DirectAccess 설정 마법사의 3단계인 이 단계에서는 인프라 서버의 설정을 구성합니다. DirectAccess 스냅인에서 DirectAccess 서버 설정을 처음 구성하는 경우 DirectAccess 노드를 확장하고 설정 노드를 클릭한 다음 3단계의 구성을 클릭합니다. 2단계의 구성을 마치기 전까지는 3단계의 구성을 클릭할 수 없습니다. 인프라 서버 설정을 변경하려면 3단계의 편집을 클릭합니다.
3단계를 수행하기 전에 다음 사항을 확인해야 합니다.
- 고가용성 내부 네트워크 웹 서버가 DirectAccess 네트워크 위치 서버 역할을 할 수 있는지 여부 및 해당 웹 서버의 HTTPS 기반 URL(Uniform Resource Locator)이 있는지 여부. 이 사항은 선택 사항이지만 가급적 확인하는 것이 좋습니다.
- 내부 네트워크 리소스에 해당하는 DNS(Domain Name System) 네임스페이스 집합(예: contoso.com)
- DirectAccess 클라이언트의 이름 쿼리에 응답할 내부 네트워크 DNS 서버의 IPv4(인터넷 프로토콜 버전 4) 또는 IPv6(인터넷 프로토콜 버전 6) 주소
- 내부 네트워크에서 DirectAccess 클라이언트와의 통신을 시작할 관리 서버의 호스트 이름, IPv4 주소 또는 IPv6 주소. 관리 서버에는 업데이트를 배포하거나 소프트웨어 또는 하드웨어 인벤토리를 수행하는 서버가 포함될 수 있습니다.
3단계의 구성 또는 편집을 클릭하면 네트워크 위치 서버, DNS 및 도메인 컨트롤러, 그리고 관리 서버를 구성하기 위한 마법사 페이지가 나타납니다.
위치
위치 페이지에서는 DirectAccess 클라이언트에서 해당 클라이언트가 내부 네트워크에 있는지 인터넷에 있는지를 확인하는 데 사용하는 서버인 네트워크 위치 서버를 지정합니다. DirectAccess 클라이언트가 네트워크 위치 서버에 연결하여 지정된 웹 페이지에 액세스할 수 없으면 DirectAccess 클라이언트가 내부 네트워크에 있는 것으로 확인되어 DirectAccess 기능이 사용되지 않습니다.
네트워크 위치 서버 기능이 DirectAccess 서버에 있는지 내부 네트워크의 다른 서버에 있는지를 지정할 수 있습니다.
- 네트워크 위치 서버 기능이 DirectAccess 서버에 있지 않은 경우(권장) 해당 서버의 웹 페이지에 대한 HTTPS 기반 URL을 입력해야 합니다.
- 네트워크 위치 서버 기능이 DirectAccess 서버에 있는 경우에는 DirectAccess 클라이언트와 DirectAccess 서버 간의 HTTPS 기반 연결을 인증하는 데 사용되는 인증서를 지정해야 합니다.
어느 경우에든 네트워크 위치 서버는 DirectAccess 인프라의 중요한 요소이므로 가용성이 높아야 합니다. 내부 네트워크에서 네트워크 위치 서버에 연결할 수 없으면 DirectAccess 클라이언트는 실제로 내부 네트워크에 있더라도 DirectAccess 기능을 사용하게 되므로 내부 네트워크 리소스에 액세스하는 데 제한이 있을 수 있습니다.
DNS 및 도메인 컨트롤러
DNS 및 도메인 컨트롤러 페이지에서는 NRPT(이름 확인 정책 테이블) 및 DirectAccess 클라이언트 이름 확인 동작을 구성합니다.
NRPT
NRPT는 DirectAccess 클라이언트에서 DNS 이름 요청을 보낼 위치를 결정하는 데 사용하는 테이블입니다. 이 테이블의 항목은 특정 컴퓨터의 FQDN(정규화된 도메인 이름)을 나타낼 수 있는 DNS 도메인 이름(예: emailsrv21.europe.contoso.com) 또는 DNS 네임스페이스의 일부분(예: contoso.com)과 FQDN 또는 네임스페이스를 처리하는 DNS 서버의 해당 주소 집합으로 구성됩니다. DNS 서버 주소가 지정되지 않은 경우 해당 항목은 예외 항목입니다. DNS 이름이 NRPT에서 DNS 서버 주소가 포함된 항목과 일치하면 DirectAccess 클라이언트는 지정된 내부 네트워크 DNS 서버에 이름 쿼리를 보냅니다. DNS 이름이 NRPT에서 DNS 서버 주소가 포함되지 않은 항목과 일치하거나 NRPT의 어느 항목과도 일치하지 않으면 DirectAccess 클라이언트는 인터넷 연결 DNS 서버에 이름 쿼리를 보냅니다.
NRPT에는 DirectAccess 서버의 DNS 접미사 및 DNS 서버 구성을 기반으로 한 기존 항목이 있을 수 있으며, 네트워크 위치 서버에 해당하는 예외 항목도 있을 수 있습니다. 예외 항목은 인터넷에 있는 DirectAccess 클라이언트가 내부 네트워크 DNS 서버를 사용하여 네트워크 위치 서버의 이름을 확인하지 못하도록 하기 위해 추가됩니다.
