다음을 통해 공유

1 단계 기본 DirectAccess 인프라 계획

단일 서버에 대한 기본 DirectAccess 배포의 첫 번째 단계는 배포에 필요한 인프라 계획을 수행하는 것입니다. 이 항목에서는 인프라 계획 단계에 대해 설명합니다.

작업 설명
네트워크 토폴로지 및 설정 계획 DirectAccess 서버를 어디에 배치할지 결정하고 (네트워크 주소 변환(NAT) 장치나 방화벽 뒤에 배치하거나, 네트워크 가장자리에 배치), IP 주소 지정 및 라우팅을 계획하세요.
방화벽 요구 사항 계획 DirectAccess가 경계면 방화벽을 통과하도록 허용할 계획을 수립합니다.
인증서 요구 사항 계획 DirectAccess는 클라이언트 인증에 Kerberos 또는 인증서를 사용할 수 있습니다. 이 기본 DirectAccess 배포에서는 Kerberos 프록시가 자동으로 구성되고 Active Directory 자격 증명을 사용하여 인증이 수행됩니다.
DNS 요구 사항 계획 DirectAccess 서버, 인프라 서버 및 클라이언트 연결에 대한 DNS 설정을 계획합니다.
Active Directory 계획 도메인 컨트롤러 및 Active Directory 요구 사항을 계획합니다.
그룹 정책 개체 계획 조직에 필요한 GPO 및 GPO를 만들거나 편집할 방법을 결정합니다.

이 계획 작업은 특정 순서대로 완료할 필요가 없습니다.

네트워크 토폴로지 및 설정 계획

네트워크 어댑터 및 IP 주소 지정 계획

  1. 사용할 네트워크 어댑터 토폴로지를 확인합니다. 다음 중 하나를 사용하여 DirectAccess를 설정할 수 있습니다.

    • 네트워크 어댑터 2개 사용 - 네트워크 어댑터를 인터넷과 내부 네트워크에 각각 하나씩 연결하여 경계면에 설치하거나, 경계 네트워크와 내부 네트워크에 각각 하나씩 연결하여 NAT, 방화벽 또는 라우터 디바이스 뒤에 설치할 수 있습니다.

    • NAT 뒤에 네트워크 어댑터 1개 사용 - DirectAccess 서버를 NAT 디바이스 뒤에 설치하고, 단일 네트워크 어댑터를 인터넷 네트워크에 연결합니다.

  2. IP 주소 지정 요구 사항을 확인합니다.

    DirectAccess는 IPsec에서 IPv6을 사용하여 DirectAccess 클라이언트 컴퓨터와 회사 내부 네트워크 사이의 보안 연결을 만듭니다. 그러나 DirectAccess를 사용하기 위해 반드시 IPv6 인터넷 또는 내부 네트워크에서 지원되는 기본 IPv6에 연결할 필요는 없습니다. 대신, DirectAccess는 IPv6 전환 기술을 자동으로 구성하고 이를 사용하여 IPv4 인터넷(6to4, Teredo 또는 IP-HTTPS) 및 IPv4 전용 인트라넷(NAT64 또는 ISATAP)에서 IPv6 트래픽을 터널링합니다. 이러한 전환 기술에 대한 개요는 다음 리소스를 참조하세요.

  3. 다음 표에 따라 필요한 어댑터 및 주소를 구성합니다. NAT 장치 뒤에 단일 네트워크 어댑터를 사용하는 배포의 경우, IP 주소 설정은 내부 네트워크 어댑터 열에 한정하여 구성하세요.

    설명 외부 네트워크 어댑터 내부 네트워크 어댑터1 라우팅 요구 사항
    IPv4 인트라넷 및 IPv4 인터넷 다음을 구성합니다.

    - 적절한 서브넷 마스크가 있는 정적 공용 IPv4 주소 1개.
    - 또한 인터넷 방화벽이나 로컬 인터넷 서비스 공급자 (ISP) 라우터의 기본 게이트웨이 IPv4 주소.

    		 다음을 구성합니다.

    -적절 한 서브넷 마스크는 IPv4 인트라넷 주소입니다.
    - 각 연결에 대한 인트라넷 네임스페이스의 DNS 접미사. DNS 서버도 내부 인터페이스에 구성해야 합니다.
    - 인트라넷 인터페이스에 기본 게이트웨이를 구성하지 마세요.

