3단계 멀티 사이트 배포 계획
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
다중 사이트 인프라를 계획한 후 추가 인증서 요구 사항, 클라이언트 컴퓨터가 진입점을 선택하는 방법 및 배포에 할당된 IPv6 주소를 계획합니다.
다음 섹션에서는 자세한 계획 정보를 제공합니다.
3.1 IP-HTTPS 인증서 계획
진입점을 구성할 때 특정 커넥트 주소로 각 진입점을 구성합니다. 각 진입점에 대한 IP-HTTPS 인증서는 커넥트 주소와 일치해야 합니다. 인증서를 가져올 때 다음 사항에 유의하세요.
멀티 사이트 배포에서는 자체 서명된 인증서를 사용할 수 없습니다.
CRL을 항상 사용할 수 있도록 공용 CA를 사용하는 것이 좋습니다.
주체 필드에서 원격 액세스 서버 외부 어댑터의 IPv4 주소(커넥트 주소가 DNS 이름이 아닌 IP 주소로 지정된 경우) 또는 IP-HTTPS URL의 FQDN을 지정합니다.
인증서의 일반 이름은 IP-HTTPS 웹 사이트의 이름과 일치해야 합니다. 커넥트TO DNS 이름과 일치하는 야생카드 URL도 지원됩니다.
IP-HTTPS 인증서는 주체 이름에 와일드 카드 사용할 수 있습니다. 모든 진입점에 동일한 야생카드 인증서를 사용할 수 있습니다.
에 대 한는 향상 된 키 용도 필드의 경우는 서버 인증 OID (개체 식별자)를 사용 합니다.
다중 사이트 배포에서 Windows 7을 실행하는 클라이언트 컴퓨터를 지원하는 경우 CRL 배포 지점 필드에서 인터넷에 연결된 DirectAccess 클라이언트에서 액세스할 수 있는 CRL 배포 지점을 지정합니다. Windows 8을 실행하는 클라이언트에는 필요하지 않습니다(기본적으로 이러한 클라이언트의 IP-HTTPS에 대해 CRL 해지 검사 사용하지 않도록 설정됨).
IP-HTTPS 인증서에 프라이빗 키가 있어야 합니다.
IP-HTTPS 인증서는 사용자가 아닌 컴퓨터의 개인 저장소로 직접 가져와야 합니다.
3.2 네트워크 위치 서버 계획
네트워크 위치 서버 웹 사이트는 원격 액세스 서버 또는 조직의 다른 서버에서 호스트할 수 있습니다. 원격 액세스 서버에서 네트워크 위치 서버를 호스트하는 경우 원격 액세스를 배포할 때 웹 사이트가 자동으로 만들어집니다. 조직에서 Windows 운영 체제를 실행하는 다른 서버에서 네트워크 위치 서버를 호스트하는 경우 웹 사이트를 만들기 위해 IIS(인터넷 정보 서비스)가 설치되어 있는지 확인해야 합니다.
3.2.1 네트워크 위치 서버에 대한 인증서 요구 사항
네트워크 위치 서버 웹 사이트가 인증서 배포에 대한 다음 요구 사항을 충족하는지 확인합니다.
HTTPS 서버 인증서가 필요합니다.
네트워크 위치 서버가 원격 액세스 서버에 있고 단일 원격 액세스 서버를 배포할 때 자체 서명된 인증서를 사용하도록 선택한 경우 내부 CA에서 발급한 인증서를 사용하도록 단일 서버 배포를 다시 구성해야 합니다.
DirectAccess 클라이언트 컴퓨터가 네트워크 위치 서버 웹 사이트에 서버 인증서를 발급한 CA를 신뢰해야 합니다.
내부 네트워크의 DirectAccess 클라이언트 컴퓨터는 네트워크 위치 서버 웹 사이트의 이름을 확인할 수 있어야 합니다.
네트워크 위치 서버 웹 사이트는 내부 네트워크의 컴퓨터에서 고가용성이어야 합니다.
인터넷의 DirectAccess 클라이언트 컴퓨터에서 네트워크 위치 서버에 액세스할 수 없어야 합니다.
