네트워, MCSE MS 원격 액세스 소개 및 개요 BR180MCSE MS 원격 액세스 소개 및 개요


원격 액세스는 대개 사이트 외부 또는 원격 위치에 있는 컴퓨터를 네트워크에 투명하게 연결하는 기술입니다. 원격 액세스는 대개 회사 직원이 랩톱 컴퓨터나 가정용 컴퓨터에서 회사 네트워크에 연결하여 전자 메일을 읽거나 공유 파일에 액세스할 때 또는 인터넷 서비스 공급자(ISP)가 고객을 인터넷에 연결할 때 사용합니다.

사용자는 원격 액세스 클라이언트 소프트웨어를 실행하고 원격 액세스 서버에 대한 연결을 시작합니다. 원격 액세스 서버는 사용자나 네트워크 관리자에 의하여 종료될 때까지 사용자와 서비스 세션을 인증합니다. 파일 및 인쇄 공유, 웹 서버 액세스, 메시징과 같이 LAN 연결 사용자가 일반적으로 사용할 수 있는 모든 서비스는 원격 액세스 연결을 통해 활성화됩니다.

원격 액세스 클라이언트는 표준 도구를 사용하여 리소스에 액세스합니다. 예를 들어, Windows 2000을 실행하는 컴퓨터에서 클라이언트는 Windows 탐색기를 사용하여 드라이브에 연결하거나 프린터에 연결할 수 있습니다. 연결은 지속적이므로 원격 세션이 열려 있는 동안에는 사용자가 네트워크 리소스에 다시 연결할 필요가 없습니다. 원격 액세스는 드라이브 문자와 범용 명명 규칙(UNC) 이름을 완벽하게 지원하기 때문에 대부분의 상용 응용 프로그램과 사용자 지정 응용 프로그램을 수정하지 않고 실행할 수 있습니다.

그림 1은 원격 액세스 서버에 연결된 원격 액세스 클라이언트에 대한 논리적 동일성을 보여줍니다.

현재 사용하는 브라우저가 인라인 프레임을 지원하지 않을 경우 여기를 눌러 새 창에서 볼 수 있습니다.

그림 1 원격 액세스 연결의 논리적 동일성

Windows 2000 원격 액세스는 다음 두 가지 원격 액세스 연결을 제공합니다.


  1. 전화 접속 원격 액세스. 전화 접속 원격 액세스에서는 원격 액세스 클라이언트가 통신 인프라(대개 아날로그 전화선)를 사용하여 원격 액세스 서버의 포트에 대한 임시 실제 회로 또는 가상 회로를 만듭니다. 실제 또는 가상 회로가 만들어지면 나머지 연결 매개변수를 협상할 수 있습니다.
  2. 가상 사설망(VPN) 원격 액세스. 가상 사설망 원격 액세스에서는 VPN 클라이언트가 IP 네트워크를 사용하여 VPN 서버 역할을 하는 원격 액세스 서버와의 가상 지점간 연결을 만듭니다. 가상 지점간 연결이 만들어지면 나머지 연결 매개변수를 결정할 수 있습니다.

원격 액세스 및 원격 제어


원격 액세스는 원격 제어와 다릅니다. 원격 액세스 서버는 소프트웨어 기반 멀티프로토콜 라우터이고, 원격 제어 솔루션은 원격 링크를 통해 화면, 키보드 및 마우스를 공유하는 방식으로 작동합니다. 원격 액세스와 원격 제어 솔루션의 차이는 다음과 같습니다.


  • 원격 액세스에서는 응용 프로그램이 원격 액세스 클라이언트 컴퓨터에서 실행됩니다. 예를 들어 Windows 2000 Server와 라우팅 및 원격 액세스 서비스를 실행하는 컴퓨터는 원격 액세스 서버이고, Windows 2000 Professional을 실행하는 컴퓨터는 원격 액세스 클라이언트입니다.
  • 원격 제어 솔루션에서는 사용자가 서버의 단일 또는 다중 CPU를 공유하고 응용 프로그램이 서버에서 실행됩니다. 원격 액세스 서버의 CPU는 응용 프로그램을 실행하는 용도가 아니라 원격 액세스 클라이언트와 네트워크 리소스 간의 통신을 원활하게 지원하는 용도로만 사용됩니다. 예를 들어 Windows 2000 Server와 터미널 서비스를 실행하는 컴퓨터는 원격 제어 서버이고, Windows 2000 Professional과 터미널 서비스 클라이언트를 실행하는 컴퓨터는 원격 제어 클라이언트입니다.

전화 접속 원격 액세스 연결의 요소


전화 접속 원격 액세스 연결은 그림 2와 같이 원격 액세스 클라이언트, 원격 액세스 서버 및 광역 네트워크(WAN) 인프라로 구성됩니다.

현재 사용하는 브라우저가 인라인 프레임을 지원하지 않을 경우 여기를 눌러 새 창에서 볼 수 있습니다.

그림 2 전화 접속 원격 액세스 연결의 요소

원격 액세스 클라이언트


Windows 2000 원격 액세스 서버는 전화 접속 연결을 허용하고 원격 액세스 클라이언트와 원격 액세스 서버가 연결된 네트워크 간에 패킷을 전달합니다.

원격 액세스 서버


Windows 2000 원격 액세스 서버는 전화 접속 연결을 허용하고 원격 액세스 클라이언트와 원격 액세스 서버가 연결된 네트워크 간에 패킷을 전달합니다.

전화 접속 장비 및 WAN 인프라


원격 액세스 서버와 원격 액세스 클라이언트 간의 물리적 또는 논리적 연결은 원격 액세스 클라이언트, 원격 액세스 서버 및 통신 인프라에 설치된 전화 접속 장비를 통해 원활하게 지원됩니다. 전화 접속 장비와 통신 인프라의 속성은 만들고자 하는 연결 유형에 따라 달라집니다.

원격 액세스 프로토콜


원격 액세스 프로토콜은 광역 네트워크(WAN) 링크를 통한 연결 설정 및 데이터 전송을 제어합니다. 클라이언트가 사용할 수 있는 원격 액세스 프로토콜은 원격 액세스 클라이언트와 서버에 사용되는 운영 체제 및 LAN 프로토콜에 따라 결정됩니다.

Windows XP, Windows 2000, Windows Millennium Edition과 같은 현재의 Microsoft 운영 체제에서 지원하는 기본 원격 액세스 프로토콜은 보안 기능, 멀티프로토콜 지원 기능 및 상호 운용성을 제공하는 산업 표준 프로토콜 집합인 지점간 프로토콜(PPP)입니다.

LAN 프로토콜


LAN 프로토콜은 원격 액세스 클라이언트가 원격 액세스 서버에 연결된 네트워크의 리소스에 액세스하는 데 사용하는 프로토콜입니다. Microsoft 원격 액세스는 TCP/IP, IPX 및 AppleT!!!alk를 지원합니다.

표 1은 원격 액세스 프로토콜과 각각의 사용 가능성을 나타냅니다.

표 1 LAN 프로토콜 및 사용 가능성



















원격 액세스 프로토콜
Windows XP 또는 Windows 2000 원격 액세스 클라이언트
Windows 2000 원격 액세스 서버
TCP/IP
X
X
IPX
X
X
AppleT!!!alk


X

VPN 원격 액세스 연결의 요소


VPN 원격 액세스 연결은 그림 3과 같이 원격 액세스 클라이언트, 원격 액세스 서버 및 인터넷으로 구성됩니다.

현재 사용하는 브라우저가 인라인 프레임을 지원하지 않을 경우 여기를 눌러 새 창에서 볼 수 있습니다.

그림 3 VPN 원격 액세스 연결의 요소

원격 액세스 VPN 클라이언트


VPN 클라이언트는 원격 액세스 VPN 연결을 사용할 수 있는 개인 사용자 또는 라우터간 VPN 연결을 가진 라우터입니다. Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition, Windows 98 VPN 클라이언트는 VPN 서버 역할을 하는 Windows 2000 실행 원격 액세스 서버와 대부분의 다른 VPN 서버에 대한 원격 액세스 VPN 연결을 만들 수 있습니다. VPN 클라이언트는 인터넷 프로토콜 보안(IPSec)을 사용하는 Microsoft 지점간 터널링 프로토콜(PPTP) 클라이언트 또는 계층 2 터널링 프로토콜(L2TP) 클라이언트가 아닌 클라이언트일 수도 있습니다. Windows 2000 Server 또는 Windows NT Server 4.01을 실행하는 컴퓨터는 라우터간 VPN 연결을 만들 수 있습니다.

