BitLocker: 네트워크 잠금 해제를 사용하도록 설정하는 방법
IT 전문가를 위한 이 항목은 BitLocker 네트워크 잠금 해제의 작동 방식 및 이를 구성하는 방법에 대해 설명합니다.
네트워크 잠금 해제는 운영 체제 볼륨의 BitLocker 보호기 옵션으로 Windows 8 및 Windows Server 2012에서 도입되었습니다. 네트워크 잠금 해제를 사용하면 시스템이 유선 회사 네트워크에 연결되어 다시 부팅할 때 운영 체제 볼륨이 자동으로 잠금 해제되어 도메인 환경에서 BitLocker를 사용하도록 설정한 데스크톱 및 서버를 보다 쉽게 관리할 수 있습니다. 이 기능을 사용하려면 UEFI 펌웨어에 구현된 DHCP 드라이버가 있는 클라이언트 하드웨어가 필요합니다.
네트워크 잠금 해제가 없으면 TPM+PIN 보호기로 보호된 운영 체제 볼륨을 위해 컴퓨터를 다시 부팅하거나 최대 절전 모드에서 다시 시작할 때(예: Wake On LAN으로 구성된 경우) PIN을 입력해야 합니다. 이로 인해 기업에서는 무인 데스크톱 및 원격 관리 서버에 소프트웨어 패치를 롤아웃하기가 어려워질 수 있습니다.
네트워크 잠금 해제를 통해 TPM+PIN을 사용하는 BitLocker를 사용하도록 설정한 시스템에서 사용자 개입 없이 Windows로 부팅하기 위한 하드웨어 요구 사항을 충족할 수 있습니다. 네트워크 잠금 해제는 부팅 시 TPM+시작 키와 비슷한 방식으로 작동합니다. 그러나 네트워크 잠금 해제용 키는 USB 미디어의 시작 키를 읽을 필요가 없이 TPM에 저장된 키와 암호화된 네트워크 키에서 작성됩니다. 암호화된 네트워크 키는 서버로 발송된 다음 암호 해독되어 보안 세션의 클라이언트에 반환됩니다.
이 항목은 다음을 포함합니다.
네트워크 잠금 해제 핵심 요구 사항
네트워크 잠금 해제 순서
네트워크 잠금 해제 구성
네트워크 잠금 해제를 위한 인증서 템플릿 만들기
네트워크 잠금 해제 끄기
네트워크 잠금 해제 인증서 업데이트
네트워크 잠금 해제 문제 해결
지원되지 않는 시스템에서 네트워크 잠금 해제 구성
네트워크 잠금 해제 핵심 요구 사항
네트워크 잠금 해제는 필수 하드웨어 및 소프트웨어 요구 사항을 충족해야 해당 기능이 자동으로 도메인에 연결된 시스템을 잠금 해제할 수 있습니다. 이러한 요구 사항에는 다음이 포함됩니다.
Windows 8 또는 Windows Server 2012 이상을 실행 중이어야 함
UEFI DHCP 드라이버가 있는 모든 지원되는 운영 체제는 네트워크 잠금 해제 클라이언트가 될 수 있음
모든 지원되는 서버의 운영 체제에서 WDS(Windows 배포 서비스) 역할을 실행하는 서버
모든 지원되는 서버 운영 체제에 설치된 BitLocker 네트워크 잠금 해제 선택적 기능
WDS 서버와 분리된 DHCP 서버
제대로 구성된 공개/개인 키 페어링
구성된 네트워크 잠금 해제 그룹 정책 설정
네트워크 스택이 네트워크 잠금 해제 기능을 사용하도록 설정되어야 합니다. 장비 제조업체는 서로 다른 BIOS 메뉴를 가진 다양한 상태의 제품을 제공하므로 컴퓨터를 시작하기 전에 BIOS에서 네트워크 스택을 사용하도록 설정했는지 확인해야 합니다.
참고
UEFI의 DHCP를 제대로 지원하려면 UEFI 기반 시스템이 CSM(호환성 지원 모듈)을 사용하도록 설정하지 않은 기본 모드에 있어야 합니다.
