자습서: Always On VPN 배포 - Always On VPN에 대한 인프라 설정

• 다음: 2 - 인증 기관 템플릿 구성

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10, Windows 11

이 자습서에서는 원격 작업기본 조인된 Windows 클라이언트 컴퓨터에 대해 Always On VPN 연결을 배포하는 방법에 대해 알아봅니다. Always On VPN 연결 프로세스를 구현하는 방법을 보여 주는 샘플 인프라를 만듭니다. 프로세스는 다음 단계로 구성됩니다.

1. Windows VPN 클라이언트는 공용 DNS 서버를 사용하여 VPN 게이트웨이의 IP 주소에 대한 이름 확인 쿼리를 수행합니다.

2. VPN 클라이언트는 DNS에서 반환된 IP 주소를 사용하여 VPN 게이트웨이에 연결 요청을 보냅니다.

3. VPN 서버는 RADIUS(원격 인증 전화 접속 사용자 서비스) 클라이언트로도 구성됩니다. VPN RADIUS 클라이언트는 연결 요청 처리를 위해 NPS 서버로 연결 요청을 보냅니다.

4. NPS 서버는 권한 부여 및 인증 수행을 포함하여 연결 요청을 처리하고 연결 요청을 허용할지 아니면 거부할지를 결정합니다.

5. NPS 서버는 Access-Accept 또는 Access-Deny 응답을 VPN 서버에 전달합니다.

6. 연결은 VPN 서버가 NPS 서버에서 받은 응답에 따라 시작되거나 종료됩니다.

필수 조건

이 자습서의 단계를 완료하려면

• 4개의 물리적 컴퓨터 또는 VM(가상 머신)에 액세스해야 합니다.

• 모든 컴퓨터의 사용자 계정이 관리istrators 또는 동등한 멤버인지 확인합니다.

Important

원격 액세스 VPN 및 DirectAccess를 포함하여 Microsoft Azure에서 원격 액세스를 사용하는 것은 지원되지 않습니다. 자세한 내용은 Microsoft Azure 가상 머신에 대한 Microsoft 서버 소프트웨어 지원을 참조 하세요.

do기본 컨트롤러 만들기

1. do기본 컨트롤러를 실행할 컴퓨터에 Windows Server를 설치합니다.

2. AD DS(Active Directory 도메인 Services)를 설치합니다. AD DS를 설치하는 방법에 대한 자세한 내용은 Active Directory 도메인 Services 설치를 참조하세요.

3. Windows Server를 승격하여 컨트롤러를 기본. 이 자습서에서는 새 포리스트를 만들고 새 포리스트에 대한 기본. do기본 컨트롤러를 설치하는 방법에 대한 자세한 내용은 AD DS 설치를 참조하세요.

4. do기본 컨트롤러에 CA(인증 기관)를 설치하고 구성합니다. CA를 설치하는 방법에 대한 자세한 내용은 인증 기관 설치를 참조 하세요.

Active Directory 그룹 정책 만들기

이 섹션에서는 do기본 컨트롤러에 그룹 정책을 만들어 구성원이 사용자 및 컴퓨터 인증서를 자동으로 요청하게 기본. 이 구성을 사용하면 VPN 사용자가 VPN 연결을 자동으로 인증하는 사용자 인증서를 요청하고 검색할 수 있습니다. 또한 이 정책을 사용하면 NPS 서버가 서버 인증 인증서를 자동으로 요청할 수 있습니다.

1. 도메인 컨트롤러에서 그룹 정책 관리를 가져옵니다.

2. 왼쪽 창에서 do기본(예: corp.contoso.com)를 마우스 오른쪽 단추로 클릭합니다. 이 작업에서 GPO 만들기를 선택하고기본 여기에 연결합니다.

3. 새 GPO 대화 상자의 이름에 자동 등록 정책을 입력합니다. 확인을 선택합니다.

4. 왼쪽 창에서 자동 등록 정책을 마우스 오른쪽 단추로 클릭합니다. 편집을 선택하여 그룹 정책 관리 편집기를 엽니다.

5. 그룹 정책 관리 편집기에서 다음 단계를 완료하여 컴퓨터 인증서 자동 등록을 구성합니다.

   1. 왼쪽 창에서 컴퓨터 구성>정책>Windows 설정>Security 설정>공개 키 정책으로 이동합니다.

   2. 세부 정보 창에서 인증서 서비스 클라이언트 – 자동 등록을 마우스 오른쪽 단추로 클릭합니다. 속성을 선택합니다.

