[Dongclee의 2012년 11월 첫 번째 포스팅] Windows Server 2012 Series 18 : Remote Access 서비스의 A to G Step-by-Step 가이드

  • Article

안녕하세요… 이동철입니다.

11월이 거의 끝나가는 29일 새벽입니다. 점차 게을러지는 제 모습을 보면서 이젠 서서히 제 능력의 딸림을 느끼게 됩니다. 12월에는 정말 최대한 빨리 좋은 포스팅을 하겠습니다.

오늘 여러분들에게 소개해 드릴 내용은 Windows Server 2012 Remote Service에 대한 A to G 입니다. A to G 로 제가 정한 이유는 Remote Access 서비스의 전체 내용을 모두 소개하지는 못 해서 추후 포스팅을 염두에 둔 제목입니다. ^-^

Windows Server 2012 Remote Access 서비스는 바로 기존 OS의 DirectAccess 서비스와 RRAS 서비스를 결합한 것입니다. 실제 Windows Server 2012 Remote Access 역할을 선택하게 되면, “DirectAccess and VPN (RAS)” 및 “Routing” 2가지 역할 서비스를 선택할 수 있음을 확인할 수 있습니다.

기존 버전에 비해서 Windows Server 2012 Remote Access 서비스의 향상된 주요 기능은 아래와 같습니다.

  • DirectAccess 및 RRAS 공존 (共存)

DirectAccess 및 RRAS 는 적대적인 인바운드 트래픽으로 부터 서버를 보호하기 위한 보안 기능을 구현할 수 있습니다. Windows Server 2012 以前 버전에서는, DirectAccess 및 RRAS가 동일 서버에 존재한다면, 각각의 보안 기능을 방해합니다. 그러므로, 동일 서버에 2개의 서비스를 구성하게 되면, 각 서비스는 서로의 기능을 방해합니다. DirectAccess 서버와 클라이언트 연결을 위해, IPv6 변환(變換, transition) 기술을 사용합니다. 반면에, 보안을 강화하기 위해, RRAS는 IKEv2 (Internet Key Exchange v2) IPsec을 사용합니다. IKEv2 IPsec 기술은 IPv6 변환(變換, transition) 기술을 사용하는 모든 패킷을 차단하도록 incoming 및 outgoing 패킷 필터를 구성합니다. 즉, DirectAccess 구현을 위해 반드시 필요한 IPv6 변환(變換, transition) 패킷은 RRAS의 IKEv2에 의해 차단됩니다. 그러므로, Windows Server 2012 以前 버전에서는, DirectAccess 와 RRAS는 동일 서버에 공존할 수가 없습니다. DirectAccess는 회사 내부 네트워크의 자원을 보호하기 위해 IPsec DoSP (Denial of Service Proection)를 구현합니다. ICMPv6 패킷을 제외한, “IPsec에 의해 보호되지 않은 IPv6 트래픽” 및 “모든 IPv4 트래픽”을 DoSP는 차단합니다. 즉, RRAS에 의해 전달되는 non-IPsec IPv6 트래픽 및 모든 IPv4 트래픽은 DirectAccess에 의해 차단될 수 있습니다. Windows Server 2012 의 DirectAccess는 RRAS 트래픽을 허용하도록 IPsec DoSP 기능을 수정하였습니다. 또한, Windows Server 2012 RRAS는 IPv6 변환(變換, transition) 기술을 허용하도록 IKEv2 정책을 수정하였습니다. 즉, 이러한 기능 및 정책의 변경을 통해, DirectAccess 및 RRAS는 동일 서버에 공존할 수 있습니다.

  • DirectAccess 구성의 PKI 전제조건() 제거

Windows 7 DirectAccess는 서버 및 클라이언트 인증서 기반 인증을 위해 반드시 PKI 환경이 필요합니다. 즉, PKI 환경이 Windows 7 DirectAccess 배포의 가장 큰 장애물이기도 했습니다. Windows Server 2012 DirectAccess에서, Kerberos 프록시 기반의 HTTPS를 구현함으로써 상호 인증 기능을 수행할 수 있습니다. 클라이언트 인증 요청은 DirectAccess 서버에서 수행되는 Kerberos 프록시 서비스에 보내집니다. Kerberos 프록시는 클라이언트 대신에 도메인 컨트롤러에 Kerberos 요청을 보냅니다.