Windows 8 이상을 실행하는 컴퓨터에서 네트워크 잠금 해제가 안정적으로 작동하려면 컴퓨터의 첫 번째 네트워크 어댑터(대개 온보드 어댑터)가 DHCP를 지원하도록 구성되고 네트워크 잠금 해제에 사용되어야 합니다. 이렇게 하면 여러 개의 어댑터 중 하나를 원격 관리 프로토콜용 등으로 DHCP 없이 구성하려는 경우 특히 유용합니다. 이 구성은 네트워크 잠금 해제가 어떤 이유로 인한 DHCP 포트 오류가 있는 어댑터에 도달하면 어댑터 열거를 중지하기 때문에 필요합니다. 그러므로 첫 번째로 열거된 어댑터가 DHCP를 지원하지 않거나, 네트워크에 연결되어 있지 않거나, 어떤 이유로 DHCP의 가용성을 보고하지 못하는 경우에는 네트워크 잠금 해제가 실패합니다.
네트워크 잠금 해제 서버 구성 요소는 지원되는 버전의 Windows Server 2012 이상에 서버 관리자 또는 Windows PowerShell cmdlet을 사용하여 Windows 기능으로 설치됩니다. 기능 이름은 서버 관리자에서는 BitLocker 네트워크 잠금 해제이고 Windows PowerShell에서는 BitLocker-NetworkUnlock입니다. 이 기능은 핵심 요구 사항입니다.
네트워크 잠금 해제를 위해서는 이 기능이 사용될 환경에 WDS(Windows 배포 서비스)가 필요합니다. WDS 설치 구성은 필요하지 않습니다. 그러나 WDS 서비스가 서버에서 실행되어야 합니다.
네트워크 키는 AES 256 세션 키와 함께 시스템 드라이브에 저장되며 잠금 해제 서버 인증서의 2048비트 RSA 공개 키로 암호화됩니다. 네트워크 키는 WDS를 실행하는 지원되는 버전의 Windows Server에서 공급자의 도움으로 암호가 해독되고 해당 세션 키와 함께 암호화되어 반환됩니다.
네트워크 잠금 해제 순서
Windows 부팅 관리자가 네트워크의 잠금 해제 보호기가 있다는 것을 탐지할 때 잠금 해제 순서가 클라이언트 쪽에서 시작됩니다. UEFI의 DHCP 드라이버를 활용하여 IPv4의 IP 주소를 가져온 다음 응답을 위해 네트워크 키와 세션 키가 포함되어 있는 공급업체별 DHCP 요청을 브로드캐스트하며 위에서 설명한 대로 모두 서버의 네트워크 잠금 해제 인증서로 암호화되어 있습니다. 지원되는 WDS 서버의 네트워크 잠금 해제 공급자는 공급업체별 요청을 인식하여 RSA 개인 키를 사용하여 해독하고 공급업체별 DHCP 응답을 통해 세션 키로 암호화된 네트워크 키를 반환합니다.
서버 쪽의 WDS 서버 역할에는 PXE 공급자 같이 선택적 플러그 인 구성 요소가 있으며, 이는 들어오는 네트워크 잠금 해제 요청을 처리합니다. 또한 공급자는 서브넷 제한으로 구성될 수 있으며 그러려면 네트워크 잠금 해제 요청에서 클라이언트가 제공한 IP 주소가 네트워크 키를 클라이언트에게 릴리스하기 위해 허용된 서브넷에 속해 있어야 합니다. 네트워크의 잠금 해제 공급자를 사용할 수 없는 경우 BitLocker는 드라이브의 잠금을 해제하기 위해 다음으로 사용 가능한 보호기로 장애 조치합니다. 일반적인 구성에서는 드라이브의 잠금을 해제하기 위해 표준 TPM+PIN 잠금 해제 화면이 표시됩니다.
또한 네트워크 잠금 해제를 사용하도록 설정하는 서버 쪽 구성에서는 X.509 인증서 형식으로 2048비트 RSA 공개/개인 키 쌍을 프로비전해야 하며 공개 키 인증서가 클라이언트에 배포되어야 합니다. 이 인증서는 도메인 기능 수준의 Windows Server 2012 이상을 가진 도메인 컨트롤러에서 직접 그룹 정책 편집기를 통해 관리되고 배포되어야 합니다. 이 인증서는 중간 네트워크 키(드라이브의 잠금을 해제하는 데 필요한 두 개의 암호 중 하나이며 다른 하나는 TPM에 저장되어 있음)를 암호화하는 공개 키입니다.
.png "BitLocker 네트워크 잠금 해제 순서")
네트워크 잠금 해제 프로세스의 단계
Windows 부팅 관리자가 네트워크의 잠금 해제 보호기가 BitLocker 구성에 있는지 검색합니다.
