연결 요청 처리

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 토픽은 Windows Server 2016 네트워크 정책 서버의 연결 요청 처리 과정을 다룹니다.

참고 항목

이 주제와 더불어, 아래에서 연결 요청 처리에 관한 문서를 확인할 수 있습니다.

연결 요청 처리 기능을 통해 로컬 컴퓨터 또는 원격 RADIUS 서버 그룹에 속한 원격 RADIUS 서버 중 어디에서 연결 요청에 대한 인증을 수행할지 지정하실 수 있습니다.

네트워크 정책 서버(NPS)가 로컬 서버에서 실행되어 연결 요청을 인증하도록 구성하려면 기본 연결 요청 정책을 그대로 사용하시면 됩니다. 기본 정책 상, NPS는 로컬 도메인 및 신뢰할 수 있는 도메인에 계정을 소유한 사용자와 컴퓨터를 인증합니다.

원격 NPS 또는 다른 RADIUS 서버로 연결 요청을 전달하기 위해서는, 원격 RADIUS 서버 그룹을 생성하고 해당 그룹으로 요청을 전달하는 연결 요청 정책을 구성하세요. 이 구성을 통해 NPS는 인증 요청을 임의의 RADIUS 서버로 전달하여, 신뢰할 수 없는 도메인에 계정을 소유한 사용자도 인증할 수 있습니다.

아래 그림은 네트워크 액세스 서버의 액세스 요청 메시지가 RADIUS 프록시를 통해 원격 RADIUS 서버 그룹의 RADIUS 서버에 이르는 경로를 보여줍니다. RADIUS 프록시 환경에서는 네트워크 액세스 서버가 RADIUS 클라이언트 역할을 수행하며, 각 RADIUS 서버는 RADIUS 프록시를 RADIUS 클라이언트로서 구성합니다.

NPS 연결 요청 처리

참고 항목

NPS와 함께 사용하는 네트워크 액세스 서버는 802.1X 무선 액세스 포인트 및 인증 스위치, VPN 또는 다이얼업 서버로 구성된 원격 액세스 서버, 또는 다른 RADIUS 호환 장치와 같이 RADIUS 프로토콜을 준수하는 게이트웨이 장치일 수 있습니다.

NPS가 로컬에서 일부 인증 요청을 처리하고 나머지 요청은 원격 RADIUS 서버 그룹으로 전달하도록 구성하려면 두 개 이상의 연결 요청 정책을 설정하세요.

인증 요청을 처리할 NPS 또는 RADIUS 서버 그룹을 지정하는 연결 요청 정책 구성에 대한 자세한 내용은 연결 요청 정책을 참조하세요.

NPS 또는 다른 RADIUS 서버로 인증 요청을 전달하고자 하실 경우, 원격 RADIUS 서버 그룹을 참조하세요.

RADIUS 서버 연결 요청 처리로서의 NPS

NPS를 RADIUS 서버로 활용할 시, RADIUS 메시지를 통해 네트워크 액세스 연결에 대한 인증, 권한 부여 및 계정 기능이 제공됩니다.

  1. 다이얼업 네트워크 액세스 서버, VPN 서버, 무선 액세스 포인트와 같은 액세스 서버들은 액세스 클라이언트의 연결 요청을 수신하는 역할을 수행합니다.

  2. 액세스 서버는 RADIUS를 인증, 권한 부여, 계정 프로토콜로 사용하도록 구성된 경우, Access-Request 메시지를 생성하여 NPS에 전송합니다.

  3. NPS는 액세스 요청 메시지를 평가합니다.

  4. 필요할 경우, NPS는 액세스 서버에 Access-Challenge 메시지를 보냅니다. 액세스 서버는 챌린지에 대한 처리를 완료한 후, 갱신된 Access-Request 메시지를 NPS로 전송합니다.

