네트워크 잠금 해제

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

네트워크 잠금 해제는 운영 체제 볼륨에 대한 BitLocker 키 보호기 입니다. 네트워크 잠금 해제를 사용하면 유선 회사 네트워크에 연결할 때 시스템 재부팅 시 운영 체제 볼륨의 자동 잠금 해제를 제공하여 도메인 환경의 BitLocker 지원 데스크톱 및 서버를 보다 쉽게 관리할 수 있습니다. 네트워크 잠금 해제를 사용하려면 클라이언트 하드웨어에 UEFI 펌웨어에서 DHCP 드라이버를 구현해야 합니다. 네트워크 잠금 해제가 없으면 보호기로 보호되는 TPM+PIN 운영 체제 볼륨은 디바이스가 최대 절전 모드에서 다시 부팅되거나 다시 시작될 때 PIN을 입력해야 합니다(예: Wake on LAN). 다시 부팅 후 PIN을 요구하면 기업이 무인 데스크톱 및 원격으로 관리되는 서버에 소프트웨어 패치를 롤아웃하기가 어려울 수 있습니다.

네트워크 잠금 해제를 사용하면 사용자 개입 없이 하드웨어 요구 사항을 충족하는 BitLocker 사용 시스템을 TPM+PIN Windows로 부팅할 수 있습니다. 네트워크 잠금 해제는 부팅 시와 비슷한 방식으로 TPM+StartupKey 작동합니다. 그러나 네트워크 잠금 해제 기능은 USB 미디어에서 StartupKey를 읽을 필요 없이 TPM에 저장된 키와 서버로 전송되고 암호 해독되어 보안 세션에서 클라이언트로 반환되는 암호화된 네트워크 키로 구성되어야 합니다.

시스템 요구 사항

네트워크 잠금 해제는 필수 하드웨어 및 소프트웨어 요구 사항을 충족해야 기능이 도메인 가입 시스템의 잠금을 자동으로 해제할 수 있습니다. 이러한 요구 사항은 다음과 같습니다.

• 네트워크 잠금 해제 클라이언트 역할을 할 수 있는 UEFI DHCP 드라이버가 있는 지원되는 운영 체제
• TPM 칩 및 하나 이상의 TPM 보호기를 사용하여 클라이언트 네트워크 잠금 해제
• 지원되는 모든 서버 운영 체제에서 WDS(Windows 배포 서비스) 역할을 실행하는 서버
• 지원되는 모든 서버 운영 체제에 설치된 BitLocker 네트워크 잠금 해제 선택적 기능
• WDS 서버와 분리된 DHCP 서버
• 제대로 구성된 퍼블릭/프라이빗 키 페어링
• 네트워크 잠금 해제 그룹 정책 설정 구성
• 클라이언트 디바이스의 UEFI 펌웨어에서 사용하도록 설정된 네트워크 스택

중요

UEFI 내에서 DHCP를 지원하려면 UEFI 기반 시스템이 기본 모드여야 하며 CSM(호환성 지원 모듈)을 사용하도록 설정하면 안 됩니다.

네트워크 잠금 해제가 안정적으로 작동하려면 디바이스의 첫 번째 네트워크 어댑터(일반적으로 온보드 어댑터)가 DHCP를 지원하도록 구성되어야 합니다. 이 첫 번째 네트워크 어댑터는 네트워크 잠금 해제에 사용해야 합니다. 이 구성은 디바이스에 여러 어댑터가 있고 일부 어댑터가 DHCP 없이 구성된 경우(예: 광원 관리 프로토콜과 함께 사용하기 위해) 특히 주목할 가치가 있습니다. 네트워크 잠금 해제는 어떤 이유로든 DHCP 포트 오류가 발생한 어댑터에 도달하면 어댑터 열거를 중지하기 때문에 이 구성이 필요합니다. 따라서 첫 번째 열거형 어댑터가 DHCP를 지원하지 않거나, 네트워크에 연결되어 있지 않거나, 어떤 이유로든 DHCP 포트의 가용성을 보고하지 못하면 네트워크 잠금 해제가 실패합니다.

