자습서: 상시 접속 VPN 배포 - 상시 접속 VPN을 위한 인프라 설정
이 자습서에서 원격 도메인에 가입된 Windows 클라이언트 컴퓨터에 대해 Always On VPN 연결을 배포하는 방법을 알아봅니다. Always On VPN 연결 프로세스를 구현하는 방법을 보여주는 샘플 인프라를 만듭니다. 다음 단계로 프로세스가 구성됩니다.
Windows VPN 클라이언트는 공용 DNS 서버를 사용해 VPN 게이트웨이의 IP 주소에 대한 이름 확인 쿼리를 수행합니다.
VPN 클라이언트는 DNS에서 반환된 IP 주소를 사용해 VPN 게이트웨이에 연결 요청을 보냅니다.
VPN 서버는 RADIUS(원격 인증 전화 접속 사용자 서비스) 클라이언트로도 구성됩니다. VPN RADIUS 클라이언트는 연결 요청 처리를 위하여 NPS 서버로 연결 요청을 보냅니다.
NPS 서버는 권한 부여와 인증 수행을 포함하여 연결 요청을 처리하고 연결 요청을 허용할지 아니면 거부할지를 결정합니다.
NPS 서버는 Access-Accept 혹은 Access-Deny 응답을 VPN 서버에 전달합니다.
연결은 VPN 서버가 NPS 서버에서 받은 응답에 따라 시작되거나 혹은 종료됩니다.
필수 조건
이 튜토리얼에서 단계를 완료하려면,
4개의 물리적 컴퓨터 혹은 VM(가상 머신)에 액세스해야 합니다.
모든 컴퓨터의 사용자 계정이 관리자의 구성원이거나 동등한지 확인합니다.
Important
원격 액세스 VPN 및 DirectAccess를 포함해 Microsoft Azure에서 원격 액세스를 사용하는 것은 지원되지 않습니다. 자세한 내용은 Microsoft Azure Virtual Machines에 대한 Microsoft 서버 소프트웨어 지원 을 참조하세요.
도메인 컨트롤러 생성하기
Windows Server를 도메인 컨트롤러를 실행할 컴퓨터에 설치합니다.
AD DS(Active Directory Domain Services)를 설치합니다. AD DS를 설치하는 방법에 대한 자세한 내용은 Active Directory 도메인 Services 설치하기를 참조하세요.
Windows Server를 도메인 컨트롤러로 승격시킵니다. 이 자습서에서는 새 포리스트와 해당 새 포리스트에 관한 도메인을 만듭니다. 도메인 컨트롤러를 설치하는 방법에 대한 자세한 내용은 AD DS 설치하기를 참조하세요.
도메인 컨트롤러에 CA(인증 기관)를 설치해 구성합니다. CA를 설치하는 방법에 대한 자세한 내용은 인증 기관 설치하기를 참조하세요.
Active Directory 그룹 정책 만들기
이 섹션에서는 도메인 구성원이 사용자와 컴퓨터 인증서를 자동으로 요청하게 되도록 도메인 컨트롤러에 그룹 정책을 만듭니다. 이 구성을 사용하면 VPN 사용자가 VPN 연결을 자동으로 인증하는 사용자 인증서를 요청해 검색할 수 있습니다. 이 정책을 사용하면 또한 NPS 서버가 서버 인증 인증서를 자동으로 요청할 수 있습니다.
도메인 컨트롤러에서 그룹 정책 관리를 가져옵니다.
왼쪽 창에서, 도메인(예: corp.contoso.com)을 마우스 오른쪽 단추로 클릭합니다. 이 도메인에서 GPO를 만들어 여기에 연결하기를 선택합니다.
새 GPO 대화 상자의 이름에 자동 등록 정책을 입력합니다. 확인을 선택합니다.
왼쪽 창에서 자동 등록 정책을 마우스 오른쪽 단추로 클릭합니다. 편집을 선택해 그룹 정책 관리 편집기를 엽니다.
그룹 정책 관리 편집기에서 다음 단계를 완료해 컴퓨터 인증서 자동 등록을 구성합니다.
