내보내기(0) 인쇄
모두 확장

Windows Server 2012 Essentials에서 DirectAccess 구성

게시: 2012년 7월

업데이트 날짜: 2012년 10월

적용 대상: Windows Server 2012 Essentials

DirectAccess는 VPN(가상 사설망)을 연결하지 않고도 인터넷 장치가 있는 원격 위치에서 조직의 네트워크에 원활하게 연결할 수 있도록 해주는 Windows Server 2012 Essentials의 기능입니다. DirectAccess는 사무실 내부와 외부에서 동일한 연결 환경을 제공하여 모바일 인력의 생산성을 향상시킵니다. 이 항목에서는 Windows Server 2012 Essentials에서 DirectAccess를 구성하는 방법에 대한 단계별 지침을 제공합니다.

note참고
이 문서는 Windows Server 2012 Essentials에서 Windows 8 클라이언트 컴퓨터에 대해 DirectAccess를 구성하는 데에만 적용됩니다. Windows Server 2012 Essentials에서 Windows 7 클라이언트 컴퓨터에 대해 DirectAccess를 구성하는 단계별 지침은 이후에 이 문서에 추가될 예정입니다.

Windows Server 2012 Essentials에서 DirectAccess를 구성하려면 원격 액세스 설정 마법사를 사용하여 VPN(가상 사설망)을 사용하도록 설정한 후 다음 단계를 완료해야 합니다.

  1. 서버에서 화면 왼쪽 아래에 있는 서버 관리자 아이콘을 클릭합니다.

  2. 사용자 계정 컨트롤 경고 메시지가 표시되는 경우 를 클릭합니다.

  3. 서버 관리자 대시보드에서 관리, 역할 및 기능 추가를 차례로 클릭합니다.

  4. 역할 및 기능 추가 마법사에서 다음을 수행합니다.

    1. 설치 유형 페이지에서 역할 기반 또는 기능 기반 설치를 클릭합니다.

    2. 대상 서버 선택 페이지에서 서버 풀에서 서버 선택을 클릭합니다.

    3. 기능 페이지에서 원격 서버 관리 도구(설치됨), 원격 액세스 관리 도구(설치됨)를 차례로 확장한 다음 원격 액세스 GUI 및 명령줄 도구를 선택합니다.

    4. 지시에 따라 마법사를 완료합니다.

note참고
원격 액세스 설정 마법사를 사용하여 가상 사설망을 사용하도록 설정하지 않은 경우 원격 액세스를 선택하여 역할 및 기능 추가 마법사에서 역할을 추가해야 합니다.

DirectAccess에는 고정 IP 주소를 사용하는 어댑터가 필요합니다. 서버에서 로컬 네트워크 어댑터의 IP 주소를 변경해야 합니다.

  1. 서버에서 시작을 클릭한 다음 시작 창에서 제어판을 클릭합니다.

  2. 네트워크 및 인터넷을 클릭한 다음 네트워크 상태 및 작업 보기를 클릭합니다.

  3. 네트워크 및 공유 센터의 작업창에서 어댑터 설정 변경을 클릭합니다.

  4. 로컬 네트워크 어댑터를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  5. 네트워킹 탭에서 TCP/IPv4(인터넷 프로토콜 버전 4)를 클릭한 다음 속성을 클릭합니다.

  6. 일반 탭에서 다음 IP 주소 사용을 클릭한 다음 사용할 IP 주소를 입력합니다.

    서브넷 마스크의 기본값이 서브넷 마스크 상자에 자동으로 표시됩니다. 기본값을 그대로 사용하거나 사용할 서브넷 마스크 값을 입력합니다.

  7. 기본 게이트웨이 상자에 기본 게이트웨이의 IP 주소를 입력합니다.

  8. 기본 설정 DNS 서버 상자에 DNS 서버의 IP 주소를 입력합니다.

    note참고
    루프백 네트워크(예: 127.0.0.1) 대신 DHCP(예, 192.168.X.X)에 의해 어댑터에 할당된 IP 주소를 사용합니다.

