Windows Server 8

Windows Server 8 DirectAccess 배포 이랩은 Windows Server 8 DirectAccess 의중요신규기능에대해서소개합니다. Windows Server 8 DirectAccess 는 Express 마법사및 Expert 마법사를사용하여손쉽게배포할수있습니다. 이러한마법사를사용하여, DirectAccess 의 High Availability 를구축할수있습니다. 또한, DirectAccess 의 Global 배포를위한다중 Entry 지점을구성할수있습니다. 또한, Windows Server 2008 R2 Direct Access 가제공하지못하던 DirectAccess Client 의연결상태및트러블슈팅을위한기능도 Windows Server 8 DirectAccess 가제공합니다. 이동철부장 2012-02-25

목차 개요... 2 데모환경... 3 Exercise 1: Configure DirectAccess in a Single Site using the Express Wizard... 5 Task 1 Configure DirectAccess using the Express Wizard... 5 Task 2 Verify client connectivity... 22 Task 3 Monitor Client Connections... 30 Exercise 2: Configure a DirectAccess Client using Offline Provisioning... 33 Task 1 Create provisioning package... 33 Task 2 Apply Provisioning Package... 44 Task 3 Verify remote connectivity... 47 Exercise 3: Configure High Availability for DirectAccess using the Expert Wizard... 55 Task 1 Deploy DirectAccess using the Expert Wizard... 55 Task 2 Configure high availability for DirectAccess with NLB... 65 Task 3 Test successful failover operation of a client connection... 80 Exercise 4: Configure Multi-Site DirectAccess... 94 Task 1 Deploy Multi-Site DirectAccess... 95 Task 2 Test successful operation... 119 페이지 1 / 141

개요 이랩에서, Windows Server 8 의 DirectAccess 를배포할것이다. 이랩의목적은 Windows Server 8 의 DirectAccess 신규기능을파악하는것입니다. 본문서에서는아래와같은총 4 개부분의랩을소개합니다 : 1. Configure DirectAccess in a Single Site using the Express Wizard 2. Configure a DirectAccess Client using Offline Provisioning 3. Configure High Availability for DirectAccess using the Expert Wizard 4. Configure Multi-Site DirectAccess 페이지 2 / 141

데모환경 본랩은아래와같은 VM 들이필요합니다 : One computer running Windows Server vnext named DC1 that is configured as an intranet domain controller, Domain Name System (DNS) server, Dynamic Host Configuration Protocol (DHCP) server, and an enterprise root certification authority (CA) for corp.contoso.com. One computer running Windows Server vnext named 2-DC1 that is configured as an intranet domain controller, Domain Name System (DNS) server, and Dynamic Host Configuration Protocol (DHCP) server for corp2.corp.contoso.com. Four intranet member servers running Windows Server vnext named APP1, APP2, 2-APP1, and 2- APP2 that are configured as general app servers. Three intranet member servers running Windows Server vnext named EDGE1, EDGE2, and 2- EDGE1 that are configured as the DirectAccess servers for multi-site and high availability deployment. One standalone server running Windows Server vnext named INET1 that is configured as an Internet DNS server, DHCP server, and web server. One standalone client computer running Windows vnext Enterprise Edition named NAT1 that is configured as a network address translator (NAT) device using Internet Connection Sharing. One roaming domain member client computer running Windows vnext Enterprise Edition named CLIENT1 that is configured as a DirectAccess client. One client computer running Windows vnext Enterprise Edition named CLIENT2 that is configured as a WORKGROUP computer. 이번랩에서총구성한네트워크대역은아래와같습니다 : "Private Internet" (131.107.0.0/24) : 인터넷네트워크영역 "Private HomeNet" (192.168.137.0/24) : NAT 를통하여인터넷으로연결된네트워크영역 Private Corpnet (10.0.0.0/24) : EDGE1 DirectAccess server 를통해인터넷과분리되는인트라넷영역페이지 3 / 141

2-Private Corpnet (10.2.0.0/24) : 2-EDGE1 DirectAccess server 를통해인터넷과 분리되는인트라넷영역. 131.107.0.5 VIP 페이지 4 / 141

Exercise 1: Configure DirectAccess in a Single Site using the Express Wizard 관리자는새로운 Express 마법사를사용하여 DirectAccess 를배포할것입니다. Express 마법사는이전 Windows Server 2008 R2 의 DirectAccess 배포와는완전히다른단순한배포방법을제공합니다. Express 마법사는 DirectAccess 배포의복잡성을단순하게처리합니다. 단순한단계를통한자동화된설치방법을제공합니다. 관리자는더이상 IPv6 전환기술및 NLS 배포같은복잡한선행기술의이해가필요없습니다. 내부 PKI 배포필요성을제거하기위해 Kerberos Proxy 를자동으로구성함으로써, 신규 Express 설치마법사는관리자에게좀더손쉬운 DirectAccess 배포및구축을가능하게해줍니다. 이러한단순화된 DirectAccess 배포방법에서, 아직 Force Tunneling, NAP 통합, Two-Factor 인증같은기능은구현가능하지않습니다. Windows Server 8 정식버전에서이러한기능도구현이가능합니다. Task 1 Configure DirectAccess using the Express Wizard 1. Configure DirectAccess using the Express Wizard. 먼저 DirectAccess 를설치하기위한서버의도메인구성및 IP 현황을확인합니다. EDGE1 서버는 corp.contoso.com 도메인의멤버서버임을확인합니다. 아래와같이내부 IPv4 (10.0.0.2) 및 IPv6 (2006:2005:1::2) 주소가정적주소가정상적으로설정되어있음을확인합니다. 외부 IPv4 (131.107.02) 및 IPv6 주소도정상적으로설정되어있음도확인합니다. 다만, 외부 IPv6 주소는아직 DirectAccess 구성이완료되지않아서 Link-local 주소로자동설정되어있음도확인합니다. 페이지 5 / 141

EDGE1.CORP.CONTOSO.com 서버에연결합니다. 서버에서좌측아래로마우스를이동시키면아래와같이 Start 메뉴가보이는데, 이 Start 메뉴를클릭합니다. 시작화면에서, Remote 를키보도로입력하면, 아래와같이 Apps 페이지에서 Remote Access Management 를선택합니다. 페이지 6 / 141

Remote Access Management 도구에서, Configure using Express Wizard 링크를클릭합니다. 마법사시작화면에서, Deploy only DirectAccess 를클릭합니다. 페이지 7 / 141

아래 Remote Access Server Setup 단계에서, Edge topology 를선택하고, Enter the public name to which remote access clients will connect to 부분에서외부의 DirectAccess 클라이언트들이연결할 DirectAccess 서버의외부공개 FQDN 을입력합니다. 본데모환경에서는 edge1.contoso.com 으로입력합니다. 이외부공개 FQDN 은반드시사전에공인 DNS 서버에호스트레코드가등록되어있어야합니다. 본데모환경에서는 131.107.0.x 네트워크대역을인터넷대역으로가정합니다. 그러므로, inet1.isp.example.com 서버에서운영중인 DNS 서버에 edge1.contoso.com 이름에대한 IPv4 주소가사전에등록되어있어야합니다. Next 를클릭하여다음단계로진행합니다. 페이지 8 / 141

Note: 기본적으로, Express 마법사는도메인내의모든랩톱및노트북컴퓨터에 DirectAccess 를적용합니다. 즉, DirectAccess 대상클라이언트는 GPO 의 WMI 필터를사용하여기본적으로모든랩톱및노트북컴퓨터로설정할수있습니다. 본데모환경에서는이러한기본설정이적합하지않습니다. 데모클라이언트 CLIENT1 컴퓨터는모바일컴퓨터가아니기때문에, 별도의설정이필요합니다. 그래서, 사전에 Active Directory 에 DirectAccessClients 라는그룹을생성하고, 이그룹의구성원으로써데모대상클라이언트컴퓨터인 CLIENT1 으로추가합니다. 다음단계에서는, DirectAccess 적용을위한대상클라이언트컴퓨터를변경합니다. 다음마지막마법사단계에서, 기본설정을변경하기위해 here 링크를클릭합니다. 페이지 9 / 141

위화면의 DirectAccess Review 다이얼로그에서, Remote Clients 옆쪽의 Change 를클릭합니다. 아래와같이기본적으로 CORP\Domain Computers 그룹구성원이 DirectAccess 클라이언트가됩니다. 그러나, 본데모환경에서는 CORP\DirectAccessClients 그룹으로 DirectAccess 클라이언트대상을변경합니다. 또한, 기본설정으로 Deploy DirectAccess for all laptops/notebooks only 가선택되어있음도확인할수있습니다. 페이지 10 / 141

위화면에서 Add 를클릭하여 DirectAccessClients 를입력하고, OK 버튼을클릭합니다.. Domain Computers (CORP\Domain Computers) 를선택하고, Remove. 버튼을클릭합니다. 페이지 11 / 141

Select Groups screen 에서, "Deploy DirectAccess for all laptops/notebooks only" 체크 clear 박스를합니다. Next 를클릭하고, Finish 를클릭합니다. 페이지 12 / 141

DirectAccess Review screen, OK 에서클릭합니다. Configure Remote Access screen 단계에서 Finish 클릭합니다. 페이지 13 / 141

마법사는구성을적용하기위해, Close 를클릭합니다. 페이지 14 / 141

2. Update the CLIENT1 with DirectAccess configuration 앞서생성한 DirectAccess 구성을대상클라이언트에적용하기위해 GPO 를업데이트해야합니다. 먼저, DirectAccess 클라이언트대상컴퓨터인 CLIENT1 의도메인및 IPv4 주소를아래와같이확인합니다. CLIENT1 의 IPv4 및 IPv6 주소는자동으로할당된주소입니다. 페이지 15 / 141

