클러스터에 원격 액세스 배포

  • 아티클

 

적용 대상: Windows Server 2012 R2, Windows Server 2012

Windows Server 2012에는 DirectAccess와 RRAS(Routing and Remote Access Service) VPN이 단일 원격 액세스 역할로 통합되어 있습니다. 원격 액세스는 다양한 엔터프라이즈 시나리오를 통해 배포될 수 있습니다. 이 개요에서는 Windows NLB(네트워크 부하 분산) 또는 F5 Big-IP와 같은 ELB(외부 부하 분산 장치)를 사용하여 부하가 분산된 클러스터에 여러 원격 액세스 서버를 배포하는 엔터프라이즈 시나리오에 대해 소개합니다.

시나리오 설명

클러스터 배포를 통해 여러 원격 액세스 서버가 하나의 단위로 수집되는데, 이러한 단위는 원격 액세스 클러스터의 외부 VIP(가상 IP)를 사용하여 DirectAccess 또는 VPN을 통해 내부 회사 네트워크에 연결하는 원격 클라이언트 컴퓨터의 단일 접촉 지점으로 사용됩니다. 클러스터에 대한 트래픽은 Windows NLB 또는 F5 Big-IP와 같은 ELB(외부 부하 분산 장치)를 사용하여 부하가 분산됩니다.

필수 구성 요소

이 시나리오의 배포를 시작하기 전에 다음 목록에서 중요한 요구 사항을 검토하세요.

  • Windows NLB를 통한 기본 부하 분산.
  • 외부 부하 분산 장치가 지원됩니다.
  • 유니캐스트 모드가 NLB에 대한 기본 및 권장 모드입니다.
  • DirectAccess 관리 콘솔 또는 PowerShell cmdlet 외부에서 정책을 변경하는 것이 지원되지 않습니다.
  • NLB 또는 외부 부하 분산 장치가 사용되는 경우 IPHTTPS 접두사를 /59 이외의 값으로 변경할 수 없습니다.
  • 부하 분산된 노드는 동일한 IPv4 서브넷에 있어야 합니다.
  • ELB 배포에서 전송 관리가 필요한 경우 DirectAccess 클라이언트에서 Teredo를 사용할 수 없습니다. IPHTTPS만 종단 간 통신에 사용할 수 있습니다.
  • 알려진 모든 NLB/ELB 핫픽스가 설치되었는지 확인합니다.
  • 회사 네트워크의 ISATAP는 지원되지 않습니다. ISATAP를 사용 중인 경우 이를 제거하고 기본 IPv6을 사용해야 합니다.

이 시나리오의 내용

클러스터 배포 시나리오는 다음과 같은 단계로 구성됩니다.

  1. Deploy a Single DirectAccess Server with Advanced Settings - 클러스터 배포를 설정하기 전에 고급 설정이 있는 단일 원격 액세스 서버를 배포해야 합니다.

  2. 원격 액세스 클러스터 배포 계획 - 단일 서버 배포에서 클러스터를 빌드하려면 클러스터 배포에 대한 인증서 준비를 포함하여 많은 추가 단계가 필요합니다.

  3. 원격 액세스 클러스터 구성 - Windows NLB 또는 외부 부하 분산 장치에 대해 단일 서버 준비, 클러스터에 연결할 추가 서버 준비, 부하 분산 사용을 포함하여 많은 구성 단계로 이루어집니다.

유용한 팁

여러 서버를 하나의 서버 클러스터로 수집하면 다음과 같은 이점이 있습니다.

  • 확장성 - 단일 원격 액세스 서버에서는 제한된 수준의 서버 안정성과 확장 가능한 성능이 제공됩니다. 둘 이상의 서버 리소스를 단일 클러스터로 그룹화함으로써 사용자 수와 처리량을 늘릴 수 있습니다.