네트워크 잠금 해제 서버 구성 요소는 지원되는 버전의 Windows Server에 서버 관리자 또는 Windows PowerShell cmdlet을 사용하는 Windows 기능으로 설치됩니다. 기능 이름은 BitLocker Network Unlock 서버 관리자 PowerShell BitLocker-NetworkUnlock 에 있습니다.

네트워크 잠금 해제를 사용하려면 기능이 활용되는 환경에서 WDS(Windows 배포 서비스)가 필요합니다. WDS 설치 구성은 필요하지 않습니다. 그러나 WDS 서비스는 서버에서 실행 중이어야 합니다.

네트워크 키는 AES 256 세션 키와 함께 시스템 드라이브에 저장되고 서버 인증서 잠금 해제의 2048비트 RSA 공개 키로 암호화됩니다. 네트워크 키는 WDS를 실행하는 지원되는 버전의 Windows Server에서 공급자의 도움으로 암호가 해독되고 해당 세션 키로 암호화된 상태로 반환됩니다.

네트워크 잠금 해제 시퀀스

Windows 부팅 관리자가 네트워크 잠금 해제 보호기의 존재를 감지하면 잠금 해제 시퀀스가 클라이언트 쪽에서 시작됩니다. UEFI의 DHCP 드라이버를 사용하여 IPv4에 대한 IP 주소를 가져온 다음, 서버의 네트워크 잠금 해제 인증서로 암호화된 회신에 대한 네트워크 키와 세션 키가 포함된 공급업체별 DHCP 요청을 브로드캐스트합니다. 지원되는 WDS 서버의 네트워크 잠금 해제 공급자는 공급업체별 요청을 인식하고, RSA 프라이빗 키로 암호를 해독하고, 자체 공급업체별 DHCP 회신을 통해 세션 키로 암호화된 네트워크 키를 반환합니다.

서버 쪽에서 WDS 서버 역할에는 들어오는 네트워크 잠금 해제 요청을 처리하는 PXE 공급자와 같은 선택적 플러그 인 구성 요소가 있습니다. 서브넷 제한으로 공급자를 구성할 수도 있습니다. 이 경우 네트워크 잠금 해제 요청에서 클라이언트가 제공한 IP 주소가 클라이언트에 네트워크 키를 해제하도록 허용된 서브넷에 속해야 합니다. 네트워크 잠금 해제 공급자를 사용할 수 없는 경우 BitLocker는 사용 가능한 다음 보호기로 장애 조치하여 드라이브의 잠금을 해제합니다. 일반적인 구성에서는 드라이브의 잠금을 해제하기 위해 표준 TPM+PIN 잠금 해제 화면이 표시됩니다.

네트워크 잠금 해제를 사용하도록 설정하는 서버 쪽 구성에는 X.509 인증서 형식으로 2048비트 RSA 퍼블릭/프라이빗 키 쌍을 프로비전하고 퍼블릭 키 인증서를 클라이언트에 배포해야 합니다. 이 인증서는 중간 네트워크 키(드라이브 잠금 해제에 필요한 두 가지 비밀 중 하나이고 다른 비밀은 TPM에 저장됨)를 암호화하는 공개 키이며 그룹 정책 통해 관리 및 배포해야 합니다.

네트워크 잠금 해제 프로세스는 다음 단계를 따릅니다.

