내보내기(0) 인쇄
모두 확장
이 항목은 아직 평가되지 않았습니다.- 이 항목 평가

IAS에 대한 유용한 정보

업데이트 날짜: 2005년 1월

적용 대상: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

 

IAS에 대한 유용한 정보

이 항목에서는 Microsoft 기술 지원 서비스의 권장 사항을 기초로 IAS를 구현하고 구성하는 방법에 대한 유용한 정보를 제공합니다.

설치 제안 사항

IAS를 설치하기 전에 다음 작업을 수행합니다.

  • 액세스 서버를 RADIUS 클라이언트로 만들기 전에 로컬 인증 방법을 사용해 각 액세스 서버를 설치한 다음 테스트합니다.

  • IAS를 설치하고 구성한 다음 netsh aaaa show config > path\file.txt 명령을 사용하여 구성을 저장합니다. 자세한 내용은 Netsh AAAA 명령을 참조하십시오. IAS 구성이 변경될 때마다 netsh aaaa show config > path\file.txt 명령을 사용하여 해당 구성을 저장합니다.

  • Windows 2000과 같은 파티션에 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition 또는 Windows Server 2003, Datacenter Edition을 설치하지 마십시오. 이러한 운영 체제는 systemroot\Program Files 폴더에 있는 공용 파일을 사용하여 IAS 데이터베이스에 액세스합니다. Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition 또는 Windows Server 2003, Datacenter Edition을 Windows 2000과 같은 파티션에 설치하면 Windows 2000의 IAS에서 원격 액세스 정책 또는 원격 액세스 로깅에 더 이상 액세스할 수 없습니다.

  • 사용자 계정 데이터베이스가 다른 도메인의 Windows Server 2003 도메인 컨트롤러에 저장되어 있으면 IAS 또는 라우팅 및 원격 액세스와 Windows Server 2003을 실행하는 서버를 Windows NT Server 4.0 도메인의 구성원으로 구성하지 마십시오. 이렇게 하면 IAS 서버에서 Windows Server 2003 도메인 컨트롤러로의 LDAP(Lightweight Directory Access Protocol) 쿼리가 실패할 수 있습니다.

  • 대신 IAS 또는 라우팅 및 원격 액세스와 Windows Server 2003을 실행하는 서버를 Windows Server 2003 도메인의 구성원으로 구성하십시오. 또는 IAS 및 Windows Server 2003을 실행하는 서버를 Windows Server 2003 도메인 컨트롤러의 사용자 계정 데이터베이스에 액세스할 수 있는 IAS 및 Windows Server 2003을 실행하는 다른 서버로 인증 및 계정 요청을 전달하는 프록시 서버로 구성할 수 있습니다. 자세한 내용은 IAS를 RADIUS 프록시로 배포를 참조하십시오.

보안 문제

IAS 서버를 원격으로 관리하는 경우, 공유 암호나 암호와 같이 중요한 기밀 데이터는 일반 텍스트 형태로 네트워크상에 보내지 마십시오. 이처럼 IAS 서버를 원격으로 관리할 때는 다음과 같은 두 가지 방법이 바람직합니다.

  • 터미널 서비스를 사용해 IAS 서버에 액세스합니다.

    터미널 서비스를 사용하면 클라이언트와 서버 간에 데이터가 전송되지 않습니다. 대신에 운영 체제 데스크톱이나 IAS 콘솔 이미지 등과 같은 서버의 사용자 인터페이스만이 터미널 서비스 클라이언트에 전송되며 이를 Windows XP에서는 원격 데스크톱 연결이라고 합니다. 이때 클라이언트에서 키보드와 마우스로 입력을 하면 터미널 서비스가 활성화된 서버에서 로컬로 처리합니다. 터미널 서비스 사용자가 로그온하는 경우에는 각자의 개별 클라이언트 세션만을 볼 수 있어 서버에서 독자적으로 관리할 수 있습니다. 또한 원격 데스크톱 연결에서는 클라이언트와 서버 간에 128비트 암호화를 지원합니다. 자세한 내용은 터미널 서비스를 참조하십시오.

  • IPSec을 사용하여 기밀 데이터를 암호화합니다.

    IPSec을 사용하면 IAS 서버와 IAS 서버 관리에 사용 중인 원격 클라이언트 컴퓨터 간에 통신을 암호화할 수 있습니다. 원격으로 이 서버를 관리하려면 Windows Server 2003 관리 도구 팩을 클라이언트 컴퓨터에 설치하고, IAS 스냅인을 MMC(Microsoft Management Console)에 추가해야 합니다. 자세한 내용은 IPSec 정책 규칙을 참조하십시오.

