멀티 사이트 배포에 여러 원격 액세스 서버를 배포 합니다.

  • 아티클

 

적용 대상: Windows Server 2012 R2, Windows Server 2012

Windows Server 2012DirectAccess 및 라우팅 및 원격 액세스 서비스 (RRAS) VPN 단일 원격 액세스 역할로 결합합니다. 원격 액세스는 다양한 엔터프라이즈 시나리오를 통해 배포될 수 있습니다. 이 개요에서는 멀티 사이트 구성에 원격 액세스 서버를 배포 하기 위한 엔터프라이즈 시나리오를 소개 합니다.

시나리오 설명

멀티 사이트 배포에 둘 이상의 원격 액세스 서버 또는 서버 클러스터 배포 되 고 다른 진입점 단일 위치 또는 지리적으로 분산 된 위치에서로 구성 합니다. 단일 위치에서 여러 진입점을 배포 서버 중복성을 위해 또는 기존 네트워크 아키텍처와 원격 액세스 서버를 정렬할 수 있습니다. 원격 클라이언트 컴퓨터에 가장 가까이 있는 진입점을 사용 하 여 내부 네트워크 리소스에 연결할 수 처럼 지리적 위치에 따라 배포 리소스를 효율적으로 사용을 확인 합니다. 멀티 사이트 배포에서 트래픽은 외부 전역 부하 분산 장치와 함께 균등 하 게 분산 될 수 있습니다.

멀티 사이트 배포를 실행 하는 클라이언트 컴퓨터 지원Windows 8또는Windows 7합니다. 실행 하는 클라이언트 컴퓨터Windows 8자동으로 진입점을 식별 하거나 사용자 진입점을 수동으로 선택할 수 있습니다. 자동 할당 다음 우선순위에 따라 발생합니다.

  1. 사용자가 수동으로 선택 하는 진입점을 사용 합니다.

  2. 배포 하는 경우에 외부 전역 부하 분산 장치에 의해 식별 되는 진입점을 사용 합니다.

  3. 자동 검색 메커니즘을 사용 하 여 클라이언트 컴퓨터에 의해 식별 되는 가장 가까운 진입점을 사용 합니다.

Windows 7을 실행 하는 클라이언트에 대 한 지원 각 진입점에 수동으로 설정 해야 하 고 선택 하 여 이러한 클라이언트는 진입점의 지원 되지 않습니다.

필수 구성 요소

이 시나리오를 배포를 시작 하기 전에 중요 한 요구 사항에 대 한이 목록을 검토:

  • Windows 7 클라이언트는 항상 특정 사이트에 연결 됩니다. 이러한 클라이언트 (달리 Windows 8, windows 8.1 클라이언트)의 위치에 따라 가장 가까운 사이트에 연결할 수 되지 않습니다.
  • DirectAccess 관리 콘솔 또는 PowerShell cmdlet 외부에서 정책을 변경 하는 것은 지원 되지 않습니다.
  • 회사 네트워크의 IPv6 가능 해야 합니다. ISATAP를 사용 중인 경우 이를 제거하고 기본 IPv6을 사용해야 합니다.

이 시나리오의 내용

멀티 사이트 배포 시나리오 단계 수가 포함 됩니다.

  1. 고급 설정을 사용하여 단일 DirectAccess 서버 배포— 단일 원격 액세스 서버 고급 설정 사용 하 여 멀티 사이트 배포를 설정 하기 전에 배포 되어야 합니다.

  2. 멀티 사이트 배포 계획— 단일 서버에서 멀티 사이트 배포는의 빌드 번호 추가 계획을 단계는 Active Directory 보안 그룹, 그룹 정책 개체 (Gpo), DNS 및 클라이언트 설정에 대 한 계획 및 멀티 사이트 필수 구성 요소를 준수를 비롯 하 여 필요 합니다.

  3. 멀티 사이트 배포를 구성 합니다.—이 다양 한 구성 단계를 Active Directory 인프라, 멀티 사이트 배포로 진입점으로 여러 원격 액세스 서버 추가 등의 기존 원격 액세스 서버의 구성을 준비를 포함 하 여 구성 됩니다.

  4. 멀티 사이트 배포 관련 문제 해결-문제해결이 섹션에서는 많은 멀티 사이트 배포에서 원격 액세스를 배포할 때 발생할 수 있는 가장 일반적인 오류를 설명 합니다.