서버 인증서는 CRL(인증서 해지 목록)에 대해 검사 합니다.
네트워크 위치 서버가 원격 액세스 서버에서 호스트되는 경우 Wild카드 인증서는 지원되지 않습니다.
네트워크 위치 서버에 사용할 웹 사이트 인증서를 가져올 때 다음 사항에 유의하세요.
주체 필드에 네트워크 위치 서버의 인트라넷 인터페이스 IP 주소 또는 네트워크 위치 URL의 FQDN을 지정합니다. 네트워크 위치 서버가 원격 액세스 서버에서 호스트되는 경우 IP 주소를 지정해서는 안 됩니다. 이는 네트워크 위치 서버가 모든 진입점에 대해 동일한 주체 이름을 사용해야 하고 모든 진입점의 IP 주소가 동일하지 않기 때문입니다.
확장된 키 사용 필드의 경우 서버 인증 OID를 사용합니다.
CRL 배포 지점 필드의 경우 인트라넷에 연결된 DirectAccess 클라이언트에서 액세스할 수 있는 CRL 배포 지점을 사용합니다.
네트워크 위치 서버에 대한 3.2.2DNS
원격 액세스 서버에서 네트워크 위치 서버를 호스트하는 경우 배포의 모든 진입점에 대해 네트워크 위치 서버 웹 사이트에 대한 DNS 항목을 추가해야 합니다. 다음을 참고하십시오.
다중 사이트 배포에서 첫 번째 네트워크 위치 서버 인증서의 주체 이름은 모든 진입점에 대한 네트워크 위치 서버 URL로 사용되므로 주체 이름과 네트워크 위치 서버 URL은 배포에서 첫 번째 원격 액세스 서버의 컴퓨터 이름과 같을 수 없습니다. 네트워크 위치 서버 전용 FQDN이어야 합니다.
네트워크 위치 서버 트래픽에서 제공하는 서비스는 DNS를 사용하여 진입점 간에 분산되므로 진입점의 내부 IP 주소로 구성된 각 진입점에 대해 동일한 URL을 가진 DNS 항목이 있어야 합니다.
모든 진입점은 동일한 주체 이름(네트워크 위치 서버 URL과 일치)을 가진 네트워크 위치 서버 인증서로 구성해야 합니다.
진입점을 추가하기 전에 진입점에 대한 네트워크 위치 서버 인프라(DNS 및 인증서 설정)를 만들어야 합니다.
3.3 모든 원격 액세스 서버에 대한 IPsec 루트 인증서 계획
다중 사이트 배포에서 IPsec 클라이언트 인증을 계획할 때 다음 사항에 유의하세요.
단일 원격 액세스 서버를 설정할 때 컴퓨터 인증에 기본 제공 Kerberos 프록시를 사용하도록 선택한 경우 Kerberos 프록시가 다중 사이트 배포에 지원되지 않으므로 내부 CA에서 발급한 컴퓨터 인증서를 사용하도록 설정을 변경해야 합니다.
자체 서명된 인증서를 사용한 경우 내부 CA에서 발급한 인증서를 사용하도록 단일 서버 배포를 다시 구성해야 합니다.
클라이언트 인증 중에 IPsec 인증이 성공하려면 모든 원격 액세스 서버에는 IPsec 루트 또는 중간 CA에서 발급한 인증서와 향상된 키 사용을 위한 클라이언트 인증 OID가 있어야 합니다.
다중 사이트 배포의 모든 원격 액세스 서버에 동일한 IPsec 루트 또는 중간 인증서를 설치해야 합니다.
3.4 전역 서버 부하 분산 계획
멀티 사이트 배포에서는 전역 서버 부하 분산 장치를 추가로 구성할 수 있습니다. 글로벌 서버 부하 분산 장치는 진입점 간에 트래픽 부하를 분산할 수 있으므로 배포에서 대규모 지리적 배포를 포함하는 경우 조직에 유용할 수 있습니다. DirectAccess 클라이언트에 가장 가까운 진입점의 진입점 정보를 제공하도록 전역 서버 부하 분산 장치를 구성할 수 있습니다. 프로세스는 다음과 같습니다.
