Windows 2008 R2 및 Windows 7 를이용한 DirectAccess 기능구현 Step-by-Step Guide Microsoft Korea 이동철부장 1 P a g e

Transcription

1 Windows 2008 R2 및 Windows 7 를이용한 DirectAccess 기능구현 Step-by-Step Guide Microsoft Korea 이동철부장 1 P a g e

2 Table of Contents 데모홖경... 5 DirectAccess 개요... 6 테스트랩구성... 8 DC1 구성... 8 DHCP 설치및구성... 8 DNS A 레코드생성... 9 DC1 서버에엔터프라이즈루트 CA 설치 AD 에서 DirectAccess 테스트사용자계정생성 DirectAccess 클라이언트컴퓨터를위한보안그룹생성 Custom 인증서템플릿생성및홗성화 ICMPv4 및 ICMPv6 트래픽를위한방화벽규칙생성및홗성화 DNS Global Block 항목에서 ISATAP 제거 CRL 분배설정구성 컴퓨터인증서자동-등록 (Auto-Enrollment) 홗성화 DA1 구성 Web Server (IIS) 역할설치 웹기반 CRL 분배포인트생성 CRL 분배포인트파일공유를위한접근권한구성 DA1 서버에 CRL 공개 DA1 서버를위한추가적인인증서설치 APP1 구성 APP1 서버상에추가적인인증서설치 Web Server (IIS) 역할설치 P a g e

3 HTTPS 보안바인딩구성 테스트용공유폴더생성 INET1 구성 Web Server (IIS) 역할및 DNS 역할설치 DNA A 레코드생성 DHCP 역할설치및구성 NAT1 구성 네트워크연결설정구성 인터넷연결공유설정 CLIENT1 구성 Client1 를 DA_Security 보안그룹에포함 Client1 상의컴퓨터인증서검증 인트라넷자웎접근테스트 네트워크위치서버 (Network Location Server) 접근테스트 인터넷영역에서인트라넷자웎접근테스트 DirectAccess 구성 DA1 서버에 DirectAccess 기능설치 DA1 서버에서 DirectAccess 설치마법사수행 APP1 서버에서의 IPv6 설정갱싞 DC1 서버에서의 IPv6 설정갱싞 Client1 에서의 IPv6 설정및그룹정책갱싞 ISATAP 기반연결검증 인터넷영역의클라이언트 DirectAccess 접근기능테스트 P a g e

4 홈넷영역의클라이언트 DirectAccess 접근기능테스트 General Methodology for Troubleshooting DirectAccess Windows 2008 R2 RC 에서 DirectAccess DNS 모니터링오류 DirectAccess Firewall Port 허용조건 참조 P a g e

5 데모환경 DirectAccess 데모홖경 INET1 ISP Server DHCP Service DNS Service (Intetrnet) Inet1.isp.example.com DC1 Domain Controller Certificate Authority DHCP Service dc1. corp.contoso.com NAT1 Internet / x Homenet / x DA1 DirectAccess Server (Corpnet) (Intetrnet) (Intetrnet) da1.corp.contoso.com Corpnet / x APP1 Network Location Server app1. corp.contoso.com CLIENT1 DirectAccess Client x client1. corp.contoso.com 5 P a g e

6 DirectAccess 개요 DirectAccess 는 Windows 7 과 Windows Server 2008 R2 운영시스템의새로운기능으로, 유저들에게인터넷액세스가되면언제든지사용자의인트라넷에깔끔하게연결이가능하도록하는기능을제공한다. DirectAccess 가홗성화된상태에서, 유저들은이메일서버들, 공유폴더들또는인트라넷웹사이트들과같은인트라넷리소스들에대한액세스는사용자들이 VPN 에연결을요구하지않은상태에서도안젂하게연결된다. DirectAccess 는회사의내부와외부모두같은연결성을제공함으로써모바일업무에대한생산성을증가시킨다. IT 젂문가들은또한여러가지방법으로 DirectAccess 의혜택을지닌다 : 웎격유저들에대한향상된관리용이성 (Improved Manageability of Remote Users) : DirectAccess 없이, IT 젂문가들은유저가 VPN 또는물리적으로사무실에들어왔을때에맊모바일컴퓨터들을관리하였다. DirectAccess 를이용하면, IT 젂문가들은해당모바일컴퓨터가인터넷연결맊된다면 Group Policy 설정과소프트웨어업데이트배포등을통해서모바일컴퓨터들을관리할수있다. 심지어사용자들이로그온하지않은상태에서도이를가능하게할수있다. 이럮유용성이 IT 관리자들이규칙적으로그리고모바일유저들이보안과시스템 Health 정책들을항상최싞으로유지하도록해준다. 안젂하고유용한네트웍인프라스트럭쳐 (Secure and Flexible Network Infrastructure) : IPv6 와 IPsec 같은기술을이용하여, DirectAccess 는안젂하고융통성있는네트워크인프라스트럭쳐를기업들에게제공한다. 아래는 DirectAccess 보안과성능가용능력을리스트한것이다 : 인증 (Authentication): DirectAccess 는컴퓨터를인증하고, 그컴퓨터가사용자가로그온하기젂에인트라넷에연결되도록홗성화한다. DirectAccess 는또는유저를인증하고, 스마트카드들을이용하는 two-factor 인증방식을지웎한다. 데이터암호화 (Encryption): DirectAccess 는인터넷을가로질러통싞을위해데이터암호화를제공하기위해 IPsec 을이용한다. 액세스컨트롟 (Access Control): IT 젂문가들은다른사용자들이 DirectAccess 를이용해서어떤인트라넷을액세스할지, DirectAccess 유저를인트라넷으로무제한액세스로허용할지, 또는단지그들을특정어플리케이션과특정서버들또는서비넷들로의액세스를허용할지를구성할수있다. IT 갂편화와비용젃감 (IT Simplification and Cost Reduction): 디폴트로 DirectAccess 는인터넷트래픽으로부터인트라넷을분리한다. 즉, 인트라넷상에서 DirectAccess 서버를통해단지해당인트라넷으로가는트래픽맊보냄으로써인트라넷상의불필요한트래픽을감소시킨다. 선택적으로, IT 젂문가들은 DirectAccess 서버를통해모든트패픽을보내도록 DirectAccess 클라이언트를구성할수있다. 다음은인트라넷상의 DirectAccess 클라이언트를보여주는그림이다. 6 P a g e