클라이언트 컴퓨터가 UEFI의 해당 DHCP 드라이버를 사용하여 유효한 IPv4 IP 주소를 얻습니다.
클라이언트 컴퓨터가 응답을 위해 네트워크 키(256비트 중간 키)와 AES-256 세션 키가 들어 있는 공급업체별 DHCP 요청을 브로드캐스트합니다. 두 키 모두 WDS 서버의 네트워크 잠금 해제 인증서의 2048비트 RSA 공개 키를 사용하여 암호화됩니다.
WDS 서버의 네트워크 잠금 해제 공급자가 공급업체별 요청을 인식합니다.
공급자가 WDS 서버의 BitLocker 네트워크 잠금 해제 인증서의 RSA 개인 키를 사용하여 요청을 해독합니다.
그런 다음 WDS 공급자가 공급업체별 DHCP 응답을 사용하여 세션 키로 암호화된 네트워크 키를 클라이언트 컴퓨터에 반환합니다. 그러면 중간 키가 형성됩니다.
그런 다음 반환된 중간 키가 TPM에서만 암호가 해독될 수 있는 다른 로컬 256비트 중간 키와 결합됩니다.
이 결합된 키를 사용하여 볼륨의 잠금을 해제하는 AES-256 키를 만듭니다.
Windows가 부팅 순서를 계속 진행합니다.
네트워크 잠금 해제 구성
다음 단계를 통해 도메인 기능 수준이 Windows Server 2012 이상인 도메인에서 관리자가 네트워크 잠금 해제를 구성할 수 있습니다.
1단계: WDS 서버 역할 설치
BitLocker 네트워크 잠금 해제 기능이 WDS 역할을 설치합니다(아직 설치되지 않은 경우). BitLocker 네트워크 잠금 해제를 설치하기 전에 따로 설치하려면 서버 관리자 또는 Windows PowerShell을 사용할 수 있습니다. 서버 관리자를 사용하여 역할을 설치하려면 서버 관리자에서 Windows 배포 서비스 역할을 선택합니다.
Windows PowerShell을 사용하여 역할을 설치하려면 다음 명령을 사용합니다.
Install-WindowsFeature WDS-Deployment
DHCP(및 선택적으로 Active Directory 도메인 서비스) 및 클라이언트 컴퓨터와 통신할 수 있도록 WDS 서버를 구성해야 합니다. WDS 관리 도구(wdsmgmt.msc)를 사용하여 구성할 수 있으며, 이렇게 하면 Windows 배포 서비스 구성 마법사가 시작됩니다.
2단계: WDS 서비스가 실행되는지 확인
WDS 서비스가 실행되는지 확인하려면 서비스 관리 콘솔 또는 Windows PowerShell을 사용합니다. 서비스 관리 콘솔에서 서비스가 실행되는지 확인하려면 services.msc를 사용하여 콘솔을 열고 WDS(Windows 배포 서비스) 서비스의 상태를 확인합니다.
Windows PowerShell을 사용하여 서비스가 실행되는지 확인하려면 다음 명령을 사용합니다.
Get-Service WDSServer
3단계: 네트워크 잠금 해제 기능 설치
네트워크 잠금 해제 기능을 설치하려면 서버 관리자 또는 Windows PowerShell을 사용합니다. 서버 관리자를 사용하여 기능을 설치하려면 서버 관리자 콘솔에서 BitLocker 네트워크 잠금 해제 기능을 선택합니다.
Windows PowerShell을 사용하여 기능을 설치하려면 다음 명령을 사용합니다.
Install-WindowsFeature BitLocker-NetworkUnlock
4단계: 네트워크 잠금 해제 인증서 만들기
네트워크 잠금 해제는 기존 PKI 인프라에서 가져온 인증서를 사용하거나 자체 서명된 인증서를 사용할 수 있습니다.
기존 CA(인증 기관)의 인증서를 등록하려면 다음을 수행합니다.
certmgr.msc를 사용하여 WDS 서버에서 인증서 관리자를 엽니다.
인증서 아래의 현재 사용자 항목에서 개인을 마우스 오른쪽 단추로 클릭합니다.
모든 작업을 선택한 다음 새 인증서 요청을 선택합니다.
인증서 등록 마법사가 열리면 다음을 선택합니다.