왼쪽 창에서 컴퓨터 구성>정책>Windows 설정>보안 설정>공개 키 정책으로 이동합니다.
세부 정보 창에서 인증서 서비스 클라이언트 - 자동 등록을 오른쪽 클릭합니다. 속성을 선택합니다.
인증서 서비스 클라이언트 – 자동 등록 속성 대화 상자에서 구성 모델에 대해 사용을 선택합니다.
만료된 인증서 갱신, 보류 중인 인증서 업데이트, 해지된 인증서 제거 및 인증서 템플릿을 사용하는 인증서 업데이트를 선택합니다.
확인을 선택합니다.
그룹 정책 관리 편집기에서 다음 단계를 완료해 사용자 인증서 자동 등록을 구성합니다.
왼쪽 창에서 사용자 구성>정책>Windows 설정>보안 설정>공개 키 정책으로 이동합니다.
세부 정보 창에서 Certificate Services Client – Auto-Enrollment를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
구성 모델에 있는 인증서 서비스 클라이언트 – 자동 등록 속성 대화 상자에서 사용을 선택합니다.
만료된 인증서 갱신, 보류 중인 인증서 업데이트, 해지된 인증서 제거 및 인증서 템플릿을 사용하는 인증서 업데이트를 선택합니다.
확인을 선택합니다.
그룹 정책 관리 편집기를 닫습니다.
그룹 정책 관리를 닫습니다.
NPS 서버 생성하기
Windows Server를 NPS 서버를 실행할 컴퓨터에 설치합니다.
NPS 서버에서 NPS(네트워크 정책 및 액세스 서비스) 역할을 설치합니다. NSP를 설치하는 방법에 대한 자세한 내용은 네트워크 정책 서버 설치를 참조하세요.
Active Directory에 NPS 서버를 등록합니다. Active Directory에서 NPS 서버를 등록하는 방법에 대한 자세한 내용은 Active Directory 도메인 NPS 등록을 참조하세요.
방화벽에서 VPN과 RADIUS 통신 모두에 필요한 트래픽이 제대로 작동하도록 허용해야만 합니다. 더 자세한 내용은 RADIUS 트래픽에 대한 방화벽 구성을 참조 하세요.
NPS 서버 그룹을 생성합니다.
도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터를 엽니다.
도메인 아래에서 컴퓨터를 마우스 오른쪽 단추로 클릭합니다. 새로 만들기를 선택한 다음, 그룹을 선택합니다.
그룹 이름에 NPS 서버를 입력한 다음 확인을 선택합니다.
NPS Server를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
NPS 서버 속성 대화 상자의 멤버 탭에서 추가를 선택합니다.
개체 유형을 선택하고 컴퓨터 확인란을 선택한 다음 확인을 선택합니다.
선택할 개체 이름을 입력에서 NPS 서버의 컴퓨터 이름을 입력합니다. 확인을 선택합니다.
Active Directory 사용자 및 컴퓨터를 닫습니다.
VPN 서버 생성하기
실행할 컴퓨터에 Windows Server를 VPN 서버를 설치합니다. 컴퓨터에 두 개의 실제 네트워크 어댑터가 설치되어 있는지를 확인합니다. 하나는 인터넷에 연결하고 다른 하나는 도메인 컨트롤러가 있는 네트워크에 연결합니다.
인터넷에 연결하는 네트워크 어댑터 및 도메인에 연결하는 네트워크 어댑터를 식별합니다. 공용 IP 주소를 사용하여 인터넷을 향한 네트워크 어댑터를 구성하고 인트라넷을 향한 어댑터는 로컬 네트워크의 IP 주소를 사용할 수 있습니다.
도메인에 연결하는 네트워크 어댑터의 경우, DNS 기본 설정 IP 주소를 도메인 컨트롤러의 IP 주소로 설정합니다.
VPN 서버를 도메인에 가입시킵니다. 서버를 도메인에 가입하는 방법에 대한 자세한 내용은 서버를 도메인에 조인하려면을 참조하세요.