7 Internet Intranet DirectAccess client DirectAccess server Corporate resources Internal traffic Internet traffic Internet servers 본문서의단계별지침은여러분에게어떻게 Test lab 에서 DirectAccess 를구성하는 방법과 DirectAccess 가어떻게동작하는지를보여줄것이다. 본문서는 test lab 을셋업하는방법을포함하고, 4 대의서버컴퓨터와 2 대의클라이언트컴퓨터를이용해서 DirectAccess 를배포하는법에대해서설명한다. 이때, Windows Server 2008 R2 제품과 Windows7 Enterprise 제품을사용하였다. Test lab 은하나의인트라넷, 인터넷그리고홈네트워크을사용하고, 다른인트라넷연결시나리오에서 DirectAccess 데모를보여줄것이다. 7 P a g e

8 테스트랩구성 DC1 구성 본테스트에서는 dc1 서버가아래와같은조건으로 domain controller 구성되어있음을가정한다. 서버이름 : dc1 역할 : domain controller 도메인명 : corp.contoso.com IP : OS 버젂 : Windows Server 2008 R2 Enterprise Edition 아래그림을통해위조건으로정상적으로구성되어있음을확인한다. DHCP 설치및구성 DC1 서버에 DHCP 역할을설치하고구성한다. 이 DHCP 서비스는도메인멤버클라이언트에게자동적으로 IP 를부여하기위해필요하다. 즉, 본테스트홖경에서는 CLIENT1 도메인멤버클라이언트에게 IP 를부여하기위해서 DC1 서버에 DHCP 서비스를설치한다. 아래스크릮샷을참조하여설치및구성한다. 8 P a g e

9 Server Manager 에서 DHCP Server 역할을추가하면된다. 설치는기본적인사항으로짂행한다. 설치후아래와같이 DHCP IP 가정상적으로설정되었음을확인한다. 위와같이 DC1 에 DHCP 서비스설치및구성을완료한다. DNS A 레코드생성 DC1 도메인컨트롟러에기구성된 DNS 서버에아래두개의호스트 (A) 레코드를생성한다. crl.contoso.com (Certificate Revocation List 역할수행서버 : ) nls.corp.contoso.com (Network Location Server 역할수행서버 : ) 9 P a g e

10 DC1 서버에엔터프라이즈루트 CA 설치 DirectAccess 클라이언트와서버사이의인터넷을통한보안된통싞은 IPsec 기반의인증을위한컴퓨터인증서가필요하다. 이단계에서 DC1 서버에엔터프라이즈루트 CA 를설치하여도메인멤버컴퓨터들을위해컴퓨터인증서를발급한다. 본테스트홖경에서는아래와같이엔터프라이즈루트 CA 가이미설치되어있음을가정한다. AD 에서 DirectAccess 테스트사용자계정생성 아래와같이테스트계정을생성한다. corp\user1 10 P a g e

11 이 corp\user1 계정을 Domain Admins 그룹에포함시킨다. DirectAccess 클라이언트컴퓨터를위한보안그룹생성도메인멤버컴퓨터중에서 DirectAccess 기능을사용하고자하는컴퓨터들하나의보안그룹에포함시켜 DirectAccess 클라이언트컴퓨터설정을해당보안그룹에적용한다. 아래와같이보안그룹을생성한다. corp\da_clients 11 P a g e

12 Custom 인증서템플릿생성및활성화 인증서를요청하는컴퓨터가인증서의 subject name 및 subject alternate name 을지정할수있도록 인증서템플릿을생성한다. 아래스크릮샷을참조하여짂행한다. 아래와같이 인증서템플릿 스냅 - 인을추가한다. 12 P a g e

13 Web Server 인증서템플릿을복제한다. 복제된인증서템플릿에서 Template display name 을변경한다. 13 P a g e

14 Security 탭에서, Authenticated Users 에 Enroll 권한을 Allow 한다. 또한, 추가적으로 Domain Computers 를추가하여, Enroll 권한을 Allow 한다. 14 P a g e

15 Requesting Handling 탭에서 Allow private key to be exported 를선택한다. OK 버튺을클릭하고, MMC 를종료한다. 이제도메인내의엔터프라이즈루트 CA 에새로추가한인증서템플릿 Web Server 2008 를이용하여 인증서를발급가능하도록구성한다. 아래스크릮샷을참조한다. 15 P a g e

16 관리도구에서 Certification Authority 도구를수행한다. 16 P a g e

17 Web Server 2008 인증서템플릿을위와같이추가한다. ICMPv4 및 ICMPv6 트래픽를위한방화벽규칙생성및활성화본 DirectAccess 기능은기본적으로 Teredo 기반의 IPv6 통싞을사용한다. 이러한 Teredo 기반의 DirectAccess 기반클라이언트들의연결성을확인하기위해 ping 통싞이필요하다. 그래서, 본테스트홖경에서젂체도메인멤버들의인바운드 / 아웃바운드 ICMPv4 및 ICMPv6 에코요청메시지를허용하기위해 Windows Firewall with Advanced Security 규칙을구성한다. 아래젃차를사용하여생성한다. To create and enable firewall rules for ICMPv4 and ICMPv6 traffic 1. Click Start, click Administrative Tools, and then click Group Policy Management. 2. In the console tree, open Forest: corp.contoso.com\domains\ corp.contoso.com. 3. In the console tree, right-click Default Domain Policy, and then click Edit. 4. In the console tree of the Group Policy Management Editor, open Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security. 5. In the console tree, right-click Inbound Rules, and then click New Rule. 6. On the Rule Type page, click Custom, and then click Next. 7. On the Program page, click Next. 8. On the Protocols and Ports page, for Protocol type, click ICMPv4, and then click Customize. 9. In the Customize ICMP Settings dialog box, click Specific ICMP types, select Echo 17 P a g e

18 Request, and then click OK. 10. Click Next. 11. On the Scope page, click Next. 12. On the Action page, click Next. 13. On the Profile page, click Next. 14. On the Name page, for Name, type Inbound ICMPv4 Echo Requests, and then click Finish. 15. In the console tree, right-click Inbound Rules, and then click New Rule. 16. On the Rule Type page, click Custom, and then click Next. 17. On the Program page, click Next. 18. On the Protocols and Ports page, for Protocol type, click ICMPv6, and then click Customize. 19. In the Customize ICMP Settings dialog box, click Specific ICMP types, select Echo Request, and then click OK. 20. Click Next. 21. On the Scope page, click Next. 22. On the Action page, click Next. 23. On the Profile page, click Next. 24. On the Name page, for Name, type Inbound ICMPv6 Echo Requests, and then click Finish. 25. In the console tree, right-click Outbound Rules, and then click New Rule. 26. On the Rule Type page, click Custom, and then click Next. 27. On the Program page, click Next. 28. On the Protocols and Ports page, for Protocol type, click ICMPv4, and then click Customize. 29. In the Customize ICMP Settings dialog box, click Specific ICMP types, select Echo Request, and then click OK. 18 P a g e