Windows 10 또는 Windows 8을 실행하는 클라이언트 컴퓨터에는 각각 진입점과 연결된 전역 서버 부하 분산 장치 IP 주소 목록이 있습니다.
Windows 10 또는 Windows 8 클라이언트 컴퓨터는 공용 DNS에서 전역 서버 부하 분산 장치의 FQDN을 IP 주소로 확인하려고 시도합니다. 확인된 IP 주소가 진입점의 전역 서버 부하 분산 장치 IP 주소로 나열되면 클라이언트 컴퓨터는 해당 진입점을 자동으로 선택하고 IP-HTTPS URL(주소 커넥트) 또는 Teredo 서버 IP 주소에 연결합니다. 클라이언트 컴퓨터가 전역 서버 부하 분산 장치 IP 주소에 연결을 시도하지 않으므로 전역 서버 부하 분산 장치의 IP 주소는 커넥트 주소 또는 진입점의 Teredo 서버 주소와 동일할 필요가 없습니다.
클라이언트 컴퓨터가 웹 프록시 뒤에 있거나(DNS 확인을 사용할 수 없음) 전역 서버 부하 분산 장치 FQDN이 구성된 전역 서버 부하 분산 장치 IP 주소로 확인되지 않는 경우 모든 진입점의 IP-HTTPS URL에 대한 HTTPS 프로브를 사용하여 진입점이 자동으로 선택됩니다. 클라이언트는 먼저 응답하는 서버에 연결합니다.
원격 액세스를 지원하는 글로벌 서버 부하 분산 디바이스 목록은 Microsoft Server 및 Cloud Platform의 파트너 찾기 페이지로 이동합니다.
3.5 DirectAccess 클라이언트 진입점 선택 계획
멀티 사이트 배포를 구성하는 경우 기본적으로 Windows 10 및 Windows 8 클라이언트 컴퓨터는 배포의 모든 진입점에 연결하고 선택 알고리즘에 따라 단일 진입점에 자동으로 연결하는 데 필요한 정보로 구성됩니다. Windows 10 및 Windows 8 클라이언트 컴퓨터가 연결할 진입점을 수동으로 선택할 수 있도록 배포를 구성할 수도 있습니다. Windows 10 또는 Windows 8 클라이언트 컴퓨터가 현재 미국 진입점에 연결되어 있고 자동 진입점 선택이 설정된 경우 미국 진입점에 연결할 수 없게 되면 몇 분 후에 클라이언트 컴퓨터가 유럽 진입점을 통해 연결을 시도합니다. 자동 진입점 선택을 사용하는 것이 좋습니다. 그러나 수동 진입점 선택을 허용하면 최종 사용자가 현재 네트워크 조건에 따라 다른 진입점에 연결할 수 있습니다. 예를 들어 컴퓨터가 미국 진입점에 연결되어 있고 내부 네트워크에 대한 연결이 예상보다 훨씬 느려지는 경우입니다. 이 경우 최종 사용자는 수동으로 유럽 진입점에 연결하도록 선택하여 내부 네트워크에 대한 연결을 개선할 수 있습니다.
참고 항목
최종 사용자가 진입점을 수동으로 선택하면 클라이언트 컴퓨터가 자동 진입점 선택 영역으로 되돌리기 않습니다. 즉, 수동으로 선택한 진입점에 연결할 수 없게 되면 최종 사용자는 자동 진입점 선택으로 되돌리기 다른 진입점을 수동으로 선택해야 합니다.
Windows 7 클라이언트 컴퓨터는 멀티 사이트 배포의 단일 진입점에 연결하는 데 필요한 정보로 구성됩니다. 여러 진입점에 대한 정보를 동시에 저장할 수 없습니다. 예를 들어 Windows 7 클라이언트 컴퓨터는 유럽 진입점이 아닌 미국 진입점에 연결하도록 구성할 수 있습니다. 미국 진입점에 연결할 수 없는 경우 진입점에 연결할 수 있을 때까지 Windows 7 클라이언트 컴퓨터가 내부 네트워크에 연결되지 않습니다. 최종 사용자는 유럽 진입점에 연결을 시도하기 위해 변경할 수 없습니다.
