Forefront UAG SP1 DirectAccess에서 Windows Server 2012로 마이그레이션
적용 대상: Windows Server 2012 R2, Windows Server 2012
이 문서에서는 기존의 Forefront UAG SP1 DirectAccess 배포를 Windows Server® 2012의 DirectAccess로 마이그레이션하는 방법을 설명합니다. 단일 Forefront UAG 서버 또는 단일 도메인과 단일 사이트에 구성된 Forefront UAG 서버 어레이에 대해 ISATAP 라우터로 설정하지 않고 NAT64를 사용하는 방식으로 마이그레이션하는 간단한 시나리오에 대해 설명합니다. 이 업그레이드는 Forefront UAG SP1이 실행되는 컴퓨터에만 지원됩니다.
Windows Server 2012 원격 액세스(DirectAccess) 배포 설명서 집합
다음은 세 가지 기본 원격 액세스 배포 경로에 대한 설명서 목록입니다. 기본, 고급 및 엔터프라이즈 릴리스에 사용할 수 있는 관리 및 마이그레이션 문서도 나열되어 있습니다.
기본 원격 액세스 배포
고급 원격 액세스 배포
엔터프라이즈에 원격 액세스 배포
원격 액세스 관리
원격 액세스 마이그레이션
배포를 시작하기 전에 지원되지 않는 구성, 알려진 문제 및 사전 요구 사항 목록을 참조하세요.
시나리오 설명
Forefront UAG SP1에 지원되는 마이그레이션 시나리오는 다음과 같습니다.
지원되는 클라이언트 운영 체제 |
지원되는 도메인 컨트롤러 |
지원되는 응용 프로그램 서버 |
|---|---|---|
Windows 7Windows 7 Windows® 8 Windows Server 2012 |
Windows 2003 Server Windows Server® 2008 Windows Server® 2008 R2 Windows Server 2012 |
Windows 2003 Server Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 |
이 시나리오의 내용
다음과 같은 두 가지 마이그레이션 시나리오에 대한 설명입니다.
단계별 마이그레이션— 이 마이그레이션 방식을 사용하면 Windows Server 2012에서 DirectAccess를 배포하는 동안 Forefront UAG DirectAccess 서버를 계속 실행할 수 있습니다. 배포되고 나면 DirectAccess 클라이언트는 Windows Server 2012 컴퓨터에 구성된 DirectAccess를 사용하며, Forefront UAG 서버는 서비스에서 제거됩니다. FQDN, IP 주소 및 인증서 설정은 서버별로 고유해야 하므로, 이 마이그레이션 방식에서는 일부 설정을 복제해야 합니다.
오프라인 마이그레이션— 이 마이그레이션 방식을 사용하면 Forefront UAG DirectAccess 서버에서 설정된 동일한 DirectAccess 구성을 원격 액세스 서버로 실행되는 Windows Server 2012 컴퓨터에 복사할 수 있습니다. 그런 다음 Forefront UAG 서버를 종료합니다.Windows Server 2012 원격 액세스 서버가 실행될 때까지는 DirectAccess 클라이언트에 대한 서비스가 제공되지 않습니다.
필수 구성 요소
이 시나리오의 배포를 시작하기 전에 다음 목록에서 중요한 요구 사항을 검토하세요.
- 회사 네트워크의 ISATAP는 지원되지 않습니다. ISATAP를 사용 중인 경우 이를 제거하고 기본 IPv6을 사용해야 합니다.
NAP가 UAG에서 받은 편지함으로 사용되는 경우 NAP는 이제 별도의 NPS 서버가 필요합니다.
NAP는 Windows Server 2012 R2에서 사용되지 않았습니다. 이는 NAP가 Windows 향후 버전에서 지원되지 않을 수 있다는 의미입니다. NAP를 새로 배포하는 것은 권장되지 않습니다.
유용한 팁
이 시나리오에서는 Forefront UAG 대신 Windows Server 2012를 사용하여 기존 DirectAccess 배포를 계속 실행하는 방법에 대해 설명합니다.
하드웨어 요구 사항
하드웨어 요구 사항은 다음과 같습니다.
하나 이상의 Forefront UAG 서버에서 DirectAccess 배포가 실행되고 있어야 합니다.