  • 내부 IPv4-only 자원 접근을 위한 NAT64 및 DNS64 지원

내부 IPv4-only 자원에 접근하기 위해서, DirectAccess 클라이언트의 IPv6 통신을 IPv4 통신으로 변경하기 위하여 Windows Server 2012 DirectAccess는 NAT64 및 DNS64 게이트웨이 기능을 지원합니다.

  • 사용자 및 서버 상태 모니터링 (User 및 Server Health Monitoring)

RRAS 및 DirectAccess의 모니터링 및 진단 기능은 Windows Server 2008 R2에서는 극히 제약적이었습니다. DirectAccess를 위한 모니터링 기능은 DirectAccess 및 구성요소의 기본적인 상태 모니터링을 포함합니다. 가용한 모니터링 데이터 및 통계 정보는 관리자에게 약간 부족하고 분명하지 않습니다. Windows Server 2012에 소개된 사용자 및 서버 상태 모니터링 기능을 사용하여, 관리자는 DirectAccess 클라이언트 및 연결의 모든 상태 및 동작을 확인할 수 있습니다. 모니터링 콘솔은 DirectAccess 서버의 부하, 사용자 행위 및 현재 자원 사용률을 추적하기 위해 사용됩니다. 관리자는 이러한 정보를 사용하여 잠재적으로 원하지 않는 또는 적절하지 않은 사용 행태를 구분합니다. 진단 추적은 모니터링 콘솔에서 활성화할 수 있습니다.

본 포스팅에서는 기존 인트라넷 서버 환경이 IPv4 주소 만으로 구성되었을 경우, 외부 네트워크에서 별도의 VPN 연결 없이 내부 인트라넷 서버를 접근할 수 있는 DirectAccess 서버 및 기타 구성에 대한 Step-by-Step 을 소개합니다. DirectAccess를 위해 필요한 각종 기반 기술 및 IPv6 변환 기술등은 아래 링크를 참조하시기 바랍니다.

기본적인 데모 환경은 아래와 같습니다.

본 가이드는 크게 Windows Server 2012 DirectAccess 서버가 Windows 8 클라이언트만을 지원하도록 구성하는 방법과 Windows 8 및 Windows 7 클라이언트를 동시에 지원할 수 있도록 구성하는 방법등 총 2가지 부분으로 나누어져 있습니다.

앞서, Windows Server 2012 Remote Access 서비스의 주요 기능으로써, DirectAccess 2012는 PKI 인프라가 필요 없음을 장점으로 소개했습니다. 그러나, 이 부분은 DirectAccess 클라이언트가 Windows 8 만이 있을 경우에도 가능한 부분입니다. 만약, Windows 7 클라이언트가 DirectAccess 클라이언트로 작동할려면, 반드시 PKI 인프라가 미리 구축되어 있어야 합니다. 여러분 이점 꼭 유념해 주시기를 바랍니다.

한 가지 양해의 말씀은 첨부 파일의 스크린샷 화면이 영어 OS 및 한글 OS로 혼재 되어 있음을 알려 드립니다.

저는 12월에 이번 포스팅 환경을 그대로 사용하여, DirectAccess 서버와 VPN 서버를 동시에 한 서버에 구축하는 내용을 소개할 예정입니다. 날씨가 급 추워지고 있습니다. 감기 조심하세요.

Windows Server 2012 Remote Access IPv4 only DirectAccess.pdf

Comments

  • Anonymous
    January 01, 2003
    흰둥이님... 멘트 감사합니다. Office365와 연계하는 시나리오도 한 번 검토해 보겠습니다. 기타 다른 문의 사항 있으시면 언제든지 멘션 남겨주세요