3.6 접두사 및 라우팅 계획
내부 IPv6 접두사
단일 원격 액세스 서버를 배포하는 동안 내부 네트워크 IPv6 접두사를 계획했습니다. 멀티 사이트 배포에서는 다음을 참고하세요.
단일 서버 원격 액세스 배포를 구성할 때 모든 Active Directory 사이트를 포함하는 경우 내부 네트워크 IPv6 접두사는 원격 액세스 관리 콘솔에 이미 정의되어 있습니다.
다중 사이트 배포를 위해 추가 Active Directory 사이트를 만드는 경우 추가 사이트에 대한 새 IPv6 접두사를 계획하고 원격 액세스에서 정의해야 합니다. IPv6 접두사는 IPv6이 내부 회사 네트워크에 배포된 경우에만 원격 액세스 관리 콘솔 또는 PowerShell cmdlet을 사용하여 구성할 수 있습니다.
DirectAccess 클라이언트 컴퓨터용 IPv6 접두사(IP-HTTPS 접두사)
IPv6이 내부 회사 네트워크에 배포된 경우 배포의 추가 진입점에서 DirectAccess 클라이언트 컴퓨터에 할당할 IPv6 접두사를 계획해야 합니다.
각 진입점에서 DirectAccess 클라이언트 컴퓨터에 할당할 IPv6 접두사는 고유하고 IPv6 접두사에서 겹치지 않는지 확인합니다.
IPv6이 회사 네트워크에 배포되지 않은 경우 진입점을 추가할 때 각 진입점에 대한 IP-HTTPS 접두사를 자동으로 선택합니다.
VPN 클라이언트용 IPv6 접두사
단일 원격 액세스 서버에 VPN을 배포한 경우 다음 사항에 유의하세요.
진입점에 IPv6 VPN 접두사를 추가하는 것은 회사 네트워크에 대한 VPN 클라이언트 IPv6 연결을 허용하려는 경우에만 필요합니다.
VPN 접두사는 IPv6이 내부 회사 네트워크에 배포되고 진입점에서 VPN이 사용하도록 설정된 경우 원격 액세스 관리 콘솔 또는 PowerShell cmdlet을 사용하여 진입점에서만 구성할 수 있습니다.
VPN 접두사는 각 진입점에서 고유해야 하며 다른 VPN 또는 IP-HTTPS 접두사와 겹치지 않아야 합니다.
IPv6이 회사 네트워크에 배포되지 않은 경우 진입점에 연결하는 VPN 클라이언트에 IPv6 주소가 할당되지 않습니다.
라우팅
다중 사이트 배포에서 대칭 라우팅은 Teredo 및 IP-HTTPS를 사용하여 적용됩니다. 회사 네트워크에 IPv6이 배포되면 다음 사항에 유의하세요.
각 진입점의 Teredo 및 IP-HTTPS 접두사는 회사 네트워크를 통해 연결된 원격 액세스 서버로 라우팅할 수 있어야 합니다.
경로는 회사 네트워크 라우팅 인프라에서 구성해야 합니다.
각 진입점에 대해 내부 네트워크에 1~3개의 경로가 있어야 합니다.
IP-HTTPS 접두사-이 접두사는 진입점 추가 마법사에서 관리자가 선택합니다.
VPN IPv6 접두사(선택 사항). 진입점에 대해 VPN을 사용하도록 설정한 후 이 접두사를 선택할 수 있습니다.
Teredo 접두사(선택 사항). 이 접두사는 원격 액세스 서버가 외부 어댑터에서 두 개의 연속 공용 IPv4 주소로 구성된 경우에만 관련이 있습니다. 접두사는 주소 쌍의 첫 번째 공용 IPv4 주소를 기반으로 합니다. 예를 들어 외부 주소는 다음과 같습니다.
www.xxx.yyy.zzz
www.xxx.yyy.zzz+1
그런 다음 구성할 Teredo 접두사는 2001:0:WWXX:YYZZ::/64입니다. 여기서 WWXX:YYZZ는 IPv4 주소 www.xxx.yyy.zzz의 16진수 표현입니다.
