DirectAccess에서 Always On VPN으로의 마이그레이션 개요
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10
” 다음:DirectAccess에서 Always On VPN으로 마이그레이션 계획
이전 버전의 Windows VPN 아키텍처에서는 플랫폼 제한으로 인해 사용자가 로그인하기 전에 시작되는 자동 연결과 같이 DirectAccess를 대체하는 데 필요한 중요한 기능을 제공하기 어려웠습니다. 하지만 Always On VPN은 이러한 제한을 대부분 완화하거나 DirectAccess의 기능을 뛰어넘는 VPN 기능을 확장했습니다. Always On VPN은 Windows VPN과 DirectAccess 사이의 이전 차이를 해결합니다.
DirectAccess-to-Always On VPN 마이그레이션 프로세스는 네 가지 주요 구성 요소와 높은 수준의 프로세스로 구성됩니다:
Always On VPN 마이그레이션을 계획하세요. 계획은 인프라 및 기능뿐만 아니라 사용자 단계 분리를 위한 대상 클라이언트를 식별하는 데 도움이 됩니다.
마이그레이션 링을 구축합니다. 대부분의 다른 시스템 마이그레이션과 마찬가지로, 전체 조직에 영향을 미치기 전에 문제를 식별할 수 있도록 단계별로 클라이언트 마이그레이션을 진행하세요. Always On VPN 마이그레이션의 첫 번째 부분도 마찬가지입니다.
Always On VPN 및 DirectAccess의 기능 비교에 대해 알아보세요. DirectAccess와 마찬가지로, Always On VPN은 다양한 보안, 연결, 인증 및 기타 옵션을 제공합니다.
Always On VPN의 향상된 기능에 대해 알아보세요. 고객님의 설정을 개선하기 위해 새로 추가되거나 개선된 Always On VPN의 기능을 확인하세요.
Always On VPN 기술에 대해 알아보기. 이 배포를 위해서는 Windows Server 2016을 실행하는 새 원격 액세스 서버를 설치해야 하며, 배포를 위해 기존 인프라 중 일부를 수정해야 합니다.
나란히 VPN 인프라를 배포합니다. 마이그레이션 단계와 배포에 포함할 기능을 결정한 후, 기존 DirectAccess 인프라와 함께 Always On VPN 인프라를 나란히 배포합니다.
클라이언트에 인증서 및 구성을 배포합니다. VPN 인프라가 준비되면 필요한 인증서를 생성하고 클라이언트에 게시합니다. 클라이언트가 인증서를 받으면 VPN_Profile.ps1 구성 스크립트를 배포합니다. 또는 Intune을 사용하여 VPN 클라이언트를 구성할 수 있습니다. Microsoft 엔드포인트 구성 관리자 또는 Microsoft Intune을 사용하여 VPN 구성이 성공적으로 배포되었는지 모니터링하세요.
제거 및 해제. 모든 사용자를 DirectAccess에서 마이그레이션한 후에는 환경을 적절히 해제하세요.
클라이언트에서 DirectAccess 구성을 제거합니다. 성공적인 VPN 구성 배포를 위해 Microsoft 엔드포인트 구성 관리자 또는 Microsoft Intune을 모니터링하세요. 그런 다음 보고 기능을 사용하여 디바이스 할당 정보를 확인하고 각 사용자에게 속한 디바이스를 파악합니다. 사용자가 성공적으로 마이그레이션하면 해당 장치를 DirectAccess 보안 그룹에서 제거하여 사용자 환경에서 DirectAccess를 제거할 수 있습니다.
DirectAccess 서버를 해제합니다. 구성 설정과 DNS 레코드를 성공적으로 제거했으면 DirectAccess 서버를 해체할 준비가 된 것입니다. 이렇게 하려면 서버 관리자에서 역할을 제거하거나 서버를 해제하고 ADDS에서 서버를 제거합니다.
