DirectAccess에서 지원되지 않는 구성
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
배포를 다시 시작할 필요가 없도록 배포를 시작하기 전에 지원되지 않는 DirectAccess 구성의 다음 목록을 검토합니다.
그룹 정책 개체의 FRS(파일 복제 서비스) 배포(SYSVOL 복제본(replica)tions)
기본 컨트롤러가 그룹 정책 개체(SYSVOL 복제본(replica)tions)의 배포를 위해 FRS(파일 복제 서비스)를 실행하는 환경에 DirectAccess를 배포하지 마세요. FRS를 사용하는 경우 DirectAccess 배포가 지원되지 않습니다.
Windows Server 2003 또는 Windows Server 2003 R2를 실행하는 컨트롤러를 기본 경우 FRS를 사용하고 있습니다. 또한 이전에 Windows 2000 Server 또는 Windows Server 2003 do기본 컨트롤러를 사용했으며 SYSVOL 복제본(replica)tion을 FRS에서 DFS-R(분산 파일 시스템 복제)으로 마이그레이션한 적이 없는 경우 FRS를 사용할 수 있습니다.
FRS SYSVOL 복제본(replica)tion을 사용하여 DirectAccess를 배포하는 경우 DirectAccess 서버 및 클라이언트 구성 정보가 포함된 DirectAccess 그룹 정책 개체가 의도하지 않게 삭제될 위험이 있습니다. 이러한 개체가 삭제되면 DirectAccess 배포가 중단되고 DirectAccess를 사용하는 클라이언트 컴퓨터가 네트워크에 연결할 수 없습니다.
DirectAccess를 배포하려는 경우 Windows Server 2003 R2 이후 운영 체제를 실행하는 기본 컨트롤러를 사용해야 하며 DFS-R을 사용해야 합니다.
FRS에서 DFS-R로 마이그레이션하는 방법에 대한 자세한 내용은 SYSVOL 복제 마이그레이션 가이드: FRS에서 DFS 복제로의 마이그레이션을 참조 하세요.
DirectAccess 클라이언트에 대한 네트워크 액세스 보호
NAP(네트워크 액세스 보호)는 원격 클라이언트 컴퓨터가 회사 네트워크에 대한 액세스 권한이 부여되기 전에 IT 정책을 충족하는지 여부를 확인하는 데 사용됩니다. NAP는 Windows Server 2012 R2에서 더 이상 사용되지 않으며 Windows Server 2016에 포함되지 않습니다. 따라서 NAP를 사용하여 DirectAccess의 새 배포를 시작하는 것은 권장되지 않습니다. DirectAccess 클라이언트의 보안을 위한 다른 엔드포인트 제어 방법을 사용하는 것이 좋습니다.
Windows 7 클라이언트에 대한 다중 사이트 지원
DirectAccess가 다중 사이트 배포에서 구성된 경우 Windows 10®, Windows® 8.1 및 Windows® 8 클라이언트는 가장 가까운 사이트에 연결할 수 있습니다. Windows 7® 클라이언트 컴퓨터에는 동일한 기능이 없습니다. Windows 7 클라이언트에 대한 사이트 선택은 정책 구성 시 특정 사이트로 설정되며, 이러한 클라이언트는 위치에 관계없이 항상 지정된 사이트에 연결됩니다.
사용자 기반 액세스 제어
DirectAccess 정책은 사용자 기반이 아니라 컴퓨터 기반입니다. 회사 네트워크에 대한 액세스를 제어하기 위해 DirectAccess 사용자 정책을 지정하는 것은 지원되지 않습니다.
DirectAccess 정책 사용자 지정
DirectAccess 설치 마법사, 원격 액세스 관리 콘솔 또는 원격 액세스 Windows PowerShell cmdlet을 사용하여 DirectAccess를 구성할 수 있습니다. DirectAccess 그룹 정책 개체를 직접 수정하거나 서버 또는 클라이언트에서 기본 정책 설정을 수동으로 수정하는 등 DirectAccess 설정 마법사 이외의 수단을 사용하여 DirectAccess를 구성하는 것은 지원되지 않습니다. 이러한 수정으로 인해 사용할 수 없는 구성이 발생할 수 있습니다.
