내보내기(0) 인쇄
모두 확장

원격 액세스(DirectAccess, 라우팅 및 원격 액세스) 개요

게시: 2012년 2월

업데이트 날짜: 2012년 3월

적용 대상: Windows Server 2012

Windows Server 2012의 원격 액세스 기술에 대한 개요에는 새로운 기능과 변경된 기능 및 추가 리소스에 대한 링크가 포함되어 있습니다.

Windows Server 2012의 원격 액세스에서는 두 가지 네트워킹 서비스를 하나의 통합된 서버 역할로 결합합니다.

Windows Server 2008 R2에 처음 도입된 DirectAccess는 기존의 VPN(가상 사설망)을 연결할 필요 없이 회사 네트워크 리소스에 연결할 수 있는 새로운 원격 액세스 기능입니다. DirectAccess는 도메인에 가입된 Windows 7 Enterprise 및 Ultimate 버전 클라이언트만 지원합니다. Windows RRAS(라우팅 및 원격 액세스 서비스)는 레거시 클라이언트와 도메인에 가입되지 않은 클라이언트 및 타사 VPN 클라이언트에게 기존의 VPN 연결 기능을 제공합니다. RRAS는 서버 사이의 사이트 간 연결 기능도 제공합니다. Windows Server 2008 R2의 RRAS는 DirectAccess와 동일한 에지 서버에 공존할 수 없으며 DirectAccess와 별도로 배포되고 관리되어야 합니다.

Windows Server 2012에는 DirectAccess 기능과 RRAS 역할 서비스가 새로운 서버 역할로 통합되어 있습니다. 이 새로운 원격 액세스 서버 역할을 통해 DirectAccess와 VPN 기반 원격 액세스 서비스를 모두 중앙 방식으로 관리, 구성 및 모니터링할 수 있습니다. 또한 Windows Server 2012 DirectAccess는 배포 차단 문제를 해결하고 간소화된 관리 도구를 제공하기 위해 업데이트되고 개선된 여러 기능을 제공합니다.

DirectAccess는 Windows Server 2012 Essentials에서도 제공되는데, 이 경우도 마찬가지로 VPN(가상 사설망)을 연결하지 않고도 인터넷 장치가 있는 원격 위치에서 조직의 네트워크에 완벽하게 연결할 수 있습니다.

Windows Server 2012 Essentials의 DirectAccess에 대한 자세한 내용은 Windows Server 2012 Essentials의 DirectAccess 구성을 참조하십시오.

DirectAccess와 RRAS의 통합된 새로운 서버 역할은 원격 액세스 서버 배포를 구성하고 관리하는 단일 지점을 제공합니다. Windows Server 2012에는 다음과 같이 개선된 Windows 7 DirectAccess 및 RRAS의 기능이 포함되어 있습니다.

  • DirectAccess와 RRAS 공존 가능

  • 간소화된 DirectAccess 관리

  • DirectAccess의 필수 구성 요소로 PKI(공개 키 인프라)를 배포하지 않아도 됨

  • IPv4 전용 리소스에 액세스하기 위해 기본 제공되는 NAT64 및 DNS64 지원

  • DirectAccess 서버를 NAT 장치 뒤에 배치할 수 있도록 지원

  • 간소화된 네트워크 보안 정책

  • 부하 분산 지원

  • 여러 도메인 지원

  • NAP 통합

  • OTP(토큰 기반 인증) 지원

  • 강제 터널링 자동 지원

  • IP-HTTPS 상호 운용성 및 성능 향상

  • 클라이언트에 대한 DirectAccess의 매니지 아웃(Manage-out) 지원

  • 멀티 사이트 지원

  • Server Core 지원

  • Windows PowerShell 지원

  • 사용자 모니터링

  • 서버 작동 상태

  • 진단

  • 계정 및 보고

  • 사이트 간 IKEv2 IPsec 터널 모드 VPN

DirectAccess와 RRAS는 모두 유해한 인바운드 트래픽으로부터 서버를 보호하기 위한 보안 기능을 구현합니다. 이전에는 두 서비스가 동일한 서버에서 실행되려고 하면 이러한 보안 기능 설정이 서로 충돌하여 DirectAccess 또는 RRAS가 예상대로 기능하지 못했습니다.

DirectAccess는 IPv6(인터넷 프로토콜 버전 6) 변환 기술을 바탕으로 클라이언트에 연결합니다. RRAS는 IKEv2(Internet Key Exchange version 2) IPsec(인터넷 프로토콜 보안)을 구현하며, 변환 기술을 사용하여 모든 패킷을 삭제하는 수신 및 발신 패킷 필터를 구성합니다. 이에 따라 RRAS가 설치되어 있고 IKEv2를 통해 VPN 액세스가 배포되는 경우 DirectAccess 트래픽이 차단됩니다.

DirectAccess는 IPsec DoSP(서비스 거부 보호)를 구현하여 회사 네트워크의 리소스를 보호합니다. DoSP는 모든 IPv4 트래픽과 IPsec에서 보호되지 않는 모든 IPv6 트래픽을 삭제합니다(ICMPv6 패킷 제외). 이에 따라 DirectAccess가 설치되어 있는 경우 RRAS가 전달하는 모든 IPv4 패킷과 IPsec에서 보호되지 않는 IPv6 패킷이 차단됩니다.

Windows Server 2012의 DirectAccess와 RRAS 통합 서버 역할은 IPv6 변환 기술 트래픽이 허용되도록 IKEv2 정책을 수정하고 VPN 트래픽이 허용되도록 IPsec DoSP를 수정하여 이러한 문제를 해결합니다. 이러한 변경을 통해 DirectAccess와 RRAS가 모두 같은 서버에 공존할 수 있습니다.

Windows Server 2012에는 배포 작업을 쉽게 수행할 수 있는 기능이 포함되어 있는데, 이 기능은 특히 중소기업 관리자에게 유용합니다. 이러한 새로운 기능으로 인해 필수 구성 요소 목록이 간소화되었으며 전체 PKI 배포, 통합된 인증서 제공 및 연속된 두 개의 IPv4도 필요하지 않게 되었습니다. 이러한 각 기능에 대해서는 다음 섹션에서 자세히 설명합니다.