페이지 16 / 141

이제 CLIENT1.CORP.CONTOSO.com 컴퓨터에연결합니다. Start 를클릭하고, Start 페이지에서, Desktop 타일을클릭합니다. CLIENT1 컴퓨터가 Corpnet 연결을할수있도록, Corpnet 서브넷에연결된네트워크인터페이스를활성화하고, HomeNet 서브넷에연결된네트워크인터페이스는비활성화합니다. (System Notification Area 의네트워크아이콘을오른쪽마우스클릭한후, Open Network and Sharing Center 를선택합니다 ). Network and Sharing Center 에서, Change adapter settings 링크를클릭합니다. Private HomeNet 에연결된네트워크어댑터를선택합니다. 만약, 이네트워크어댑터가활성화상태라면, 오른쪽마우스클릭후 Disable 을선택합니다. Private Corpnet 연결이활성화상태임을확인합니다. 페이지 17 / 141

좌측하단으로마우스를움직인후, Start 를클릭합니다. Start 페이지에서, Power 를 입력합니다. Apps Results 페이지에서, Windows PowerShell 을오른쪽으로마우스클릭합니다. Note: Windows Powershell ISE 및 Windows Powershell (x86) 를선택하지않습니다. Advanced 버튼을클릭하고, Run as administrator 를선택합니다. 페이지 18 / 141

만약, User Account 제어프롬프트가나타나면, Yes 를클릭합니다. PowerShell 창에서, gpupdate 를입력하고 ENTER 키를누릅니다. CLIENT1 컴퓨터가 DirectAccess 정책을적용받기위해서 gpupdate 명령어를수행합니다. 정책이성공적으로적용될때까지잠시대기합니다. Get-DnsClientEffectiveNrptPolicy 를입력한후 ENTER 키를누릅니다. DirectAccess 의 Name Resolution Policy Table (NRPT) 엔트리가보여집니다. DA 컬럼이 False 임을확인할수있고, 어떠한 DADnsServers 도보여지지않음을확인할수있습니다. 이러한사실은 NRPT 정책설정을클라이언트가정상적으로적용받았고, CORP 서브넷에연결되어있는동안에는어떠한영향을미치지않음을확인할수있습니다. 3. Move CLIENT1 to an Internet connection 페이지 19 / 141

이제 CLIENT1 컴퓨터에 DirectAccess 설정적용을완료하였기때문에, CLIENT1 컴퓨터를인터넷영역으로이동하여실제 DirectAccess 연결을테스트합니다. 본데모환경에서는 131.107.0.x 라는가상의네트워크대역을인터넷영역으로가정합니다. 아래단계는 Private Homenet 네트워크영역에 CLIENT1 컴퓨터를연결함으로써, CLIENT1 컴퓨터가인터넷영역에있음을가정합니다. CLIENT1 컴퓨터가인터넷연결을하기위해서, Corpnet 서브넷에연결된네트워크인터페이스는비활성화하고, HomeNet 서브넷에연결된네트워크인터페이스를활성화합니다. Start 를클릭하고, Start page 에서 Desktop 타일을클릭합니다. Network and Sharing Center 를 open 합니다. (System Notification 영역에서네트워크아이콘을오른쪽마우스클릭하고, Open Network and Sharing Center 를선택합니다 ). Network and Sharing Center 에서, Change adapter settings 링크를클릭합니다. Private Corpnet 연결된네트워크어댑터를선택한후, Disable 를선택하여비활성화합니다, Private HomeNet 연결된네트워크어댑터를선택한후, Enable 를선택하여활성화합니다. 아래와같이 Private HomeNet 이활성화되어있음을확인합니다. PowerShell 프롬프트에서, Get-DnsClientEffectiveNrptPolicy 를입력하고, ENTER 키를누릅니다. 현재 The NRPT 설정이정상적임을알수있습니다. DA 컬럼값이 true 이고, DADnsServers 값이 2006:2005:1::2 가설정되어있음을알수있습니다. 이 IPv6 주소는 EDGE1.CORP.CONTOSO.com 서버의 IPv6 주소임을기억해야합니다. DADnsServers 항목의 2006:2005:1::2 IPv6 주소는 EDGE1.CORP.CONTOSO.com 컴퓨터에할당된 것입니다. Import-Module NetworkConnectivityStatus 를입력하고, ENTER 키를누릅니다. 이제, Get- DAConnectionStatus 를입력하고 ENTER 키를누릅니다. 상태가 ConnectedRemotely 임을 페이지 20 / 141

확인합니다. 상태가 ConnectedRemotely 가될때까지기다려야할상황이발생할수도 있습니다. 이제, DAConnectionStatus 상태가 ConnectedRemotely 임을확인한후, 즉, CLIENT1 컴퓨터가 Homenet 네트워크대역으로옮긴후, ipconfig 결과를확인해봅니다. 앞서, CLIENT1 컴퓨터가 Private Corpnet 서브넷에연결되었을때와달리, CLIENT1 컴퓨터가 Private Homenet 서브넷에연결되었을때, 아래와같이 Teredo 및 IPHTTPS 네트워크인터페이스에 IPv6 주소가할당되어있음을확인할수있습니다. 정상적으로 CLIENT1 컴퓨터가외부인터넷영역에서 DirectAccess 클라이언트로작동할수있는환경이설정되었습니다. 페이지 21 / 141

Task 2 Verify client connectivity 1. Verify client connectivity to both Internet and corporate intranet resources over DirectAccess 이제 CLIENT1 컴퓨터가 DirectAccess 클라이언트로써정상작동함을검증해봅니다. PowerShell 프롬프트에서, ping inet1.isp.example.com 를입력하고 ENTER 키를누른후, 정상적으로이름풀이및연결이성공임을검증합니다. 정상적으로 131.107.0.1 주소가확인됨을 알수있습니다. 이제 ping app1.corp.contoso.com 를입력하고 ENTER 키를누릅니다. app1.corp.contoso.com 서버는내부서버이므로, 인트라넷이름풀이가정상적으로수행됨으로써 DirectAccess 클라이언트가정상작동됨을확인할수있습니다. 2006:2005:1::80 주소는 app1.corp.contoso.com 의 IPv6 주소입니다. CLIENT1 컴퓨터의좌측하단의 Start 아이콘을클릭합니다. Start 페이지에서, run 을입력합니다. Apps results 페이지에서 Run App 를클릭합니다. 페이지 22 / 141

Run 창에서, iexplore.exe 를입력하고, IE 를수행하기위해 ENTER 키를누릅니다. http://inet1.isp.example.com 및 http://app1.corp.contoso.com 웹사이트를접근하여 정상적으로수행됨을확인할수있습니다. 페이지 23 / 141

아래 http://app1.corp.contoso.com 웹사이트에서는접근한 DirectAccess 클라이언트의 IPv6 주소를보여줍니다. 이주소는 CLIENT1 컴퓨터의 IPHTTPS 네트워크인터페이스의 Temporary IPv6 주소임을확인할수있습니다. 즉, CLIENT1 컴퓨터가 Private Homenet 서브넷에연결될때는, IPHTTPS 네트워크인터페이스를사용하여내부서버와연결함을알수있습니다. 페이지 24 / 141

페이지 25 / 141

CLIENT1 컴퓨터의좌측하단의 Start 아이콘을클릭합니다. Start 페이지에서, run 을입력합니다. Apps results 페이지에서 Run App 를클릭합니다. Run 창에서, \\app1\files 를입력하고, ENTER 키를누릅니다. 이명령어가정상수행되면, 아래와같이공유폴더의내용이보여짐을알수있습니다. 즉, CLIENT1 컴퓨터가외부인터넷영역에서도내부서버를로컬주소 (ex, \\app1 ) 형식으로접근할수있음을알수있습니다. PowerShell 창에서, 클라이언트의 IPv6 구성을확인하기위해, Get-NetIPAddress 를입력하고, ENTER 키를누릅니다. Interface Alias : iphttpsinterface 가아래와같이총 2 개가보여짐을확인할수있고, 아래와같이 AddressOrigin : Temporary 가정상적으로보여짐을확인할수있습니다. 페이지 26 / 141

CLIENT1 컴퓨터는 EDGE1 서버에 IPv6 트래픽을터널링하기위하여 IP-HTTPS 를사용합니다. Powershell 창에서, ipmo networksecurity 를입력하고 ENTER 키를누릅니다. IPsec SA 연결됨을확인하기위해 Get-netmainmodesa 를입력합니다. 사용된인증방법이 to examine the IPsec SAs established. Note that the authentication methods used are Computer Kerberos 및 User Kerberos 임을확인할수있습니다. 그리고, 어떠한인증서기반인증이사용되지않았음을확인할수있습니다. 페이지 27 / 141

위그림의 RemoteEndPoint (2002:836b:2::836b:2) 주소는아래와같이 DirectAccess 서버의 6TO4 어댑터의주소입니다. 아래 EDGE1.CORP.CONTOSO.com 서버 6TO4 어댑터주소입니다. 즉, DirectAccess 클라이언트와 DirectAccess 서버사이의통신은 6TO4 방식이사용됨을알수있습니다. 페이지 28 / 141

이번 Exercise 1 에서수행한결과를아래와같이표현할수있습니다. 페이지 29 / 141

Windows Server 8 DirectAccess : EX1 EDGE1.Contoso.com http://inet1.isp.example.com http://app1.corp.contoso.com \\app1\files Windows Server 2008 의 DirectAccess 구성과는달리, NLS 및기타 PKI 에대한상세설정없이 Window Server 8 의 DirectAccess 는손쉽게구성할수있음을확인할수있습니다. Task 3 Monitor Client Connections 1. Monitor the client connection on the EDGE1 DirectAccess server Windows Server 2008 R2 의 DirectAccess 와달리 Windows Server 8 의 DirectAccess 기능중에서 가장중요한부분중의하나가 DirectAccess 클라이언트의모니터링입니다. 이단계에서이 기능을확인해봅니다. EDGE1.CORP.CONTOSO.com 서버에연결합니다. EDGE1 서버좌측하단에마우스를움직여서, Start 를클릭합니다. Remote Access Management 를입력합니다. 페이지 30 / 141

