네트워크 정책 구성

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 항목을 활용하여 NPS에서 네트워크 정책을 구성할 수 있습니다.

네트워크 정책 추가

NPS(네트워크 정책 서버)는 네트워크 정책 및 사용자 계정의 전화 접속 속성을 사용하여 연결 요청이 네트워크에 연결할 권한이 있는지 여부를 확인합니다.

이 절차를 사용하여 NPS 콘솔 또는 원격 액세스 콘솔에서 새 네트워크 정책을 구성할 수 있습니다.

권한 부여 수행

NPS가 연결 요청의 권한 부여를 수행할 때, 요청을 정책 목록의 첫 번째 정책부터 시작하여 구성된 정책 목록을 따라 내려가면서 각 네트워크 정책과 비교합니다. NPS가 조건이 연결 요청과 일치하는 정책을 찾으면, 일치하는 정책과 사용자 계정 전화 접속 속성을 사용하여 요청 권한 부여를 수행합니다. 사용자 계정의 전화접속 속성이 액세스를 허용하거나 네트워크 정책을 통해 액세스를 제어하도록 구성되고 연결 요청이 승인되면, NPS는 네트워크 정책에 구성된 설정을 연결에 적용합니다.

NPS가 연결 요청과 일치하는 네트워크 정책을 찾지 못하면 사용자 계정의 전화 접속 속성이 액세스 권한을 부여하도록 설정되지 않는 한 연결 요청은 거부됩니다.

사용자 계정의 전화 접속 속성이 액세스 거부로 설정되어 있으면 연결 요청은 NPS에 의해 거부됩니다.

키 설정

새 네트워크 정책 마법사를 사용하여 네트워크 정책을 만들 때 네트워크 연결 방식에서 지정한 값은 정책 유형 조건을 자동으로 구성하는 데 사용됩니다.

  • 기본값인 '지정되지 않음’을 유지하면, 생성한 네트워크 정책은 모든 종류의 네트워크 액세스 서버(NAS)를 사용하는 모든 네트워크 연결 유형에 대해 NPS에 의해 평가됩니다.
  • 네트워크 연결 방식을 지정하는 경우 NPS는 지정한 네트워크 액세스 서버 유형에서 연결 요청이 시작된 경우에만 네트워크 정책을 평가합니다.

정책이 사용자의 네트워크 연결을 허용하길 원하면 액세스 권한 페이지에서 액세스 권한 부여됨을 선택해야 합니다. 정책이 사용자의 네트워크 연결을 차단하길 원한다면 액세스 거부를 선택합니다.

AD DS(Active Directory® Domain Services)의 사용자 계정 전화 접속 속성에 따라 액세스 권한을 결정하려면 액세스가 사용자 전화 접속 속성에 따라 결정됨 확인란을 선택하세요.

멤버 자격이 Domain Admins, 또는 이와 동등한 최소한이이 절차를 완료 합니다.

네트워크 정책을 추가하려면

  1. NPS 콘솔을 연 다음 정책을 더블 클릭합니다.

  2. 콘솔 트리에서 네트워크 정책을 마우스 우 클릭하고 새로 만들기를 클릭합니다. 새 네트워크 정책 마법사가 열립니다.

  3. 새 네트워크 정책 마법사를 사용하여 정책을 만드세요.

마법사를 사용하여 전화 접속 또는 VPN에 대한 네트워크 정책 만들기

이 절차를 사용하여 전화 접속 서버 또는 가상 사설망(VPN) 서버를 NPS RADIUS 서버의 원격 인증 서비스(RADIUS) 클라이언트로 배포하는 데 필요한 연결 요청 정책 및 네트워크 정책을 생성할 수 있습니다.

참고 항목

노트북 컴퓨터 및 클라이언트 운영 체제를 실행 중인 기타 컴퓨터와 같은 클라이언트 컴퓨터는 RADIUS 클라이언트가 아닙니다. RADIUS 클라이언트는 무선 액세스 포인트, 802.1X 인증 스위치, VPN(가상 사설망) 서버 및 전화 접속 서버와 같이 RADIUS 프로토콜을 사용하여 NPS와 같은 RADIUS 서버와 통신하기 때문에 네트워크 액세스 서버입니다.

이 절차는 NPS에서 새 전화 접속 또는 가상 사설망 연결 마법사를 여는 방법을 설명합니다.

마법사를 실행하면 다음 정책이 만들어집니다.

  • 한 개의 연결 요청 정책
  • 한 개의 네트워크 정책

전화 접속 서버 및 VPN 서버에 대한 새 정책을 만들어야 할 때마다 새 전화 접속 또는 가상 사설망 연결 마법사를 실행할 수 있습니다.

