네트워크 정책 서버 모범 사례

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 토픽을 사용하여 네트워크 정책 서버 (NPS)를 배포하고 관리하는 모범 사례에 대해 알아볼 수 있습니다.

다음 섹션에서는 NPS 배포의 다양한 측면에 대한 모범 사례를 제공합니다.

회계업

다음은 NPS 로깅에 대한 모범 사례입니다.

NPS에는 두 가지 유형의 계정 또는 로깅이 있습니다.

  • NPS에 대한 이벤트 로깅. 이벤트 로깅을 사용하여 시스템 및 보안 이벤트 로그에 NPS 이벤트를 기록할 수 있습니다. 이는 주로 연결 시도 감사 및 문제 해결에 사용됩니다.

  • 사용자 인증 및 계정 요청을 로깅. 사용자 인증 요청 및 계정 요청을 로그 파일에 텍스트 형식 또는 데이터베이스 형식으로 로그하거나 Microsoft SQL Server 데이터베이스의 저장 프로시저에 로그할 수 있습니다. 요청 로깅은 주로 연결 분석 및 청구 목적으로 사용되며, 보안 조사 도구로도 유용하여 공격자의 활동을 추적하는 방법을 제공합니다.

NPS 로깅을 가장 효과적으로 사용하려면,

  • 인증 및 계정 레코드 모두에 대한 로깅(처음에는)을 켭니다. 환경에 적합한 항목을 확인한 후 이러한 선택을 수정하세요.

  • 이벤트 로깅이 로그를 유지하기에 충분한 용량으로 구성되었는지 확인하세요.

  • 모든 로그 파일은 손상되거나 삭제될 때 다시 만들 수 없으므로 정기적으로 백업하세요.

  • RADIUS Class 속성을 사용하여 사용량을 추적하고, 어느 부서나 사용자에게 요금을 청구할지 식별하는 과정을 단순화할 수 있습니다. 자동으로 생성된 클래스 특성은 각 요청에 대해 고유하지만 액세스 서버에 대한 회신이 손실되고 요청이 다시 전송되는 경우 중복 레코드가 있을 수 있습니다. 사용량을 정확하게 추적하려면 로그에서 중복 요청을 삭제해야 할 수 있습니다.

  • 네트워크 액세스 서버와 RADIUS 프록시 서버가 NPS에 가상의 연결 요청 메시지를 주기적으로 전송하여 NPS가 온라인인지 확인하는 경우 ping 사용자 이름 레지스트리 설정을 사용합니다. 이 설정은 NPS가 이러한 잘못된 연결 요청을 처리하지 않고 자동으로 거부하도록 구성합니다. 또한 NPS는 가상의 사용자 이름이 포함된 트랜잭션을 로그 파일에 기록하지 않으므로 이벤트 로그 해석이 더 쉬워집니다.

  • NAS 알림 전달 비활성화 하기. NPS로 구성된 원격 RADIUS 서버 그룹의 구성원에게 네트워크 액세스 서버 (NASs)에서 시작 및 중지 메시지의 전달을 사용하지 않도록 설정할 수 있습니다. 자세한 내용은, NAS 알림 전달 비활성화를 참조하세요.

더 자세한 내용은 네트워크 정책 서버 계정 구성을 참조 하세요.

  • SQL Server 로깅을 사용하여 장애 조치 및 중복성을 제공하려면 다른 서브넷에 SQL Server를 실행하는 두 대의 컴퓨터를 배치합니다. SQL Server 게시 마법사 만들기 를 사용하여 두 서버 간에 데이터베이스 복제를 설정합니다. 자세한 내용은, SQL Server 기술 설명서SQL Server 복제 를 참조하세요.

인증

다음은 인증에 관한 모범 사례입니다.

