• 아티클

The Cable Guy네트워크 정책 서버

Joseph Davies

이 칼럼은 Windows Server 2008의 시험판 버전을 기준으로 작성되었습니다. 이 문서에 수록된 모든 정보는 변경될 수 있습니다.

Windows Server 2008의 NPS(네트워크 정책 서버) 서비스는 Windows Server 2003의 IAS(인터넷 인증 서비스)를 대체합니다. NPS를 사용하면 Windows Server 2008을 실행하는 컴퓨터를 RADIUS(Remote Authentication Dial-In User Service) 서버 및 프록시로 활용할 수 있습니다. RADIUS는 RFC 2865 및 2866에 명시된 IETF(Internet Engineering Task Force) 프로토콜이며 무선 액세스 지점과 같은 네트워크 액세스 장치에 대한 AAA(인증, 권한 부여, 계정 구성) 작업을 한곳에서 모두 처리할 수 있게 해 줍니다. RADIUS 서버는 네트워크 액세스 장치를 대상으로 AAA 작업을 수행합니다.

RADIUS 프록시는 RADIUS 클라이언트(네트워크 액세스 장치)와 RADIUS 서버 사이에서 RADIUS 메시지를 전달합니다.

NPS는 인증된 네트워크 액세스의 배포를 용이하게 하고 타사 구성 요소에 대한 확장성을 제공하며 최신 네트워킹 기술과 플랫폼을 지원하는 등 수많은 사항이 개선되었습니다. 그림 1에서는 새로운 NPS 스냅인을 보여 줍니다.

그림 1 새로운 NPS 스냅인

그림 1** 새로운 NPS 스냅인 **(더 크게 보려면 이미지를 클릭하십시오.)

네트워크 정책 서버의 기능

이번 칼럼에서는 이전 버전의 Windows®에는 없는 NPS 기능에 대해 소개합니다. 우선 NAP(네트워크 액세스 보호)가 네트워크에 대한 상태 요구 사항을 적용하는 데 어떻게 도움이 되는지 살펴본 후 관리, 구성, IPv6 지원 및 기타 요소들을 설명하겠습니다. 새로운 NPS 스냅인의 기능도 설명하겠습니다.

네트워크 액세스 보호 Windows Server® 2008에 도입된 NAP는 컴퓨터의 상태 요구 사항을 충족하도록 하여 인트라넷을 더욱 효과적으로 보호할 수 있게 해 주는 일련의 새로운 기술입니다. 예를 들어 상태 정책을 사용하면 방화벽을 반드시 설치하여 실행할 것, 네트워크에 연결된 모든 클라이언트에 반드시 최신 운영 체제 업데이트를 설치할 것 등의 요구 사항을 지정할 수 있습니다. NAP를 사용하면 네트워크 액세스 또는 통신을 허용하기 전에 컴퓨터의 상태를 인증하고, 현재 적용되는 규정을 준수하도록 컴퓨터를 자동으로 업데이트하고, 규정을 준수하지 않는 컴퓨터는 규정을 준수할 때까지 제한된 네트워크를 벗어나지 못하게 하는 등의 사용자 지정 정책을 만들 수 있습니다. 자세한 내용은 microsoft.com/nap를 참고하십시오.

NAP 배포 환경에서 NPS 서버는 HRA(상태 등록 기관), 802.1X 액세스 지점, VPN(가상 사설망) 서버, DHCP(동적 호스트 구성 프로토콜) 서버 등 NAP 적용 지점을 대신하여 NAP 클라이언트의 상태를 평가하는 NAP 상태 정책 서버입니다. NPS 서버는 또한 클라이언트에 인트라넷에 대한 모든 액세스를 허용할 것인지 또는 제한적인 액세스를 허용할 것인지도 결정합니다. 네트워크 정책, 상태 정책 및 NAP 설정에 따라 NPS의 상태 평가 동작이 결정됩니다.

EAPHost와 EAP 정책 지원 NPS는 EAP(확장할 수 있는 인증 프로토콜) 인증 방법을 위한 새로운 아키텍처인 EAPHost를 지원합니다. 이 새로운 아키텍처에서는 EAP 방법 공급업체가 클라이언트 컴퓨터와 NPS 서버 모두를 대상으로 802.1X 또는 PPP(지점 간 프로토콜) 기반 인증을 위한 새로운 EAP 방법을 쉽게 개발하여 설치할 수 있습니다.