IAS 서버는 조직의 네트워크에 연결하는 데 필요한 인증과 권한 부여, 계정을 제공합니다. 따라서 원하지 않는 내부와 외부 침입에서 IAS 서버와 RADIUS 메시지를 보호할 수 있습니다. IAS 서버를 보호하는 방법에 대한 자세한 내용은 IAS 보안을 참조하십시오.

IAS를 RADIUS 서버로 사용할 때 RADIUS 트래픽의 보안에 대한 자세한 내용은 RADIUS 서버로서의 IAS 보안 고려 사항를 참조하십시오. IAS를 RADIUS 프록시로 사용할 때 RADIUS 트래픽의 보안에 대한 자세한 내용은 IAS를 RADIUS 프록시로 배포할 때의 보안 고려 사항을 참조하십시오.

Runas 명령을 사용해 로컬 IAS 서버 관리

Users 그룹 또는 Power Users 그룹처럼 관리 자격 증명이 필요 없는 그룹의 구성원으로 로그온할 때는 Runas 명령을 사용하여 관리 작업을 할 수 있습니다. 이처럼 관리 자격 증명이 없이 서버에 로그온하면 실수로 컴퓨터 바이러스가 설치되는 등의 다양한 보안 공격으로부터 컴퓨터를 보호할 수 있어 좋습니다.

로깅

IAS에는 다음과 같은 두 종류의 로깅이 있습니다.

  1. IAS 이벤트 로깅을 사용하여 시스템 이벤트 로그에 IAS 이벤트를 기록할 수 있습니다. 이 방법은 기본적으로 연결 시도를 감사하고 문제를 해결하는 데 사용됩니다.

  2. 사용자 인증 및 계정 요청 로깅을 사용하여 사용자 인증 및 계정 요청에 대해 로깅 텍스트 형식 또는 데이터베이스 형식으로 로그 파일에 기록하거나 SQL Server 2000 데이터베이스의 저장 프로시저에 기록할 수 있습니다. 요청 로깅은 기본적으로 연결 분석과 대금 청구 목적으로 사용되며, 보안 공격자를 추적할 수 있는 방법을 제공하므로 보안 조사 도구로도 유용합니다.

IAS 로깅을 가장 효과적으로 사용하려면

  • 처음에는 인증 레코드와 계정 레코드에 대한 로깅을 모두 설정합니다. 그런 다음 사용자 자신의 환경에 적합한 설정을 판단한 후에 이 선택 사항을 수정합니다.

  • 로그를 유지할 만큼 충분한 용량으로 이벤트 로깅을 구성하도록 합니다.

  • 로그가 손상되거나 삭제되면 다시 만들 수 없기 때문에 모든 로그 파일을 정기적으로 백업합니다.

  • RADIUS 클래스 특성을 사용하면 사용 과정을 추적하여 사용료를 청구할 부서나 사용자를 쉽게 확인할 수 있습니다. 자동으로 생성된 클래스 특성은 각 요청마다 고유하지만 액세스 서버에 대한 응답을 잃어버리고 해당 요청을 다시 보내는 경우에 중복 레코드가 있을 수 있습니다. 사용 과정을 정확하게 추적하려면 로그에서 이러한 중복 요청을 삭제해야 합니다.

  • SQL Server 로깅에 장애 조치와 중복성을 제공하려면 SQL Server를 실행하는 두 대의 컴퓨터를 다른 서브넷에 둡니다. SQL Server Create Publication Wizard를 사용하여 두 서버 간의 데이터베이스 복제를 설정합니다. 자세한 내용은 SQL Server 2000 설명서를 참조하십시오.

Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition 또는 Windows Server 2003, Datacenter Edition CD의 \Support\Tools 폴더에 있는 Iasparse.exe 도구를 사용하여 IAS 로그를 볼 수 있습니다.

자세한 내용은 원격 액세스 로깅을 참조하십시오.

성능 조정 IAS

  • IAS 인증 및 인증 응답 시간을 최적화하고 네트워크 트래픽을 최소화하려면 도메인 컨트롤러에 IAS를 설치합니다.

  • UPN(Universal Principal Name) 또는 Windows Server 2003 도메인을 사용하는 경우 IAS에서는 글로벌 카탈로그를 사용하여 사용자를 인증합니다. 이때 걸리는 시간을 최소로 하기 위해서는 IAS를 글로벌 카탈로그 서버나 동일한 서브넷에 있는 서버에 설치합니다. 자세한 내용은 글로벌 카탈로그의 역할을 참조하십시오. 도메인 기능에 대한 자세한 내용은 도메인 및 포리스트 기능을 참조하십시오.