Active Directory 등록 정책 선택
도메인 컨트롤러에서 네트워크 잠금 해제용으로 만든 인증서 템플릿을 선택하고 등록을 선택합니다. 추가 정보를 입력하라는 메시지가 표시되면 다음 특성을 인증서에 추가합니다.
- 주체 이름 창을 선택하고 식별 이름 값을 입력합니다. 이 식별 이름은 인증서에 대한 도메인 또는 조직 구성 단위 정보를 포함하는 것이 좋습니다. 예: "Contoso 도메인용 BitLocker 네트워크 잠금 해제 인증서"
인증서를 만듭니다. 개인 폴더에 인증서가 표시되는지 확인합니다.
네트워크 잠금 해제용 공개 키 인증서를 내보냅니다.
이전에 만든 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 다음 내보내기를 선택하여 .cer 파일을 만듭니다.
**아니요, 개인 키를 내보내지 않습니다.**를 선택합니다.
DER로 인코딩된 X.509 바이너리를 선택하고 인증서를 파일에 내보내는 작업을 완료합니다.
BitLocker-NetworkUnlock.cer 같은 이름을 파일에 제공합니다.
네트워크 잠금 해제용 개인 키와 함께 공개 키를 내보냅니다.
이전에 만든 인증서를 마우스 오른쪽 단추로 클릭 하여 .pfx 파일을 만들고 모든 작업, 내보내기를 차례로 선택합니다.
**예, 개인 키를 내보냅니다.**를 선택합니다.
마법사를 완료하여 .pfx 파일을 만듭니다.
자체 서명된 인증서를 만들려면 다음을 수행합니다.
.inf 확장명을 가진 텍스트 파일을 만듭니다. 예: notepad.exe BitLocker-NetworkUnlock.inf
이전에 만든 파일에 다음 콘텐츠를 추가합니다.
[NewRequest] Subject="CN=BitLocker Network Unlock certificate" Exportable=true RequestType=Cert KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE" KeyLength=2048 [Extensions] 1.3.6.1.4.1.311.21.10 = "{text}" _continue_ = "OID=1.3.6.1.4.1.311.67.1.1" 2.5.29.37 = "{text}" _continue_ = "1.3.6.1.4.1.311.67.1.1"관리자 권한 명령 프롬프트를 열고 certreq 도구를 사용하여 파일 이름과 함께 이전에 만든 파일에 전체 경로를 지정하면서 다음 명령을 사용하여 새 인증서를 만듭니다.
certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer.cer 파일이 있는지 확인하여 이전 명령이 인증서를 제대로 만들었는지 확인합니다.
certmgr.msc를 실행하여 인증서 관리자를 시작합니다.
탐색 창에서 인증서 - 현재 사용자\개인\인증서 경로를 열어서 .pfx 파일을 만들고, 이전에 가져온 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업, 내보내기를 차례로 선택합니다. 마법사를 따라 .pfx 파일을 만듭니다.
5단계: WDS 서버에 개인 키 및 인증서 배포
만들어진 인증서와 키를 인프라에 배포하여 시스템을 제대로 잠금 해제합니다. 인증서를 배포하려면 다음을 수행합니다.
WDS 서버에서 새 MMC를 열고 인증서 스냅인을 추가합니다. 옵션이 제공된 경우 컴퓨터 계정 및 로컬 컴퓨터를 선택합니다.
인증서(로컬 컴퓨터) - BitLocker 드라이브 암호화 네트워크 잠금 해제 항목을 마우스 오른쪽 단추로 클릭하고 모든 작업, 가져오기를 차례로 선택합니다.
가져올 파일 대화 상자에서 이전에 만든 .pfx 파일을 선택합니다.
.pfx를 만드는 데 사용한 암호를 입력하고 마법사를 완료합니다.
6단계: 네트워크 잠금 해제를 위한 그룹 정책 설정 구성
네트워크 잠금 해제를 위해 WDS 서버에 배포된 인증서 및 키와 함께 그룹 정책 설정을 사용하여 네트워크 잠금 해제 키로 잠금 해제할 수 있도록 하려는 컴퓨터에 공개 키 인증서를 배포하는 마지막 단계입니다. BitLocker를 위한 그룹 정책 설정은 로컬 그룹 정책 편집기 또는 Microsoft Management Console을 사용하여 \컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화에서 찾을 수 있습니다.
다음 단계에서는 네트워크 잠금 해제를 구성하기 위한 요구 사항인 그룹 정책 설정을 사용하도록 설정하는 방법에 대해 설명합니다.
