2007. 12. 7. 15:15ㆍMicrosoft
Branch Office VPN Connectivity Wizard
Microsoft® Internet Security and Acceleration(ISA) Server 2006은 업무 수행에 필수적인 응용 프로그램을 인터넷 기반의 위협으로부터 보호하는 보안 게이트웨이입니다. 웹 캐싱과 대역폭 관리, 최적화된 방화벽 필터링 엔진, 광범위한 액세스 제어 기능 등을 활용할 수 있는 통합된 방화벽 및 VPN(가상 사설망) 구조를 통해 관리자 및 사용자 환경이 간소화되므로 네트워크를 효율적으로 사용할 수 있습니다.
지점 지원은 ISA Server 2006 Enterprise Edition의 기본적인 기능입니다. 오늘날 많은 기업들은 지점을 두고 있으며 사이트 간 VPN 연결을 사용하여 인터넷을 통해 지점을 본사에 연결합니다. 임대 회선은 비용이 상당히 많이 들기 때문에 이러한 회사에서는 기존에 사용하던 임대 회선을 표준 인터넷 연결로 바꾸는 추세입니다. ISA Server 2006은 이와 같은 환경에서 인터넷 기반의 위협으로부터 본사와 지점을 보호합니다.
ISA Server 2006 Enterprise Edition은 다음과 같은 기능을 통해 지점 인터넷 배포 기능을 향상시킵니다.
| • |
Branch Office VPN Connectivity Wizard(지점 VPN 연결 마법사). 이 마법사는 지점 ISA Server 컴퓨터 배포 작업을 단순화하고 자동화합니다. 또한 VPN 연결을 구성하고, 구성 저장소 서버에 연결하고, 필요한 경우 도메인에 가입하는 것을 도와 줍니다. 이 마법사를 사용하면 지점 시나리오를 배포하는 데 필요한 시간을 줄일 수 있습니다. Branch Office VPN Connectivity Wizard에서는 다음과 같은 단계를 수행합니다.
| ||||||
| • |
Create Answer File Wizard(응답 파일 만들기 마법사). 이 마법사는 지점에서 ISA Server Branch Office VPN Connectivity Wizard를 실행할 때 사용할 응답 파일을 만드는 것을 도와 줍니다. | ||||||
| • |
Create Site-to-Site Connection Wizard(사이트 간 연결 만들기 마법사)의 기능이 향상되어 이제는 이 마법사를 실행한 후에 액세스 규칙 및 네트워킹 규칙을 만들지 않아도 됩니다. | ||||||
| • |
속도가 느린 연결을 사용하는 통신에서 배열 구성원과 구성 저장소 서버 사이의 통신 성능이 향상되었습니다. | ||||||
| • |
Microsoft 업데이트 캐싱. Microsoft 업데이트 캐싱 기능은 업데이트를 효율적으로 캐시하기 때문에 지점에서 소프트웨어 업데이트를 배포할 때의 영향이 줄어듭니다. | ||||||
| • |
HTTP 압축. HTTP(Hypertext Transfer Protocol) 압축 기능을 구성하면 ISA Server에서 콘텐츠를 압축하여 제한된 대역폭을 아낄 수 있고, 지점에서 콘텐츠를 압축한 후 WAN(Wide Area Network) 또는 VPN을 통해 전송하여 지점의 웹 탐색 속도를 높일 수 있습니다. | ||||||
| • |
트래픽 우선 순위 지정. 패킷을 중요한 비즈니스 응용 프로그램의 우선 순위에 따라 구분할 수 있으므로 지점과 본사를 연결하는 데 필요한 대역폭을 이러한 우선 순위에 따라 패킷에 할당할 수 있습니다. |
이 문서에서는 Branch Office VPN Connectivity Wizard를 사용하여 사이트 간 VPN 연결을 통해 지점과 본사를 연결하는 방법에 대해 중점적으로 설명합니다.
목차
마이애미 지점에 ISA Server 2006 설치 및 구성
부록 A: Branch Office VPN Connectivity Wizard에 사용할 응답 파일 만들기
문서 개요
이 가이드에는 지점 ISA Server 컴퓨터에서 Branch Office VPN Connectivity Wizard를 사용하여 지점 배포 작업을 구성하는 지침이 나와 있습니다.
이 문서에서는 다음과 같은 시나리오에 대해 설명합니다.
| • |
Branch Office VPN Connectivity Wizard에서 IPsec(인터넷 프로토콜 보안)을 통한 L2TP(계층 2 터널링 프로토콜)를 사용하여 VPN 지점 구성 |
| • |
Branch Office VPN Connectivity Wizard에서 IPsec 터널링 모드로 VPN 지점 구성 |
이 문서에 나와 있는 절차를 수행하기 전에 다음과 같은 개념을 숙지하는 것이 좋습니다.
| • |
ISA Server 2006 설치 |
| • |
ISA Server 구성 저장소 서버 설치 |
| • |
배열 만들기 |
| • |
ISA Server 서비스 설치 |
| • |
ISA Server 서비스 및 구성 저장소 서버 설치 |
| • |
ISA Server 2006에서 사이트 간 VPN 연결 구성 |
ISA Server 2006 설치에 대한 자세한 내용은 제품 CD에 있는 Quick Start Guide(빠른 시작 설명서)를 참조하십시오.
사이트 간 VPN 연결 구성에 대한 자세한 내용은 Microsoft TechNet 웹 사이트 (영문)에서 "Site-to-Site VPN in ISA Server Enterprise Edition"을 참조하십시오.