  • 원격 RADIUS 서버 그룹을 구성한 경우 IAS 연결 요청 정책에서 다음 원격 RADIUS 서버 그룹에 있는 서버의 계정 정보 기록 확인란 선택을 취소해도 이 그룹은 여전히 NAS(네트워크 액세스 서버) 시작 및 중지 알림 메시지를 보냅니다. 이렇게 되면 불필요한 네트워크 트래픽이 만들어집니다. 이 트래픽을 제거하려면 네트워크 액세스 서버의 시작 및 중지 알림을 이 서버로 전달 확인란 선택을 취소하여 각 원격 RADIUS 서버 그룹에 있는 개별 서버에 대해 NAS 알림 전달을 사용하지 않아야 합니다. 자세한 내용은 그룹 구성원의 인증 및 계정 설정 구성계정 구성을 참조하십시오.

큰 규모의 조직에서 IAS 사용

  • 원격 액세스 정책을 사용하여 특정 그룹을 제외한 모든 액세스를 제한하는 경우 먼저 액세스를 허용할 사용자를 위한 유니버설 그룹을 만든 다음, 이 유니버설 그룹에 액세스 권한을 부여하는 원격 액세스 정책을 만듭니다. 특히 네트워크에 사용자가 많을 때는 이 사용자들을 모두 유니버설 그룹에 바로 가입시키지 않습니다. 그 대신 유니버설 그룹의 구성원이 되는 개별 그룹들을 만들어 이 그룹에 사용자들을 추가합니다. 유니버설 그룹에 대한 자세한 내용은 그룹 범위를 참조하십시오. 그룹에 대한 액세스를 제한 또는 허용하는 것에 대한 자세한 내용은 그룹 구성원 자격을 사용한 전화 접속 연결 허용을 참조하십시오.

  • 사용자 주체 이름을 사용하여 가능할 때마다 사용자를 참조합니다. 사용자는 도메인 구성원과 상관없이 같은 사용자 주체 이름을 가질 수 있습니다. 이 방법은 많은 도메인으로 구성된 조직에 필요한 확장성을 제공합니다.

  • IAS 서버가 도메인 컨트롤러가 아닌 컴퓨터에 있으며 1초당 수많은 인증 요청을 받고 있을 때는 IAS 서버와 도메인 컨트롤러 간에 동시 인증의 수를 늘려 성능을 개선할 수 있습니다.

    이렇게 하려면 레지스트리 키를 다음과 같이 편집합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. MaxConcurrentApi라는 새 값을 추가하고 2에서 5 사이의 값을 할당합니다.

주의

  • 레지스트리를 잘못 편집하면 시스템에 심각한 손상을 줄 수 있습니다. 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터를 백업해야 합니다.

참고

  • MaxConcurrentApi 값을 너무 높게 지정하면 IAS 서버에서 도메인 컨트롤러에 과도한 로드를 부여할 수 있습니다.

  • 수많은 인증 또는 대규모 RADIUS 인증 트래픽(예: 인증서 기반 인증을 사용하는 대규모 무선 구현)의 로드 균형을 효율적으로 조정하려면 모든 도메인 컨트롤러에 IAS를 설치하고 RADIUS 서버 역할을 하도록 합니다. 그리고 액세스 서버와 RADIUS 서버 간에 인증 요청을 전달하도록 둘 이상의 IAS 프록시를 구성합니다. 그런 다음 IAS 프록시를 RADIUS 서버로 사용하도록 액세스 서버를 구성합니다. 자세한 내용은 로드 균형 조정을 위해 IAS 프록시 사용을 참조하십시오.

  • 최대 50개의 RADIUS 클라이언트와 최대 2개의 원격 RADIUS 서버 그룹으로 구성된 Windows Server 2003, Standard Edition에 IAS를 구성할 수 있습니다. 정규화된 도메인 이름 또는 IP 주소를 사용하여 RADIUS 클라이언트를 정의할 수 있지만 IP 주소 범위 지정을 통해 RADIUS 클라이언트 그룹을 정의할 수는 없습니다. RADIUS 클라이언트의 정규화된 도메인 이름이 여러 개의 IP 주소로 구성된 경우 IAS 서버는 DNS 쿼리에서 반환된 첫째 IP 주소를 사용합니다. Windows Server 2003, Enterprise Edition 및 Windows Server 2003, Datacenter Edition의 IAS를 사용하면 RADIUS 클라이언트와 원격 RADIUS 서버 그룹을 무제한으로 구성할 수 있습니다. 또한 IP 주소 범위 지정을 통해 RADIUS 클라이언트를 구성할 수 있습니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft. All rights reserved.