관리자는 이제 훨씬 간소화된 구성 환경을 제공하는 새로운 시작 마법사를 사용하여 DirectAccess를 배포할 수 있습니다. 시작 마법사는 DirectAccess의 복잡성을 마스크하여 간단한 몇 가지 단계를 통해 자동으로 설정할 수 있도록 해줍니다. 관리자는 더 이상 IPv6 변환 기술 및 NLS(네트워크 위치 서버) 배포 기술에 대해 자세히 알아야 할 필요가 없습니다.

Windows 7 DirectAccess 배포 시 주요 방해 요인 중 하나는 서버 및 클라이언트 인증서 기반 인증에 필요한 PKI를 배포해야 한다는 점입니다. DirectAccess는 인터넷 연결 클라이언트에서 보낸 트래픽을 인증하고 보호하는 데 IPsec AuthIP 정책을 사용합니다. Kerberos를 사용하여 도메인 리소스를 인증하려면 먼저 클라이언트가 DNS 서버 및 DC(도메인 컨트롤러)에 연결을 설정해야 합니다.

Windows 7 DirectAccess에서는 AuthIP 정책에 두 가지 인증 방법을 구현하여 이러한 연결을 사용할 수 있도록 설정합니다. 인프라 IPsec 터널은 컴퓨터 인증서를 첫 번째 인증 방법으로 사용하고, 사용자 NTLM을 두 번째 인증 방법으로 사용하여 설정됩니다. 이 터널이 설정되고 DC를 사용할 수 있으면 클라이언트가 컴퓨터 인증서와 사용자 Kerberos를 각각 첫 번째, 두 번째 인증 방법으로 사용하여 Kerberos 토큰을 얻어 인트라넷 IPsec 터널을 설정할 수 있습니다.

이렇게 구현하려면 DirectAccess 서버와 모든 클라이언트에는 상호 인증을 위한 컴퓨터 인증서로 프로비저닝되어 있어야 합니다. 중소기업의 경우 내부 PKI 관리가 어려울 수 있습니다. Windows Server 2012 DirectAccess에서는 구성 및 관리 업무를 간소화하기 위해 선택적으로 PKI 배포를 수행할 수 있습니다.

이 기능은 HTTPS 기반 Kerberos 프록시를 구현하여 얻을 수 있습니다. 클라이언트 인증 요청은 DirectAccess 서버에서 실행되는 Kerberos 프록시 서비스로 전송됩니다. 그런 다음 Kerberos 프록시는 클라이언트를 대신하여 Kerberos 요청을 도메인 컨트롤러에 보냅니다.

새로운 시작 마법사는 이러한 솔루션을 자동으로 구성하여 관리자에게 원활한 환경을 제공합니다. 이와 같이 간소화된 DirectAccess 배포에서는 강제 터널링, NAP 통합 및 2단계 인증과 같은 사용자 수준 구성 옵션을 사용할 수 없습니다. 이 배포를 위해서는 IPsec 터널 하나만 설정되어 있으면 됩니다. 또한 다음과 같은 요구 사항이 있습니다.

  • DirectAccess 서버의 방화벽에는 TCP 포트 443이 열려 있어야 합니다.

  • DirectAccess 서버에는 DirectAccess 클라이언트가 신뢰할 수 있는 CA(인증 기관)에서 발급된 TLS용 서버 인증 인증서가 있어야 합니다. 이는 공용 CA가 사용될 수 있으며, 내부 PKI 배포는 필요하지 않습니다. 사용 가능한 인증서가 없으면 DirectAccess 서버 설치 프로세스에서 필요한 IP-HTTPS 및 KDC 프록시 인증서를 자체 서명된 인증서로 자동 구성합니다.

내부 IPv4 전용 리소스에 대한 액세스를 허용하기 위해 Windows Server 2012 DirectAccess에는 프로토콜 변환(NAT64)과 이름 확인(DNS64) 게이트웨이에 대한 기본 지원이 포함되어 있어 DirectAccess 클라이언트의 IPv6 통신을 내부 서버용 IPv4로 전환할 수 있습니다. NAT64로 수행된 변환은 단방향(DirectAccess 클라이언트에서 시작된 트래픽의 경우)이므로, IPv4 전용 인트라넷 컴퓨터는 원격 관리를 위한 DirectAccess 클라이언트 연결을 시작할 수 없습니다.

다음의 세 가지 경우에는 IPv6 전용 DirectAccess에서 회사 인트라넷 리소스에 대한 모든 액세스를 허용하지 않습니다.

  • Windows Server 2003 파일 서버와 같이 IPv6를 완벽하게 지원하지 않고 IPv4만 지원하는 인트라넷 서버

  • 관리를 목적으로 IPv6가 네트워크에서 사용하지 않도록 설정되어 있는 환경

  • IPv6가 지원되는 서버(예: Windows Server 2008)에서 실행되는 응용 프로그램 자체가 IPv6를 지원하지 않는 경우(예: IPv6 인터페이스에서 트래픽을 수신 대기하고 응답할 수 없는 응용 프로그램)

DirectAccess를 통해 이러한 리소스에 액세스하려면 DirectAccess 서버와 IPv4 전용 리소스 간에 프로토콜이 변환되고, 그 후 DirectAccess 클라이언트로 전송되는 응답을 위해 IPv6로 다시 변환되어야 합니다. NAT64는 클라이언트의 IPv6 트래픽을 받아 인트라넷으로 향하는 IPv4 트래픽으로 전환합니다. NAT64는 DNS64와 함께 사용됩니다. DNS64는 클라이언트에서 DNS 쿼리를 인터셉트하여 IPv4 응답을 NAT64의 관련 IPv6 매핑으로 전환한 다음 응답을 보냅니다.

note참고
이전 Windows Server 2012 DirectAccess에서는 DirectAccess의 프로토콜을 변환하는 데 사용할 수 있는 유일한 방법이 Microsoft Forefront Unified Access Gateway DirectAccess 배포를 사용하는 것입니다.

