DirectAccess 인프라 계획 수립 후, 기본 세팅으로 단일 서버 환경에서 DirectAccess 배포하기 위한 다음 단계는 시작 마법사 설정을 계획하는 것입니다.
| Task | Description |
|---|---|
| 클라이언트 배포 계획 | 기본적으로, 시작 마법사에서는 WMI 필터를 클라이언트 설정 GPO에 적용하면 도메인 내의 모든 랩톱 및 노트북 컴퓨터에 DirectAccess를 배포합니다. |
| DirectAccess 서버 배포 계획 | DirectAccess 서버를 배포할 방법을 계획합니다. |
클라이언트 배포 계획
클라이언트 배포를 계획할 때 결정해야 하는 두 가지 사항이 있습니다.
DirectAccess를 이동 컴퓨터에서만 사용할 수 있나요, 아니면 모든 컴퓨터에서 사용할 수 있나요?
시작 마법사에서 DirectAccess 클라이언트를 구성할 때 지정된 보안 그룹의 이동 컴퓨터에서만 DirectAccess를 사용하여 연결하도록 허용할 수 있습니다. 모바일 컴퓨터에 대한 접근을 제한하면, DirectAccess가 지정된 보안 그룹 소속 모바일 컴퓨터에만 DirectAccess 클라이언트 GPO가 적용되도록 WMI 필터를 자동으로 구성합니다. 이 설정을 사용하려면 DirectAccess 관리자에게 그룹 정책 WMI 필터를 만들거나 수정할 수 있는 권한이 있어야 합니다.
DirectAccess 클라이언트 컴퓨터가 어떤 보안 그룹에 포함되나요?
DirectAccess 설정은 DirectAccess 클라이언트 GPO에 포함됩니다. 이 GPO는 시작 마법사에서 지정한 보안 그룹에 속한 컴퓨터에 적용됩니다. 지원되는 모든 도메인에 보안 그룹이 포함되도록 지정할 수 있습니다. DirectAccess를 구성하기 전에, 보안 그룹을 만들어야 합니다. DirectAccess 배포를 완료한 후 보안 그룹에 컴퓨터를 추가할 수 있지만, 보안 그룹과 다른 도메인에 상주하는 클라이언트 컴퓨터를 추가한 경우 해당 클라이언트에는 클라이언트 GPO가 적용되지 않습니다. 예를 들어 도메인 A에 DirectAccess 클라이언트에 대한 SG1을 만들고 나중에 도메인 B의 클라이언트를 이 그룹에 추가하는 경우 도메인 B의 클라이언트에는 클라이언트 GPO가 적용되지 않습니다. 이 문제를 방지하려면 클라이언트 컴퓨터가 포함된 각 도메인에 대한 새 클라이언트 보안 그룹을 만들어야 합니다. 또는 새 보안 그룹을 만들지 않으려면 새 도메인의 새 GPO 이름으로 Add-DAClient cmdlet을 실행합니다.
DirectAccess 서버 배포 계획
DirectAccess 서버 배포를 계획할 때 결정할 몇 가지 사항이 있습니다.
네트워크 토폴로지 -There DirectAccess 서버를 배포할 때 사용할 수 있는 두 가지 토폴로지입니다.
두 개의 네트워크 어댑터를 -With 두 개의 어댑터인 DirectAccess는 인터넷에 직접 연결된 하나의 네트워크 어댑터로 구성할 수 있고 다른 하나는 내부 네트워크에 연결됩니다. 또는 방화벽이나 라우터와 같은 에지 디바이스 뒤에 서버가 설치됩니다. 이 구성에서는 네트워크 어댑터가 경계 네트워크와 내부 네트워크에 각각 하나씩 연결됩니다.
단일 네트워크 어댑터 -In 이 구성에서 DirectAccess 서버는 방화벽 또는 라우터와 같은 에지 디바이스 뒤에 설치됩니다. 네트워크 어댑터는 내부 네트워크에 연결됩니다.
DirectAccess 마법사를 -The 네트워크 어댑터는 DirectAccess 서버에 구성된 네트워크 어댑터를 자동으로 검색합니다. 검토 페이지에서 올바른 어댑터를 선택했는지 확인할 수 있습니다.
이 배포에 PKI가 필요하지 -Since 인증서를IP-HTTPS 마법사는 IP-HTTPS 및 네트워크 위치 서버에 대해 자체 서명된 인증서를 자동으로 프로비전하고(인증서가 없는 경우) Kerberos 프록시를 자동으로 사용하도록 설정합니다. 또한 마법사는 IPv4 전용 환경에서 프로토콜 변환에 NAT64 및 DNS64를 활성화합니다. 마법사가 구성 적용을 성공적으로 완료한 후 닫기를 클릭합니다.
Windows 7 클라이언트 -You 시작 마법사에서 Windows 7 클라이언트에 대한 지원을 사용하도록 설정할 수 없습니다. 고급 설치 마법사에서 사용하도록 설정할 수 있습니다. 자세한 내용은 고급 설정을 사용하여 단일 DirectAccess 서버 배포를 참조하세요.
DirectAccess를 구성하는 -Before VPN 구성은 원격 클라이언트에 대한 VPN 액세스를 제공할지 여부를 결정합니다. VPN 액세스는 DirectAccess 연결을 지원하지 않는 클라이언트 컴퓨터(관리되지 않았거나 DirectAccess를 지원하지 않는 운영 체제를 실행하는 경우 등)가 조직 내에 존재할 때 제공되어야 합니다. 시작 마법사는 DHCP를 사용하여 VPN IP 주소 할당을 구성하고 Active Directory를 사용하여 VPN 클라이언트를 인증하도록 구성합니다.
강제 터널링을 사용하려는 -If 강제 터널링을 사용하거나 나중에 추가할 수 있습니다. 고급 설정이 있는 단일 DirectAccess 서버 배포 를 사용하여 두 개의 터널 구성을 배포해야 합니다. 보안을 고려하여 단일 터널 구성에서 강제 터널링은 지원되지 않습니다.