1. Windows 부팅 관리자가 BitLocker 구성에서 네트워크 잠금 해제 보호기를 검색합니다.
2. 클라이언트 컴퓨터는 UEFI의 DHCP 드라이버를 사용하여 유효한 IPv4 IP 주소를 가져옵니다.
3. 클라이언트 컴퓨터는 회신에 대한 네트워크 키(256비트 중간 키) 및 AES-256 세션 키가 포함된 공급업체별 DHCP 요청을 브로드캐스트합니다. 네트워크 키는 WDS 서버에서 네트워크 잠금 해제 인증서의 2048비트 RSA 공개 키를 사용하여 암호화됩니다.
4. WDS 서버의 네트워크 잠금 해제 공급자가 공급업체별 요청을 인식합니다.
5. 공급자는 WDS 서버의 BitLocker 네트워크 잠금 해제 인증서 RSA 프라이빗 키를 사용하여 요청을 해독합니다.
6. WDS 공급자는 클라이언트 컴퓨터에 대한 자체 공급업체별 DHCP 회신을 사용하여 세션 키로 암호화된 네트워크 키를 반환합니다. 이 키는 중간 키입니다.
7. 반환된 중간 키는 다른 로컬 256비트 중간 키와 결합됩니다. 이 키는 TPM에서만 암호 해독할 수 있습니다.
8. 이 결합 키는 볼륨 잠금을 해제하는 AES-256 키를 만드는 데 사용됩니다.
9. Windows에서 부팅 시퀀스를 계속합니다.

네트워크 잠금 해제 구성

다음 단계를 통해 관리자는 Active Directory 도메인에서 네트워크 잠금 해제를 구성할 수 있습니다.

WDS 서버 역할 설치

BitLocker 네트워크 잠금 해제 기능은 아직 설치되지 않은 경우 WDS 역할을 설치합니다. WDS는 BitLocker 네트워크 잠금 해제가 설치되기 전에 서버 관리자 또는 PowerShell을 사용하여 별도로 설치할 수 있습니다. 서버 관리자 사용하여 역할을 설치하려면 서버 관리자Windows 배포 서비스 역할을 선택합니다.

PowerShell을 사용하여 역할을 설치하려면 다음 명령을 사용합니다.

Install-WindowsFeature WDS-Deployment

WDS 서버는 DHCP(및 선택적으로 AD DS) 및 클라이언트 컴퓨터와 통신할 수 있도록 구성해야 합니다. WDS 서버는 Windows 배포 서비스 구성 마법사를 시작하는 WDS 관리 도구 wdsmgmt.msc를 사용하여 구성할 수 있습니다.

WDS 서비스가 실행 중인지 확인

WDS 서비스가 실행 중인지 확인하려면 서비스 관리 콘솔 또는 PowerShell을 사용합니다. 서비스가 서비스 관리 콘솔에서 실행 중인지 확인하려면 를 사용하여 services.msc 콘솔을 열고 Windows Deployment Services 서비스의 상태 검사.

서비스가 PowerShell을 사용하여 실행 중인지 확인하려면 다음 명령을 사용합니다.

Get-Service WDSServer

네트워크 잠금 해제 기능 설치

네트워크 잠금 해제 기능을 설치하려면 서버 관리자 또는 PowerShell을 사용합니다. 서버 관리자 사용하여 기능을 설치하려면 서버 관리자 콘솔에서 BitLocker 네트워크 잠금 해제 기능을 선택합니다.

PowerShell을 사용하여 기능을 설치하려면 다음 명령을 사용합니다.

Install-WindowsFeature BitLocker-NetworkUnlock

네트워크 잠금 해제에 대한 인증서 템플릿 만들기

올바르게 구성된 Active Directory 인증 기관은 이 인증서 템플릿을 사용하여 네트워크 잠금 해제 인증서를 만들고 발급할 수 있습니다.

1. 인증서 템플릿 스냅인 열기(certtmpl.msc)

2. 사용자 템플릿을 찾아 템플릿 이름을 마우스 오른쪽 단추로 클릭하고 템플릿 복제를 선택합니다.

3. 호환성 탭에서 인증 기관 및 인증서 받는 사람 필드를 각각 Windows Server 2016 및 Windows 10 변경합니다. 결과 변경 내용 표시 대화 상자가 선택되어 있는지 확인합니다.

4. 템플릿의 일반 탭을 선택합니다. 템플릿 표시 이름 및 템플릿 이름은 템플릿이 네트워크 잠금 해제에 사용될 것임을 식별해야 합니다. Active Directory에서 인증서 게시 옵션의 검사 상자 지우기

5. 요청 처리 탭을 선택합니다. 목적 드롭다운 메뉴에서 암호화를 선택합니다. 프라이빗 키를 내보낼 수 있도록 허용 옵션이 선택되어 있는지 확인합니다.