유용한 팁

멀티 사이트 배포는 다음을 제공합니다.

  • 향상 된 성능을 — 멀티 사이트 배포 하 고 가장 적합 한 가장 가까운 진입점을 사용 하 여 연결할 원격 액세스를 사용 하 여 내부 리소스에 액세스 하는 컴퓨터 클라이언트 수 있습니다. 클라이언트에서 내부 리소스를 효율적으로 액세스 하 고 DirectAccess를 통해 라우팅된 인터넷 요청 클라이언트의 속도 향상 됩니다. 진입점에서 트래픽 외부 전역 부하 분산 장치를 사용 분산 될 수 있습니다.

  • 관리를 용이 — 멀티 사이트 사용 하면 관리자 Active Directory 사이트 배포에 원격 액세스 배포에 맞게 간소화 된 아키텍처를 제공 합니다. 공유 설정은 항목 지점 서버 또는 클러스터 간에 쉽게 설정할 수 있습니다. 원격 액세스 설정에는 배포 또는 원격 서버 관리 도구 (RSAT)를 사용 하 여 원격 서버에서 관리할 수 있습니다. 또한 전체 멀티 사이트 배포는 단일 원격 액세스 관리 콘솔에서 모니터링할 수 있습니다.

이 시나리오에 포함된 역할 및 기능

다음 표에서 역할 및이 시나리오에서 사용 되는 기능을 나열 합니다.

역할/기능

이 시나리오를 지원하는 방법

원격 액세스 역할

이 역할은 서버 관리자 콘솔을 사용하여 설치 및 제거됩니다. 이 역할에는 DirectAccess(이전의 Windows Server 2008 R2 기능)와 라우팅 및 원격 액세스 서비스(이전의 NPAS(네트워크 정책 및 액세스 서비스) 서버 역할의 역할 서비스)가 모두 포함되어 있습니다. 원격 액세스 역할은 다음의 두 가지 구성 요소로 구성됩니다.

  • DirectAccess 및 RRAS(Routing and Remote Access Service) VPN—DirectAccess와 VPN은 원격 액세스 관리 콘솔에서 함께 관리됩니다.

  • RRAS 라우팅—RRAS 라우팅 기능은 레거시 라우팅 및 원격 액세스 콘솔에서 관리됩니다.

종속성은 다음과 같습니다.

  • IIS(인터넷 정보 서비스) 웹 서버 – 이 기능은 네트워크 위치 서버와 기본 웹 프로브를 구성하는 데 필요합니다.

  • Windows 내부 데이터베이스—원격 액세스 서버의 로컬 계정에 사용됩니다.

원격 액세스 관리 도구 기능

이 기능은 다음과 같이 설치됩니다.

  • 원격 액세스 역할이 설치될 때 원격 액세스 서버에 기본적으로 설치되며, 원격 관리 콘솔의 사용자 인터페이스를 지원합니다.

  • 이 기능은 선택적으로 원격 액세스 서버 역할을 실행하지 않는 서버에 설치될 수도 있습니다. 이 경우 이 기능은 DirectAccess 및 VPN을 실행하는 원격 액세스 컴퓨터를 원격으로 관리하는 데 사용됩니다.

원격 액세스 관리 도구 기능의 구성 요소는 다음과 같습니다.

  • 원격 액세스 GUI 및 명령줄 도구

  • Windows PowerShell용 원격 액세스 모듈

이 기능은 다음 요소에 종속됩니다.

  • 그룹 정책 관리 콘솔

  • RAS CMAK(연결 관리자 관리 키트)

  • Windows PowerShell 3.0

  • 그래픽 관리 도구 및 인프라

하드웨어 요구 사항

이 시나리오의 하드웨어 요구 사항은 다음과 같습니다.

  • 멀티 사이트 배포에 수집 하 둘 이상의 원격 액세스 컴퓨터입니다. 이러한 컴퓨터에 대 한 하드웨어 요구 사항에 설명 되어고급 설정을 사용하여 단일 DirectAccess 서버 배포합니다.

  • 적어도 하나의 컴퓨터에서 실행 되는 시나리오를 테스트 하기 위해Windows 8및 DirectAccess 클라이언트는 필요한 대로 구성 합니다. Windows 7을 실행 하는 클라이언트에 대 한 시나리오를 테스트 하려면 적어도 하나의 컴퓨터에서 Windows 7을 실행 해야 합니다.

