이 항목에서는 DirectAccess 배포 구성 요소, DirectAccess 클라이언트 연결 방법, DirectAccess 트래픽에 대한 방화벽 구성 및 스마트 카드와의 통합에 대한 정보를 제공합니다.
DirectAccess 구성 요소
DirectAccess 배포는 다음 구성 요소로 이루어집니다.
- DirectAccess 클라이언트
- 하나 이상의 DirectAccess 서버
- AD DS(Active Directory® 도메인 서비스) 도메인
- PKI(공개 키 인프라)
- 네트워크 위치 서버
- IPv6(인터넷 프로토콜 버전 6) 가능 내부 네트워크 및 응용 프로그램, 또는 NAT-PT(Network Address Translation-Port Translation) 장치
DirectAccess 클라이언트
DirectAccess 클라이언트는 Windows 7 또는 Windows Server 2008 R2를 실행하며 AD DS 도메인에 가입되어 있는 컴퓨터로서, IPv6 및 IPsec(인터넷 프로토콜 보안)을 사용하여 인터넷에서 내부 네트워크에 대한 원격 연결을 자동으로 시작하고 유지 관리합니다.
AD DS 도메인에 가입되지 않은 컴퓨터나 Windows Vista 또는 이전 버전의 Windows를 실행하는 컴퓨터는 DirectAccess를 지원하지 않습니다.
하나 이상의 DirectAccess 서버
DirectAccess 서버는 Windows Server 2008 R2를 실행하며 AD DS 도메인에 가입되어 있는 컴퓨터로서, IPv6 및 IPsec을 사용하여 인터넷에서 DirectAccess 클라이언트에 응답하고 해당 클라이언트를 내부 네트워크에 투명하게 연결합니다.
Active Directory 도메인에 가입되지 않은 컴퓨터나 Windows Server 2008 또는 이전 버전의 Windows Server를 실행하는 컴퓨터는 DirectAccess 서버 기능을 지원하지 않습니다.
DirectAccess를 설치하려면 DirectAccess 설치를 참조하십시오.
DirectAccess 서버에서 다른 주요 기능은 호스트하지 마십시오. DirectAccess 서버는 DirectAccess 전용으로 사용해야 합니다. 배포 및 확장성 요구 사항에 따라 둘 이상의 DirectAccess 서버를 두거나 수동 구성을 사용하여 DirectAccess 기능을 여러 서버에 분리해야 하는 경우도 있습니다. 다중 서버 배포에 대한 자세한 내용은 Microsoft Technet의 DirectAccess 홈 페이지(
DirectAccess 서버의 요구 사항에 대한 자세한 내용은 검사 목록: DirectAccess 구성 전 확인 사항을 참조하십시오.
AD DS 도메인
DirectAccess에서는 AD DS를 통해 인증 자격 증명, 컴퓨터 인증서의 자동 등록, 그리고 IPsec, IPv6 및 기타 설정의 중앙 그룹 정책 기반 구성을 수행합니다. DirectAccess 클라이언트 및 서버는 AD DS 도메인의 구성원이어야 합니다.
PKI
DirectAccess는 AD CS(Active Directory 인증서 서비스) 인증 기관에서 발급한 컴퓨터 인증서를 사용하여 IPsec 세션과 IP-HTTPS 기반 연결을 인증합니다.
네트워크 위치 서버
네트워크 위치 서버는 HTTPS 기반 URL(Uniform Resource Locator)을 호스트하는 내부 네트워크 서버입니다. DirectAccess 클라이언트에서는 이 URL에 액세스하여 해당 클라이언트가 내부 네트워크에 있는지 여부를 확인합니다. DirectAccess 서버가 네트워크 위치 서버의 역할을 할 수도 있지만 고가용성 웹 서버를 사용하는 것이 좋습니다. 이 웹 서버는 네트워크 위치 서버 전용으로 사용하지 않아도 됩니다.
IPv6 가능 내부 네트워크 및 응용 프로그램, 또는 NAT-PT 장치
DirectAccess 클라이언트에서는 내부 네트워크 리소스에 액세스하는 데 IPv6만 사용합니다. 따라서 DirectAccess 클라이언트에서는 IPv6을 사용하여 연결할 수 있는 내부 네트워크 서버 및 리소스와의 통신만 가능합니다. 내부 네트워크에 대한 IPv6 연결을 설정하는 방법에는 다음 세 가지가 있습니다.