EAPHost는 EAP 레지스트리(www.iana.org/assignments/eap-numbers)에 수록된 모든 EAP 방법의 설치 및 사용뿐만 아니라 Cisco Systems의 LEAP(Lightweight EAP)와 같이 널리 사용되는 다른 인증 방법도 지원합니다. EAPHost에서는 EAP 방법을 다양한 방식으로 구현할 수 있습니다. 예를 들어 PEAP(보호된 EAP)의 Microsoft 버전과 Cisco Systems 버전을 모두 설치하고 선택할 수 있습니다.

EAP 방법 공급업체의 경우 EAPHost는 Windows XP 및 Windows Server 2003용으로 이미 개발된 EAP 방법을 지원할 뿐만 아니라 Windows Vista® 및 Windows Server 2008용의 새로운 EAP 방법을 더욱 쉽게 개발할 수 있게 해 줍니다. 설치한 후에는 특정한 네트워크 액세스 시나리오에 필요한 EAP 방법을 네트워크 정책에 구성할 수 있습니다. NPS에 대한 네트워크 정책은 IAS에 대한 원격 액세스 정책과 동일합니다.

EAPHost 아키텍처에 대한 자세한 내용은 technetmagazine.com/issues/2007/05/CableGuy를 참고하십시오.

XML로 구성 저장 IAS에서는 구성 정보가 Jet 데이터베이스에 저장됩니다. NPS에서는 구성 정보가 XML 형식으로 저장되므로 더욱 간편하게 특정 NPS 서버의 구성 정보를 내보내서 다른 NPS 서버로 가져올 수 있습니다. 구성 파일 내보내기 및 가져오기는 내결함성 구성에서 여러 NPS 서버의 설정을 동기화할 수 있는 한 가지 방법입니다. NPS 구성을 내보내는 명령은 netsh nps export이며 가져오는 명령은 netsh nps import입니다.

공통 엔지니어링 기준 준수 NPS는 Microsoft® CEC(공통 엔지니어링 기준)를 충족해야 하는 환경에서의 배포를 지원하도록 업데이트되었습니다. 자세한 내용은 microsoft.com/windowsserversystem/cer/allcriteria.mspx를 참고하십시오.

강력한 NPS 확장 DLL NPS 서비스는 확장 및 권한 부여 DLL을 통해 확장할 수 있습니다. IAS와는 달리 NPS에서는 이러한 타사 구성 요소들이 안전하게 격리되기 때문에 문제가 발생하더라도 NPS 서비스의 작동 또는 실행은 영향을 받지 않습니다.

IPv6 지원 NPS는 IPv6뿐만 아니라 네이티브 또는 터널링된 IPv6 환경에서의 배포도 지원합니다. RADIUS 클라이언트 또는 원격 RADIUS 서버의 IPv6 주소를 구성할 수 있으며 NPS 서비스는 IPv6을 통해 통신을 수행하여 Active Directory® 도메인 서비스 계정 인증 및 권한 부여 작업을 수행할 수 있습니다.

IAS와 NPS 비교

NPS 스냅인에는 Windows Server 2003용 IAS 스냅인에 익숙한 사용자가 환영할 만한 다음과 같은 변화가 있습니다.

  • 원격 액세스 정책은 네트워크 정책이 되어 정책 노드로 옮겨졌습니다.
  • RADIUS 클라이언트 노드는 RADIUS 클라이언트 및 서버 노드로 옮겨졌습니다.
  • 연결 요청 처리 노드는 이제 존재하지 않습니다. 연결 요청 정책 노드는 정책 노드로 옮겨졌으며 원격 RADIUS 서버 그룹 노드는 RADIUS 클라이언트 및 서버 노드로 옮겨졌습니다.
  • 원격 액세스 정책 조건 및 프로필 설정은 네트워크 정책 속성에 대한 개요, 조건, 제약 조건 및 설정 탭에서 재구성되었습니다.
  • 연결 요청 정책 조건 및 프로필 설정은 연결 요청 정책 속성에 대한 개요, 조건 및 설정 탭에서 재구성되었습니다.
  • 원격 액세스 로깅 폴더는 계정 노드로 이름이 바뀌었으며 로컬 파일 또는 SQL ServerTM 노드를 더 이상 포함하지 않습니다.

강력한 RADIUS 공유 암호 자동 생성 RADIUS 공유 암호는 RADIUS 메시지가 동일한 공유 암호로 구성된 RADIUS 클라이언트, 서버 또는 프록시로부터 전송되었는지 확인하는 데 사용됩니다. 또한 공유 암호는 암호 및 암호화 키 등 몇 가지 중요한 RADIUS 특성을 암호화하는 데에도 사용됩니다. 강력한 RADIUS 공유 암호는 임의의 문자, 숫자 및 문장 부호가 길게(23자 이상) 나열된 형태를 갖습니다.