다음 스크립트를 사용하여 Teredo 접두사를 계산할 수 있습니다.
$TeredoIPv4 = (Get-NetTeredoConfiguration).ServerName # Use for a Remote Access server that is already configured $TeredoIPv4 = "20.0.0.1" # Use for an IPv4 address [Byte[]] $TeredoServerAddressBytes = ` [System.Net.IPAddress]::Parse("2001::").GetAddressBytes()[0..3] + ` [System.Net.IPAddress]::Parse($TeredoIPv4).GetAddressBytes() + ` [System.Net.IPAddress]::Parse("::").GetAddressBytes()[0..7] Write-Host "The server's Teredo prefix is $([System.Net.IPAddress]$TeredoServerAddressBytes)/64"위의 모든 경로는 원격 액세스 서버의 내부 어댑터에 있는 IPv6 주소 또는 부하 분산된 진입점에 대한 내부 VIP(가상 IP) 주소로 라우팅되어야 합니다.
참고 항목
IPv6이 회사 네트워크에 배포되고 DirectAccess를 통해 원격 액세스 서버 관리가 원격으로 수행되면 트래픽이 내부 네트워크로 전달되도록 다른 모든 진입점의 Teredo 및 IP-HTTPS 접두사에 대한 경로를 각 원격 액세스 서버에 추가해야 합니다.
Active Directory 사이트별 IPv6 접두사
Windows 10 또는 Windows 8을 실행하는 클라이언트 컴퓨터가 진입점에 연결되면 클라이언트 컴퓨터는 진입점의 Active Directory 사이트와 즉시 연결되고 진입점과 연결된 IPv6 접두사로 구성됩니다. 진입점에 연결할 때 우선 순위가 높은 IPv6 접두사 정책 테이블에서 동적으로 구성되므로 클라이언트 컴퓨터가 이러한 IPv6 접두사를 사용하여 리소스에 연결하는 것이 기본 설정입니다.
조직에서 사이트별 IPv6 접두사로 Active Directory 토폴로지를 사용하는 경우(예: 내부 리소스 FQDN app.corp.com 각 위치에 사이트별 IP 주소를 사용하여 북아메리카 및 유럽 모두에서 호스팅됨) 기본적으로 원격 액세스 콘솔을 사용하여 구성되지 않으며 사이트별 IPv6 접두사는 각 진입점에 대해 구성되지 않습니다. 이 선택적 시나리오를 사용하도록 설정하려면 특정 진입점에 연결하는 클라이언트 컴퓨터에서 선호해야 하는 특정 IPv6 접두사를 사용하여 각 진입점을 구성해야 합니다. 다음과 같이 이 작업을 수행합니다.
Windows 10 또는 Windows 8 클라이언트 컴퓨터에 사용되는 각 GPO에 대해 Set-DAEntryPointTableItem PowerShell cmdlet을 실행합니다.
사이트별 IPv6 접두사를 사용하여 cmdlet에 대한 EntryPointRange 매개 변수를 설정합니다. 예를 들어 사이트별 접두사 2001:db8:1:1:::/64 및 2001:db:1:2:::/64를 유럽이라는 진입점에 추가하려면 다음을 실행합니다.
$entryPointName = "Europe" $prefixesToAdd = @("2001:db8:1:1::/64", "2001:db8:1:2::/64") $clientGpos = (Get-DAClient).GpoName $clientGpos | % { Get-DAEntryPointTableItem -EntryPointName $entryPointName -PolicyStore $_ | %{ Set-DAEntryPointTableItem -PolicyStore $_.PolicyStore -EntryPointName $_.EntryPointName -EntryPointRange ($_.EntryPointRange) + $prefixesToAdd}}EntryPointRange 매개 변수를 수정할 때 IPsec 터널 엔드포인트 및 DNS64 주소에 속하는 기존 128비트 접두사를 제거하지 않도록 합니다.
