네트워크 정책 서버 모범 사례

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 항목을 사용하여 NPS(네트워크 정책 서버)를 배포하고 관리하는 모범 사례에 대해 알아볼 수 있습니다.

다음 섹션에서는 NPS 배포의 다양한 측면에 대한 모범 사례를 제공합니다.

회계업

다음은 NPS 로깅에 대한 모범 사례입니다.

NPS에는 두 가지 유형의 회계 또는 로깅이 있습니다.

  • NPS에 대한 이벤트 로깅입니다. 이벤트 로깅을 사용하여 시스템 및 보안 이벤트 로그에 NPS 이벤트를 기록할 수 있습니다. 이는 주로 연결 시도 감사 및 문제 해결에 사용됩니다.

  • 사용자 인증 및 회계 요청을 로깅합니다. 사용자 인증 및 회계 요청을 기록하여 텍스트 형식 또는 데이터베이스 형식으로 파일을 기록하거나 SQL Server 2000 데이터베이스의 저장 프로시저에 로그할 수 있습니다. 요청 로깅은 주로 연결 분석 및 청구 목적으로 사용되며, 공격자의 활동을 추적하는 방법을 제공하는 보안 조사 도구로도 유용합니다.

NPS 로깅을 가장 효과적으로 사용하려면 다음을 수행합니다.

  • 인증 및 회계 레코드 모두에 대한 로깅(처음에는)을 켭니다. 환경에 적합한 항목을 확인한 후 이러한 선택을 수정합니다.

  • 이벤트 로깅이 로그를 기본 데 충분한 용량으로 구성되었는지 확인합니다.

  • 모든 로그 파일은 손상되거나 삭제될 때 다시 만들 수 없으므로 정기적으로 백업합니다.

  • RADIUS 클래스 특성을 사용하여 사용량을 추적하고 사용량에 대해 청구할 부서 또는 사용자의 식별을 간소화합니다. 자동으로 생성된 클래스 특성은 각 요청에 대해 고유하지만 액세스 서버에 대한 회신이 손실되고 요청이 다시 전송되는 경우 중복 레코드가 있을 수 있습니다. 사용량을 정확하게 추적하려면 로그에서 중복 요청을 삭제해야 할 수 있습니다.

  • 네트워크 액세스 서버와 RADIUS 프록시 서버가 NPS에 가상의 연결 요청 메시지를 주기적으로 전송하여 NPS가 온라인인지 확인하는 경우 ping 사용자 이름 레지스트리 설정을 사용합니다. 이 설정은 NPS가 이러한 잘못된 연결 요청을 처리하지 않고 자동으로 거부하도록 구성합니다. 또한 NPS는 가상의 사용자 이름과 관련된 트랜잭션을 로그 파일에 기록하지 않으므로 이벤트 로그를 더 쉽게 해석할 수 있습니다.

  • NAS 알림 전달을 사용하지 않도록 설정합니다. NPS로 구성된 원격 RADIUS 서버 그룹의 구성원에게 NAS(네트워크 액세스 서버)에서 시작 및 중지 메시지의 전달을 사용하지 않도록 설정할 수 있습니다. 자세한 내용은 NAS 알림 전달 사용 안 함을 참조 하세요.

자세한 내용은 네트워크 정책 서버 계정 구성을 참조 하세요.

  • SQL Server 로깅을 사용하여 장애 조치(failover) 및 중복성을 제공하려면 다른 서브넷에 SQL Server를 실행하는 두 대의 컴퓨터를 배치합니다. SQL Server 게시 만들기 마법사를 사용하여 두 서버 간에 데이터베이스 복제본(replica) 설정 자세한 내용은 SQL Server 기술 설명서SQL Server 복제 참조하세요.

인증

다음은 인증에 대한 모범 사례입니다.