  • 트래픽 부하를 분산 항목 지점 서버에 걸쳐, 타사 외부 전역 부하 분산 장치는 필요 합니다.

소프트웨어 요구 사항

이 시나리오의 소프트웨어 요구 사항은 다음과 같습니다.

  • 단일 서버 배포에 필요한 소프트웨어 요구 사항. 자세한 내용은 고급 설정을 사용하여 단일 DirectAccess 서버 배포 항목을 참조하십시오.

  • 단일 서버에 대 한 소프트웨어 요구 사항 외에도 다양 한 multisite-특정 요구 사항이:

    • IPsec 인증 요구 사항-컴퓨터 인증서 인증 멀티 사이트 배포 IPsec을 사용 하 여 DirectAccess를 배포 해야 합니다. 원격 액세스 서버를 Kerberos 프록시로 사용 하 여 IPsec 인증을 수행 하는 옵션은 지원 되지 않습니다. 내부 CA는 IPsec 인증서를 배포 해야 합니다.

    • IP-HTTPS 및 네트워크 위치 서버 요구 사항 — IP-HTTPS 용 인증서가 필요 하 고 네트워크 위치 서버는 CA에서 발급 해야 합니다. 자동으로 발급 되 고 원격 액세스 서버에서 자체 서명 인증서를 사용 하는 옵션이 지원 되지 않습니다. 내부 CA에서 또는 타사 외부 CA에서 인증서를 발급할 수 있습니다.

    • Active Directory 요구 사항-하나 이상의 Active Directory 사이트가 필요 합니다. 원격 액세스 서버는 사이트에 있어야 합니다. 업데이트 시간을 단축 것이 좋습니다 각 사이트는 쓰기 가능한 도메인 컨트롤러에는 있지만이 옵션은 필수입니다.

    • 보안 그룹 요구 사항 — 요구 사항은 다음과 같습니다.

      • 단일 보안 그룹은 모든 필요한Windows 8모든 도메인에서 클라이언트 컴퓨터입니다. 각 도메인에 대 한 이러한 클라이언트의 고유 보안 그룹을 만드는 것이 좋습니다.

      • Windows 7 컴퓨터가 포함 된 고유 보안 그룹은 Windows 7 클라이언트를 지원 하도록 구성 된 각 진입점에 대 한 필요 합니다. 각 도메인에 각 진입점에 대 한 고유한 보안 그룹을 두는 것이 좋습니다.

      • 컴퓨터를 DirectAccess 클라이언트를 포함 하는 둘 이상의 보안 그룹에 포함 되어야 합니다. 클라이언트는 여러 그룹에 포함 하는 경우 클라이언트 요청에 대 한 이름 확인 예상 대로 작동 하지 않습니다.

    • GPO 요구 사항 — Gpo를 원격 액세스를 구성 하기 전에 수동으로 생성 하거나 원격 액세스 배포 하는 동안 자동으로 생성 수 있습니다. 요구 사항은 다음과 같습니다.

      • 고유한 클라이언트 GPO가 각 도메인에 대해 필요 합니다.

      • 서버 GPO는 진입점 위치한 도메인에서 각 진입점에 대 한 필요 합니다. 따라서 여러 진입점을 동일한 도메인에 있는 경우 다중 서버 도메인에서 Gpo (각 진입점에 대 한 하나) 됩니다.

      • 고유한 Windows 7 클라이언트 GPO가 각 도메인에 대 한 Windows 7 클라이언트 지원에 대해 설정 된 각 진입점에 대 한 필요 합니다.

알려진 문제

다음은 알려진 문제는 멀티 사이트 시나리오를 구성 하는 경우:

  • 동일한 IPv4 서브넷에 여러 진입점-IP 주소 충돌 메시지가 발생 합니다 동일한 IPv4 서브넷에서 여러 진입점을 추가 및 DNS64 주소 진입점에 대 한 예상 대로 구성 되지 것입니다. 이 문제는 회사 네트워크에서 서버의 내부 인터페이스에 IPv6 배포 되지 않은 경우 발생 합니다. 이 문제는 방지 하기 위해 모든 현재와 미래의 원격 액세스 서버에서 다음 Windows PowerShell 명령을 실행 합니다.