- 기본 IPv6을 지원하도록 내부 네트워크 라우팅 인프라를 구성합니다. 그러면 IPv6을 지원하는 내부 네트워크 서버 및 응용 프로그램에 연결할 수 있습니다. Windows 7, Windows Server 2008 R2, Windows Vista 또는 Windows Server 2008을 실행하는 컴퓨터는 기본적으로 IPv6을 사용하도록 구성되어 있습니다.
- 내부 네트워크에 ISATAP(Intra-Site Automatic Tunnel Addressing Protocol)를 배포합니다. ISATAP를 사용하면 IPv6 가능 내부 네트워크 서버 및 응용 프로그램에서 IPv4 전용 내부 네트워크를 통해 IPv6 트래픽을 터널링할 수 있습니다. Windows 7, Windows Server 2008 R2, Windows Vista 또는 Windows Server 2008을 실행하는 컴퓨터는 ISATAP 호스트 기능을 지원합니다. ISATAP를 사용하면 이러한 컴퓨터에서 기본 IPv6 라우팅 없이도 IPv6을 사용할 수 있습니다. DirectAccess 서버는 내부 네트워크에 IPv6 연결이 없을 경우 자동으로 ISATAP 라우터로 구성됩니다.
- NAT-PT(Network Address Translation-Protocol Translation) 장치를 사용하여 IPv6을 사용하는 DirectAccess 클라이언트와 IPv4만 사용할 수 있는 서버 및 응용 프로그램 간에 트래픽을 변환합니다. Windows Server 2008 R2에서는 NAT-PT 기능을 제공하지 않습니다. NAT-PT 장치는 일반적으로 계층 2 및 계층 3의 스위치 및 라우터 공급업체에서 판매합니다. NAT-PT 기능 및 구성에 대한 자세한 내용은 스위치 및 라우터 설명서를 참조하십시오.
DirectAccess 클라이언트 연결 방법
다음 표에서는 가능한 DirectAccess 클라이언트 구성과 각 구성에서 DirectAccess 서버에 IPv6 트래픽을 보내는 방법을 보여 줍니다.
클라이언트 구성 | 기본 연결 방법 |
---|---|
글로벌 IPv6 주소 할당 | 글로벌 IPv6 주소 |
공용 IPv4 주소(10.0.0.0/8, 172.16.0.0/12 및 192.168.0.0/16 범위 외의 주소) 할당 | 6to4 - 공용 IPv4 주소가 있는 호스트 또는 사이트에 IPv4 인터넷을 통한 IPv6 연결을 제공하는 IPv6 전환 기술입니다. |
개인 IPv4 주소(10.0.0.0/8, 172.16.0.0/12 및 192.168.0.0/16 범위 내의 주소) 할당 | Teredo - 6to4 라우터 기능을 지원하지 않는 IPv4 NAT(Network Address Translation) 장치 뒤에 있으며 개인 IPv4 주소가 할당된 호스트에 IPv4 인터넷을 통한 IPv6 연결을 제공하는 IPv6 전환 기술입니다. |
클라이언트에서 6to4 또는 Teredo를 사용하여 연결할 수 없음 | IP-HTTPS - 웹 프록시 서버 또는 방화벽 뒤에 있는 호스트가 IPv4 기반 HTTPS(Secure Hypertext Transfer Protocol) 세션 내에서 IPv6 패킷을 터널링하여 연결을 설정할 수 있게 해 주는 Windows 7 및 Windows Server 2008 R2용 새 프로토콜입니다. IP-HTTPS는 일반적으로 클라이언트가 다른 IPv6 연결 방법으로는 DirectAccess 서버에 연결할 수 없는 경우에만 사용됩니다. |
DirectAccess 트래픽을 위한 방화벽 구성
인터넷과 경계 네트워크 사이의 외부 방화벽에서는 DirectAccess 서버와 주고받는 다음 유형의 트래픽을 통과시킬 수 있어야 합니다.