지점 시나리오
지점에서 본사에 연결하는 시나리오는 본사와 지점 사이의 연결 형식 및 지점 ISA Server 컴퓨터의 도메인 또는 작업 그룹 구성에 따라 분류됩니다. 지점 ISA Server 컴퓨터의 설정에 따라 ISA Server 컴퓨터는 본사 도메인 또는 본사와 트러스트 관계에 있는 도메인에 포함되거나, 아니면 본사와 트러스트 관계가 없는 작업 그룹 또는 도메인에 포함됩니다. 다음 표에서는 가능한 시나리오를 요약하여 보여 줍니다.
| 연결 형식 | 지점 ISA Server 컴퓨터 구성원 자격 |
|
임대 회선 |
작업 그룹 |
|
임대 회선 |
도메인 또는 트러스트된 도메인 |
|
인터넷(사이트 간 VPN) |
작업 그룹 |
|
인터넷(사이트 간 VPN) |
도메인 또는 트러스트된 도메인 |
배경 정보
이 예제에서 Contoso, Ltd는 회사의 빠른 성장에 따라 국제적으로 지점을 확장하기로 결정했습니다. 이 결정에 따라 마이애미에 위치한 Contoso 본사를 기점으로 런던과 시드니 두 곳에 지점을 열게 되었습니다. Contoso에서는 본사와 두 지점에 ISA Server 2006 Enterprise Edition을 배포한 후 인터넷을 통해 사이트 간 VPN 연결을 사용하여 각 지점을 본사와 연결할 계획입니다. ISA Sever 2006 Enterprise Edition을 배포함으로써 Contoso에서는 모든 ISA Server 컴퓨터에 대한 관리 및 보고 작업을 중앙에서 처리할 수 있습니다.
네트워크
다음 단원에서는 Contoso 네트워크 레이아웃에 대해 설명합니다. 네트워크 범위가 중복되지 않도록 각 지점에 네트워크가 할당됩니다.
다음 표에서는 각 지점의 네트워크 주소 범위를 보여 줍니다.
| 지점 | 네트워크 이름 | 네트워크 범위 | 네트워크 주소 |
|
마이애미 |
MIA_Net |
10.0.0.1–10.0.0.254 |
10.0.0 /24 |
|
런던 |
LON_Net |
10.1.0.1–10.1.0.254 |
10.1.0 /24 |
|
시드니 |
SYD_Net |
10.2.0.1–10.2.0.254 |
10.2.0 /24 |
|
인터넷 테스트 |
Test_Internet |
172.16.0.1–172.16.255.255 |
컴퓨터 및 IP 주소
다음 단원에서는 컴퓨터, 각 컴퓨터의 기능 및 IP 주소 할당에 대해 설명합니다.
다음 표에는 이 가이드에서 사용하는 컴퓨터에 대한 정보가 나와 있습니다.
| 컴퓨터 이름 | 운영 체제 | 기타 소프트웨어 | 지점 | 설명 |
|
miadc01 |
서비스 팩 1(SP1)이 설치된 Microsoft Windows Server® 2003 |
도메인 컨트롤러, DNS(Domain Name System), IIS(인터넷 정보 서비스), CA(인증 기관) |
마이애미 |
도메인 컨트롤러 및 내부 CA 도메인 이름: corp.contoso.com |
|
miacss01 |
Windows Server 2003 SP1 |
ISA Server 2006 Enterprise Edition |
마이애미 |
구성 저장소 서버 |
|
miaisa01 |
Windows Server 2003 SP1 |
ISA Server 2006 Enterprise Edition |
마이애미 |
본사에 있는 ISA Server 배열 구성원 |
|
lonisa01 |
Windows Server 2003 SP1 |
ISA Server 2006 Enterprise Edition |
런던 |
LON_Net에 있는 ISA Server 배열 구성원 |
|
client01 |
서비스 팩 2(SP2)가 설치된 Windows® XP Professional |
Microsoft Office Word 2003, Office Excel® 2003 및 Office Outlook® 2003 |
런던 |
VPN이 제대로 동작하는지 테스트하는 데 사용되는 LON_Net에 있는 클라이언트 |
|
sydisa01 |
Windows Server 2003 SP1 |
ISA Server 2006 Enterprise Edition |
시드니 |
SYD_Net에 있는 ISA Server 배열 구성원 |
|
client02 |
Windows XP Professional SP2 |
Word 2003, Excel 2003 및 Outlook 2003 |
시드니 |
VPN이 제대로 동작하는지 테스트하는 데 사용되는 SYD_Net에 있는 클라이언트 |
|
router01 |
Windows Server 2003 SP1 |
없음 |
인터넷 테스트 |
인터넷 라우팅 시뮬레이션 |
다음 표에는 이 가이드에서 사용하는 각 컴퓨터에 할당된 IP 주소에 대한 정보가 나와 있습니다.
| 컴퓨터 이름 | 내부 IP 주소 | 내부 서브넷 마스크 | 외부 IP 주소 | 외부 서브넷 마스크 | DNS | 기본 게이트웨이 |
|
miadc01 |
10.0.0.2 |
255.255.255.0 |
없음 |
없음 |
10.0.0.2 |
10.0.0.254 |
|
miacss01 |
10.0.0.102 |
255.255.255.0 |
없음 |
없음 |
10.0.0.2 |
10.0.0.254 |
|
miaisa01 |
10.0.0.254 |
255.255.255.0 |
172.16.0.2 |
255.255.255.0 |
10.0.0.2 |
172.16.0.1 |
|
lonisa01 |
10.1.0.254 |
255.255.255.0 |
172.16.1.2 |
255.255.255.0 |
10.0.0.2 |
172.16.1.1 |
|
client01 |
10.1.0.101 |
255.255.255.0 |
없음 |
없음 |
10.0.0.2 |
10.1.0.254 |
|
sydisa01 |
10.2.0.254 |
255.255.255.0 |
172.16.2.2 |
255.255.255.0 |
10.0.0.2 |
172.16.2.1 |
|
client02 |
10.2.0.101 |
255.255.255.0 |
없음 |
없음 |
10.0.0.2 |
10.2.0.254 |
Router01에서는 인터넷을 시뮬레이션하며 다음과 같은 주소가 정의된 네트워크 어댑터 3개를 사용합니다. 또한 이들 3개 네트워크 사이에 라우팅 서비스를 제공합니다.