  5. 사용자 자격 증명 확인 후, 도메인 컨트롤러에 대한 안전한 연결을 통해 사용자 계정의 다이얼인 속성을 가져옵니다.

  6. 사용자 계정의 다이얼인 속성 및 네트워크 정책에 따라 연결 시도가 승인됩니다.

  7. 연결 시도에 대한 인증 및 승인이 완료되면, NPS는 액세스 서버로 Access-Accept 메시지를 전송합니다. 인증 또는 승인에 실패할 경우, NPS는 액세스 서버에 Access-Reject 메시지를 전송합니다.

  8. 액세스 서버는 액세스 클라이언트와의 연결을 완료한 후, NPS에 Accounting-Request 메시지를 전송하여 기록합니다.

  9. NPS는 계정 응답을 액세스 서버에 보냅니다.

참고 항목

액세스 서버는 액세스 클라이언트와의 연결 설정 시, 연결 종료 시, 그리고 액세스 서버 자체의 시작 및 종료 시에 Accounting-Request 메시지를 전송합니다.

RADIUS 프록시 서버 연결 요청 처리로서의 NPS

NPS가 RADIUS 클라이언트와 RADIUS 서버 간 RADIUS 프록시 역할을 수행하는 경우, 네트워크 액세스 연결 시도 시 RADIUS 메시지는 아래와 같은 절차를 거쳐 전달됩니다.

  1. 액세스 클라이언트는 다이얼업 네트워크 액세스 서버, 가상 사설망(VPN) 서버, 무선 액세스 포인트와 같은 액세스 서버에 연결을 요청합니다.

  2. 액세스 서버는 인증, 권한 부여 및 계정 프로토콜로 RADIUS를 사용하도록 구성되며, NPS RADIUS 프록시 역할을 하는 NPS에 Access-Request 메시지를 전송합니다.

  3. NPS RADIUS 프록시는 Access-Request 메시지를 수신하고, 로컬에 구성된 연결 요청 정책에 따라 해당 메시지의 전달 경로를 결정합니다.

  4. NPS RADIUS 프록시는 Access-Request 메시지를 해당 RADIUS 서버로 전달합니다.

  5. RADIUS 서버는 액세스 요청 메시지를 평가합니다.

  6. 필요에 따라 RADIUS 서버는 Access-Challenge 메시지를 NPS RADIUS 프록시로 전송하며, NPS RADIUS 프록시는 이를 액세스 서버로 전달합니다. 액세스 서버는 액세스 클라이언트와 챌린지 처리를 완료한 후, 갱신된 Access-Request 메시지를 NPS RADIUS 프록시로 전송하며, 이후 NPS RADIUS 프록시는 해당 메시지를 RADIUS 서버로 전달합니다.

  7. RADIUS 서버는 연결 시도를 인증하고 권한을 부여합니다.

  8. 연결 시도에 대한 인증 및 승인이 완료되면, RADIUS 서버는 Access-Accept 메시지를 NPS RADIUS 프록시로 전송하며, 이후 NPS RADIUS 프록시는 해당 메시지를 액세스 서버로 전달합니다. RADIUS 서버는 연결 시도에 대한 인증 또는 승인이 이루어지지 않을 경우, Access-Reject 메시지를 NPS RADIUS 프록시로 전송하며, 이후 NPS RADIUS 프록시가 해당 메시지를 액세스 서버로 전달합니다.

  9. 액세스 클라이언트와의 연결 절차를 마친 액세스 서버는 NPS RADIUS 프록시 서버로 Accounting-Request 메시지를 전송합니다. NPS RADIUS 프록시는 계정 데이터를 기록하고 메시지를 RADIUS 서버로 전달합니다.

  10. RADIUS 서버에서 전송된 Accounting-Response 메시지는 NPS RADIUS 프록시를 거쳐 액세스 서버로 전달됩니다.

NPS에 대한 더 자세한 내용은, 네트워크 정책 서버 (NPS)를 참조하세요.