2 단계 기본 DirectAccess 배포 계획하기

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

DirectAccess 인프라 계획 수립 후, 기본 세팅으로 단일 서버 환경에서 DirectAccess 배포하기 위한 다음 단계는 시작 마법사 설정을 계획하는 것입니다.

작업 설명
클라이언트 배포 계획 기본적으로, 시작 마법사에서는 WMI 필터를 클라이언트 설정 GPO에 적용하면 도메인 내의 모든 랩톱 및 노트북 컴퓨터에 DirectAccess를 배포합니다.
DirectAccess 서버 배포 계획 DirectAccess 서버를 배포할 방법을 계획합니다.

클라이언트 배포 계획

클라이언트 배포를 계획할 때 결정해야 하는 두 가지 사항이 있습니다.

  1. DirectAccess를 이동 컴퓨터에서만 사용할 수 있나요, 아니면 모든 컴퓨터에서 사용할 수 있나요?

    시작 마법사에서 DirectAccess 클라이언트를 구성할 때 지정된 보안 그룹의 이동 컴퓨터에서만 DirectAccess를 사용하여 연결하도록 허용할 수 있습니다. 지정된 보안 그룹 소속 모바일 컴퓨터에만 DirectAccess 클라이언트 GPO가 적용될 수 있도록, DirectAccess는 WMI 필터를 자동으로 구성합니다. 이 설정을 사용하려면 DirectAccess 관리자에게 그룹 정책 WMI 필터를 만들거나 수정할 수 있는 권한이 있어야 합니다.

  2. DirectAccess 클라이언트 컴퓨터가 어떤 보안 그룹에 포함되나요?

    DirectAccess 설정은 DirectAccess 클라이언트 GPO에 포함됩니다. 이 GPO는 시작 마법사에서 지정한 보안 그룹에 속한 컴퓨터에 적용됩니다. 지원되는 모든 도메인에 보안 그룹이 포함되도록 지정할 수 있습니다. DirectAccess를 구성하기 전에, 보안 그룹을 만들어야 합니다. DirectAccess 배포를 완료한 후 보안 그룹에 컴퓨터를 추가할 수 있지만, 보안 그룹과 다른 도메인에 상주하는 클라이언트 컴퓨터를 추가한 경우 해당 클라이언트에는 클라이언트 GPO가 적용되지 않습니다. 예를 들어 도메인 A에 DirectAccess 클라이언트에 대한 SG1을 만들고 나중에 도메인 B의 클라이언트를 이 그룹에 추가하는 경우 도메인 B의 클라이언트에는 클라이언트 GPO가 적용되지 않습니다. 이 문제를 방지하려면 클라이언트 컴퓨터가 포함된 각 도메인에 대한 새 클라이언트 보안 그룹을 만들어야 합니다. 또는 새 보안 그룹을 만들지 않으려면 새 도메인의 새 GPO 이름으로 Add-DAClient cmdlet을 실행합니다.

DirectAccess 서버 배포 계획

DirectAccess 서버 배포를 계획할 때 결정할 몇 가지 사항이 있습니다.

  • 네트워크 토폴로지 - DirectAccess 서버를 배포할 때 사용할 수 있는 두 가지 토폴로지가 있습니다.

    • 네트워크 2개를어댑터 2개와 사용하면 인터넷에 직접 연결되는 하나의 네트워크 어댑터와 내부 네트워크에 연결되는 다른 네트워크 어댑터로 DirectAccess를 구성할 수 있습니다. 또는 방화벽이나 라우터와 같은 에지 디바이스 뒤에 서버가 설치됩니다. 이 구성에서는 네트워크 어댑터가 경계 네트워크와 내부 네트워크에 각각 하나씩 연결됩니다.

    • 단일 네트워크 어댑터 구성에서는 방화벽이나 라우터와 같은 에지 디바이스 뒤에 DirectAccess 서버가 설치됩니다. 네트워크 어댑터는 내부 네트워크에 연결됩니다.

  • 네트워크 어댑터 - DirectAccess 마법사는 DirectAccess 서버에 구성된 네트워크 어댑터를 자동으로 검색합니다. 검토 페이지에서 올바른 어댑터가 선택 되었는지 확인할 수 있습니다.

  • IP-HTTPS 인증서 -이 배포에서 PKI가 필요 없으므로, 인증서가 없는 경우 마법사는 IP-HTTPS와 네트워크 위치 서버에 자체 서명된 인증서를 자동으로 프로비전하고 Kerberos 프록시를 자동으로 활성화합니다. 또한 마법사는 IPv4 전용 환경에서 프로토콜 변환에 NAT64 및 DNS64를 활성화합니다. 마법사가 완료 되 면 구성을 적용 클릭 닫기합니다.

  • Windows 7 클라이언트 - 시작 마법사에서 Windows 7 클라이언트에 대한 지원을 사용하도록 설정할 수 없습니다. 고급 설치 마법사에서 사용하도록 설정할 수 있습니다. 자세한 내용은, 고급 설정을 사용해 단일 DirectAccess 서버 배포 를 참조하세요.

  • VPN 구성 -DirectAccess를 구성하기 전에 원격 클라이언트에 VPN 액세스를 제공할지 여부를 결정합니다. VPN 액세스는 DirectAccess 연결을 지원하지 않는 클라이언트 컴퓨터(관리되지 않았거나 DirectAccess를 지원하지 않는 운영 체제를 실행하는 경우 등)가 조직 내에 존재할 때 제공되어야 합니다. 시작 마법사는 DHCP를 사용하여 VPN IP 주소 할당을 구성하고 Active Directory를 사용하여 VPN 클라이언트를 인증하도록 구성합니다.

  • 강제 터널링 -강제 터널링을 사용하거나 나중에 추가할 수 있는 경우 고급 설정이 있는 단일 DirectAccess 서버 배포를 사용하여 두 개의 터널 구성을 배포해야 합니다. 보안을 고려하여 단일 터널 구성에서 강제 터널링은 지원되지 않습니다.