다른 항목을 추가하려면 빈 행을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭합니다. 또는 빈 행을 두 번 클릭해도 됩니다. 그런 다음 네임스페이스 액세스 정보 대화 상자에서 DNS 접미사를 입력하고 DNS 접미사로 끝나는 이름을 확인하는 내부 네트워크 DNS 서버의 IPv4 또는 IPv6 주소 집합을 지정합니다. IPv4 또는 IPv6 주소를 지정한 후에는 유효성 검사를 클릭하여 DNS 서버가 실행 중이고 DirectAccess 서버에서 연결 가능한지 테스트합니다.
NRPT의 항목을 편집하려면 항목을 마우스 오른쪽 단추로 클릭하고 편집을 클릭합니다. 또는 기존 항목을 두 번 클릭해도 됩니다. NRPT에서 항목을 삭제하려면 항목을 마우스 오른쪽 단추로 클릭하고 삭제를 클릭합니다.
이름 확인 동작
DNS 및 도메인 컨트롤러 페이지에서는 DirectAccess 클라이언트의 로컬 이름 확인 동작도 지정할 수 있습니다. 로컬 이름 확인이란 DNS 확인자 캐시의 항목을 검사하지 않는 이름 확인 기술을 사용하여 내부 네트워크 DNS 서버를 쿼리하는 기능입니다. 이러한 기술에서는 인터넷 연결 DNS 서버를 사용하고 로컬 서브넷을 쿼리합니다.
다음과 같은 세 가지 옵션이 있습니다.
- DNS에 이름이 없는 경우에만 로컬 이름 확인 사용
이 옵션은 DirectAccess 클라이언트에서 확인할 수 없는 서버 이름에 대한 DNS 쿼리만 인터넷 연결 DNS 서버에 보내도록 하므로 가장 안전한 옵션입니다. - DNS에 이름이 없는 경우 또는 클라이언트 컴퓨터가 전용 네트워크에 있을 때 DNS 서버에 연결할 수 없는 경우 로컬 이름 확인으로 대체
이 옵션은 DirectAccess 클라이언트가 별도의 내부 네트워크에서 이름을 확인할 수 있도록 하므로 권장되는 옵션입니다. - 종류에 상관없이 DNS 확인 오류가 발생하면 로컬 이름 확인으로 대체
이 옵션은 DirectAccess 클라이언트에서 확인하려고 하는 내부 네트워크 서버의 이름을 인터넷 연결 DNS 서버에 보낼 수 있도록 합니다. 이 경우 DirectAccess 클라이언트와 인터넷 연결 DNS 서버 사이에서 이 정보가 노출되어 다른 사람이 내부 네트워크 서버의 이름을 확인할 수 있게 될 위험이 있으므로 보안에는 가장 취약합니다.
관리
관리 페이지에서는 DirectAccess 클라이언트와의 통신을 시작할 내부 네트워크 서버의 IPv4 또는 IPv6 주소 목록을 구성합니다. 이러한 서버는 일반적으로 DirectAccess 클라이언트 컴퓨터에 연결하여 소프트웨어 또는 하드웨어 인벤토리 평가와 같은 관리 기능을 수행하거나 업데이트를 설치하는 관리 서버입니다. 관리 페이지에서 지정한 관리 서버는 DirectAccess 설정 마법사의 1단계에서 지정한 보안 그룹의 구성원인 DirectAccess 클라이언트에만 연결할 수 있습니다.
관리 서버를 추가하려면 빈 행을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭합니다. 또는 빈 행을 두 번 클릭해도 됩니다. 그런 다음 IPv4 주소 또는 IPv6 주소/접두사 대화 상자에서 다음과 같은 방법으로 서버 호스트 이름의 IPv4 또는 IPv6 주소를 가져오거나 직접 입력할 수 있습니다.
- 호스트 이름에서 IPv4 또는 IPv6 주소를 가져오려면 특정 컴퓨터의 호스트 이름을 선택한 다음 서버 이름을 입력합니다. 이름 확인을 클릭하면 이 이름에 해당하는 등록된 주소가 표시됩니다. 주소 중 하나를 클릭하고 확인을 클릭합니다.
- IPv4 주소를 수동으로 지정하려면 IPv4 주소 대화 상자에서 IPv4 주소를 선택하고 주소를 입력합니다. 작업을 마쳤으면 확인을 클릭합니다.
- IPv6 주소 또는 접두사를 수동으로 지정하려면 IPv6 주소/접두사 대화 상자에서 IPv6 주소 또는 IPv6 접두사를 선택하고 주소 또는 접두사를 입력합니다. 작업을 마쳤으면 확인을 클릭합니다.
목록의 IPv4 주소나 IPv6 주소 또는 접두사 항목을 편집하려면 항목을 마우스 오른쪽 단추로 클릭하고 편집을 클릭합니다. 항목을 삭제하려면 항목을 마우스 오른쪽 단추로 클릭하고 삭제를 클릭합니다.