows에서 항상 컴퓨터가 관리되는 네트워크에 연결되어 있다고 결정하는 경우 컴퓨터가 인터넷에 연결되면 Windows 방화벽이 사용되지 않게 되므로 이 경우에도 컴퓨터가 네트워크 공격을 받을 가능성이 커집니다.

관리되는 동일한 네트워크의 서로 다른 부분들 사이를 로밍

일시적인 네트워크 결정 문제는 컴퓨터가 DHCP를 사용하여 다른 DNS 도메인 이름을 할당하는 관리되는 네트워크의 부분들 사이를 로밍할 경우에도 발생할 수 있습니다.

예를 들어, 무선 LAN 연결만 가진 랩톱 컴퓨터가 noam.corp.example.com Active Directory 도메인의 구성원이라고 가정합니다. 북아메리카의 모든 사무실에 있는 DHCP 서버는 noam.corp.example.com이라는 DNS 이름을 할당합니다. 하지만 유럽에서는 Active Directory 도메인이 europe.corp.example.com이므로 DNS 서버가 europe.corp.example.com이라는 DNS 이름을 할당합니다. 사용자가 랩톱 컴퓨터를 유럽에 있는 사무실의 무선 네트워크에 연결하면 이 컴퓨터의 마지막으로 받은 그룹 정책 업데이트 DNS 이름은 컴퓨터의 무선 연결에 대한 DNS 접미사와 일치하지 않으므로 Windows에서는 랩톱 컴퓨터가 관리되는 네트워크의 한 부분에 연결되어 있더라도 다른 네트워크에 있다고 결정합니다.

그러나 이러한 조건은 그룹 정책 설정이 업데이트되기 전까지만 적용됩니다. 컴퓨터에서 그룹 정책 설정을 업데이트하면 마지막으로 받은 그룹 정책 업데이트 DNS 이름이 새 연결별 DNS 접미사로 재설정되므로 컴퓨터는 관리되는 네트워크에 있다고 결정됩니다.

이 예의 경우 랩톱 컴퓨터가 noam.corp.example.com 도메인에 있는 도메인 컨트롤러의 그룹 정책 설정을 업데이트하고 마지막으로 받은 그룹 정책 업데이트 DNS 이름은 europe.corp.example.com으로 설정되므로 무선 연결의 연결별 DNS 접미사와 일치하게 됩니다. 네트워크 결정 알고리즘이 다시 실행되면 컴퓨터가 관리되는 네트워크에 연결되어 있다고 결정됩니다.

이 문제에 대한 해결책은 회사 네트워크에 있는 모든 DHCP 서버가 지역별로 DNS 도메인 이름을 할당하지 않고 공통 DNS 도메인 이름을 할당하도록 하는 것입니다. 이 예의 경우 해결책은 모든 DNS 서버에서 example.com을 할당하도록 하는 것입니다. 그러면 마지막으로 받은 그룹 정책 업데이트 DNS 이름이 항상 회사 네트워크에 연결된 LAN 연결의 연결별 DNS 접미사와 일치하게 됩니다.

컴퓨터가 실제로 관리되는 네트워크에 있는데 다른 네트워크에 있다고 일시적으로 결정하는 문제점은 다음과 같은 경우에도 발생할 수 있습니다.

  • DNS 도메인 이름 DHCP 옵션이 변경되어 마지막으로 받은 그룹 정책 업데이트 DNS 이름과 일치하지 않는 도메인 접미사를 할당하는 경우
  • DNS 도메인 이름 DHCP 옵션이 제거되어 컴퓨터의 LAN 연결에 대해 연결별 DNS 접미사가 비어 있는 경우
  • 컴퓨터의 LAN 연결에 대한 연결별 DNS 접미사가 수동으로 구성되어 마지막으로 받은 그룹 정책 업데이트 DNS 이름과 일치하지 않게 되는 경우

추가 정보

그룹 정책 설정 및 Windows XP SP2에 대한 자세한 내용은 다음 리소스를 참조하십시오.

이 칼럼의 내용과 관련된 의견이 있으면 Microsoft TechNet 으로 메일을 보내 주십시오. 이 메일 주소는 지원 서비스 계정이 아니며 회신 메일을 보내드리지 못할 수도 있습니다.

The Cable Guy의 전체 칼럼 목록과 추가 정보를 보려면 여기 를 클릭하십시오.

Top of page   페이지 위쪽

 

최종 수정일 : 2004년 11월 19일

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
표시:
© 2014 Microsoft