Windows Server: 통합의 힘
클라이언트와 서버 플랫폼의 기능을 결합하여 완전한 솔루션을 만들 수 있다면 Windows가 제공하는 가치도 더욱 커집니다.
Joshua Hoffman
데스크톱 OS인 Windows는 PC를 움직이고, 최신 기술을 최대한 활용하기 위한 도구 역할을 합니다. Windows 7에 포함된 기능은 인터넷을 데스크톱까지 전달하는 네트워킹 연결 작업, 정보 근로자가 지식을 획득 및 공유하고 비즈니스 데이터를 분석하고 파트너, 고객 및 동료와 실시간으로 통신하기 위한 응용 프로그램 실행과 같은 작업을 지원합니다.
Windows는 무수히 많은 데이터 센터의 중추를 구성하는 견고한 서버 OS이기도 합니다. Windows Server는 파일 및 인쇄 서비스부터 Hyper-V를 사용한 가상화, IIS를 사용한 웹 사이트 구동에 이르기까지 모든 작업을 수행합니다.
그러나 많은 경우 Windows가 제공하는 최고의 가치는 클라이언트와 서버 플랫폼의 기능을 결합하여 비즈니스 문제에 대응하는 완전한 솔루션을 구성할 때 얻을 수 있습니다. 기존 Windows 클라이언트와 서버 플랫폼의 구성 요소를 사용하여 구축할 수 있는 완전한 솔루션에는 여러 가지가 있습니다. 또한 이러한 솔루션을 구축하는 과정에서 도움이 되는 유용한 리소스를 활용할 수 있습니다.
매끄러운 연결
NAP(네트워크 액세스 보호)를 적용한 DirectAccess는 다양한 Windows 구성 요소의 통합을 통해 구축되는 강력하고 실용적인 솔루션을 제공합니다. DirectAccess는 VPN(가상 사설망)의 복잡함 없이 인트라넷 리소스에 클라이언트 컴퓨터를 연결합니다. 연결은 매끄럽게 이루어지며, 내부 리소스를 보호하는 데 필요한 보안을 그대로 유지하면서 간소하고 효율적인 원격 연결 기능을 제공합니다.
VPN 솔루션의 경우 원격 컴퓨터와 연결을 시도할 때만 상태를 확인하지만 NAP를 적용한 DirectAccess는 원격 컴퓨터에 대해 지속적인 상태 확인 기능을 제공합니다. 또한 원격 사용자 연결을 허용하기 전에 상태 규정을 준수하도록 합니다.
DirectAccess 클라이언트는 기본적으로 IPsec(인터넷 프로토콜 보안) 피어 인증을 위해 컴퓨터 인증서를 사용합니다. NAP를 적용한 DirectAccess의 경우 인트라넷 액세스 인증을 위한 인증서는 상태 인증서입니다. 이 상태 인증서는 DirectAccess 클라이언트 컴퓨터 ID의 유효성을 검사하고 DirectAccess 클라이언트가 시스템 상태 요구 사항을 준수하는지 확인합니다.
NAP를 적용한 DirectAccess 솔루션은 여러 가지 Windows 인프라 구성 요소를 활용하여 이 기능을 제공합니다(그림 1 참조). 이러한 구성 요소에는 다음이 포함됩니다.
- AD DS(Active Directory 도메인 서비스): DirectAccess 클라이언트 및 서버에 대한 도메인 구성원 자격, 컴퓨터 및 사용자 자격 증명 인증을 제공하고 DirectAccess 클라이언트에 그룹 정책 설정 배포
- PKI(공개 키 인프라): DirectAccess clients, DirectAccess 서버 및 웹 서버에 디지털 인증서를 배포합니다. NAP를 적용한 DirectAccess의 경우 하나의 CA(인증 기관)가 컴퓨터 인증서를 발급하고, 별도의 Windows 기반 CA(NAP CA라고 함)가 상태 인증서를 발급합니다.