그룹 정책 관리 콘솔(gpmc.msc) 열기
시작 시 추가 인증 요구 정책을 사용하도록 설정하고 TPM과 함께 시작 PIN 요구 옵션을 선택합니다.
모든 도메인에 연결된 컴퓨터에서 TPM+PIN 보호기와 함께 BitLocker를 켭니다.
다음 단계에서는 필요한 그룹 정책 설정을 배포하는 방법에 대해 설명합니다.
참고
그룹 정책 설정 시작 시 네트워크 잠금 해제 허용 및 네트워크 잠금 해제 인증서 추가는 Windows Server 2012에서 도입되었습니다.
도메인 컨트롤러에 네트워크 잠금 해제를 위해 만든 .cer 파일을 복사합니다.
도메인 컨트롤러에서 그룹 정책 관리 콘솔(gpmc.msc)을 시작합니다.
새 그룹 정책 개체를 만들거나 기존 개체를 수정하여 시작 시 네트워크 잠금 해제 허용 설정을 사용하도록 설정합니다.
공용 인증서를 클라이언트에 배포합니다.
그룹 정책 관리 콘솔에서 컴퓨터 구성\정책\Windows 설정\보안 설정\공개 키 정책\BitLocker 드라이브 암호화 네트워크 잠금 해제 인증서 위치로 이동합니다.
폴더를 마우스 오른쪽 단추로 클릭하고 네트워크 잠금 해제 인증서 추가를 선택합니다.
마법사 단계에 따라 앞에서 복사한 .cer 파일을 가져옵니다.
참고
한 번에 하나의 네트워크 잠금 해제 인증서만 사용할 수 있습니다. 새 인증서가 필요한 경우 현재 인증서를 삭제한 다음 새 인증서를 배포합니다. 네트워크 잠금 해제 인증서는 클라이언트 컴퓨터의 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP 키에 있습니다.
7단계: 시작 시 TPM+PIN 보호기 필요
기업이 추가 보안 수준을 위해 TPM+PIN 보호기를 사용하는 추가 단계입니다. 환경에 TPM+PIN 보호기가 필요하면 다음을 수행합니다.
그룹 정책 관리 콘솔(gpmc.msc) 열기
시작 시 추가 인증 요구 정책을 사용하도록 설정하고 TPM과 함께 시작 PIN 요구 옵션을 선택합니다.
모든 도메인에 연결된 컴퓨터에서 TPM+PIN 보호기와 함께 BitLocker를 켭니다.
네트워크 잠금 해제를 위한 인증서 템플릿 만들기
다음 단계에서는 BitLocker 네트워크 잠금 해제와 함께 사용할 인증서 템플릿을 만드는 방법에 대해 자세하게 설명합니다. 제대로 구성된 Active Directory 서비스 인증 기관은 이 인증서를 사용하여 네트워크 잠금 해제 인증서를 만들고 발급할 수 있습니다.
인증서 템플릿 스냅인(certtmpl.msc)을 엽니다.
사용자 템플릿을 찾습니다. 템플릿 이름을 마우스 오른쪽 단추로 클릭하고 템플릿 복제를 선택합니다.
호환성 탭에서 인증 기관 및 인증서 받는 사람 필드를 각각 Windows Server 2012 및 Windows 8로 변경합니다. 결과 변경 내용 표시 대화 상자가 선택되었는지 확인합니다.
템플릿의 일반 탭을 선택합니다. 템플릿 표시 이름 및 템플릿 이름은 템플릿이 네트워크 잠금 해제를 위해 사용되는지 명확히 식별해야 합니다. Active Directory에 인증서 게시 옵션에 대한 확인란을 선택 취소합니다.
요청 처리 탭을 선택합니다. 목적 드롭다운 메뉴에서 암호화를 선택합니다. 개인 키를 내보낼 수 있음 옵션이 선택되었는지 확인합니다.
암호화 탭을 선택합니다. 최소 키 크기를 2048로 설정합니다. (RSA를 지원하는 모든 Microsoft 암호화 공급자를 이 템플릿에 사용할 수 있지만 단순성 및 이후 버전과의 호환성을 위해 Microsoft 소프트웨어 키 저장소 공급자를 사용하는 것이 좋습니다.)
요청에서 다음 공급자 중 하나를 사용해야 합니다. 옵션을 선택하고 선택한 암호화 공급자(예: Microsoft 소프트웨어 키 저장소 공급자)를 제외한 모든 옵션을 선택 취소합니다.