원격 액세스 VPN 서버


Windows 2000 원격 액세스 서버는 PPTP 및 L2TP/IPSec 기반 VPN 연결을 받아들이고 원격 액세스 클라이언트와 원격 액세스 서버가 연결된 네트워크 간에 패킷을 전달합니다.

VPN 프로토콜


Windows 2000 원격 액세스 서버와 클라이언트는 원격 액세스 VPN 연결에 대해 다음 두 가지 VPN 프로토콜을 지원합니다.


  • 지점간 터널링 프로토콜
  • 계층 2 터널링 프로토콜

지점간 터널링 프로토콜


지점간 터널링 프로토콜(PPTP)은 Windows NT 4.0에서 처음 지원된 터널링 프로토콜로, 지점간 프로토콜(PPP)을 확장한 것이며 PPP의 인증, 압축 및 암호화 메커니즘을 이용합니다. PPTP는 TCP/IP 프로토콜과 함께 자동으로 설치됩니다. PPTP와 Microsoft 지점간 암호화(MPPE)는 개인 데이터의 캡슐화 및 암호화에 사용되는 기본 VPN 서비스를 제공합니다.

PPP 프레임(IP 또는 IPX 데이터그램)은 일반 라우팅 캡슐화(GRE) 헤더와 IP 헤더로 래핑됩니다. IP 헤더에서 원본 IP 주소는 VPN 클라이언트에, 대상 IP 주소는 VPN 서버에 해당합니다.

PPP 프레임은 MS-CHAP, MS-CHAP v2 또는 EAP-TLS 인증 프로세스 프레임에서 생성된 암호화 키를 사용하여 MPPE로 암호화됩니다. PPP 프레임의 페이로드를 암호화하려면 가상 사설망 클라이언트가 MS-CHAP, MS-CHAP v2 또는 EAP-TLS 인증 프로토콜을 사용해야 합니다. PPTP는 기본 PPP 암호화와 이전에 암호화한 PPP 프레임의 캡슐화를 활용합니다.

그림 4는 PPP 프레임의 PPTP 캡슐화 및 암호화를 보여줍니다.

현재 사용하는 브라우저가 인라인 프레임을 지원하지 않을 경우 여기를 눌러 새 창에서 볼 수 있습니다.

그림 4 PPP 프레임의 PPTP 캡슐화 및 암호화

계층 2 터널링 프로토콜


계층 2 터널링 프로토콜(L2TP)은 IETF(Internet Engineering Task Force) 표준 터널링 프로토콜입니다. Windows 2000에서 L2TP는 PPTP와는 달리 MPPE를 이용하여 PPP 프레임을 암호화하지 않습니다. L2TP는 암호화 서비스에 인터넷 프로토콜 보안(IPSec)을 사용합니다. L2TP와 IPSec의 조합을 L2TP/IPSec라고 합니다. VPN 클라이언트와 VPN 서버가 둘 다 L2TP와 IPSec를 지원해야 합니다. L2TP는 라우팅 및 원격 액세스 서비스와 함께 자동으로 설치됩니다.

L2TP/IPSec는 개인 데이터의 캡슐화 및 암호화에 사용되는 기본 VPN 서비스를 제공합니다.

IPSec를 통한 L2TP 패킷 캡슐화는 다음 두 계층으로 구성됩니다.


  • L2TP 캡슐화. PPP 프레임(IP 또는 IPX 데이터그램)은 L2TP 헤더와 UDP 헤더로 래핑됩니다.
  • IPSec 캡슐화. 그런 다음 얻어진 L2TP 메시지는 IPSec 캡슐화된 보안 페이로드(ESP) 헤더와 트레일러, 메시지 무결성과 인증을 제공하는 IPSec 인증 트레일러, 최종 IP 헤더로 래핑됩니다. IP 헤더에서 원본 IP 주소는 VPN 클라이언트에, 대상 IP 주소는 VPN 서버에 해당됩니다. L2TP 메시지는 IPSec 인증 프로세스에서 생성된 암호화 키를 사용하여 IPSec 암호화 메커니즘으로 암호화됩니다.

그림 5는 PPP 데이터그램의 L2TP/IPSec 캡슐화 및 암호화를 보여줍니다.

현재 사용하는 브라우저가 인라인 프레임을 지원하지 않을 경우 여기를 눌러 새 창에서 볼 수 있습니다.

그림 5 PPP 프레임의 L2TP/IPSec 캡슐화 및 암호화

인터넷


VPN 원격 액세스 클라이언트와 VPN 원격 액세스 서버를 연결하는 수단은 TCP/IP 기반 네트워크(대개 인터넷)입니다. 일반적으로는 PN 원격 액세스 클라이언트가 전화 접속 원격 액세스 연결을 사용하여 ISP 인터넷 서비스에 액세스한 다음 VPN 원격 액세스 연결을 사용하여 회사 네트워크에 액세스합니다.


고급 원격 액세스 기능


현재 Microsoft 운영 체제에서는 원격 액세스 연결을 위하여 다음과 같은 고급 기능을 지원합니다.


  • RADIUS 클라이언트 지원
  • 멀티캐스트 전달 지원
  • DHCP 지원
  • 멀티링크 및 BAP
  • 콜백

RADIUS 클라이언트 지원


Windows 또는 원격 인증 전화 접속 사용자 서비스(RADIUS)를 Windows 2000 Server용 라우팅 및 원격 액세스 서비스의 인증 또는 계정 공급자로 사용할 수 있습니다.


  • Windows가 인증 및 계정 공급자로 사용될 때는 원격 액세스 서버가 기본 Windows 2000 기능을 사용하여 원격 액세스 클라이언트의 보안 자격 증명(대개 원격 액세스 사용자의 사용자 이름과 암호)에 대한 유효성을 검사하고 원격 액세스 클라이언트의 사용자 계정 전화 접속 로그인 속성에 액세스합니다. 로컬로 구성된 원격 액세스 정책에 따라 원격 액세스 연결의 권한이 부여되고 연결 계정 정보가 로컬로 작성된 계정 로그 파일에 기록됩니다.
  • RADIUS가 인증 및 계정 공급자로 사용될 때는 원격 액세스 서버가 RADIUS 클라이언트 역할을 하고 사용자 자격 증명과 기타 연결 설정을 RADIUS 서버에 보냅니다. RADIUS 서버는 원격 액세스 클라이언트의 자격 증명에 대한 유효성을 검사하고 연결 시도 권한을 부여하고 원격 액세스 연결 계정 정보를 저장합니다.

Windows 2000 Server에는 인터넷 인증 서비스(IAS)라고 알려진 선택적 네트워킹 구성 요소인 RADIUS 서버가 포함되어 있습니다. IAS가 RADIUS 서버로 사용될 때는 IAS 서버가 기본 Windows 2000 기능을 사용하여 원격 액세스 클라이언트의 보안 자격 증명에 대한 유효성을 검사하고 원격 액세스 클라이언트의 사용자 계정 전화 접속 로그인 속성에 액세스합니다. IAS 서버에 구성된 원격 액세스 정책에 따라 원격 액세스 연결 권한이 부여되고 연결 계정 정보가 IAS 서버에 저장된 계정 로그 파일에 기록됩니다.