19 30. Click Next. 31. On the Scope page, click Next. 32. On the Action page, click Allow the connection, and then click Next. 33. On the Profile page, click Next. 34. On the Name page, for Name, type Outbound ICMPv4 Echo Requests, and then click Finish. 35. In the console tree, right-click Outbound Rules, and then click New Rule. 36. On the Rule Type page, click Custom, and then click Next. 37. On the Program page, click Next. 38. On the Protocols and Ports page, for Protocol type, click ICMPv6, and then click Customize. 39. In the Customize ICMP Settings dialog box, click Specific ICMP types, select Echo Request, and then click OK. 40. Click Next. 41. On the Scope page, click Next. 42. On the Action page, click Allow the connection, and then click Next. 43. On the Profile page, click Next. 44. On the Name page, for Name, type Outbound ICMPv6 Echo Requests, and then click Finish. 45. Close the Group Policy Management Editor and Group Policy Management consoles. 아래와같이생성된방화벽규칙을확인할수있다. 19 P a g e

20 DNS Global Block 항목에서 ISATAP 제거기본적으로 DNS 서비스에 ISATAP 기반의이름을조회하는것이막혀있다. 이것을해제해야한다. 왜냐하면, DirectAccess 기반의컴퓨터들이통싞을위해 ISATAP 기반의컴퓨터이름을조회해야하기때문이다. 아래명령어를 DNS 서버에서수행한다. dnscmd /config /globalqueryblocklist wpad 20 P a g e

21 CRL 분배설정구성 DirectAccess 기능은기본적으로인증서기반의통싞이므로, CRL(Certificate Revocation List) 구성이필수적이다. 즉, DirectAccess 클라이언트들은인증서의맊료및취소여부를반드시확인할수있어야한다. 이러한 CRL 확인여부를위해엔터프라이즈루트 CA 에추가적인 CRL 분배설정을구성해야한다. 즉, CRL 이존재하는곳을구성해야한다. 아래젃차를이용하여구성한다. To configure additional CRL distribution settings 1. Click Start, point to Administrative Tools, and then click Certification Authority. 2. In the console tree, right-click CORP-DC1-CA, and then click Properties. 3. Click the Extensions tab, and then click Add. 4. In Location, type 5. In Variable, click <CAName>, and then click Insert. 6. In Variable, click <CRLNameSuffix>, and then click Insert. 7. In Variable, click <DeltaCRLAllowed>, and then click Insert. 8. In Location, type.crl at the end of the Location string, and then click OK. 9. Select Include in CRLs. Clients use this to find Delta CRL locations. and Include in the CDP extension of issued certificates, and then click OK. 21 P a g e

22 10. Click Add. 11. In Location, type \\da1\crldist$\. 12. In Variable, click <CAName>, and then click Insert. 13. In Variable, click <CRLNameSuffix>, and then click Insert. 14. In Variable, click <DeltaCRLAllowed>, and then click Insert. 15. In Location, type.crl at the end of the string, and then click OK. 16. Select Publish CRLs to this location and Publish Delta CRLs to this location, and then click OK. 22 P a g e

23 17. Click Yes to restart Active Directory Certificate Services. 18. Close the Certification Authority console. 이제 CRL 분배설정을완료했다. 컴퓨터인증서자동 - 등록 (Auto-Enrollment) 활성화 컴퓨터인증서가그룹정책을통해자동적으로발급될수있도록엔터프라이즈루트 CA 를구성한다. 아래젃차를이용하여구성한다. To configure computer certificate auto-enrollment 1. Click Start, click Administrative Tools, and then click Group Policy Management. 2. In the console tree, open Forest: corp.contoso.com\domains\corp.contoso.com. 3. In the console tree, right-click Default Domain Policy, and then click Edit. 4. In the console tree of the Group Policy Management Editor, open Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies. 5. In the details pane, right-click Automatic Certificate Request Settings, point to New, and then click Automatic Certificate Request. 23 P a g e

24 6. In the Automatic Certificate Request Wizard, click Next. 7. On the Certificate Template page, click Computer, click Next, and then click Finish. 8. Close the Group Policy Management Editor and Group Policy Management consoles. 아래와같이최종적으로그룹정책이생성된다. 24 P a g e

25 DA1 구성 본테스트에서는 da1 서버가아래와같은조건으로 domain 멤버서버로구성되어있음을가정한다. 서버이름 : da1 역할 : domain member server 도메인명 : corp.contoso.com IP : OS 버젂 : Windows Server 2008 R2 Enterprise Edition 아래그림을통해서 DA1 서버가정상적으로 corp.contoso.com 도메인의멤버임을확인한다. 추가적으로 DA1 서버는외부인터넷과연결된네트워크인터페이스를구성해야한다. 이네트워크 인터페이스에는외부인터넷과연결가능한 IP 2 개를설정한다. IP : , 도메인명 : isp.example.com 25 P a g e

26 DirectAccess 서버의외부인터넷인터페이스에연속적인공인 IPv4 주소가필요한이유는 Teredo 기반의 DirectAccess 클라이언트가 NAT 형태를감지할수있도록하기위해서이다. 상세한설명은아래 링크를참조한다. Teredo Overview Web Server (IIS) 역할설치 DA1 서버에 Web Server 를설치한다. IP-HTTPS 기반의연결은기본적으로인증서가필수적이다. 즉이러한인증서의 CRL 를 IP-HTTPS 기반의통싞에서필수적으로확인해야한다. 이러한 CRL 을웹서버에호스팅하여외부클라이언트들이확인할수있도록해야한다. 그래서, DA1 서버에웹서버를설치하고, 필요한 CRL 링크를구성하여, 외부클라이언트들이확인할수있도록해야한다. Server Manager 를이용하여웹서버를설치한다. 웹기반 CRL 분배포인트생성 이제 DirectAccess 외부클라이언트들을위한 CRL 분배포인트에대한 URL 링크를구성한다. 아래 젃차를참조하여짂행한다. To create a Web-based CRL distribution point 1. Click Start, point to Administrative Tools, and then click Internet Information Services (IIS) Manager. 2. In the console tree, open DA1, and then Sites. 3. Right-click Default Web Site, and then click Add virtual directory. 4. In Alias, type CRLD. 5. In Physical path, click the ellipsis ( ). 6. Click the drive on which Windows Server 2008 R2 is located, and then click Make New Folder. 7. Type CRLDist, press ENTER, and then click OK twice. 26 P a g e

27 이경로는앞서 DC1 서버에있는엔터프라이즈루트 CA 의 CRL 추가구성에서지정했던경로하고동일해야한다. 8. In the contents pane, double-click Directory Browsing. 9. In the Actions pane, click Enable. 10. In the console tree, click the CRLD folder. 11. In the contents pane, double-click Configuration Editor. 12. In Section, open system.webserver\security\authentication\requestfiltering. 13. In the contents pane, double-click allowdoubleescaping to change it from False to True. 27 P a g e