- DirectAccess 서버: Windows Server 2008 R2를 실행하며 DirectAccess 연결을 호스트하는 컴퓨터
- 네트워크 위치 서버: DirectAccess 클라이언트가 인트라넷에 연결되었는지 여부를 확인할 수 있도록 일반적으로 Windows Server 2008 이상과 보안 웹 사이트를 호스팅하기 위한 IIS를 실행하는 컴퓨터
- NAP 상태 정책 서버: Windows Server 2008 이상과 NPS(네트워크 정책 서버)를 실행하며 시스템 상태 유효성 검사와 로깅을 수행하는 컴퓨터
- HRA(상태 등록 기관): Windows Server 2008 이상과 IIS를 실행하며 NAP CA로부터 요구 사항을 준수하는 DirectAccess 클라이언트에 대한 디지털 인증서를
- 업데이트 관리 서버: 요구 사항을 준수하지 않는 DirectAccess 클라이언트가 시스템 상태 요구 사항을 충족하기 위해 필요한 업데이트 또는 리소스를 제공하는 컴퓨터(예: WSUS(Windows Software Update Services) 및 맬웨어 방지 서명 배포 서버)
.jpg)
그림 1 NAP를 적용한 DirectAccess 솔루션의 인프라 구성 요소
이러한 인프라 구성 요소를 기억하고, NAP를 적용한 DirectAccess 솔루션의 작동 방식을 간단히 살펴보겠습니다. 시작된 DirectAccess 클라이언트는 AD DS 도메인에 로그온하고 현재 상태 정보를 HRA에 보냅니다. 그러면 HRA는 DirectAccess 클라이언트의 상태 정보를 NAP 상태 정책 서버로 보냅니다.
NAP 상태 정책 서버는 DirectAccess 클라이언트의 상태를 평가하여 클라이언트의 정책 준수 여부를 확인하고 그 결과를 HRA로 보냅니다. DirectAccess 클라이언트가 정책을 준수하지 않으면 결과에 상태 업데이트 관리 지침이 포함됩니다.
준수 상태인 경우 HRA는 PKI로부터 상태 인증서를 받아 이를 DirectAccess 클라이언트로 보냅니다. 이제 DirectAccess 클라이언트는 DirectAccess 서버와 인트라넷 터널을 만들 수 있습니다.
상태가 정책을 준수하지 않는 경우 HRA는 상태 인증서를 발급하지 않습니다. DirectAccess 클라이언트는 DirectAccess 서버와 인트라넷 터널을 만들 수 없으므로 액세스가 사실상 차단됩니다. 그러나 DirectAccess 클라이언트는 업데이트 관리 서버에 액세스하여 상태 문제를 수정할 수 있습니다.
DirectAccess 클라이언트는 업데이트 관리 서버에 연결하여 정책 준수에 필요한 업데이트를 받습니다. 이 프로세스가 완료되면 DirectAccess 클라이언트는 상태 정보를 업데이트하여 HRA에 보냅니다. HRA는 업데이트된 상태 정보를 NAP 상태 정책 서버로 보냅니다. 필요한 업데이트가 모두 수행된 경우 NAP 상태 정책 서버는 DirectAccess 클라이언트가 정책을 준수하는 것으로 판단하고 그 결과를 HRA로 보냅니다.
그러면 HRA는 NAP CA로부터 상태 인증서를 받아 이를 DirectAccess 클라이언트로 보냅니다. 이제 DirectAccess 클라이언트는 인증에 상태 인증서를 사용하여 DirectAccess 서버를 통해 인트라넷에 액세스할 수 있습니다.
Windows 구성 요소의 결합을 기반으로 한 이와 같은 기능의 혜택은 모바일 작업자에게 돌아갑니다. 모바일 작업자는 내부 네트워크의 보안과 무결성을 유지하면서 내부 리소스에 원활하게 액세스할 수 있습니다.
NAP를 적용한 DirectAccess 솔루션에 대한 자세한 내용은 TechNet 라이브러리에서 솔루션 가이드 전문을 참조하십시오. NAP를 적용한 DirectAccess 테스트 환경 가이드도 볼 수 있습니다. 이러한 테스트 환경 가이드에는 작업 환경을 만드는 데 필요한 모든 단계가 상세히 기술되어 있으므로 이를 통해 솔루션을 시연 및 실험할 수 있습니다.