    		 DirectAccess 서버에서 내부 IPv4 네트워크의 모든 서브넷에 연결하도록 구성하려면 다음을 수행합니다.

    1. 인트라넷의 모든 위치에 대 한 IPv4 주소 공간을 나열 합니다.
    2. 경로 추가-p를 사용하거나 netsh interface ipv4 add route명령으로 DirectAccess 서버의 IPv4 라우팅 테이블에 고정 경로로 IPv4 주소 공간을 추가 하는 명령.
    IPv6 인터넷 및 IPv6 인트라넷 다음을 구성합니다.

    - ISP에서 제공하는 자동 구성된 주소를 사용하세요.
    - Route Print 명령을 사용하여 기본 IPv6 경로가 존재하고 IPv6 라우팅 테이블에서 ISP 라우터를 가리키는지 확인합니다.
    - ISP 및 인트라넷 라우터가 RFC 4191에 설명된 기본 라우터 우선 순위를 사용하며, 기본 우선 순위가 로컬 인트라넷 라우터보다 높은지 확인합니다. 둘 다에 해당되면 기본 경로에 대한 다른 구성이 필요하지 않습니다. ISP 라우터의 우선 순위가 높으면 DirectAccess 서버의 활성 기본 IPv6 경로가 IPv6 인터넷을 가리킵니다.

    DirectAccess 서버가 IPv6 라우터이므로 기본 IPv6 인프라가 있는 경우 인터넷 인터페이스에서 인트라넷의 도메인 컨트롤러에도 연결할 수 있습니다. 이 경우 경계 네트워크의 도메인 컨트롤러에 패킷 필터를 추가하여 DirectAccess 서버의 인터넷 연결 인터페이스에 대한 IPv6 주소 연결을 방지할 수 있습니다.

    		 다음을 구성합니다.

    - 기본 기본 설정 수준을 사용하지 않는 경우 netsh interface ipv6 set InterfaceIndex ignoredefaultroutes=enabled 명령을 사용하여 인트라넷 인터페이스를 구성합니다. 이 명령을 사용하면 인트라넷 라우터를 가리키는 추가 기본 경로가 IPv6 라우팅 테이블에 추가되지 않습니다. netsh 인터페이스 표시 인터페이스 명령의 표시에서 인트라넷 인터페이스의 InterfaceIndex를 가져올 수 있습니다.

    		 IPv6 인트라넷을 사용하는 경우 모든 IPv6 위치에 연결하도록 DirectAccess 서버를 구성하려면 다음을 수행합니다.

    1. 인트라넷의 모든 위치에 대한 IPv6 주소 공간을 나열합니다.
    2. netsh interface ipv6 add route 명령을 사용하여 DirectAccess 서버의 IPv6 라우팅 테이블에 고정 경로로 IPv6 주소 공간을 추가.
    IPv4 인터넷 및 IPv6 인트라넷 DirectAccess 서버는 Microsoft 6to4 어댑터 인터페이스를 사용하여 기본 IPv6 경로 트래픽을 IPv4 인터넷의 6to4 릴레이에 전달합니다. netsh interface ipv6 6to4 set relay name=192.88.99.1 state=enabled 명령을 사용하여 IPv4 인터넷(기본 IPv6이 회사 네트워크에 배포되지 않은 경우에 사용)에서 Microsoft 6to4 릴레이의 IPv4 주소에 대해 DirectAccess 서버를 구성할 수 있습니다.

    참고 항목

    다음을 참고하십시오.

    1. DirectAccess 클라이언트에 공용 IPv4 주소가 할당된 경우 DirectAccess 클라이언트는 6to4 전환 기술을 사용하여 인트라넷에 연결합니다. DirectAccess 클라이언트는 6to4를 사용하여 DirectAccess 서버에 연결할 수 없는 경우 IP-HTTPS를 사용합니다.
    2. 기본 IPv6 클라이언트 컴퓨터는 기본 IPv6을 통해 DirectAccess 서버에 연결할 수 있으므로 전환 기술이 필요 없습니다.

방화벽 요구 사항 계획

DirectAccess 서버가 경계면 방화벽 뒤에 있는 경우 DirectAccess 서버가 IPv4 인터넷에 있으면 DirectAccess 트래픽에 대한 다음과 같은 예외가 필요합니다.

  • 6to4 트래픽 - IP 프로토콜 41 인바운드 및 아웃 바운드.

