안녕하세요 Urikiri입니다. 이제 아침 저녁으로는 더위가 한풀 꺾인걸로 보아 그 고통스럽던 여름이 막바지에 접어든 거 같네요.
이제 조금 지나면 추석에 겨울에.. 올해도 금방 끝날 것 같은 느낌이 들고 있습니다. 실제로 달력을 보내 곧 9월이군요. 올해 초에 생각했던 모든것들을 다 이룰 수 있도록 좀 더 분발해야겠습니다. ^^ 지난시간에는 TS 게이트웨이에 NPS서버가 같이 있을 경우 ISA Server 2006을 통한해서 TS 게이트웨이의 보안을 강화하는 방법을 설명해드렸습니다. 오늘은 TS 게이트웨이와 NPS 서버가 각각 다른 서버에 있을 경우에 대해서 설명을 해 드리겠습니다. 이번 시나리오에서 ISA 서버를 구성하는 방법이 지난번 시나리오 1과 같아서 TS 게이트웨이에서 중앙 NPS서버를 지정하는 방법에 대해서만 설명해 드립니다. 만약 ISA 서버 구성방법이 궁금하시면 시나리오 1을 참고해 주세요.
시나리오 2 이번 시나리오에서, TS 게이트웨이는 다른 서버에 있는 NPS 중앙 정책을 이용할 것 입니다. 우리는 원격에서 TS 게이트웨이를 통해 연결하는 클라이언트들에 대해 NAP 정책을 적용할것 입니다. 시나리오 1에서 사용했던 구성요소와 같은 구성요소가 사용됩니다. 오직 NPS 서버만 추가되었습니다. 그러나 NAP 적용하기 위해 그림 7에서 보여지는것 과 같이 클라이언트에 추가적인 구성요소가 사용됩니다. 그림 7. 시나리오 2 토폴로지의 주요 구성요소들 각각의 개별적인 구성요소에 대해 설명해 드리겠습니다.Windows Vista 클라이언트에서 SHA(System Health Agent)는 모니터링과 클라이언트 건강 상태를 보고하기 위한 클라이언트쪽 구성요소입니다. Windows Vista는 Windows SHA를 가지고 있습니다. 그러나, 그들의 SHAs를 만들어서 동작하게하는 다른 업체들이 있습니다. 클라이언트에 있는 NAP 에이전트는 NAP 서버와 커뮤니케이션 확립을 위해 응답할 수 있습니다. 클라이언트가 네트워크에 연결을 시도할 때 NAP 에이전트는 클라이언트의 SoH(Statement of Health)를 서버로 보냅니다. TS RAP(Resource Authorization Policy)은 TS 게이트웨이의 구성요소입니다. 그것은 들어오는 RDP 요청에 대해 어떤 컴퓨터가 가능한지를 결정하게 합니다. TS RAP는 또한 어떤 사용자가 특정 서버로 RDP 연결을 맺을 수 있는지에 대해서도 결정합니다. 중앙 NPS는 상태 제어, 구속(constraints), 그리고 내부 컴퓨터에 접근을 통제하는 설정에 대해 응답할 수 있습니다. 중앙 NPS의 SHVs(System Health Validators)는 클라이언트가 제출한 SoH가 관리자가 설정한 정책에 적합한지 아닌지에 대한 평가에 대해 응답할 수 있습니다. 이제 TS 게이트웨이가 NPS 중앙 서버를 가리키게 하겠습니다. TS Gateway Manager 콘솔을 실행합니다. 서버이름에서 마우스 오른쪽 버튼을 클릭합니다. 그리고 속성을 선택합니다. 서버 속성 창에서 TS CAP 저장소를 탭을 클릭한 후 중앙 NPS 서버를 선택합니다. NPS 서버의 IP 주소를 입력합니다. 그리고 추가 버튼을 클릭합니다. 공유 암호 창이 나타납니다. 암호를 입력하고 마침을 클릭합니다. 그리고 마침을 클릭해서 창을 닫습니다. 이 암호는 NPS 서버에서 사용되기 때문에 기억해야합니다. NPS가 이미 다른 서버에 설치되었다는 가정하에 다음 순서를 진행하십시오.