Remote Access Management 콘솔의콘솔트리에서, Remote Client Status 를클릭합니다. 클릭하게되면현재연결된 DirectAccess 클라이언트의현황을확인할수있습니다. 현재데모 환경에서는 1 대의 DirectAccess 클라이언트가연결되어있음을아래와같이확인할수있습니다. 위화면에서 CLIENT1 연결을더블클릭하여원격클라이언트통계를확인합니다. 페이지 31 / 141

Note: 모니터링스크린에클라이언트원격세션이나타나기위해서는기다리는시간이필요할 수도있습니다. 페이지 32 / 141

Exercise 2: Configure a DirectAccess Client using Offline Provisioning 원격사용자의랩톱이분실되거나손상되었다면, 관리자는원격사용자의대체컴퓨터의 domain join 및 provision 작업을진행해야합니다. 이러한상황에서, DirectAccess 기능을사용하여원격컴퓨터를도메인에 join 시킬수있습니다. 이번단계에서는, 이러한원격컴퓨터의도메인죠인을위해서 DirectAccess 의구성방법을확인해봅니다. 관리자는원격컴퓨터의사용자에게 DirectAccess 기능을사용하여도메인에죠인할수있는 provisioning package 를메일로전송하고, 원격사용자는이 provisioning package 를사용하여원격컴퓨터를도메인에죠인시킬수있습니다. NOTE: 이번단계는반드시앞선 Exercise 1 과정을완전히수행한후에진행해야합니다. Task 1 Create provisioning package 1. Create a provisioning package for CLIENT2. 이번단계에서도메인에죠인해야할원격컴퓨터를위한 provisioning package 를생성해야합니다. 이단계는도메인에죠인된임의의멤버서버에서관리자권한을가지고수행할수있습니다. 본데모환경에서는 APP1.CORP.CONTOSO.com 서버에서 provisioning package 를생성하는작업을수행합니다. 먼저, 아래와같이 APP1 서버의도메인및 IP 주소를확인합니다. 참고로, 이번단계에서의원격컴퓨터는 CLIENT2 입니다. 페이지 33 / 141

페이지 34 / 141

APP1.CORP.CONTOSO.com 서버에연결합니다. Start 를클릭하고, desktop 타일을선택합니다. Djoin.txt 파일을더블클릭하여, Notepad 로 open 합니다. 이파일의내용은원격컴퓨터의 도메이죠인을위한 provisioning package 를생성하기위한명령어입니다. 위내용을복사하여, cmd 창에서수행합니다. 페이지 35 / 141

다음명령어문법을확인하고, ENTER 키를누릅니다. Djoin /provision /machine CLIENT2 /domain corp /policynames "DirectAccess Client Settings" /rootcacerts /savefile c:\files\provision.txt /reuse Note: 본데모환경에서 DirectAccess 대상클라이언트를위한그룹정책이름이 DirectAccess Client Settings 이므로보라색의빈공간을정확하게입력합니다. 이정책은앞서 EX1 에서생성되었던것입니다. 위 Djoin 명령어의 /provision 구문은 Active Directory 에컴퓨터계정을생성하는방법입니다. Djoin 에대한명령어구문은아래링크를참조합니다. Djoin ( http://technet.microsoft.com/en-us/library/ff793312(v=ws.10).aspx ) 위명령어가정상적으로수행되면, 이명령어를수행한컴퓨터 APP1 의 C:\Files\Provision.txt 파일이생성됩니다. 2. Add CLIENT2 to the DirectAccessClients security group. 이번과정에서는앞서 DJoin 을사용하여생성한 CLIENT2 컴퓨터계정을 DirectAccessClients 보안그룹에추가합니다. 이과정은도메인컨트롤러인 DC1.CORP.CONTOSO.com 컴퓨터에서 Active Directory Computers and Users 도구를사용하여수행합니다. 먼저, 아래와같이 DC1 컴퓨터의도메인현황및 IP 주소를확인합니다. 페이지 36 / 141

페이지 37 / 141

DC1.CORP.CONTOSO.com 컴퓨터에연결합니다. Start 스크린에서, Active 를입력한후, Apps 스크린에서 Active Directory Users and Computers 를선택합니다. corp.contoso.com 를확장한후, Users 컨테이너를선택합니다. 상세창에서, DirectAccessClients 오른쪽마우스클릭하고 Properties 를클릭합니다. Members 탭에서, Add 를클릭합니다. 현재구성원이 CLIENT1 만존재함을확인합니다. 페이지 38 / 141

Object Types, 를클릭하고, Computers 를선택한후, OK 를클릭합니다. CLIENT2 를입력하고, OK 를클릭합니다. DirectAccessClients 속성다이얼로그를닫기위해 OK 를클릭합니다. Active Directory Users and Computers 를종료합니다. 페이지 39 / 141

3. Connect CLIENT2 to Corpnet 이번단계에서는원격컴퓨터 CLIENT2 를 Private Corpnet 서브넷에연결하여, 앞서생성한 provision package 파일을복사할수있도록합니다. 실제환경에서는 provision package 파일을원격컴퓨터 CLIENT2 사용자가받아볼수있도록 e-mail 등을통하여전송할수도있습니다. 본데모환경에서는별도의 e-mail 시스템이없어서, 잠시 Private Corpnet 서브넷에 CLIENT2 를연결하여 provision package 파일을복사합니다. 아래와같이현재 CLIENT2 원격컴퓨터는 workgroup 상태임을확인할수있습니다. CLIENT2 컴퓨터에연결합니다. From Start 스크린에서, screen select Desktop 타일을선택합니다. CLIENT2 컴퓨터가 Corpnet 연결을할수있도록, Corpnet 서브넷에연결된네트워크인터페이스를활성화하고, HomeNet 서브넷에연결된네트워크인터페이스는비활성화합니다. (System Notification Area 의네트워크아이콘을오른쪽마우스클릭한후, Open Network and Sharing Center 를선택합니다 ). Private Corpnet 에 CLIENT2 컴퓨터가연결된후에, 할당받은 IP 를아래와같이확인합니다. 페이지 40 / 141

4. Copy the provisioning package to CLIENT2 이제앞서연결된 Private Corpnet 서브넷을통하여, CLIENT2 컴퓨터가 APP1 (10.0.0.8) 컴퓨터의 공유폴더에접근하여, provisioning package 파일을자신의로컬에복사합니다. Star, 를클릭하고 Run 을입력합니다. Apps page 에서, Run 를선택합니다. Run 창에서, \\10.0.0.80\files, 를입력하고, ENTER. 키를누릅니다. 페이지 41 / 141

만약 credential 관련다이얼로그가수행되면, CORP\Administrator 를입력하고, 암호 p@ssw0rd 를입력한후, ENTER 키를누릅니다. 아래와같이 \\10.0.0.8\files 공유폴더가보여집니다. Files 공유폴더창에서, provision.txt 파일을오른쪽마우스클릭하고, Copy 를클릭합니다. 아래와같이 CLIENT2 컴퓨터의 C:\Provision 폴더에 provision.txt 파일을복사합니다. 이제 CLIENT2 원격컴퓨터에필요한 provision package 파일의복사를완료했습니다. 다시한번 언급하자면, 이과정은실제환경에서는 e-mail 및 USB 미디어등을통하여 provision package 파일을전달할수도있습니다. 5. Move CLIENT2 to an Internet connection 페이지 42 / 141

이제실제 CLIENT2 컴퓨터를인터넷영역으로위치시킵니다. CLIENT2 컴퓨터가인터넷영역인 Private Homenet 연결을할수있도록, Homenet 서브넷에연결된네트워크인터페이스를활성화하고, CorpNet 서브넷에연결된네트워크인터페이스는비활성화합니다. (System Notification Area 의네트워크아이콘을오른쪽마우스클릭한후, Open Network and Sharing Center 를선택합니다 ). Homenet 서브넷에연결된후, CLIENT2 컴퓨터는아래와같이 192.168.137.x 네트워크대역의 IP 를정상적으로할당받았음을확인합니다. 페이지 43 / 141

6. Rename CLIENT2 ( 이과정은 optional 입니다. CLIENT2 컴퓨터를다른이름으로변경하더라도, 아래 Task2 과정에서 provisioning package 를적용하게되면, provisioning package 에명시적으로지정한 CLIENT2 이름으로다시변경되어도메인에죠인됩니다. 이과정을검증하기위해, 이번단계에서 CLIENT2 컴퓨터의이름을 ReplacementPC 로변경합니다.) 아래와같이 CLIENT2 컴퓨터의이름을 ReplacementPC 로변경합니다. 여기에서현재워크그룹 상태에있음을다시한번확인합니다. CLEINT2 컴퓨터를재시작합니다. Task 2 Apply Provisioning Package 1. Apply the provisioning package on CLIENT2 이제 ReplacementPC ( 예전이름 : CLIENT2) 가인터넷영역에서 provisioning package 파일을 사용하여정상적으로 CORP 도메인에죠인하는과정을수행합니다. Start 스크린에서, Desktop 타일을클릭합니다. 페이지 44 / 141

Taskbar 에서, Windows Explorer 를클릭합니다. Computer 를오른쪽마우스클릭하고, Properties 를클릭합니다. 컴퓨터이름이 ReplacementPC 임을확인하고, 현재 WORKGROUP 워크그룹상태임을확인합니다. 오프라인 provisioning package 를적용한후에, ReplacementPC 는 DirectAccess 를이용하여인터넷영역에서 CORP 도메인에 CLIENT2.CORP.CONTOSO.com 이름으로죠인될것입니다. 즉, 회사내부네트워크 (Private Corpnet) 이아닌 회사외부네트워크 (Private Homenet) 에연결된상태에서도메인에죠인할수있습니다. 먼저, 아래와같이 ReplacementPC 의현황및 IP 주소를확인합니다. 페이지 45 / 141