6. 암호화 탭 을 선택합니다. 최소 키 크기를 2048로 설정합니다. RSA를 지원하는 모든 Microsoft 암호화 공급자는 이 템플릿에 사용할 수 있지만 단순하고 앞으로 호환성을 위해 Microsoft 소프트웨어 키 스토리지 공급자를 사용하는 것이 좋습니다.

7. 요청에서 다음 공급자 옵션 중 하나를 사용해야 함 옵션을 선택하고 선택한 암호화 공급자를 제외한 모든 옵션(예: Microsoft 소프트웨어 키 스토리지 공급자)을 선택 취소합니다.

8. 주체 이름 탭을 선택합니다. 요청에서 공급 을 선택합니다. 인증서 템플릿 팝업 대화 상자가 나타나면 확인을 선택합니다.

9. 발급 요구 사항 탭을 선택합니다. CA 인증서 관리자 승인 및 유효한 기존 인증서 옵션 선택

10. 확장 탭을 선택합니다. 애플리케이션 정책을 선택하고 편집...을 선택합니다.

11. 애플리케이션 정책 확장 옵션 편집 대화 상자에서 클라이언트 인증, 파일 시스템 암호화및 보안 Email 선택하고 제거를 선택합니다.

12. 애플리케이션 정책 확장 편집 대화 상자에서 추가를 선택합니다.

13. 애플리케이션 정책 추가 대화 상자에서 새로 만들기를 선택합니다. 새 애플리케이션 정책 대화 상자에서 제공된 공간에 다음 정보를 입력한 다음 확인을 선택하여 BitLocker 네트워크 잠금 해제 애플리케이션 정책을 만듭니다.

    • 이름:BitLocker 네트워크 잠금 해제
    • 개체 식별자:1.3.6.1.4.1.311.67.1.1

14. 새로 만든 BitLocker 네트워크 잠금 해제 애플리케이션 정책을 선택하고 확인을 선택합니다.

15. 확장 탭 이 계속 열려 있는 상태에서 키 사용 확장 편집 대화 상자를 선택합니다. 키 암호화(키 암호화)를 사용하여 키 교환만 허용 옵션을 선택합니다. 이 확장을 중요하게 만들기 옵션을 선택합니다.

16. 보안 탭을 선택합니다. 도메인 관리자 그룹에 등록 권한이 부여되었는지 확인합니다.

17. 확인을 선택하여 템플릿 구성을 완료합니다.

네트워크 잠금 해제 템플릿을 인증 기관에 추가하려면 인증 기관 스냅인(certsrv.msc)을 엽니다. 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 새로 만들기, 인증서 템플릿을 선택하여 발급합니다. 이전에 만든 BitLocker 네트워크 잠금 해제 인증서를 선택합니다.

네트워크 잠금 해제 템플릿이 인증 기관에 추가되면 이 인증서를 사용하여 BitLocker 네트워크 잠금 해제를 구성할 수 있습니다.

네트워크 잠금 해제 인증서 만들기

네트워크 잠금 해제는 기존 PKI(공개 키 인프라)에서 가져온 인증서를 사용할 수 있습니다. 또는 자체 서명된 인증서를 사용할 수 있습니다.

기존 인증 기관에서 인증서를 등록하려면 다음을 수행합니다.