  9. 대체 DNS 서버 상자에 대체 DNS 서버(있는 경우)의 IP 주소를 입력합니다.

  10. 확인을 클릭한 다음 닫기를 클릭합니다.

Important중요
서버의 새 고정 IP 주소로 포트 80 및 443을 전달하도록 라우터를 구성해야 합니다.

이 섹션에서는 다음 작업에 대한 단계별 지침을 제공합니다.

  • 인증 기관에서 인증된 사용자에게 웹 서버의 인증서 템플릿에 대한 모든 권한 부여

  • 외부 네트워크에서 확인할 수 없는 일반 이름의 네트워크 위치 서버에 대한 인증서 등록

  • DNS 서버에 새 호스트를 추가하여 Windows Server 2012 Essentials 서버 주소에 매핑

  1. 서버에서 검색을 클릭합니다. 검색 상자에 Certification Authority을 입력한 다음 결과 창에서 인증 기관을 클릭합니다.

  2. 인증 기관(로컬) 콘솔에서 <서버 이름>-CA를 확장하고 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 관리를 클릭합니다.

  3. 인증 기관(로컬) 콘솔에서 웹 서버를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  4. <서버 이름>-CA 속성 상자의 보안 탭에서 인증된 사용자를 클릭하고 모든 권한을 선택한 다음 확인을 클릭합니다.

  1. 서버에서 검색을 클릭한 다음 검색 상자에 mmc를 입력합니다.

  2. 사용자 계정 컨트롤 경고 메시지가 표시되는 경우 를 클릭합니다.

  3. MMC(Microsoft Management Console)가 표시됩니다.

  4. 파일 메뉴에서 스냅인 추가/제거를 클릭하고 인증서를 클릭한 다음 추가를 클릭합니다.

  5. 인증서 스냅인 페이지에서 컴퓨터 계정을 클릭하고 다음을 클릭합니다.

  6. 컴퓨터 선택 페이지에서 로컬 컴퓨터를 클릭하고 마침을 클릭한 다음 확인을 클릭합니다.

  7. 인증서 콘솔의 세부 정보 창에서 개인을 클릭하고 인증서를 마우스 오른쪽 단추로 클릭한 다음 모든 작업에서 새 인증서 요청을 클릭합니다. 인증서 등록 마법사가 나타납니다. 다음을 클릭합니다.

  8. 등록 정책 선택 페이지에서 다음을 클릭합니다.

  9. 인증서 요청 페이지에서 웹 서버를 클릭한 다음 이 인증서를 등록하려면 추가 정보가 필요합니다를 클릭합니다.

  10. 인증서 속성 상자의 주체 이름: 드롭다운 메뉴에서 일반 이름을 클릭합니다. 에 네트워크 위치 서버의 이름(예: DirectAccess-NLS.contoso.local)을 입력하고 추가를 클릭합니다.

  11. 다음을 클릭하고 마침을 클릭합니다.

  1. DNS 관리자를 열고 도메인 접미사가 포함된 정방향 조회 영역을 마우스 오른쪽 단추로 클릭한 다음 새 호스트(A 또는 AAAA)...를 클릭합니다.

  2. 서버의 이름과 IP 주소(예: DirectAccess-NLS.contoso.local) 및 해당 서버 주소(예: 192.168.x.x)를 입력합니다.

  3. 호스트 추가를 클릭하고 완료를 클릭합니다.

Windows Server 2012 Essentials에서 DirectAccess를 설정하고 구성하려면 다음을 수행해야 합니다.

이 섹션에서는 Windows Server 2012 Essentials에서 DirectAccess를 사용하도록 설정하는 방법에 대한 단계별 지침을 제공합니다.

  1. 서버에서 검색을 클릭합니다. 검색 상자에 Remote Access Management를 입력한 다음 결과 섹션에서 원격 액세스 관리를 클릭합니다.