Start 를클릭하고, Notepad 를입력한후, Apps 스크린에서 Notepad 를선택합니다. ReplacementPC 에미리준비된 c:\sample\djoin.txt 파일을 open 합니다. Djoin.txt. 파일의전체내용을복사한후, 아래와같이 cmd 창에 paste 합니다. 여기에서앞서복사해둔, provisioning package 파일인 C:\Provision\provision.txt 를사용합니다. Djoin /requestodj /loadfile C:\Provision\provision.txt /windowspath %windir% /localos Note: windowspath %windir% /localos 부분에서공백을정확하게입력해야합니다. 페이지 46 / 141

위명령어가아래와같이정상적으로수행된후, ReplacementPC 를재부팅합니다. Task 3 Verify remote connectivity 1. Verify remote connectivity for CLIENT2 리부팅후에, DirectAccess 를통하여 CLIENT2 라는이름으로 CORP 도메인에정상적을 죠인되었음을확인합니다. CLIENT2 컴퓨터의리부팅이완료된후, Start 를클릭하고, Administrator 를클릭한후, Log off 를클릭하여, CLIENT2\Administrator 로컬계정의로그오프합니다. 페이지 47 / 141

이제인터넷영역에서수행된도메인죠인과정을검증합니다. 먼저, 도메인계정으로로그인을 수행하기위해, Switch User 를클릭합니다. Other User 를클릭하고, CORP 도메인계정인 corp\administrator 를입력하고, 암호로 p@ssw0rd 를입력한후, ENTER 키를누릅니다. Start 스크린에서, desktop 타일을클릭합니다. Taskbar 에서, Windows Explorer 를클릭합니다. 페이지 48 / 141

Computer 를오른쪽마우스클릭하고, Properties 를클릭합니다. CLIENT2 컴퓨터가 corp.contoso.com 도메인의멤버임을확인합니다. Taskbar 에서, IE 를수행하기위해 Internet Explorer 아이콘을클릭합니다. IE 에서 http://inet1.isp.example.com 인터넷사이트와 CORP (Washington) 사이트의 http://app1.corp.contoso.com 내부사이트를접근하여아래와같이성공적으로연결됨을확인합니다. 페이지 49 / 141

아래 http://app1.corp.contoso.com 사이트를접근하게되면, 아래와같이연결할때사용하는 IPv6 주소를확인할수있습니다. 위주소는아래와같이 CLIENT2 컴퓨터의 IPHTTPS 네트워크인터페이스의주소임을확인할수 있습니다. 페이지 50 / 141

Start 를클릭하고, Run 을입력한후, ENTER 를누릅니다. Run 창에서, \\app1\files 를입력하고, ENTER 를누릅니다. CLIENT2 컴퓨터가외부인터넷구간에있어서, 여전히 DirectAccess 를사용하여내부서버의공유폴더를접근할수있음을확인할수있습니다. 페이지 51 / 141

또한, EDGE1.CORP.CONTOS.com (DirectAccess Server) 서버의 Remote Client Status 를확인해 보면아래와같이 CLIENT2.CORP.CONTOSO.com 클라이언트가 DirectAccess 연결에성공했음을 알수있습니다. 위 CORP\CLIENT2$ 를더블클릭하면아래와같이상세정보를확인할수있습니다. 페이지 52 / 141

아래그림은 Exercise 2 에서수행한결과를요약한것입니다. 페이지 53 / 141

Windows Server 8 DirectAccess : EX2 CLIENT2 131.107.0.5 VIP Offline Domain Join via DirectAccess http://inet1.isp.example.com http://app1.corp.contoso.com \\app1\files 페이지 54 / 141

Exercise 3: Configure High Availability for DirectAccess using the Expert Wizard Windows Server 8 의 DirectAccess 는 고가용성및확장성 (high availability and scalability) 을확보하기위해 Windows NLB 를사용할수있는방법을기본적으로제공합니다. NLB 구성은신규배포마법사인터페이스를통하여손쉽게설치및자동화할수있습니다. Windows Server 2008 R2 의 DirectAccess 의 고가용성및확장성 (high availability and scalability) 을확보하기위해서는, 별도의복잡한 NLB 또는 L4 구성이필요합니다. 그러나, Windows Server 8 의 DirectAccess 의 고가용성및확장성 (high availability and scalability) 을확보하기위한방법으로써손쉬운마법사를제공합니다. 다만, Windows Server 8 의 DirectAccess 의 고가용성및확장성 (high availability and scalability) 을구성하기위한마법사는 NLB 또는 L4 스위치를지원합니다. NOTE: 이번 Exercise 는반드시 Exercise 1 과정을완료한후에진행해야합니다. Task 1 Deploy DirectAccess using the Expert Wizard 1. Configure DirectAccess using the Expert Wizard EDGE1.CORP.CONTOSO.com 서버에연결합니다. Remote Access Management 콘솔에서, 콘솔트리에서 Configuration 노드를선택합니다. Step 2 DirectAccess Server 밑의 Edit 를클릭합니다. 페이지 55 / 141

Edge topology 를선택하고, Enter the public name/ipv4 address that the remote access clients will connect to 부분에 EDGE1.contoso.com 가입력되어있음을확인하고 Next 를두번 클릭합니다. 페이지 56 / 141

아래네트워크어댑터부분에서 인터넷 연결어댑터와 Internal 연결어댑터가자동적으로 정상적으로선택되어있음을확인합니다. Important: Prefix 구성스크린에서, NLB 지원을위해 IPv6 prefix to assign to remote client computers 부분에서 /64 를 to /59 로변경합니다. 즉, 2006:2005:1:1000::/64 를 2006:2005:1:1000::/59 로변경한후, Next 를클릭합니다. (64 에서 59 로바꾸는이유????????) 페이지 57 / 141

Authentication 스크린에서, Use computer certificates 를선택하고, Browse 를클릭합니다. corp-dc1-ca 를선택하고 OK 를클릭한후, Finish 를클릭합니다. 즉, DirectAccess 클라이언트컴퓨터의컴퓨터인증서또는사용자인증서를발급해준 CA 의루트인증서를 선택합니다. 페이지 58 / 141

Step 3 Infrastructure Servers 밑의 Edit 를클릭합니다. 현재구성은아래와같이 Network Location Server 가 DirectAccess 서버에서직접수행하고하는 방식으로되어있음을확인합니다. 페이지 59 / 141

이제 NLS 옵션을 Network Location server is run on a highly available server (recommended) 로변경하고, https://nls.corp.contoso.com 를입력하고 Validate 를클릭합니다. 아래와같이 Validation successful 메시지를확인할수있습니다. nls.corp.contoso.com 은 app1.corp.contoso.com 서버와동일한 IP 로미리등록되어있어야합니다. 페이지 60 / 141

사전에 APP1 서버에 nls.corp.contoso.com 서버인증서가반드시설치되어있어야하고, 웹 사이트에 SSL(443) 이바인딩되어있어야합니다. DNS, DNS Suffix Search List, 및 Management 를위한기본설정값을그대로사용하도록 Next 를 3 번클릭한후 Finish 를클릭합니다. 페이지 61 / 141

위 corp.contoso.com 도메인에대한 DNS 서버주소인 2006:2005:1::2 는 DirectAccess 서버인 EDGE1.CORP.CONTOSO.com 의 IPv6 주소입니다. 페이지 62 / 141

Remote Access Management 콘솔의밑부분의 Finish 를클릭합니다. DirectAccess Review 창에서 Apply 를클릭한다. 설정이완전히끝날때까지기다린후에 Close 를클릭합니다. 페이지 63 / 141

Remote Access Management 콘솔에서, Dashboard 를선택합니다. 상세창의 Configuration Status 의 Status 가그린이될때까지모니터링합니다. Configuration Status 의상태가그린이 될때까지 Refresh 를클릭합니다. 페이지 64 / 141

Task 2 Configure high availability for DirectAccess with NLB 1. Configure High Availability for DirectAccess Remote Access Management 콘솔에서, Navigation 창왼쪽편의 Configuration 탭으로전환합니다. Remote Access Management 콘솔의 Tasks -> Load Balanced Cluster -> Enable Load Balancing 를클릭합니다. Load Balancing 부분에서, Use Windows Network Load Balancing (NLB) 를선택합니다. Dedicated IP Addresses 부분에서아래값을입력합니다. 이값은 NLB 의대표 Virtual IP 입니다. o External adapter (IPv4): 131.107.0.5, Subnet mask: 255.255.255.0 페이지 65 / 141

o Internal adapter (IPv4): 10.0.0.5, Subnet mask: 255.255.255.0 o Internal adapter (IPv6): 2006:2005:1::5 OK 를클릭한후, Close 를클릭한다. 페이지 66 / 141

구성사항이적용된후, 이제아래와같이 Remote Access Servers 하위에 EDGE1 서버가아닌 Load Balanced Cluster 로변경되어있음을확인합니다. Remote Access Management 콘솔에서, Dashboard 를선택합니다. 상세창의 Configuration Status 의 Status 가그린이될때까지모니터링합니다. Configuration Status 의상태가그린이 될때까지 Refresh 를클릭합니다. 페이지 67 / 141

Note: Windows Server 8 의 preview edition 에서, NLB 를활성화한후, 약간의시스템오류가 발생할수도있습니다. 이러한오류를해결하기위해서는서버를리부팅해야합니다. 2. Add the EDGE2 server to the load balancing configuration (EDGE2 서버에는아직 DirectAccess 가구성되어있지않음. 이번과정을통하여 EDGE1 서버에서원격으로 EDGE2 서버를추가하여, 2 대의서버가 DirectAccess 기능을 Load Balancing 할수있음 ) Remote Access Management 콘솔에서, Configuration 링크를클릭합니다. 페이지 68 / 141

Remote Access Management 콘솔에서 Load Balanced Cluster -> Add or Remove Servers 클릭합니다. Add/Remove Servers 다이얼로그에서 Add Server 를클릭합니다. 현재 NLB 구성에 EDGE1.CORP.CONTOSO.com 서버만참여해있음을아래에서확인할수있습니다. DirectAccess Server 를선택하는부분에서, EDGE2.corp.contoso.com 를입력하고, Next 를 클릭합니다. 즉, NLB 에참여할서버를지정합니다. 페이지 69 / 141