통합 솔루션 구축
다른 몇 가지 Windows 인프라 솔루션에 대한 테스트 환경 가이드도 있습니다. 예를 들어 NAP를 적용한 DirectAccess 솔루션의 다른 구성에 대한 테스트 환경 가이드가 있습니다(DirectAccess 및 NAP와 함께 Forefront Unified Access Gateway 사용 포함).
통제된 환경에서 새 솔루션을 실험할 수 있는 기본 구성을 설정하는 데 유용한 기본 구성 테스트 환경부터 시작해 보십시오. 이 기본 구성을 바탕으로 한 추가 테스트 환경 가이드도 이용할 수 있습니다.
기본 구성을 갖추면 다른 통합 솔루션도 살펴볼 수 있습니다. 다른 테스트 환경에서는 새로운 네트워킹 프로토콜인 IPv6 및 DHCPv6에 대해 알아봅니다. IPv6은 주소 고갈, 보안, 자동 구성 및 확장성과 같은 현재 인터넷 프로토콜 버전(IPv4)이 지닌 많은 문제를 해결하기 위해 설계되었습니다.
IPv6 테스트 환경 가이드는 다음 시나리오를 안내합니다.
- IPv6의 기본 동작과 IPv4 전용 인트라넷에서의 연결
- ISATAP(Intra-Site Automatic Tunnel Addressing Protocol)를 사용한 IPv6 기반 인트라넷 연결
- 네이티브 IPv6 주소 지정 방식을 사용한 IPv6 기반 인트라넷 연결
- 6to4를 사용하여 시뮬레이션 IPv4 전용 인터넷에서 IPv6 연결
IPv6에 익숙해지면 DHCPv6 환경 확장으로 IPv6 주소의 동적 발급 및 관리 프로세스를 단계별로 살펴볼 수 있습니다.
테스트 환경 가이드는 TechNet Social 플랫폼에 게시되므로 커뮤니티에서 자유롭게 제작 및 확장할 수 있습니다. 예를 들어 Windows Server 2008 R2를 위한 VPN 원격 액세스 테스트 환경을 살펴보십시오. 상황에 따라 앞서 설명한 DirectAccess 솔루션을 배포할 수 없는 조직도 있습니다. 이 테스트 환경 가이드는 원격 사용자가 필요에 따라 보안이 적용된 내부 네트워크 연결을 설정할 수 있는, 일반적인 VPN을 배포하는 과정을 안내합니다.
이 테스트 환경 가이드는 커뮤니티 기여자들을 통해 더 확장되어 VPN 솔루션에서 CMAK(연결 관리자 관리 키트) 사용, VPN 다시 연결 사용 등의 내용도 볼 수 있게 되었습니다. 마지막으로, 핵심 Windows 인프라 구성 요소만 사용하는 솔루션 범위를 넘어 System Center Service Manager 2010, Forefront Identity Manager 2010, SQL Server 2008 R2 및 기타 다른 여러 인프라 제품에 대한 테스트 환경 가이드도 있습니다.
Windows 클라이언트 및 서버 플랫폼을 결합하여 통합 솔루션을 구축하면 기존 기술 투자의 숨겨진 잠재력을 이끌어낼 수 있습니다. 통합 Windows 솔루션 구축에 대한 지침을 더 보려면 테스트 환경 가이드 블로그(blogs.technet.com/b/tlgs)를 방문하십시오.
.jpg)
Joshua Hoffman은 TechNet Magazine의 전 편집장입니다. 현재 독립적인 저자이자 컨설턴트로 활동하면서 고객에게 기술과 청중 지향 마케팅에 대해 조언하고 있습니다. Hoffman은 시장 조사 커뮤니티의 성장 및 향상을 위한 사이트인 ResearchAccess.com의 편집장으로도 활동 중이며 뉴욕 시에 거주하고 있습니다.