| 네트워크 어댑터 | IP 주소 | 서브넷 마스크 |
|
MIA |
172.16.0.1 |
255.255.255.0 |
|
LON |
172.16.1.1 |
255.255.255.0 |
|
SYD |
172.16.2.1 |
255.255.255.0 |
다음 그림에서는 이 가이드에서 사용하는 구성을 보여 줍니다.
이름 확인
지점 배열 구성원은 본사의 내부 네트워크에서 이름을 확인할 수 있어야 합니다. 지점 배열 구성원이 이름을 확인할 수 있도록 하는 첫 번째 방법은 지점 배열 구성원이 본사 네트워크에 있는 DNS 서버를 가리키도록 설정하는 것입니다. 두 번째 방법은 호스트 파일에 항목을 추가하는 것인데 이 방법은 서버의 주소가 변경되는 경우 모든 배열 구성원의 호스트 파일을 업데이트해야 하기 때문에 첫 번째 방법에 비해 유지 관리하기가 어렵습니다.
이 시나리오에서는 배열 구성원이 DNS 서버 10.0.0.2를 가리킵니다. 구성 저장소 서버 또는 도메인에 연결할 수 없는 경우에는 시나리오에 맞게 이름 확인이 구성되었는지 확인하십시오.
실습
이 실습의 목표는 다음과 같은 시나리오를 올바르게 구성하는 것입니다.
| • |
L2TP 사이트 간 VPN 연결을 통해 지점을 연결하고 ISA Server 2006을 corp.contoso.com 도메인에 가입 |
| • |
IPsec(인터넷 프로토콜 보안) 터널 모드 사이트 간 VPN 연결을 통해 지점을 연결하고 ISA Server 2006을 작업 그룹에 그대로 유지 |
이 단원은 다음과 같은 3가지 섹션으로 구성됩니다.
| • | |
| • | |
| • |
마이애미 지점에 ISA Server 2006 설치 및 구성
본사에서 다음 절차를 수행합니다.
| • | |
| • |
각 배열의 Enterprise Remote Management Computers 컴퓨터 집합에 구성 저장소 서버 추가 |
| • |
구성 저장소 서버 설치 및 각 지점에 대해 배열 만들기
시드니 지점은 corp.contoso.com 도메인에 가입하지 않을 것이므로 구성 저장소 서버를 설치하는 동안 사용할 서버 인증서가 필요합니다. 이때 인증서에 사용된 FQDN이 구성 저장소 서버의 전체 컴퓨터 이름과 일치해야 합니다.
ISA Server 2006 구성 저장소 서버를 설치하려면 miacss01 컴퓨터에서 다음 작업을 수행하십시오.
구성 저장소 서버를 설치하고 각 지점에 대해 배열을 만들려면
|
1. |
Windows Server 2003 SP1을 설치합니다. | ||||||
|
2. |
Windows Update를 실행하여 최신 보안 업데이트를 모두 설치합니다. | ||||||
|
3. |
다음 단계에 따라 ISA Server 2006 설치 프로그램을 실행합니다.
| ||||||
|
4. |
설치가 완료되면 본사 및 시나리오에서 설명하는 각 지점에 대해 배열을 하나씩 만듭니다. 자세한 내용은 ISA Server 2006 Quick Start Guide(빠른 시작 설명서)를 참조하십시오. 배열 이름을 다음과 같이 지정합니다.
 참고:각 지점에서 Branch Office VPN Connectivity Wizard를 실행할 때 배열을 만들 수도 있지만 속도가 느린 연결을 사용할 경우에는 배열을 만드는 데 시간이 오래 걸릴 수 있습니다. 따라서 이 절차를 수행하기 전에 구성 저장소 서버에서 실행되는 ISA Server Management(ISA Server 관리) 스냅인을 사용하여 배열을 미리 만드는 것이 좋습니다. | ||||||
|
5. |
세부 정보 창에서 Apply(적용) 단추를 클릭하여 변경 내용을 저장하고 구성을 업데이트합니다. |
각 배열의 Enterprise Remote Management Computers 컴퓨터 집합에 구성 저장소 서버 추가
구성 저장소 서버에서 배열 구성원을 모니터링할 수 있으려면 Enterprise Remote Management Computers(엔터프라이즈 원격 관리 컴퓨터) 컴퓨터 집합에 구성 저장소 서버를 추가해야 합니다. Enterprise Remote Management Computers 컴퓨터 집합은 각 배열의 Remote Management(원격 관리) 시스템 정책에 기본적으로 포함되는 미리 정의된 컴퓨터 집합입니다. Enterprise Remote Management Computers 컴퓨터 집합을 수정할 때는 각 배열의 Remote Management Computers(원격 관리 컴퓨터) 컴퓨터 집합을 개별적으로 수정할 필요 없이 컴퓨터 집합 하나만 수정하면 됩니다. ISA Server 서비스를 설치하는 동안 배열을 만들면 구성 저장소 서버가 Remote Management Computers 컴퓨터 집합에 자동으로 추가됩니다.