  • Anonymous
    January 01, 2003
    xgraph 님.... 제가 답변이 좀 늦었네요... 테스트용으로 사용 가능한 DirectAccess는 별도로 없구요,, 제 포스팅 자료처럼 가상의 Testbed를 구축하여 테스트 하는 방법이 있습니다. 실제 사용 가능한 환경을 구축하시고 싶으시면, Windows Server 2008 R2 Domain Controller 서버 1대 와 DirectAccess 용의 Windows Server 2012 Member Server 한 대를 준비하시면 바로 구축하실 수 있습니다. 그리고, 실제 저희 Microsoft 내부 직원들은 현재 모두 DirectAccess 를 사용하고 있습니다. 별도의 업체 정보는 없구요,, 혹시라도 xgraph 님의 회사에 테스트 용도로 구축하고 싶으시면 저에게 별도로 메일 주시면 될 것 같습니다 제 메일은 xgraph@naver.com 으로 알려 드리겠습니다.

  • Anonymous
    January 01, 2003
    Incheon Minu 님.. 맞습니다. TestLab 자체는 위 그림에서 처럼, 회사내부망, 인터넷망, 공유기 뒷단의 homenet 망을 simulate 할 수 있습니다. 그러므로, Test Lab 자체는 어찌보면, real 하게는 Hyper-V 호스트 상에서 구현할 수 있는 폐쇄망으로 생각하셔도 됩니다. 그러므로, DirectAccess가 동작하는 데는 문제가 없습니다.

  • Anonymous
    January 01, 2003
    hackerc 님,,,,,, 제가 요즘 블로그 관리를 안 하다 보니 답변이 늦었습니다.
    Test Lab에서는 Windows client를 인터넷으로 연결할 방법은 현재로써는 없습니다. 실제 Windows Server 2012 기반의 Test Lab 환경에서, DirectAccess를 구현해 보면, Windows Client가 실제 인터넷에 연결되어 있지 않기 때문에, DirectAccess가 작동하지 않는 것 처럼 보이지만, 실제 연결에는 문제가 없습니다. 다만, PowerShell에서 DirectAccess 의 상태를 확인해 보면, error 처럼 보이지만, 실제 DirectAccess 기능 테스트에는 문제가 없습니다. 답변이 좀 허잡하네요 ^-^ 기타 문의 사항있으시면 언제든 연락 주세요

  • Anonymous
    January 01, 2003
    답변 정말 고맙습니다.

    그렇다면 TestLab이 폐쇄된 망에 존재해도 DirectAccess 작동에는 전혀 문제가 없다는 것이죠?

  • Anonymous
    January 01, 2003
    답변 고맙습니다.
    w2k8 r2 Direct Access 구현에 비해 w2k12 r2 Direct Access는 정말 구현이 쉬워졌네요. IP-HTTPS 관련 설정을 자동으로 해준다는 것이 정말 편한 것 같습니다.

  • Anonymous
    December 16, 2012
    매번 새로운 자료에 감사합니다. 국내에서는 많이 사례가 없지만 Office 365와 연계하는 시나리오와 자료도 부탁드려요^^

  • Anonymous
    February 19, 2013
    안녕하세요. 좋은자료 감사합니다. 좀 엉뚱한 질문이지만, 한가지 문의 드립니다. 테스트용으로 사용가능한 Direct Access 구현된곳이 있을까요? Direct Access 환경에 접속하여 동작확인하는 테스트를 진행해보려고 하는데 Testbed를 직접 구축해야하는지? 사용가능한 대여 환경이 있는가 해서요... 혹 관련된 업체나 정보 있으시면 부탁드리겠습니다. 감사합니다. xgraph@네이버닷컴 입니다.

  • Anonymous
    January 14, 2015
    문서 잘 봤습니다. 정말 감사합니다.

    그런데 질문이 하나 있는데요

    Test Lab을 구성했을 때 Window Client가 인터넷에 연결되어야 기술 구현이 가능 한 것 같은데요.

    어떻게 인터넷에 연결된 상황을 만들 수 있나요?

    Window 에서는 인터넷 연결을 어떻게 인식하나요?

    Window Server 2008에서는 구현 후 어떻게 하다보면 갑자기 그냥 연결이 되었는데

    그때는 이유를 몰랐지만 지금 보니까 Internet을 연결한 상황이 되어야 하는 것 같습니다.

    클라이언트가 인터넷에 연결되었다고 표시 시키기 위해서는 어떻게 해야하나요?