멀티캐스트 전달 지원


IP 멀티캐스팅을 지원하는 네트워크에서는 Windows 2000 원격 액세스 서버가 원격 액세스 클라이언트와 멀티캐스트 가능 네트워크 사이에서 멀티캐스트 게이트웨이 역할을 할 수 있습니다. IP 멀티캐스트 트래픽을 수신하는 원격 액세스 클라이언트 알림은 원격 액세스 클라이언트에서 원격 액세스 서버가 연결되어 있는 네트워크 세그먼트의 멀티캐스트 가능 라우터로 전달됩니다. 원격 액세스 클라이언트로 향하는 멀티캐스트 트래픽이 원격 액세스 서버가 연결되어 있는 네트워크 세그먼트에 전달되면 원격 액세스 서버가 해당되는 원격 액세스 클라이언트에 멀티캐스트 패킷을 전달합니다. 원격 액세스 클라이언트끼리 IP 멀티캐스트 트래픽을 주고받을 수도 있습니다. 멀티캐스트 전달 지원 기능은 라우팅 및 원격 액세스 서버 설치 마법사를 실행할 때 기본적으로 사용됩니다. 자세한 내용은 이 문서의 "Windows 2000 원격 액세스 서버 설치"를 참조하십시오.

DHCP 지원


동적 호스트 구성 프로토콜(DHCP)은 TCP/IP 주소 할당 및 구성을 자동화하는 프로토콜로, 대개 회사 네트워크에서 사용됩니다. Windows 2000은 다음과 같이 원격 액세스용 DHCP를 지원합니다.


  • Windows 2000 원격 액세스 서버는 DHCP를 사용하여 PPP 연결 프로세스 도중에 원격 액세스 클라이언트에 할당되는 주소를 구하도록 구성할 수 있습니다. 원격 액세스 클라이언트는 DHCP를 사용하여 DHCP 서버에서 IP 주소를 구하는 것이 아니라 PPP 협상을 사용하여 원격 액세스 서버에서 IP 주소를 구합니다. DHCP를 사용하여 원격 액세스 클라이언트용 주소 할당에 기존 TCP/IP 관리 인프라를 사용할 수 있으며 DHCP로 구한 주소를 사용하면 원격 액세스 클라이언트로 향하는 트래픽의 라우팅이 단순화됩니다.
  • PPP 연결이 완료되면 Windows 2000과 Windows XP 원격 액세스 클라이언트가 DHCPInform이라는 특수 DHCP 메시지를 원격 액세스 서버에 보내서 특정 구성 매개변수 집합을 요청합니다. DHCPInform 메시지를 회사 네트워크의 DHCP 서버에 전달하도록 Windows 2000 원격 액세스 서버를 구성할 수 있으며 응답은 원격 액세스 클라이언트에 다시 전달됩니다. 최종적으로 Windows 2000과 Windows XP 원격 액세스 클라이언트는 원격 액세스 클라이언트가 속하는 DNS 도메인 이름과 같이 PPP 연결이 협상되는 동안 제공되지 않는 구성을 설정할 수 있게 됩니다.

멀티링크 및 BAP


전화 접속 링크의 경우, Windows 2000 원격 액세스는 멀티링크와 대역폭 할당 프로토콜(BAP)을 지원합니다. 멀티링크를 사용하면 실제로 여러 개의 링크가 데이터를 주고받는 하나의 논리 링크처럼 나타납니다. ISDN BRI(Basic Rate Interface) 연결에서 B채널 두 개 모두의 집합은 이러한 경우의 좋은 예입니다. 결합 지원, 즉 하드웨어를 통한 ISDN B 채널 조합 지원은 ISDN 어댑터에만 적용되기 때문에 멀티링크는 BRI 연결의 여러 B 채널을 조합할 때 권장되는 방법입니다. 모든 ISDN 어댑터에 멀티링크를 사용할 수 있지만 연결의 양쪽에서 모두 멀티링크를 지원해야 합니다.

멀티링크를 사용하면 여러 개의 실제 링크를 통합할 수 있지만, 필요할 때 추가 링크를 추가하거나 필요하지 않을 때 추가 링크를 종료함으로써 변화하는 대역폭 조건에 대응하는 메커니즘은 사용할 수 없습니다. 대역폭 할당 프로토콜(BAP)은 바로 이러한 추가 기능을 제공합니다. BAP는 멀티링크 연결을 사용하여 링크를 동적으로 관리합니다.

예를 들어, 멀티링크 및 BAP 가능 원격 액세스 클라이언트와 원격 액세스 서버가 하나의 실제 링크로 구성된 멀티링크 연결을 만듭니다. 단일 링크 사용률이 미리 설정된 수준까지 올라가면 원격 액세스 클라이언트가 BAP 요청 메시지를 사용하여 추가 링크를 요청합니다. BAP 요청 메시지는 아날로그 전화선, ISDN 또는 x.25와 같은 원하는 링크 유형을 지정합니다. 그런 다음 원격 액세스 서버가 BAP 응답 메시지를 보내는데, 이 메시지에는 원격 액세스 클라이언트가 BAP 요청에 지정한 것과 같은 유형의 원격 액세스 서버에서 사용 가능한 포트의 전화 번호가 포함됩니다.

콜백


콜백을 사용하면 사용자 자격 증명이 확인된 후 원격 액세스 서버가 원격 액세스 클라이언트를 호출합니다. 호출 시간 동안 원격 액세스 클라이언트의 사용자가 지정한 번호로 원격 액세스 클라이언트를 콜백하도록 서버의 콜백 기능을 구성할 수 있습니다. 이렇게 하면 이동이 잦은 사용자가 전화선으로 접속할 때 원격 액세스 서버가 현재 위치에서 해당 사용자를 콜백하므로 전화비가 절약됩니다. 또한 항상 특정 위치에서 원격 액세스 클라이언트를 콜백하도록 안전한 형태의 콜백 기능을 구성할 수도 있습니다.








Microsoft 원격 액세스의 보안 기능 Back to Top


원격 액세스는 원격 액세스 클라이언트를 네트워크 및 잠재적으로 중요한 네트워크 데이터에 투명하게 연결하므로 원격 액세스 연결의 보안은 중요한 고려 사항입니다. Microsoft 원격 액세스는 다음을 포함하는 광범위한 보안 기능을 제공합니다.


  • 인증 및 권한 부여
  • 보안 사용자 인증
  • 확장할 수 있는 인증 프로토콜
  • 데이터 암호화
  • 호출자 ID
  • 원격 액세스 계정 잠금
  • 원격 액세스 정책 프로필 패킷 필터링
  • VPN 원격 액세스용 패킷 필터링

인증 및 권한 부여


연결 시도가 승인되거나 거부되는 이유를 이해하려면 인증과 권한 부여의 차이를 알아야 합니다.


  • 인증은 연결 시도의 자격 증명을 확인하는 프로세스로서 인증 프로토콜을 사용하여 원격 액세스 클라이언트의 자격 증명을 원격 액세스 서버에 보내는 작업으로 구성됩니다.
  • 권한 부여는 연결 시도가 허용됨을 확인하는 프로세스로서 인증이 성공한 후에 발생합니다.

연결 시도가 승인되려면 해당 연결 시도에 대한 인증과 권한 부여가 모두 완료되어야 합니다. 유효한 자격 증명을 사용하여 연결 시도를 인증만 하고 권한을 부여하지 않은 경우에는 연결 시도가 거부됩니다.

원격 액세스 서버가 Windows 인증용으로 구성된 경우, Windows 2000 보안은 자격 증명을 확인하여 연결을 인증하는 데 사용되고 사용자 계정의 전화 접속 로그인 속성과 로컬로 저장된 원격 액세스 정책은 연결의 권한을 부여하는 데 사용됩니다. 연결 시도에 대한 인증과 권한 부여가 둘 다 완료된 경우에는 연결 시도가 승인됩니다.

원격 액세스 정책은 연결의 권한 부여 방식을 정의하는 일련의 순서 있는 규칙입니다. 원격 액세스 정책은 권한이 부여된 연결에 대해서도 연결 제한 사항을 정의할 수 있습니다. 연결 시도는 원격 액세스 정책의 순서에 따라 평가되며 연결 시도가 각 정책의 모든 조건과 일치하는지 판단합니다. 연결 시도가 정책의 모든 조건과 일치하지 않으면 연결 시도가 거부됩니다.

연결이 원격 액세스 정책의 모든 조건과 일치하여 원격 액세스 권한이 부여되면 원격 액세스 정책 프로필이 일련의 연결 제한 사항을 지정합니다. 또한 사용자 계정의 전화 접속 로그인 속성도 몇 가지 제한 사항을 지정합니다. 경우에 따라서는 사용자 계정 연결 제한 사항이 원격 액세스 정책 프로필의 연결 제한 사항보다 우선합니다.

