RRAS(라우팅 및 원격 액세스 서비스)가 설치된 후 RRAS 서버 연결을 허용할 사용자를 지정해야 합니다. RRAS 권한 부여는 사용자 계정, 네트워크 정책 또는 둘 다에 대한 전화 접속 로그인 속성에 의해 결정됩니다.

원격 액세스 사용자 전용의 사용자 계정을 만들 필요는 없습니다. RRAS 서버는 사용자 계정 데이터베이스에 있는 기존 사용자 계정을 사용할 수 있습니다. 로컬 사용자 및 그룹과 Active Directory 사용자 및 컴퓨터 둘 다에서 원격 액세스 권한을 구성할 수 있는 전화 접속 로그인 탭이 사용자 계정에 있습니다. 사용자 수가 많은 경우 NPS(네트워크 정책 서버)를 실행하는 서버에서 네트워크 정책을 구성하는 것이 좋습니다. 자세한 내용은 네트워크 정책 서버(페이지는 영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=139764)를 참조하십시오.

연결 전 보안

다음 단계에서는 Windows 인증을 사용하도록 구성된 RRAS 서버로 원격 액세스 클라이언트가 연결을 시도하는 동안 수행되는 작업에 대해 설명합니다.

  1. 원격 액세스 클라이언트가 RRAS 서버에 연결을 시도합니다.

  2. 서버가 클라이언트로 챌린지를 보냅니다.

  3. 클라이언트가 사용자 이름, 도메인 이름 및 암호로 구성된 암호화된 응답을 서버로 보냅니다.

  4. 서버가 사용자 계정 데이터베이스와 비교하여 응답을 확인합니다.

  5. 계정이 유효하고 인증 자격 증명이 올바르면 서버가 사용자 계정의 전화 접속 로그인 속성과 네트워크 정책을 사용하여 연결 권한을 부여합니다.

연결이 전화 접속 연결이고 콜백을 사용하는 경우 서버가 연결을 중지하고 클라이언트를 다시 호출하여 연결 협상 프로세스를 계속합니다.

참고
  • 2단계와 3단계에서는 원격 액세스 클라이언트와 RRAS 서버가 MS-CHAP v2(Microsoft Challenge Handshake 인증 프로토콜 버전 2) 또는 CHAP(Challenge Handshake 인증 프로토콜)를 사용한다고 가정합니다. 다른 인증 프로토콜에서는 클라이언트 자격 증명을 보내는 주체가 달라집니다.
  • RRAS 서버가 도메인의 구성원이고 사용자 응답에 도메인 이름이 포함되어 있지 않으면 기본적으로 RRAS 서버의 도메인 이름이 사용됩니다. RRAS 서버의 도메인 이름이 아닌 다른 도메인 이름을 사용하려면 원격 액세스 클라이언트의 다음 레지스트리 값을 사용할 도메인의 이름으로 설정합니다.
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
주의

레지스트리를 잘못 편집하면 시스템에 심각한 손상을 줄 수 있으므로 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터를 반드시 백업해야 합니다.

연결 후 보안

원격 액세스에만 사용되는 자격 증명은 대상 네트워크에 대한 통신 채널을 제공합니다. 클라이언트는 원격 액세스 연결의 결과로 네트워크에 로그온하지 않습니다. 클라이언트가 네트워크 리소스에 액세스할 때마다 자격 증명이 요청됩니다. 올바른 자격 증명이 있는 챌린지에 응답하지 않을 경우 액세스 시도는 실패합니다. Windows에는 원격 액세스를 단순화하는 기능이 추가되었습니다. 연결에 성공하면 Windows Vista®, Windows® 7, Windows Server® 2008 및 Windows Server® 2008 R2가 실행되는 원격 액세스 클라이언트는 원격 액세스 연결 기간 동안 이러한 자격 증명을 기본 자격 증명으로 캐시합니다. 네트워크 리소스가 원격 액세스 클라이언트에 응답을 요청하면 클라이언트가 캐시된 자격 증명을 제공하므로 사용자는 다시 입력할 필요가 없습니다.

추가 참조


목차