새 전화 접속 또는 가상 사설망 연결 마법사를 실행하는 것은 전화 접속 또는 VPN 서버를 RADIUS 클라이언트로 NPS에 배포하는 데 필요한 유일한 단계는 아닙니다. 두 네트워크 액세스 방식 모두 추가 하드웨어 및 소프트웨어 구성 요소를 배포해야 합니다.

멤버 자격이 Domain Admins, 또는 이와 동등한 최소한이이 절차를 완료 합니다.

마법사를 사용하여 전화 접속 또는 VPN에 대한 네트워크 정책을 만들려면

  1. NPS 콘솔을 엽니다. 아직 선택되지 않은 경우 NPS(로컬)을 클릭하세요. 원격 NPS에서 정책을 만들기 원한다면 서버를 선택합니다.

  2. 시작하기표준 구성에서 전화 접속 또는 VPN 연결에 대한 RADIUS 서버를 선택합니다. 텍스트 아래의 텍스트와 링크가 당신의 선택을 반영하도록 변경됩니다.

  3. 마법사를 사용하여 VPN 또는 전화 접속 구성을 클릭합니다. 새 전화 접속 또는 가상 사설망 연결 마법사가 열립니다.

  4. 마법사의 지침에 따라 새 정책 만들기를 완료하세요.

마법사를 사용하여 802.1X 유선 또는 무선 네트워크 정책 만들기

이 절차를 사용하여 802.1X 인증 스위치 또는 802.1X 무선 액세스 포인트를 NPS RADIUS 서버의 원격 인증 서비스(RADIUS) 클라이언트로 배포하는 데 필요한 연결 요청 정책 및 네트워크 정책을 생성할 수 있습니다.

이 절차는 NPS에서 새 IEEE 802.1X 보안 유선 및 무선 연결 마법사를 시작하는 방법을 설명합니다.

마법사를 실행하면 다음 정책이 만들어집니다.

  • 한 개의 연결 요청 정책
  • 한 개의 네트워크 정책

802.1X 액세스에 대한 새 정책을 만들어야 할 때마다 새 IEEE 802.1X 보안 유선 및 무선 연결 마법사를 실행할 수 있습니다.

새 IEEE 802.1X 보안 유선 및 무선 연결 마법사를 실행하는 것만으로는 802.1X 인증 스위치 및 무선 액세스 포인트를 NPS의 RADIUS 클라이언트로 배포하는 데 필요한 모든 단계를 완료할 수 없습니다. 두 네트워크 액세스 방식 모두 추가 하드웨어 및 소프트웨어 구성 요소를 배포해야 합니다.

멤버 자격이 Domain Admins, 또는 이와 동등한 최소한이이 절차를 완료 합니다.

마법사를 사용하여 802.1X 유선 또는 무선에 대한 정책을 생성하려면

  1. NPS의 서버 관리자에서 도구를 클릭하고 네트워크 정책 서버를 클릭합니다. NPS 콘솔이 열립니다.

  2. 아직 선택되지 않은 경우 NPS(로컬)을 클릭하세요. 원격 NPS에서 정책을 만들기 원한다면 서버를 선택합니다.

  3. 시작하기표준 구성에서 802.1X 무선 또는 유선 연결을 위한 RADIUS 서버를 선택합니다. 텍스트 아래의 텍스트와 링크가 당신의 선택을 반영하도록 변경됩니다.

  4. 마법사를 사용하여 802.1X 구성을 클릭합니다. 새 IEEE 802.1X 보안 유선 및 무선 연결 마법사가 열립니다.

  5. 마법사의 지침에 따라 새 정책 만들기를 완료하세요.

사용자 계정 전화 접속 속성을 무시하도록 NPS 구성

이 절차를 사용하여 권한 부여 과정에서 Active Directory의 사용자 계정의 전화 접속 속성을 무시하도록 NPS 네트워크 정책을 구성합니다. Active Directory 사용자 및 컴퓨터의 사용자 계정에는 전화 접속 속성이 있으며, NPS는 권한 부여 과정에서 이를 평가합니다. 단, 사용자 계정의 네트워크 액세스 권한 속성이 NPS 네트워크 정책을 통해 액세스 제어로 설정된 경우는 제외됩니다.

Active Directory에서 사용자 계정의 전화 접속 속성을 무시하도록 NPS를 구성하기를 원할 수 있는 두 가지 상황이 있습니다.

  • 네트워크 정책을 사용하여 NPS 권한 부여를 단순화하려 하지만, 모든 사용자 계정의 네트워크 액세스 권한 속성이 NPS 네트워크 정책을 통해 액세스 제어로 설정되어 있지 않은 경우. 예를 들어 일부 사용자 계정의 네트워크 액세스 권한 속성이 액세스 거부 또는 액세스 허용으로 설정되어 있을 수 있습니다.