  • IP HTTPS 전송 제어 프로토콜 (TCP) 대상 포트 443 및 TCP 포트 443 아웃 바운드 원본입니다.

  • 단일 네트워크 어댑터를 사용하여 DirectAccess를 배포하고 DirectAccess 서버에 네트워크 위치 서버를 설치하려는 경우에는 TCP 포트 62000도 제외해야 합니다.

    참고 항목

    이 예외는 DirectAccess 서버에 적용됩니다. 다른 모든 예외는 경계면 방화벽에 적용됩니다.

다음 예외는 DirectAccess 서버가 IPv6 인터넷에 있는 경우 DirectAccess 트래픽에 대해 필요합니다.

  • IP 프로토콜 50

  • UDP 대상 포트 500 인바운드, UDP 원본 포트 500 아웃바운드

추가 방화벽을 사용하는 경우 DirectAccess 트래픽에 대해 다음 내부 네트워크 방화벽 예외를 적용합니다.

  • ISATAP - 프로토콜 41 인바운드 및 아웃 바운드

  • TCP/UDP - 모든 IPv4/IPv6 트래픽

인증서 요구 사항 계획

IPsec에 대한 인증서 요구 사항에는 클라이언트와 DirectAccess 서버 간의 IPsec 연결을 설정할 때 DirectAccess 클라이언트 컴퓨터에서 사용하는 컴퓨터 인증서 및 DirectAccess 클라이언트와의 IPsec 연결을 설정할 때 DirectAccess 서버에서 사용하는 컴퓨터 인증서가 포함됩니다. Windows Server 2012 R2 및 Windows Server 2012에 탑재된 DirectAccess의 경우, 이러한 IPsec 인증서를 반드시 사용해야 하는 것은 아닙니다. 시작 마법사는 DirectAccess 서버가 Kerberos 프록시 역할을 하여 인증서를 요구하지 않고 IPsec 인증을 수행하도록 구성합니다.

  1. IP-HTTPS 서버. DirectAccess를 구성할 때, DirectAccess 서버가 IP-HTTPS 수신기 역할을 하도록 자동으로 구성됩니다. IP-HTTPS 사이트에는 웹 사이트 인증서가 필요하므로 클라이언트 컴퓨터에서 인증서의 CRL(인증서 해지 목록) 사이트에 연결할 수 있어야 합니다. DirectAccess 사용 마법사에서는 SSTP VPN 인증서를 사용합니다. SSTP가 구성되지 않은 경우 IP-HTTPS용 인증서가 컴퓨터 개인 저장소에 있는지 확인합니다. 사용 가능한 인증서가 없으면 자체 서명된 인증서를 자동으로 만듭니다.

  2. 네트워크 위치 서버. 네트워크 위치 서버는 클라이언트 컴퓨터의 회사 네트워크 접속 여부를 식별하는 웹사이트입니다. 네트워크 위치 서버는 웹 사이트 인증서가 필요합니다. DirectAccess 클라이언트에서 인증서의 CRL 사이트에 연결할 수 있어야 합니다. 원격 액세스 사용 마법사는 네트워크 위치 서버용 인증서가 컴퓨터 개인 저장소에 있는지 확인합니다. 인증서가 없으면 자체 서명된 인증서를 자동으로 만듭니다.

이러한 각 항목에 대한 인증 요구 사항은 다음 표에 요약되어 있습니다.

IPsec 인증 IP-HTTPS 서버 네트워크 위치 서버
내부 CA가 인증에 Kerberos 프록시를 사용 하지 않는 경우 DirectAccess 서버 및 클라이언트에 IPsec 인증용 컴퓨터 인증서를 발급 하는 데 필요한 공용 CA - 공용 CA를 사용하여 IP-HTTPS 인증서를 발급하는 것을 권장합니다. 이렇게 하면 외부에서 CRL 배포 지점을 사용할 수 있습니다. 내부 CA - 내부 CA를 사용하여 네트워크 위치 서버 웹 사이트 인증서를 발급할 수 있습니다. 그러나 내부 네트워크에서 CRL 배포 지점을 항상 사용할 수 있어야 합니다.
내부 CA - 내부 CA를 사용하여 IP-HTTPS 인증서를 발급할 수 있습니다. 그러나 CRL 배포 지점을 외부에서 사용할 수 있어야 합니다. 자체 서명된 인증서 - 네트워크 위치 서버에 자체 서명된 인증서를 사용할 수 있지만 다중 사이트 배포에는 자체 서명된 인증서를 사용할 수 없습니다.
자체 서명된 인증서 - IP-HTTPS 서버에 자체 서명된 인증서를 사용할 수 있습니다. 그러나 CRL 배포 지점을 외부에서 사용할 수 있어야 합니다. 멀티 사이트 배포에는 자체 서명된 인증서를 사용할 수 없습니다.