DirectAccess 설치 마법사를 사용하면 관리자가 조작할 필요 없이 프로토콜 변환 구성 요소를 백그라운드 작업으로 구성할 수 있습니다. 아무런 구성 옵션이 관리자에게 표시되지 않습니다. 이 설치 마법사는 DirectAccess 서버의 내부 인터페이스에 IPv4 주소가 할당된 경우 NAT64와 DNS64를 사용하도록 자동 설정합니다. 이 기능을 지원하기 위해 설치 마법사는 NAT64에 대한 IPv6 네트워크 접두사를 구성합니다. 마법사가 NAT64 접두사를 자동으로 할당하고 엔터프라이즈의 모든 IPv4 범위에 적용합니다.

Windows Server 2008 R2 DirectAccess 서버에는 외부 인터페이스에 연속된 두 개의 공용 IPv4 주소가 할당된 네트워크 인터페이스가 두 개 필요합니다. 이는 Teredo 서버와 같이 작동하는 데 필요합니다. NAT 뒤의 클라이언트가 Teredo 서버와 NAT 장치 유형을 확인하기 위해서는 Teredo 서버에 연속된 두 개의 공용 IPv4 주소가 필요합니다.

연속된 두 개의 공용 IPv4 주소에 대한 액세스 권한이 없는 중소기업의 경우 이러한 요구 사항은 어려운 문제입니다. 이 문제는 향후 사용 가능한 IPv4 주소 공간이 소모됨에 따라 배포 장애 요인이 될 소지가 있습니다. Windows Server 2012 DirectAccess에서는 단일 네트워크 인터페이스나 여러 인터페이스에 대한 지원을 통해 DirectAccess 서버를 NAT 장치 뒤에 배포할 수 있는 기능을 제공하며, 공용 IPv4 주소가 필요하지 않습니다.

원격 액세스 서비스 설치 시작 마법사나 원격 액세스 설치 마법사가 실행되면 마법사가 서버의 네트워크 인터페이스 상태를 점검하여 DirectAccess 서버가 NAT 장치 뒤에 있는지 확인합니다. 이 구성에서는 IP-HTTPS(HTTPS를 통한 IP)만 배포됩니다. IP-HTTPS 프로토콜은 안전한 HTTP 연결을 사용하여 안전한 IP 터널이 설정될 수 있도록 하는 IPv6 변환 기술입니다.

Windows Server 2008 R2 DirectAccess에서는 IPsec 터널을 두 개 사용하여 회사 네트워크에 연결합니다. DirectAccess 클라이언트에는 DNS, DC 및 관리 서버 등의 인프라 리소스에 액세스하기 위한 인프라 터널이 필요합니다. 이러한 인프라 서버는 인프라 터널 IPsec 정책에서 모두 끝점으로 나열됩니다. 그런 다음 인트라넷 터널에서 다른 모든 회사 인트라넷 리소스에 대한 액세스 권한을 제공합니다.

인프라 터널 정책에 나열된 끝점은 DNS 서버나 도메인 컨트롤러가 프로덕션 네트워크에 추가되거나 제거되는 등의 인프라 변경에 따라 주기적으로 업데이트해야 합니다. 클라이언트는 현재 인프라 서버의 끝점이 반영되도록 IPsec 정책이 업데이트되지 않은 경우 도메인에 대한 연결이 끊어질 수 있습니다. 그러면 이 오류를 바로잡을 수 있는 그룹 정책 업데이트를 받지 못하게 됩니다.

Windows Server 2012의 간소화된 DirectAccess 모델에서는 단일 IPsec 터널을 통해 DirectAccess를 배포할 수 있는 방법이 제공되므로 이러한 문제를 해결할 수 있습니다. 하지만 간소화된 DirectAccess의 경우 인증서 기반 인증을 사용하는 특정 기능이 지원되지 않습니다. 예를 들면 스마트 카드를 사용하는 2단계 인증, 다중 사이트 및 NAP 통합 등이 해당됩니다. 모든 기능을 갖춘 DirectAccess 환경이 필요한 엔터프라이즈에서는 여전히 이중 터널 모델을 배포해야 합니다.

모든 기능을 제공받기 위해 이중 터널 모델이 필요한 경우 인프라 터널을 통해 액세스할 수 있는 서버 목록을 관리자가 새로 고칠 수 있는 추가 기능이 제공됩니다. 새로운 도메인 컨트롤러와 System Center Configuration Manager 서버가 검색되면 목록에 추가됩니다. 더 이상 존재하지 않는 서버는 목록에서 제거되고 IP 주소가 변경된 서버의 항목이 업데이트됩니다.

Windows Server 2008 R2 DirectAccess는 완전한 고가용성 솔루션을 제공하지 않고 단일 서버 배포로 제한됩니다. 제한된 하드웨어 중복 기능을 제공하기 위해 DirectAccess를 Hyper-V 실시간 마이그레이션용으로 구성된 Hyper-V 장애 조치(failover) 클러스터 내에 구성할 수 있습니다. 하지만 언제든 서버 노드 하나만 온라인 상태가 될 수 있습니다.

DirectAccess 배포는 단일 서버에서 적절한 처리 성능을 제공할 수 있는 선을 넘어 급성장했습니다. 엔터프라이즈에는 추가 서버를 신속하고 투명하게 배포하여 변화하는 부하 요구 사항을 충족할 수 있는 유연성이 필요합니다. 또한 내/외부 감지에 사용된 네트워크 위치 서버는 인트라넷에 연결된 DirectAccess 클라이언트의 심각한 중단 사태를 방지하기 위해 항상 사용 가능해야 합니다.

Windows Server 2012 DirectAccess는 기본으로 제공되는 Windows NLB(네트워크 부하 분산) 지원을 통해 이러한 문제를 해결하여 DirectAccess와 RRAS VPN의 고가용성과 확장성을 얻을 수 있습니다. NLB 구성은 새로운 배포 마법사 인터페이스를 통해 간편하게 설치하고 자동화할 수 있습니다. 설치 프로세스에서는 타사 외부 하드웨어 기반의 부하 분산 장치 솔루션에 대한 통합된 지원도 제공합니다.