주체 이름 탭을 선택합니다. 요청에서 제공을 선택합니다. 인증서 템플릿 팝업 대화 상자가 나타나면 확인을 선택합니다.
발급 요구 사항 탭을 선택합니다. CA 인증서 관리자 승인 및 유효한 기존 인증서 옵션을 둘 다 선택합니다.
확장 탭을 선택합니다. 응용 프로그램 정책을 선택하고 **편집...**을 선택합니다.
응용 프로그램 정책 확장 편집 옵션 대화 상자에서 클라이언트 인증, 파일 시스템 암호화 및 보안 메일을 차례로 선택하고 제거를 선택합니다.
응용 프로그램 정책 확장 편집 대화 상자에서 추가를 선택합니다.
응용 프로그램 정책 추가 대화 상자에서 새로 만들기를 선택합니다. 새 응용 프로그램 정책 대화 상자에서 제공된 공간에 다음 정보를 입력한 다음 확인을 클릭하여 BitLocker 네트워크 잠금 해제 응용 프로그램 정책을 만듭니다.
이름: BitLocker 네트워크 잠금 해제
개체 식별자:1.3.6.1.4.1.311.67.1.1
새로 만든 BitLocker 네트워크 잠금 해제 응용 프로그램 정책을 선택하고 확인을 선택합니다.
확장 탭이 여전히 열려 있는 상태에서 키 사용 확장 편집 대화 상자를 선택하고 암호화된 키만 교환 허용(키 암호화) 옵션을 선택합니다. 이 확장을 중요한 것으로 설정 옵션을 선택합니다.
보안 탭을 선택합니다. 도메인 관리자 그룹에 등록 권한이 부여되었는지 확인합니다.
확인을 선택하여 템플릿의 구성을 완료합니다.
인증 기관에 네트워크 잠금 해제 템플릿을 추가하려면 인증 기관 스냅인(certsrv.msc)을 엽니다. 인증서 템플릿 항목을 마우스 오른쪽 단추로 클릭하고 새로 만들기, 발급할 인증서 템플릿을 선택합니다. 이전에 만든 BitLocker 네트워크 잠금 해제 인증서를 선택합니다.
네트워크 잠금 해제 템플릿을 인증 기관에 추가한 후 이 인증서를 사용하여 BitLocker 네트워크 잠금 해제를 구성할 수 있습니다.
WDS 서버의 서브넷 정책 구성 파일(옵션)
기본적으로 올바른 네트워크 잠금 해제 인증서 및 DHCP를 통해 네트워크 잠금 해제를 사용하도록 설정한 WDS 서버에 유선으로 액세스하는 유효한 네트워크 잠금 해제 보호기가 있는 모든 클라이언트는 서버에 의해 잠금 해제됩니다. WDS 서버의 서브넷 정책 구성 파일을 만들어서 잠금 해제하기 위해 사용할 수 있는 서브넷 네트워크 잠금 해제 클라이언트를 제한할 수 있습니다.
bde-network-unlock.ini라고 하는 구성 파일은 네트워크 잠금 해제 공급자 DLL과 동일한 디렉터리에 있어야 하며 IPv6 및 IPv4 DHCP 구현 모두 적용됩니다. 서브넷 구성 정책이 손상된 경우 공급자는 실패하고 요청에 응답하는 것을 중지합니다.
서브넷 정책 구성 파일은 "[SUBNETS]" 섹션을 사용하여 특정 서브넷을 식별해야 합니다. 그런 다음 명명된 서브넷을 사용하여 인증서 하위 섹션에서 제한을 지정할 수 있습니다. 서브넷은 각각 고유의 줄이 있는 일반 INI 형식의 단순한 이름 값 쌍으로 정의되며, 등호 왼쪽에는 이름이 있고 등호 오른쪽에는 CIDR(클래스 없는 도메인 간 라우팅) 주소 또는 범위로 식별된 서브넷이 있습니다. 키워드 “ENABLED"는 서브넷 이름에 허용되지 않습니다.
[SUBNETS]
SUBNET1=10.185.250.0/24 ; comment about this subrange could be here, after the semi-colon
SUBNET2=10.185.252.200/28
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.
[SUBNETS] 섹션 뒤에는 공백 없이 포맷된 인증서 지문으로 식별되는 각 네트워크 잠금 해제 인증서를 위한 섹션이 있을 수 있으며 이는 해당 인증서를 사용하여 클라이언트의 잠금을 해제할 수 있는 서브넷을 정의합니다.