   3. 인증서 서비스 클라이언트 – 자동 등록 속성 대화 상자에서 구성 모델에 대해 [사용]을 선택합니다.

   4. 만료된 인증서 갱신, 보류 중인 인증서 업데이트, 해지된 인증서 제거 및 인증서 템플릿을 사용하는 인증서 업데이트를 선택합니다.

   5. 확인을 선택합니다.

6. 그룹 정책 관리 편집기에서 다음 단계를 완료하여 사용자 인증서 자동 등록을 구성합니다.

   1. 왼쪽 창에서 사용자 구성>정책>Windows 설정>Security 설정>공개 키 정책으로 이동합니다.

   2. 세부 정보 창에서 Certificate Services 클라이언트 – 자동 등록을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

   3. 인증서 서비스 클라이언트 – 자동 등록 속성 대화 상자의 구성 모델에서 [사용]을 선택합니다.

   4. 만료된 인증서 갱신, 보류 중인 인증서 업데이트, 해지된 인증서 제거 및 인증서 템플릿을 사용하는 인증서 업데이트를 선택합니다.

   5. 확인을 선택합니다.

   6. 그룹 정책 관리 편집기를 닫습니다.

7. 그룹 정책 관리를 닫습니다.

NPS 서버 만들기

1. NPS 서버를 실행할 컴퓨터에 Windows Server를 설치합니다.

2. NPS 서버에서 NPS(네트워크 정책 및 액세스 서비스) 역할을 설치합니다. NSP를 설치하는 방법에 대한 자세한 내용은 네트워크 정책 서버 설치를 참조 하세요.

3. Active Directory에 NPS 서버를 등록합니다. Active Directory에서 NPS 서버를 등록하는 방법에 대한 자세한 내용은 Active Directory 도메인 NPS 등록을 참조하세요.

4. 방화벽에서 VPN 및 RADIUS 통신 모두에 필요한 트래픽이 제대로 작동하도록 허용해야 합니다. 자세한 내용은 RADIUS 트래픽에 대한 방화벽 구성을 참조 하세요.

5. NPS 서버 그룹을 만듭니다.

   1. do기본 컨트롤러에서 Active Directory 사용자 및 컴퓨터 엽니다.

   2. 기본 아래에서 컴퓨터를 마우스 오른쪽 단추로 클릭합니다. 새로 만들기를 선택한 다음, 그룹을 선택합니다.

   3. 그룹 이름에 NPS 서버를 입력한 다음 확인을 선택합니다.

   4. NPS 서버를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

   5. NPS 서버 속성 대화 상자의 멤버 탭에서 추가를 선택합니다.

   6. 개체 유형을 선택하고 컴퓨터 검사 상자를 선택한 다음 확인을 선택합니다.

   7. 선택할 개체 이름을 입력하고 NPS 서버의 컴퓨터 이름을 입력합니다. 확인을 선택합니다.

   8. Active Directory 사용자 및 컴퓨터를 닫습니다.

VPN 서버 만들기

1. VPN Server를 실행할 컴퓨터에 Windows Server를 설치합니다. 컴퓨터에 두 개의 물리적 네트워크 어댑터가 설치되어 있는지 확인합니다. 하나는 인터넷에 연결하고 다른 하나는 할 일기본 컨트롤러가 있는 네트워크에 연결하는 것입니다.

2. 인터넷에 연결하는 네트워크 어댑터와 할 일기본 연결하는 네트워크 어댑터를 식별합니다. 공용 IP 주소를 사용하여 인터넷을 향한 네트워크 어댑터를 구성하고, 인트라넷을 향한 어댑터는 로컬 네트워크의 IP 주소를 사용할 수 있습니다.

3. do기본 연결하는 네트워크 어댑터의 경우 DNS 기본 설정 IP 주소를 do기본 컨트롤러의 IP 주소로 설정합니다.

4. VPN 서버를 do기본 조인합니다. 할 일에 서버를 조인하는 방법에 대한 자세한 내용은 할 일에 서버를 조인하려면기본기본.

5. VPN 서버의 공용 인터페이스에 적용된 외부 IP 주소에 UDP 포트 500 및 4500 인바운드를 허용하도록 방화벽 규칙을 엽니다.

6. do기본 연결하는 네트워크 어댑터에서 UDP1812, UDP1813, UDP1645 및 UDP1646 포트를 사용하도록 설정합니다.