1. WDS 서버에서 를 사용하여 인증서 관리자를 엽니다. certmgr.msc
2. 인증서 - 현재 사용자 아래에서 개인을 마우스 오른쪽 단추로 클릭합니다.
3. 모든 작업>요청 새 인증서 선택
4. 인증서 등록 마법사가 열리면 다음을 선택합니다.
5. Active Directory 등록 정책 선택
6. 도메인 컨트롤러에서 네트워크 잠금 해제를 위해 만든 인증서 템플릿을 선택합니다. 그런 다음 등록을 선택합니다.
7. 자세한 내용을 묻는 메시지가 표시되면 주체 이름을 선택하고 친숙한 이름 값을 제공합니다. 식별 이름에는 인증서의 도메인 또는 조직 구성 단위에 대한 정보가 포함되어야 합니다. 예: Contoso 도메인에 대한 BitLocker 네트워크 잠금 해제 인증서
8. 인증서를 만듭니다. 인증서가 개인 폴더에 표시되는지 확인합니다.
9. 네트워크 잠금 해제에 대한 공개 키 인증서 내보내기:
   1. .cer 이전에 만든 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 다음 내보내기를 선택하여 파일을 만듭니다.
   2. 아니요, 프라이빗 키를 내보내지 않음을 선택합니다.
   3. DER 인코딩된 이진 X.509를 선택하고 인증서를 파일로 내보내기를 완료합니다.
   4. 파일 이름(예: BitLocker-NetworkUnlock.cer)을 지정합니다.
10. 네트워크 잠금 해제에 대한 프라이빗 키를 사용하여 공개 키 내보내기
    1. .pfx 이전에 만든 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 다음 내보내기를 선택하여 파일을 만듭니다.
    2. 예를 선택하고 프라이빗 키를 내보냅니다.
    3. 파일을 만드는 단계를 완료합니다..pfx

자체 서명된 인증서를 만들려면 Windows PowerShell cmdlet을 사용 New-SelfSignedCertificate 하거나 를 사용합니다certreq.exe. 예시:

PowerShell

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

certreq.exe

1. 확장자를 사용하여 .inf 텍스트 파일을 만듭니다. 예를 들면 다음과 같습니다.

   notepad.exe BitLocker-NetworkUnlock.inf
   

2. 이전에 만든 파일에 다음 내용을 추가합니다.

   [NewRequest]
   Subject="CN=BitLocker Network Unlock certificate"
   ProviderType=0
   MachineKeySet=True
   Exportable=true
   RequestType=Cert
   KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
   KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
   KeyLength=2048
   SMIME=FALSE
   HashAlgorithm=sha512
   [Extensions]
   1.3.6.1.4.1.311.21.10 = "{text}"
   _continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
   2.5.29.37 = "{text}"
   _continue_ = "1.3.6.1.4.1.311.67.1.1"
   

3. 관리자 권한 명령 프롬프트를 열고 도구를 사용하여 certreq.exe 새 인증서를 만듭니다. 파일 이름과 함께 이전에 만든 파일의 전체 경로를 지정하여 다음 명령을 사용합니다.

   certreq.exe -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
   

4. 파일이 있는지 확인하여 이전 명령에서 인증서가 제대로 만들어졌는지 .cer 확인합니다.

5. 를 실행하여 인증서 - 로컬 컴퓨터 콘솔 시작 certlm.msc

6. .pfx 아래 단계에 따라 인증서 - 로컬 컴퓨터 콘솔에 따라 파일을 만듭니다.

   1. 인증서 - 로컬 컴퓨터>개인>인증서로 이동합니다.
   2. 이전에 가져온 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 선택한 다음 내보내기를 선택합니다.
   3. 마법사를 따라 파일을 만듭니다 .pfx .

WDS 서버에 프라이빗 키 및 인증서 배포

인증서 및 키를 만든 후 인프라에 배포하여 시스템의 잠금을 제대로 해제합니다. 인증서를 배포하려면 다음을 수행합니다.

1. WDS 서버에서 를 실행하여 인증서 - 로컬 컴퓨터 콘솔을 시작합니다. certlm.msc
2. 인증서(로컬 컴퓨터)에서 BitLocker 드라이브 암호화 네트워크 잠금 해제 항목을 마우스 오른쪽 단추로 클릭하고 모든 작업을선택한 다음 가져오기를 선택합니다.
3. 가져올 파일 대화 상자에서 이전에 만든 파일을 선택합니다.pfx.
4. 마법사를 만들고 .pfx 완료하는 데 사용되는 암호를 입력합니다.