3.7 다중 사이트 원격 액세스가 배포될 때 IPv6으로의 전환 계획
많은 조직에서 회사 네트워크에서 IPv4 프로토콜을 사용합니다. 사용 가능한 IPv4 접두사 소모로 많은 조직에서 IPv4 전용 네트워크에서 IPv6 전용 네트워크로 전환하고 있습니다.
이 전환은 다음 두 단계로 진행될 가능성이 높습니다.
IPv4 전용에서 IPv6+IPv4 회사 네트워크로.
IPv6+IPv4에서 IPv6 전용 회사 네트워크로.
각 부분에서 전환은 단계적으로 수행될 수 있습니다. 각 단계에서는 네트워크의 서브넷 하나만 새 네트워크 구성으로 변경할 수 있습니다. 따라서 일부 진입점이 IPv4 전용 서브넷에 속하고 다른 항목이 IPv6+IPv4 서브넷에 속하는 하이브리드 배포를 지원하려면 DirectAccess 다중 사이트 배포가 필요합니다. 또한 전환 프로세스 중 구성 변경은 DirectAccess를 통해 클라이언트 연결을 중단해서는 안 됩니다.
IPv4 전용에서 IPv6+IPv4 회사 네트워크로 전환
IPv4 전용 회사 네트워크에 IPv6 주소를 추가할 때 이미 배포된 DirectAccess 서버에 IPv6 주소를 추가할 수 있습니다. 또한 IPv4 및 IPv6 주소를 모두 사용하는 부하 분산된 클러스터에 진입점 또는 노드를 DirectAccess 배포에 추가할 수 있습니다.
원격 액세스를 사용하면 IPv4 주소와 IPv6 주소가 모두 있는 서버를 원래 IPv4 주소로만 구성된 배포에 추가할 수 있습니다. 이러한 서버는 IPv4 전용 서버로 추가되고 해당 IPv6 주소는 DirectAccess에서 무시됩니다. 따라서 조직은 이러한 새 서버에서 네이티브 IPv6 연결의 이점을 활용할 수 없습니다.
배포를 IPv6+IPv4 배포로 변환하고 네이티브 IPv6 기능을 활용하려면 DirectAccess를 다시 설치해야 합니다. 다시 설치를 통해 클라이언트 연결을 기본하려면 이중 DirectAccess 배포를 사용하여 IPv4 전용 배포에서 IPv6 전용 배포로의 전환을 참조하세요.
참고 항목
IPv4 전용 네트워크와 마찬가지로 혼합 IPv4+IPv6 네트워크에서 클라이언트 DNS 요청을 확인하는 데 사용되는 DNS 서버의 주소는 회사 DNS가 아닌 원격 액세스 서버에 배포된 DNS64로 구성되어야 합니다.
IPv6+IPv4에서 IPv6 전용 회사 네트워크로 전환
DirectAccess를 사용하면 배포의 첫 번째 원격 액세스 서버에 원래 IPv4 및 IPv6 주소 또는 IPv6 주소만 있는 경우에만 IPv6 전용 진입점을 추가할 수 있습니다. 즉, DirectAccess를 다시 설치하지 않고는 단일 단계에서 IPv4 전용 네트워크에서 IPv6 전용 네트워크로 전환할 수 없습니다. IPv4 전용 네트워크에서 IPv6 전용 네트워크로 직접 전환하려면 이중 DirectAccess 배포를 사용하여 IPv4 전용에서 IPv6 전용 배포로의 전환을 참조하세요.
IPv4 전용 배포에서 IPv6+IPv4 배포로의 전환을 완료한 후에는 IPv6 전용 네트워크로 전환할 수 있습니다. 전환 중 및 전환 후에 다음 사항에 유의하세요.
회사 네트워크에 IPv4 전용 백 엔드 서버가 다시 기본 경우 IPv6 전용 진입점을 통해 연결하는 클라이언트에 연결할 수 없습니다.
IPv4+IPv6 배포에 IPv6 전용 진입점을 추가하는 경우 DNS64 및 NAT64는 새 서버에서 사용하도록 설정되지 않습니다. 이러한 진입점에 연결하는 클라이언트는 회사 DNS 서버를 사용하도록 자동으로 구성됩니다.
