• 아티클

ISA Server

ISA Server 2006으로 TS 게이트웨이 보안 향상

Dr. Thomas W. Shinder, Yuri Diogenes

 

한 눈에 보기:

  • ISA Server와 TS 게이트웨이를 사용하는 두 가지 시나리오
  • ISA Server 2006 구성
  • 테스트와 모니터링

목차

경계를 넘어
첫 번째 시나리오
ISA Server 2006 구성
클라이언트 액세스 테스트 및 모니터링
ISA Server에서 모니터링
두 번째 시나리오
클라이언트에 필요한 작업
결론

Exchange Server 2007에 포함된 “외부에서 Outlook 사용” 기능이 성공하면서 Windows Server 2008도 어디서든지 안전하고 제어 가능한 방법으로 데스크톱에 액세스하는 기능을 제공하고 있습니다.

Windows Server® 2008의 새로운 터미널 서버 게이트웨이(TS 게이트웨이) 서비스는 Windows® 터미널 서버 서비스의 유연성과 함께 HTTP 연결을 통해 어디에서든 터미널 서버에 연결할 수 있는 기능을 제공합니다. 이 서비스는 터미널 서비스 리소스에 액세스하기 위한 단일 클라이언트 인터페이스를 제공하면서도 보안을 향상시키기 위해 HTTPS(SSL)를 통한 RDP(원격 데스크톱 프로토콜)를 사용합니다.

이 새로운 TS 게이트웨이 서비스는 자신의 컴퓨터를 원격으로 액세스해야 하는 사용자에게 상당한 장점을 제공합니다.

  • RDP를 사용하여 내부 리소스에 연결하기 전에 VPN(가상 사설망) 세션을 설정할 필요가 없습니다.
  • RDP 연결을 제어하기 위한 NAP(네트워크 액세스 보호) 및 Windows 보안 상태 검사를 사용하여 보안을 향상시킵니다.
  • 방화벽을 통해 더 안전하게 웹 게시를 수행하기 위해 TCP 포트 3389 인바운드를 열 필요가 없습니다.

Microsoft® Internet Security and Acceleration (ISA) Server 2006을 사용하여 TS 게이트웨이 서비스의 보안을 향상시키고 내부 리소스에 대한 외부 액세스를 허용할 수 있습니다. 역시 HTTPS를 사용하여 ISA Server 2006이 요청을 수신하고 이를 내부 TS 게이트웨이 서비스로 전달하는 SSL-to-SSL 브리징 시나리오를 구성할 수 있습니다. 요청을 브리징할 때 ISA 방화벽이 SSL 통신의 암호를 해제하고 응용 프로그램 계층 검사를 수행합니다.

HTTP 프로토콜 스트림이 검사를 통과하면 통신을 다시 암호화하여 터미널 서비스 프록시로 전달합니다. 프로토콜 스트림이 검사를 통과하지 못하면 연결이 삭제됩니다.

경계를 넘어

Microsoft는 보안에 상당히 많은 노력을 기울였으며 Windows Server 2008은 가장 안전하고 강력한 Windows 버전입니다. 그러나 사용자가 제품을 구현하는 방법이나 자신의 환경을 안전하게 유지하기 위한 모범 사례를 따르는지에 대한 우려는 여전히 남아 있습니다. 모범 사례는 여러 액세스 지점이나 계층을 보호하는 심층적인 방어 방법을 요구합니다. 여기에서 설명하는 내용과 연관된 계층은 정책, 절차 및 인식, 경계, 내부 네트워크, 그리고 호스트입니다.

ISA Server 서버를 통해 외부 사용자가 내부 리소스에 액세스할 수 있도록 허용할 때는 연관된 각 제품의 경계를 이해해야 합니다. 경계 계층에 대한 보안은 ISA Server 2006과 TS 게이트웨이가 제공하지만 내부 리소스에 대해서는 필요에 따라 액세스를 허용하거나 거부할 정책을 마련해야 합니다. 이를 위해 정책, 절차 및 인식 계층에서 작동하는 NPAS(네트워크 정책 및 액세스 서비스)를 사용할 수 있습니다. 내부 리소스(드라이브, 클립보드, 프린터 등)에 대한 액세스는 내부 네트워크 계층을 처리하는 터미널 서비스 리소스 권한 부여 정책에 의해 정의됩니다.