네트워크 잠금 해제에 대한 그룹 정책 설정 구성

네트워크 잠금 해제를 위해 WDS 서버에 배포된 인증서 및 키를 사용하는 마지막 단계는 그룹 정책 설정을 사용하여 네트워크 잠금 해제 키를 사용하여 잠금을 해제할 원하는 컴퓨터에 공개 키 인증서를 배포하는 것입니다. BitLocker에 대한 그룹 정책 설정은 로컬 그룹 정책 편집기 또는 Microsoft 관리 콘솔을 사용하여 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화에서 찾을 수 있습니다.

다음 단계에서는 네트워크 잠금 해제를 구성하기 위한 요구 사항인 그룹 정책 설정을 사용하도록 설정하는 방법을 설명합니다.

1. 그룹 정책 관리 콘솔 열기(gpmc.msc)
2. 정책 시작 시 추가 인증 필요를 사용하도록 설정한 다음 TPM을 사용하여 시작 PIN 필요 또는 TPM으로시작 PIN 허용을 선택합니다.
3. 모든 도메인에 가입된 컴퓨터에서 TPM+PIN 보호기를 사용하여 BitLocker 켜기

다음 단계에서는 필요한 그룹 정책 설정을 배포하는 방법을 설명합니다.

1. .cer 네트워크 잠금 해제를 위해 만든 파일을 도메인 컨트롤러에 복사합니다.

2. 도메인 컨트롤러에서 그룹 정책 관리 콘솔(gpmc.msc)을 엽니다.

3. 새 그룹 정책 개체를 만들거나 기존 개체를 수정하여 시작 시 네트워크 잠금 해제 허용 설정을 사용하도록 설정합니다.

4. 클라이언트에 공용 인증서를 배포합니다.

   1. 그룹 정책 관리 콘솔 내에서 다음 위치로 이동합니다.

      컴퓨터 구성>정책>Windows 설정>보안 설정>공개 키 정책>BitLocker 드라이브 암호화 네트워크 잠금 해제 인증서.

   2. 폴더를 마우스 오른쪽 단추로 클릭하고 네트워크 잠금 해제 인증서 추가를 선택합니다.

   3. 마법사 단계를 수행하고 이전에 복사한 파일을 가져옵니다 .cer .

   참고

   한 번에 하나의 네트워크 잠금 해제 인증서만 사용할 수 있습니다. 새 인증서가 필요한 경우 새 인증서를 배포하기 전에 현재 인증서를 삭제합니다. 네트워크 잠금 해제 인증서는 클라이언트 컴퓨터의 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP 레지스트리 키 아래에 있습니다.

5. 그룹 정책 배포된 후 클라이언트 다시 부팅

   참고

   네트워크(인증서 기반) 보호기는 정책을 사용하도록 설정하고 FVE_NKP 저장소에 유효한 인증서를 사용하여 다시 부팅한 후에만 추가됩니다.

WDS 서버의 서브넷 정책 구성 파일(선택 사항)

기본적으로 올바른 네트워크 잠금 해제 인증서와 DHCP를 통한 네트워크 잠금 해제 사용 WDS 서버에 대한 유선 액세스 권한이 있는 유효한 네트워크 잠금 해제 보호기가 있는 모든 클라이언트는 서버에서 잠금 해제됩니다. WDS 서버의 서브넷 정책 구성 파일을 만들어 네트워크 잠금 해제 클라이언트가 잠금 해제하는 데 사용할 수 있는 서브넷을 제한할 수 있습니다.

라는 bde-network-unlock.ini구성 파일은 네트워크 잠금 해제 공급자 DLL(%windir%\System32\Nkpprov.dll)과 동일한 디렉터리에 있어야 하며 IPv6 및 IPv4 DHCP 구현 모두에 적용됩니다. 서브넷 구성 정책이 손상되면 공급자가 실패하고 요청에 대한 응답을 중지합니다.

