Always On VPN 배포

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Windows 10

이 섹션에서는 원격 도메인에 가입된 Windows 10 클라이언트 컴퓨터에 대한 Always On VPN 연결을 배포하는 워크플로에 대해 알아봅니다. VPN 사용자가 리소스에 액세스하는 방법을 미세 조정하도록 조건부 액세스를 구성하려면Azure AD를 사용하여 VPN 연결에 대한 조건부 액세스를참조하세요. Azure AD를 사용한 VPN 연결에 대한 조건부 액세스에 대한 자세한 내용은 Azure Active Directory 조건부 액세스를참조하세요.

다음 다이어그램에서는 Always On VPN을 배포할 때 다양한 시나리오에 대한 워크플로 프로세스를 보여 줍니다.

Flow chart of the Always On VPN deployment workflow

중요

이 배포의 경우 Active Directory Domain Services, Active Directory 인증서 서비스 및 네트워크 정책 서버를 실행하는 컴퓨터와 같은 인프라 서버에서 Windows Server 2016 실행할 필요는 없습니다. Windows Server 2012 R2와 같은 이전 버전의 Windows Server를 인프라 서버 및 원격 액세스를 실행하는 서버에 사용할 수 있습니다.

1단계. Always On VPN 배포 계획

이 단계에서는 Always On VPN 배포를 계획하고 준비하기 시작합니다. VPN 서버로 사용할 컴퓨터에 원격 액세스 서버 역할을 설치하기 전에 적절한 계획을 수립한 후에는 Always On VPN을 배포하고 필요에 따라 Azure AD를 사용하여 VPN 연결에 대한 조건부 액세스를 구성할 수 있습니다.

2단계. Always On VPN 서버 인프라 구성

이 단계에서는 VPN을 지원하는 데 필요한 서버 쪽 구성 요소를 설치하고 구성합니다. 서버 쪽 구성 요소에는 사용자, VPN 서버 및 NPS 서버에서 사용하는 인증서를 배포하도록 PKI를 구성하는 것이 포함됩니다. 또한 VPN 연결에 대한 권한 부여를 수행하도록 IKEv2 연결 및 NPS 서버를 지원하도록 RRAS를 구성합니다.

서버 인프라를 구성하려면 다음 작업을 수행해야 합니다.

  • Active Directory Domain Services 사용하여 구성된 서버에서 다음을 수행합니다. 컴퓨터와 사용자 모두에 대해 그룹 정책 인증서 자동 등록을 사용하도록 설정하고, VPN 사용자 그룹, VPN 서버 그룹 및 NPS 서버 그룹을 만들고, 각 그룹에 구성원을 추가합니다.
  • Active Directory 인증서 서버 CA에서 다음을 수행합니다. 사용자 인증, VPN 서버 인증 및 NPS 서버 인증 인증서 템플릿을 만듭니다.
  • 도메인에 가입된 Windows 10 클라이언트에서: 사용자 인증서를 등록하고 유효성을 검사합니다.

3단계. Always On VPN에 대한 원격 액세스 서버 구성

이 단계에서는 IKEv2 VPN 연결을 허용하도록 원격 액세스 VPN을 구성하고, 다른 VPN 프로토콜에서 연결을 거부하며, IP 주소 발급을 위한 고정 IP 주소 풀을 할당하여 권한 있는 VPN 클라이언트에 연결합니다.

RAS를 구성하려면 다음 작업을 수행해야 합니다.

  • VPN 서버 인증서 등록 및 유효성 검사
  • 원격 액세스 VPN 설치 및 구성

4단계. NPS 서버 설치 및 구성

이 단계에서는 Windows PowerShell 또는 서버 관리자 역할 및 기능 추가 마법사를 사용하여 NPS(네트워크 정책 서버)를 설치합니다. 또한 VPN 서버에서 수신하는 연결 요청에 대한 모든 인증, 권한 부여 및 회계 업무를 처리하도록 NPS를 구성합니다.

NPS를 구성하려면 다음 작업을 수행해야 합니다.

  • Active Directory에 NPS 서버 등록
  • NPS 서버에 대한 RADIUS 계정 구성
  • NPS에서 RADIUS 클라이언트로 VPN 서버 추가
  • NPS에서 네트워크 정책 구성
  • NPS 서버 인증서 자동 등록

5단계. Always On VPN에 대한 DNS 및 방화벽 설정 구성

이 단계에서는 DNS 및 방화벽 설정을 구성합니다. 원격 VPN 클라이언트가 연결되면 내부 클라이언트에서 사용하는 것과 동일한 DNS 서버를 사용하며, 이를 통해 나머지 내부 워크스테이션과 동일한 방식으로 이름을 확인할 수 있습니다.

6단계. Windows 10 클라이언트 Always On VPN 연결 구성

이 단계에서는 VPN 연결을 사용하여 해당 인프라와 통신하도록 Windows 10 클라이언트 컴퓨터를 구성합니다. 여러 기술을 사용하여 Windows PowerShell, Microsoft Endpoint Configuration Manager 및 Intune을 포함하여 Windows 10 VPN 클라이언트를 구성할 수 있습니다. 세 가지 모두 적절한 VPN 설정을 구성하려면 XML VPN 프로필이 필요합니다.

7단계. (선택 사항) VPN 연결에 대한 조건부 액세스 구성

이 선택적 단계에서는 권한 있는 VPN 사용자가 리소스에 액세스하는 방법을 미세 조정할 수 있습니다. VPN 연결에 대한 Azure AD 조건부 액세스를 사용하면 VPN 연결을 보호할 수 있습니다. 조건부 액세스는 Azure AD 연결 애플리케이션에 대한 액세스 규칙을 만들 수 있는 정책 기반 평가 엔진입니다. 자세한 내용은 Azure Active Directory(Azure AD) 조건부 액세스를 참조하세요.

다음 단계

1단계: Always On VPN 배포 계획: VPN 서버로 사용하려는 컴퓨터에 원격 액세스 서버 역할을 설치하기 전에 적절한 계획을 수립한 후에는 Always On VPN을 배포하고 필요에 따라 Azure AD를 사용하여 VPN 연결에 대한 조건부 액세스를 구성할 수 있습니다.