28 14. In the Actions pane, click Apply. 15. Close the Internet Information Services (IIS) Manager window. CRL 분배포인트파일공유를위한접근권한구성 엔터프라이즈루트 CA 가존재하는 DC1 서버가앞서구성한 CRL 배포폴더공유에대해서 CRL 파일을 저장할수있도록구성해야한다. 아래젃차를참조하여짂행한다. To configure permissions on the CRLDist file share 1. Click Start, and then click Computer. 2. Double-click the drive on which Windows Server 2008 R2 is located. 3. In the details pane, right-click the CRLDist folder, and then click Properties. 4. Click the Sharing tab, and then click Advanced Sharing. 5. Select Share this folder. 6. In Share name, add $ to the end of the CRLDist name to hide the share, and then click Permissions. 7. Click Add, and then click Object Types. 8. Select Computers, and then click OK. 9. In Enter the object names to select, type DC1, and then click OK. 10. In Group or user names, click the DC1 computer. In Permissions for DC1, click Full Control, and then click OK twice. 28 P a g e

29 11. Click the Security tab, and then click Edit. 12. Click Add, and then click Object Types. 13. Select Computers, and then click OK. 14. In Enter the object names to select, type DC1, and then click OK. 15. In Group or user names, click the DC1 computer. In Permissions for DC1, click Full Control, click OK, and then click Close. 16. Close the Local Disk window. 29 P a g e

30 DA1 서버에 CRL 공개 앞서구성했던 CRL 파일을공개하고, 실제 CRL 파일이 DA1 서버의 CRLDist 폴더에생성되었는지 확인한다. 아래젃차를이용하여짂행한다. To publish the CRL 1. On DC1, click Start, point to Administrative Tools, and then click Certification Authority. 2. In the console tree, double-click CORP-DC1-CA, right-click Revoked Certificates, point to All Tasks, and then click Publish. 3. If prompted, click New CRL, and then click OK. 4. Click Start, type \\da1\crldist$, and then press ENTER. 5. In the crldist$ window, you should see two CRL files named CORP DC1-CA and CORP DC1-CA+. 6. Close the crldist$ window and the Certification Authority console. 정상적으로 CRL 파일이공개되었고, DA1 서버의 CRLDist 폴더에 CRL 파일이존재함을확인했다. 30 P a g e

31 DA1 서버를위한추가적인인증서설치 DA1 서버에 IP-HTTPS 연결을위한추가적인인증서를설치한다. 아래젃차를이용하여짂행한다. To obtain an additional certificate for DA1 1. On DA1, click Start, type mmc, and then press ENTER. Click Yes at the User Account Control prompt. 2. Click File, and then click Add/Remove Snap-ins. 3. Click Certificates, click Add, click Computer account, click Next, select Local computer, click Finish, and then click OK. 4. In the console tree of the Certificates snap-in, open Certificates (Local Computer)\Personal\Certificates. 5. Right-click Certificates, point to All Tasks, and then click Request New Certificate. 6. Click Next twice. 7. On the Request Certificates page, click Web Server 2008, and then click More information is required to enroll for this certificate. 8. On the Subject tab of the Certificate Properties dialog box, in Subject name, for Type, select Common Name. 9. In Value, type da1.contoso.com, and then click Add. 10. In Alternative name, for Type, select DNS. 11. In Value, type da1.contoso.com, and then click Add. 31 P a g e

32 12. Click OK, click Enroll, and then click Finish. 13. In the details pane of the Certificates snap-in, verify that a new certificate with the name da1.w2k8r2rds.com was enrolled with Intended Purposes of Server Authentication. 14. Right-click the certificate, and then click Properties. 15. In Friendly Name, type IP-HTTPS Certificate, and then click OK. 16. Close the console window. If you are prompted to save settings, click No. 이제 DA1 서버의구성을완료했다. 32 P a g e

33 APP1 구성 본테스트에서는 app1 서버가아래와같은조건으로 domain 멤버서버로구성되어있음을가정한다. 서버이름 : app1 역할 : domain member server 도메인명 : corp.contoso.com IP : OS 버젂 : Windows Server 2008 R2 Enterprise Edition 아래그림을통해서 APP1 서버가정상적으로 w2k8r2rds.com 도메인의멤버임을확인한다. APP1 서버는 Network Location Server 역할을수행한다. APP1 서버상에추가적인인증서설치 Network Location 을위한커스터마이징된 subject 및 alternative name 을소유한추가적인인증서를 APP1 서버에설치및구성해야한다. 아래젃차를이용하여구성한다. Network Location 서버의서비스이름 : nls.corp.contoso.com ( ) To obtain an additional certificate for APP1 1. Click Start, type mmc, and then press ENTER. 2. Click File, and then click Add/Remove Snap-in. 3. Click Certificates, click Add, select Computer account, click Next, select Local computer, click Finish, and then click OK. 4. In the console tree of the Certificates snap-in, open Certificates (Local Computer)\Personal\Certificates. 5. Right-click Certificates, point to All Tasks, and then click Request New Certificate. 33 P a g e

34 6. Click Next twice. 7. On the Request Certificates page, click Web Server 2008, and then click More information is required to enroll for this certificate. 8. On the Subject tab of the Certificate Properties dialog box, in Subject name, for Type, select Common Name. 9. In Value, type nls.corp.contoso.com, and then click Add. 10. In Alternative name, for Type, select DNS. 11. In Value, type nls.corp.contoso.com, and then click Add. 12. Click OK, click Enroll, and then click Finish. 13. In the details pane of the Certificates snap-in, verify that a new certificate with the name nls.corp.contoso.com was enrolled with Intended Purposes of Server Authentication. 14. Close the console window. If you are prompted to save settings, click No. DirectAccess 클라이언트의 Network Location Server 역할을수행할서버의인증서발급이완료되었다. 34 P a g e

35 Web Server (IIS) 역할설치 APP1 서버에 Web Server 역할을설치한다. 이웹서버는 Network Location Server 구성을위해필요하다. Server Manager 를이용하여기본구성으로설치한다. HTTPS 보안바인딩구성 APP1 서버에웹서버설치가완료되었으면, 이제 APP1 서버가 Network Location Server 역할을수행할 수있도록 HTTP 보안바인딩을구성해야한다. 아래젃차를이용하여구성한다. To configure the HTTPS security binding 1. Click Start, point to Administrative Tools, and then click Internet Information Services (IIS) Manager. 2. In the console tree of Internet Information Services (IIS) Manager, open APP1/Sites, and then click Default Web site. 3. In the Actions pane, click Bindings. 4. In the Site Bindings dialog box, click Add. 5. In the Add Site Binding dialog box, in the Type list, click https. In SSL Certificate, click the certificate with the name nls.corp.contoso.com. Click OK, and then click Close. 35 P a g e

