NAP 가능 클라이언트 컴퓨터가 NAP(네트워크 액세스 보호) IPsec(인터넷 프로토콜 보안) 적용 방법에 대해 구성되어 있는지 확인하려면 다음 절차를 사용하십시오. NAP 가능 컴퓨터는 NAP 구성 요소가 설치되어 있으며 평가를 위해 SoH(상태 설명)를 NPS(네트워크 정책 서버)로 보내 성능 상태를 확인할 수 있는 컴퓨터입니다. NAP에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?LinkId=94393(페이지는 영문일 수 있음)을 참조하십시오.

이 절차를 완료하려면 최소한 Domain Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. 적절한 계정과 그룹 구성원 자격의 사용에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?LinkId=83477(페이지는 영문일 수 있음)을 참조하십시오.

NAP 클라이언트 구성 요소 확인

NAP 구성 요소에는 NAP 에이전트 서비스, 하나 이상의 NAP 적용 클라이언트 및 최소한 하나의 SHA(시스템 상태 에이전트)가 포함됩니다. 설치된 SHA를 지원하는 다른 서비스가 필요할 수도 있습니다. 이러한 모든 구성 요소는 함께 작동하여 NAP 클라이언트 컴퓨터의 성능 상태를 지속적으로 모니터링하고 평가를 위해 이 상태를 NAP 서버에 제공합니다.

NAP 에이전트

NAP 에이전트 서비스는 클라이언트 컴퓨터에 대한 상태 정보를 수집하고 관리합니다. 또한 설치된 모든 SHA의 SoH를 처리하고 클라이언트 상태를 적용 클라이언트에 보고합니다. 클라이언트 컴퓨터가 상태 인증서를 요청하거나 받으려면 NAP 에이전트가 작동되고 있어야 합니다.

NAP 에이전트가 시작되었는지 확인하려면
  1. 시작, 제어판, 시스템 및 유지 관리관리 도구를 차례로 클릭한 다음 서비스를 두 번 클릭합니다.

  2. 서비스 목록의 이름에서 Network Access Protection Agent를 두 번 클릭합니다.

  3. 서비스 상태가 시작됨이고 시작 유형자동으로 설정되어 있는지 확인합니다.

  4. 서비스가 시작되지 않은 경우 시작 유형 옆의 자동을 선택한 다음 시작을 클릭합니다.

  5. 확인을 클릭하여 Network Access Protection 속성 대화 상자를 닫습니다.

  6. 서비스 콘솔을 닫습니다.

참고

NAP 에이전트 서비스를 다시 시작하면 SHA가 자동으로 다시 초기화되고 컴퓨터에서 새 상태 인증서를 획득하려고 시도합니다. 이 방법은 NAP 문제를 해결할 때 유용할 수 있습니다.

NAP IPsec 적용 클라이언트

클라이언트 컴퓨터에서 NAP IPsec 적용 클라이언트를 설치하고 사용하도록 설정해야 합니다. NAP 적용 클라이언트는 네트워크에 액세스할 수 있어야 하며 NAP 클라이언트 아키텍처의 다른 구성 요소에 클라이언트 컴퓨터의 성능 상태를 전달합니다. NAP IPsec 적용 클라이언트는 클라이언트 컴퓨터의 인증서 저장소와 상호 작용하여 IPsec으로 보호된 네트워크에 대한 액세스를 제한합니다.

NAP IPsec 적용 클라이언트가 초기화되었는지 확인하려면
  1. 시작을 클릭하고 모든 프로그램을 가리킨 다음 보조프로그램을 클릭하고 명령 프롬프트를 클릭합니다.

  2. 명령 프롬프트에 netsh nap client show state를 입력하고 Enter 키를 누릅니다. 이 명령은 클라이언트 컴퓨터의 NAP 상태를 표시합니다.

  3. 명령 출력의 적용 클라이언트 상태에서 IPsec 신뢰 당사자 상태가 초기화됨 = 예인지 확인합니다.

IPsec 클라이언트 구성 확인

NAP 클라이언트는 NAP 서버 구성 요소와 통신하도록 허용하는 설정을 사용하여 구성해야 합니다. 그룹 정책, NAP 클라이언트 구성 콘솔 또는 명령줄을 사용하여 이러한 설정을 구성할 수 있습니다. IPsec 적용 방법과 관련하여 NAP 클라이언트 설정에는 요청 정책 및 신뢰된 서버 그룹이 포함되어 있습니다.