VPN 서버의 공용 인터페이스에 적용된 외부 IP 주소에 UDP 포트 500과 4500 인바운드를 허용하도록 방화벽 규칙을 엽니다.
도메인에 연결하는 네트워크 어댑터에서 UDP1812, UDP1813, UDP1645, UDP1646 포트를 사용하도록 설정합니다.
VPN 서버 그룹을 생성합니다.
도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터를 엽니다.
도메인 아래에서 컴퓨터를 마우스 오른쪽 단추로 클릭합니다. 새로 만들기를 선택한 다음, 그룹을 선택합니다.
그룹 이름에 VPN 서버를 입력한 다음 확인을 선택합니다.
VPN Server를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
VPN 서버 속성 대화 상자의 멤버 탭에서 추가를 선택합니다.
개체 유형을 선택하고 컴퓨터 확인란을 선택한 다음 확인을 선택합니다.
선택할 개체 이름을 입력에서 VPN 서버의 컴퓨터 이름을 입력합니다. 확인을 선택합니다.
Active Directory 사용자 및 컴퓨터를 닫습니다.
VPN 서버로 원격 액세스 설치의 단계에 따라 VPN 서버를 설치합니다.
서버 관리자 라우팅과 원격 액세스 도구를 엽니다.
VPN 서버를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
속성에서 보안 탭을 선택해 다음을 수행합니다.
인증 공급자를 선택하고 RADIUS 인증을 선택합니다.
구성을 선택하여 RADIUS 인증 대화 상자를 엽니다.
추가를 선택하여 RADIUS 서버 추가 대화 상자를 엽니다.
서버 이름에 NPS 서버의 FQDN(정규화된 도메인 이름)을 입력합니다. 이 자습서에서, NPS 서버는 도메인 컨트롤러 서버입니다. 예를 들어 NPS 및 도메인 컨트롤러 서버의 NetBIOS 이름이 dc1이고 도메인 이름이 corp.contoso.com 경우 dc1.corp.contoso.com를 입력합니다.
공유 암호에서 변경을 선택하여 암호 변경 대화 상자를 엽니다.
새 비밀에 텍스트 문자열을 입력합니다.
새 비밀 확인에서 동일한 텍스트 문자열을 입력한 다음 확인을 선택합니다.
이 비밀을 저장하세요. 이 VPN 서버를 이 자습서의 뒷부분에서 RADIUS 클라이언트로 추가할 때 필요합니다.
확인을 선택하여 RADIUS 서버 추가 대화 상자를 닫습니다.
확인을 선택하여 RADIUS 인증 대화 상자를 닫습니다.
VPN 서버 속성 대화 상자에서 인증 방법을 선택합니다...
IKEv2 에 대한 컴퓨터 인증서 인증 허용을 선택합니다.
확인을 선택합니다.
회계 공급자의 경우 Windows 회계를 선택합니다.
확인을 선택해 속성 대화 상자를 닫습니다.
대화 상자에서 서버를 다시 시작하라는 메시지가 나타납니다. 예를 선택합니다.
VPN Windows 클라이언트 생성하기
Windows 10 이상을 VPN 클라이언트가 될 컴퓨터에 설치합니다.
도메인에 VPN 클라이언트를 가입시킵니다. 컴퓨터를 도메인에 가입하는 방법에 대한 자세한 내용은 컴퓨터를 도메인에 조인하려면을 참조하세요.
VPN 사용자 및 그룹 생성하기
다음 단계를 수행해 VPN 사용자를 만듭니다.
도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터를 엽니다.
도메인에서 사용자를 마우스 오른쪽 단추로 클릭합니다. 새로 만들기를 선택합니다. 사용자 로그온 이름에 로그온 이름을 입력합니다. 다음을 선택합니다.
사용자에 대한 암호를 선택합니다.
다음 로그온할 때 반드시 암호 변경 선택을 해제합니다. 암호 사용 기간 제한 없음을 선택합니다.
마침을 선택합니다. Active Directory 사용자 및 컴퓨터 열기를 유지합니다.
다음 단계를 수행해 VPN 사용자 그룹을 만듭니다.