36 6. Close the Internet Information Services (IIS) Manager console. APP1 서버가 Network Location Server 역할을수행할수있도록, 서비스이름 nls.corp.contoso.com 서버인증서를바인딩시키는작업을완료했다. 테스트용공유폴더생성 DirectAccess 클라이언트가내부의 APP1 서버의공유폴더자웎을외부에서도인트라넷처럼이용할수 있다. 이부분을테스트하기위해테스트용도로 APP1 서버에아래와같이공유폴더를생성한다. To create a shared folder 1. Click Start, and then click Computer. 2. Double-click the drive on which Windows Server 2008 R2 is installed. 3. Click New Folder, type Files, and then press ENTER. Leave the Local Disk window open. 4. Click Start, click All Programs, click Accessories, right-click Notepad, and then click Run as administrator. 5. In the Untitled Notepad window, type This is a shared file. 6. Click File, click Save, double-click Computer, double-click the drive on which Windows Server 2008 R2 is installed, and then double-click the Files folder. 7. In File name, type Example.txt, and then click Save. Close the Notepad window. 8. In the Local Disk window, right-click the Files folder, point to Share with, and then click Specific people. 9. Click Share, and then click Done. 36 P a g e

37 10. Close the Local Disk window. 테스트용공유폴더가구성되었다. 37 P a g e

38 INET1 구성 본테스트에서는 inet1 서버가아래와같은조건으로워크그룹서버로구성되어있음을가정한다. 서버이름 : inet1 역할 : standalone server 도메인명 : isp.example.com IP : OS 버젂 : Windows Server 2008 R2 Enterprise Edition 아래그림과같이워크그룹서버로설정되어있음을알수있다. 또한, 아래와같이 TCP/IP 설정이되어있음을확인할수있다. INET1 서버는인터넷상의 ISP 역할을수행하는것을시뮬레이션한다. 즉, 인터넷상에서 IP 자동할당및 DNS 서버역할을수행하도록구성한다. Web Server (IIS) 역할및 DNS 역할설치 인터넷상의클라이언트컴퓨터를위한 DNS 서버역할을수행하도록설치및구성한다. Server Manager 를이용하여설치한다. 웹서버는테스트를위해설치한다. 38 P a g e

39 웹서버와 DNS 서버설치가완료되었다. DNA A 레코드생성인터넷망에연결된 INET1 서버의 IPv4 주소에대한호스트 (A) 레코드를생성한다. 또한, 인터넷망에연결된 DA1 서버의 IPv4 주소에대한호스트 (A) 레코드도생성한다. 또한, DirectAccess 클라이언트가 CRL 를체크할수있도록, CRL 파일을호스트하고 crl.contoso.com 에대한레코드도생성한다. inet1.isp.example com : da1.contoso.com : crl.contoso.com : 아래와같이생성된다. 39 P a g e

40 DHCP 역할설치및구성 본 DirectAccess 테스트홖경에서 CLIENT1 클라이언트가인터넷망에연결되었을때, 자동적으로 IP 를 할당받을수있도록 INET1 서버에 DHCP 서버를설치및구현한다. 아래스크릮샷을이용하여짂행한다. 아래와같이정상적으로 DHCP 서버가 INET1 서버에설치및구현되었음을알수있다. 이상으로 INET1 서버의설치및구성을완료하였다. 40 P a g e

41 NAT1 구성 본테스트에서는 nat1 클라이언트가아래와같은조건으로인터넷공유클라이언트로구성되어있음을 가정한다. 즉, 인터넷망과홈망사이의 NAT(Network Address Translation) 역할을수행한다. 서버이름 : NAT1 역할 : workgroup client 도메인명 : isp.example.com IP : x (Internet 망 ) IP : x.x.x.x (Home 망 ) OS 버젂 : Windows Server 7 Enterprise Edition 이상 아래그림과같이정상적으로구성되어있음을확인할수있다. 또한, NAT1 클라이언트는 NAT 로작동하기위해홈망과연결된하나의네트워크인터페이스가 추가되어야한다. 네트워크연결설정구성 NAT1 클라이언트의네트워크연결설정은아래와같다. 두개의네트워크인터페이스가존재함을 아래에서확인한다. INTERNET X : 인터넷망에연결된네트워크인터페이스 HOMENET X : HOMENET 망에연결된네트워크인터페이스 41 P a g e

42 두네트워크인터페이스모두 IP 는자동으로할당받도록구성한다. 아래는앞서구성한 INET1 서버로부터 IP 를할당받은결과를보여준다. 이제아래와같이 inet1.isp.exammple.com 서버와의 ping 통싞을시도해본다. 정상적으로처리됨을 확인할수있다. 이부분에서 NAT1 클라이언트에서 DirectAccess 기능테스트를위해 6to4 인터페이스를사용하지 않도록구성해야한다. 명령어는아래와같다. netsh interface 6to4 set state state=disabled 42 P a g e

43 이상과같이 NAT1 클라이언트의네트워크연결설정을완료했다. 인터넷연결공유설정 이제 NAT1 클라이언트를 NAT 역할로구성하기위해인터넷망에연결된네트워크인터페이스에 Internet Connection Sharing 를홗성화한다. 위와같이구성하면, NAT1 클라이언트는 NAT 역할을수행할수있다. 43 P a g e

44 위와같이구성한후, NAT1 클라이언트의 HOMENET 망에연결된네트워크인터페이스의 IP 를확인해 보면아래와같이 x.x 대의 IP 가자동으로할당된다. 추후, DirectAccess 기능테스트를할때, CLIENT1 클라이언트를 HOMENET 망에연결하게되면, 자동적으로 x.x 대의 IP 를부여받게된다. 44 P a g e

45 CLIENT1 구성 본테스트에서는 client1 클라이언트가아래와같은조건으로 domain 멤버클라이언트로구성되어 있음을가정한다. 서버이름 : client1 역할 : domain member client 도메인명 : corp.contoso.com IP : x OS 버젂 : Windows Server 7 Enterprise Edition 이상 아래그림을통해위구성이정상적으로되었음을확인한다. IP 설정은자동으로할당받도록설정했다. 아래그림에서 DHCP 서버로부터 IP 를정상적으로 x 를부여받았음을알수있다. 45 P a g e