서브넷 정책 구성 파일은 섹션을 [SUBNETS] 사용하여 특정 서브넷을 식별해야 합니다. 그런 다음 명명된 서브넷을 사용하여 인증서 하위 섹션에서 제한을 지정할 수 있습니다. 서브넷은 일반 INI 형식으로 간단한 이름-값 쌍으로 정의됩니다. 여기서 각 서브넷에는 등호 왼쪽에 이름이 있는 고유한 줄이 있고, CIDR(Classless Inter-Domain Routing) 주소 또는 범위로 등호 오른쪽에 식별된 서브넷이 있습니다. 키 단어 ENABLED 는 서브넷 이름에 대해 허용되지 않습니다.

[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

섹션 다음에 [SUBNETS] 는 각 네트워크 잠금 해제 인증서에 대한 섹션이 있을 수 있으며, 공백 없이 서식이 지정된 인증서 지문으로 식별되어 해당 인증서에서 잠금 해제할 수 있는 서브넷 클라이언트를 정의할 수 있습니다.

참고

인증서 지문을 지정할 때 공백을 포함하지 마세요. 지문에 공백이 포함된 경우 지문이 유효한 것으로 인식되지 않으므로 서브넷 구성이 실패합니다.

서브넷 제한은 허용되는 서브넷 목록을 표시하여 각 인증서 섹션 내에 정의됩니다. 인증서 섹션에 서브넷이 나열되면 해당 인증서에 대해 해당 서브넷만 허용됩니다. 인증서 섹션에 나열된 서브넷이 없으면 해당 인증서에 대해 모든 서브넷이 허용됩니다. 인증서에 서브넷 정책 구성 파일에 섹션이 없는 경우 해당 인증서를 사용하여 잠금 해제에 대한 서브넷 제한이 적용되지 않습니다. 모든 인증서에 제한이 적용되려면 서버의 모든 네트워크 잠금 해제 인증서에 대한 인증서 섹션과 각 인증서 섹션에 대해 명시적으로 허용된 목록이 있어야 합니다.

서브넷 목록은 섹션의 서브넷 [SUBNETS] 이름을 인증서 섹션 헤더 아래에 있는 자체 줄에 배치하여 만듭니다. 그런 다음 서버는 목록의 로 지정된 서브넷에서 이 인증서를 사용하여 클라이언트의 잠금을 해제합니다. 문제 해결을 위해 서브넷은 앞에 추가된 세미콜론으로 주석 처리하여 섹션에서 삭제하지 않고 신속하게 제외할 수 있습니다.

[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

인증서 사용을 모두 허용하지 않려면 서브넷 목록에 줄을 추가 DISABLED 합니다.

네트워크 잠금 해제

잠금 해제 서버를 해제하려면 PXE 공급자를 WDS 서버에서 등록 취소하거나 완전히 제거할 수 있습니다. 그러나 클라이언트가 네트워크 잠금 해제 보호기를 만들지 못하도록 하려면 시작 그룹에서 네트워크 잠금 해제 허용 정책 설정을 사용하지 않도록 설정해야 합니다. 이 정책 설정이 클라이언트 컴퓨터에서 사용하지 않도록 업데이트되면 컴퓨터의 네트워크 잠금 해제 키 보호기가 삭제됩니다. 또는 전체 도메인에 대해 동일한 작업을 수행하기 위해 도메인 컨트롤러에서 BitLocker 네트워크 잠금 해제 인증서 정책을 삭제할 수 있습니다.

참고

WDS 서버에서 네트워크 잠금 해제 인증서 및 키가 포함된 FVE_NKP 인증서 저장소를 제거하면 해당 인증서에 대한 잠금 해제 요청에 응답하는 서버의 기능도 효과적으로 비활성화됩니다. 그러나 이는 오류 조건으로 간주되며 네트워크 잠금 해제 서버를 해제하기 위한 지원되거나 권장되는 방법이 아닙니다.

네트워크 잠금 해제 인증서 업데이트

네트워크 잠금 해제에서 사용하는 인증서를 업데이트하려면 관리자가 서버에 대한 새 인증서를 가져오거나 생성한 다음 도메인 컨트롤러에서 네트워크 잠금 해제 인증서 그룹 정책 설정을 업데이트해야 합니다.

참고

그룹 정책 설정을 받지 못하는 서버에는 부팅 시 PIN이 필요합니다. 이러한 경우 서버가 인증서를 업데이트하기 위해 GPO를 받지 못하는 이유를 알아보세요.