도메인에서 사용자를 마우스 오른쪽 단추로 클릭합니다. 새로 만들기를 선택한 다음, 그룹을 선택합니다.
그룹 이름에 VPN 사용자를 입력한 다음 확인을 선택합니다.
VPN 사용자를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
VPN 사용자 속성 대화 상자의 멤버 탭에서 추가를 선택합니다.
사용자 선택 대화 상자에서 만든 VPN 사용자를 추가하고 확인을 선택합니다.
VPN 서버를 RADIUS 클라이언트로 구성하기
NPS 서버에서 방화벽 규칙을 열어 UDP 포트 1812, 1813, 1645, 1646 인바운드를 허용합니다.
NPS 콘솔에서 RADIUS 클라이언트 및 서버를 더블 클릭합니다.
RADIUS 클라이언트를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택하여 새 RADIUS 클라이언트 대화 상자를 엽니다.
이 RADIUS 클라이언트 활성화 확인란이 선택되어 있는지 확인합니다.
식별 이름에 VPN 서버의 표시 이름을 입력합니다.
주소(IP 또는 DNS)에서 VPN 서버의 IP 주소 또는 FQDN을 입력합니다.
FQDN을 입력하는 경우 이름이 올바른지 확인하고 유효한 IP 주소에 매핑을 하기 위해 확인을 선택합니다.
공유 비밀에서:
수동이 선택되어 있는지 확인합니다.
VPN 서버 만들기 섹션에서 만든 비밀을 입력합니다.
공유 암호 확인에서 공유 암호를 다시 입력합니다.
확인을 선택합니다. VPN 서버가 NPS 서버에 구성된 RADIUS 클라이언트 목록에 표시해야 합니다.
NPS 서버를 RADIUS 서버로 구성하기
참고 항목
이 자습서에서는 NPS 서버가 CA 역할을 사용해 도메인 컨트롤러에 설치됩니다. 별도의 NPS 서버 인증서를 등록할 필요가 없습니다. 하지만 NPS 서버가 별도의 서버에 설치된 환경에서는 이러한 단계를 미리 구성하려면 먼저 NPS 서버 인증서를 등록해야 합니다.
NPS 콘솔에서 NPS(로컬)를 선택합니다.
표준 구성에서 전화 접속 또는 VPN 연결용 RADIUS 서버가 선택되어 있는지 확인 합니다 .
VPN 또는 전화 접속 구성을 선택하여 VPN 구성 또는 전화 접속 마법사를 엽니다.
VPN(가상 사설망) 연결을 선택하고 다음을 선택합니다.
전화 접속 혹은 VPN 서버 지정의 RADIUS 클라이언트에서 VPN 서버의 이름을 선택합니다.
다음을 선택합니다.
인증 방법 구성하기에서 다음 단계를 완료합니다.
Microsoft 암호화 인증 버전 2(MS-CHAPv2)를 지웁니다.
EAP(확장할 수 있는 인증 프로토콜)을 선택합니다.
형식에 대해 Microsoft: PEAP(보호된 EAP)를 선택합니다. 그런 다음 구성을 선택해 보호된 EAP 속성 편집 대화 상자를 엽니다.
제거를 선택해 보안 암호(EAP-MSCHAP v2) EAP 유형을 제거합니다.
추가를 선택합니다. EAP 추가 대화 상자가 열립니다.
스마트 카드 또는 다른 인증서를 선택한 다음 확인을 선택합니다.
확인을 선택하여 보호된 EAP 속성 편집을 닫습니다.
다음을 선택합니다.
다음 단계를 사용자 그룹 지정에서 완료합니다.
추가를 선택합니다. 사용자, 연락처, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자가 열립니다.
VPN 사용자를 입력한 다음 확인을 선택합니다.
다음을 선택합니다.
IP 필터 지정에서 다음을 선택합니다 .
암호화 설정 지정에서 다음을 선택합니다. 변경하지 마세요.
영역 이름 지정에서 다음을 선택합니다.
마법사를 닫으려면 마침을 클릭합니다.
다음 단계
이제 인증 기관을 구성할 준비가 되어 있는 샘플 인프라를 만들었습니다.