이 기사에서는 먼저 ISA Server 2006을 통해 터미널 서비스 게이트웨이를 게시하는 방법을 알아보겠습니다. 그런 다음 NAP를 사용하여 클라이언트 상태 적용을 포함하도록 ISA Server 2006 게시 시나리오를 확장할 것입니다. NAP를 사용하면 클라이언트 상태 정책을 만들어 호스트 계층에서의 액세스를 제어하는 데 도움이 됩니다.

첫 번째 시나리오

우리의 목표는 ISA Server 2006을 통해 TS 게이트웨이를 게시하는 방법을 확인하는 것입니다. 그림 1에는 연결 중 컴퓨터와 데이터 흐름이 요약되어 있습니다. 이 시나리오에서는 TS 게이트웨이 자체에 NPS(네트워크 정책 서버) 역할을 구현했지만 중앙 NPS 서버를 사용하는 두 번째 시나리오에서는 다른 방법을 사용할 것입니다. TS 게이트웨이 게시 솔루션의 구성 요소 간에 통신이 작동하는 방법을 이해할 수 있도록 다음의 순서를 따라해 보십시오.

fig01.gif

그림 1 ISA Server 2006을 통해 TS 게이트웨이 게시 (더 크게 보려면 이미지를 클릭하십시오.)

  1. 외부 RDP 사용자가 연결을 시작합니다. 클라이언트가 가장 먼저 할 일은 TS 게이트웨이의 외부 이름(이 경우에는 tsg.contoso.com)을 확인하는 것입니다. 외부 DNS가 ISA Server의 외부 IP 주소를 가리키는 이 이름을 확인합니다.
  2. RDP 클라이언트와 ISA Server의 외부 인터페이스 사이에 SSL 터널이 설정됩니다. ISA Server의 TCP 포트 443에는 tsg.contoso.com에 발급된 인증서를 사용하는 웹 게시 규칙이 있습니다.
  3. 규칙을 평가하고 트래픽이 허용되는지 검사한 다음 ISA Server는 도메인 컨트롤러에 위치한 내부 DNS 서버로 웹 게시 규칙에 지정된 서버의 이름을 확인하는 DNS 쿼리를 전송합니다.
  4. ISA Server는 TS 게이트웨이에 대한 SSL 터널을 열고 여기로 인증 요청을 전달합니다.
  5. TS 게이트웨이 서버는 사용자 자격 증명의 유효성을 검사하고 사용자가 연결할 권한이 있는지 확인합니다.
  6. 사용자가 연결할 권한이 있는지 확인한 다음 TS 게이트웨이 서비스는 TCP 포트 443에서 요청을 수신하고 TCP 포트 3389(기본 설정)를 통해 응용 프로그램(예: CRM 응용 프로그램)이 있는 내부 터미널 서버로 RDP 패킷을 전달합니다.

지금부터 RDP 클라이언트가 ISA Server를 통해 TS 게이트웨이 서비스로 전송하는 모든 패킷은 내부 터미널 서버로 전달되며 반대의 경우에는 반대 방향으로 전달됩니다.

내부적으로 사용되는 RDP over HTTPS는 단지 RDP/RPC/HTTPS입니다. RDP 클라이언트는 RPC 헤더로 RDP 통신을 캡슐화하며, RPC 헤더는 SSL(또는 Transport Level Security, TLS)을 통해 보안이 적용되는 HTTP 헤더를 사용하여 캡슐화됩니다. RPC over HTTPS 솔루션에 필요한 모든 구성 요소가 있어야 합니다. 이것이 TS 게이트웨이 역할 서비스를 설치할 때 RPC over HTTP 프록시가 자동으로 설치되는 이유입니다. 이 프로토콜이 작동하는 방법에 대한 자세한 내용을 보려면 ISA Server 팀 블로그(blogs.technet.com/isablog)에서 "Testing RPC over HTTP through ISA Server 2006 Part 1; Protocols, Authentication and Processing(ISA Server 2006을 통해 RPC over HTTP 테스트 1부; 프로토콜, 인증 및 처리)"이라는 포스트를 읽어 보십시오.