네트워크인터페이스를위한기본설정을그래도사용하기위하여 Next 를클릭합니다. (EDGE2 서버의 IP 가정상적으로 retrieve 됨을알수있습니다. 또한, IP-HTTPS 통신을위해사용할 인증서가정상적으로 retrieve 됨을역시알수있습니다.) 페이지 70 / 141

Summary 페이지에서, Commit 를클릭합니다. 페이지 71 / 141

Completion 페이지에서, Close 를클릭합니다. 페이지 72 / 141

Add/Remove Servers 다이얼로그를닫기위하여 OK 를클릭합니다. 서버추가작업이완료될 때까지기다린후에, Close 를클릭합니다. 페이지 73 / 141

Remote Access Management 콘솔에서, Dashboard 를선택합니다. 상세창의 Configuration Status 의 Status 가그린이될때까지모니터링합니다. Configuration Status 의상태가그린이될때까지 Refresh 를클릭합니다. 특히, EDGE1 및 EDGE2 서버모두상태가그린이될때까지기다려야합니다. 상태가정상적으로그린으로보여질때까지 5 분이상소요될수도있습니다. 페이지 74 / 141

Windows Server 8 의 preview edition 에서, EDGE2 서버의상태가그린이아닌옐로우로보여질 수도있습니다. EDGE2 서버의상태를그린으로변경하기위해서는아래작업을수행해야합니다. EDGE2.CORP.CONTOSO.com 서버에연결합니다. cmd 창에서아래명령어를실행합니다. 아래명령어는 EDGE2 서버의 Private Corpnet 네트워크인터페이스에대해서 IPv6 라우팅을추가하는작업입니다. Netsh int ipv6 add route 2006:2005:1::/48 publish=yes interface = private Corpnet 위명령어가정상적으로수행된후, 다시 NLB 구성중인 EDGE1 서버로전환합니다. EDGE1.CORP.CONTOSO.com 서버에연결합니다. Remote Access Management 콘솔에서, Dashboard 를선택합니다. 상세창의 Configuration Status 의 Status 가그린이될때까지모니터링합니다. Configuration Status 의상태가그린이될때까지 Refresh 를클릭합니다. 특히, EDGE1 및 EDGE2 서버모두상태가그린이될때까지기다려야합니다. 페이지 75 / 141

아래는 EDGE1 서버의 Private Corpnet 네트워크인터페이스에 IPv6 주소에앞서설정한 VIP ( 2006:2005:1::2 ) 주소가정상적으로바인딩되어있음을알수있습니다. 또한, EDGE2 서버의 Private Corpnet 네트워크인터페이스에 IPv6 주소에앞서설정한 VIP ( 2006:2005:1::2 ) 주소가정상적으로바인딩되어있음을알수있습니다. 페이지 76 / 141

이제최종적으로 Server Status 및 Configuration Status 모두정상적으로그린상태임을 확인합니다. 페이지 77 / 141

3. Update CLIENT1 with the modified DirectAccess configuration 이번단계에서는앞서 NLB 구성으로변경된 DirectAccess 구성을클라이언트에적용하기위한작업을진행합니다. CLIENT1.CORP.CONTOSO.com 서버에연결합니다. 현재 EDGE1 상의 Network Location Server (NLS) 가사용가능하지않은상황에서, CLIENT1 DirectAccess NRPT 값의 NLS 설정이 EDGE1.CORP.CONTOSO.com 으로구성되어있습니다. 신규 Expert 설치단계는 NLS 서버의위치를 APP1.CORP.CONTOSO.com 으로변경하였기때문에, 관리자는 CLIENT1 이 DirectAccess 를사용하여도메인에연결할때필요한 NLS 값을변경해야합니다. ( 현재 CLIENT1 의 NLS 정보는 EDGE1 이지만, 변경된 NLS 서버인 NLS.CORP.CONTOSO.com 으로 CLIENT1 의정보를변경해야합니다.) Start 스크린에서, Notepad 입력하고, ENTER 키를누릅니다. CLIENT1 의이미구성된 c:\sample\removednsclient.txt 을 open 합니다. 페이지 78 / 141

위명령어를 Powershell 에서수행합니다. Powershell 은반드시 Run as administrator 로 수행합니다. REG Delete "HKLM\Software\Policies\Microsoft\Windows NT\DnsClient" /f Start 를클릭하고, Desktop 타일을클릭합니다. CLIENT1 컴퓨터가 Corpnet 연결을할수있도록, Corpnet 서브넷에연결된네트워크인터페이스를활성화하고, HomeNet 서브넷에연결된네트워크인터페이스는비활성화합니다. (System Notification Area 의네트워크아이콘을오른쪽마우스클릭한후, Open Network and Sharing Center 를선택합니다 ). 변경된 DirectAccess 의 NPRT 값을적용받기위해서, CLIENT1 컴퓨터를 Corptnet 서브넷에연결하는과정입니다. PowerShell 프로롬트에서, gpupdate 를입력하고 ENTER 키를누릅니다. 그룹정책이아래와같이성공적으로적용됨을확인합니다. PowerShell 창에서, Get-DnsClientEffectiveNrptPolicy 를입력하고, ENTER 키를누릅니다. 현재, DirectAccess 의 Name Resolution Policy Table (NRPT) 항목이보여집니다. 페이지 79 / 141

Note: Namespace 항목에서, 기존 NLB 를구성하기전의 EDGE1.corp.contoso.com 값에서, NLB 구성후 to nls.corp.contoso.com 로변경되었음을확인합니다. 다시 Private Corpnet 네트워크를비활성화하고, Private Homenet 네트워크를활성화한후, 아래 결과를확인합니다. Task 3 Test successful failover operation of a client connection 이번단계에서는 NLB 로구성된 DirectAccess 서버에대한클라이언트연결의 failover 연결테스 트를진행합니다. 1. Move CLIENT1 to an Internet Connection 이제 CLIENT1 컴퓨터에 DirectAccess 설정적용을완료하였기때문에, CLIENT1 컴퓨터를인터넷영역으로이동하여실제 DirectAccess 연결을테스트합니다. 본데모환경에서는 131.107.0.x 라는가상의네트워크대역을인터넷영역으로가정합니다. 아래단계는 Private Homenet 네트워크영역에 CLIENT1 컴퓨터를연결함으로써, CLIENT1 컴퓨터가인터넷영역에있음을가정합니다. CLIENT1 컴퓨터가인터넷연결을하기위해서, Corpnet 서브넷에연결된네트워크인터페이스는비활성화하고, HomeNet 서브넷에연결된네트워크인터페이스를활성화합니다. Start 를클릭하고, Start page 에서 Desktop 타일을클릭합니다. 페이지 80 / 141

Network and Sharing Center 를 open 합니다. (System Notification 영역에서네트워크아이콘을오른쪽마우스클릭하고, Open Network and Sharing Center 를선택합니다 ). Network and Sharing Center 에서, Change adapter settings 링크를클릭합니다. Private Corpnet 연결된네트워크어댑터를선택한후, Disable 를선택하여비활성화합니다, Private HomeNet 연결된네트워크어댑터를선택한후, Enable 를선택하여활성화합니다. 아래와같이 Private HomeNet 이활성화되어있음을확인합니다. PowerShell 프롬프트에서, Get-DnsClientEffectiveNrptPolicy 입력하고, ENTER 키를누릅니다. CLIENT1 컴퓨터가인터넷영역에존재하기때문에, NRPT 설정이 True 임을확인하고, DADnsServers 컬럼에 2006:2005:1::2 값이설정되어있음을확인합니다. 이주소는 EDGE1 과 EDGE2 서버의 NLB 구성후, 설정된 VIP 입니다. Get-DAConnectionStatus 입력하고, ENTER 키를누릅니다. 상태가 ConnectedRemotely 임을 확인합니다. 상태가 Unknown 인경우가보이기도하는데, 이러한경우에는 ConnectedRemotely 상태가될때까지기다립니다. 2. Verify client connectivity to both Internet and corporate intranet resources over DirectAccess PowerShell 프롬프트에서, ping inet1.isp.example.com 을입력하고, ENTER 키를누릅니다. 이 단계에서, Internet 이름풀이및연결이정상적임을검증합니다. 페이지 81 / 141

또한, ping app1.corp.contoso.com 입력하고, ENTER 키를누른후, 인트라넷이름풀이및연결이정상적임을확인합니다. APP1 서버의주소가프리픽스가 2006:2005: 주소로이름 풀이됨을확인할수있습니다. ( 아래 APP1 의주소가 APP1 의 ISATAP 주소인지 pure 주소인지반드시확인합니다 ) APP1 서버의 IPv6 주소를확인해보면, 2006:2005:1::80 은실제설정된 pure IPv6 주소이고, 아래 IPv6 주소는 DirectAccess 서버로부터할당받은주소임을알수있습니다. 페이지 82 / 141

Open 되어있는모든 IE 창을닫습니다. Taskbar 에서, IE 를수행하기위해 Internet Explorer 아이콘을클릭합니다. IE 에서 http://inet1.isp.example.com 및 http://app1.corp.contoso.com 사이트를접근합니다. INET1 서버는인터넷영역의서버이고, APP1 은인트라넷영역의서버임을유의해야합니다. 페이지 83 / 141

http://app1.corp.contoso.com 사이트를접근했을때, 위그림에서확인된 CLIENT1 의주소는 아래와같이 IPHTTPS 네트워크인터페이스의 Temporary IPv6 주소임을확인합니다. 페이지 84 / 141

Start 클릭하고, \\app1\files 입력하고, ENTER 키를누릅니다. Files 공유폴더의내용을 확인할수있습니다. PowerShell 창에서, Get-NetIPAddress 입력하고, ENTER 키를입력한후, 클라이언트의 IPv6 구성을점검합니다. iphttpsinterface 터널어댑터에유효한 IP-HTTPS 주소가활성상태임을 확인할수있습니다. Get-NetIPHTTPsState 입력하고, ENTER 키를입력합니다. CLIENT1 이 CORP 인트라넷의 서버들에연결하는방법으로써, IPv6 트래픽은 IP-HTTPS 방식을사용함을아래결과에서확인할 수있습니다. 페이지 85 / 141