IP-HTTPS 및 네트워크 위치 서버용 인증서 계획

이러한 용도로 인증서를 프로비전하려면 고급 설정으로 단일 DirectAccess 서버 배포를 참조하세요. 사용할 수 있는 인증서가 없는 경우 시작 마법사는 이러한 용도로 자체 서명된 인증서를 자동으로 만듭니다.

참고 항목

IP-HTTPS 및 네트워크 위치 서버에 수동으로 인증서를 발급하는 경우, 해당 인증서에 개체 이름이 포함되어 있는지 필히 확인하세요. 인증서에 주체 이름 대신 대체 이름이 있는 경우 이는 DirectAccess 마법사에서 허용되지 않습니다.

DNS 요구 사항 계획

DirectAccess 배포에서는 다음과 같은 용도에 DNS가 필요합니다.

  • DirectAccess 클라이언트 요청. 내부 네트워크에 없는 DirectAccess 클라이언트 컴퓨터의 요청을 확인하는 데 DNS가 사용됩니다. DirectAccess 클라이언트는 인터넷에 있는지 또는 회사 네트워크에 있는지 확인하기 위해 DirectAccess 네트워크 위치 서버에 연결합니다. 연결에 성공하면 클라이언트가 내부 네트워크에 있는 것으로 확인되므로 DirectAccess가 사용되지 않고 클라이언트 요청이 클라이언트 컴퓨터의 네트워크 어댑터에 구성된 DNS 서버를 통해 확인됩니다. 연결에 실패하면 클라이언트가 인트라넷에 있는 것으로 간주됩니다. 이 경우 DirectAccess 클라이언트는 NRPT(이름 확인 정책 테이블)를 사용하여 이름 요청을 확인할 때 사용할 DNS 서버를 결정합니다. 클라이언트에서 DirectAccess DNS64를 사용하여 이름을 확인하거나, 대체 내부 DNS 서버를 사용하도록 지정할 수 있습니다. 이름 확인을 수행할 때 NRPT는 DirectAccess 클라이언트에서 요청을 처리할 방법을 식별하는 데 사용됩니다. 클라이언트는 FQDN 또는 http://internal. 등의 단일 레이블 이름을 요청합니다. 단일 레이블 이름이 요청된 경우 FQDN을 만들기 위해 DNS 접미사가 추가됩니다. DNS 쿼리가 NRPT의 항목과 일치하고 DNS64 또는 인트라넷 DNS 서버가 해당 항목에 지정되어 있는 경우 해당 쿼리는 지정된 서버를 사용하여 이름 확인을 위해 전송됩니다. 일치하지만 지정된 DNS 서버가 없는 경우에는 예외 규칙을 나타내므로 일반 이름 확인이 적용됩니다.

    NRPT에 새 접미사가 추가된 경우, 원격 액세스 관리 콘솔에서 탐지 버튼을 클릭하여 해당 접미사의 기본 DNS 서버를 자동으로 검색할 수 있습니다. 자동 검색은 다음과 같이 작동합니다.

    1. 회사 네트워크가 IPv4 기반이거나 IPv4와 IPv6을 사용하는 경우 기본 주소는 DirectAccess 서버에 있는 내부 어댑터의 DNS64 주소입니다.

    2. 회사 네트워크가 IPv6 기반인 경우 기본 주소는 회사 네트워크에 있는 DNS의 IPv6 주소입니다.

참고 항목

Windows 10 2020년 5월 업데이트부터 클라이언트는 더 이상 이름 확인 정책 테이블 (NRPT)에 구성된 DNS 서버에 해당 IP 주소를 등록하지 않습니다. DNS 등록이 필요한 경우, (예 : Manage Out) 클라이언트에서 이 레지스트리 키로 명시적으로 사용하도록 설정할 수 있습니다.

