[Dongclee의 2012년 11월 첫 번째 포스팅] Windows Server 2012 Series 18 : Remote Access 서비스의 A to G Step-by-Step 가이드

안녕하세요… 이동철입니다.

11월이 거의 끝나가는 29일 새벽입니다. 점차 게을러지는 제 모습을 보면서 이젠 서서히 제 능력의 딸림을 느끼게 됩니다. 12월에는 정말 최대한 빨리 좋은 포스팅을 하겠습니다.

오늘 여러분들에게 소개해 드릴 내용은 Windows Server 2012 Remote Service에 대한 A to G 입니다. A to G 로 제가 정한 이유는 Remote Access 서비스의 전체 내용을 모두 소개하지는 못 해서 추후 포스팅을 염두에 둔 제목입니다. ^-^

Windows Server 2012 Remote Access 서비스는 바로 기존 OS의 DirectAccess 서비스와 RRAS 서비스를 결합한 것입니다. 실제 Windows Server 2012 Remote Access 역할을 선택하게 되면, “DirectAccess and VPN (RAS)” 및 “Routing” 2가지 역할 서비스를 선택할 수 있음을 확인할 수 있습니다.

기존 버전에 비해서 Windows Server 2012 Remote Access 서비스의 향상된 주요 기능은 아래와 같습니다.

  • DirectAccess 및 RRAS 공존 (共存)

DirectAccess 및 RRAS 는 적대적인 인바운드 트래픽으로 부터 서버를 보호하기 위한 보안 기능을 구현할 수 있습니다. Windows Server 2012 以前 버전에서는, DirectAccess 및 RRAS가 동일 서버에 존재한다면, 각각의 보안 기능을 방해합니다. 그러므로, 동일 서버에 2개의 서비스를 구성하게 되면, 각 서비스는 서로의 기능을 방해합니다. DirectAccess 서버와 클라이언트 연결을 위해, IPv6 변환(變換, transition) 기술을 사용합니다. 반면에, 보안을 강화하기 위해, RRAS는 IKEv2 (Internet Key Exchange v2) IPsec을 사용합니다. IKEv2 IPsec 기술은 IPv6 변환(變換, transition) 기술을 사용하는 모든 패킷을 차단하도록 incoming 및 outgoing 패킷 필터를 구성합니다. 즉, DirectAccess 구현을 위해 반드시 필요한 IPv6 변환(變換, transition) 패킷은 RRAS의 IKEv2에 의해 차단됩니다. 그러므로, Windows Server 2012 以前 버전에서는, DirectAccess 와 RRAS는 동일 서버에 공존할 수가 없습니다. DirectAccess는 회사 내부 네트워크의 자원을 보호하기 위해 IPsec DoSP (Denial of Service Proection)를 구현합니다. ICMPv6 패킷을 제외한, “IPsec에 의해 보호되지 않은 IPv6 트래픽” 및 “모든 IPv4 트래픽”을 DoSP는 차단합니다. 즉, RRAS에 의해 전달되는 non-IPsec IPv6 트래픽 및 모든 IPv4 트래픽은 DirectAccess에 의해 차단될 수 있습니다. Windows Server 2012 의 DirectAccess는 RRAS 트래픽을 허용하도록 IPsec DoSP 기능을 수정하였습니다. 또한, Windows Server 2012 RRAS는 IPv6 변환(變換, transition) 기술을 허용하도록 IKEv2 정책을 수정하였습니다. 즉, 이러한 기능 및 정책의 변경을 통해, DirectAccess 및 RRAS는 동일 서버에 공존할 수 있습니다.

  • DirectAccess 구성의 PKI 전제조건() 제거

Windows 7 DirectAccess는 서버 및 클라이언트 인증서 기반 인증을 위해 반드시 PKI 환경이 필요합니다. 즉, PKI 환경이 Windows 7 DirectAccess 배포의 가장 큰 장애물이기도 했습니다. Windows Server 2012 DirectAccess에서, Kerberos 프록시 기반의 HTTPS를 구현함으로써 상호 인증 기능을 수행할 수 있습니다. 클라이언트 인증 요청은 DirectAccess 서버에서 수행되는 Kerberos 프록시 서비스에 보내집니다. Kerberos 프록시는 클라이언트 대신에 도메인 컨트롤러에 Kerberos 요청을 보냅니다.

  • 내부 IPv4-only 자원 접근을 위한 NAT64 및 DNS64 지원

내부 IPv4-only 자원에 접근하기 위해서, DirectAccess 클라이언트의 IPv6 통신을 IPv4 통신으로 변경하기 위하여 Windows Server 2012 DirectAccess는 NAT64 및 DNS64 게이트웨이 기능을 지원합니다.

  • 사용자 및 서버 상태 모니터링 (User 및 Server Health Monitoring)

RRAS 및 DirectAccess의 모니터링 및 진단 기능은 Windows Server 2008 R2에서는 극히 제약적이었습니다. DirectAccess를 위한 모니터링 기능은 DirectAccess 및 구성요소의 기본적인 상태 모니터링을 포함합니다. 가용한 모니터링 데이터 및 통계 정보는 관리자에게 약간 부족하고 분명하지 않습니다. Windows Server 2012에 소개된 사용자 및 서버 상태 모니터링 기능을 사용하여, 관리자는 DirectAccess 클라이언트 및 연결의 모든 상태 및 동작을 확인할 수 있습니다. 모니터링 콘솔은 DirectAccess 서버의 부하, 사용자 행위 및 현재 자원 사용률을 추적하기 위해 사용됩니다. 관리자는 이러한 정보를 사용하여 잠재적으로 원하지 않는 또는 적절하지 않은 사용 행태를 구분합니다. 진단 추적은 모니터링 콘솔에서 활성화할 수 있습니다.

본 포스팅에서는 기존 인트라넷 서버 환경이 IPv4 주소 만으로 구성되었을 경우, 외부 네트워크에서 별도의 VPN 연결 없이 내부 인트라넷 서버를 접근할 수 있는 DirectAccess 서버 및 기타 구성에 대한 Step-by-Step 을 소개합니다. DirectAccess를 위해 필요한 각종 기반 기술 및 IPv6 변환 기술등은 아래 링크를 참조하시기 바랍니다.

기본적인 데모 환경은 아래와 같습니다.

본 가이드는 크게 Windows Server 2012 DirectAccess 서버가 Windows 8 클라이언트만을 지원하도록 구성하는 방법과 Windows 8 및 Windows 7 클라이언트를 동시에 지원할 수 있도록 구성하는 방법등 총 2가지 부분으로 나누어져 있습니다.

앞서, Windows Server 2012 Remote Access 서비스의 주요 기능으로써, DirectAccess 2012는 PKI 인프라가 필요 없음을 장점으로 소개했습니다. 그러나, 이 부분은 DirectAccess 클라이언트가 Windows 8 만이 있을 경우에도 가능한 부분입니다. 만약, Windows 7 클라이언트가 DirectAccess 클라이언트로 작동할려면, 반드시 PKI 인프라가 미리 구축되어 있어야 합니다. 여러분 이점 꼭 유념해 주시기를 바랍니다.

한 가지 양해의 말씀은 첨부 파일의 스크린샷 화면이 영어 OS 및 한글 OS로 혼재 되어 있음을 알려 드립니다.

저는 12월에 이번 포스팅 환경을 그대로 사용하여, DirectAccess 서버와 VPN 서버를 동시에 한 서버에 구축하는 내용을 소개할 예정입니다. 날씨가 급 추워지고 있습니다. 감기 조심하세요.

Windows Server 2012 Remote Access IPv4 only DirectAccess.pdf