  • 강력한 인증을 위해 보호된 확장 가능 인증 프로토콜 (PEAP) 및 확장가능한 인증 프로토콜 (EAP)와 같은 인증서 기반 인증 방법을 사용합니다. 암호만 사용하는 인증 방법은 다양한 공격에 취약하고 안전하지 않으므로 사용하지 마세요. 보안 무선 인증의 경우 NPS가 서버 인증서를 사용하여 무선 클라이언트에 대한 ID를 증명하는 반면 사용자는 사용자 이름 및 암호로 ID를 증명하기 때문에 PEAP-MS-CHAP v2를 사용하는 것이 좋습니다. 무선 배포에서 NPS를 사용하는 방법에 대한 자세한 내용은, 암호 기반 802.1X 인증된 무선 액세스 배포를 참조하세요.
  • PEAP 및 EAP 등 NPS에서 서버 인증서를 사용해야 하는 강력한 인증서 기반 인증 방법을 사용하는 경우 Active Directory® Certificate Services (AD CS) 를 사용하여 인증 기관 (CA)을 배포합니다. CA를 사용하여 컴퓨터 인증서 및 사용자 인증서를 등록할 수도 있습니다. NPS 및 원격 액세스 서버에 서버 인증서를 배포하는 방법에 대한 자세한 내용은 802.1X 유선 및 무선 배포용 서버 인증서 배포를 참조하세요 .

Important

NPS(네트워크 정책 서버)는 암호 내에서 확장 ASCII 문자의 사용을 지원하지 않습니다.

클라이언트 컴퓨터 구성

클라이언트 컴퓨터 구성에 대한 모범 사례는 다음과 같습니다.

  • 그룹 정책을 사용하여 모든 도메인 구성원 802.1X 클라이언트 컴퓨터를 자동으로 구성합니다. 자세한 내용은, 무선 액세스 배포 항목의 "무선 네트워크 구성(IEEE 802.11) 정책" 섹션을 참조하세요.

설치 제안

다음은 NPS 설치에 대한 모범 사례입니다.

  • NPS를 설치하기 전에 로컬 인증 방법을 사용하여 각 네트워크 액세스 서버를 설치하고 테스트한 후 NPS에서 RADIUS 클라이언트로 구성합니다.

  • NPS를 설치하고 구성한 후 Windows PowerShell 명령 Export-NpsConfiguration을 사용하여 구성을 저장합니다. NPS를 다시 구성할 때마다 이 명령으로 NPS 구성을 저장합니다.

주의

  • 내보낸 NPS 구성 파일은 RADIUS 클라이언트의 암호화되지 않은 공유 암호와 원격 RADIUS 서버 그룹의 구성원을 포함합니다. 이 때문에 파일을 안전한 위치에 저장해야 합니다.
  • 내보내기 프로세스에는 내보낸 파일에 Microsoft SQL Server에 대한 로깅 설정이 포함되어 있지 않습니다. 내보낸 파일을 다른 NPS로 가져오는 경우 새 서버에서 SQL Server 로깅을 수동으로 구성해야 합니다.

NPS 성능 튜닝

다음은 NPS 성능 튜닝에 대한 모범 사례입니다.

  • NPS 인증 및 권한 부여 응답 시간을 최적화하고 네트워크 트래픽을 최소화하려면 도메인 컨트롤러에 NPS를 설치하세요.

  • 유니버설 보안 주체 이름 (UPNs) 또는 Windows Server 2008 및 Windows Server 2003 도메인을 사용하는 경우 NPS는 글로벌 카탈로그를 사용하여 사용자를 인증합니다. 이 작업을 수행하는 데 걸리는 시간을 최소화하려면 NPS를 글로벌 카탈로그 서버 또는 글로벌 카탈로그 서버와 동일한 서브넷에 있는 서버에 설치하세요.

  • 원격 RADIUS 서버 그룹을 구성하고 NPS 연결 요청 정책에서 다음 원격 RADIUS 서버 그룹 확인란의 서버에 대한 계정 정보 기록 선택을 취소하면 이러한 그룹은 여전히 네트워크 액세스 서버 (NAS) 시작 및 중지 알림 메시지를 보냅니다. 그러면 불필요한 네트워크 트래픽이 생성됩니다. 이 트래픽을 제거하려면 네트워크 시작 및 중지 알림을 이 서버 확인란의 선택을 취소하여 각 원격 RADIUS 서버 그룹의 개별 서버에 대한 NAS 알림 전달 을 사용하지 않도록 설정합니다.