원격 액세스 정책에서 구성할 수 있는 가장 유용한 조건 중 하나는 특정 Windows 그룹의 구성원 자격입니다. 이 조건을 사용하면 원격 액세스 사용자의 사용자 계정에 대한 그룹 구성원 자격을 토대로 권한 부여 및 연결 제한 사항을 지정할 수 있습니다. 예를 들어, 다음 작업을 수행할 수 있습니다.


  • 업무 시간 외에는 계약자 그룹 구성원의 연결을 차단합니다.
  • 직원 그룹 구성원의 연결에 최대 세션 시간 10분, 유휴 시간 제한 5분을 지정합니다.
  • 경영자 그룹 구성원의 연결에는 최대 세션 시간과 유휴 시간 제한을 설정하지 않습니다.

원격 액세스 서버가 RADIUS 인증용으로 구성된 경우에는 인증 및 권한 부여를 위해 연결 시도의 자격 증명이 RADIUS 서버에 전달됩니다. 연결 시도에 대한 인증과 권한 부여가 둘 다 완료되면 RADIUS 서버가 승인 메시지를 원격 액세스 서버에 보내고 연결 시도가 승인됩니다. 연결 시도에 대한 인증과 권한 부여 중 하나라도 완료되지 않으면 RADIUS 서버가 거부 메시지를 원격 액세스 서버에 보내고 연결 프로세스가 거부됩니다.

RADIUS 서버가 Windows 2000 Server와 인터넷 인증 서비스(IAS)를 실행하는 컴퓨터인 경우, IAS 서버는 Windows 2000 보안을 통해 인증을 수행하고 사용자 계정의 전화 접속 로그인 속성과 IAS 서버에 저장된 원격 액세스 정책을 통해 권한 부여를 수행합니다.

보안 사용자 인증


보안 사용자 인증은 사용자 자격 증명의 암호화된 교환을 통해 수행됩니다. 이는 다음 PPP 인증 프로토콜을 사용하는 PPP 원격 액세스 프로토콜에서 가능합니다.


  • 확장할 수 있는 인증 프로토콜(EAP)
  • MS-CHAP(Microsoft Challenge Handshake Authentication Protocol)
  • MS-CHAP 버전 2(MS-CHAP v2)
  • Challenge Handshake 인증 프로토콜(CHAP)
  • Shiva 암호 인증 프로토콜(SPAP)

특정 보안 인증 방법을 반드시 수행하도록 원격 액세스 서버를 구성할 수 있습니다. 원격 액세스 클라이언트가 필요한 보안 인증 방법을 수행할 수 없으면 연결이 거부됩니다.

확장할 수 있는 인증 프로토콜


확장할 수 있는 인증 프로토콜(EAP)은 임의의 인증 메커니즘을 PPP 연결의 유효성 검사에 사용할 수 있게 해주는 새로운 표준입니다. MS-CHAP 또는 SPAP와 같은 PPP 인증 프로토콜을 사용할 경우에는 링크 설정 단계가 진행되는 동안 특정 인증 메커니즘이 선택된 다음 연결 인증 단계가 진행되는 동안 협상된 인증 프로토콜이 연결의 유효성을 검사하는 데 사용됩니다. 인증 프로토콜 자체는 특정한 순서로 전송되는 일련의 고정된 메시지입니다.

EAP를 사용할 경우에는 링크 설정 단계가 진행되는 동안 특정 인증 메커니즘이 선택되지 않습니다. 그 대신 연결 인증 단계가 진행되는 동안 각 PPP 피어가 EAP를 수행하기 위해 협상합니다. 연결 인증 단계에 도달하면 먼저 PPP 피어가 EAP 유형으로 알려진 특정 EAP 인증 구성표의 사용을 협상해야 합니다. EAP 유형에 대한 협상이 완료되면 원격 액세스 클라이언트와 원격 액세스 서버 간의 개방형 대화(연결 매개변수에 따라 달라질 수 있음)에 EAP가 허용됩니다. 대화는 인증 정보에 대한 요청과 응답으로 구성되며 인증 대화의 길이와 세부 사항은 EAP 유형에 따라 결정됩니다.

예를 들어, EAP가 보안 토큰 카드에 사용될 때 원격 액세스 서버는 이름, PIN, 카드 토큰 값에 대하여 각각 따로 원격 액세스 클라이언트를 쿼리할 수 있습니다. 각 쿼리에 대한 질문과 대답이 교환되는 동안 사용자는 또다른 수준의 인증을 통과합니다. 모든 질문에 대해 만족할 만한 대답을 얻었다면 사용자가 인증되고 네트워크에 액세스할 수 있는 권한이 부여된 것입니다.

구조적으로 EAP는 연결의 클라이언트쪽과 서버쪽에서 모두 인증 플러그 인 모듈을 허용합니다. 원격 액세스 클라이언트와 원격 액세스 서버 둘 다에 EAP 유형 라이브러리 파일을 설치하면 새로운 EAP 유형을 지원할 수 있습니다. 따라서 공급업체는 언제든지 새 인증 구성표를 공급할 수 있습니다. EAP는 인증의 고유성과 가변성 면에서 융통성이 가장 높습니다.

Windows 2000과 Windows XP에는 원격 액세스 클라이언트용으로 EAP-MD5 및 EAP-TLS EAP 유형을 지원하는 기능이 포함되어 있으며 Windows 2000 Server용 라우팅 및 원격 액세스 서비스에는 EAP-MD5 및 EAP-TLS EAP 유형을 지원하고 EAP 메시지를 RADIUS 서버에 보낼 수 있게 해주는 기능이 포함되어 있습니다.

EAP-MD5


EAP-MD5는 EAP 프레임워크 내에서 사용되는 CHAP 인증 메커니즘으로, 필수 EAP 유형이며 EAP 상호 운용성을 테스트하는 데 사용될 수 있습니다. CHAP와 마찬가지로 EAP-MD5는 인증 서버를 사용하여 사용자 암호를 가역적으로 암호화된 형태로 저장해야 하기 때문에 사용하기가 어렵습니다.

EAP-TLS


보안 소켓 계층(SSL) 기반의 전송 계층 보안(TLS) 프로토콜을 사용하면 응용 프로그램이 보안을 유지하면서 통신할 수 있습니다. EAP-TLS를 사용하면 PPP 클라이언트와 인증자 간의 상호 인증이 인증서 교환 및 확인을 거치면서 수행됩니다. 연결을 시도하는 클라이언트는 사용자 인증서를, 인증자는 컴퓨터 인증서를 보냅니다.

EAP-TLS는 가장 안전한 형태의 사용자 인증이며 Windows XP와 Windows 2000 원격 액세스 클라이언트에서 지원됩니다.

EAP-RADIUS


EAP-RADIUS는 EAP 유형은 아니지만 인증을 위해 원격 액세스 서버에서 EAP 유형의 EAP 메시지를 RADIUS 서버에 전달하는 것입니다. 원격 액세스 클라이언트와 원격 액세스 서버 간에 전송되는 EAP 메시지는 원격 액세스 서버와 RADIUS 서버 사이에서 RADIUS 메시지로 캡슐화되고 형식화됩니다. 원격 액세스 서버는 원격 액세스 클라이언트와 RADIUS 서버 사이에서 EAP 메시지를 전달하는 통과 장치가 됩니다. 모든 EAP 메시지 처리는 원격 액세스 클라이언트와 RADIUS 서버에서 발생합니다.

EAP-RADIUS는 RADIUS를 인증 공급자로 사용하는 환경에서 사용됩니다. EAP-RADIUS를 사용할 때의 이점은 EAP 유형을 원격 액세스 서버마다 설치할 필요 없이 RADIUS 서버에만 설치해도 된다는 것입니다.