NPS 콘솔을 실행합니다. 왼쪽에 NPS(Loacl)을 클릭합니다.
오른쪽 창에서 NAP 구성을 클릭합니다. "네트워크 연결 방법"이 나타납니다.
네트워크 연결 방법 아래에서 "TS 게이트웨이(터미널 서비스 게이트웨이)"를 선택합니다.
"TS 게이트웨이를 실행하는 NAP 적용 서버 지정"에서 "추가"버튼을 클릭합니다.
"새 TS 게이트웨이 서버"에서 TS 게이트웨이 서버의 IP나 이름을 입력합니다. 그리고 아래에 공유 암호를 입력합니다. 그리고 "확인"을 클릭합니다.
"클라이언트 장치 리디렉션 및 인증 방법 구성"페이지에서 리디렉션할 장치를 지정하고 허용할 인증 방법(암호 허용 또는 스마트 카드 허용)을 선택할 수 있습니다.
"사용자 그룹 및 컴퓨터 그룹 구성" 페이지에서 연결을 맺을 사용자 그룹을 추가합니다. 예를들어 "사용자 그룹" 아래의 "사용자 추가"버튼을 클릭합니다. 그리고 "Domain Admins"를 추가합니다. 그리고 "확인"을 누른 후 "다음"을 클릭합니다.
"NAP 상태 정책 정의"페이지에서 기본적으로 SHV가 이미 선택되어진 것을 확인할 수 있습니다. 이 페이지 아래에 적합하지 않은 컴퓨터덜은 액세스가 거부된 것도 확인할 수 있습니다. 기본설정대로 놔둔후 "다음"버튼을 클릭합니다.
"NAP 적용 정책 및 RADIUS 클라이언트 구성 완료"페이지는 앞에서 선택한 옵션들을 확인 할 수 있습니다. 그리고 "구성 세부 정보" 링크를 클릭하면 선택한 것 들이 요약된 HTML 페이지가 나타날 것 입니다. "마침"을 눌러 구성을 마칩니다.
이 마법사를 통한 작업은 많은 중요한 정책들의 설정을 구성하는데 도움이 됩니다.(연결 요청 정책, 네트워크 정잭 그리고, 성태 정책), 이 시나리오에 대한 NAP을 구성하는데 필요한 작업을 눈에띄게 줄여줍니다. 클라이언트에 대해서 서버가 이제 모두 설치가 되고 설정이 되었습니다. 이제 클라이언트에 대해선 어떤 것을 해야 할까요?
NAP 적용 정책의 이점을 위해 클라이언트는 Windows Server 2008 또는 Windows Vista이어야 합니다. Windows XP는 NAP 클라이언트를 포함하기 위해 SP3가 설치되어야 합니다. 그리고 아래는 몇 개의 관계되는 서비스와 설정입니다.
클라이언트에서 신뢰할 수 있는 서버 목록에 TS 게이트웨이 서버의 이름을 추가합니다.
NAP 에이전트 서비스를 시작합니다. 그리고 서비스 시작 유형을 "자동"으로 설정합니다.
TS 게이트웨이 격리 적용 클라이언트를 활성화 합니다.
이 솔루션을 쉽게 배포하기 위해서 Microsoft는 터미널 서비스 NAP 클라이언트 설정 명령을 만들었습니다.(Tsgqecclientconfig.cmd) 이것은 여기에서 다운로드 하실 수 있습니다. 명령어를 실행한 후에는 클라이언트는 TS 게이트웨이를 사용하는 NAP 적용 클라이언트로 설정될 것입니다. 명령어는 관리자 권한으로 실행되어야만 합니다.