    Set-NetIPInterface –InterfaceAlias <InternalInterfaceName> –AddressFamily IPv6 –DadTransmits 0

  • 원격 액세스 서버에 연결 하려면 DirectAccess 클라이언트에 대해 지정 된 공용 주소에 있는 접미사를 NRPT에 포함 된 경우 DirectAccess 예상 대로 작동 하지 수도 있습니다. NRPT에 공개 이름에 대 한 예외가 있는지 확인 합니다. 멀티 사이트 배포에서는 모든 진입점의 공개 이름에 대 한 예외를 추가 되어야 합니다. 있는 경우 강제 터널링 사용 하도록 설정 되어 이러한 예외는 자동으로 추가 됩니다. 강제 터널링을 사용할 수 없는 경우 제거 됩니다.

  • Windows PowerShell cmdlet을 사용 하는 경우Disable-DAMultiSiteWhatIf 및 Confirm 매개 변수는 아무런 효과가 없으며, 및 멀티 사이트 수 없게 됩니다 및Windows 7Gpo 제거 됩니다.

  • 때Windows 7DCA 멀티 사이트 배포에서 사용 하는 클라이언트로 업그레이드 된Windows 8네트워크 연결 길잡이 작동 하지 것입니다. 이 문제를 수정 하 여 클라이언트를 업그레이드 하기 전에 확인 될 수는Windows 7다음 Windows PowerShell cmdlet을 사용 하 여 Gpo:

    Set-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" -ValueName "TemporaryValue" -Type Dword -Value 1 Remove-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" 

    클라이언트가 이미 업그레이드는 다음 클라이언트 컴퓨터를 이동은Windows 8보안 그룹입니다.

  • Windows PowerShell cmdlet을 사용 하 여 도메인 컨트롤러 설정을 수정 하는 경우Set-DAEntryPointDCComputerName 매개 변수 지정 마지막 아닌 다른 진입점에서 원격 액세스 서버에 추가 됩니다 멀티 사이트 배포 정책 새로 고칠 때까지 지정 된 서버를 업데이트 되지 것입니다 나타내는 경고가 표시 됩니다. 사용 하 여 실제 서버 업데이트 되지 않았습니다.는 볼 수는구성 상태대시보드원격 액세스 관리 콘솔. 기능 문제가 발생 하지 것입니다이 실행할 수 있습니다,gpupdate /force구성 상태를 즉시 업데이트 하도록 업데이트 되지 않았습니다 서버에 있습니다.

  • IPv4 전용 회사 네트워크에서는 내부 변경 멀티 사이트 배포 되는 경우 네트워크 IPv6 접두사도 변경의 DNS64 주소 하지만 DNS64 서비스에 대 한 DNS 쿼리를 허용 하는 방화벽 규칙에 주소를 업데이트 하지 않습니다. 이 문제를 해결 하려면 내부 네트워크 IPv6 접두사를 변경한 후 다음 Windows PowerShell 명령을 실행 합니다.

    $dns64Address = (Get-DAClientDnsConfiguration).NrptEntry | ?{ $_.DirectAccessDnsServers -match ':3333::1' } | Select-Object -First 1 -ExpandProperty DirectAccessDnsServers $serverGpoName = (Get-RemoteAccess).ServerGpoName $serverGpoDc = (Get-DAEntryPointDC).DomainControllerName $gpoSession = Open-NetGPO -PolicyStore $serverGpoName -DomainController $serverGpoDc Get-NetFirewallRule -GPOSession $gpoSession | ? {$_.Name -in @('0FDEEC95-1EA6-4042-8BA6-6EF5336DE91A', '24FD98AA-178E-4B01-9220-D0DADA9C8503')} |  Set-NetFirewallRule -LocalAddress $dns64Address Save-NetGPO -GPOSession $gpoSession

  • 기존 ISATAP 인프라 진입점은 ISATAP 호스트를 제거 하는 동안 표시 되었을 때 DirectAccess가 배포 된 경우 DNS64 서비스의 IPv6 주소는 모든 DNS 접미사에 NRPT의 DNS 서버 주소에서 제거 됩니다.

    이 문제를 해결 하려면는인프라 서버 설정마법사는DNS페이지 수정 된 DNS 접미사를 제거 하 고 다시 추가 올바른 DNS 서버 주소를 클릭 하 여검색DNS 서버 주소대화 상자.