이 구현에는 터미널 서버 게이트웨이가 설치된 Windows Server 2008이 필요하며 이 기능은 RPC over the HTTP 프록시를 사용합니다. RDP over RPC over HTTP 프록시 기능은 IIS(인터넷 정보 서비스) 7.0이 설치되어 있어야 작동합니다. NPAS(네트워크 정책 및 액세스 서비스)도 필요하지만 원하는 경우에는 TS 게이트웨이가 이전에는 IAS(인터넷 인증 서비스)라고 했던 NPS 서버를 사용하도록 구성하여 저장소, 관리 및 TS CAP(터미널 서비스 연결 권한 부여 정책) 유효성 검사를 중앙 집중화할 수 있습니다. 참고로, 아직 없는 경우에는 TS 게이트웨이 서버용 SSL 인증서를 준비해야 합니다. ISA Server 2006이 인증서를 발급한 CA(인증 기관)를 신뢰해야 한다는 것도 중요합니다. 따라서 인증서를 신뢰할 수 있는 루트 인증 기관 저장소로 가져와야 합니다.

TS 게이트웨이 서버로 연결하기 위해 사용자가 Active Directory 보안 그룹의 구성원이어야 하도록 TS 게이트웨이 권한 부여 정책을 구성하는 경우에는 Active Directory® 도메인 서비스만 있으면 됩니다. 이 특정 구성에서는 Windows Server 2003 SP2를 실행하는 컴퓨터의 Active Directory를 사용하겠습니다.

터미널 서비스 게이트웨이 서비스 설치를 완료하면 설치된 구성 요소를 보여 주는 그림 2와 같은 화면이 표시됩니다. TS 게이트웨이를 연결하려면 클라이언트가 Windows Vista®, Windows XP SP2 및 RDP 6.0 이상, Windows Server 2008, Windows Server 2003 SP1 이상 및 RDP 6.0 이상 중 하나를 실행해야 합니다. TS 게이트웨이 구성에 대한 자세한 내용은 go.microsoft.com/fwlink/?LinkId=122251에 있는 Windows Server 2008 TS 게이트웨이 서버 단계별 설치 가이드를 참조하십시오. 다음은 ISA Server 2006을 구성하는 방법을 살펴보겠습니다.

fig02.gif

그림 2 TS 게이트웨이 설치 요약 (더 크게 보려면 이미지를 클릭하십시오.)

ISA Server 2006 구성

첫 번째 단계는 외부 RDP 클라이언트로부터의 요청을 처리할 웹 수신기를 만드는 것입니다. 여기에서 사용할 웹 수신기는 다음과 같은 매개 변수를 가집니다.

  • 인증: 기본
  • 인증 유효성 검사: Windows(Active Directory)
  • 연결: 포트 443에서 SSL(HTTPS) 연결 설정
  • 인증서: tsg.contoso.com으로 인증서 발행
  • 네트워크: 외부

다음은 웹 게시 규칙을 만들어야 합니다. ISA Server 2006 관점에서 RDP 클라이언트는 외부에서 Outlook® 사용 기능과 동일한 프로토콜을 사용하므로 Exchange Server 2007 마법사를 선택하고 다음 단계를 따릅니다.

