Windows Server 2008이 나오면... (10) - Terminal Service Gateway
꼬알라주 : Windows Server Codename Longhorn의 이름이 Windows Server 2008로 바뀜에 따라 제목과 태그를 변경합니다.
오늘은 한번 터미널 서비스 시나리오중 터미널 서비스 게이트웨이(Terminal Service Gateway)에 대해서 논해볼까 합니다.
터미널 서비스는 Windows 2000 Server에서부터 대중적으로 사용되었습니다. 실제로는 Windows NT 4.0 시절에도 터미널 서비스용 버전이 있긴 했지만, 많은 분들께서 사용하시지는 않았다고 생각됩니다. 대중적인 사용은 Windows XP에 터미널 서비스가 기본 내장되고, 내 컴퓨터의 속성에서 손쉽게 설정을 변경할 수 있으면서부터, 원격 관리용으로 인기리에 아직까지 사용되고 있습니다.
회사내 주위 분들을 한번 쭉 돌아보면, 댁에 컴퓨터를 잘 꺼지 않고 다니시는 분들이 많습니다. 어느 조직이나 조직내 보안 정책이 존재하지 때문에, 불필요하다고 판단된 포트들에 대해서는 회사내에서 사용이 불가능하게 해놓은 경우가 많습니다. 이에 해당 컴퓨터에 접속을 하셔서, 막힌 포트 없이 서비스를 제공받으시거나, 집 컴퓨터에 저장해놓은 자료들을 이용하기 위해서도 마찬가지입니다. :) (터미널 서비스 클라이언트를 이용하시면 원격 컴퓨터에 접근 후, 하드 드라이브가 리디렉션되는 서비스를 받으실 수 있죠.)
서두가 너무 길어졌네요.. 터미널 서비스를 이용하시려고 할 때, 가장 난감한 경우가 바로, 포트가 막혀있을 때입니다. 기본적으로 터미널 서비스는 TCP 포트 3389을 사용합니다. 조직내 방화벽 또는 프록시에 3389 포트에 대한 처리가 되지 않은 경우... 더 많은 경우가 출장이나 외근시 회사 네트워크에 접근하려는데 포트가 막힌 경우가 가장 난감합니다. 이 경우 VPN을 사용하시던지(사실 3389가 막혀 있는 조직은 VPN 포트도 막혀있는 경우가 다반사입니다.), 터미널 서비스의 포트를 변경해놨어야 합니다.
이럴 경우에 대한 해결 시나리오를 바로 Windows Server 2008에서 제공합니다. 첫번째 아티클에서 간략한 소개와 기본 네트워크 아키텍쳐를 보여드렸습니다.
Windows Server 2008에서 Terminal Service Gateway(TSG)를 설치하시게 되면, IIS 7.0이 같이 설치가 됩니다. 예상하신 데로, RDP over HTTPS를 처리하게 됩니다. (TSG의 경우 Exchange Server 2003에서 발표된 RPC over HTTPS와 동일한 아키텍쳐를 가지게 됩니다.) HTTPS를 사용하기 때문에, SSL 인증서에 대한 처리도 하셔야 합니다.
TSG까지의 사용자 접근은 포트 443(HTTPS)를 사용하게 되고, 이에 대한 접근을 받은 TSG는
접근에 대한 인증(CAP - Connection Authentication Policies)과 접근 가능한 리소스에 대한 허가(RAP - Resource Authorization Policies)
를 한 후, 내부의 터미널 서버 포트 3389를 통해 연결을 하게 됩니다. 결국 내부단의 프록시 처리를 TSG가 처리해준다고 생각하시면 됩니다.
CAP이라고 하는 것은 기존의 RADIUS 구성과 동일합니다. 어느 포트로 접근한, 어떠한 사용자에 대한, 환경 구성 등을 조건으로 비교한 후, 이에 대한 허가 여부를 결정해줍니다. 이는 다른 네트워크 장비처럼 중앙의 Windows Server 2003 RADIUS 또는 Windows Server 2008 NPS 환경에 Windows Server 2008 TSG를 연동하실 수도 있고, TSG를 설치하면 기본적으로 같이 설치되는 Network Policy Server(NPS)를 이용하실 수도 있습니다. NPS에 대해서도 언제 한번 포스팅하도록 하겠습니다.