Important중요
Windows Server 2012 DirectAccess는 최대 8개의 노드에 네트워크 부하 분산을 사용하여 기본적인 장애 조치(failover) 솔루션을 제공합니다. 서버 부하는 모든 NLB 노드에 걸쳐 공유되지만, 서버 하나를 사용할 수 없게 된 경우 기존 연결이 다른 서버로 자동 전송되지 않습니다.

Windows Server 2008 R2의 DirectAccess 설치 마법사를 사용하여 단일 도메인에 한해 DirectAccess를 구성할 수 있습니다. 즉 DirectAccess 서버와 다른 도메인의 원격 클라이언트에서는 DirectAccess를 사용할 수 없다는 뜻입니다. 또한 응용 프로그램 서버가 다른 도메인에 있는 경우 원격 클라이언트는 DirectAccess를 통해 원격으로 응용 프로그램 서버에 액세스할 수 없습니다.

관리자가 Windows Server 2008 R2에서 여러 도메인을 지원하도록 수동으로 구성할 수는 있지만, 배포 시 설치가 완료된 후에 DirectAccess 정책을 수동으로 편집해야 합니다. Windows Server 2012 DirectAccess에는 여러 도메인을 지원하는 기능이 통합되어 있어 원격 클라이언트가 다른 도메인에 있는 엔터프라이즈 리소스에 액세스할 수 있습니다.

Windows Server 2008 R2 DirectAccess에서는 인트라넷 터널의 IPsec 피어 인증을 위한 상태 인증서를 요구하여 NAP(네트워크 액세스 보호) 통합을 지원했습니다. 상태 인증서는 시스템 상태 OID(개체 식별자)가 있는 인증서입니다. NAP 클라이언트는 NAP 상태 정책 서버에 구성된 시스템 상태 요구 사항을 준수하는 경우에만 HRA(상태 등록 기관)로부터 상태 인증서를 받을 수 있습니다.

NAP를 Windows Server 2008 R2 DirectAccess와 통합하기 위해 관리자는 DirectAccess가 배포된 후 DirectAccess 설치 마법사에서 만든 그룹 정책 개체와 정책을 수동으로 편집해야 합니다. Windows Server 2012 DirectAccess에서는 설치 사용자 인터페이스를 통해 NAP 상태 검사를 수동으로 구성할 수 있는 기능을 제공합니다. 이 기능은 NAP 통합을 위해 필요한 정책과 GPO를 자동으로 수정합니다. 원격 액세스 설치 마법사에서 NAP 상태 검사 적용을 사용하도록 설정할 수 있습니다.

note참고
새로운 설치 마법사에서 DirectAccess와의 NAP 통합이 간소화되기는 했지만 실제 NAP 배포 자체는 자동화되지 않습니다. 관리자는 NAP IPsec 적용과 HRA 인프라를 독립적으로 구성해야 합니다.

로그인 보안을 강화하기 위해 많은 조직에서 OTP(일회용 암호) 2단계 인증을 배포하여 원격 액세스 연결 시 필수적으로 사용하도록 합니다. Windows Server 2008 R2 DirectAccess에서는 스마트 카드를 사용한 2단계 인증이 지원되었지만 RSA SecurID 같은 OTP 공급업체 솔루션과의 통합은 지원되지 않았습니다. 이로 인해 이와 같은 보안 수준이 필요한 조직에 DirectAccess를 배포하지 못했습니다.

Windows Server 2012 DirectAccess는 스마트 카드를 사용한 2단계 인증이나 OTP 토큰 기반 솔루션을 지원합니다. 이 기능에는 PKI 배포가 필요하므로, DirectAccess 설치 마법사에서 이 옵션이 선택되면 컴퓨터 인증서 사용 옵션이 자동으로 선택되어 적용됩니다.

표준 스마트 카드 인증에 대한 지원뿐만 아니라, DirectAccess는 Windows Server 2012에서 제공되는 TPM(신뢰할 수 있는 플랫폼 모듈) 기반의 가상 스마트 카드 기능을 사용할 수 있습니다. 클라이언트 컴퓨터의 TPM은 2단계 인증의 가상 스마트 카드로서의 역할도 할 수 있으므로 스마트 카드 배포에 따른 오버헤드와 비용을 없앨 수 있습니다.

기본적으로 DirectAccess 클라이언트는 인터넷, 회사 인트라넷 및 로컬 LAN 리소스를 동시에 액세스할 수 있습니다. 회사 인트라넷에 대한 연결만 DirectAccess IPsec 터널을 통해 전송되므로 이를 분할 터널 구성이라고 합니다. 분할 터널링은 인터넷상의 리소스에 액세스할 때 최적의 사용자 환경을 제공하는 동시에 인트라넷으로 전송될 트래픽에 대한 강력한 보안 성능을 제공합니다.

분할 터널링은 보안상 위험하지는 않지만 일부 조직의 경우 모든 트래픽에 대해 회사 프록시 서버를 통과하도록 함으로써 해당 ID로 검사할 수 있도록 하는 경우가 있습니다. 레거시 VPN 연결 환경에서는 홈 네트워크와 회사 네트워크 같은 네트워크 사이의 트래픽을 브리지하는 사용자가 존재할 수 있으며, 사실상 클라이언트가 라우터로 작동하게 됩니다. 이러한 이유로 관리자는 대개 VPN 연결에 분할 터널링을 사용하지 않도록 설정하여 모든 네트워크 트래픽이 VPN 연결을 통해 라우팅됩니다. 이에 따라 모든 트래픽은 VPN 터널을 트래버스한 다음 인터넷으로 프록시되어야 하므로 인터넷 리소스에 액세스할 때 성능이 저하됩니다. 이뿐만 아니라 회사 네트워크의 대역폭도 추가로 상당히 소모됩니다.