참고
인증서 지문을 지정할 때 공백을 포함하지 마세요. 공백이 지문에 포함된 경우 지문이 유효하다고 인식되지 않기 때문에 서브넷 구성이 실패합니다.
서브넷 제한은 허용된 서브넷의 허용된 목록으로 표시되어 각 인증서 섹션 내에 정의됩니다. 서브넷을 인증서 섹션에 나열하면 해당 인증서에 대해 나열된 서브넷만 허용됩니다. 인증서 섹션에 나열된 서브넷이 없으면 해당 인증서에 대해 모든 서브넷이 허용됩니다. 인증서에 서브넷 정책 구성 파일의 섹션이 없으면 해당 인증서를 사용하여 잠금 해제할 때 적용되는 서브넷 제한이 없습니다. 즉, 모든 인증서에 제한을 적용하려면 서버의 모든 네트워크 잠금 해제 인증서에 대해 인증서 섹션과 각 인증서 섹션에 설정된 명시된 허용 목록이 있어야 합니다.
서브넷 목록은 인증서 섹션 제목 아래 고유한 줄의 [SUBNETS] 섹션에 서브넷 이름을 입력하여 만듭니다. 그러면 서버가 목록에 있는 것으로 지정된 이 서브넷 인증서를 사용한 클라이언트만 잠금을 해제합니다. 문제 해결을 위해 서브넷 앞에 세미콜론으로 간단히 주석 처리하여 해당 서브넷을 섹션에서 삭제하지 않고 빠르게 제외할 수 있습니다.
[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is only allowed to unlock clients on SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3
인증서도 같이 사용하지 않으려면 해당 서브넷 목록에 “DISABLED” 줄을 포함하면 됩니다.
네트워크 잠금 해제 끄기
잠금 해제 서버를 끄려면 WDS 서버에서 PXE 공급자의 등록을 취소하거나 완전히 제거하면 됩니다. 그러나 클라이언트가 네트워크 잠금 해제 보호기를 만들지 못하게 하려면 시작 시 네트워크 잠금 해제 허용 그룹 정책 설정을 사용하지 않도록 설정해야 합니다. 이 정책 설정이 업데이트되어 클라이언트 컴퓨터에서 사용할 수 없게 되면 컴퓨터의 모든 네트워크 잠금 해제 키 보호기가 삭제됩니다. 또는 BitLocker 네트워크 잠금 해제 인증서 정책이 도메인 컨트롤러에서 삭제되어 전체 도메인에 대해 동일한 작업을 수행할 수 있습니다.
참고
또한 WDS 서버에서 네트워크 잠금 해제 인증서 및 키가 포함된 FVENKP 인증서 저장소를 제거하면 해당 인증서에 대한 요청을 잠금 해제하기 위해 서버의 응답 기능을 효과적으로 사용할 수 없도록 합니다. 그러나 이는 오류 조건으로 보이며 네트워크 잠금 해제 서버를 끄기 위해 지원되거나 권장되는 방법이 아닙니다.
네트워크 잠금 해제 인증서 업데이트
네트워크 잠금 해제에서 사용되는 인증서를 업데이트하려면 관리자가 서버의 새 인증서를 가져오거나 생성한 다음 도메인 컨트롤러에서 네트워크 잠금 해제 인증서 그룹 정책 설정을 업데이트해야 합니다.
네트워크 잠금 해제 문제 해결
네트워크 잠금 해제 문제를 해결하려면 먼저 해당 환경을 확인합니다. 여러 번의 작은 구성 문제가 오류의 근본 원인이 됩니다. 확인할 항목은 다음과 같습니다.
클라이언트 하드웨어가 UEFI 기반이고 펌웨어 버전이 2.3.1인지 그리고 UEFI 펌웨어가 사용하도록 설정한 BIOS 모드용 CSM(호환성 지원 모듈)이 없는 기본 모드에 있는지 확인합니다. 이를 확인하려면 펌웨어에 "레거시 모드" 또는 "호환 모드" 같은 옵션을 사용하도록 설정하지 않았는지 또는 펌웨어가 BIOS 같은 모드 있어 보이지 않는지 확인합니다.
모든 필수 역할 및 서비스가 설치되고 시작됩니다.
