원격 데스크톱 서비스 역할
이 문서에서는 원격 데스크톱 서비스 환경 내의 역할을 설명합니다.
원격 데스크톱 세션 호스트
RD 세션 호스트(원격 데스크톱 세션 호스트)는 다른 사용자와 공유하는 세션 기반 앱 및 데스크톱을 보유합니다. 사용자는 Windows, MacOS, iOS 및 Android에서 실행되는 원격 데스크톱 클라이언트 중 하나를 통해 이러한 데스크톱 및 앱을 받을 수 있습니다. 사용자는 웹 클라이언트를 사용하여 지원되는 브라우저를 통해 연결할 수도 있습니다.
데스크톱과 앱을 "컬렉션"이라고 하는 하나 이상의 RD 세션 호스트 서버로 구성할 수 있습니다. 이러한 컬렉션은 각 테넌트 내의 특정 사용자 그룹에 대해 사용자 지정할 수 있습니다. 예를 들어, 특정 사용자 그룹이 특정 앱에 액세스할 수 있지만 내가 지정한 그룹 외부에 있는 사용자는 해당 앱에 액세스할 수 없는 컬렉션을 만들 수 있습니다.
소규모 배포의 경우 애플리케이션을 RD 세션 호스트 서버에 직접 설치할 수 있습니다. 대규모 배포의 경우, 기본 이미지를 구축하고 이 이미지에서 가상 머신을 프로비저닝하는 것이 좋습니다.
동일한 가용성 집합에 할당된 컬렉션 내의 각 RDSH 가상 머신을 사용하여 RD 세션 호스트 서버 가상 머신을 컬렉션 팜에 추가하여 컬렉션을 확장할 수 있습니다. 이렇게 하면 컬렉션 가용성이 향상되며 더 많은 사용자 또는 리소스가 많이 사용되는 애플리케이션을 지원하도록 규모가 증가됩니다.
대부분의 경우 여러 사용자가 동일한 RD 세션 호스트 서버를 공유하기 때문에 Azure 리소스가 데스크톱 호스팅 솔루션에 가장 효율적으로 사용됩니다. 이 구성에서 사용자는 관리자가 아닌 계정으로 컬렉션에 로그인해야 합니다. 개인 세션 데스크톱 컬렉션을 만들어서 일부 사용자에게 원격 데스크톱에 대한 전체 관리 권한을 부여할 수도 있습니다.
새 RD 세션 호스트 가상 머신을 만들기 위해 템플릿으로 사용할 수 있는 Windows Server OS가 있는 가상 하드 디스크를 만들고 업로드하면 데스크톱을 더 많이 사용자 지정할 수 있습니다.
자세한 내용은 다음 문서를 참조하세요.
원격 데스크톱 연결 브로커
RD 연결 브로커(원격 데스크톱 연결 브로커)는 RD 세션 호스트 서버 팜으로 들어오는 원격 데스크톱 연결을 관리합니다. RD 연결 브로커는 전체 데스크톱 컬렉션과 원격 앱 컬렉션 둘 다에 대한 연결을 처리합니다. RD 연결 브로커는 새로운 연결을 만들 때 컬렉션의 서버 간에 부하를 분산할 수 있습니다. RD 연결 브로커가 사용하도록 설정된 경우 서버 균형 조정을 위해 RD 세션 호스트에 DNS 라운드 로빈을 사용할 수 없습니다. 세션 연결이 끊어지면, RD 연결 브로커는 RD 세션 호스트 팜에 계속 존재하는 중단된 세션 및 올바른 RD 세션 호스트 서버에 사용자를 다시 연결합니다.
Single Sign-On과 애플리케이션 게시를 지원하려면 RD 연결 브로커 서버와 클라이언트 모두에 일치하는 디지털 인증서를 설치해야 합니다. 네트워크를 테스트하거나 개발하는 경우에는 자체 생성되고 자체 서명된 인증서를 사용할 수 있습니다. 하지만 릴리스된 서비스에는 신뢰할 수 있는 인증 기관의 디지털 인증서가 필요합니다. 인증서에 부여하는 이름은 RD 연결 브로커 가상 머신의 내부 FQDN(정규화된 도메인 이름)과 동일해야 합니다.
비용을 줄이기 위해 Windows Server 2016 RD 연결 브로커를 AD DS와 동일한 가상 머신에 설치할 수 있습니다. 더 많은 사용자로 규모를 확장해야 하는 경우에는 동일한 가용성 집합에 RD 연결 브로커 가상 머신을 더 추가하여 RD 연결 브로커 클러스터를 만들 수도 있습니다.
RD 연결 브로커 클러스터를 만들려면 그 전에 테넌트의 환경에 Azure SQL Database를 배포하거나 SQL Server AlwaysOn 가용성 그룹을 만들어야 합니다.
자세한 내용은 다음 문서를 참조하세요.
- 배포에 RD 연결 브로커 서버 추가 및 고가용성 구성
- 데스크톱 호스팅 서비스의 SQL Database
원격 데스크톱 게이트웨이
RD 게이트웨이(원격 데스크톱 게이트웨이)는 공용 네트워크 사용자에게 Microsoft Azure의 클라우드 서비스에서 호스팅되는 애플리케이션과 Windows 데스크톱에 대한 액세스 권한을 부여합니다.
RD 게이트웨이 구성 요소는 SSL(Secure Sockets Layer)을 사용하여 클라이언트와 서버 간의 통신 채널을 암호화합니다. RD 게이트웨이 가상 머신은 포트 443에 대한 인바운드 TCP 연결과 포트 3391에 대한 인바운드 UDP 연결을 허용하는 공용 IP 주소를 통해 액세스할 수 있어야 합니다. 이렇게 하면 사용자가 HTTPS 통신 전송 프로토콜 및 UDP 프로토콜을 각각 사용하여 인터넷을 통해 연결할 수 있습니다.