46 Client1 를 DA_Security 보안그룹에포함 이제 CLIENT1 도메인클라이언트를 DirectAccess 설정을포함한그룹정책을받을수있도록, 앞서 DC1 도메인컨트롟러에서생성한 DA_Security 보안그룹에포함시킨다. DC1 서버의 Active Directory Users and Computers 도구를사용한다. 이제앞서생성한 w2k8r2rds\user1 계정으로 CLIENT1 클라이어트를로그온한다. Client1 상의컴퓨터인증서검증 CLIENT1 클라이언트에컴퓨터인증서가자동으로발급되어설치되어있는지확인한다. Intended Purpose 부분이 Client Authentication, Server Authentication 임을확인한다. 인트라넷자원접근테스트 현재 CLIENT1 클라이언트는회사망에연결되어있기때문에, APP1 서버에존재하는웹서버및파일공유 자웎을접근하는테스트를수행한다. 46 P a g e

47 APP1 서버의웹서버및파일공유자웎이정상적으로 CLIENT1 클라이언트가접근했음을알수있다. 네트워크위치서버 (Network Location Server) 접근테스트 또한, APP1 서버가호스팅하고있는네트워크위치서버에대한접근테스트도짂행한다. 네트워크위치서버 (Network Location Server) : 정상적으로네트워크위치서버에접근할수있음을알수있다. 47 P a g e

48 인터넷영역에서인트라넷자원접근테스트아직 DirectAccess 기능이 DA1 서버에구현되지않은상황에서, CLIENT1 클라이언트를회사망이아닌인터넷망에연결하여 APP1 서버와같은인트라넷자웎을접근하는테스트를수행한다. 당연히연결이되지않을것이다. CLIENT1 클라이언트를회사망에서단젃하고, 인터넷망에연결한다. 이테스트홖경에서 CLIENT1 클라이언트가인터넷망에연결하면, 바로 INET1 서버로부터 x 대의 IP 를부여받는다. 이제다시앞서접근했던인트라넷자웎접근테스트를해본다. 48 P a g e

49 이제다시 CLIENT1 클라이언트를회사망에연결한다. 회사망 IP 가부여됨을확인한다. 이제 DirectAccess 기능을 DA1 서버에구현한다. 49 P a g e

50 DirectAccess 구성 아래와같은젃차를통해 DA1 서버에 DirectAccess 를구성한다. DA1 서버에 DirectAccess 기능설치 DirectAccess 기능은 Add Features 를이용하여설치한다. 아래스크릮샷을참조하여설치를짂행한다. 위와같이 DirectAccess 기능설치를완료한다. DA1 서버에서 DirectAccess 설치마법사수행 이제 DirectAccess 마법사를수행하여 DirectAccess 클라이언트를위한그룹정책설정및기타구성을 한다. 아래젃차를참조하여짂행한다. 50 P a g e

51 To run the DirectAccess Setup Wizard 1. Click Start, point to Administrative Tools, and then click DirectAccess Management. 2. In the console tree, click Setup. In the details pane, click Configure for step On the DirectAccess Client Setup page, click Add. 4. In the Select Group dialog box, type DA_Clients, click OK, and then click Finish. 5. Click Configure for step On the Connectivity page, for Interface connected to the Internet, select Internet. For Interface connected to the internal network, select Corpnet. Click Next. 51 P a g e

52 7. On the Certificate Components page, for Select the root certificate to which remote client certificates must chain, click Browse. In the list of certificates, click the CORP-DC1-CA root certificate, and then click OK. 8. For Select the certificate that will be used to secure remote client connectivity over HTTPS, click Browse. In the list of certificates, click the certificate named IP-HTTPS Certificate, and then click OK. Click Finish. 52 P a g e

53 9. Click Configure for step On the Location page, click Network Location server is run on a highly available server, type click Validate, and then click Next. 11. On the DNS and Domain Controller page, note the entry for the name corp.contoso.com with the IPv6 address 2002:836b:2:1:0:5efe: This IPv6 address is assigned to DC1 and is composed of a 6to4 network prefix (2002:836b:2:1::/64) and an ISATAP-based interface identifier (::0:5efe: ). Click Next. 53 P a g e

54 12. On the Management page, click Finish. 13. Click Configure for step 4. On the DirectAccess Application Server Setup page, click Finish. 14. Click Save, and then click Finish. 15. In the DirectAccess Review dialog box, click Apply. In the DirectAccess Policy Configuration message box, click OK. 54 P a g e

55 위와같이 DirectAccess 구성을완료하게되면, DA1 서버에는 IPv6 over IPv4 기술중에서, ISATAP 및 6to4 어댑터가생성된다. ISATAP IPv6 주소는 DA1 서버의기존 2 개의 IPv4 주소에기반하여자동으로생성된다. DA1 서버의 IPv4 주소는아래와같음을이미알고있다. CORPNET IPv4 : (Private IPv4 주소로가정 ) INTERNET IPv4 : ,131, (Public IPv4 주소로가정 ) RFC 규약에의거하여 ISATAP 주소는아래와같은형식으로구성된다. o o UnicastPrefix:0:5EFE:w.x.y.z (when w.x.y.z is a private IPv4 address assigned to the ISATAP host) UnicastPrefix:200:5EFE:w.x.y.z (when w.x.y.z is a public IPv4 address assigned to the ISATAP host) 위형식을기반으로아래와같이 DA1 서버에 2 개의 ISATAP 주소가구성되어있는지확인한다. 즉, 아래주소는 Public IPv4 주소이기때문에, 2002:836b:2:1:200:5EFE: ISATAP 주소로 생성되었음을알수있다. 55 P a g e

56 또한, 아래주소는 Private IPv4 주소이기때문에, 2002:836b:2:1:0:5EFE: ISATAP 주소로 생성되었음을알수있다. DA1 서버의 2 개의 ISATAP 주소는확실하게 0:5efe (based on Private IPv4) 와 200:5efe (based on Public IPv4) 로구분되어져있음을확인해야한다. 또한, DA1 서버는 6to4 어댑터가생성되고, 그어댑터에 6to4 주소가할당되어야한다. RFC 규약에 의거하여 6to4 주소는아래와같은형식으로구성된다. global address 사용 2002:WWXX:YYZZ::/48 prefix WWXX:YYZZ -> 해당사이트또는호스트에할당된공용 IPv4 (w.x.y.z) 주소 56 P a g e

57 즉, DA1 서버의 public IPv4 주소를기반으로아래와같은주소가생성된다. 2002:836b:2::836b:2 o 83 (hex) -> (bin) -> 131 (Dec) o 6b -> > 107 o 00 -> > 0 o 02 -> > 2 실제구성된 DA1 서버에할당된 6to4 주소를확인해본다. 2 개의 Public IPv4 주소때문에, 2 개의 6to4 주소가할당되었음을알수있다. 이제 DA1 서버가외부와내부네트워크의정상적인라우팅을위한구성이설정되어있는지확인한다. 이부분에서확인해야할가장중요한사항은 loopback 및 istatap.isp.example.com 인터페이스를제외한 DA1 서버의모든인터페이스의 Forwarding 속성이 enabled 로설정되어있어야한다. 반대로, istatap.isp.example.com (DA1 서버의외부공인 IPv4 주소 ( ) 에기반한 ISATAP 인터페이스 ) 인터페이스의 Forwarding 속성은 disabled 로설정되어있어야한다. 아래그림은현재 DA1 서버의 istatap.isp.example.com 인터페이스의 Forwarding 속성이 disabled 임을확인하는과정이다. 57 P a g e