  • 사용자 계정의 다른 전화 접속 속성이 네트워크 정책에 구성된 연결 유형에 적용되지 않는 경우. 예를 들어 네트워크 액세스 권한 설정 이외의 속성은 전화 접속 또는 VPN 연결에만 적용되지만, 생성 중인 네트워크 정책은 무선 또는 인증 스위치 연결에 대한 것입니다.

이 절차를 사용하여 NPS가 사용자 계정 전화 접속 속성을 무시하도록 구성할 수 있습니다. 연결 요청이 이 확인란이 선택된 네트워크 정책과 일치하는 경우, NPS는 사용자 또는 컴퓨터가 네트워크에 액세스할 수 있는지 여부를 결정하기 위해 사용자 계정의 전화 접속 속성을 사용하지 않습니다. 오직 네트워크 정책의 설정만이 권한 부여를 결정하는 데 사용됩니다.

멤버 자격이 관리자, 또는 이와 동등한 최소한이이 절차를 완료 합니다.

  1. NPS의 서버 관리자에서 도구를 클릭하고 네트워크 정책 서버를 클릭합니다. NPS 콘솔이 열립니다.

  2. 정책을 더블 클릭하고 네트워크 정책을 클릭한 다음 세부 정보 창에서 구성하려는 정책을 더블 클릭합니다.

  3. 정책 속성 대화 상자의 개요 탭에서 액세스 권한에서 사용자 계정 전화 접속 속성 무시 확인란을 선택한 다음, 확인을 클릭합니다.

사용자 계정의 전화 접속 속성을 무시하도록 NPS를 구성하려면

VLAN의 NPS 구성하기

Windows Server 2016에서 VLAN 인식 네트워크 액세스 서버 및 NPS를 사용하면 보안 권한에 따라 사용자 그룹에게 적합한 네트워크 리소스에 대한 액세스만 제공할 수 있습니다. 예를 들어 방문자의 조직 네트워크 액세스를 허용하지 않은 상태에서 무선 인터넷 액세스를 제공할 수 있습니다.

또한 VLAN을 사용하면 다른 물리적 위치 또는 다른 물리적 서브넷에 위치하는 네트워크 리소스를 논리적으로 그룹화할 수 있습니다. 예를 들어 영업 부서의 구성원과 클라이언트 컴퓨터, 서버 및 프린터와 같은 네트워크 리소스는 조직의 여러 다른 건물에 위치할 수 있지만 이러한 모든 리소스를 동일한 IP 주소 범위를 사용하는 하나의 VLAN에 배치할 수 있습니다. 그런 다음 VLAN은 최종 사용자 관점에서 단일 서브넷으로 작동합니다.

여러 사용자 그룹 간에 네트워크를 분리하려는 경우에도 VLAN을 사용할 수 있습니다. 그룹을 정의하는 방법을 결정한 후에는 Active Directory 사용자 및 컴퓨터 스냅인에서 보안 그룹을 만든 다음 그룹에 구성원을 추가할 수 있습니다.

VLAN에 대한 네트워크 정책 구성하기

이 절차를 사용하여 VLAN에 사용자를 할당하는 네트워크 정책을 구성할 수 있습니다. 라우터, 스위치 및 액세스 컨트롤러와 같은 VLAN 인식 네트워크 하드웨어를 사용할 때 특정 Active Directory 그룹의 구성원을 특정 VLAN에 배치하도록 액세스 서버에 지시하도록 네트워크 정책을 구성할 수 있습니다. VLAN을 사용하여 네트워크 리소스를 논리적으로 그룹화할 수 있는 이 기능은 네트워크 솔루션을 디자인하고 구현할 때 유연성을 제공합니다.

VLAN과 함께 사용할 NPS 네트워크 정책의 설정을 구성하는 경우 Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, Tunnel-TypeTunnel-Tag 특성을 구성해야 합니다.

이 절차는 지침으로서 제공됩니다. 네트워크 구성에는 아래에 설명된 설정과 다른 설정이 필요할 수 있습니다.

멤버 자격이 관리자, 또는 이와 동등한 최소한이이 절차를 완료 합니다.

VLAN에 대한 네트워크 정책을 구성하려면

  1. NPS의 서버 관리자에서 도구를 클릭하고 네트워크 정책 서버를 클릭합니다. NPS 콘솔이 열립니다.

  2. 정책을 더블 클릭하고 네트워크 정책을 클릭한 다음 세부 정보 창에서 구성하려는 정책을 더블 클릭합니다.

  3. 정책 속성 대화 상자에서 설정 탭을 클릭하세요.

  4. 정책 속성설정에서 RADIUS 특성에서 표준이 선택되어 있는지 확인하세요.