이 기능이 작동하려면 서버와 클라이언트에 설치된 디지털 인증서가 일치해야 합니다. 네트워크를 테스트하거나 개발하는 경우에는 자체 생성되고 자체 서명된 인증서를 사용할 수 있습니다. 하지만 릴리스된 서비스에는 신뢰할 수 있는 인증 기관의 인증서가 필요합니다. FQDN이 공용 IP 주소의 외부에 표시되는 DNS 이름이든, 공용 IP 주소를 가리키는 CNAME DNS 레코드이든 상관없이, 인증서의 이름은 RD 게이트웨이에 액세스하는 데 사용되는 FQDN과 일치해야 합니다.
사용자가 적은 테넌트의 경우, RD 웹 액세스 및 RD 게이트웨이 역할을 단일 가상 머신에 결합하여 비용을 줄일 수 있습니다. RD 게이트웨이 팜에 RD 게이트웨이 가상 머신을 더 추가하여 서비스 가용성을 높이고 더 많은 사용자로 확장할 수도 있습니다. 대규모 RD 게이트웨이 팜의 가상 머신은 부하가 분산된 세트에 구성되어야 합니다. IP 선호도는 필요하지 않습니다.
자세한 내용은 다음 문서를 참조하세요.
원격 데스크톱 웹 액세스
RD 웹 액세스(원격 데스크톱 웹 액세스)를 사용하면 사용자가 웹 포털을 통해 애플리케이션 및 데스크톱에 액세스하고 디바이스의 네이티브 Microsoft 원격 데스크톱 클라이언트 애플리케이션을 통해 시작할 수 있습니다. 웹 포털을 사용하여 Windows 데스크톱 및 애플리케이션을 Windows 및 그 외 클라이언트 디바이스에 게시할 수 있고 데스크톱이나 앱을 특정 사용자 또는 그룹에 선택적으로 게시할 수도 있습니다.
RD 웹 액세스를 사용하려면 IIS(인터넷 정보 서비스)가 제대로 작동해야 합니다. HTTPS(Hypertext Transfer Protocol Secure) 연결은 클라이언트와 RD 웹 서버 간에 암호화된 통신 채널을 제공합니다. 테넌트의 사용자가 HTTPS 통신 전송 프로토콜을 사용하여 인터넷에서 연결할 수 있으려면, 포트 443에 대한 인바운드 TCP 연결을 허용하는 공용 IP 주소를 통해 RD 웹 액세스 가상 머신에 액세스할 수 있어야 합니다.
일치하는 디지털 인증서를 서버와 클라이언트에 설치해야 합니다. 개발 및 테스트 목적으로는 자체 생성 및 자체 서명된 인증서여도 괜찮습니다. 릴리스된 서비스의 경우에는, 디지털 인증서를 신뢰할 수 있는 인증 기관에서 가져와야 합니다. 인증서의 이름은 RD 웹 액세스에 액세스하는 데 사용되는 FQDN(정규화된 도메인 이름)과 일치해야 합니다. 가능한 FQDN에는 공용 IP 주소의 외부 DNS 이름 및 공용 IP 주소를 가리키는 CNAME DNS 레코드가 포함됩니다.
사용자가 적은 테넌트의 경우 RD 웹 액세스와 원격 데스크톱 게이트웨이 워크로드를 단일 가상 머신에 결합하여 비용을 줄일 수 있습니다. RD 웹 액세스 팜에 RD 웹 가상 머신을 더 추가하여 서비스 가용성을 높이고 더 많은 사용자로 확장할 수 있습니다. 다수의 가상 머신이 있는 RD 웹 액세스 팜에서는 부하 분산된 세트로 가상 머신을 구성해야 합니다.
RD 웹 액세스를 구성하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.
원격 데스크톱 라이선싱
활성화된 RD 라이선싱(원격 데스크톱 라이선싱) 서버를 사용하면 사용자가 테넌트의 데스크톱과 앱을 호스팅하는 RD 세션 호스트 서버에 연결할 수 있습니다. 테넌트 환경에는 일반적으로 RD 라이선싱 서버가 이미 설치되어 있지만, 호스팅 환경의 경우 사용자별 모드로 서버를 구성해야 합니다.
서비스 공급자는 매달 서비스에 로그인하는 권한이 부여된 고유 사용자(동시 사용자가 아님)를 모두 수용하기에 충분한 RDS SAL(Subscriber Access License)이 필요합니다. 서비스 공급자는 Microsoft Azure 인프라 서비스를 직접 구매할 수 있으며 Microsoft SPLA(Service Provider Licensing Agreement) 프로그램을 통해 SAL를 구매할 수 있습니다. 호스팅된 데스크톱 솔루션이 필요한 고객은 서비스 공급자로부터 전체 호스팅 솔루션(Azure 및 RDS)을 구입해야 합니다.
소규모 테넌트는 파일 서버와 RD 라이선싱 구성 요소를 단일 가상 머신에 결합하여 비용을 줄일 수 있습니다. 더 높은 서비스 가용성을 제공하기 위해, 테넌트는 동일한 가용성 집합에 RD 라이선스 서버 가상 머신을 2대 배포할 수 있습니다. 테넌트 환경의 모든 RD 서버는 2대의 RD 라이선스 서버와 연결되어 있기 때문에 두 서버 중 하나가 다운되더라도 사용자는 새 세션에 연결된 상태로 유지됩니다.
자세한 내용은 다음 문서를 참조하세요.