  2. 원격 액세스 관리 콘솔에서 구성을 클릭한 다음 원격 액세스 설정 창에서 DirectAccess 사용을 클릭합니다. DirectAccess 사용 마법사가 나타납니다.

    note참고
    서버 대시보드에서 VPN을 사용하도록 설정하지 않은 경우 DirectAccess를 사용하려면 원격 액세스 관리 콘솔에서 구성을 클릭한 다음 원격 액세스 설정 가운데 창의 1단계에서 편집을 클릭합니다.

  3. DirectAccess 사용 마법사에서 다음을 수행합니다.

    1. DirectAccess 필수 구성 요소에서 다음을 클릭합니다.

    2. 그룹 선택 탭에서 DirectAccess 클라이언트에 대한 보안 그룹을 추가합니다.

      note참고
      도메인 컴퓨터를 선택하여 보안 그룹에 모든 도메인 컴퓨터를 추가하거나, 조직의 원격 컴퓨터에 대해 만든 보안 그룹을 사용할 수 있습니다.

    3. 그룹 선택 탭에서 DirectAccess를 사용하여 서버에 원격으로 액세스하려는 경우 이동 컴퓨터에만 DirectAccess 사용을 클릭하고 다음을 클릭합니다.

    4. 네트워크 토폴로지에서 서버의 토폴로지를 선택하고 다음을 클릭 합니다.

    5. DNS 접미사 검색 목록에서 필요한 경우 클라이언트 컴퓨터의 추가 DNS 접미사를 추가하고 다음을 클릭 합니다.

      note참고
      기본적으로 DirectAccess 마법사에서 이미 현재 도메인의 DNS 접미사를 추가합니다. 그러나 필요한 경우 DNS 접미사를 더 추가할 수 있습니다.

    6. 적용되는 GPO(그룹 정책 개체)를 검토하고 필요한 경우 수정합니다.

    7. 다음을 클릭하고 마침을 클릭합니다.

관리자 권한으로 Windows PowerShell을 열고 다음 명령을 실행합니다.

Restart-Service RaMgmtSvc
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}
Remove-GPRegistryValue -Name “DirectAccess Server Settings” -Key $key.Name -ValueName IPv6RrasPrefix
gpupdate

이 섹션에서는 네트워크 위치 서버 설정을 구성하는 단계별 지침을 제공합니다.

note참고
시작하기 전에 $env:SystemDrive\inetpub\wwwroot 폴더의 모든 내용을 $env:SystemDrive \Program Files\Windows Server\Bin\WebApps\Site\insideoutside 폴더에 복사합니다. 또한 $env:SystemDrive\Program Files\Windows Server\Bin\WebApps\Site\default.aspx 폴더의 내용을 $env:SystemDrive \Program Files\Windows Server\Bin\WebApps\Site\insideoutside 폴더에 복사합니다.

  1. 원격 액세스 관리 콘솔에서 구성을 클릭한 다음 원격 액세스 설정 세부 정보 창의 3단계에서 편집을 클릭합니다.

  2. 원격 액세스 서버 설정 마법사의 네트워크 위치 서버 탭에서 원격 액세스 서버에 네트워크 위치 서버 배포를 선택하고 이전에 3단계: 네트워크 위치 서버에 대한 인증서 및 DNS 레코드 준비 단계에서 발급한 인증서를 선택합니다.

  3. 지시에 따라 마법사를 완료하고 마침을 클릭합니다.

  1. 서버에서 검색을 클릭합니다. 검색 상자에 regedit를 입력하고 결과 창에서 regedit를 클릭합니다.

  2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters를 확장합니다. 탐색 창에서 컴퓨터, HKEY_LOCAL_MACHINE, System, CurrentControlSet, Services, IKEEXT, Parameters를 차례로 확장합니다. Parameters를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 DWORD(32비트) 값을 선택합니다.

  3. 새로 추가한 값의 이름을 ikeflags로 바꿉니다. ikeflags를 두 번 클릭하고 해당 값 데이터를 8000으로 설정한 다음 유형16진수로 설정하고 확인을 클릭합니다.