경로: HKLM\System\CurrentControlSet\Services\Dnscache\Parameters
유형: DWORD
값 이름: DisableNRPTForAdapterRegistration
값:
1 - DNS 등록 비활성화 (Windows 10 2020년 5월 업데이트 이후 기본값)
0 - DNS 등록이 활성화됨

  • 인프라 서버

    1. 네트워크 위치 서버. DirectAccess 클라이언트는 내부 네트워크에 있는지 확인하기 위해 네트워크 위치 서버에 연결합니다. 내부 네트워크의 클라이언트는 네트워크 위치 서버의 이름을 확인할 수 있어야 하지만, 인터넷에 있을 때는 이름을 확인하지 못하도록 설정되어야 합니다. 이를 위해 기본적으로 네트워크 위치 서버의 FQDN이 NRPT에 예외 규칙으로 추가됩니다. 또한 DirectAccess를 구성하는 경우 다음 규칙이 자동으로 만들어집니다.

      1. 루트 도메인 또는 DirectAccess 서버의 도메인 이름과 DirectAccess 서버에 구성된 인트라넷 DNS 서버에 해당하는 IPv6 주소에 대한 DNS 접미사 규칙. 예를 들어 DirectAccess 서버가 corp.contoso.com 도메인의 구성원인 경우 corp.contoso.com DNS 접미사에 대한 규칙이 만들어집니다.

      2. 네트워크 위치 서버의 FQDN에 대한 예외 규칙. 예를 들어 네트워크 위치 서버 URL이 https://nls.corp.contoso.com 인 경우 FQDN nls.corp.contoso.com에 대한 예외 규칙이 만들어집니다.

      IP-HTTPS 서버. DirectAccess 서버는 IP-HTTPS 수신기 역할을 하며 해당 서버 인증서를 사용하여 IP-HTTPS 클라이언트를 인증합니다. IP-HTTPS 이름은 공용 DNS 서버를 사용하는 DirectAccess 클라이언트에서 확인할 수 있어야 합니다.

      연결 검증 도구. DirectAccess는 DirectAccess 클라이언트 컴퓨터에서 내부 네트워크에 대한 연결을 확인하는 데 사용하는 기본 웹 검색을 만듭니다. 검색이 정상적으로 작동하려면 다음 이름을 DNS에 수동으로 등록해야 합니다.

      1. directaccess webprobehost - DirectAccess 서버의 내부 IPv4 주소 또는 IPv6 전용 환경의 IPv6 주소를 확인 합니다.

      2. directaccess-corpconnectivityhost - 는 localhost(루프백) 주소를 확인해야합니다. A 및 AAAA 레코드(값이 127.0.0.1인 A 레코드와 값의 마지막 32비트가 NAT64 접두사에서 127.0.0.1로 생성된 AAAA 레코드)가 만들어집니다. NAT64 접두사는 get-netnattransitionconfiguration cmdlet을 실행하여 검색할 수 있습니다.

      HTTP 또는 PING을 통해 다른 웹 주소를 사용하여 추가 연결 검증 도구를 만들 수 있습니다. 각 연결 검증 도구에 대한 DNS 항목이 있어야 합니다.

DNS 서버 요구 사항

  • DirectAccess 클라이언트의 경우 Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 또는 IPv6을 지원하는 DNS 서버를 사용해야 합니다.

참고 항목

DirectAccess를 배포하는 경우 Windows Server 2003을 실행하는 DNS 서버를 사용하지 않는 것이 좋습니다. Windows Server 2003 DNS 서버는 IPv6 레코드를 지원하지만 Microsoft에서 Windows Server 2003을 더 이상 지원하지 않습니다. 또한 도메인 컨트롤러가 Windows Server 2003을 실행하는 경우 파일 복제 서비스 문제로 인해 DirectAccess를 배포하면 안 됩니다. 자세한 내용은 참조 DirectAccess 구성은 지원 되지 않으므로합니다.

네트워크 위치 서버 계획

네트워크 위치 서버는 DirectAccess 클라이언트가 회사 네트워크에 있는지 검색하는 데 사용되는 웹 사이트입니다. 회사 네트워크의 클라이언트는 DirectAccess를 사용하여 내부 리소스에 연결하는 것이 아니라 직접 연결합니다.

시작 마법사가 DirectAccess 서버에서 네트워크 위치 서버를 자동으로 설정하며, DirectAccess를 배포할 때 웹 사이트가 자동으로 만들어집니다. 따라서 인증서 인프라를 사용하지 않고 간편하게 설치할 수 있습니다.