  5. 세부 정보 창의 특성에서 서비스 유형 특성은 Framed의 기본값으로 구성됩니다. 기본적으로 VPN 및 전화 접속 액세스 방식이 있는 정책의 경우 Framed-Protocol 특성은 PPP 값으로 구성됩니다. VLAN에 필요한 추가 연결 특성을 지정하려면 추가를 클릭합니다. 표준 RADIUS 특성 추가 대화 상자가 열립니다.

  6. 표준 RADIUS 특성 추가의 특성에서 아래로 스크롤하여 다음 특성을 추가합니다.

    • Tunnel-Medium-Type. 정책에 대해 이전 선택에 적합한 값을 선택하세요. 예를 들어 구성하려는 네트워크 정책이 무선 정책인 경우 값: 802(모든 802 미디어 및 이더넷 정식 형식 포함)를 선택합니다.

    • Tunnel-Pvt-Group-ID. 그룹 구성원이 할당될 VLAN 번호를 나타내는 정수를 입력합니다.

    • Tunnel-Type. VLAN(가상 LAN)을 선택합니다.

  7. 표준 RADIUS 특성 추가에서 닫기를 클릭하세요.

  8. NAS(네트워크 액세스 서버)에서 Tunnel-Tag 특성을 사용해야 하는 경우 다음 단계를 사용하여 네트워크 정책에 Tunnel-Tag 특성을 추가합니다. NAS 설명서에서 이 특성을 언급하지 않는 경우 정책에 추가하지 마세요. 필요한 경우 다음과 같이 특성을 추가합니다.

    • 정책 속성설정에서 RADIUS 특성에서 공급업체별을 클릭합니다.

    • 세부 정보 창에서 추가를 선택합니다. 공급업체별 특성 추가 대화 상자가 열립니다.

    • 특성에서 아래로 스크롤하여 Tunnel-Tag를 선택한 다음 추가를 클릭합니다. 특성 정보 대화 상자가 열립니다.

    • 특성 값에 하드웨어 설명서에서 알아낸 값을 입력합니다.

EAP 페이로드 크기 구성하기

경우에 따라 라우터 또는 방화벽은 조각화가 필요한 패킷을 삭제하도록 구성되어 있으므로 해당하는 패킷을 삭제합니다.

TLS(전송 계층 보안) 또는 EAP-TLS와 함께 EAP(확장 가능 인증 프로토콜)를 사용하는 네트워크 정책을 사용하여 NPS를 인증 방법으로 배포하는 경우 NPS가 EAP 페이로드에 사용하는 기본 MTU(최대 전송 단위)는 1500바이트입니다.

EAP 페이로드의 최대 크기는 NPS와 RADIUS 클라이언트 간 라우터 또는 방화벽에 의한 조각화가 요구되는 RADIUS 메시지를 만들 수 있습니다. 이 경우 RADIUS 클라이언트와 NPS 사이에 배치된 라우터 또는 방화벽이 일부 조각을 자동으로 삭제하여 인증 실패 및 액세스 클라이언트가 네트워크에 연결할 수 없게 되는 결과가 나올 수 있습니다.

다음 절차를 이용하여 네트워크 정책의 Framed-MTU 특성을 1344 이하 값으로 조정하여 NPS가 EAP 페이로드에 사용하는 최대 크기를 낮추세요.

멤버 자격이 관리자, 또는 이와 동등한 최소한이이 절차를 완료 합니다.

Framed-MTU 특성을 구성하려면

  1. NPS의 서버 관리자에서 도구를 클릭하고 네트워크 정책 서버를 클릭합니다. NPS 콘솔이 열립니다.

  2. 정책을 더블 클릭하고 네트워크 정책을 클릭한 다음 세부 정보 창에서 구성하려는 정책을 더블 클릭합니다.

  3. 정책 속성 대화 상자에서 설정 탭을 클릭하세요.

  4. 설정RADIUS 특성에서 표준을 클릭합니다. 세부 정보 창에서 추가를 선택합니다. 표준 RADIUS 특성 추가 대화 상자가 열립니다.

  5. 특성에서 아래로 스크롤하여 Framed-MTU를 클릭한 다음 추가를 클릭합니다. 특성 정보 대화 상자가 열립니다.

  6. 특성 값1344보다 작거나 같은 값을 입력하세요. 확인, 닫기, 확인을 차례로 클릭합니다.

네트워크 정책에 대한 더 자세한 내용은 네트워크 정책을 참조하십시오.

네트워크 정책 특성을 지정하는 패턴 일치 구문의 예는 NPS에서 정규식 사용을 참조하세요.

NPS에 대한 더 자세한 내용은 네트워크 정책 서버를 참조하세요.