공용 및 개인 인증서가 게시되었고 적절한 인증서 컨테이너에 있습니다. 사용하도록 설정된 로컬 컴퓨터의 인증서 스냅인을 사용하여 WDS 서버의 Microsoft Management Console(MMC.exe)에 네트워크 잠금 해제 인증서가 있다는 것을 확인할 수 있습니다. 클라이언트 컴퓨터에서 레지스트리 키 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP를 확인하여 클라이언트 인증서를 확인할 수 있습니다.
네트워크 잠금 해제를 위한 그룹 정책이 사용하도록 설정되고 적절한 도메인에 연결됩니다.
그룹 정책이 제대로 클라이언트에 도달하는지 확인합니다. 이를 위해 GPRESULT.exe 또는 RSOP.msc 유틸리티를 사용합니다.
Network (Certificate Based) 보호기가 클라이언트에 나열되는지 확인합니다. 이를 위해 manage-bde 또는 Windows PowerShell cmdlet을 사용합니다. 예를 들어 다음 명령은 로컬 컴퓨터의 C: 드라이브에서 현재 구성된 키 보호기를 나열합니다.
Manage-bde –protectors –get C:
참고
WDS 디버그 로그와 함께 manage-bde의 출력을 사용하여 적절한 인증서 지문이 네트워크 잠금 해제에 사용되는지 확인합니다.
BitLocker 네트워크 잠금 해제 문제를 해결할 때 수집할 파일은 다음과 같습니다.
Windows 이벤트 로그 특히 BitLocker 이벤트 로그 및 Microsoft-Windows-Deployment-Services-Diagnostics-Debug 로그
디버그 로깅은 WDS 서버 역할에 대해 기본적으로 꺼져 있으므로 먼저 활성화해야 합니다. 다음 두 방법 중 하나를 사용하여 WDS 디버그 로깅 설정을 켭니다.
관리자 권한 명령 프롬프트를 시작하고 다음 명령을 실행합니다.
wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:trueWDS 서버에서 이벤트 뷰어를 엽니다.
왼쪽 창에서 응용 프로그램 및 서비스 로그, Microsoft, Windows, Deployment-Services-Diagnostics, Debug를 차례로 클릭합니다.
오른쪽 창에서 로그 사용을 클릭합니다.
DHCP 서브넷 구성 파일(있는 경우).
볼륨의 BitLocker 상태의 출력은 Windows PowerShell의 manage-bde -status 또는 Get-BitLockerVolume을 사용하여 텍스트 파일로 수집할 수 있습니다.
WDS 역할을 호스트하는 서버(클라이언트 IP 주소로 필터링됨)의 네트워크 모니터 캡처
이전 버전에 네트워크 잠금 해제 그룹 정책 설정 구성
네트워크 잠금 해제 및 함께 제공되는 그룹 정책 설정은 Windows Server 2012에서 도입되었지만 Windows Server 2008 R2 및 Windows Server 2008을 실행하는 운영 체제를 사용하여 배포될 수 있습니다.
요구 사항
WDS를 호스트하는 서버는 이 항목의 첫 부분에 있는 적용 대상 목록에 지정한 서버 운영 체제 중 하나를 실행해야 합니다.
클라이언트 컴퓨터는 이 항목의 첫 부분에 있는 적용 대상 목록에 지정한 클라이언트 운영 체제 중 하나를 실행해야 합니다.
이러한 이전 시스템에서 네트워크 잠금 해제를 구성하기 위해 다음 단계를 사용할 수 있습니다.
1단계: WDS 서버 역할 설치
2단계: WDS 서비스가 실행되는지 확인
3단계: 네트워크 잠금 해제 기능 설치
4단계: 네트워크 잠금 해제 인증서 만들기
5단계: WDS 서버에 개인 키 및 인증서 배포
6단계: 네트워크 잠금 해제를 위한 레지스트리 설정 구성
레지스트리 설정을 적용하려면 이 항목의 첫 부분에 있는 적용 대상 목록에서 지정한 클라이언트 운영 체제 중 하나를 실행하는 각 컴퓨터에서 다음 certutil 스크립트를 실행합니다.
certutil -f -grouppolicy -addstore FVE_NKP BitLocker-NetworkUnlock.cer reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v OSManageNKP /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /f네트워크 잠금 해제 인증서 만들기
WDS 서버에 개인 키 및 인증서 배포
네트워크 잠금 해제를 위한 인증서 템플릿 만들기
시작 시 TPM+PIN 보호기 필요