  1. 방화벽 정책을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 다음 Exchange 웹 클라이언트 액세스 게시 규칙을 클릭합니다.
  2. 새 웹 게시 규칙 생성 마법사 시작 페이지에서 규칙의 이름을 입력하고 다음을 클릭합니다.
  3. 규칙 동작 선택 페이지에서 허용 옵션을 선택하고 다음을 클릭합니다.
  4. 새 Exchange 게시 규칙 페이지에서 Exchange 버전(이 경우에는 Exchange Server 2007)을 선택합니다. 외부에서 Outlook 사용(RPC/HTTP(s))을 선택하고 다음을 클릭합니다. 참고: Exchange Server for Outlook 2007 클라이언트에 추가 폴더 게시 옵션은 선택하지 마십시오.
  5. 게시 유형 페이지에서 단일 웹 사이트 또는 부하 분산 장치 게시 옵션을 선택하고 다음을 클릭합니다.
  6. 서버 연결 보안 페이지에서 SSL을 사용하여 게시된 웹 서버 또는 서버 팜에 연결을 선택하고 다음을 클릭합니다.
  7. 내부 게시 정보 페이지에 있는 내부 사이트 이름 입력란에 TS 게이트웨이 서버의 이름을 입력합니다. 컴퓨터 이름 또는 IP 주소를 사용하여 게시된 서버에 연결 확인란을 선택하고 컴퓨터 이름 또는 IP 주소 입력란에 서버 이름을 입력합니다. TS 게이트웨이 서버의 이름을 모르는 경우에는 찾아보기를 클릭하여 해당 위치로 이동합니다. 이 페이지에서 사용하는 이름은 TS 게이트웨이 웹 사이트에 바인딩되는 웹 사이트 인증서의 일반 이름이나 주체 이름과 일치해야 합니다.
  8. 공개 이름 정보 페이지에 있는 다음에 대한 요청 허용 드롭다운 목록에서 이 도메인 이름(아래에 입력)을 선택하고 공개 이름 입력란에 이 URL에 대해 발행된 인증서의 이름과 일치하는 공개 이름(이 예에서는 tsg.contoso.com)을 입력합니다. 다음을 클릭합니다.
  9. 웹 수신기 선택 페이지에서 드롭다운 목록을 클릭한 다음 이전에 만든 웹 수신기를 선택하고 다음을 클릭합니다.
  10. 인증 위임 페이지에서 위임 안 함 - 클라이언트에서 직접 인증 옵션을 선택하고 다음을 클릭합니다.
  11. 사용자 집합 페이지에서 기본 옵션(모든 사용자)가 선택되어 있는지 확인하고 다음, 마침을 차례로 클릭하고 이를 적용합니다.

규칙을 두 번 클릭하고 경로 탭으로 이동하면 유일한 경로인 /rpc/*를 볼 수 있습니다. 이것은 앞에서 Exchange Server 2007 외부에서 Outlook 사용 설정 마법사를 사용했기 때문입니다.

클라이언트 액세스 테스트 및 모니터링

앞에서 설명한 것처럼 TS 게이트웨이에 연결하려면 RDP 6.0 이상 클라이언트가 필요합니다. RDP 클라이언트 응용 프로그램을 구성하려면, 먼저 이를 시작하고 연결하려는 터미널 서버의 이름을 컴퓨터 입력란에 입력합니다. 옵션 단추, 고급 탭, 설정을 차례로 클릭하고 그림 3과 같이 TS 게이트웨이 서버의 외부 이름을 입력합니다. 이 예에서 이 이름은 들어오는 요청을 수락하기 위한 웹 게시 규칙에서 사용되는 웹 수신기에 바인딩되는 인증서의 이름입니다. 이 예에서는 Windows NT® LAN Manager 인증이 사용되었습니다. 완료되면 확인, 연결을 차례로 클릭합니다. 인증을 수행하라는 메시지가 표시됩니다. 터미널 서버에 액세스할 수 있는 사용자의 자격 증명을 입력하고 확인을 클릭합니다.

fig03.gif

그림 3 RDP 클라이언트 구성 (더 크게 보려면 이미지를 클릭하십시오.)

RDP 6.0 클라이언트(Windows XP 및 Windows Server 2003용)에서는 그림 3과 같은 화면을 표시합니다. 인증을 수행하라는 메시지는 두 번 표시됩니다. 첫 번째 인증은 TS 게이트웨이 컴퓨터를 위한 것이며 두 번째 인증은 액세스하려는 터미널 서버를 위한 것입니다. 이것이 ISA Server 구성 때문이라고 생각할 수 있지만 실제로는 "모든 사용자"에 적용되는 웹 게시 규칙에 의해 ISA 방화벽을 통한 익명 연결이 허용되므로 ISA Server는 인증을 전혀 처리하지 않는다는 점이 중요합니다.