Enterprise Remote Management Computers 컴퓨터 집합을 수정하려면 miacss01 컴퓨터에서 다음 절차를 수행하십시오.
Enterprise Remote Management Computers 컴퓨터 집합을 수정하려면
|
1. |
구성 저장소 서버에서 ISA Server Management(ISA Server 관리)를 열고 Microsoft Internet Security and Acceleration Server 2006, Enterprise(엔터프라이즈)를 차례로 확장합니다. |
|
2. |
Enterprise Policies(엔터프라이즈 정책)를 선택합니다. |
|
3. |
작업창의 Toolbox(도구 상자) 탭에서 Network Objects(네트워크 개체)를 클릭합니다. |
|
4. |
Computer Sets(컴퓨터 집합)를 확장하고 Enterprise Remote Management Computers(엔터프라이즈 원격 관리 컴퓨터)를 선택한 다음 Edit(편집)을 클릭합니다. |
|
5. |
Add(추가)를 클릭하고 Computer(컴퓨터)를 선택합니다. |
|
6. |
Name(이름) 필드에 컴퓨터 이름을 입력하고 구성 저장소 서버의 IP 주소 10.0.0.102를 Computer IP Address(컴퓨터 IP 주소) 필드에 입력한 다음 OK(확인)를 클릭합니다. |
|
7. |
OK(확인)를 클릭하여 Enterprise Remote Management Computers 컴퓨터 집합의 속성을 닫습니다. |
|
8. |
Firewall Policy(방화벽 정책) 세부 정보 창에서 Apply(적용)를 클릭하여 변경 내용을 적용합니다. |
본사 배열 구성원 설치
ISA Server 2006 서비스를 설치하려면 miaisa01 컴퓨터에서 다음 절차를 수행하십시오.
본사 배열 구성원을 설치하려면
|
1. |
corp.contoso.com 도메인에 가입할 Windows Server 2003 SP1을 설치합니다. |
|
2. |
Windows Update를 실행하여 최신 보안 업데이트를 모두 설치합니다. |
|
3. |
ISA Server 2006 설치 프로그램을 실행합니다. ISA Server 2006 Enterprise Edition CD를 CD 드라이브에 삽입하거나 공유 네트워크 드라이브에서 ISAAutorun.exe를 실행합니다. |
|
4. |
제품 CD에 있는 ISA Server 2006 Quick Start Guide(빠른 시작 설명서)의 지침에 따라 배열 구성원을 설치합니다.  중요:주소 범위 옵션을 사용하여 내부 네트워크를 정의합니다. 이 경우 10.0.0.1 - 10.0.0.254 범위를 사용하십시오. |
마이애미 지점과 런던 지점 사이에 L2TP 사이트 간 연결 구성 및 배포
이 시나리오에서 Contoso는 IPsec 인증에 인증서를 사용하며 IPsec을 통한 L2TP VPN 연결을 통해 런던 지점을 연결하기로 결정했습니다. 런던 지점의 ISA Server 컴퓨터는 마이애미 본사의 도메인에 가입할 것입니다.
이 단원에서는 다음과 같은 작업을 수행합니다.
|
1. |
|
|
2. |
원격 VPN 사이트의 응답 파일 만들기(선택 사항). 응답 파일 만들기에 대한 자세한 내용은 부록 A: Branch Office VPN Connectivity Wizard에 사용할 응답 파일 만들기를 참조하십시오. |
|
3. |
|
|
4. |
|
|
5. |
|
|
6. |
마이애미와 런던 네트워크 사이에 사이트 간 VPN 연결 만들기
이 단원에서는 Create Site-to-Site Connection Wizard를 실행합니다. Create Site-to-Site Connection Wizard는 다음과 같은 작업을 수행합니다.
| • |
런던 지점의 네트워크를 만들고 IPsec을 통한 L2TP 모드를 사용하여 본사와 런던 네트워크 사이에 사이트 간 VPN 연결을 구성합니다. |
| • |
본사 네트워크와 런던 지점 네트워크 사이에 네트워크 경로 관계를 만듭니다. |
| • |
본사와 런던 지점 사이의 트래픽에 대한 액세스 규칙을 만듭니다. |
다음 표에 나와 있는 사용자를 만들고 전화 접속 권한을 부여해야 합니다. 사용자 계정은 L2TP 사이트 간 VPN 연결에 필요합니다.
| 사용자 이름 | 암호 | 위치 |
|
LON_Net |
Passw0rd |
Corp.contoso.com 도메인 |
Create VPN Site-to-Site Connection Wizard를 실행하기 전에 다음 정보를 수집해야 합니다.