이 섹션에서는 DirectAccess 클라이언트 GPO의 내부 주소에 대한 NPRT(이름 확인 정책 테이블) 항목을 편집한 다음 IPHTTPS 인터페이스 주소를 설정하는 방법에 대한 지침을 제공합니다.

  1. 서버에서 검색을 클릭합니다. 검색 상자에 Group Policy Management를 입력한 다음 결과 섹션에서 그룹 정책 관리를 클릭합니다.

  2. 그룹 정책 관리 콘솔에서 기본 포리스트 및 도메인을 클릭하고 DirectAccess 클라이언트 설정을 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.

  3. 컴퓨터 구성, 정책, Windows 설정, 이름 확인 정책을 차례로 클릭합니다. 네임스페이스가 DNS 접미사와 동일한 항목을 선택하고 규칙 편집을 클릭합니다.

  4. DirectAccess에 대한 DNS 설정 탭을 클릭하고 이 규칙에서 DirectAccess에 대한 DNS 설정 사용을 선택합니다. DNS 서버 목록에 IP-HTTPS 인터페이스의 IPv6 주소를 추가합니다.

    note참고
    다음 Windows PowerShell 명령을 사용하여 IPv6 주소를 가져올 수 있습니다. Get-NetIPAddress -InterfaceAlias IPHTTPSInterface | Get-NetIPAddress -PrefixLength 128)[1].IPAddress

이 섹션에서는 DirectAccess 서버 GPO에 대한 TCP 및 UDP 방화벽 규칙을 구성하는 단계별 지침을 제공합니다.

  1. 서버에서 검색을 클릭합니다. 검색 상자에 Group Policy Management를 입력한 다음 결과 섹션에서 그룹 정책 관리를 클릭합니다.

  2. 그룹 정책 관리 콘솔에서 기본 포리스트 및 도메인을 클릭하고 DirectAccess 서버 설정을 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.

  3. 컴퓨터 구성, 정책, Windows 설정, 보안 설정, 고급 보안이 포함된 Windows 방화벽, 인바운드 규칙을 차례로 클릭합니다. 도메인 이름 서버(TCP-In)를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  4. 범위 탭을 클릭하고 로컬 IP 주소 목록에서 IP-HTTPS 인터페이스의 IPv6 주소를 추가합니다.

  5. 도메인 이름 서버(UDP-In)에 대해 동일한 절차를 반복합니다.

다음 Windows PowerShell 명령을 사용하여 IP-HTTPS 인터페이스를 수신 대기하도록 DNS64 구성을 변경해야 합니다.

Set-NetDnsTransitionConfiguration –AcceptInterface IPHTTPSInterface

다음 PowerShell 명령에서 "192.168.1.100"을 Windows Server 2012 Essentials 서버의 실제 IPv4 주소로 바꿉니다.

Set-NetNatTransitionConfiguration –IPv4AddressPortPool @("192.168.1.100, 10000-47000")

포트 범위에서 다른 응용 프로그램과 충돌하는 경우 추가 포트를 제외할 수 있습니다. 예를 들어 다음 명령은 예약된 포트 범위에서 포트 46500을 제외합니다.

Set-NetNatTransitionConfiguration –IPv4AddressPortPool @("192.168.1.100, 10000-46499","192.168.1.100, 46499-47000" )

다음 Windows PowerShell 명령을 사용하여 Windows NAT 드라이버(winnat) 서비스를 시작해야 합니다.

Restart-Service winnat

이 섹션에서는 Windows PowerShell을 사용하여 DirectAccess를 설정 및 구성하는 방법에 대해 설명합니다.

DirectAccess에 대해 서버를 구성하기 전에 다음을 완료해야 합니다.

  1. 3단계: 네트워크 위치 서버에 대한 인증서 및 DNS 레코드 준비에 설명된 절차에 따라 DirectAccess-NLS.contoso.com(여기서 contoso.com은 실제 내부 도메인 이름으로 대체됨)이라는 인증서를 등록하고 NLS(네트워크 위치 서버)에 대한 DNS 레코드를 추가합니다.