Windows Server 2012 원격 액세스 서버 요구 사항:
- Windows Server 2012의 하드웨어 요구 사항을 충족하는 컴퓨터가 한 대 필요합니다.
Windows Server 2012의 DirectAccess 클라이언트 요구 사항:
- 클라이언트 컴퓨터에는 Windows® 8 또는 Windows 7이 실행되고 있어야 합니다.
인프라 및 관리 서버 요구 사항:
DirectAccess 클라이언트 컴퓨터를 원격으로 관리하는 동안 클라이언트는 도메인 컨트롤러, 시스템 센터 구성 서버, 그리고 Windows와 바이러스 백신 업데이트 및 NAP(네트워크 액세스 보호) 클라이언트 준수 등 서비스의 HRA(상태 등록 기관) 서버 같은 관리 서버와 통신을 시작합니다. 필요한 서버는 원격 액세스 배포가 시작되기 전에 배포되어 있어야 합니다.
원격 액세스에서 클라이언트 NAP 준수가 필요한 경우, NPS 및 HRS 서버는 원격 액세스 배포가 시작되기 전에 배포되어 있어야 합니다.
IP-HTTPS와 네트워크 위치 서버를 인증하기 위해 인증서를 발급해야 하는 경우, CA(인증 기관) 서버가 필요합니다.Windows Server 2012 DirectAccess에서는 DirectAccess 배포 시 자동으로 만들어진 자체 서명된 인증서를 사용할 수 있습니다.
Windows Server 2003, Windows Server 2008 SP2, Windows Server 2008 R2 또는 Windows Server 2012를 실행하는 DNS 서버가 필요합니다.
소프트웨어 요구 사항
이 시나리오에 필요한 요구 사항은 다음과 같이 다양합니다.
Windows Server 2012의 DirectAccess 서버 요구 사항:
원격 액세스 서버가 도메인 구성원이어야 합니다. 서버는 내부 네트워크의 경계면 또는 다른 장치의 경계면 방화벽 뒤에 배포될 수 있습니다.
서버에 원격 액세스를 배포하는 사람에게는 서버에 대한 로컬 관리자 권한과 도메인 사용자 계정이 필요합니다. GPO를 준비하려면 도메인 관리자 권한이 필요합니다.
원격 액세스 클라이언트 요구 사항:
DirectAccess 클라이언트가 도메인 구성원이어야 합니다. 클라이언트가 포함된 도메인은 원격 액세스 서버와 동일한 포리스트에 속하거나, 양방향 트러스트가 원격 액세스 서버 포리스트나 도메인과 함께 있을 수 있습니다.
Active Directory 보안 그룹은 DirectAccess 클라이언트로 구성될 컴퓨터를 포함하는 데 필요합니다.
ISATAP 사용
Windows Server 2012의 DirectAccess에서는 ISATAP를 IPv6에서 IPv4로의 전환 기술로 사용하지 않는 것이 좋습니다. Forefront UAG가 ISATAP를 사용하도록 구성된 경우 ISATAP를 사용하지 않도록 설정하고 NAT64를 대신 사용합니다.
ISATAP가 사용되지 않는 DirectAccess 클라이언트는 내부 네트워크의 컴퓨터와 연결을 시작할 수 있고 내부 네트워크의 컴퓨터에서 응답할 수 있습니다. 하지만 내부 네트워크의 컴퓨터는 원격 클라이언트를 관리할 목적으로 DirectAccess에 대한 연결을 시작할 수 없습니다. 원격 클라이언트를 관리하려는 경우 DirectAccess 클라이언트 컴퓨터와 연결할 관리 서버에 기본 IPv6를 배포하는 것을 고려해 보세요.
NAP 사용
Forefront UAG에서는 NAP(네트워크 액세스 정책) 구성 설정이 복잡하며 NPS(네트워크 정책 서버) 및 HRA(상태 등록 기관) 역할이 Forefront UAG 서버에 설치됩니다.Windows Server 2012의 DirectAccess에서는 이러한 설정이 지원되지 않습니다.Windows Server 2012에서는 IPsec 인증 시 클라이언트 NAP 준수가 적용되는지만 지정할 수 있습니다. NPS 및 HRA 역할은 내부 인터넷의 원격 서버에 설치됩니다. HRA 서버는 첫 번째 DirectAccess 터널이나 인터넷을 통해 액세스할 수 있어야 합니다.