  • 고가용성—클러스터가 항상 액세스할 수 있는 고가용성을 제공합니다. 클러스터의 한 서버에서 실패할 경우 원격 사용자가 클러스터의 다른 서버를 통해 회사 네트워크에 지속적으로 액세스할 수 있습니다. 클러스터의 모든 서버가 동일한 VIP(가상 IP) 주소 집합을 보유하고 있으면서 각 서버의 고유한 전용 IP 주소를 계속 유지 관리합니다.

  • 관리 편이성—클러스터를 통해 여러 서버를 단일 엔터티로 관리할 수 있습니다. 공유 설정은 클러스터 서버 전반에서 쉽게 설정할 수 있습니다. 원격 액세스 설정은 클러스터에 있는 임의의 서버에서 관리하거나 RSAT(원격 서버 관리 도구)를 원격으로 사용하여 관리할 수 있습니다. 또한 전체 클러스터는 단일 원격 액세스 관리 콘솔에서 모니터링할 수 있습니다.

이 시나리오에 포함된 역할 및 기능

다음 표에는 시나리오에 필요한 역할 및 기능이 나와 있습니다.

역할/기능

이 시나리오를 지원하는 방법

원격 액세스 역할

이 역할은 서버 관리자 콘솔을 사용하여 설치 및 제거됩니다. 이 역할에는 DirectAccess(이전의 Windows Server 2008 R2 기능)와 라우팅 및 원격 액세스 서비스(이전의 NPAS(네트워크 정책 및 액세스 서비스) 서버 역할의 역할 서비스)가 모두 포함되어 있습니다. 원격 액세스 역할은 다음의 두 가지 구성 요소로 구성됩니다.

  • DirectAccess 및 RRAS(Routing and Remote Access Service) VPN—DirectAccess와 VPN은 원격 액세스 관리 콘솔에서 함께 관리됩니다.

  • RRAS 라우팅—RRAS 라우팅 기능은 레거시 라우팅 및 원격 액세스 콘솔에서 관리됩니다.

종속성은 다음과 같습니다.

  • IIS(인터넷 정보 서비스) 웹 서버 – 이 기능은 네트워크 위치 서버와 기본 웹 프로브를 구성하는 데 필요합니다.

  • Windows 내부 데이터베이스—원격 액세스 서버의 로컬 계정에 사용됩니다.

원격 액세스 관리 도구 기능

이 기능은 다음과 같이 설치됩니다.

  • 원격 액세스 역할이 설치될 때 원격 액세스 서버에 기본적으로 설치되며, 원격 관리 콘솔의 사용자 인터페이스를 지원합니다.

  • 이 기능은 선택적으로 원격 액세스 서버 역할을 실행하지 않는 서버에 설치될 수도 있습니다. 이 경우 이 기능은 DirectAccess 및 VPN을 실행하는 원격 액세스 컴퓨터를 원격으로 관리하는 데 사용됩니다.

원격 액세스 관리 도구 기능의 구성 요소는 다음과 같습니다.

  • 원격 액세스 GUI 및 명령줄 도구

  • Windows PowerShell용 원격 액세스 모듈

이 기능은 다음 요소에 종속됩니다.

  • 그룹 정책 관리 콘솔

  • RAS CMAK(연결 관리자 관리 키트)

  • Windows Powershell 3.0

  • 그래픽 관리 도구 및 인프라

네트워크 부하 분산

이 기능은 Windows NLB을 사용하여 클러스터의 부하를 분산합니다.

하드웨어 요구 사항

이 시나리오의 하드웨어 요구 사항은 다음과 같습니다.

  • Windows Server 2012의 하드웨어 요구 사항을 충족하는 컴퓨터가 두 대 이상 필요합니다.

  • 외부 부하 분산 장치 시나리오의 경우 전용 하드웨어가 필요합니다(즉, F5 BigIP).

  • 시나리오를 테스트하려면 Windows 8 또는 Windows 7을 실행하는 한 대 이상의 컴퓨터가 DirectAccess 클라이언트로 구성되어 있어야 합니다.