| 항목 | 옵션 | 값 |
|
원격 네트워크의 네트워크 이름 |
없음 |
LON_Net |
|
VPN 프로토콜 |
L2TP over IPsec(IPsec을 통한 L2TP) IPsec tunnel mode(IPsec 터널 모드) Point-to-Point Tunneling Protocol (PPTP)(지점 간 터널링 프로토콜) |
L2TP over IPsec(IPsec을 통한 L2TP) |
|
IP 주소 할당 들어오는 VPN 연결에 IP 주소를 할당하는 방법입니다. 참고:할당하는 범위는 정의된 다른 네트워크와 중복되면 안 됩니다. ISA Server 컴퓨터가 마이애미 네트워크에 속한 컴퓨터의 기본 게이트웨이가 아닌 경우에는 고정 주소 범위를 ISA Server 컴퓨터에 라우팅해야 합니다. |
Static address pool(고정 주소 풀) DHCP(Dynamic Host Configuration Protocol) 참고:다중 서버 배열에는 DHCP가 지원되지 않습니다. |
Static Pool(고정 풀) Range: 11.0.0.1–11.0.0.254(범위: 11.0.0.1–11.0.0.254) |
|
원격 사이트 VPN 서버. 원격 지점 ISA Server 컴퓨터의 외부 IP 주소입니다. |
없음 |
172.16.1.1 |
|
IPsec을 통한 L2TP 인증. 각 서버가 서로 인증하는 방법입니다. 이 시나리오에서는 인증서를 사용하여 인증합니다. 중요:보안상의 이유로 IPsec 인증에는 전용 개인 CA의 인증서를 사용하는 것이 좋습니다. |
Certificate authentication(인증서 인증) Preshared key authentication(미리 공유한 키 인증) |
Certificate(인증서) 참고:배열 구성원의 로컬 컴퓨터 인증서 저장소에 유효한 서버 인증서가 설치되어 있는지 확인하십시오. |
|
원격 네트워크 주소 범위 |
Add Range(범위 추가) Add Network(네트워크 추가) |
10.1.0.1–10.1.0.254 |
런던 지점의 사이트 간 VPN 네트워크를 만들려면 miacss01 컴퓨터에서 다음 절차를 수행하십시오.
런던 지점의 사이트 간 VPN 네트워크를 만들려면
|
1. |
ISA Server Management(ISA Server 관리) 콘솔 트리에서 Microsoft Internet Security and Acceleration Server 2006, Arrays(배열), MIA를 차례로 확장한 다음 Virtual Private Networks (VPN)(가상 사설망)를 클릭합니다. |
|
2. |
세부 정보 창에서 Remote Sites(원격 사이트) 탭을 선택합니다. |
|
3. |
Tasks(작업) 탭에서 Create VPN Site-to-Site Connection(VPN 사이트 간 연결 만들기)을 클릭합니다. 마법사를 사용하여 다음 표에 요약된 대로 네트워크를 만듭니다. |
| 페이지 | 필드 또는 속성 | 설정 |
|
Welcome(시작) |
Site-to-site network name(사이트 간 네트워크 이름) 참고 네트워크 이름은 ISA Server 배열 구성원이 인증할 수 있는 사용자 계정과 일치해야 합니다. 이 사용자 계정은 원격 ISA Server 배열 구성원에서 본사에 대한 VPN 연결을 시작할 때 사용합니다. |
LON_Net을 입력합니다. |
|
VPN Protocol(VPN 프로토콜) |
사이트 간 트래픽을 보호하는 데 사용할 VPN 프로토콜을 선택합니다. |
Layer Two Tunneling Protocol (L2TP) over IPsec(IPsec을 통한 L2TP)을 선택합니다. |
|
Local Network VPN Settings(로컬 네트워크 VPN 설정) |
들어오는 VPN 연결에 IP 주소를 할당하는 방법을 지정합니다. |
Static address pool(고정 주소 풀)을 선택하고 Add(추가)를 클릭합니다. |
|
Server IP Address Range(서버 IP 주소 범위) |
Select the server(서버 선택) Start address(시작 주소) End address(끝 주소) |
miaisa01을 선택합니다. 11.0.0.1을 입력합니다. 11.0.0.254를 입력합니다. |
|
Connection Owner(연결 소유자) |
연결 소유자를 선택합니다. |
miaisa01을 선택합니다. |
|
Remote Site Gateway(원격 사이트 게이트웨이) |
원격 사이트 VPN 서버를 선택합니다.원격 ISA Server 컴퓨터의 외부 IP 주소 또는 FQDN(정규화된 도메인 이름)을 입력합니다. |
172.16.1.2를 입력합니다. |
|
Remote Authentication(원격 인증) |
본사에서 지점에 대한 VPN 연결을 시작하도록 설정하려면 다음 정보를 지정합니다. 예를 들어 구성 저장소 서버에서 원격 배열 구성원을 모니터링하도록 허용하려면 원격 ISA Server 2006 컴퓨터에서 이 사용자 계정의 유효성을 확인할 수 있어야 합니다. User name(사용자 이름) Domain(도메인) Password(암호) Confirm password(암호 확인) |
Allow the local site to initiate connections to the remote site, using this user account(로컬 사이트에서 이 사용자 계정을 사용하여 원격 사이트에 대한 연결을 시작하도록 허용)를 선택합니다. MIA_Net을 입력합니다. lonisa01을 입력합니다. Passw0rd를 입력합니다. Passw0rd를 입력합니다. |
|
L2TP/IPsec Authentication(L2TP/IPsec 인증) |
Specify the IPsec authentication method(IPsec 인증 방법을 지정하십시오.) 참고 로컬 컴퓨터의 인증서 저장소에 서버 인증서가 설치되어 있어야 합니다. |