- 기본 IPv6 트래픽의 경우: ICMPv6(Internet Control Message Protocol for IPv6) 트래픽(IPv6 프로토콜 58) 및 IPsec ESP(Encapsulating Security Payload) 트래픽(IPv6 프로토콜 50)
- 6to4 트래픽의 경우: IPv6 트래픽을 캡슐화하는 IPv4 트래픽(IPv4 프로토콜 41)
- Teredo 트래픽의 경우: UDP(User Datagram Protocol) 포트 3544를 사용하는 IPv4 트래픽
- IP-HTTPS 트래픽의 경우: TCP(Transmission Control Protocol) 포트 443을 사용하는 IPv4 트래픽
예를 들어 다음과 같은 형식은 외부 방화벽의 인터넷 인터페이스에 대한 예외입니다.
Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]
경계 네트워크와 내부 네트워크 사이의 내부 방화벽에서는 DirectAccess 서버와 주고받는 다음 유형의 트래픽을 통과시킬 수 있어야 합니다.
- 기본 IPv6 트래픽의 경우: 모든 유형의 IPv6 트래픽
- ISATAP 트래픽의 경우: IPv6 트래픽을 캡슐화하는 IPv4 트래픽(IPv4 프로토콜 41)
- IPv4 및 NAT-PT 트래픽의 경우: 모든 TCP, UDP 및 UDP 500 IKE(Internet Key Exchange)/AuthIP 트래픽
Teredo 기반 연결을 허용하려면 조직의 모든 도메인 구성원 컴퓨터에 대해 다음과 같은 고급 보안이 설정된 Windows 방화벽 규칙을 추가적으로 구성하고 배포해야 합니다.
- 인바운드 ICMPv6 에코 요청 메시지(필수)
- 아웃바운드 ICMPv6 에코 요청 메시지(권장)
미리 정의된 파일 및 프린터 공유(에코 요청 - ICMPv6-In) 인바운드 규칙 또는 파일 및 프린터 공유(에코 요청 - ICMPv6-Out) 아웃바운드 규칙은 이 용도로 사용하지 마십시오. 이러한 미리 정의된 규칙을 사용하면 조직 내의 파일 및 프린터 공유가 해제되어 해당 규칙을 사용할 수 없게 되고 그 결과 Teredo 기반 연결이 끊어질 수 있습니다.
조직의 모든 구성원 컴퓨터에 이러한 Windows 방화벽 설정을 가장 쉽게 배포하려면 기본 도메인 GPO(그룹 정책 개체)를 사용합니다. 자세한 내용은 "검사 목록: 기본 방화벽 정책 디자인 구현"(
규칙 1: 인바운드 ICMPv6 에코 요청 메시지
다음 설정으로 사용자 지정 인바운드 규칙을 만들고 이를 사용하도록 설정합니다.
- 모든 프로그램
- 에코 요청 메시지를 사용하는 ICMPv6 프로토콜 종류
- 로컬 및 원격 IP 주소
- 허용 동작
- 모든 프로필(도메인, 작업, 공용)
이 규칙은 필수입니다.
규칙 2: 아웃바운드 ICMPv6 에코 요청 메시지
다음 설정으로 사용자 지정 아웃바운드 규칙을 만들고 이를 사용하도록 설정합니다.
- 모든 프로그램
- 에코 요청 메시지를 사용하는 ICMPv6 프로토콜 종류
- 로컬 및 원격 IP 주소
- 허용 동작
- 모든 프로필(도메인, 작업, 공용)
Windows 방화벽을 사용하여 모든 아웃바운드 트래픽을 차단하려는 경우에는 이 규칙이 필수이지만 그렇지 않은 경우라도 이 규칙을 사용하는 것이 좋습니다.
스마트 카드와의 통합
DirectAccess 클라이언트가 DirectAccess 서버에 연결할 때 스마트 카드를 사용하도록 지정할 수 있습니다. 이 경우 사용자가 자신의 컴퓨터에 로그온하고 인터넷에 액세스할 때는 스마트 카드가 필요하지 않지만 내부 네트워크 리소스에 액세스할 때는 스마트 카드 인증을 거쳐야 합니다.
추가 리소스
DirectAccess와 서버 및 도메인 격리, 그리고 NAP(네트워크 액세스 보호)의 통합에 대한 자세한 내용은 Microsoft Technet의 DirectAccess 홈 페이지(