Windows Server 2008과 함께 제공되는 RDP 클라이언트에는 그림 4에 나와 있는 것처럼 원격 컴퓨터에 TS 게이트웨이 자격 증명 사용 옵션이 제공됩니다. 이 옵션을 선택하면 자격 증명을 두 번 입력할 필요가 없으므로 사용 환경이 편리해집니다. 이 Single Sign-On 옵션은 Windows Vista에서도 SP1을 적용한 후에 사용할 수 있습니다.

fig04.gif

그림 4 Windows Server 2008 RDP 클라이언트 (더 크게 보려면 이미지를 클릭하십시오.)

모니터링 옵션을 사용하면 TS 게이트웨이 관리자를 통해 연결을 모니터링할 수 있습니다. TS 게이트웨이 서비스는 또한 승인되지 않은 사용자가 서버로 연결하려고 시도하면 상세 정보를 제공합니다. 그림 5의 이벤트 뷰어에는 권한이 없는 사용자가 TS 게이트웨이를 통해 연결하려는 시도가 나와 있습니다.

fig05.gif

그림 5 TS 게이트웨이 서비스에 기록된 이벤트 (더 크게 보려면 이미지를 클릭하십시오.)

이 이벤트의 경우에는 웹 게시 규칙에서 요청이 ISA Server 컴퓨터에서 시작된 것으로 표시 옵션이 설정되었으므로 ISA Server 2006의 내부 IP 주소가 기록됩니다. 원래 클라이언트 IP 주소를 등록하려면 ISA Server 2006 웹 게시 규칙을 변경하고 대상 탭에서 요청이 원래 클라이언트에서 시작된 것으로 표시 옵션을 선택합니다.

ISA Server에서 모니터링

ISA Server 2006 Supportability Update의 새로운 기능을 사용하면 내부 네트워크에 대한 각 연결을 세부적으로 조사하고 살펴볼 수 있습니다. 그림 6에는 연결 중 하나가 강조 표시되어 있으며 Request: 줄의 RPC_IN_DATA 동사는 RPC over HTTP 프록시에 대한 URL임을 나타냅니다.

fig06.gif

그림 6 Supportability 업데이트를 사용한 ISA Server 2006 로깅 (더 크게 보려면 이미지를 클릭하십시오.)

로깅을 계속 살펴보면 다른 RPC over HTTP 동사인 RPC_OUT_DATA를 볼 수 있습니다. HTTP 방식은 RDP/HTTP의 경우 RPC_IN_DATA 및 RPC_OUT_DATA이며 어떤 HTTP 방식이 사용되는지 인식하는 것이 중요합니다. 이러한 방식을 차단하기 위해 HTTP 필터링을 구성했다면 ISA Server에서 해당 트래픽이 차단됩니다. 사용자의 환경을 잠그려는 경우에는 이러한 두 방식만 허용하도록 RDP/HTTP 웹 게시 규칙을 구성할 수 있습니다. 게시에 일반적으로 사용되는 HTTP 방식에 대한 자세한 내용은 technet.microsoft.com/library/cc302627에서 "ISA Server 2004의 HTTP 필터링"을 참조하십시오.

두 번째 시나리오

이 시나리오에서 TS 게이트웨이는 다른 서버에 있는 NPS 중앙 정책을 사용합니다. 여기에서는 TS 게이트웨이를 통해 원격으로 연결하는 클라이언트에 NAP 정책을 적용할 것입니다. 여기에도 시나리오 1에서 사용되던 것과 동일한 구성 요소가 사용되며 NPS 서버만 추가됩니다. 그러나 NAP 적용 때문에 그림 7에 나온 것처럼 클라이언트 쪽에는 더 많은 구성 요소가 사용됩니다.

fig07.gif

그림 7 시나리오 2 토폴로지의 기본 구성 요소 (더 크게 보려면 이미지를 클릭하십시오.)