DirectAccess를 사용하도록 설정하는 IPsec 규칙에는 클라이언트 끝점의 인증이 필요하므로, 분할 터널링을 보안 위험 요인으로 간주하는 것은 DirectAccess 시나리오에서는 무의미합니다. 다른 끝점에서 DirectAccess 클라이언트를 통해 라우팅하려고 하는 경우, 이는 인증된 소스가 되지 않아 IPsec이 연결을 차단합니다. 하지만 일부 조직에는 모든 트래픽에 대해 회사 프록시 서버를 통과하도록 함으로써 검사할 수 있도록 하는 요구 사항이 있는데, DirectAccess 강제 터널링 옵션은 이러한 기능을 제공합니다.

강제 터널링 옵션은 Windows Server 2008 R2 DirectAccess에서도 제공되었지만, 그룹 정책 설정을 통해 이 옵션을 사용하도록 설정하는 수동 단계를 거쳐야 했습니다. Windows Server 2012 DirectAccess에서는 강제 터널링 옵션이 시작 마법사와 관리 UI에 통합되어 있어 필요한 설정이 자동으로 구성됩니다. 강제 터널링 옵션을 사용하도록 설정하면 DirectAccess 클라이언트가 IP-HTTPS 프로토콜만 사용하여 연결하도록 제한되며, 기본적으로 DirectAccess 서버를 NAT64/DNS64 서버로 사용하여 IPv4 프록시 서버로 보낼 IPv6 리소스를 변환합니다.

특정 네트워크에서는 인터넷 방화벽 설정으로 인해 6to4 또는 Teredo IPv6 변환 기술을 사용하여 클라이언트를 연결하지 못할 수 있습니다. IP-HTTPS는 Windows 7에서 도입된 IPv6 변환 기술로 다른 IPv6 변환 기술이 모두 실패한 경우라도 DirectAccess 클라이언트는 IP-HTTPS를 통해 회사 네트워크에 연결할 수 있도록 합니다. IP-HTTPS는 전역으로 라우팅할 수 있는 고유한 IPv6 주소를 IPv4 호스트에 할당하고, HTTPS 터널을 통한 전송 시 IPv4 내의 IPv6 패킷을 캡슐화하며, 호스트와 전역으로 라우팅할 수 있는 다른 IPv6 노드 간의 IPv6 트래픽을 라우팅합니다.

Windows Server 2012에서는 IP-HTTPS 구현에 대해 몇 가지 향상된 기능을 제공합니다. 기술 변경을 통해 IP-HTTPS 클라이언트는 프록시 구성 정보를 얻을 수 있으며, 인증이 필요한 경우 HTTP 프록시를 인증할 수 있습니다. 각 IP-HTTPS 클라이언트에 클라이언트 인증서를 배포해야 하는 Windows 7 요구 사항이 제거되었습니다.

IP-HTTPS는 클라이언트와 서버 사이에 SSL/TLS 연결을 만든 다음 이 연결을 통해 IP 트래픽을 전달함으로써 작동됩니다. 이 데이터는 IPsec으로 암호화됩니다. 즉 데이터가 먼저 IPsec으로 암호화되고, SSL로 다시 한 번 더 암호화됩니다. 그 결과 다른 IPv6 변환 기술인 6to4 및 Teredo와 비교해 성능과 사용자 환경이 저하되고 DirectAccess 서버의 확장성이 제한됩니다.

Windows Server 2012 DirectAccess에서는 확장성을 늘리고 이 연결 방법과 관련된 오버헤드를 줄일 수 있도록 IP-HTTPS의 성능이 향상되었습니다. 이러한 최적화 기능을 통해 일괄 처리된 송신 동작과 수신 버퍼의 수가 변경되었고, 잠금 경합이 줄어들었으며, NULL 암호화가 사용된 SSL을 구현하도록 선택할 수 있습니다.

IP-HTTPS는 사용자 컨텍스트가 아닌 시스템 컨텍스트에서 실행됩니다. 이 컨텍스트에서는 연결 문제가 발생할 수 있습니다. 예를 들어 인터넷에 액세스할 때 프록시를 사용하는 파트너 회사의 네트워크에 DirectAccess 클라이언트 컴퓨터가 있고 WPAD 자동 검색을 사용하지 않는 경우 사용자는 프록시 설정을 수동으로 구성해야 인터넷에 액세스할 수 있습니다. 이러한 설정은 사용자 단위로 Internet Explorer에서 구성되며, IP-HTTPS 대신 직관적인 방법으로 검색할 수 없습니다. 또한 프록시가 인증을 요구하는 경우 클라이언트는 인터넷 액세스에 필요한 자격 증명을 제공하지만, IP-HTTPS는 DirectAccess 인증에 필요한 자격 증명을 제공하지 않습니다. Windows Server 2012에서는 새로운 기능을 통해 이러한 문제를 해결합니다. 특히 사용자가 WPAD를 사용해 구성되지 않은 프록시 뒤에 있는 경우 작동되도록 IP-HTTPS를 구성할 수 있습니다. IP-HTTPS는 인증된 IP-HTTPS 요청에 필요한 프록시 자격 증명을 요청 및 제공하여 이를 DirectAccess 서버에 릴레이합니다.

서버의 DirectAccess에 IP-HTTPS를 구성한 경우, CA(인증 기관)에서 발급한 인증서를 사용하거나 DirectAccess에서 자체 서명된 인증서를 자동 생성하도록 지정할 수 있습니다.

DirectAccess 클라이언트는 로그인한 사용자가 없어도 인터넷 연결을 사용할 수 있는 상태라면 언제든지 회사 인트라넷에 대한 연결을 설정합니다. 이 덕분에 IT 관리자는 사무실에 없을 때에도 패치가 적용되고 정책을 준수하도록 원격 컴퓨터를 관리할 수 있습니다. 일부 고객은 이 기능을 DirectAccess의 주요 이점으로 꼽으며, 자신의 기존 원격 액세스 솔루션은 사용자가 연결할 수 있도록 그대로 유지하면서 DirectAccess는 원격 관리용으로만 사용하도록 선택합니다.