Certificate authentication (recommended)(인증서 인증(권장))을 선택합니다. |
|
Network Addresses(네트워크 주소) |
원격 네트워크 주소를 지정합니다. |
Add Range(범위 추가)를 클릭합니다. |
|
IP Address Range Properties(IP 주소 범위 속성) |
Start address(시작 주소) End address(끝 주소) |
10.1.0.0을 입력합니다. 10.1.0.254를 입력합니다. |
|
Remote NLB(원격 NLB) |
원격 사이트에 NLB(네트워크 부하 분산)가 설정되어 있는 경우 원격 사이트 게이트웨이의 전용 IP 주소를 지정합니다. |
The remote site is enabled for Network Load Balancing(네트워크 부하 분산에 원격 사이트 사용) 확인란의 선택을 취소합니다. |
|
Site-to-Site Network Rule(사이트 간 네트워크 규칙) |
이 네트워크에 대한 네트워크 규칙을 지금 만들지, 나중에 만들지 지정합니다. |
Create a network rule specifying a route relationship(경로 관계를 지정하는 네트워크 규칙 만들기)을 선택합니다. 규칙에 다른 네트워크를 추가해야 할 경우 Add(추가)를 클릭하여 추가 네트워크를 선택합니다. |
|
Site-to-Site Network Access Rule(사이트 간 네트워크 액세스 규칙) |
원격 네트워크에 대한 액세스 규칙을 지금 만들지, 나중에 만들지 지정합니다. |
Create an allow access rule(액세스 허용 규칙 만들기)을 선택합니다. Apply the rule to these protocols(다음 프로토콜에 규칙 적용)에서 All outbound traffic(모든 아웃바운드 트래픽)을 선택합니다. |
|
Completing the New VPN Site-to-Site Network Wizard(새 VPN 사이트 간 네트워크 마법사 완료) |
설정을 검토합니다. |
Back(뒤로)을 클릭하여 설정을 변경하거나 Finish(마침)를 클릭하여 마법사를 완료합니다. |
|
Remaining VPN Site-to-Site Tasks(기타 VPN 사이트 간 작업) |
기타 필요한 작업을 검토합니다. |
OK(확인)를 클릭합니다. |
참고:I'll create a network rule later(나중에 네트워크 규칙을 만듭니다.) 또는 I'll create an access rule later(나중에 액세스 규칙을 만듭니다.)를 선택한 경우에는 올바른 네트워크 규칙과 액세스 규칙을 직접 추가해야 합니다. 자세한 내용은 제품 도움말을 참조하십시오.
ISA Server 2006 Enterprise Edition 설치
이 단원에서는 지점 ISA Server 컴퓨터에 ISA Server 서비스와 구성 저장소 서버를 모두 설치합니다. Branch Office VPN Connectivity Wizard를 실행하려면 ISA Server 서비스 및 구성 저장소 서버를 모두 설치해야 합니다. Branch Office VPN Connectivity Wizard를 실행하면 구성 저장소 서버가 자동으로 제거됩니다.
lonisa01 컴퓨터에서 다음 절차를 수행하십시오.
ISA Server 2006 Enterprise Edition을 설치하려면
|
1. |
Windows Server 2003 SP1을 설치합니다. | ||||||||
|
2. |
Windows Update를 실행하여 최신 보안 업데이트를 모두 설치합니다. | ||||||||
|
3. |
다음 단계에 따라 ISA Server 2006 설치 프로그램을 실행합니다.
|
Branch Office VPN Connectivity Wizard 실행
Branch Office VPN Connectivity Wizard를 사용하면 사이트 간 VPN 연결을 통해 지점 ISA Server 컴퓨터를 본사에 연결하고 ISA Server 엔터프라이즈에 가입할 수 있습니다.
Branch Office VPN Connectivity Wizard는 다음과 같은 절차를 수행합니다.
| • |
본사와 사이트 간 VPN 연결을 구성하고 설정합니다. |
| • |
L2TP VPN 연결에 필요한 사용자 계정을 만듭니다. |
| • |
본사 네트워크에 대한 네트워크 경로 규칙을 만듭니다. |
| • |
도메인에 가입하거나 작업 그룹 환경에 그대로 남아 있습니다. |
| • |
본사의 ISA Server 2006 엔터프라이즈에 가입합니다. |
| • |
배열에 가입합니다. |
| • |
ISA Server 2006 엔터프라이즈에 가입한 후 서버에서 구성 저장소 서버 구성 요소를 제거합니다. |
Branch Office VPN Connectivity Wizard를 실행하기 전에 다음 작업을 수행하십시오.
| • |
외부 네트워크 어댑터 속성의 Microsoft Networks용 클라이언트 확인란을 선택한 상태로 둡니다. 이 확인란을 선택하지 않으면 도메인에 가입할 수 없습니다. |
| • |
miaisa01의 인증서를 발급한 동일한 개인 인증 기관의 컴퓨터 인증서를 lonisa01 컴퓨터의 로컬 컴퓨터 인증서 저장소에 설치합니다. 이 시나리오에서는 miadc01에서 인증서를 발급합니다. |
| • |
지점 배열 구성원의 DNS 서버를 10.0.0.2로 구성하지 않으면 이름을 제대로 확인하지 못할 수 있습니다. 지점의 배열 구성원은 다음 정보를 확인해야 마법사를 완료할 수 있습니다. |
| • |
corp.contoso.com 도메인에 가입할 도메인 이름 |
| • |
엔터프라이즈에 가입할 구성 저장소 서버 |
Create VPN Site-to-Site Connection Wizard를 실행하기 전에 다음 정보를 수집해야 합니다.