EAP-RADIUS를 사용하는 일반적인 환경에서 원격 액세스 서버는 EAP를 사용하고 RADIUS를 인증 공급자로 사용하도록 구성됩니다. 연결이 시도되면 원격 액세스 클라이언트가 원격 액세스 서버와 EAP 사용을 협상합니다. 클라이언트가 EAP 메시지를 원격 액세스 서버에 보내면 원격 액세스 서버가 EAP 메시지를 RADIUS 메시지로 캡슐화하여 구성된 RADIUS 서버에 보냅니다. RADIUS 서버는 EAP 메시지를 처리하고 RADIUS 메시지로 캡슐화된 EAP 메시지를 원격 액세스 서버에 보냅니다. 그러면 원격 액세스 서버가 EAP 메시지를 원격 액세스 클라이언트에 전달합니다.

상호 인증


상호 인증은 사용자 자격 증명의 암호화된 교환을 통해 연결의 양끝을 인증하는 방식으로 수행됩니다. 이것은 EAP- TLS 또는 MS-CHAP v2 인증 프로토콜을 사용하는 PPP 원격 액세스 프로토콜에서 가능합니다. 상호 인증이 진행되는 동안에는 원격 액세스 클라이언트가 원격 액세스 서버에 대해 자신을 인증한 다음 원격 액세스 서버가 원격 액세스 클라이언트에 대해 자신을 인증합니다.

원격 액세스 서버가 원격 액세스 클라이언트에게 인증을 요청하지 않을 수도 있지만, Windows 2000 원격 액세스 클라이언트가 MS-CHAP v2 전용이나 EAP-TLS 전용으로 구성된 경우에는 원격 액세스 클라이언트가 클라이언트와 서버의 상호 인증을 강제로 실행합니다. 원격 액세스 서버가 인증 요청에 응답하지 않으면 클라이언트가 연결을 종료합니다.

데이터 암호화


데이터 암호화는 원격 액세스 클라이언트와 원격 액세스 서버 간에 전송되는 데이터를 암호화합니다. 원격 액세스 데이터 암호화는 원격 액세스 클라이언트와 원격 액세스 서버 간의 통신 링크에 대한 데이터 암호화만을 제공합니다. 종단 간 암호화가 필요하면 원격 액세스 연결이 생성된 후 IPSec를 사용하여 암호화된 종단 간 연결을 만드십시오.

원격 액세스 연결에 대한 데이터 암호화는 원격 액세스 서버와 원격 액세스 클라이언트에 알려진 비밀 암호화 키를 기반으로 합니다. 이 비밀 키는 연결 인증 프로세스가 진행되는 동안 생성됩니다. 데이터 암호화를 반드시 수행하도록 원격 액세스 서버를 구성할 수 있습니다. 원격 액세스 클라이언트가 필요한 암호화를 수행할 수 없으면 연결 시도가 거부됩니다.

원격 액세스 연결에 사용되는 데이터 암호화 기술에는 두 가지가 있습니다.


  • MPPE(Microsoft Point-to-Point Encryption)

    MPPE는 40비트, 56비트 또는 128비트 암호화 키가 있는 RSA(Rivest-Shamir-Adleman) RC4 스트림 암호를 사용하며 Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition, Windows 98 전화 접속 및 PPTP 기반 VPN 클라이언트와 서버에서 지원됩니다. MPPE 키는 MS-CHAP, MS-CHAP v2 또는 EAP-TLS 사용자 인증 프로세스에서 생성됩니다.


  • 데이터 암호화 표준(DES) 및 3DES(Triple DES)

    한 개의 56비트 키가 있는 DES와 세 개의 56비트 키가 있는 3DES는 Windows XP 및 Windows 2000 L2TP/IPSec 기반 VPN 클라이언트와 서버에서 지원되는 블록 암호입니다. DES 키는 IPSec 인증 프로세스에서 생성됩니다.


호출자 ID


호출자 ID를 사용하여 들어오는 호출이 지정된 전화 번호에서 보내지고 있는지 확인할 수 있습니다. 호출자 ID는 사용자 계정의 전화 접속 로그인 속성 중 일부로 구성됩니다. 해당 사용자에게 들어오는 연결의 호출자 ID 번호가 구성된 호출자 ID와 일치하지 않으면 연결 시도가 거부됩니다.

호출자의 전화선, 전화 시스템, 원격 액세스 서버의 전화선, 전화 접속 장비용 Windows 2000 드라이버가 모두 호출자 ID를 지원해야 합니다. 호출자 ID가 사용자 계정용으로 구성되어 있을 때 호출자의 호출자 ID가 라우팅 및 원격 액세스 서비스에 전달되지 않으면 연결이 거부됩니다.

호출자 ID는 재택 근무자를 지원하는 네트워크의 보안 수준을 높이기 위한 기능입니다. 호출자 ID를 구성할 때의 단점은 사용자가 단일 전화선에서 전화 접속 로그인만을 수행할 수 있다는 것입니다.

원격 액세스 계정 잠금


원격 액세스 계정 잠금 기능은 사용자의 원격 액세스가 거부되기 전에 유효한 사용자 계정에 대한 원격 액세스 인증이 실패하는 횟수를 지정하는 데 사용됩니다. 인터넷을 통한 원격 액세스 가상 사설망(VPN) 연결의 경우에는 원격 액세스 계정 잠금이 특히 중요합니다. VPN 연결 인증 프로세스가 진행되는 동안 인터넷상의 악의 있는 사용자가 자격 증명(유효한 사용자 이름, 추측된 암호)을 보내서 회사 인트라넷에 액세스하려고 할 수 있습니다. 사전 공격을 하는 동안 악의 있는 사용자는 일반 단어나 구를 토대로 작성한 암호 목록을 사용하여 수백 또는 수천 개의 자격 증명을 보냅니다. 원격 액세스 계정 잠금 기능이 사용되는 경우에는 지정된 횟수만큼의 시도가 실패한 후 사전 공격이 차단됩니다.

원격 액세스 계정 잠금 기능은 회사 인트라넷에 액세스하려는 악의 있는 사용자와 현재 암호를 잊어버린 채 원격 액세스를 시도하는 인증된 사용자를 구분하지 않습니다. 현재 암호를 잊어버린 사용자는 대개 자신이 기억하는 암호로 계속해서 액세스를 시도하게 되는데, 이 경우 해당 계정이 잠겨버릴 수도 있습니다.

원격 액세스 계정 잠금 기능이 사용된 경우, 악의 있는 사용자가 계정이 잠길 때까지 사용자 계정 인증을 여러 번 시도하여 해당 계정을 의도적으로 잠글 수 있습니다. 따라서 인증된 사용자조차도 로그온할 수 없게 됩니다.

네트워크 관리자는 다음 두 원격 액세스 계정 잠금 변수를 결정해야 합니다.


  1. 더 이상의 시도를 거부하기 전에 실패한 시도 횟수

    각 시도가 실패할 때마다 사용자 계정의 실패한 시도 카운터가 증가합니다. 사용자 계정의 실패한 시도 카운터가 구성된 최대값에 도달하면 더 이상의 연결 시도가 거부됩니다.

    인증에 성공하면 실패한 시도 카운터 값이 구성된 최대값보다 작을 경우 해당 카운터가 재설정됩니다. 즉, 인증에 성공할 때마다 실패한 시도 카운터가 처음부터 다시 시작됩니다.


  2. 실패한 시도 카운터의 재설정 빈도

    실패한 시도 카운터를 정기적으로 재설정하여 암호를 입력할 때의 일반적인 실수로 인한 우발적인 잠금을 방지해야 합니다.


원격 액세스 계정 잠금 기능은 인증을 제공하는 컴퓨터의 Windows 2000 레지스트리 설정을 변경하는 방식으로 구성됩니다. 원격 액세스 서버가 Windows 인증용으로 구성되어 있으면 원격 액세스 서버 컴퓨터의 레지스트리를 수정하고, 원격 액세스 서버가 RADIUS 인증용으로 구성되어 있으면서 Windows 2000 인터넷 인증 서비스(IAS)가 사용되고 있으면 IAS 서버 컴퓨터의 레지스트리를 수정합니다. 자세한 내용은 Windows 2000 Server 도움말을 참조하십시오.