7. VPN 서버 그룹을 만듭니다.

   1. do기본 컨트롤러에서 Active Directory 사용자 및 컴퓨터 엽니다.

   2. 기본 아래에서 컴퓨터를 마우스 오른쪽 단추로 클릭합니다. 새로 만들기를 선택한 다음, 그룹을 선택합니다.

   3. 그룹 이름에 VPN 서버를 입력한 다음 확인을 선택합니다.

   4. VPN 서버를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

   5. VPN 서버 속성 대화 상자의 구성원 탭에서 추가를 선택합니다.

   6. 개체 유형을 선택하고 컴퓨터 검사 상자를 선택한 다음 확인을 선택합니다.

   7. 선택할 개체 이름을 입력하고 VPN 서버의 컴퓨터 이름을 입력합니다. 확인을 선택합니다.

   8. Active Directory 사용자 및 컴퓨터를 닫습니다.

8. VPN 서버로 원격 액세스 설치의 단계에 따라 VPN 서버를 설치합니다.

9. 서버 관리자 라우팅 및 원격 액세스 도구를 엽니다.

10. VPN 서버를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

11. 속성에서 보안 탭을 선택한 다음, 다음을 수행합니다.

    1. 인증 공급자를 선택하고 RADIUS 인증을 선택합니다.

    2. 구성을 선택하여 RADIUS 인증 대화 상자를 엽니다.

    3. 추가를 선택하여 RADIUS 서버 추가 대화 상자를 엽니다.

       1. 서버 이름에 NPS 서버의 FQDN(정규화된 Do기본 이름)을 입력합니다. 이 자습서에서 NPS 서버는 do기본 컨트롤러 서버입니다. 예를 들어 NPS 및 do기본 컨트롤러 서버의 NetBIOS 이름이 dc1이고 do기본 이름이 corp.contoso.com 경우 dc1.corp.contoso.com 입력합니다.

       2. 공유 비밀에서 [변경]을 선택하여 [비밀 변경] 대화 상자를 엽니다.

       3. 새 비밀에 텍스트 문자열을 입력합니다.

       4. 새 비밀 확인에서 동일한 텍스트 문자열을 입력한 다음 확인을 선택합니다.

       5. 이 비밀을 저장합니다. 이 자습서의 뒷부분에서 이 VPN 서버를 RADIUS 클라이언트로 추가할 때 필요합니다.

    4. 확인을 선택하여 RADIUS 서버 추가 대화 상자를 닫습니다.

    5. 확인을 선택하여 Radius 인증 대화 상자를 닫습니다.

12. VPN 서버 속성 대화 상자에서 인증 방법을 선택합니다.

13. IKEv2에 대한 컴퓨터 인증서 인증 허용을 선택합니다.

14. 확인을 선택합니다.

15. 회계 공급자의 경우 Windows 회계를 선택합니다.

16. [확인]을 선택하여 [속성] 대화 상자를 닫습니다.

17. 대화 상자에서 서버를 다시 시작하라는 메시지가 표시됩니다. 예를 선택합니다.

VPN Windows 클라이언트 만들기

1. VPN 클라이언트가 될 컴퓨터에 Windows 10 이상을 설치합니다.

2. VPN 클라이언트를 사용자의 할 일기본 조인합니다. 할 일에 컴퓨터를 조인하는 방법에 대한 자세한 내용은 할 일에 컴퓨터를 조인하려면기본기본.

VPN 사용자 및 그룹 만들기

1. 다음 단계를 수행하여 VPN 사용자를 만듭니다.

   1. do기본 컨트롤러에서 Active Directory 사용자 및 컴퓨터 엽니다.

   2. 할 일기본 아래에서 사용자를 마우스 오른쪽 단추로 클릭합니다. 새로 만들기를 선택합니다. 사용자 로그온 이름에 로그온 이름을 입력합니다. 다음을 선택합니다.

   3. 사용자의 암호를 선택합니다.

   4. 선택 취소 사용자는 다음 로그온 시 암호를 변경해야 합니다. 암호 사용 기간 제한 없음을 선택합니다.

   5. 마침을 선택합니다. Active Directory 사용자 및 컴퓨터 열린 상태로 유지합니다.

2. 다음 단계를 수행하여 VPN 사용자 그룹을 만듭니다.

   1. 할 일기본 아래에서 사용자를 마우스 오른쪽 단추로 클릭합니다. 새로 만들기를 선택한 다음, 그룹을 선택합니다.