DirectAccess 배포 시나리오
이 배포 시나리오에서는 이 가이드에서 제시하는 마이그레이션의 시작점으로 간단한 DirectAccess 배포 시나리오를 사용합니다. Always On VPN으로 마이그레이션하기 전에 이 배포 시나리오와 일치할 필요는 없지만, 많은 조직에서 이 간단한 설정이 현재 DirectAccess 배포를 정확하게 표현합니다. 아래 표에는 이 설정에 대한 기본 기능 목록이 나와 있습니다.
다양한 DirectAccess 배포 시나리오와 옵션이 존재하므로 여기에 설명된 것과 구현 방식이 다를 수 있습니다. 그렇다면 DirectAccess and Always On VPN 간의 기능 매핑을 참조하여 현재 추가한 기능에 대한 Always On VPN 기능 세트 매핑을 확인한 다음 해당 기능을 구성에 추가하세요. 또한, Always On VPN 개선 사항을 참조하여 Always On VPN 배포에 옵션을 추가할 수 있습니다.
참고 항목
도메인에 가입하지 않은 디바이스의 경우 인증서 등록과 같은 추가 고려 사항이 있습니다. 자세한 내용은 Windows Server 및 Windows 10용 Always On VPN 배포를 참조하세요.
배포 시나리오 기능 목록
| DirectAccess 기능 | 일반적인 시나리오 |
|---|---|
| 배포 시나리오 | 클라이언트 액세스 및 원격 관리를 위한 전체 DirectAccess 배포 |
| 네트워크 어댑터 | 2 |
| 사용자 인증 | Active Directory 자격 증명 |
| 컴퓨터 인증서 사용 | 예 |
| 보안 그룹 | 예 |
| 단일 DirectAccess 서버 | 예 |
| 네트워크 토폴로지 | 두 개의 네트워크 어댑터가 있는 엣지 방화벽 뒤의 NAT(네트워크 주소 변환) |
| 액세스 모드 | 엔드 투 엣지 |
| 터널링 | 분할 터널 |
| 인증 | 머신 인증서와 Kerberos(KerbProxy 아님)를 사용한 표준 PKI(공개 키 인프라) 인증 |
| 프로토콜 | IP-HTTPS(IP over HTTPS) |
| 네트워크 위치 서버(NLS) 박스 외 사용 | 예 |
Always On VPN 배포 시나리오
이 배포 시나리오에서는 간단한 DirectAccess 환경을 DirectAccess 대체 솔루션인 간단한 Always On VPN 환경으로 마이그레이션하는 데 중점을 둡니다. 다음 표에는 이 간단한 솔루션에 사용된 기능이 나와 있습니다. Always On VPN 클라이언트의 추가 개선 사항에 대한 자세한 내용은 Always On VPN 개선 사항을 참조하세요.
간단한 환경에서 사용되는 Always On VPN 기능
| VPN 기능 | 배포 시나리오 구성 |
|---|---|
| Connection type | 기본 인터넷 키 교환 버전 2(IKEv2) |
| 네트워크 어댑터 | 2 |
| 사용자 인증 | Active Directory 자격 증명 |
| 컴퓨터 인증서 사용 | 예 |
| 라우팅 | 분할 터널링 |
| 이름 확인 | 도메인 이름 정보 목록 및 DNS(도메인 이름 시스템) 접미사 |
| 트리거링 | Always On 및 신뢰할 수 있는 네트워크 검색 |
| 인증 | 신뢰할 수 있는 플랫폼 모듈로 보호되는 사용자 인증서로 보호되는 확장 가능한 인증 프로토콜-트랜스포트 계층 보안(PEAP-TLS) |
다음 단계
DirectAccess에서 Always On VPN으로 마이그레이션 계획하기. 마이그레이션의 주요 목표는 사용자가 프로세스 전반에 걸쳐 사무실에 대한 원격 연결을 유지하는 것입니다.