참고 원격 액세스 계정 잠금 기능은 사용자 계정의 등록 정보 대화 상자에 있는 계정 탭의 계정 잠겨 있음 설정 및 Windows 2000 그룹 정책을 사용하는 계정 잠금 정책 관리와 관련되지 않습니다.

VPN 원격 액세스용 패킷 필터링


VPN 기반 원격 액세스의 경우, VPN 원격 액세스 서버는 인터넷에 직접 연결되거나 해당 네트워크와 인터넷 사이에 있는 네트워크 세그먼트(주변 네트워크, DMZ 또는 스크린 서브넷이라고도 함)에 연결됩니다. 어떤 구성을 사용하든 VPN 원격 액세스 서버는 악의 있는 인터넷 사용자의 공격에 취약합니다. 인터넷이나 주변 네트워크에 연결된 VPN 원격 액세스 서버의 인터페이스에는 VPN 원격 액세스 서버가 PPTP 또는 L2TP/IPSec 기반 트래픽이 아닌 트래픽을 송수신하지 못하게 하는 PPTP 및 L2TP/IPSec 트래픽용 IP 패킷 필터가 구성되어 있습니다.

라우팅 및 원격 액세스 서버 설치 마법사를 실행할 때 "가상 개인 네트워크(VPN) 서버" 옵션을 선택하면 이러한 필터가 자동으로 구성됩니다. 자세한 내용은 이 문서의 "Windows 2000 원격 액세스 서버 설치"를 참조하십시오.

원격 액세스 정책 프로필 패킷 필터링


권한 부여 및 연결 제약 조건을 정의하는 원격 액세스 정책을 사용하여 원격 액세스 연결에 적용되는 IP 패킷 필터 집합을 지정할 수 있습니다. 연결이 승인될 때는 패킷 필터가 원격 액세스 클라이언트에서 허용하는 IP 트래픽 유형과 원격 액세스 클라이언트에 허용되는 IP 트래픽 유형을 정의합니다.

이 기능을 엑스트라넷 연결에 사용할 수 있습니다. 엑스트라넷은 비즈니스 파트너나 공급업체와 같은 회사 외부의 사용자가 액세스할 수 있는 회사 네트워크의 한 부분입니다. 원격 액세스 정책 프로필 패킷 필터링을 사용하여 파트너 그룹의 구성원만 특정 IP 주소나 특정 서브넷의 웹 서버에 액세스할 수 있게 지정하는 원격 액세스 정책을 만들 수 있습니다.








Windows 2000 원격 액세스 서버 설치 Back to Top


Windows 2000 원격 액세스 서버 설치는 매우 쉽습니다. 라우팅 및 원격 액세스 서버 설치 마법사의 일반 구성 대화 상자에서 원격 액세스 서버 또는 가상 개인 네트워크(VPN) 서버 옵션을 선택하면 됩니다.

원격 액세스 서버 옵션


원격 액세스 서버 옵션을 선택하면 라우팅 및 원격 액세스 서버가 전화 접속 원격 액세스 서버의 역할을 합니다. 라우팅 및 원격 액세스 서버 설치 마법사의 원격 액세스 서버 옵션을 사용하여 Windows 2000 원격 액세스 서버를 구성하려면 다음과 같이 하십시오.


  1. 시작을 누르고 프로그램관리 도구를 차례로 가리킨 다음 라우팅 및 원격 액세스를 누릅니다.
  2. 서버 이름을 마우스 오른쪽 단추로 누른 다음 라우팅 및 원격 액세스 구성 및 사용을 누릅니다.
  3. 라우팅 및 원격 액세스 서버 설치 마법사 시작 대화 상자에서 다음을 누릅니다.
  4. 일반 구성 대화 상자에서 원격 액세스 서버를 누르고 다음을 누릅니다.
  5. 원격 클라이언트 프로토콜 대화 상자에서 원격 액세스 클라이언트가 사용할 모든 데이터 프로토콜이 있는지 확인하고 다음을 누릅니다.
  6. 네트워크 선택 대화 상자에서 인트라넷에 연결된 연결에 해당하는 연결을 누르고 다음을 누릅니다. 네트워크 선택 대화 상자는 LAN 연결이 둘 이상인 경우에만 표시됩니다.
  7. 원격 액세스 서버가 DHCP를 사용하여 원격 액세스 클라이언트의 IP 주소를 구하도록 하려면 IP 주소 할당 대화 상자에서 자동으로를 누릅니다. 그렇지 않으면 지정한 주소 범위에서를 누르고 하나 이상의 고정 주소 범위를 구성합니다. 다음을 누릅니다.
  8. RADIUS를 인증 및 권한 부여에 사용하지 않으려면 다중 원격 액세스 서버 관리 대화 상자에서 아니오, 지금 RADIUS 서버를 사용하도록 이 서버를 설치하지 않습니다를 누르고 다음을 누릅니다. 그렇지 않으면 예, RADIUS 서버를 사용합니다를 누르고 다음을 누릅니다. RADIUS 서버 선택 대화 상자에서 주 RADIUS 서버(필수) 및 대체 RADIUS 서버(선택)와 공유 비밀을 구성하고 다음을 누릅니다.
  9. 라우팅 및 원격 액세스 서버 설치 마법사 완료 대화 상자에서 마침을 누릅니다.
  10. 라우팅 및 원격 액세스 서비스를 시작하라는 메시지가 나타나면 시작합니다.

가상 개인 네트워크(VPN) 서버 옵션


가상 개인 네트워크(VPN) 서버 옵션을 선택하면 라우팅 및 원격 액세스 서버가 원격 액세스와 라우터간 VPN 연결을 둘 다 지원하는 VPN 서버의 역할을 합니다. 라우팅 및 원격 액세스 서버 설치 마법사의 가상 개인 네트워크(VPN) 서버 옵션을 사용하여 Windows 2000 VPN 원격 액세스 서버를 구성하려면 다음과 같이 하십시오.


  1. 시작을 누르고 프로그램관리 도구를 차례로 가리킨 다음 라우팅 및 원격 액세스를 누릅니다.
  2. 서버 이름을 마우스 오른쪽 단추로 누른 다음 라우팅 및 원격 액세스 구성 및 사용을 누릅니다.
  3. 라우팅 및 원격 액세스 서버 설치 마법사 시작 대화 상자에서 다음을 누릅니다.
  4. 일반 구성 대화 상자에서 원격 액세스 서버를 누르고 다음을 누릅니다.
  5. 원격 클라이언트 프로토콜 대화 상자에서 VPN 클라이언트가 사용할 모든 데이터 프로토콜이 있는지 확인하고 다음을 누릅니다.
  6. 인터넷 연결에서 인터넷이나 주변 네트워크에 연결된 인터페이스에 해당하는 연결을 누르고 다음을 누릅니다. 인터넷 연결 대화 상자는 LAN 연결이 둘 이상인 경우에만 표시됩니다.
  7. 네트워크 선택 대화 상자에서 인트라넷에 연결된 연결에 해당하는 연결을 누르고 다음을 누릅니다. 네트워크 선택 대화 상자는 LAN 연결이 셋 이상인 경우에만 표시됩니다.
  8. 원격 액세스 서버가 DHCP를 사용하여 VPN 클라이언트의 IP 주소를 구하도록 하려면 IP 주소 할당 대화 상자에서 자동으로를 누릅니다. 그렇지 않으면 지정한 주소 범위에서를 누르고 하나 이상의 고정 주소 범위를 구성합니다. 다음을 누릅니다.
  9. RADIUS를 인증 및 권한 부여에 사용하지 않으려면 다중 원격 액세스 서버 관리 대화 상자에서 아니오, 지금 RADIUS 서버를 사용하도록 이 서버를 설치하지 않습니다를 누르고 다음을 누릅니다. 그렇지 않으면 예, RADIUS 서버를 사용합니다를 누르고 다음을 누릅니다. RADIUS 서버 선택 대화 상자에서 주 RADIUS 서버(필수) 및 대체 RADIUS 서버(선택)와 공유 비밀을 구성하고 다음을 누릅니다.
  10. 라우팅 및 원격 액세스 서버 설치 마법사 완료 대화 상자에서 마침을 누릅니다.
  11. 라우팅 및 원격 액세스 서비스를 시작하라는 메시지가 나타나면 시작합니다.