  • 강력한 인증을 위해 PEAP(Protected Extensible Authentication Protocol) 및 EAP(Extensible Authentication Protocol)와 같은 인증서 기반 인증 방법을 사용합니다. 암호 전용 인증 방법은 다양한 공격에 취약하고 안전하지 않으므로 사용하지 마세요. 보안 무선 인증의 경우 NPS가 서버 인증서를 사용하여 무선 클라이언트에 대한 ID를 증명하는 반면 사용자는 사용자 이름 및 암호로 ID를 증명하기 때문에 PEAP-MS-CHAP v2를 사용하는 것이 좋습니다. 무선 배포에서 NPS를 사용하는 방법에 대한 자세한 내용은 암호 기반 802.1X 인증된 무선 액세스 배포를 참조하세요.
  • NPS에서 서버 인증서를 사용해야 하는 강력한 인증서 기반 인증 방법(예: PEAP 및 EAP)을 사용하는 경우 AD CS(Active Directory® Certificate Services)를 사용하여 CA(인증 기관)를 배포합니다. CA를 사용하여 컴퓨터 인증서 및 사용자 인증서를 등록할 수도 있습니다. NPS 및 원격 액세스 서버에 서버 인증서를 배포하는 방법에 대한 자세한 내용은 802.1X 유선 및 무선 배포용 서버 인증서 배포를 참조 하세요.

Important

NPS(네트워크 정책 서버)는 암호 내에서 확장 ASCII 문자의 사용을 지원하지 않습니다.

클라이언트 컴퓨터 구성

클라이언트 컴퓨터 구성에 대한 모범 사례는 다음과 같습니다.

  • 그룹 정책을 사용하여 모든 do기본 멤버 802.1X 클라이언트 컴퓨터를 자동으로 구성합니다. 자세한 내용은 무선 액세스 배포 항목의 "무선 네트워크 구성(IEEE 802.11) 정책" 섹션을 참조하세요.

설치 제안

다음은 NPS를 설치하는 모범 사례입니다.

  • NPS를 설치하기 전에 로컬 인증 방법을 사용하여 각 네트워크 액세스 서버를 설치하고 테스트한 후 NPS에서 RADIUS 클라이언트로 구성합니다.

  • NPS를 설치하고 구성한 후 Windows PowerShell 명령 Export-NpsConfiguration을 사용하여 구성을 저장합니다. NPS를 다시 구성할 때마다 이 명령으로 NPS 구성을 저장합니다.

주의

  • 내보낸 NPS 구성 파일에는 RADIUS 클라이언트 및 원격 RADIUS 서버 그룹의 멤버에 대한 암호화되지 않은 공유 비밀이 포함됩니다. 이 때문에 파일을 안전한 위치에 저장해야 합니다.
  • 내보내기 프로세스에는 내보낸 파일에 Microsoft SQL Server에 대한 로깅 설정이 포함되지 않습니다. 내보낸 파일을 다른 NPS로 가져오는 경우 새 서버에서 SQL Server 로깅을 수동으로 구성해야 합니다.

성능 튜닝 NPS

다음은 NPS 성능 튜닝에 대한 모범 사례입니다.

  • NPS 인증 및 권한 부여 응답 시간을 최적화하고 네트워크 트래픽을 최소화하려면 do기본 컨트롤러에 NPS를 설치합니다.

  • UPN(유니버설 보안 주체 이름) 또는 Windows Server 2008 및 Windows Server 2003을 사용하는 경우 기본 NPS는 글로벌 카탈로그를 사용하여 사용자를 인증합니다. 이 작업을 수행하는 데 걸리는 시간을 최소화하려면 글로벌 카탈로그 서버 또는 글로벌 카탈로그 서버와 동일한 서브넷에 있는 서버에 NPS를 설치합니다.

  • 원격 RADIUS 서버 그룹을 구성하고 NPS 커넥트ion 요청 정책에서 다음 원격 RADIUS 서버 그룹 검사 상자의 서버에 대한 레코드 계정 정보를 지우면 이러한 그룹은 여전히 NAS(네트워크 액세스 서버) 시작 및 중지 알림 메시지를 보냅니다. 그러면 불필요한 네트워크 트래픽이 생성됩니다. 이 트래픽을 제거하려면 네트워크 시작 및 중지 알림을 이 서버 검사 상자로 지우면 각 원격 RADIUS 서버 그룹의 개별 서버에 대한 NAS 알림 전달을 사용하지 않도록 설정합니다.