요청 정책

NAP 클라이언트 컴퓨터에서는 기본 요청 정책 설정을 수정할 필요가 없습니다. 이러한 설정이 변경되면 비슷한 설정이 NAP 서버에서 사용하도록 설정되어 있는지 확인해야 합니다. 기본적으로 NAP 가능 클라이언트 컴퓨터는 통신을 암호화하기 위해 상호 적합한 기본 보안 메커니즘을 사용하여 NAP 서버와의 협상 프로세스를 시작합니다. 이때 기본 요청 정책 설정을 사용하는 것이 좋습니다.

요청 정책 설정을 보려면
  1. 시작을 클릭하고 모든 프로그램을 가리킨 다음 보조프로그램을 클릭하고 명령 프롬프트를 클릭합니다.

  2. 그룹 정책이 NAP 클라이언트 설정을 배포하는 데 사용된 경우 명령 프롬프트에 netsh nap client show group을 입력하고 Enter 키를 누릅니다. 로컬 정책이 NAP 클라이언트 설정을 배포하는 데 사용된 경우 명령 프롬프트에 netsh nap client show config를 입력하고 Enter 키를 누릅니다. 이러한 명령은 클라이언트 컴퓨터의 그룹 정책 및 로컬 정책 NAP 구성 설정을 표시합니다.

  3. 명령 출력에서 CSP(암호화 서비스 공급자)해시 알고리즘 설정이 HRA에 구성된 설정에 해당하는지 확인합니다. 기본 암호화 서비스 공급자는 Microsoft RSA SChannel Cryptographic Provider, keylength = 2048입니다. 기본 해시 알고리즘은 sha1RSA (1.3.14.3.2.29)입니다.

신뢰된 서버 그룹

신뢰된 서버 그룹은 NAP 클라이언트 컴퓨터가 HRA에서 상태 인증서 요청을 처리하기 위해 사용하는 웹 사이트에 연결할 수 있도록 클라이언트 상태 등록 설정 내에서 구성됩니다. 신뢰된 서버 그룹이 구성되어 있지 않거나 잘못 구성되면 NAP 클라이언트 컴퓨터가 상태 인증서를 획득하지 못하게 됩니다.

트러스트된 서버 그룹의 구성을 확인하려면
  1. 시작을 클릭하고 모든 프로그램을 가리킨 다음 보조프로그램을 클릭하고 명령 프롬프트를 클릭합니다.

  2. 그룹 정책이 NAP 클라이언트 설정을 배포하는 데 사용된 경우 명령 프롬프트에 netsh nap client show group을 입력하고 Enter 키를 누릅니다. 로컬 정책이 NAP 클라이언트 설정을 배포하는 데 사용된 경우 명령 프롬프트에 netsh nap client show config를 입력하고 Enter 키를 누릅니다. 이러한 명령은 클라이언트 컴퓨터의 그룹 정책 및 로컬 정책 NAP 구성 설정을 표시합니다.

  3. 명령 출력의 신뢰된 서버 그룹 구성에서 구성이 처리 순서, 그룹, Https 필요URL 옆의 항목에 대해 올바른지 확인합니다.

참고

NAP 클라이언트 컴퓨터는 구성된 신뢰된 서버가 사용 불가능 상태로 표시되어 있지 않는 한 이러한 모든 서버 그룹의 첫 번째 URL에서 상태 인증서를 획득하려고 시도합니다. 자세한 내용은 IIS 구성 확인HRA 인증 요구 사항 이해를 참조하십시오.

NAP 클라이언트 이벤트 검토

NAP 클라이언트 이벤트에 포함되어 있는 정보를 검토하면 문제 해결에 도움이 될 수 있습니다. 또한 NAP 클라이언트 기능을 이해하는 데도 도움이 될 수 있습니다.

이벤트 뷰어에서 NAP 클라이언트 이벤트를 검토하려면
  1. 시작을 클릭하고 모든 프로그램을 가리킨 다음 보조프로그램실행을 차례로 클릭합니다.

  2. eventvwr.msc를 입력하고 Enter 키를 누릅니다.

  3. 왼쪽 창에서 이벤트 뷰어(로컬)\응용 프로그램 및 서비스 로그\Microsoft\Windows\네트워크 액세스 보호\작동 가능으로 이동합니다.

  4. 가운데 창에서 이벤트를 클릭합니다.

  5. 기본적으로 일반 탭이 표시됩니다. 추가 정보를 보려면 자세히 탭을 클릭합니다.

  6. 이벤트를 마우스 오른쪽 단추로 클릭한 다음 이벤트 속성을 클릭하여 이벤트를 검토할 수 있는 새 창을 열 수도 있습니다.

추가 참조