Windows Server 2008 R2 DirectAccess에는 배포를 매니지 아웃(Manage-out)용으로만 제한하는 방법이 자동화되어 있지 않으므로, 관리자는 설치 마법사로 만든 정책을 수동으로 편집해야 합니다. Windows Server 2012 DirectAccess는 클라이언트 컴퓨터 원격 관리에 필요한 정책만 만들어지도록 제한하는 배포 마법사 옵션을 통해 매니지 아웃(Manage-out) 전용 구성을 지원합니다. 이 구성에서는 강제 터널링, NAP 통합 및 2단계 인증과 같은 사용자 수준의 구성 옵션을 사용할 수 없습니다.

note참고
매니지 아웃(Manage-out)을 지원하려면 ISATAP 배포 또는 v6 주소가 포함된 관리 서버가 있어야 합니다.

DirectAccess 서버는 용량을 늘리고 인트라넷 리소스의 가장 가까운 진입점에 효율적으로 액세스할 수 있도록 여러 사이트에 배포할 수 있습니다. 이 기능은 클라이언트가 해당하는 각 사이트에 남아 있는 경우 원활하게 작동하여 엔터프라이즈 내 다른 사이트로 이동할 필요가 없습니다. 하지만 클라이언트가 여러 사이트 사이를 떠도는 경우에는 가장 효율적인 경로를 통해 DirectAccess 서버에 연결할 수 있도록 멀티 사이트 DirectAccess 설정을 신중하게 계획하고 설계해야 합니다.

멀티 사이트 환경에는 클라이언트가 가장 가까운 IP-HTTPS 서버, Teredo 서버, DNS 서버 및 도메인 컨트롤러의 위치를 파악할 수 있도록 하는 등 고려해야 할 문제가 많이 있습니다. Windows Server 2012 DirectAccess에서는 여러 DirectAccess 진입점을 지리적 위치 전반에 배포할 수 있고 클라이언트가 자신의 위치와 상관없이 효율적인 방법으로 회사 네트워크에 있는 리소스를 액세스할 수 있는 솔루션을 제공합니다.

Windows Server 2012 DirectAccess 서버는 지리적으로 흩어진 장소에 있는 원격 사용자가 자신과 가장 가까운 멀티 사이트 진입점에 연결할 수 있는 멀티 사이트 배포에서 구성할 수 있습니다. Windows 8가 실행되고 있는 클라이언트 컴퓨터의 경우 진입점은 자동으로 할당되거나 클라이언트에서 수동으로 선택될 수 있습니다. Windows 7 클라이언트 컴퓨터의 경우 진입점이 고정적으로 할당될 수 있습니다. 또한 조직이 GSLB(Global Server Load Balancing) 솔루션을 배포하는 경우 Windows 7 클라이언트는 진입점이 자동으로 선택되는 이점도 누릴 수 있습니다. 멀티 사이트 배포 전반의 트래픽은 외부 전역 부하 분산 장치를 사용하여 균등하게 분산될 수 있습니다.

Server Core는 디스크 공간, 서비스 및 관리 요구 사항을 줄이고 운영 체제 공격에 대한 노출을 감소시키도록 설계된 최소 서버 설치 옵션입니다. Server Core 시스템에서는 그래픽 사용자 인터페이스가 지원되지 않으므로 관리자가 명령줄이나 원격 관리 도구를 사용하여 모든 필수 구성 작업을 수행해야 합니다.

Server Core 설치에는 Windows Server 전체 설치 시 제공되는 기능 중 일부만 지원되며, 현재 DirectAccess 기능이나 원격 액세스 서버 역할에 대한 지원은 포함되어 있지 않습니다. Windows Server 2012 Server Core 설치에는 DirectAccess와 RRAS 모두 통합 서버 역할에 대한 지원이 포함되어 있습니다.

새로운 원격 액세스 서버 역할은 설치, 구성 및 모니터링에 사용될 수 있는 Windows Server 2012의 Windows PowerShell 지원 기능을 완벽하게 갖추고 있습니다. 원격 액세스 서버 역할은 원격 서버 관리를 통해 구성할 수도 있습니다.

Windows Server 2008 R2의 DirectAccess에서는 구성 옵션의 스크립팅 및 명령줄 인터페이스가 완벽하지 않았습니다. Windows Server 2012에서는 원격 액세스 서버 역할을 설치, 구성, 관리, 모니터링하고 문제를 해결할 수 있도록 Windows PowerShell을 완벽하게 지원합니다.

RRAS 서버와 DirectAccess 모두에 대한 모니터링 및 진단 기능이 Windows Server 2008 R2에서는 제한되어 있습니다. DirectAccess의 모니터링 기능에는 DirectAccess와 그 구성 요소에 대한 기본적인 상태 모니터링만 포함됩니다. 제공되는 모니터링 데이터와 통계는 관리자에게 거의 중요하지 않거나 관련이 없는 정보입니다.

Windows Server 2012에 도입된 사용자 및 서버 상태 모니터링을 통해 관리자는 DirectAccess 클라이언트 및 연결의 작동 상태를 파악할 수 있습니다. 모니터링 콘솔은 DirectAccess 서버의 부하, 사용자 작업 및 현재 리소스 사용량을 추적하는 데 사용됩니다. 관리자는 이러한 정보를 사용하여 원치 않거나 부적절하게 사용된 작업을 식별합니다. 모니터링 콘솔에서 진단 추적을 사용하도록 설정할 수도 있습니다.

사용자 모니터링

원격 액세스 솔루션 관리자에게는 연결된 사용자뿐만 아니라 사용자가 액세스하고 있는 리소스에 대해서도 모니터링할 수 있는 기능이 필요합니다. 원격 상태일 때 특정 서버나 파일 공유에 액세스할 수 없다는 사용자의 항의가 있을 경우, 현재 관리자는 원격 액세스 콘솔에서 다른 사용자들이 해당 리소스에 액세스하고 있는지 확인할 방법이 없습니다. 특정 사용자가 과도한 대역폭을 사용하는 등의 문제를 해결하기 위해서는 일반적으로 다양한 도구와 응용 프로그램이 필요했습니다.