개별 구성 요소에 대한 설명은 다음과 같습니다. Windows Vista 클라이언트에서 SHA(시스템 상태 에이전트)는 클라이언트의 상태를 모니터링 및 보고하는 클라이언트 쪽 구성 요소로 구성됩니다. Windows Vista에는 Windows SHA가 제공되지만 다른 공급업체에서 자체 SHA를 개발하고 있습니다.

클라이언트의 NAP 에이전트는 클라이언트가 네트워크에 액세스하려고 시도할 때 NAP 적용 서버와 통신을 설정하는 역할을 수행합니다. NAP 에이전트는 클라이언트의 SoH(상태 설명)를 해당 서버로 보냅니다.

TS 게이트웨이에서 어떤 컴퓨터가 들어오는 RDP 요청을 수신할 수 있을지 결정하는 구성 요소는 TS RAP(TS 리소스 권한 부여 정책)입니다. TS RAP는 어떤 사용자가 특정 서버에 대한 RDP 연결을 설정할 수 있는지도 결정합니다.

중앙 NPS는 내부 컴퓨터에 대한 액세스를 규정하는 조건, 제약 조건 및 설정을 제어하는 역할을 맡습니다. 중앙 NPS의 SHV(시스템 상태 검사기)는 클라이언트가 제출한 SoH가 관리자가 설정한 정책을 준수하는지 확인합니다.

이제 NPS 중앙 서버를 가리키도록 TS 게이트웨이를 변경하겠습니다. TS 게이트웨이 관리자 콘솔을 열고 서버 이름을 마우스 오른쪽 버튼으로 클릭한 다음 속성 옵션을 선택합니다. 서버의 속성 창에서 TS CAP 저장소 탭을 클릭한 다음 중앙 NPS 서버를 선택합니다. NPS 서버의 이름이나 IP 주소를 입력하고 추가 단추를 클릭합니다. 그러면 공유 암호 창이 열립니다. 암호를 입력하고 확인을 클릭한 다음 다시 확인을 클릭하여 창을 닫습니다. 이 암호는 NPS 서버에서 사용되므로 기억해야 합니다.

NPS가 이미 다른 서버에 설치되어 있는 경우에는 다음과 같은 단계를 따르면 됩니다.

  1. 네트워크 정책 서버 콘솔을 열고 왼쪽 창에서 NPS(로컬)를 클릭합니다.
  2. 오른쪽 창에서 NAP 구성을 클릭합니다. NAP에서 사용할 네트워크 연결 방법 선택 페이지가 표시됩니다.
  3. 네트워크 연결 방법에 있는 드롭다운 목록에서 TS 게이트웨이(터미널 서비스 게이트웨이)를 선택하고 다음을 클릭합니다.
  4. TS 게이트웨이를 실행하는 NAP 적용 서버 지정 페이지에서 추가 단추를 클릭합니다.
  5. 새 TS 게이트웨이 창에 TS 게이트웨이 서버의 이름과 IP 주소를 입력합니다. 그런 다음 창 맨 아래에 TS 게이트웨이 서버의 구성에 있는 것과 동일한 암호를 사용하여 공유 암호를 입력합니다. 확인을 클릭합니다.
  6. 클라이언트 장치 리디렉션 및 인증 방법 구성 페이지에서 리디렉션되는 장치와 허용되는 인증 방법(암호 또는 스마트 카드)을 지정할 수 있습니다. 이 예에서는 기본 옵션을 그대로 두고 다음을 클릭합니다.
  7. 사용자 그룹 및 컴퓨터 그룹 구성 페이지에서 연결할 수 있도록 허용되는 사용자 그룹을 추가합니다. 이 예에서는 사용자 그룹: (필수)에서 사용자 추가 단추를 클릭하고 Domain Admins를 선택합니다. 확인을 클릭하고 다음을 클릭합니다.
  8. NAP 상태 정책 정의 페이지에 기본 SHV가 이미 선택되어 있는 것을 볼 수 있습니다. 이 페이지의 맨 아래쪽을 보면 준수하지 않는 컴퓨터는 액세스가 거부되는 것을 볼 수 있습니다. 기본 선택 사항을 그대로 두고 다음을 클릭합니다.
  9. NAP 적용 정책 및 RADIUS 클라이언트 구성 완료 페이지에서 이전에 선택한 옵션을 검토합니다. 구성 세부 정보 하이퍼링크를 클릭하면 선택 사항에 대한 요약이 포함된 HTML 페이지가 열립니다. 작업이 완료되면 마침을 클릭합니다.