IP-HTTPS 인터페이스에서내부인트라넷연결을위해사용한, ServerURL 의 FQDN 인 EDGE1.CONTOSO.com 의주소는인터넷영역의 DNS 서버에아래와같이사전에 NLB 의 VIP 인 131.107.0.2 로등록되어있어야합니다. 본데모환경에서는인터넷영역의 DNS 서버는 inet1.isp.example.com 에호스팅되어있습니다. Edge1.contoso.com 의 IP 인 131.107.0.2 는 edge1.corp.contoso.com (131.107.0.5) 와 edge2.corp.contoso.com (131.107.4) 의대표 IP 입니다. Windows Firewall with Advanced Security 콘솔을수행하기위해, wf.msc 를입력하고 ENTER 키를누릅니다. 연결된 IPsec SAs 를확인하기위해, Monitoring -> Security Associations 를클릭합니다. 여기에서, 인증방법이 Computer Certificate 및 User Kerberos, 사용됨을확인할수있고, DirectAccess 는 two-tunnel 배포방식으로구성되어있음도확인할수있습니다. Connection Security Rules 에서는현재적용된정책을확인할수있습니다. 페이지 86 / 141

3. Monitor the client connection on the EDGE1 DirectAccess server 이번단계에서는, NLB 로구성된 DirectAccess 서버클러스터에서실제 DirectAccess 클라이언트 연결된서버를확인합니다. EDGE1 또는 EDGE2 서버에 DirectAccess 클라이언트가연결되어 있음을확인합니다. EDGE1.CORP.CONTOSO.com 또는 EDGE2.CORP.CONTOSO.com 서버에연결합니다. Start 를클릭하고, Remote 를입력한후, Apps 스크린에서 Remote Access Management 를선택합니다. Remote Access Management 콘솔의콘솔트리에서, Remote Client Status 를선택합니다. 위결과에서, CLIENT1 연결을더블클릭하여, 상세정보를아래의 Detailed client statistics 다이얼로그에서확인합니다. 아래다이얼로그항목중에서 Server 항목의값을확인합니다. 이값은 DirectAccess 클라이언트가연결한 DirectAccess 서버중의하나임을확인할수있습니다. 이제 DirectAccess 서버의 failover 테스트를위해, 현재클라이언트의활성연결을유지하는페이지 87 / 141

DirectAccess 서버의 NLB 를강제로중지시킵니다. 본데모환경에서는현재 CLIENT1 컴퓨터가 연결한서버는 EDGE1.CORP.CONTOSO.com 서버입니다. 4. Stop the NLB functionality on the DirectAccess server to which CLIENT1 is connected ( 본데모환경에서는 EDGE1 서버의 NLB 를중지시킵니다.) Start 를클릭하고, nlbmgr.exe 입력한후, ENTER 키를누릅니다. 콘솔트리에서, Network Load Balancing Clusters 를확장합니다. 페이지 88 / 141

위 NLB Manager 를확인해보면, 앞서 DirectAccess 서버에서 Load Balancing 를활성화하게되면, 위와같이 Internet DA cluster (131.107.0.2) 및 Internal DA cluster (10.0.0.2) 에대한 NLB 가정상적으로구성되어있음을확인할수있습니다. Internet DA cluster (131.107.0.2) 를확장한후, 현재 CLIENT1 클라이언트가연결한 EDGE1 서버를오른쪽마우스클릭한후, Control Host -> Stop 을클릭하여, NLB 서비스를강제로 중지시킵니다. 페이지 89 / 141

5. Delete the active IPsec security associations on the client 이과정은 Optional 입니다. ( 클라이언트가신규노드로 failover 하는데대략 10 ~ 20 초정도의시간이소요됩니다. 이단계는이시간을줄이기위한과정입니다.) 현재 DirectAccess Load Balanced Cluster 에연결한 CLIENT1.CORP.CONTOSO.com 클라이언트에연결합니다. DirectAccess 클라이언트 IPsec 보안협상 (Security Associations) 은자동적으로 time out 및 expire 됩니다. 본데모환경에서는기존의 SA 를수동으로삭제함으로써, 즉각적으로 CLIENT1 컴퓨터가 Load Balanced Cluster 내의다른 DirectAccess 서버 (ex, EDGE2) 에연결하도록합니다. PowerShell 프롬프트에서, netsh advfirewall monitor delete mmsa 를입력하여, main mode SAs 를삭제합니다. 또한, netsh advfirewall monitor delete qmsa 명령어도수행하여, quick mode SAs 를 삭제합니다. 6. Verify that CLIENT1 can still access corpnet resources EDGE1 서버의 NLB 서비스를중지한후, CLIENT1 클라이언트컴퓨터의보안협상을강제로 삭제한후, 다시 ping app1.corp.contoso.com 입력하고, ENTER 키를누릅니다. 아래와같이 페이지 90 / 141

여전히 CLIENT1 컴퓨터는인트라넷서버에대한이름풀이및연결이정상적임을알수 있습니다. APP1 은프리픽스 2006:2005: 로시작하는 IPv6 주소임을확인할수있습니다. 열려진 IE 창을닫습니다. Taskbar 에서 Internet Explorer 아이콘을클릭하여 IE 를수행합니다. 주소창에서 http://app1.corp.contoso.com 를입력하여웹사이트에접근합니다. 정상적으로웹사이트가열려짐을확인합니다. 또한, Start 를클릭하고, \\app1\files 입력한후 ENTER 키를누릅니다. 이제 Files 공유폴더가정상적으로보여짐을확인합니다. 7. Monitor the client connection on the DirectAccess server NLB 어레이내의활성 DirectAccess 서버에연결합니다. Start 를클릭하고, Remote 입력후, Remote Access Management 를선택합니다. Remote Access Management 콘솔의콘솔트리에서, Remote Clients Status 를선택합니다. CLIENT1 클라이언트가이제 NLB 어레이내의다른가용한 DirectAccess 서버에연결되어있음을확인합니다. 즉, EDGE1 이아닌 EDGE2 서버에연결되어있음을확인합니다. 페이지 91 / 141

이제정상적으로 DirectAccess 서버의 NLB 구성이완료되고테스트되었습니다. 8. Resume the NLB functionality on the second DirectAccess server in the High Availability Cluster Start 를클릭하고, nlbmgr.exe, 입력한후, ENTER 키를누릅니다. 콘솔트리에서, Network Load Balancing Clusters 를확장합니다. Internet DA cluster (131.107.0.2) 를확장한후, EDGE1 을오른쪽마우스클릭한후, Control Host -> Start. 순서로선택하여, NLB 서비스를다시시작합니다. 페이지 92 / 141

아래는본 Exercise 3 을도식화한그림입니다. 외부 DirectAccess 클라이언트는 131.107.0.2 대표 VIP 로연결합니다. Windows Server 8 DirectAccess : EX3 131.107.0.5 NLB for DirectAccess VIP 페이지 93 / 141

Exercise 4: Configure Multi-Site DirectAccess Windows Server 8 의 DirectAccess 는지역적으로분산되어서버들의접근을위한다중 DirectAccess 엔트리지점의구성을지원합니다. 즉, 클라이언트의물리적인위치와무관하게, 효율적인방법으로 Corpnet 내의자원을접근할수있습니다. 본데모환경에서는, 이러한 Windows Server 8 의 DirectAccess 기능을테스트하기위해총 2 개의물리적인사이트를구성했습니다. 물리적위치인 Washington 에 CORP 라는 Active Directory 사이트를구성했고, 물리적위치인 France 에 CORP2 라는 Active Directory 사이트를구성했습니다. NOTE: 본과정은반드시 Exercise1 또는 Exercise3 과정을사전에완료해야수행할수있습니다. 본과정의개략적인사이트구성도는아래와같습니다. 131.107.0.5 VIP 페이지 94 / 141

Task 1 Deploy Multi-Site DirectAccess 1. Configure DirectAccess using the Expert Wizard 본단계에서는 Multi-Site DirectAccess 를배포합니다. 배포후에다음단계에서활성화과정을 완료해야합니다. EDGE1.CORP.CONTOSO.com 서버에연결합니다. Remote Access Management 콘솔에서, Configuration 노드를선택합니다. Remote Access Servers 하위의 Load Balanced Cluster 를선택합니다. ( if NLB is already configured) Step 2 DirectAccess Server 밑의 Edit 를클릭합니다. Edge topology 가선택되고, Enter the public name to which the remote access clients will connect to 항목의값이 EDGE1.contoso.com 임을확인한후, Next 를두번클릭합니다. 페이지 95 / 141

아래과정에서 Internet 연결인터페이스및 Internal 연결인터페이스모두확인되지않습니다. 즉, 현재네트워크인터페이스는모두 NLB 레벨에서관리하기때문에, 아래단계에서는보여지지 않습니다. 이점유의하셔야합니다. 다음 7 번단계는 Ex3 에서수행했던작업을검증하기위한작업입니다. 페이지 96 / 141

o Prefix Configuration 스크린에서, NLB 지원을위해 IPv6 prefix to assign to remote client computers 값을 /59 로변경합니다. 즉, 2006:2005:1:1000::/64 를 2006:2005:1:1000::/59 로변경후 Next 를클릭합니다. 클릭합니다. o Authentication 스크린에서, Use computer certificates 를선택하고 Browse 를 o corp-dc1-ca 를선택하고, OK 를클릭한후에 Finish 를클릭합니다. 페이지 97 / 141

o Step 3 Infrastructure Servers 밑의 Edit 를클릭합니다. o Network Location server is run on a highly available server (recommended) 를 선택하고, https://nls.corp.contoso.com 입력한후, Validate 를클릭합니다. Validation successful 메시지가보여짐을확인할수있습니다. 페이지 98 / 141

o DNS, DNS Suffix Search List, 및 Management, 의기본값을그래도사용하고 Next 를세 번클릭하고, Finish 를클릭합니다. 페이지 99 / 141

o Remote Access Management 콘솔밑부분의 Finish 를클릭합니다. DirectAccess Review 창에서 Apply 를클릭합니다. 모든동작이완료될때까지기다린후, Close 를클릭합니다. 페이지 100 / 141