Windows XP 원격 액세스 클라이언트 구성 Back to Top


수동으로 또는 연결 관리자를 사용하여 Windows XP 전화 접속 또는 VPN 원격 액세스 클라이언트를 구성할 수 있습니다.

전화 접속 원격 액세스 연결의 수동 구성


전화 접속 원격 액세스 클라이언트의 수가 적은 경우에는 각 클라이언트마다 전화 접속 연결을 수동으로 구성할 수 있습니다. Windows XP 전화 접속 클라이언트의 전화 접속 연결을 만들려면 다음과 같이 하십시오.


  1. Windows XP 바탕 화면에서 시작, 제어판, 네트워크 및 인터넷 연결네트워크 연결을 차례로 누릅니다.
  2. 네트워크 작업에서 새 연결 만들기를 누르고 다음을 누릅니다.
  3. 회사 네트워크에 연결을 누르고 다음을 누릅니다.
  4. 전화 접속 연결을 누르고 다음을 누릅니다.
  5. 전화 접속 연결의 이름을 입력하고 다음을 누릅니다.
  6. 모뎀으로 전화를 걸 전화 번호를 입력하고 다음을 누릅니다.
  7. 현재 컴퓨터에 로그온하는 모든 사용자가 이 전화 접속 연결을 사용할 수 있도록 하려면 모두 사용을 누릅니다. 그렇지 않으면 나만 사용을 누릅니다. 다음을 누릅니다. 이 선택 사항은 Windows XP를 실행하는 컴퓨터가 도메인의 구성원인 경우에만 표시됩니다.
  8. 바탕 화면에 이 전화 접속 연결의 바로 가기를 만들려면 바탕 화면에 바로 가기 추가를 누르고 마침을 누릅니다.
  9. 연결 대화 상자에서 연결할 때 보안 자격 증명으로 보낼 사용자 이름과 암호를 입력합니다. 연결을 시도할 때마다 입력할 필요가 없도록 암호를 저장하려면 다음 사용자를 위해 이 사용자 이름 및 암호 저장을 누릅니다.
  10. 연결을 눌러 전화 접속 연결을 만듭니다.

Windows 2000을 실행하는 컴퓨터에서 전화 접속 연결을 만들려면 네트워크 연결 폴더의 새 연결 만들기 아이콘을 두 번 누르고 연결 유형으로 개인 네트워크에 전화 접속 을 선택하십시오.

VPN 원격 액세스 연결의 수동 구성


VPN 원격 액세스 클라이언트의 수가 적은 경우에는 각 클라이언트마다 VPN 연결을 수동으로 구성할 수 있습니다. Windows XP VPN 클라이언트의 VPN 연결을 만들려면 다음과 같이 하십시오.


  1. Windows XP 바탕 화면에서 시작, 제어판, 네트워크 및 인터넷 연결네트워크 연결을 차례로 누릅니다.
  2. 네트워크 작업에서 새 연결 만들기를 누르고 다음을 누릅니다.
  3. 회사 네트워크에 연결을 누르고 다음을 누릅니다.
  4. 가상 사설망 연결을 누르고 다음을 누릅니다.
  5. VPN 연결의 이름을 누르고 다음을 누릅니다.
  6. 자동으로 다음 초기 연결 사용을 누르고 현재 컴퓨터를 인터넷에 연결하는 올바른 전화 접속 연결을 선택합니다. 컴퓨터가 이미 DSL, 케이블 모뎀 또는 기타 LAN 연결 유형을 통해 인터넷에 연결되어 있으면 초기 연결을 사용 안 함을 누릅니다. 다음을 누릅니다.
  7. VPN 서버의 IP 주소 또는 DNS 이름(예: vpn.example.microsoft.com)을 입력하고 다음을 누릅니다.
  8. 현재 컴퓨터에 로그온하는 모든 사용자가 이 전화 접속 연결을 사용할 수 있도록 하려면 모두 사용을 누릅니다. 그렇지 않으면 나만 사용을 누릅니다. 다음을 누릅니다. 이 선택 사항은 Windows XP 컴퓨터가 도메인의 구성원인 경우에만 표시됩니다.
  9. 바탕 화면에 이 전화 접속 연결의 바로 가기를 만들려면 바탕 화면에 바로 가기 추가를 누르고 마침을 누릅니다.
  10. 연결 대화 상자에서 연결할 때 보안 자격 증명으로 보낼 사용자 이름과 암호를 입력합니다. 연결을 시도할 때마다 입력할 필요가 없도록 암호를 저장하려면 다음 사용자를 위해 이 사용자 이름 및 암호 저장을 누릅니다.
  11. 연결을 눌러 VPN 연결을 만듭니다.

Windows 2000을 실행하는 컴퓨터에서 VPN 연결을 만들려면 네트워크 연결 폴더의 새 연결 만들기 아이콘을 두 번 누르고 인터넷을 통해 개인 네트워크에 연결 연결 유형을 선택하십시오.








연결 관리자 및 관리되는 원격 액세스 연결 Back to Top


원격 액세스 클라이언트의 구성을 구축하려면 구축할 서버와 연결하도록 각 클라이언트를 구성해야 합니다. 클라이언트 수가 적은 중소기업의 경우에는 각 클라이언트마다 수동으로 구성할 수 있습니다. 수백 또는 수천 개의 클라이언트로 구성된 대기업의 전화 접속 또는 VPN 연결을 구성할 때는 다음 문제가 발생합니다.


  • 전화 접속 또는 VPN 연결을 구성하는 정확한 절차가 클라이언트 컴퓨터에서 실행되는 Windows 버전에 따라 달라집니다.
  • 구성 오류를 방지하려면 정보 기술(IT) 담당자?최종 사용자가 아님?가 전화 접속 또는 VPN 연결을 구성해야 합니다.
  • IT 담당자 리소스를 최대한 활용하려면 구성 방법이 수백 또는 수천 대의 클라이언트 컴퓨터로 확장될 수 있어야 합니다.
  • 사용자가 회사 인트라넷과의 VPN 연결을 만들기 전에 전화 접속 연결을 통해 인터넷에 액세스해야 하는 이중 전화 접속 구성이 VPN 연결에 필요할 수도 있습니다.

전화 접속 또는 VPN 액세스를 타사 전화 접속 서비스 또는 인터넷 서비스 공급자(ISP)에 아웃소싱하는 경우에는 훨씬 더 많은 문제가 발생합니다. 이런 경우에는 인터넷이나 회사 인트라넷에 연결하는 데 사용되는 단일 전화 번호(예: 수신자 부담 번호)가 없을 수도 있습니다. 다국적 회사나 전화 접속 구성을 아웃소싱하는 회사는 여러 개의 전화 번호를 가지고 직원의 지리적 위치에 따라 해당 전화 번호를 사용하도록 할 수도 있습니다. 사용자가 로컬 전화 접속을 통해 인터넷에 연결한 다음 VPN 연결을 통해 회사 인트라넷에 연결할 수 있도록 ISP와 계약하여 해당 ISP의 전세계 액세스 지점을 활용하는 방식으로 인터넷을 이용하고 있는 회사도 많습니다.

연결 관리자(CM)는 대기업과 전화 접속 구성을 아웃소싱하는 회사의 전화 접속 또는 VPN 연결 구성과 관련된 문제를 해결하는 솔루션으로서 Windows 2000 Server에 포함되어 있으며 다음과 같은 요소로 구성됩니다.


  • 연결 관리자(CM) 클라이언트 전화 걸기
  • 연결 관리자 관리 키트(CMAK)
  • 연결 지점 서비스(CPS)

연결 관리자 클라이언트 전화 걸기


연결 관리자(CM) 클라이언트 전화 걸기는 각 원격 액세스 클라이언트마다 설치되는 소프트웨어로, 기본적인 전화 접속 네트워킹 기능을 모두 포함하는 고급 기능을 가지고 있습니다. 또한 CM은 간편한 전화 걸기 기능을 제공하고 사용자가 변경할 수 있는 구성 옵션의 수를 제한하여 사용자가 항상 연결에 성공할 수 있도록 합니다. 다음은 CM 클라이언트 전화 걸기로 수행할 수 있는 작업의 예입니다.