NPS 스냅인을 사용하면 RADIUS 클라이언트를 추가 또는 편집할 때 강력한 RADIUS 공유 암호를 자동으로 생성할 수 있습니다. 이러한 강력한 공유 암호는 메모장 등의 텍스트 편집기에 복사할 수 있으므로 네트워크 액세스 장치 또는 NAP 적용 지점을 동일한 암호로 구성할 수 있습니다.

서버 관리자와의 통합 NPS는 초기 구성 작업 도구 및 서버 관리자 도구를 사용하여 설치할 수 있습니다. 두 경우 모두 네트워크 정책 및 액세스 서비스 역할과 함께 NPS를 설치합니다. 우선 초기 구성 작업 도구의 이 서버 사용자 지정에서 역할 추가 옵션을 클릭합니다. 서버 관리자 도구에서는 역할 요약을 열고 역할 추가를 클릭합니다.

NPS를 설치한 경우 서버 관리자의 콘솔 트리에서 역할 노드 아래에 있는 네트워크 정책 및 액세스 서비스를 클릭하여 NPS 서비스의 상태를 확인하고 지난 24시간 동안 발생한 오류 이벤트를 조회할 수 있습니다. 이 콘솔에서 네트워크 정책 및 액세스 서비스 노드를 확장하면 NPS 스냅인으로 NPS를 구성할 수 있습니다.

향상된 Netsh 지원 Windows Server 2003에서는 IAS를 구성하기 위한 netsh aaaa 컨텍스트의 명령이 한정되어 있었습니다. Windows Server 2008의 새로운 netsh nps 컨텍스트에서는 명령줄 또는 스크립트를 통해 NPS를 구성할 수 있는 명령이 더 많아졌습니다. 이제 netsh nps 명령을 사용하면 RADIUS 클라이언트와 원격 RADIUS 서버, 네트워크 정책, 로깅, NAP, 상태 정책, 시스템 상태 검사기, 업데이트 관리 서버 그룹 등을 구성할 수 있습니다. netsh nps 컨텍스트의 명령으로 스크립트를 구성하여 내결함성 구성에서 여러 NPS 서버의 설정을 동기화할 수 있는 방법으로 사용할 수 있습니다.

네트워크 정책 격리를 위한 소스 태그 네트워크 정책은 특정 유형의 네트워크 액세스 서버 또는 네트워크 정책을 분류하는 소스 태그가 되는 DHCP 서버, HRA 등의 NAP 적용 지점을 대상으로 구성될 수 있습니다. Windows Server 2008 기반의 액세스 서버와 NAP 적용 지점은 자신의 RADIUS 메시지에 이 소스 태그를 포함합니다. 액세스를 요청하는 RADIUS 메시지가 수신되면 NPS 서비스는 들어오는 메시지와 동일한 소스 태그가 있는 네트워크 정책을 찾습니다. 일치하는 정책이 없을 경우 NPS는 지정된 소스 태그가 없는 정책에 맞는 네트워크 정책을 찾게 됩니다.

네트워크 정책과 들어오는 RADIUS 메시지의 소스 태그를 사용하면 각기 다른 유형의 네트워크 정책들을 서로 격리할 수 있습니다. 예를 들어 DHCP 서버에 대한 네트워크 정책이 VPN 연결에 사용되지 않도록 할 수 있습니다.

Cisco Network Access Control과의 통합 NPS는 Cisco 하드웨어와 NAC(Network Access Control)를 사용하는 환경에 더욱 효과적으로 통합되는 기능을 지원합니다. 이러한 기능으로는 HCAP(호스트 자격 인증 프로토콜) 및 HCAP 조건 지원, 정책 만료 조건 지원, 네트워크 정책의 확장된 상태 네트워크 액세스 보호 설정에 대한 지원 등이 있습니다.

새로운 네트워크 정책 조건 NPS의 네트워크 정책에는 컴퓨터 그룹, 사용자 그룹, 허용된 EAP 유형, 클라이언트 및 액세스 서버 IPv6 주소 등을 지정하기 위한 새로운 조건이 있습니다. NPS에는 HCAP 지원을 위해 위치 그룹 및 사용자 그룹에 대한 새로운 조건이 있으며, NAP 지원을 위해서는 ID 유형, 상태 정책, NAP 지원 컴퓨터, 운영 체제, 정책 만료 등을 위한 새로운 정책 조건이 추가되었습니다.