| 항목 | 옵션 | 값 |
|
원격 네트워크의 네트워크 이름 |
없음 |
MIA_Net |
|
VPN 프로토콜 |
L2TP over IPsec(IPsec을 통한 L2TP) IPsec tunnel mode(IPsec 터널 모드) Point-to-Point Tunneling Protocol(지점 간 터널링 프로토콜) |
L2TP over IPsec(IPsec을 통한 L2TP) |
|
IP 주소 할당 들어오는 VPN 연결에 IP 주소를 할당하는 방법입니다. 참고:할당하는 범위는 정의된 다른 네트워크와 중복되면 안 됩니다. ISA Server 컴퓨터가 마이애미 네트워크에 속한 컴퓨터의 기본 게이트웨이가 아닌 경우에는 고정 주소 범위를 ISA Server 컴퓨터에 라우팅해야 합니다. |
Static address pool(고정 주소 풀) (DHCP)Dynamic Host Configuration Protocol 참고:다중 서버 배열에는 DHCP가 지원되지 않습니다. |
Static Pool(고정 풀) Range: 11.1.0.1–11.1.0.254(범위: 11.1.0.1–11.1.0.254) |
|
원격 사이트 VPN 서버. 원격 지점 ISA Server 컴퓨터의 외부 IP 주소입니다. |
없음 |
172.16.0.1 |
|
IPsec을 통한 L2TP 인증. 각 서버가 서로 인증하는 방법입니다. 이 시나리오에서는 인증서를 사용하여 인증합니다. 중요:보안상의 이유로 IPsec 인증에는 전용 개인 CA의 인증서를 사용하는 것이 좋습니다. |
Certificate authentication(인증서 인증) Preshared key authentication(미리 공유한 키 인증) |
Certificate(인증서) 참고:로컬 컴퓨터 인증서 저장소에 유효한 서버 인증서가 설치되어 있는지 확인하십시오. |
|
원격 네트워크 주소 범위 |
Add Range(범위 추가) Add Network(네트워크 추가) |
10.0.0.1–10.0.0.254 |
Branch Office VPN Connectivity Wizard를 실행하려면 lonisa01 컴퓨터에서 다음 절차를 수행하십시오.
런던 지점에서 Branch Office VPN Connectivity Wizard를 실행하려면
|
1. |
시작, 실행을 차례로 클릭하고 명령 프롬프트 창에 cmd를 입력한 다음 확인을 클릭합니다. |
|
2. |
명령 프롬프트에서 ISA Server 2006 설치 폴더로 이동합니다. 예를 들어 C 드라이브의 기본 위치에 ISA Server를 설치한 경우 cd "c:\Program Files\Microsoft ISA Server"를 입력합니다. |
|
3. |
Branch Office VPN Connectivity Wizard를 실행하려면 명령 프롬프트에 AppCfgWzd.exe를 입력합니다. |
|
4. |
마법사를 사용하여 다음 표에 요약된 대로 지점을 본사에 연결합니다. |
| 페이지 | 필드 또는 속성 | 값 |
|
Welcome(시작) |
없음 |
Next(다음)를 클릭합니다. |
|
Configuration Setting Source(구성 설정 원본) |
구성 정보를 직접 입력할지 아니면 응답 파일을 사용하여 자동으로 설정할지 지정합니다. 응답 파일 만들기에 대한 자세한 내용은 부록 A: Branch Office VPN Connectivity Wizard에 사용할 응답 파일 만들기를 참조하십시오. |
Manually(수동으로)를 선택합니다. |
|
Connection Type(연결 형식) |
VPN 연결에 사용할 프로토콜을 선택합니다. 이 값은 본사에서 구성한 값과 일치해야 합니다. |
Layer Two Tunneling Protocol (L2TP) over IPsec(IPsec을 통한 L2TP)을 선택합니다. |
|
Array Server Deployment(배열 서버 배포) |
이 서버가 배열에 배포하는 첫 번째 서버인지 아니면 배열에 서버를 이미 배포했는지 지정합니다. |
This is the first server deployed in the array(배열에 배포하는 첫 번째 서버입니다.)를 선택합니다. |
|
Local Site-to-Site Authentication(로컬 사이트 간 인증) |
다음 항목을 지정합니다. Network name(네트워크 이름) Password(암호) Confirm password(암호 확인) |
MIA_Net을 입력합니다. Passw0rd를 입력합니다. Passw0rd를 입력합니다. |
|
Remote Site VPN IP Addresses(원격 사이트 VPN IP 주소) |
Address ranges of remote VPN network(원격 VPN 네트워크의 주소 범위) Start address(시작 주소) End address(끝 주소) Remote VPN server (IP address or name)(원격 VPN 서버(IP 주소 또는 이름)) |
Add Range(범위 추가)를 클릭합니다. 10.0.0.1을 입력합니다. 10.0.0.254를 입력합니다. 172.16.0.2를 입력합니다. |
|
Local Network VPN Settings(로컬 네트워크 VPN 설정) |
들어오는 VPN 클라이언트 연결에 IP 주소를 할당하는 방법을 지정합니다. |
Static Pool(고정 풀)을 선택하고 Add Range(범위 추가)를 클릭합니다. |
|
IP Address Range Properties(IP 주소 범위 속성) |
Start address(시작 주소) End address(끝 주소) |
11.1.0.1을 입력합니다. 11.1.0.254를 입력합니다. |
|
Remote Authentication(원격 인증) |
로컬 사이트에서 원격 사이트에 연결하는 데 사용할 자격 증명을 지정합니다. 참고:여기에서 입력하는 사용자 이름은 본사에서 이 지점에 대해 만든 네트워크 이름과 일치해야 합니다. User Name(사용자 이름) Domain(도메인) Password(암호) Confirm password(암호 확인) |
LON_Net을 입력합니다. corp.contoso.com을 입력합니다. Passw0rd를 입력합니다. Passw0rd를 입력합니다. |