2. Enable Multi-Site DirectAccess on EDGE1 이제 EDGE1 서버에서 Multi-Site DirectAccess 를활성화합니다. EDGE1.CORP.CONTOSO.com 서버에연결합니다. Start 를클릭하고, Remote Access Management 를입력합니다. Remote Access Management 콘솔의, 콘솔트리에서 Configuration 노드를클릭하고, Remote Access Servers 하위의 Load Balanced Cluster 를선택합니다. 앞서 Exercise 3 을수행하지않았다면, Remote Access Servers 하위의 EDGE1 를선택합니다. 본데모환경에서는 Load Balanced Cluster 를선택합니다. 페이지 101 / 141

Tasks 창에서, Enable Multi-Site 를클릭합니다. Enable Multi-Site 마법사에서 Next 를클릭합니다. Multi-site deployment name: 값으로써 Contoso 를입력하고, First entry point name: 값으로써 CORP (Washington) 를입력한후 Next 를클릭합니다. 페이지 102 / 141

Manual Site Selection, Global Load Balancing, 및 Client Support settings 를위한기본 설정을그대로사용하기위해 Next 를세번클릭합니다. 본데모환경에서는이세가지설정을 기본설정으로사용합니다. Entry Point Selection : 클라이언트컴퓨터는가장적합한 entry point 쪽으로자동으로라우팅됩니다. 조건적으로, 클라이언트들은자신이연결할 entry point 를수동으로선택할수도있습니다. 그러나, 이러한설정은 Windows 7 클라이언트에는적용되지않습니다. Entry Point 구성하는동안, 이러한클라이언트를위한지원을구성해야합니다. Global Load Balancing Settings : 조건적으로, 가장근접한 Entry Point 에클라이언트컴퓨터가 연결할수있도록, Global Load Balancing 을구성할수도있습니다. 그러나, 본데모환경에서는 구성하지않습니다. Client Support : Windows 7 클라이언트컴퓨터가연결할수있는 entry point 를지정할수있습니다. 기본적으로 Windows Server 8 의 DirectAccess entry point 는 Windows 7 클라이언트의연결을허용하지않습니다. 이러한 Windows 7 클라이언트의연결을허용하기위해서는수동으로구성해야합니다. 페이지 103 / 141

페이지 104 / 141

페이지 105 / 141

Summary 스크린에서, 구성을적용하기위해 Commit 를클릭합니다. 페이지 106 / 141

구성이적용된후, 상태다이얼로그에서 Close 를클릭합니다. Enable Multi-Site 마법사에서 Close 를클릭합니다. 페이지 107 / 141

3. Add 2-EDGE1 as the second entry point in the multi-site DirectAccess deployment 앞선단계에서, Multi-Site DirectAccess 구현을위해 10.0.0.x 네트워크대역의 CORP (Washington) 사이트이름으로 entry point 를구성했습니다. 이제또다른 10.2.0.x 네트워크대역에 DirectAccess 의사이트및 entry point 를구성합니다. 이작업은계속해서 EDGE1.CORP.CONTOSO.com 서버의 Remote Access Management 도구에서진행합니다. Remote Access Management 콘솔에서, 앞선단계에서생성한 Enterprise Name Contoso 를 클릭합니다. 그런다음, Tasks -> Multi-Site Deployment -> Add an Entry Point 를클릭합니다. 페이지 108 / 141

Remote Access server: 값으로써를입력하고, Entry point name: 값으로써 CORP2 (France) 를 입력한후, Next 를클릭합니다. 여기에서 2-EDGE1.corp2.corp.contoso.com 서버는 10.2.0.x 네트워크대역의 DirectAccess 서버로써구성될 entry point 입니다. 페이지 109 / 141

Network Topology 에서, Edge 토폴로지를선택하고, Next 를클릭합니다. 페이지 110 / 141

아래 Network Name/IP Address 부분에, 2-EDGE1.corp2.corp.contoso.com 서버의외부공개이름을 2-EDGE1.contoso.com 으로입력한후, Next 를클릭합니다. 2-EDGE1.contoso.com 공개이름은외부공개 IP 는 131.107.0.20 입니다. 이호스트는외부공개이름이므로, 실제환경에서는공인 DNS 서버에등록되어있어야합니다. 본데모환경에서는인터넷영역의 DNS 서버역할을 inet1.isp.example.com 수행합니다. 즉, inet1.isp.example.com 서버의 DNS 에 2- EDGE1.contoso.com 호스트가등록되어있음을확인합니다. 페이지 111 / 141

External adapter 부분에 Private Internet 를선택합니다. Internal adapter 부분은 2-Private Corpnet 를선택합니다. 현재, Multi-Site DirectAccess 구현작업을 EDGE1.CORP.CONTOSO.com 서버에서수행하고있지만, 원격으로 2-EDGE1.corp2.corp.contoso.com 서버내의모든네트워크인터페이스를확인할수있습니다. 페이지 112 / 141

아래그림은 2-EDGE1.corp2.corp.contoso.com 서버의네트워크인터페이스현황이고, 위 마법사와동일함을확인할수있습니다. CN=2-EDGE1.contoso.com 을 IP-HTTPS 인증서로선택되어있음을확인합니다. 만약, 이인증서가선택되어있지않다면, Browse 를클릭하고, 2-EDGE1.contoso.com 클릭한후, OK 를클릭하고, Next 를클릭합니다. 이작업을수행하기전에, 2-EDGE1.corp2.corp.contoso.com 서버에 CN=2-EDGE1.contoso.com 인증서가사전에설치되어있어야합니다. 페이지 113 / 141

아래그림은 2-EDGE1.corp2.corp.contoso.com 서버의인증서설치현황이고, 위마법사와 동일함을확인할수있습니다. 64-bit IPv6 prefix 로써, 2006:2005:2:2000::/59 을지정하고, Next 를클릭합니다. 현재이작업을 EDGE1.CORP.CONTOSO.com 서버에서수행하고있기때문에, 기본 prefix 가 2006:2005:2:1000::/59 설정되어있음을아래와같이확인할수있습니다. 그러나, 실제 2- EDGE1.corp2.corp.contoso.com ( 공개이름 : 2-EDGE1.contoso.com) 서버는 2006:2005:2:2000::/59 네트워크대역에존재하기때문에, 반드시이부분을변경해야합니다. 이부분을세심히확인해야합니다. 페이지 114 / 141

Client Support 및 Server GPO Settings 을위한기본값을그대로사용하기위해 Next 를두 번클릭합니다. 페이지 115 / 141

아래 DirectAccess Server 를위한 GPO 는 CORP2 (France) 사이트에위치해있는, CORP2.CORP.CONTOSO.com 도메인에생성됩니다. 페이지 116 / 141

Summary 페이지에서, 구성을적용하기위해 Commit 을클릭합니다. 아래빨간상자로명시한 부분의의미를다시한번확인합니다. 구성이적용된후에, 상태다이얼로그에서 Close 를클릭한후, Add Entry Point 마법사에서 Close 를클릭합니다. 페이지 117 / 141

앞서생성한구성이성공적으로로드될때까지기다립니다. 페이지 118 / 141

Task 2 Test successful operation 1. Verify that CLIENT1 receives the updated multi-site configuration 이단계에서는, DirectAccess 환경이 Multi-Site DirectAccess 환경으로변경되었기때문에, 변경된 GPO 를 CLIENT1 컴퓨터에게적용합니다. CLIENT1.CORP.CONTOSO.com 컴퓨터에연결합니다. CLIENT1 컴퓨터가 Corpnet 연결을할수있도록, Corpnet 서브넷에연결된네트워크인터페이스를활성화하고, HomeNet 서브넷에연결된네트워크인터페이스는비활성화합니다. (System Notification Area 의네트워크아이콘을오른쪽마우스클릭한후, Open Network and Sharing Center 를선택합니다 ). Network and Sharing Center 에서, Change adapter settings 링크를클릭합니다. Private HomeNet 에연결된네트워크어댑터를선택합니다. 만약, 이네트워크어댑터가활성화상태라면, 오른쪽마우스클릭후 Disable 을선택합니다. Private Corpnet 연결이활성화상태임을확인합니다. 페이지 119 / 141

좌측하단으로마우스를움직인후, Start 를클릭합니다. Start 페이지에서, Power 를입력합니다. Apps Results 페이지에서, Windows PowerShell 을오른쪽으로마우스클릭합니다. PowerShell 창에서, gpupdate 를입력하고 ENTER 키를누릅니다. CLIENT1 컴퓨터가 DirectAccess 정책을적용받기위해서 gpupdate 명령어를수행합니다. 정책이성공적으로적용될때까지잠시대기합니다. Get-DnsClientEffectiveNrptPolicy 를입력한후 ENTER 키를누릅니다. DirectAccess 의 Name Resolution Policy Table (NRPT) 엔트리가보여집니다. DA 컬럼이 False 임을확인할수있고, 어떠한 DADnsServers 도보여지지않음을확인할수있습니다. 이러한사실은 NRPT 정책설정을클라이언트가정상적으로적용받았고, CORP 서브넷에연결되어있는동안에는어떠한영향을미치지않음을확인할수있습니다. Import-Module DirectAccessClientComponents 를입력하고, ENTER 키를누릅니다. Get-DASiteTableEntry 를입력하고, ENTER 키를누릅니다. 여기에서, 앞서구성한 CORP (Washington) 및 CORP2 (France) 사이트 2 개가정상적으로보여짐을확인할수있습니다. 페이지 120 / 141

