업데이트 관리 서버 그룹

IPsec(인터넷 프로토콜 보안) 적용 디자인에서 업데이트 관리 서버는 IPsec 논리 경계 네트워크에 배치해야 합니다. 업데이트 관리 서버에 NAP 예외 인증서를 발급하고 업데이트 관리 서버가 비규격 컴퓨터와 자유롭게 통신할 수 있도록 IPsec 정책을 구성해야 합니다. IPsec이 적용된 NAP를 사용할 경우 NPS 콘솔에서 업데이트 관리 서버 그룹에 업데이트 관리 서버를 추가하더라도 이러한 서버에 대한 액세스에는 영향이 없습니다.

802.1X 적용 디자인에서 업데이트 관리 서버의 배치는 비규격 클라이언트의 네트워크 액세스를 제한하는 데 VLAN(가상 LAN)이 사용되는지 ACL(액세스 제어 목록)이 사용되는지에 따라 달라집니다. NAP 적용 지점에서는 이러한 방법을 모두 지원하거나 하나만 지원할 수 있습니다.

• VLAN을 사용하는 802.1X 적용. 업데이트 관리 서버는 비규격 VLAN에 배치되거나 VLAN 간 라우팅 방법을 통해 액세스할 수 있어야 합니다. 규격 NAP 클라이언트 컴퓨터에서도 업데이트 관리 서버에 액세스할 수 있어야 하는 경우 업데이트 관리 서버는 여러 VLAN에 액세스할 수 있도록 트렁킹 포트에 배치되거나 이중 홈이 설정되어야 합니다.
  
  
• ACL을 사용하는 802.1X 적용. 비규격 컴퓨터의 액세스는 업데이트 관리 서버의 IP 주소 및 서비스 포트 번호로만 제한됩니다.
  
  

802.1X가 적용된 NAP를 사용할 경우 NPS 콘솔에서 업데이트 관리 서버 그룹에 업데이트 관리 서버를 추가하더라도 이러한 서버에 대한 액세스에는 영향이 없습니다.

VPN 적용 디자인에서는 업데이트 관리 서버에 대한 액세스 권한을 제공하는 데 업데이트 관리 서버 그룹과 IP 필터라는 두 가지 방법을 사용할 수 있습니다. 이러한 두 방법 모두 비규격 NAP 클라이언트에 업데이트 관리 서버에 대한 액세스 권한을 제공하는 데 사용할 수 있습니다. 업데이트 관리 서버 그룹을 구성하면 목록에 있는 각 서버의 IP 주소에 대한 액세스 권한이 비규격 NAP 클라이언트 컴퓨터에 자동으로 부여됩니다. IP 필터는 지정한 서비스 포트 번호에만 액세스 권한이 부여되도록 지정할 수 있는 이점도 있습니다.

	중요
	VPN 적용을 위한 비규격 네트워크 정책에 업데이트 관리 서버 그룹이나 IP 필터가 구성되지 않은 경우에는 비규격 NAP 클라이언트 컴퓨터에 모든 네트워크 액세스 권한이 부여됩니다.

DHCP 적용 디자인에서는 NPS 콘솔을 사용하여 업데이트 관리 서버 그룹에 구성된 각 구성원 장치로 가는 클래스 없는 정적 호스트 경로가 비규격 NAP 클라이언트 컴퓨터에 제공됩니다. 업데이트 관리 서버가 NAP 클라이언트가 나타나는 서브넷과 다른 서브넷에 있으면, DHCP 서버에서는 기본 NAP 클래스의 003 라우터 옵션을 사용하여 비규격 컴퓨터에 업데이트 관리 서버로 가는 정적 호스트 경로를 제공합니다. 이 범위 옵션에 구성된 라우팅 장치는 비규격 NAP 클라이언트의 요청을 업데이트 관리 서버에 전달할 수 있어야 합니다. 또한 기본 NAP 클래스의 범위 옵션 121을 사용하여 업데이트 관리 서버로 가는 클래스 없는 정적 호스트 경로를 구성할 수도 있습니다.

RD 게이트웨이(원격 데스크톱 게이트웨이)가 적용된 NAP의 경우 업데이트 관리 서버 그룹을 사용할 수 없습니다. 업데이트 관리 서버가 필요한 경우 클라이언트 컴퓨터에서 RD 게이트웨이 적용 서버에 연결하기 전에 업데이트 관리 서버를 사용할 수 있도록 해야 합니다.

• NAP 상태 정책 서버