TSG 경우에는 DMZ에 구성되는 시나리오가 가능하기 때문에, TSG는 필수적으로 도메인에 참여하지 않아도 됩니다, 다만 TSG Server Farm을 구성하실 경우에는 도메인에 참여되어야 합니다.
CAP을 통과한 사용자는 일단 인증은 받은 후가 됩니다. 인증만 받고 모두 끝나는 시나리오가 아니라, TSG는 RAP을 이용하여 해당 사용자 또는 그룹에 접근할 수 있는 서버의 범위를 제한할 수 있습니다.
특정 사용자 그룹 : 특정 컴퓨터 그룹 으로 연결되는 것을 RAP이라고 부릅니다. 쉽게 이해 되시죠? RAP의 경우에는 RADIUS의 컨셉을 이용하지 않기 때문에, 많은 서버와 많은 그룹에 대한 맵핑을 하시고자 할때는 당연히 액티브 디렉터리에 TSG 머신을 가입시키셔야 합니다.
이렇게 CAP, RAP에 대한 설정이 된 이후에 클라이언트는 원격 데스크톱 연결 6.0을 이용하여 TSG에 접근하여 RDP Over HTTPS를 제공받을 수 있습니다. 이 경우 HTTPS 접근을 하므로, 해당 웹 서버 인증서를 발급한 기관에 대해 클라이언트는 신뢰하고 있어야 합니다. (Exchange Server 2003에서도 동일했습니다.)
TSG에 대해서도 출시이후, IT 관리자들의 필요에 의해 상당히 많이 구성되지 않을까라는 예상을 해봅니다.
Comments
Anonymous
August 19, 2007
2007년 4월 3일부터 하나, 둘씩 써오던 Windows Server 2008 (Codename Longhorn)의 이야기가 40편에 이르렀습니다. 그동안 많은 관심 가져주셨던 분들께Anonymous
September 16, 2007
꼬알라주 : "우리들의 Windows Server 2008 이야기" 이벤트는 진행중입니다. (9월 31일까지) 좌측 배너내 티셔츠 사진을 클릭하시면 해당 이벤트로 이동합니다. :)Anonymous
November 12, 2007
8월 20일에 한번 정리했던 URL을 다시 한번 정리합니다. 이제 Windows Server 2008 (Codename Longhorn)의 이야기가 52편에 이르렀습니다. 그동안 많은Anonymous
July 05, 2008
Win 2008 서버의 TS Gateway 기능이 무척 흥미로운데요, 위 Basic Scenario 그림에서 [1]로부터 ([2]를 경유하여) 일반 PC인 [3]에 접속하는 대신, [1]로부터 [2](2008 서버)에 원격접속하는 것도 가능할런지요? 즉, 하나의 machine이 [2]와 [3]의 역할을 겸하여 수행하도록 하는 게 가능한지 조언 부탁드려요Anonymous
July 05, 2008
블랙커피님 안녕하세요. 네 가능합니다. 어차피 TSG역할과 TS 역할은 분리된 것이기 때문에, 연결이 가능합니다. TSG는 IIS가 TS는 TS 자체가 하기 때문이죠. 자주 방문해주세요 :)Anonymous
January 27, 2009
2008년 3사분기 IDC 조사 결과에 의하면, 많은 컴퓨터 제조사들은 데스크톱 컴퓨터보다 이미 랩탑(노트북) 컴퓨터를 더 많이 판매 및 출시하고 있고, 2008년 현재, 모바일 근로자는Anonymous
January 29, 2009
DirectAccess 시리즈의 2편이 나오지 않을까라고 예상하셨을 수 있으시겠지만, 오늘은 가상화 이야기를 조금 해볼까 합니다. 지금까지 많은 가상화 포스팅은 Hyper-V를 근간한