58 58 P a g e

59 이제 DA1 서버의 DirectAccess 마법사를이용하여, DirectAccess 기능구현을완료했다. DA1 서버는 아래그림과같이 ISATAP, 6to4, Teredo 같은 IPv6 over IPv4 기술을위한라우터및 relay 로작동한다. 이제 DA1 서버는내부 IPv4 주소대역인 x 에기반한 ISATAP IPv6 주소에대한라우터로작동한다. 이 DA1 ISATAP 라우터는내부서버에필요한 ISATAP IPv6 주소를자동으로할당할수있는기능이있다. 먼저, DA1 서버의내부 IPv4 주소인 에기반한 ISATAP IPv6 주소를확인한다. isatap.corp.contoso.com 인터페이스의인덱스를확인한다. 59 P a g e

60 Isatap.corp.contoso.com 인터페이스의인덱스는 19 이고, 이인덱스의 Advertising 속성이 Enabled 로되어있음을꼭확인해야한다. 즉, 이속성이홗성화되어있음으로해서, 2002:836b:2:1:0:5efe 프리픽스를내부네트워크에브로드캐스트할수있다. 이제 DA1 서버는 2002:836b:2:1:0:5efe 프리픽스를내부네트워크에브로드캐스트할수있는준비가 완료되었다. 이제각내부서버및클라이언트는위프리픽스를기반으로자싞의 ISATAP IPv6 인터페이스및주소를설정할수있다. 60 P a g e

61 APP1 서버에서의 IPv6 설정갱신 이제내부서버인 APP1 서버에 ISATAP 인터페이스를생성하기위한작업을수행한다. 아래명령어를참조한다. ISATAP 인터페이스생성을확인한다. 위 ISATAP 인터페이스의 Default Gateway (fe80::5efe: %12) 정보는바로 DA1 서버의 isatap.corp.contoso.com 인터페이스의 Link-local IPv6 주소 임을알수있다. 즉, DA1 서버 isatap.corp.contoso.com 인터페이스의 2002:836b:2:1:0:5efe 프리픽스를기반으로 APP1 서버의 ISATAP 인터페이스를설정했다. APP1 서버의 ISATAP 인터페이스 Router Discovery 속성이 Enabled 로설정되어있으므로, ISATAP 라우터인 DA1 서버의 ISATAP 인터페이스를찾을수있고, 이라우터 (DA1) 를기반으로 APP1 서버는 ISATAP 인터페이스의 IPv6 주소를설정할수있다. 61 P a g e

62 이제정상적으로 APP1 서버는 ISATAP 인터페이스가설정되었다. DA1 서버의 ISATAP 인터페이스와 PING 통싞이성공적인지확인한다. DC1 서버에서의 IPv6 설정갱신 DC1 서버도 APP1 서버와동일하게 ISATAP 인터페이스를설정한다. 62 P a g e

63 DC1 서버도 ISATAP 인터페이스가성공적으로설정되었음을알수있다. Client1 에서의 IPv6 설정및그룹정책갱신 Client1 Windows7 클라이언트는 ISATAP 인터페이스를설정하는것은물롞, DirectAccess 기능을 정상적으로수행하기위한도메인그룹정책을할당받아야한다. 아래명령어를순차적으로수행한다. 63 P a g e

64 Client1 클라이언트도 ISATAP 인터페이스가정상적으로설정되었음을알수있다. ISATAP 기반연결검증 DC1, DA1, APP1, Client1 총 4 대의도메인컨트롟러및도메인멤버들의 ISATAP IPv6 주소는아래와같다. 64 P a g e

65 DC1 : 2002:836b:2:1:0:5efe: DA1 : 2002:836b:2:1:0:5efe: APP1 : 2002:836b:2:1:0:5efe: Client1 : 2002:836b:2:1:0:5efe: 위주소들갂의상호 PING 이성공인지확인한다. 65 P a g e

66 인터넷영역의클라이언트 DirectAccess 접근기능테스트 이제실제 DirectAccess 기능을테스트한다. 현재, CORPNET( x) 대역에연결되어있는 Client1 클라이언트를 INTERNET( x.x) 대역으로옮겨서네트워크홗성화한다. DirectAccess 데모홖경 INET1 DC1 NAT1 Internet /24 DA1 Corpnet /24 APP1 Homenet /24 CLIENT1 정상적으로 INTERNET 영역으로연결되면, 먼저 ipconfig 를수행하여 IP 설정사항을확인한다. 아래그림과같이 Client1 클라이언트는 6To4 인터페이스가설정되고, 6To4 IPv6 주소가설정되었음을확인할수있다. 아래정보중에서 Default Gateway 주소는바로 DA1 서버의 6To4 주소임을알수있다. 66 P a g e

67 이제아래와같이 PING DC1 을수행하여, 외부 INTERNET 영역에서도내부서버인 DC1 의 ISATAP 주소를통하여 PING 이성공함을알수있다. 이상태에서아래와같이내부서버의파일공유를접근해본다. 성공적으로수행됨을알수있다. \\app1\files 또한, DirectAccess 기능중의하나인 Managed PC 기능을확인하기위하여, INTERNET 영역에서도 그룹정책을받아올수있음을아래명령어를통하여확인할수있다. 67 P a g e

68 이상과같이 DirectAccess 클라이언트가외부 INTERNET 영역에서도정상적으로내부서버자웎을 접근할수있고, 그룹정책도받을수있음을알수있다. 68 P a g e

69 홈넷영역의클라이언트 DirectAccess 접근기능테스트 이번에는 Client1 클라이언트를 HOMENET( x) 대역으로옮겨서네트워크홗성화한다. 즉, 아래그림과같이 Client1 클라이언트를인터넷공유 PC(ex, NAT) 의내부네트워크에연결하여, 테스트를수행한다. DirectAccess 데모홖경 INET1 DC1 NAT1 Internet /24 DA1 Corpnet /24 APP1 Homenet /24 CLIENT1 위와같이 Client1 을연결한후, 네트워크가정상적으로홗성화되면, ipconfig 명령어를통하여 IP 설정사항을확인한다. Client1 클라이언트에 IPv 주소가할당되고, 추가적으로 IPv6 기술중에서 Teredo 인터페이스가설정되었음을알수있다. 즉, NAT 같은장비내부의네트워크에 DirectAccess 클라이언트가연결되었다면, DirectAccess 통싞은 ISATAP 인터페이스가아닌 TEREDO 인터페이스를사용하여통싞함을알수있다. 아래 TEREDO 인터페이스는 2001: 프리픽스로시작함을알수있다. 이주소역시 DA1 서버에서 자동으로할당되었다. 6To4 라우터기능을지원하지않는 NAT 같은장비의내부네트워크에 DirectAccess 클라이언트가 연결되었을때, DirectAccess 클라이언트는 6To4 또는 ISATAP 가아닌 TEREDO 인터페이스를 사용하여통신함을꼭기억해야한다. 69 P a g e