네트워크 위치 서버를 배포하고 자체 서명된 인증서를 사용하지 않으려면 고급 설정으로 단일 DirectAccess 서버 배포를 참조하세요.

Active Directory 계획

DirectAccess는 다음과 같이 Active Directory 및 Active Directory 그룹 정책 개체를 사용합니다:

  • 인증. 인증에 Active Directory가 사용됩니다. DirectAccess 터널에서는 사용자에 대해 Kerberos 인증을 사용하여 내부 리소스에 액세스합니다.

  • 그룹 정책 개체. DirectAccess는 DirectAccess 서버 및 클라이언트에 적용되는 그룹 정책 개체로 구성 설정을 수집합니다.

  • 보안 그룹. DirectAccess는 보안 그룹을 사용하여 DirectAccess 클라이언트 컴퓨터와 DirectAccess 서버를 함께 수집하고 식별합니다. 그룹 정책은 필요한 보안 그룹에 적용됩니다.

Active Directory 요구 사항

DirectAccess 배포에서 Active Directory를 계획할 때 필요한 사항은 다음과 같습니다.

  • Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 또는 Windows Server 2008에 설치된 하나 이상의 도메인 컨트롤러.

    도메인 컨트롤러가 경계 네트워크에 있는 경우(따라서 DirectAccess 서버의 인터넷 연결 네트워크 어댑터에서 연결할 수 있는 경우) 도메인 컨트롤러에 인터넷 어댑터의 IP 주소 연결을 방지하는 패킷 필터를 추가하여 DirectAccess 서버에서 해당 도메인 컨트롤러에 연결하지 못하도록 해야 합니다.

  • DirectAccess 서버가 도메인 구성원이어야 합니다.

  • DirectAccess 클라이언트가 도메인 구성원이어야 합니다. 클라이언트는 다음에 속할 수 있습니다.

    • DirectAccess 서버와 동일한 포리스트의 모든 도메인

    • DirectAccess 서버 도메인과 양방향 트러스트 관계에 있는 모든 도메인

    • DirectAccess 도메인이 속한 포리스트와 양방향 트러스트 관계에 있는 포리스트의 모든 도메인

참고 항목

  • DirectAccess 서버는 도메인 컨트롤러일 수 없습니다.
  • DirectAccess 서버의 외부 인터넷 어댑터에서 DirectAccess에 사용되는 Active Directory 도메인 컨트롤러에 연결할 수 없어야 합니다. (어댑터가 Windows 방화벽의 도메인 프로필에 없어야 합니다.)

그룹 정책 개체 계획

DirectAccess를 구성할 때 구성된 DirectAccess 설정은 그룹 정책 개체 (GPO)에 수집됩니다. 두 가지 GPO가 DirectAccess 설정으로 채워지며 다음과 같이 배포됩니다.

  • DirectAccess 클라이언트 GPO. 이 GPO는 IPv6 전환 기술 설정, NRPT 항목, 고급 보안이 포함된 Windows 방화벽 연결 보안 규칙 등의 클라이언트 설정을 포함하며, 클라이언트 컴퓨터에 지정된 보안 그룹에 적용됩니다.

  • DirectAccess 서버 GPO. 이 GPO는 배포에서 DirectAccess 서버로 구성된 모든 서버에 적용되는 DirectAccess 구성 설정을 포함합니다. 또한 고급 보안이 포함된 Windows 방화벽 연결 보안 규칙을 포함합니다.

다음 두 가지 방법으로 GPO를 구성할 수 있습니다.

  1. 자동 자동으로 만들어지도록 지정할 수 있습니다. 각 GPO에 기본 이름이 지정됩니다. GPO는 시작 마법사에 의해 자동으로 만들어집니다.

  2. 수동 Active Directory 관리자가 미리 정의한 GPO를 사용할 수 있습니다.

DirectAccess가 특정 GPO를 사용하도록 구성된 후에는 다른 GPO를 사용하도록 구성할 수 없습니다.

Important

자동으로 구성된 GPO를 사용하든, 수동으로 구성된 GPO를 사용하든 상관없이, 클라이언트에서 3G를 사용하는 경우 저속 연결 검색에 대한 정책을 추가해야 합니다. 정책에 대한 그룹 정책 경로: 그룹 정책 구성 저속 연결 검색 은: 컴퓨터 구성 / 정책 / 관리 템플릿 / 시스템 / 그룹 정책입니다.