  • 전화 번호 목록에서 실제 위치에 따라 사용할 전화 번호를 선택합니다.
  • 사용자 지정된 그래픽, 아이콘, 메시지 및 도움말을 사용합니다.
  • VPN 연결이 만들어지기 전에 전화 접속 연결을 자동으로 만듭니다.
  • 연결 프로세스의 여러 과정에서 사용자 지정 작업(예: 전화 접속 또는 VPN 연결이 완성되기 전에 실행되는 연결 이전 작업이나 전화 접속 또는 VPN 연결이 완성된 후에 실행되는 연결 이후 작업)을 실행합니다.

사용자 지정된 CM 클라이언트 전화 걸기 패키지(프로필이라고도 함)는 자동으로 압축이 풀리는 실행 파일로, 네트워크 관리자가 연결 관리자 관리 키트(CMAK)를 사용하여 만듭니다. CM 프로필은 CD-ROM, 전자 메일, 웹 사이트 또는 파일 공유를 통해 VPN 사용자에게 배포됩니다. CM 프로필을 실행하면 적절한 전화 접속 및 VPN 연결이 자동으로 구성됩니다. 연결 관리자 프로필은 특정 버전의 Windows를 필요로 하지 않으며 Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition, Windows 98을 실행하는 컴퓨터의 연결을 구성합니다.

연결 관리자 관리 키트


연결 관리자 관리 키트(CMAK)는 다음 위치에서 설치되는 선택적 관리 도구입니다.


  • Windows 2000 Server를 실행하는 컴퓨터의 프로그램 추가/제거(제어판에 있음). Windows 구성 요소의 관리 및 모니터링 도구 범주에서 연결 관리자 구성 요소를 지정해야 합니다.
  • Windows 2000 Professional을 실행하는 컴퓨터의 Windows 2000 관리 도구. Windows 2000 Server CD-ROM의 I386 폴더에서 Adminpak.msi 파일을 실행해야 합니다. 설치된 연결 관리자 관리 키트는 관리 도구에서 실행할 수 있습니다.

CMAK는 CM 프로필을 구성하는 데 사용되는 다양한 옵션을 단계별로 안내하고 전화 접속 및 VPN 사용자에게 배포할 프로필을 만드는 마법사입니다.

연결 지점 서비스


연결 지점 서비스(CPS)를 사용하여 사용자 지정 전화 번호부를 작성, 배포 및 업데이트할 수 있습니다. 전화 번호부에는 하나 이상의 POP(Point of Presence) 항목이 있으며 각 POP는 전화 접속 네트워크나 인터넷 액세스에 사용하는 고유한 전화 번호를 갖습니다. 전화 번호부가 전체 POP 정보를 제공하므로 출장 중인 사용자는 수신자 부담 전화 번호나 장거리 직통 전화 번호를 사용하는 대신 위치에 따라 현지의 회사 또는 인터넷 액세스 지점에 연결할 수 있습니다.

전화 번호부 업데이트 기능이 제공되므로 사용자는 회사의 고객 지원 담당자에게 연락하여 POP 정보의 변경 사항을 확인하거나 클라이언트 전화 걸기 소프트웨어를 다시 구성할 필요가 없습니다.

CPS는 다음 두 가지를 결합한 것입니다.


  1. 전화 번호부 관리자. 전화 번호부 파일을 만들어 유지 관리하고 전화 번호부 서버에 새 전화 번호부 파일이나 업데이트된 전화 번호부 파일을 게시하는 데 사용되는 도구입니다.
  2. 전화 번호부 서버. Windows 2000 Server, 인터넷 정보 서비스(IIS)-FTP 게시 서비스 포함- 및 ISAPI(Internet Server Application Programming Interface) 확장을 실행하는 컴퓨터입니다. 여기서 ISAPI 확장은 CM 클라이언트의 전화 번호부 업데이트 요청을 처리하는 데 사용됩니다.

전화 번호부 관리자는 Windows 2000 Server 또는 Windows 2000 Professional CD-ROM의 VALUEADD\MSFT\MGMT\PBA 폴더에서 Pbainst.exe를 실행할 때 설치되는 도구입니다. 설치된 전화 번호부 관리자는 관리 도구에서 실행할 수 있습니다. 전화 번호부 서버에서 전화 번호부 관리자를 실행할 필요는 없습니다.

전화 번호부 관리자를 사용하여 전화 번호부 항목과 지역을 만든 다음 전화 번호부 서버의 시스템 루트\Program Files\Phone Book Service\Data\전화 번호부 파일 이름 폴더에 이를 게시할 수 있습니다.

전화 번호부가 구성되고 게시된 후에는 CM 프로파일이 CMAK를 통해 만들어지고 다음 사항으로 구성됩니다.


  • 전화 번호부 업데이트를 자동으로 다운로드 표준 연결 이후 작업(CMAK 마법사의 연결 이후 작업 페이지에 있음)
  • 전화 번호부 파일의 이름(CMAK 마법사의 전화 번호부 페이지에 있음)
  • 전화 번호부 파일과 전화 번호부 서버의 이름(CMAK 마법사의 전화 번호부 업데이트 페이지에 있음)

관리되는 원격 액세스를 위한 연결 관리자 구축


다음은 Windows 2000용 연결 관리자를 구축하는 기본 절차입니다.


  1. Windows 2000 Server와 IIS(FTP 게시 서비스 포함)를 실행하는 컴퓨터를 전화 번호부 서버로 지정합니다. 이 컴퓨터는 기존 IIS 서버일 수도 있고 전용 전화 번호부 서버로 사용할 저급 컴퓨터일 수도 있습니다.
  2. 전화 번호부 서버에 연결 관리자 구성 요소를 설치합니다.
  3. Windows 2000 Server 또는 Windows 2000 Professional을 실행하는 컴퓨터에 전화 번호부 관리자를 설치합니다.
  4. 전화 번호부 관리자를 사용하여 전화 번호부를 구성합니다.
  5. 전화 번호부 관리자를 사용하여 전화 번호부 서버에 전화 번호부 파일을 게시합니다.
  6. CM 프로필을 만드는 데 사용할 Windows 2000 Server 또는 Windows 2000 Professional 실행 컴퓨터에 연결 관리자 관리 키트를 설치하고 CMAK를 실행한 다음 적절한 전화 번호부 파일과 업데이트된 전화 번호부를 구하는 지침을 사용하여 CM 프로필을 만듭니다.
  7. CM 프로필을 전화 접속 또는 VPN 사용자에게 배포합니다.

또한 ISP는 고객을 위해 연결 관리자를 사용하여 로컬 ISP POP 항목을 포함하는 전화 번호부가 완비된 사용자 지정 전화 걸기 기능을 만들 수 있습니다.

연결 관리자에 대한 자세한 내용은 Windows 2000 Server 도움말의 "시작하기 전에: 연결 관리자 및 관리 키트 이해" 항목을 참조하십시오.








요약 Back to Top


원격 액세스는 원격 액세스 클라이언트 컴퓨터와 네트워크 간의 논리적 연결입니다. 여기서 네트워크는 회사 네트워크일 수도 있고 인터넷일 수도 있습니다. 원격 액세스 연결에서는 전화 접속 WAN 미디어나 인터넷을 사용할 수 있습니다. Microsoft 운영 체제에는 풍부한 기능을 갖춘 원격 액세스 클라이언트와 원격 액세스 서버가 포함되어 있습니다. 원격 액세스 클라이언트는 네트워크 연결 폴더를 통해 구성되고, 원격 액세스 서버는 라우팅 및 원격 액세스 서비스를 통해 구성됩니다. 또한 Windows 2000 Server에 포함되어 있는 연결 관리자 구성 요소를 통해 손쉽게 사용자 지정 전화 걸기 기능을 만들어 다양한 버전의 Windows를 실행하는 컴퓨터에 배포할 수 있으므로 원격 액세스 클라이언트의 광범위한 구축이 원활하게 지원됩니다.

윈도우 VPN 구성

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다