소프트웨어 요구 사항

이 시나리오에 필요한 요구 사항은 다음과 같이 다양합니다.

  • 단일 서버 배포에 필요한 소프트웨어 요구 사항. 자세한 내용은 Deploy a Single DirectAccess Server with Advanced Settings 항목을 참조하세요.

  • 단일 서버 배포에 필요한 소프트웨어 요구 사항 이외에, 다음과 같은 클러스터 특정 요구 사항이 있습니다.

    • 각 클러스터 서버에서 IP-HTTPS 인증서의 주체 이름이 ConnectTo 주소와 일치해야 합니다. 클러스터 배포는 클러스터 서버에서 와일드카드 및 비와일드카드 인증서의 혼합 사용을 지원합니다.

    • 네트워크 위치 서버가 원격 액세스 서버에 설치되어 있는 경우 각 클러스터 서버에서 네트워크 위치 서버 인증서의 주체 이름이 같아야 합니다. 또한 네트워크 위치 서버 인증서의 이름은 DirectAccess 배포의 서버와 동일한 이름을 사용할 수 없습니다.

    • IP-HTTPS와 네트워크 위치 서버의 인증서는 단일 서버에 발급된 인증서와 동일한 방식을 사용하여 발급되어야 합니다. 예를 들어 단일 서버에서 공용 CA(인증 기관)를 사용하는 경우 클러스터의 모든 서버에는 공용 CA에서 발급된 인증서가 있어야 합니다. 또는 단일 서버가 IP-HTTPS에 자체 서명된 인증서를 사용하는 경우 클러스터의 모든 서버에서 이와 같은 방식을 사용해야 합니다.

    • 서버 클러스터의 DirectAccess 클라이언트 컴퓨터에 할당된 IPv6 접두사는 59비트여야 합니다. VPN이 사용하도록 설정되어 있는 경우 VPN 접두사도 59비트여야 합니다.

알려진 문제

클러스터 시나리오를 구성할 때의 알려진 문제는 다음과 같습니다.

  • IPv4 전용 배포에서 단일 네트워크 어댑터로 DirectAccess를 구성하여 기본 DNS64(":3333::"을 포함하는 IPv6 주소)가 자동으로 네트워크 어댑터에 구성된 후 원격 액세스 관리 콘솔을 통해 부하 분산 사용 설정을 시도하면 사용자가 IPv6 DIP를 공급하는 프롬프트가 만들어집니다. IPv6 DIP가 제공된 경우 커밋 클릭 후 매개 변수가 잘못되었습니다.라는 오류와 함께 구성에 실패합니다.

    이 문제를 해결하려면

    1. 원격 액세스 구성 백업 및 복원에서 백업을 다운로드하고 스크립트를 복원합니다.

    2. 다운로드된 Backup-RemoteAccess.ps1 스크립트를 사용하여 원격 액세스 GPO를 백업합니다.

    3. 실패한 단계에서 부하 분산 사용 설정을 시도합니다. 부하 분산 사용 대화 상자에서 세부 정보 영역을 확장하여 세부 정보 영역에서 마우스 오른쪽 단추를 클릭한 다음 스크립트 복사를 클릭합니다.

    4. 메모장을 열고 클립보드의 내용을 붙여넣습니다. 예:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose

    5. 열려 있는 모든 원격 액세스 대화 상자와 원격 액세스 관리 콘솔을 닫습니다.

    6. 붙여넣은 텍스트를 편집하고 IPv6 주소를 제거합니다. 예:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose

    7. 관리자 권한 PowerShell 창에서 이전 단계의 명령을 실행합니다.

    8. 실행 동안 cmdlet이 실패하면(잘못된 입력 값 때문이 아닌 경우) Restore-RemoteAccess.ps1 명령을 실행하고 지침을 따라 원래 구성의 무결성이 유지되고 있는지 확인합니다.

    9. 이제 원격 액세스 관리 콘솔을 다시 열 수 있습니다.