대시보드는 새로운 원격 액세스 서버 관리 콘솔에서 탐색 창의 대시보드 탭을 선택하여 액세스합니다. 대시보드는 전반적인 작동 상태와 원격 클라이언트의 작업 및 상태를 표시합니다. 또한 관리자는 대시보드에서 직접 빠른 보고서를 볼 수 있습니다.

모니터링 대시보드에는 다음 항목에 대한 원격 클라이언트 연결 상태가 요약되어 표시됩니다. 이 정보는 관련 성능 모니터 카운터와 계정 데이터에서 생성됩니다.

  • 연결된 총 활성 원격 클라이언트 수 – DirectAccess와 VPN 원격 클라이언트 모두 포함

  • 연결된 총 활성 DirectAccess 클라이언트 수 – DirectAccess를 사용하여 연결된 총 클라이언트 수만 해당

  • 연결된 총 활성 VPN 클라이언트 수 – VPN을 사용하여 연결된 총 클라이언트 수만 해당

  • 연결된 총 고유 사용자 – 활성 상태의 연결을 기준으로 DirectAccess와 VPN 사용자 모두 포함

  • 총 누적 연결 수 – 마지막으로 서버를 다시 시작한 이후 원격 액세스 서버에서 서비스된 총 연결 수

  • 연결된 최대 원격 클라이언트 수 – 마지막으로 서버를 다시 시작한 이후 원격 액세스 서버에 연결된 최대 동시 원격 사용자

  • 전송된 총 데이터 – 마지막으로 서버를 다시 시작한 이후 DirectAccess와 VPN 두 가지 모두의 원격 액세스 서버에서 이루어진 총 인바운드/아웃바운드 트래픽

    1. 인바운드 트래픽 – 원격 액세스 서버/게이트웨이로 들어오는 트래픽당 총 바이트 수

    2. 아웃바운드 트래픽 – 원격 액세스 서버/게이트웨이에서 나가는 트래픽당 총 바이트 수

클러스터 배포 시 원격 액세스 대시보드의 원격 클라이언트 작업 및 상태 요약에서는 모든 클러스터 노드의 전체 값을 표시합니다.

관리자는 현재 연결된 모든 원격 사용자의 목록을 볼 수 있으며, 특정 원격 사용자를 클릭하여 해당 사용자가 액세스하고 있는 모든 리소스 목록을 표시할 수 있습니다. 관리자는 원격 액세스 관리 콘솔에서 원격 클라이언트 상태 링크를 선택하여 원격 사용자 통계를 표시할 수 있습니다. 사용자 통계는 다음 필드를 사용하여 선택한 조건에 따라 필터링할 수 있습니다.

 

필드 이름

사용자 이름

원격 사용자의 사용자 이름 또는 별칭입니다. 와일드카드를 사용하여 사용자 그룹을 선택할 수 있습니다(예: contoso\* 또는 *\administrator). 도메인 없이 지정된 경우 *\username으로 간주됩니다.

호스트 이름

원격 사용자의 컴퓨터 계정 이름입니다. IPv4 또는 IPv6 주소가 지정될 수도 있습니다.

형식

DirectAccess 또는 VPN. DirectAccess를 선택하면 DirectAccess를 사용하여 연결 중인 모든 원격 사용자가 나열됩니다. VPN을 선택하면 VPN을 사용하여 연결 중인 모든 원격 사용자가 나열됩니다.

ISP 주소

원격 사용자의 IPv4 또는 IPv6 주소입니다.

IPv4 주소

원격 사용자를 회사 네트워크에 연결하는 터널의 내부 IPv4 주소입니다.

IPv6 주소

원격 사용자를 회사 네트워크에 연결하는 터널의 내부 IPv6 주소입니다.

프로토콜/터널

원격 클라이언트에서 사용된 변환 기술 – Teredo, 6to4 또는 IP-HTTPS(DirectAccess 사용자의 경우) 및 PPTP, L2TP, SSTP 또는 IKEv2(VPN 사용자의 경우)

액세스한 리소스

특정 회사 리소스나 끝점에 액세스하고 있는 모든 사용자입니다. 이 필드에 해당하는 값은 서버/끝점의 호스트 이름/IP 주소입니다.

서버

클라이언트가 연결될 원격 액세스 서버입니다. 이 필드는 클러스터 및 멀티 사이트 배포에만 해당됩니다.

이 기능을 사용하여 관리자가 중앙 모니터링 콘솔에서 원격 액세스 배포 상태를 관리하고 모니터링할 수 있습니다. 이 기능은 주의가 필요한 문제가 감지될 때마다 관리자에게 경고를 보냅니다. 인터페이스에서는 해결 방법이 제시된 단계와 함께 자세한 진단 정보를 표시합니다.

콘솔 트리의 대시보드 노드에서는 원격 액세스 인프라 및 관련 구성 요소의 상태 등 원격 액세스 서버의 상태뿐 아니라 진입점 전반에 구성이 적절하게 분산되어 있는지를 표시합니다.

콘솔 트리의 서버 작동 상태 노드에서는 원격 액세스 인프라 및 관련 구성 요소의 상태 등 원격 액세스 서버의 상태를 표시합니다. 관리자는 특정 구성 요소를 클릭하여 해당 구성 요소의 상태, 변경 기록 및 모니터링 세부 정보를 확인할 수 있습니다.

원격 액세스 서버가 클러스터 또는 멀티 사이트 배포에 배포된 경우 클러스터나 멀티 사이트 배포의 모든 서버가 비동기적으로 평가되어 각각의 전반적인 상태와 함께 나열됩니다. 관리자는 서버 목록을 통해 스크롤할 수 있으며, 뷰를 확장하거나 축소하여 DirectAccess 및 VPN 서버 구성 요소를 표시할 수 있습니다.

아래 서버 작동 상태 창에 상태 모니터가 표시된 원격 액세스 구성 요소가 나와 있습니다.