대규모 조직에서 NPS 사용

다음은 대규모 조직에서 NPS를 사용하는 모범 사례입니다.

  • 네트워크 정책을 사용하여 특정 그룹을 제외한 모든 그룹에 대한 액세스를 제한하는 경우 액세스를 허용하려는 모든 사용자에 대한 유니버설 그룹을 만든 다음 이 범용 그룹에 대한 액세스 권한을 부여하는 네트워크 정책을 만듭니다. 특히 네트워크에 사용자가 많은 경우 모든 사용자를 유니버설 그룹에 직접 배치하지 마세요. 대신 유니버설 그룹의 구성원인 별도의 그룹을 만들고 해당 그룹에 사용자를 추가합니다.

  • 가능하면 사용자 계정 이름을 사용하여 사용자를 참조합니다. 도메인 멤버 자격에 관계없이 사용자는 동일한 사용자 계정 이름을 가질 수 있습니다. 이 방법은 도메인 수가 많은 조직에서 필요할 수 있는 확장성을 제공합니다.

  • 도메인 컨트롤러가 아닌 컴퓨터에 네트워크 정책 서버 (NPS)를 설치하고 NPS가 초당 많은 수의 인증 요청을 수신하는 경우 NPS와 도메인 컨트롤러 간에 허용되는 동시 인증 수를 늘려 NPS 성능을 향상시킬 수 있습니다. 자세한 내용은, NPS에서 처리하는 동시 인증 증가를 참조하세요.

보안 문제

다음은 보안 문제를 줄이기 위한 모범 사례입니다.

NPS를 원격으로 관리하는 경우 일반 텍스트로 네트워크를 통해 중요한 또는 기밀 데이터(예: 공유 비밀 또는 암호)를 보내지 마세요. NPS의 원격 관리에 권장되는 두 가지 방법이 있습니다.

  • 원격 데스크톱 서비스를 사용하여 NPS에 액세스합니다. 원격 데스크톱 서비스를 사용하는 경우 클라이언트와 서버 간에 데이터가 전송되지 않습니다. 서버의 사용자 인터페이스(예: 운영 체제 데스크톱 및 NPS 콘솔 이미지)만 Windows® 10에서 원격 데스크톱 연결이라는 원격 데스크톱 서비스 클라이언트로 전송됩니다. 클라이언트는 원격 데스크톱 서비스를 사용하도록 설정된 서버에서 로컬로 처리하는 키보드 및 마우스 입력을 보냅니다. 원격 데스크톱 서비스 사용자가 로그온할 때 서버에서 관리하고 서로 독립적인 개별 클라이언트 세션만 볼 수 있습니다. 또한 원격 데스크톱 연결은 클라이언트와 서버 간에 128비트 암호화를 제공합니다.

  • 인터넷 프로토콜 보안 (IPsec)을 사용하여 기밀 데이터를 암호화합니다. IPsec을 사용하여 NPS를 관리하는 데 사용하는 NPS와 원격 클라이언트 컴퓨터 간의 통신을 암호화할 수 있습니다. 서버를 원격으로 관리하려면 클라이언트 컴퓨터에 Windows 10용 원격 서버 관리 도구 를 설치할 수 있습니다. 설치 후 Microsoft 관리 콘솔 (MMC)를 사용하여 NPS 스냅인을 콘솔에 추가합니다.

Important

Windows 10 Professional 또는 Windows 10 Enterprise의 전체 릴리스에서만 Windows 10용 원격 서버 관리 도구를 설치할 수 있습니다.

NPS에 대한 더 자세한 내용은, 네트워크 정책 서버 (NPS)를 참조하세요.