70 먼저, INTERNET( x) 대역에존재하는서버와의통싞을확인한다. PING 및 IE 를사용하여 INTERNET 영역에존재하는서버에통싞이웎홗함을확인할수있다. 70 P a g e

71 이제, CORPNET( x) 영역에존재하는내부서버중에서 APP1 서버와의통싞을확인한다. PING, IE 및공유폴더를사용하여내부서버와의통싞이웎홗함을확인할수있다. 71 P a g e

72 이제마지막으로 Teredo 트래픽이통과되지않는방화벽을가짂내부네트워크에 DirectAccess 클라이언트가연결되었을때, DirectAccess 클라이언트는 Teredo 인터페이스가아닌 IP-HTTPS 프로토콜을사용하여통싞을한다. 이기능을테스트하기위하여, HOMENET 에연결되어있는 Client1 클라이언트의 Teredo 인터페이스를강제로비홗성화한다. 이제더이상 Client1 은 Teredo 인터페이스를사용할수없다. 이제잠시 HOMENET 영역에서 Client1 을분리한후, 15 초정도기다릮후다시 HOMENET 영역에 Client1 을다시연결한다. 이제 IPHTTPSinterface 라는이름으로인터페이스가생성되고, 내부서버와의통싞을할수있게된다. 이상태에서내부서버 APP1 과의통싞테스트를짂행한다. IP-HTTPS 프로토콜의통싞테스트과완료되면아래와같은명령어로 Teredo 인터페이스를다시 홗성화한다. 이제모든 DirectAccess 기능테스트는완료했다. 72 P a g e

73 General Methodology for Troubleshooting DirectAccess DirectAccess 기능에오류가발생했을경우아래링크를참조하여 troubleshooting 을짂행한다. General Methodology for Troubleshooting DirectAccess ( 아래순서는이번테스트홖경에서의 troubleshooting 결과이다. 1. The DirectAccess client must have a global IPv6 address. (OK) 2. The DirectAccess client must be able to reach the IPv6 addresses of the DirectAccess server. (OK) 3. The intranet servers have a global IPv6 address. (OK) DC1 : 2002:836b:2:1:0:5efe: DA1 : 2002:836b:2:1:0:5efe: APP1 : 2002:836b:2:1:0:5efe: The DirectAccess client on the Internet must correctly determine that it is not on the intranet. (OK) 73 P a g e

74 5. The DirectAccess client must not be assigned the domain firewall profile. (?) 6. The DirectAccess client must have IPv6 reachability to its intranet DNS servers. (OK) 74 P a g e

75 7. The DirectAccess client must be able to use intranet DNS servers to resolve intranet FQDNs. (OK) 75 P a g e

76 8. The DirectAccess client must have reachability to the intranet servers. (OK) 9. The DirectAccess client must be able to communicate with intranet servers using application layer protocols. (OK) 10. For the end-to-edge or selected server access models, the DirectAccess client must be able to successfully negotiate main mode and quick mode IPsec security associations (SAs) with the DirectAccess server for the infrastructure tunnel. (?) 76 P a g e

77 77 P a g e

78 11. For the end-to-edge or selected server access models, the DirectAccess client must be able to successfully negotiate main mode and quick mode IPsec SAs with the DirectAccess server for the intranet tunnel. (same of 10 results) 12. For the end-to-end access model or the selected servers in the selected server access model, the DirectAccess client must be able to successfully negotiate main mode and quick mode IPsec SAs with the intranet or selected server. (same of 10 results) 78 P a g e

79 Windows 2008 R2 RC 에서 DirectAccess DNS 모니터링오류 DirectAccess 서버의모니터링기능에서아래와같은 DNS 오류가발생할수있다. None of the internal DNS servers 2002:836b:2:1:0:5efe: that DirectAccess client computers use for name resolution is responding. 이러한오류에대해서는아래와같이 troubleshooting 한다. 내부도메인홖경의 DNS 서비스를호스팅하는서버의 ISATAP 주소 (ex, 2002:836b:2:1:0:5efe: ) 가 DNS 에바인딩되어있는지확인한다. 79 P a g e

80 DirectAccess Firewall Port 허용조건 DirectAccess 서버외부방화벽 DirectAccess 데모홖경 INET1 ISP Server DHCP Service DNS Service (Intetrnet) Inet1.isp.example.com DC1 Domain Controller Certificate Authority DHCP Service dc1. corp.contoso.com NAT1 Internet / x Homenet / x DA1 DirectAccess Server (Corpnet) (Intetrnet) (Intetrnet) da1.corp.contoso.com Corpnet / x APP1 Network Location Server app1. corp.contoso.com DirectAccess Client x client1. corp.contoso.com CLIENT1 Name Teredo 6to4 IP-HTTPS Native IPv6 UDP 3544 X N/A N/A N/A Protocol 41 N/A X N/A N/A TCP 443 N/A N/A X N/A ICMPv6 N/A N/A N/A X Protocol 50 N/A N/A N/A X 80 P a g e

81 DirectAccess 서버외부방화벽 DirectAccess 데모홖경 INET1 ISP Server DHCP Service DNS Service (Intetrnet) Inet1.isp.example.com DC1 Domain Controller Certificate Authority DHCP Service dc1. corp.contoso.com NAT1 Internet / x Homenet / x DA1 DirectAccess Server (Corpnet) (Intetrnet) (Intetrnet) da1.corp.contoso.com Corpnet / x APP1 Network Location Server app1. corp.contoso.com DirectAccess Client x client1. corp.contoso.com CLIENT1 Name ISATAP Native IPv6 IPv4 + NAT-PT Protocol 41 X TCP X X UDP X X ICMPV6 X All IPv6 connectivity UDP 500 IKE/AuthIP X X X 81 P a g e

82 참조 Technical Overview of DirectAccess in Windows 7 and Windows Server 2008 R2 Step By Step Guide: Demonstrate DirectAccess in a Test Lab b698-f39360d82fac) DirectAccess Early Adopter s Guide ( ( ( 82 P a g e