  • 6to4

  • DNS

  • DNS64

  • 도메인 컨트롤러

  • IP-HTTPS

  • IPsec

  • ISATAP

  • Kerberos

  • 관리 서버

  • NAT64

  • 네트워크 어댑터

  • 네트워크 위치 서버

  • 네트워크 보안(IPsec DoSP)

  • 서비스

  • Teredo

  • 부하 분산

  • VPN 주소 지정

  • VPN 연결

RRAS와 DirectAccess 모두 원격 액세스 연결 오류 문제를 해결하는 일은 현재 로깅 기능이 제한적으로 제공되어 매우 복잡합니다. 이벤트 뷰어 로그는 그다지 유용하거나 직관적이지 않아서 일반적으로 관리자는 문제를 해결할 때 네트워크 모니터의 캡처와 RRAS 추적 기능이 필요합니다.

Windows Server 2012에서는 원격 액세스 문제를 해결하기 위해 다음과 같이 향상된 진단 기능을 제공합니다.

  • DirectAccess에 대한 자세한 이벤트 로깅

    관리자는 향상된 이벤트 로깅을 사용하여 문제를 파악하고 용량 및 성능 분석을 수행할 수 있습니다. 이벤트 로그는 다른 네트워킹 구성 요소에 대해서도 일관된 환경을 제공할 수 있도록 표준화되어 있습니다.

  • 추적 및 패킷 캡처

    관리자는 통합된 추적 기능을 통해 단 한 번의 클릭으로 추적 로그와 네트워크 패킷 캡처를 손쉽게 수집할 수 있습니다. 패킷 캡처와 로그 상관 관계에 대한 추적은 모두 관리자가 작업 창에서 추적 시작 작업을 클릭하면 단일 프로세스의 일부로 수행됩니다.

  • 로그 상관 관계

    이 기능은 Windows의 통합 추적 기능을 활용하여 단 한 번의 클릭으로 다른 DirectAccess 구성 요소의 로그를 자동으로 수집하고 상관 관계를 제공합니다. 다른 구성 요소에서 수집된 이벤트는 작업 ID의 상관 관계를 통해 단일 파일로 통합됩니다. 작업 ID는 특정 작업이나 동작을 식별하는 GUID입니다. 구성 요소는 이벤트를 기록할 때 작업 ID를 이벤트와 연결합니다. 그런 다음 이 ID 또는 시나리오의 다음 작업을 수행하는 구성 요소의 ID로 매핑된 전송 이벤트를 전달하는데, 여기에서 작업 ID를 로그 이벤트와 연결합니다. 이렇게 만들어진 추적 파일을 분석하여 시나리오와 관련된 다양한 구성 요소 간의 관계를 재구성할 수 있습니다.

  • 로그 사용/보기

    추적은 모니터링 대시보드의 작업 창이나 명령줄(여기에서도 로깅 수준, 키워드 및 필터 조정 가능)에서 사용하도록 설정할 수 있습니다. 그 결과로 만들어진 통합 추적 ETL 파일은 네트워크 모니터를 사용하여 읽고 볼 수 있습니다.

Windows Server 2012 원격 액세스 서버는 기존 RADIUS 서버 배포나 WID(Windows 내부 데이터베이스)를 계정용으로 사용할 수 있습니다. 부하 및 서버 상태에 대한 정보와 기록 데이터는 시스템 성능 모니터 카운터를 통해 제공되며 WID 계정 저장소에 저장됩니다. 원격 액세스 서버에서 연결이 수신되거나 끊어질 때마다 모든 원격 사용자 통계(액세스한 끝점 포함)가 하나의 세션으로 계정 저장소에 저장됩니다. 이렇게 만들어진 세션 세부 정보는 나중에 보고 및 감사용으로 액세스할 수 있습니다.

원격 액세스 서버 역할에 제공된 계정 및 보고 기능에는 특정 메트릭을 측정하는 기능이 포함되어 있습니다. 사용 가능한 메트릭에는 특정 DirectAccess 서버에 연결된 사용자 수 및 총 전송 바이트 수가 포함됩니다. 관리자는 트래픽 및 사용 패턴(이러한 패턴의 기록 포함)을 파악할 수 있는 사용자 지정 보고서를 만들 수 있습니다.

관리자는 DirectAccess 및 RRAS 보고 기능을 사용하여 원격 사용자 통계, 서버 가용성 및 부하 등 다양한 통계로 구성된 사용 현황 보고서를 풍부하게 생성할 수 있습니다. 받은 편지함 계정 저장소는 사용 현황 보고서를 생성하는 데 이용됩니다. 로컬 WID 데이터베이스에 대한 받은 편지함 계정을 사용하도록 설정되어 있어야 사용 현황 보고서를 생성할 수 있습니다. NPS/RADIUS 계정은 보고서 생성에 사용할 수 없습니다.

사용 현황 보고서에는 원격 연결된 사용자, 이들이 액세스한 리소스, 총 고유 사용자 수 및 생성된 최대 서버 부하를 비롯한 사용 현황이 표시됩니다. 관리자는 데이터를 생성할 특정 기간을 선택할 수 있습니다.

교차 사업장 연결은 서비스 호스팅 공급자가 자신의 응용 프로그램과 인프라를 클라우드에 마이그레이션할 수 있는 네트워크 연결 기능을 제공하는 Windows Server 2012 기능입니다. 이 기능에는 사이트 간 IKEv2(Internet Key Exchange version 2) 터널 모드 VPN 연결 솔루션과 관리 인터페이스가 포함되어 있습니다. Windows Server 2008 R2에는 VPN 연결용으로 쓰이는 RRAS의 IKEv2 지원 기능이 도입되었습니다. IKEv2 VPN은 VPN 클라이언트가 한 네트워크에서 다른 네트워크로 이동할 때 또는 무선 연결에서 유선 연결로 전환할 때 VPN 클라이언트에 복원 기능을 제공합니다. IKEv2와 IPsec을 사용하여 인증 및 암호화 방법을 강화할 수 있습니다. Windows Server 2012 RRAS에서는 사이트 간 VPN 연결에 IKEv2를 사용할 수 있는 향상된 추가 기능을 제공합니다.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

표시:
© 2014 Microsoft