Get-NetIpHTTPsConfiguration 를입력하고, ENTER 키를누릅니다. 아래결과에서 https://2- EDGE1.contoso.com:443/IPHTTPS 및 https://edge1.contoso.com:443/iphttps 를확인할수있습니다. 이 2 개의 IPHTTPS URL 은결과적으로 CLIENT1 컴퓨터가 CORP (Washington) 사이트와 CORP2 (France) 사이트를연결할수있는통로가됩니다. 페이지 121 / 141

2. Verify client connectivity to both sites from the Internet through EDGE1 CLIENT1 컴퓨터가인터넷연결을하기위해서, Corpnet 서브넷에연결된네트워크인터페이스는비활성화하고, HomeNet 서브넷에연결된네트워크인터페이스를활성화합니다. Start 를클릭하고, Start page 에서 Desktop 타일을클릭합니다. Network and Sharing Center 를 open 합니다. (System Notification 영역에서네트워크아이콘을오른쪽마우스클릭하고, Open Network and Sharing Center 를선택합니다 ). Network and Sharing Center 에서, Change adapter settings 링크를클릭합니다. Private Corpnet 연결된네트워크어댑터를선택한후, Disable 를선택하여비활성화합니다, Private HomeNet 연결된네트워크어댑터를선택한후, Enable 를선택하여활성화합니다. 아래와같이 Private HomeNet 이활성화되어있음을확인합니다. 페이지 122 / 141

PowerShell 창에서, Get-NetIPAddress 명령어를수행하여, CLIENT1 컴퓨터의 IP 구성사항을확인합니다. CLIENT1 컴퓨터는 Private Homenet 인터페이스에 192.168.137 로시작하는사설 IPv4 주소를할당받습니다. 그리고, 터널어댑터 IPHTTPSInterface 는 2006:2005:1: 로시작하는 IPv6 주소를할당받습니다. ( Note 아래화면을확인해보면, 총 3 개정도의 iphttps 인터페이스를확인할수있습니다. fe80:: 로시작하는주소는 link local 주소입니다. 2006:2005:1: 로시작하는 2 개의인터페이스는하나는 temporary 이고, 다른하나는 public 입니다.) 페이지 123 / 141

ping inet1.isp.example.com 명령어를수행하여인터넷이름풀이및연결이정상적임을 확인할수있습니다. 페이지 124 / 141

ping app1.corp.contoso.com 명령어를수행하여회사인트라넷이름풀이및연결이 정상적임을확인합니다. APP1 의주소가 2006:2005:1:: 로시작하는주소임을확인할수 있습니다. Open 되어있는모든 IE 창을닫습니다. Taskbar 에서, IE 를수행하기위해 Internet Explorer 아이콘을클릭합니다. http://inet1.isp.example.com 및 http://app1.corp.contoso.com 웹사이트를접근합니다. ( Note 이페이지는클라이언트접근할때사용한 Entry Point 를보여줍니다 ) 페이지 125 / 141

아래 http://app1.corp.contoso.com 웹사이트를접근할때, CLIENT1 컴퓨터는아래그림과같이 CORP (Washington) entry point 를사용함을확인할수있습니다. 이제 CORP2 (France) 사이트에존재하는 2 개의웹사이트를접근합니다. http://2- app1.corp2.corp.contoso.com 및 http://2-app2.corp2.corp.contoso.com 를접근합니다. CLIENT1 컴퓨터가 CORP2 (France) 사이트의 2 개웹사이트를접근할때, CORP (Washington) 사이트의 entry point (EDGE1 및 EDGE2) 를경유하여접근함을아래화면에서알수있습니다. 페이지 126 / 141

페이지 127 / 141

Internet Explorer 를닫습니다. Start 클릭한후, \\app1\files 입력하고 ENTER 키를누릅니다. 아래와같이 Files 공유 폴더가보여짐을확인할수있습니다. Start 클릭한후, \\2-app1.corp2.corp.contoso.com\files 입력하고 ENTER. 키를누릅니다. ( 여기에서 fully qualified name 을입력해야합니다. CLIENT1 은 corp2.corp.contoso.com 도메인서픽스를알지못하기때문에반드시 FQDN 을입력해야합니다.) Files 공유폴더가보여짐을확인할수있습니다. PowerShell 창에서, Get-NetIpHTTPsConfiguration 를입력하고 ENTER 키를누릅니다. CORP (Washington) site 의 ProfileActivated 값이 True 로설정되어있음을유의해야합니다. 즉, 지금까지의 CLIENT1 컴퓨터가테스트했던웹사이트접근및파일서버접근은 CORP (Washington) 사이트의 entry point (EDGE1 및 EDGE2) 를통하여이루어짐을알수있습니다. 페이지 128 / 141

또한, 아래와같이 CORP (Washington) 사이트에위치한 CLIENT1 컴퓨터에서, CORP2 (France) 사이트위치한 2-app1.corp2.corp.contoso.com 및 2-app2.corp2.corp.contoso.com 컴퓨터에대한 tracert 명령어를수행해봅니다. 위두서버의 tracert 경로를확인해보면, 첫번째경로 : 2006:2005:1:1000:586b:f696:6939:490d (EDGE1 서버 ITHPPTS 인터페이스의 IPv6 주소 ) 두번째경로 : 2006:2005:1::254 (CORP (Washington) 사이트와 CORP2 (France) 사이트사이의 Router 의 Private Corpnet 인터페이스의 IPv6 주소 ) 세번째경로 : 2006:2005:2::80 또는 2006:2005:2::81 (2-app1 및 2-app2 서버의 IPv6 주소 ) CLIENT1 -> EDGE1 -> ROUTER -> 2-APP1 각각서버의라우팅경로를좀더자세하게 살펴봅니다. 페이지 129 / 141

1 CLIENT1 의라우팅경로를확인해봅니다. CLIENT1 은 2006:2005:2::80 (2-APP1) 에대한통신을위한자신의게이트웨이는 fe80::586b:f696:6939:490d 입니다. 이주소는바로 EDGE1 서버의 ITHTTPS 인터페이스의 Link-local IPv6 주소입니다. 즉, CLIENT1 은 2- APP1 에대한트래픽은바로 EDGE1 서버로전송됨을확인할수있습니다. 페이지 130 / 141

아래는 EDGE1 서버의 ITHTTPS 인터페이스의 IPv6 주소입니다. 2 이제 EDGE1 서버가 2006:2005:2::80 (2-APP1) 서버로의통신을위한자신의라우팅정보를확인해봅니다. 즉, 아래라우팅정보를확인해보면, 2006:2005:2::80 (2-APP1) 서버로의통신을위해사용되는게이트웨이는 2006:2005:1::254 임을확인할수있습니다. 2006:2005:1::254 는 CORP (Washington) 과 CORP2 (France) 사이의통신을위한 ROUTER 의 Private Corpnet 인터페이스의주소입니다. 아래는 ROUTER 의 Private Corpnet 의 IPv6 주소입니다. 3 이제 ROUTER 서버가 2006:2005:2::80 (2-APP1) 서버로의통신을위한자신의라우팅 정보를확인해봅니다. 아래라우팅정보를확인해보면, 2006:2005:2::80 (2-APP1) 페이지 131 / 141

서버로의통신을위한게이트웨이정보는 On-link 입니다. On-link 는바로 ROUTER 자신 2-Private Corpnet 인터페이스의 IPv6 주소임을의미합니다. 아래는 ROUTER 의 2-Private Corpnet 인터페이스의 IPv6 주소입니다. 4 위 ROUTER 의 2-Private Corpnet 인터페이스를통해 2-APP1 서버에연결할수 있습니다. 5 아래는라우팅경로를그림으로표현한것입니다. 페이지 132 / 141

Windows Server 8 DirectAccess : EX4 131.107.0.5 NLB for DirectAccess VIP http://2-app1.corp2.corp.contoso.com 보라색경로가 Multi-Site DirectAccess 환경에서클라이언트가다른사이트웹사이트를접근할때경로 6 참고로, 2-APP1 서버에서 CLIENT1 으로의 Trace Route 정보는아래와같습니다. 3. Change the site entry point used by CLIENT1. 이제 CLIENT1 컴퓨터가 DirectAccess 를사용할때, 자신의사이트위치를 CORP (Washington) 사이트에서 CORP2 (France) 사이트로변경한후, 사용되는 entry point 를확인해봅니다. 페이지 133 / 141

사용자는 DirectAccess Media Manager 를사용하여수동으로 CLIENT1 컴퓨터가사용할수 있는 DirectAccess 사이트를변경시킬수있습니다. View Available Networks (VAN) UI 에서 변경할수있습니다. 이도구는아래그림을참조하여수행시킵니다. Multisite 하위의 Site Override 드롭 - 다운박스를클릭하고, CORP (Washington) 에서 CORP2 (France) 로변경합니다. 페이지 134 / 141

페이지 135 / 141

DirectAccess Media Manager 닫기위하여 OK 를클릭합니다. CLIENT1 의모든 IE 를닫습니다. Washington (http://app1.corp.contoso.com) 및 France (http://2- app1.corp2.corp.contoso.com) 접근한후, 사용된 entry point 를확인합니다. CLIENT1 컴퓨터가위 2 개사이트를접근할때, CORP2 (France) 사이트의 entry point (2-EDGE1) 를사용함을알수있다. 페이지 136 / 141

Get-NetIpHTTPsConfiguration 를입력하여 CORP2 (France) 사이트의 ProfileActivated 값이 True 임을아래와같이알수있습니다. 페이지 137 / 141

CLIENT1 의 IPHTTPS 인터페이스의주소가 2006:2005:2 로시작되는주소임을알수있습니다. CORP2 (France) 사이트의 IPv6 주소프리픽스를 2006:2005:2 로설정했음을유의해야합니다. 페이지 138 / 141

CLIENT1 컴퓨터가연결할 DirectAccess 사이트를 CORP2 (France) 에서다시 CORP (Washington) 사이트로변경하여테스트를다시진행합니다. Washington entry point 가사용됨을알수 있습니다. 페이지 139 / 141

페이지 140 / 141

페이지 141 / 141