배포된 서버에서 IPv4 주소를 삭제해야 하는 경우 DirectAccess 배포에서 서버를 제거하고 해당 IPv4 회사 네트워크 주소를 제거한 다음 배포에 다시 추가해야 합니다.
회사 네트워크에 대한 클라이언트 연결을 지원하려면 회사 DNS에서 해당 IPv6 주소로 네트워크 위치 서버를 확인할 수 있는지 확인해야 합니다. 추가 IPv4 주소도 설정할 수 있지만 필수는 아닙니다.
이중 DirectAccess 배포를 사용하여 IPv4 전용에서 IPv6 전용 배포로 전환
DirectAccess 배포를 다시 설치하지 않으면 IPv4 전용에서 IPv6 전용 회사 네트워크로 전환할 수 없습니다. 전환 중에 클라이언트 연결을 기본 위해 다른 DirectAccess 배포를 사용할 수 있습니다. 첫 번째 전환 단계가 완료되고(IPv4+IPv6으로 업그레이드된 IPv4 전용 네트워크) IPv6 전용 회사 네트워크로의 향후 전환을 준비하거나 네이티브 IPv6 연결 이점을 활용하려면 이중 배포가 필요합니다. 이중 배포는 다음 일반 단계에서 설명합니다.
두 번째 DirectAccess 배포를 설치합니다. 새 서버에 DirectAccess를 설치하거나 첫 번째 배포에서 서버를 제거하고 두 번째 배포에 사용할 수 있습니다.
참고 항목
현재 배포와 함께 추가 DirectAccess 배포를 설치할 때 두 진입점이 동일한 클라이언트 접두사를 공유하지 않는지 확인합니다.
시작 마법사 또는 cmdlet
Install-RemoteAccess을 사용하여 DirectAccess를 설치하는 경우 원격 액세스는 배포의 첫 번째 진입점 클라이언트 접두사를 IPv6 subnet_prefix>:1000::/64의 <기본값으로 자동으로 설정합니다. 필요한 경우 접두사를 변경해야 합니다.첫 번째 배포에서 선택한 클라이언트 보안 그룹을 제거합니다.
두 번째 배포에 클라이언트 보안 그룹을 추가합니다.
Important
프로세스 전체에서 클라이언트 연결을 기본하려면 보안 그룹을 첫 번째 배포에서 제거한 직후 두 번째 배포에 추가해야 합니다. 이렇게 하면 클라이언트가 두 개 또는 0개의 DirectAccess GPO로 업데이트되지 않습니다. 클라이언트는 클라이언트 GPO를 검색하고 업데이트한 후 두 번째 배포를 사용하기 시작합니다.
선택 사항: 첫 번째 배포에서 DirectAccess 진입점을 제거하고 두 번째 배포에서 해당 서버를 새 진입점으로 추가합니다.
전환을 완료하면 첫 번째 DirectAccess 배포를 제거할 수 있습니다. 제거할 때 다음과 같은 문제가 발생할 수 있습니다.
배포가 모바일 컴퓨터의 클라이언트만 지원하도록 구성된 경우 WMI 필터가 삭제됩니다. 두 번째 배포의 클라이언트 보안 그룹에 데스크톱 컴퓨터가 포함된 경우 DirectAccess 클라이언트 GPO는 데스크톱 컴퓨터를 필터링하지 않으며 문제가 발생할 수 있습니다. 모바일 컴퓨터 필터가 필요한 경우 GPO에 대한 WMI 필터 만들기에 대한 지침에 따라 다시 만듭니다.
두 배포가 원래 동일한 Active Directory do기본에 만들어진 경우 localhost를 가리키는 DNS 프로브 항목이 삭제되고 클라이언트 연결 문제가 발생할 수 있습니다. 예를 들어 클라이언트는 Teredo가 아닌 IP-HTTPS를 사용하여 연결하거나 DirectAccess 멀티 사이트 진입점 간에 전환할 수 있습니다. 이 경우 회사 DNS에 다음 DNS 항목을 추가해야 합니다.
영역: do기본 이름
이름: directaccess-corp커넥트ivityHost
IP 주소: ::1
형식: AAAA