대규모 조직에서 NPS 사용

다음은 대규모 조직에서 NPS를 사용하는 모범 사례입니다.

  • 네트워크 정책을 사용하여 특정 그룹을 제외한 모든 그룹에 대한 액세스를 제한하는 경우 액세스를 허용하려는 모든 사용자에 대한 유니버설 그룹을 만든 다음 이 범용 그룹에 대한 액세스 권한을 부여하는 네트워크 정책을 만듭니다. 특히 네트워크에 사용자가 많은 경우 모든 사용자를 유니버설 그룹에 직접 배치하지 마세요. 대신 유니버설 그룹의 구성원인 별도의 그룹을 만들고 해당 그룹에 사용자를 추가합니다.

  • 가능하면 사용자 계정 이름을 사용하여 사용자를 참조합니다. 사용자는 할 일기본 멤버 자격에 관계없이 동일한 사용자 계정 이름을 가질 수 있습니다. 이 방법은 많은 수의 작업을 수행하는 조직에서 필요할 수 있는 확장성을 제공합니다기본.

  • do기본 컨트롤러 이외의 컴퓨터에 NPS(네트워크 정책 서버)를 설치하고 NPS가 초당 많은 수의 인증 요청을 수신하는 경우 NPS와 do기본 컨트롤러 간에 허용되는 동시 인증 수를 늘려 NPS 성능을 향상시킬 수 있습니다. 자세한 내용은 NPS에서 처리하는 동시 인증 증가를 참조하세요.

보안 문제

다음은 보안 문제를 줄이기 위한 모범 사례입니다.

NPS를 원격으로 관리하는 경우 일반 텍스트로 네트워크를 통해 중요한 또는 기밀 데이터(예: 공유 비밀 또는 암호)를 보내지 마세요. NPS의 원격 관리에 권장되는 두 가지 방법이 있습니다.

  • 원격 데스크톱 서비스를 사용하여 NPS에 액세스합니다. 원격 데스크톱 서비스를 사용하는 경우 클라이언트와 서버 간에 데이터가 전송되지 않습니다. 서버의 사용자 인터페이스(예: 운영 체제 데스크톱 및 NPS 콘솔 이미지)만 Windows® 10에서 원격 데스크톱 커넥트ion이라는 원격 데스크톱 서비스 클라이언트로 전송됩니다. 클라이언트는 원격 데스크톱 서비스를 사용하도록 설정된 서버에서 로컬로 처리하는 키보드 및 마우스 입력을 보냅니다. 원격 데스크톱 서비스 사용자가 로그온할 때 서버에서 관리하고 서로 독립적인 개별 클라이언트 세션만 볼 수 있습니다. 또한 원격 데스크톱 커넥트ion은 클라이언트와 서버 간에 128비트 암호화를 제공합니다.

  • IPsec(인터넷 프로토콜 보안)을 사용하여 기밀 데이터를 암호화합니다. IPsec을 사용하여 NPS를 관리하는 데 사용하는 NPS와 원격 클라이언트 컴퓨터 간의 통신을 암호화할 수 있습니다. 서버를 원격으로 관리하려면 클라이언트 컴퓨터에 원격 서버 관리Istration Tools for Windows 10을 설치할 수 있습니다. 설치 후 MMC(Microsoft Management Console)를 사용하여 NPS 스냅인을 콘솔에 추가합니다.

Important

Windows 10 Professional 또는 Windows 10 Enterprise의 전체 릴리스에서만 Windows 10용 원격 서버 관리istration Tools를 설치할 수 있습니다.

NPS에 대한 자세한 내용은 NPS(네트워크 정책 서버)를 참조하세요.