KerbProxy 인증
시작 마법사를 사용하여 DirectAccess 서버를 구성하면 컴퓨터 및 사용자 인증에 KerbProxy 인증을 사용하도록 DirectAccess 서버가 자동으로 구성됩니다. 따라서 Windows 10®, Windows 8.1 또는 Windows 8 클라이언트만 배포되는 단일 사이트 배포에만 시작 마법사를 사용해야 합니다.
또한 KerbProxy 인증에는 다음 기능을 사용하면 안 됩니다.
외부 부하 분산 장치 또는 Windows Load Balancer를 사용하여 부하 분산
스마트 카드 또는 OTP(일회성 암호)가 필요한 2단계 인증
KerbProxy 인증을 사용하도록 설정하는 경우 다음 배포 계획이 지원되지 않습니다.
Multisite.
Windows 7 클라이언트에 대한 DirectAccess 지원.
강제 터널링. 강제 터널링을 사용할 때 KerbProxy 인증이 활성화되지 않도록 하려면 마법사를 실행하는 동안 다음 항목을 구성합니다.
강제 터널링 사용
Windows 7 클라이언트에 DirectAccess 사용
참고 항목
이전 배포의 경우 인증서 기반 컴퓨터 및 사용자 인증과 함께 2 터널 구성을 사용하는 고급 구성 마법사를 사용해야 합니다. 자세한 내용은 고급 설정 사용하여 단일 DirectAccess 서버 배포를 참조하세요.
ISATAP 사용
ISATAP는 IPv4 전용 회사 네트워크에서 IPv6 연결을 제공하는 전환 기술입니다. 단일 DirectAccess 서버 배포를 사용하는 중소 규모의 조직으로 제한되며 DirectAccess 클라이언트의 원격 관리를 허용합니다. ISATAP가 다중 사이트, 부하 분산 또는 multido기본 환경에 배포된 경우 DirectAccess를 구성하기 전에 이를 제거하거나 네이티브 IPv6 배포로 이동해야 합니다.
IPHTTPS 및 OTP(일회성 암호) 엔드포인트 구성
IPHTTPS를 사용하는 경우 IPHTTPS 연결은 부하 분산 장치와 같은 다른 디바이스가 아닌 DirectAccess 서버에서 종료되어야 합니다. 마찬가지로 OTP(일회성 암호) 인증 중에 생성된 대역 외 SSL(Secure Sockets Layer) 연결은 DirectAccess 서버에서 종료되어야 합니다. 이러한 연결의 엔드포인트 사이의 모든 디바이스는 통과 모드로 구성해야 합니다.
OTP 인증을 사용하여 강제 터널
OTP 및 강제 터널링을 사용하여 2단계 인증을 사용하는 DirectAccess 서버를 배포하지 마세요. 그렇지 않으면 OTP 인증이 실패합니다. DirectAccess 서버와 DirectAccess 클라이언트 간에 대역 외 SSL(Secure Sockets Layer) 연결이 필요합니다. 이 연결을 사용하려면 DirectAccess 터널 외부로 트래픽을 보내려면 예외가 필요합니다. 강제 터널 구성에서 모든 트래픽은 DirectAccess 터널을 통과해야 하며 터널이 설정된 후에는 예외가 허용되지 않습니다. 이 때문에 강제 터널 구성에서 OTP 인증이 지원되지 않습니다.
읽기 전용 Do기본 컨트롤러를 사용하여 DirectAccess 배포
DirectAccess 서버는 읽기-쓰기 do기본 컨트롤러에 액세스할 수 있어야 하며 RODC(읽기 전용 Do기본 Controller)를 사용하여 제대로 작동하지 않아야 합니다.
읽기-쓰기 do기본 컨트롤러는 다음과 같은 여러 가지 이유로 필요합니다.
DirectAccess 서버에서 MMC(원격 액세스 Microsoft 관리 콘솔)를 열려면 읽기/쓰기기본 컨트롤러가 필요합니다.
DirectAccess 서버는 DirectAccess 클라이언트와 DirectAccess 서버 GPO(그룹 정책 개체)를 읽고 써야 합니다.
DirectAccess 서버는 특히 PDCe(주 Do기본 컨트롤러 에뮬레이터)에서 클라이언트 GPO를 읽고 씁니다.
이러한 요구 사항 때문에 RODC를 사용하여 DirectAccess를 배포하지 마세요.