NPS 스냅인 새로운 NPS 스냅인은 RADIUS 클라이언트와 원격 RADIUS 서버, 공통 네트워크 액세스 시나리오를 위한 네트워크 정책, NAP 시나리오를 위한 NAP 설정과 상태 정책, 로깅 설정 등을 더욱 쉽게 만들어 관리할 수 있도록 대폭 향상되었습니다.

RADIUS 클라이언트 및 서버 노드에서는 RADIUS 클라이언트(NPS가 RADIUS 서버로 작동할 경우에는 네트워크 액세스 서버, NAP 적용 지점 또는 기타 RADIUS 프록시)와 원격 RADIUS 서버 그룹(NPS가 RADIUS 프록시로 작동할 경우에는 다른 RADIUS 서버)을 구성할 수 있습니다.

정책 노드에서는 연결 요청 정책(NPS 서비스가 RADIUS 서버로 또는 프록시로 작동할 것인지 여부), 네트워크 정책(NPS 서비스가 RADIUS 서버로 작동할 경우 권한 부여 및 연결 설정과 제약 조건) 및 상태 정책(NAP 클라이언트를 위한 시스템 상태 규정 준수)을 구성할 수 있습니다. 세부 정보 창에서 연결 요청 정책 또는 네트워크 정책을 선택하면 NPS 스냅인에 정책의 조건과 설정이 표시됩니다. 그림 2에서 예제를 확인할 수 있습니다.

그림 2 향상된 NPS 스냅인 표시 내용

그림 2** 향상된 NPS 스냅인 표시 내용 **(더 크게 보려면 이미지를 클릭하십시오.)

네트워크 액세스 보호 노드의 시스템 상태 검사기 노드에서 NAP 상태 요구 사항을 구성할 수 있습니다. 업데이트 관리 서버 그룹 노드에서는 제한된 NAP 클라이언트가 VPN 및 DHCP NAP 적용 방법에 대해 액세스할 수 있는 서버 집합을 구성할 수 있습니다. 마지막으로 계정 노드에서는 NPS가 계정 정보를 저장하는 방법을 구성할 수 있습니다.

NPS 스냅인에는 NAP 적용 방법, 전화 접속 또는 VPN 기반 연결 및 802.1X 인증 유무선 연결에 필요한 정책과 RADIUS 클라이언트의 초기 구성 작업을 자동화하는 다양한 마법사가 포함되어 있습니다. NAP 적용 방법의 경우 NAP 마법사는 모든 연결 요청 정책, 네트워크 정책 및 상태 정책을 자동으로 구성합니다.

NPS 스냅인에서 NPS 노드를 클릭하면 이 새로운 마법사들을 사용할 수 있습니다. NAP 적용 방법에 대한 정책과 설정을 구성하려면 표준 구성 드롭다운 상자에서 네트워크 액세스 보호를 선택하고 NAP 구성을 클릭합니다. VPN 또는 전화 접속 네트워크 액세스에 대한 정책과 설정을 구성하려면 표준 구성 드롭다운 상자에서 전화 접속 또는 VPN 연결을 위한 RADIUS 서버를 선택하고 VPN 또는 전화 접속 구성을 클릭합니다. 802.1X 인증 유무선 액세스에 대한 정책과 설정을 구성하려면 표준 구성 드롭다운 상자에서 802.1X 무선 또는 유선 연결을 위한 RADIUS 서버를 선택하고 802.1X 구성을 클릭합니다.

각 마법사는 선택된 시나리오에 가장 일반적인 구성 요소에 대해 안내합니다. 그 중에서 NAP 적용 방법에 대한 마법사가 특히 유용합니다. VPN 적용에 대한 NAP 마법사를 통해 1개의 연결 요청 정책, 3개의 네트워크 정책(규정을 준수하는 NAP 클라이언트, 규정을 준수하지 않는 NAP 클라이언트 및 NAP를 지원하지 않는 클라이언트용) 및 2개의 상태 정책(규정을 준수하는 NAP 클라이언트와 규정을 준수하지 않는 NAP 클라이언트용)을 만들 수 있습니다.

이와 같은 새로운 NAP 마법사와 RADIUS 클라이언트, 원격 RADIUS 서버 그룹, 연결 요청 정책 및 네트워크 정책을 만들기 위한 기타 마법사를 사용하면 다양한 네트워크 액세스 시나리오에 맞게 NPS를 구성하는 작업을 훨씬 더 간편하게 수행할 수 있습니다.

Joseph Davies Microsoft의 기술 전문 저술가로 1992년부터 Windows 네트워킹을 주제로 글을 쓰고 가르치는 일을 하고 있습니다. Microsoft Press에서 5권의 책을 저술한 그는 월간 온라인 TechNet Cable Guy 칼럼의 저자이기도 합니다.

© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..