  2. Active Directory에 DirectAccessClients라는 보안 그룹을 추가한 다음 DirectAccess 기능을 제공할 클라이언트 컴퓨터를 추가합니다.

#Add Remote Access role if not installed yet
$ra = Get-WindowsFeature RemoteAccess
If ($ra.Installed -eq $FALSE) { Add-WindowsFeature RemoteAccess }

#Server may need to restart if you installed RemoteAccess role in the above step



#Set the internet domain name to access server, replace contoso.com below with your own domain name
$InternetDomain = "www.contoso.com"
#Set the SG name which you create for DA clients
$DaSecurityGroup = "DirectAccessClients"
#Set the internal domain name
$InternalDomain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().Name

#Set static IP and DNS settings
$NetConfig = Get-WmiObject Win32_NetworkAdapterConfiguration -Filter "IPEnabled=$true"
$CurrentIP = $NetConfig.IPAddress[0]
$SubnetMask = $NetConfig.IPSubnet | Where-Object{$_ -like "*.*.*.*"}
$NetConfig.EnableStatic($CurrentIP, $SubnetMask)
$NetConfig.SetGateways($NetConfig.DefaultIPGateway)
$NetConfig.SetDNSServerSearchOrder($CurrentIP)

#Get physical adapter name and the certificate for NLS server
$Adapter = (Get-WmiObject -Class Win32_NetworkAdapter -Filter "NetEnabled=$true").NetConnectionId
$Certs = dir cert:\LocalMachine\My
$nlscert = $certs | Where-Object{$_.Subject -like "*CN=DirectAccess-NLS*"}

#Add regkey to bypass CA cert for IPsec authentication
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000

#Install DirectAccess. 
Install-RemoteAccess -NoPrerequisite  -DAInstallType FullInstall  -InternetInterface $Adapter  -InternalInterface $Adapter -ConnectToAddress $InternetDomain -nlscertificate $nlscert -force

#Restart Remote Access Management service
Restart-Service RaMgmtSvc

#Remove the unnecessary IPv6 prefix GPO
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}
Remove-GPRegistryValue -Name "DirectAccess Server Settings" -Key $key.Name -ValueName IPv6RrasPrefix
gpupdate

#Set the appropriate security group used for DA client computers. Replace the group name below with the one you created for DA clients
Add-DAClient -SecurityGroupNameList $DaSecurityGroup 
Remove-DAClient -SecurityGroupNameList "Domain Computers"
Set-DAClient -OnlyRemoteComputers Disabled

#Gather DNS64 IP address information
$Remoteaccess = get-remoteaccess
$IPinterface = get-netipinterface -InterfaceAlias IPHTTPSInterface | get-netipaddress -PrefixLength 128
$DNS64IP=$IPInterface[1].IPaddress
$Natconfig = Get-NetNatTransitionConfiguration

# Configure TCP and UDP firewall rules for the DirectAccess server GPO
$GpoName = 'GPO:'+$InternalDomain+'\DirectAccess Server Settings'
Get-NetFirewallRule -PolicyStore $GpoName -Displayname "Domain Name Server (TCP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP
Get-NetFirewallrule -PolicyStore $GpoName -Displayname "Domain Name Server (UDP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP

# Configure the name resolution policy settings for the DirectAccess server, replace the DNS suffix below with the one in your domain
$Suffix = '.' + $InternalDomain
set-daclientdnsconfiguration -DNSsuffix $Suffix -DNSIPAddress $DNS64IP

# Change the DNS64 configuration to listen to IP-HTTPS interface
Set-NetDnsTransitionConfiguration -AcceptInterface IPHTTPSInterface

# Copy the necessary files to NLS site folder
XCOPY 'C:\inetpub\wwwroot' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /E
XCOPY 'C:\Program Files\Windows Server\Bin\WebApps\Site\Default.aspx' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside'

# Reserve port for NAT64

Set-NetNatTransitionConfiguration –IPv4AddressPortPool @("$CurrentIP, 10000-47000")

Restart-Service winnat

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
표시:
© 2014 Microsoft