주의

DirectAccess cmdlet을 실행하기 전에 모든 DirectAccess 그룹 정책 개체를 백업하려면 다음 절차를 따르십시오. DirectAccess 구성 백업 및 복원

자동으로 만들어진 GPO

자동으로 만들어진 GPO를 사용할 때 주의할 사항은 다음과 같습니다.

자동으로 만들어진 GPO는 다음과 같이 위치 및 연결 대상 매개 변수에 따라 적용됩니다.

  • DirectAccess 서버 GPO의 경우 위치 및 연결 매개 변수는 둘 다 DirectAccess 서버를 포함하는 도메인을 가리킵니다.

  • 클라이언트 GPO가 만들어지면 해당 GPO가 만들어지는 단일 도메인으로 위치가 설정됩니다. GPO 이름은 각 도메인에서 조회되며 DirectAccess 설정(있는 경우)으로 채워집니다. 연결 대상은 GPO가 만들어진 도메인의 루트로 설정됩니다. GPO는 클라이언트 컴퓨터가 포함된 각 도메인에 만들어지며 각 도메인의 루트에 연결됩니다.

자동으로 만들어진 GPO를 사용하는 경우 DirectAccess 설정을 적용하려면 DirectAccess 서버 관리자에게 다음 권한이 필요합니다.

  • 각 도메인 대한 GPO 만들기 권한

  • 선택한 모든 클라이언트 도메인 루트에 대한 연결 권한

  • 서버 GPO 도메인 루트에 대한 연결 권한

  • GPO에 대한 보안 만들기, 편집, 삭제 및 수정 권한이 필요합니다.

  • DirectAccess 관리자에게 필요한 각 도메인에 대한 GPO 읽기 권한이 있는 것이 좋습니다. 그러면 GPO를 만들 때 DirectAccess에서 이름이 중복된 GPO가 없는지 확인할 수 있습니다.

GPO 연결을 위한 올바른 권한이 없으면 경고가 발생합니다. 이 경우 DirectAccess 작업은 계속되지만 연결이 발생하지 않습니다. 이 경고가 발생하면 나중에 권한을 추가한 후에도 연결이 자동으로 생성되지 않습니다. 대신 관리자가 수동으로 연결을 만들어야 합니다.

수동으로 만든 GPO

수동으로 만든 GPO를 사용할 때 주의할 사항은 다음과 같습니다.

  • 원격 액세스 시작 마법사를 실행하기 전에 GPO가 존재해야 합니다.

  • 수동으로 만든 GPO를 사용하는 경우, DirectAccess 설정을 적용하려면 DirectAccess 관리자에게 수동으로 만든 GPO에 대한 모든 권한(보안 편집, 삭제, 수정)이 있어야 합니다.

  • 수동으로 만든 GPO를 사용할 때는 전체 도메인에서 GPO에 대한 연결이 검색됩니다. GPO가 도메인에 연결되지 않은 경우 자동으로 도메인 루트에 연결이 만들어집니다. 연결을 만드는 데 필요한 권한이 없으면 경고가 발생합니다.

GPO 연결을 위한 올바른 권한이 없으면 경고가 발생합니다. 이 경우 DirectAccess 작업은 계속되지만 연결이 발생하지 않습니다. 이 경고가 발생하면 나중에 권한을 추가한 경우에도 연결이 자동으로 생성되지 않습니다. 대신 관리자가 수동으로 연결을 만들어야 합니다.

삭제된 GPO 복구

DirectAccess 서버, 클라이언트 또는 애플리케이션 서버 GPO를 실수로 삭제한 경우 사용 가능한 백업이 없다면 구성 설정을 제거하고 다시 구성해야 합니다. 그러나 백업을 사용할 수 있는 경우 백업에서 GPO를 복구할 수 있습니다.

DirectAccess 관리에 다음 오류 메시지가 표시됩니다: GPO <GPO 이름을 >찾을 수 없습니다. 구성 설정을 제거하려면 다음 단계를 따릅니다.

  1. PowerShell cmdlet Uninstall-remoteaccess를 실행합니다.

  2. DirectAccess 관리를 다시 엽니다.

  3. GPO를 찾을 수 없다는 오류 메시지가 표시됩니다. 구성 설정 제거를 클릭합니다. 작업이 완료되면 서버가 구성되지 않은 상태로 복원됩니다.