이 마법사는 여러 중요한 정책(연결 요청 정책, 네트워크 정책 및 상태 정책) 설정의 구성을 처리하여 이 시나리오에서 NAP를 구성하는 데 필요한 작업을 상당히 줄여 줍니다.

클라이언트에 필요한 작업

이제 서버를 설정하고 구성하는 작업을 완료했습니다. 클라이언트에는 어떤 작업이 필요할까요?

NAP 적용 정책을 활용하려면 클라이언트가 Windows Server 2008이나 Windows Vista여야 합니다. Windows XP의 경우에는 NAP 클라이언트가 포함된 SP3이 설치되어 있어야 합니다.

운영 체제 요구 사항 외에도 클라이언트 쪽에서 활성화해야 하는 몇 가지 관련 서비스와 설정이 있습니다. 이러한 항목은 다음과 같습니다.

  • TS 게이트웨이 서버 이름을 클라이언트의 신뢰할 수 있는 서버 목록에 추가합니다.
  • NAP 에이전트 서비스를 시작하고 서비스 시작 유형을 자동으로 설정합니다.
  • TS 게이트웨이 격리 적용 클라이언트를 활성화합니다.

이 솔루션의 배포를 간소화하기 위해 Microsoft는 터미널 서비스 NAP 클라이언트 구성 명령(Tsgqecclientconfig.cmd)을 만들었습니다. 이 명령은 go.microsoft.com/fwlink/?LinkId=122267에서 다운로드할 수 있습니다. 명령을 실행하면 클라이언트는 TS 게이트웨이를 위한 NAP 적용 클라이언트로 구성됩니다. 이 명령은 상승된 권한으로 실행해야 합니다.

이 기사의 주요 목적은 Windows Server 2008에서 사용할 수 있는 새로운 TS 게이트웨이 기능에 대해 설명하고 이를 ISA Server 2006을 통해 안전하게 게시하는 방법을 살펴보는 것뿐만 아니라 여러분의 회사에서 두 제품을 조합해서 사용하여 얻을 수 있는 보안상의 장점을 전반적으로 이해하는 것입니다.

오늘날 어디에서든 연결할 수 있는 능력은 기업의 성공에 핵심적인 요구 사항이 되고 있습니다. 그러나 이러한 연결 기능을 제공하기 위해 사용자의 개선된 환경이 저해되는 일이 있어서는 안 됩니다. 그리고 이보다 중요한 것은 이러한 모든 작업이 보안을 보장하는 방법으로 수행되어야 한다는 것입니다.

Dr. Thomas W. Shinder는 MCSE이자 ISA Server MVP이며 1996부터 기술 강사, 저자, 그리고 컨설턴트로 일했습니다. Dr. Shinder는 ISA 방화벽에 대한 6권의 책을 저술했으며 인터넷에서 가장 큰 ISA 방화벽 관리자와 사용자 커뮤니티인 ISAserver.org에서 사고의 리더이자 주요 실행자이기도 합니다.

Yuri Diogenes는 MCSE+S, MCTS, MCITP, Security+, Network+ 이자 CCNP이며 Microsoft ISA Server/IAG 팀에서 보안 지원 엔지니어로 일하고 있습니다. 현재는 Microsoft TechNet 라이브러리와 ISA Server 팀 블로그를 위한 기사를 작성하고 있습니다. Yuri는 1993년에 Microsoft에 입사했으며 Microsoft에 입사하기 전에는 Microsoft 강사, 지원 분석가 및 컨설턴트로 일했습니다.