네트워크 잠금 해제 문제 해결

네트워크 잠금 해제 문제 해결은 환경을 확인하는 것으로 시작합니다. 여러 번 작은 구성 문제가 실패의 근본 원인이 될 수 있습니다. 확인할 항목은 다음과 같습니다.

• 클라이언트 하드웨어가 UEFI 기반이고 펌웨어 버전 2.3.1에 있고 UEFI 펌웨어가 BIOS 모드용 CSM(호환성 지원 모듈)이 활성화되지 않은 기본 모드인지 확인합니다. 펌웨어에 "레거시 모드" 또는 "호환성 모드"와 같은 옵션을 사용할 수 없거나 펌웨어가 BIOS와 유사한 모드로 표시되지 않는지 확인하여 확인할 수 있습니다.

• 모든 필수 역할 및 서비스가 설치 및 시작됩니다.

• 퍼블릭 및 프라이빗 인증서가 게시되었으며 적절한 인증서 컨테이너에 있습니다. 네트워크 잠금 해제 인증서의 존재는 WDS 서버의 Microsoft 관리 콘솔(MMC.exe)에서 로컬 컴퓨터에 대한 인증서 스냅인을 사용하도록 설정하여 확인할 수 있습니다. 클라이언트 컴퓨터에서 레지스트리 키를 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP 확인하여 클라이언트 인증서를 확인할 수 있습니다.

• 네트워크 잠금 해제에 대한 그룹 정책이 사용하도록 설정되고 적절한 도메인에 연결됨

• 그룹 정책이 클라이언트에 제대로 도달하고 있는지 확인합니다. 그룹 정책 확인은 또는 RSOP.msc 유틸리티를 GPRESULT.exe 사용하여 수행할 수 있습니다.

• 정책을 적용한 후 클라이언트가 다시 부팅되었는지 확인합니다.

• 네트워크(인증서 기반) 보호기가 클라이언트에 나열되어 있는지 확인합니다. protector 확인은 manage-bde 또는 Windows PowerShell cmdlet을 사용하여 수행할 수 있습니다. 예를 들어 다음 명령은 로컬 컴퓨터의 C: 드라이브에 현재 구성된 키 보호기를 나열합니다.

  manage-bde.exe -protectors -get C:
  

  참고

  WDS 디버그 로그와 함께 의 manage-bde.exe 출력을 사용하여 네트워크 잠금 해제에 적절한 인증서 지문이 사용되고 있는지 여부를 확인합니다.

다음 파일을 수집하여 BitLocker 네트워크 잠금 해제 문제를 해결합니다.

• Windows 이벤트 로그입니다. 특히 BitLocker 이벤트 로그 및 로그를 Microsoft-Windows-Deployment-Services-Diagnostics-Debug 가져옵니다.

  디버그 로깅은 기본적으로 WDS 서버 역할에 대해 꺼져 있습니다. WDS 디버그 로그를 검색하려면 먼저 WDS 디버그 로그를 사용하도록 설정해야 합니다. 다음 두 가지 방법 중 하나를 사용하여 WDS 디버그 로깅을 켭니다.

  • 관리자 권한 명령 프롬프트를 시작한 다음, 다음 명령을 실행합니다.

    wevtutil.exe sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
    

  • WDS 서버에서 이벤트 뷰어 엽니다.

    1. 왼쪽 창에서 애플리케이션 및 서비스 로그>Microsoft>Windows>Deployment-Services-Diagnostics디버그로 > 이동합니다.
    2. 오른쪽 창에서 로그 사용을 선택합니다.

• DHCP 서브넷 구성 파일(있는 경우)

• BitLocker의 출력은 볼륨에 상태. 를 사용하여 manage-bde.exe -status이 출력을 텍스트 파일에 수집합니다. 또는 Windows PowerShellGet-BitLockerVolume

• 클라이언트 IP 주소로 필터링된 WDS 역할을 호스트하는 서버의 네트워크 모니터 캡처