   2. 그룹 이름에 VPN 사용자를 입력한 다음 확인을 선택합니다.

   3. VPN 사용자를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

   4. VPN 사용자 속성 대화 상자의 구성원 탭에서 추가를 선택합니다.

   5. 사용자 선택 대화 상자에서 만든 VPN 사용자를 추가하고 확인을 선택합니다.

VPN 서버를 RADIUS 클라이언트로 구성

1. NPS 서버에서 방화벽 규칙을 열어 UDP 포트 1812, 1813, 1645 및 1646 인바운드를 허용합니다.

2. NPS 콘솔에서 RADIUS 클라이언트 및 서버를 두 번 클릭합니다.

3. RADIUS 클라이언트를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택하여 새 RADIUS 클라이언트 대화 상자를 엽니다.

4. 이 RADIUS 클라이언트 검사 사용 상자가 선택되어 있는지 확인합니다.

5. 이름에 VPN 서버의 표시 이름을 입력합니다.

6. 주소(IP 또는 DNS)에서 VPN 서버의 IP 주소 또는 FQDN을 입력합니다.

   FQDN을 입력하는 경우 이름이 올바른지 확인하고 유효한 IP 주소에 매핑할지 확인을 선택합니다.

7. 공유 비밀에서:

   1. 수동이 선택되어 있는지 확인합니다.

   2. VPN 서버 만들기 섹션에서 만든 비밀을 입력합니다.

   3. 공유 비밀을 확인하려면 공유 비밀을 다시 입력합니다.

8. 확인을 선택합니다. VPN 서버는 NPS 서버에 구성된 RADIUS 클라이언트 목록에 표시됩니다.

NPS 서버를 RADIUS 서버로 구성

참고 항목

이 자습서에서는 NPS 서버가 CA 역할이 있는 do기본 컨트롤러에 설치되며 별도의 NPS 서버 인증서를 등록할 필요가 없습니다. 그러나 NPS 서버가 별도의 서버에 설치된 환경에서는 이러한 단계를 미리 구성하려면 먼저 NPS 서버 인증서를 등록해야 합니다.

1. NPS 콘솔에서 NPS(로컬)를 선택합니다.

2. 표준 구성에서 전화 접속 또는 VPN 커넥트 RADIUS 서버가 선택되어 있는지 확인합니다.

3. VPN 또는 전화 접속 구성을 선택하여 VPN 구성 또는 전화 접속 마법사를 엽니다.

4. VPN(가상 사설망) 커넥트 선택하고 다음을 선택합니다.

5. 전화 접속 또는 VPN 서버 지정의 RADIUS 클라이언트에서 VPN 서버의 이름을 선택합니다.

6. 다음을 선택합니다.

7. 인증 방법 구성에서 다음 단계를 완료합니다.

   1. Microsoft 암호화 인증 버전 2(MS-CHAPv2)를 지웁니다.

   2. 확장 가능한 인증 프로토콜을 선택합니다.

   3. 형식에 대해 Microsoft: PEAP(보호된 EAP)를 선택합니다. 그런 다음, 구성을 선택하여 보호된 EAP 속성 편집 대화 상자를 엽니다.

   4. 제거를 선택하여 보안 암호(EAP-MSCHAP v2) EAP 유형을 제거합니다.

   5. 추가를 선택합니다. EAP 추가 대화 상자가 열립니다.

   6. 스마트 카드 또는 다른 인증서를 선택한 다음 확인을 선택합니다.

   7. 확인을 선택하여 보호된 EAP 속성 편집을 닫습니다.

8. 다음을 선택합니다.

9. 사용자 그룹 지정에서 다음 단계를 완료합니다.

   1. 추가를 선택합니다. 사용자, 컴퓨터, 서비스 계정 또는 그룹 선택 대화 상자가 열립니다.

   2. VPN 사용자를 입력한 다음 확인을 선택합니다.

   3. 다음을 선택합니다.

10. IP 필터 지정에서 다음을 선택합니다.

11. 암호화 설정 지정에서 다음을 선택합니다. 변경하지 마세요.

12. 영역 이름 지정에서 다음을 선택합니다.

13. 마법사를 닫으려면 마침을 클릭합니다.

다음 단계

이제 인증 기관을 구성할 준비가 된 샘플 인프라를 만들었습니다.

• Always On VPN 배포 자습서: 인증 기관 템플릿 구성

• Always On VPN 문제 해결