|
IPsec Authentication(IPsec 인증) |
사용할 인증 방법을 지정합니다. |
Use server certificate(서버 인증서 사용)를 선택합니다. |
|
IPsec Certificate(IPsec 인증서) |
없음 |
Use existing certificate(기존 인증서 사용)를 선택합니다. |
|
Ready to Configure the VPN Connection(VPN 연결 구성 준비) |
VPN 설정을 검토합니다. 참고:연결 속도 및 대기 시간에 따라 VPN 터널을 만들고 구성하는 데 10-20분 정도 소요될 수 있습니다. |
Next(다음)를 클릭하여 VPN 연결을 만듭니다. |
|
Join Remote Domain(원격 도메인에 가입) |
작업 그룹에 남아 있을지 아니면 본사 도메인에 가입할지 지정합니다. 참고:도메인에 가입하도록 선택하면 도메인에 가입한 후 컴퓨터가 자동으로 다시 시작됩니다. 컴퓨터가 다시 시작되면 동일한 사용자 계정으로 로그온해야 합니다. 로그온하면 Branch Office VPN Connectivity Wizard가 중단된 부분부터 자동으로 다시 시작됩니다. |
Join a Domain(도메인에 가입)을 선택하고 Domain name (FQDN)(도메인 이름(FQDN)) 필드에 corp.contoso.com을 입력합니다. |
|
Branch Office VPN Connectivity Wizard(지점 VPN 연결 마법사) |
없음 |
도메인에 가입한 후 컴퓨터를 다시 시작한다는 내용의 메시지를 표시하는 대화 상자에서 OK(확인)를 클릭합니다. |
|
Join Domain(도메인에 가입) |
도메인에 가입할 수 있는 권한을 가진 계정의 사용자 이름과 암호를 입력합니다. User name(사용자 이름) Password(암호) |
corp\administrator를 입력합니다. Passw0rd를 입력합니다. |
|
Locate Configuration Storage Server(구성 저장소 서버 위치) |
Configuration Storage server (type the FQDN)(구성 저장소 서버(FQDN을 입력하십시오.)) Connection Credentials(연결 자격 증명) |
miacss01.corp.contoso.com을 입력합니다. Connect using this account(이 계정을 사용하여 연결)를 선택합니다. corp\administrator를 입력합니다. Passw0rd를 입력합니다. |
|
Securely Published Configuration Storage Server(안전하게 게시된 구성 저장소 서버) |
게시된 구성 저장소 서버를 지정합니다. 구성 저장소 서버 게시에 대한 자세한 내용은 부록 B: 게시된 구성 저장소 서버를 참조하십시오. |
Next(다음)를 클릭합니다. |
|
Array Membership(배열 구성원 자격) |
없음 |
Join an existing array(기존 배열에 가입)를 선택합니다. |
|
Join Existing Array(기존 배열에 가입) |
Array name(배열 이름) |
LON을 입력합니다. |
|
Configuration Storage Server Authentication Options(구성 저장소 서버 인증 옵션) |
이 컴퓨터에서 구성 저장소 서버를 인증하는 방법을 선택합니다. |
Windows Authentication(Windows 인증)을 선택합니다. |
|
Ready to Configure ISA Server(ISA Server 구성 준비) |
설정을 검토합니다. |
Next(다음)를 클릭합니다. |
|
Completing the ISA Server Branch Office VPN Connectivity Wizard(ISA Server 지점 VPN 연결 마법사 완료) |
없음 |
Finish(마침)를 클릭합니다. |
다음 사항을 참고하십시오.
| • |
이 마법사에서는 연결 속도 및 대기 시간에 따라 필요한 모든 작업을 완료하는 데 30분 정도 소요될 수 있습니다. |
| • |
배열 구성원에서 도메인에 가입하는 데 사용하는 IP 주소는 고정 주소 풀에서 가져온 주소입니다. 이 주소는 도메인 컨트롤러에서 이 서버의 DNS 항목을 만들 때 사용됩니다. 이 주소는 본사에 있는 컴퓨터(예: 구성 저장소 서버)에서 지점의 배열 컴퓨터와 통신하는 데 사용할 수 없습니다. 모니터링 기능을 사용하려면 실제 내부 IP 주소를 반영하도록 DNS 항목을 변경하거나 서버의 속성을 수정해야 합니다. Remote Communication(원격 통신) 서버 속성 변경에 대한 자세한 내용은 제품 도움말을 참조하십시오. |
LON 배열의 액세스 규칙 만들기
액세스 규칙은 프로토콜, 원본, 대상 및 사용자 집합을 기준으로 트래픽을 허용하거나 거부합니다. 이 규칙에서는 첫 번째 지점과 본사 사이의 트래픽에 모든 프로토콜을 사용할 수 있도록 허용합니다. miacss01 컴퓨터에서 다음 절차를 수행하십시오.
액세스 규칙을 만들려면
|
1. |
ISA Server Management(ISA Server 관리) 콘솔 트리에서 Microsoft Internet Security and Acceleration Server 2006, Arrays(배열), LON을 차례로 확장한 다음 Firewall Policy (LON)(방화벽 정책(LON))를 클릭합니다. |
|
2. |
작업창의 Tasks(작업) 탭에서 Create Access Rule(액세스 규칙 만들기)을 클릭합니다. 다음 표에 요약된 대로 규칙을 만듭니다. |
| 페이지 | 필드 또는 속성 | 설정 |
|
Welcome(시작) |
Access rule name(액세스 규칙 이름) |
LONMIA Access를 입력합니다. |
|
Rule Action(규칙 동작) |
Action to take when rule conditions are met(규칙 조건 충족 시 수행할 작업) |
Allow(허용)를 선택합니다. |
|
Protocols(프로토콜) |
This rule applies to(규칙 적용 대상) |
드롭다운 목록에서 All outbound traffic(모든 아웃바운드 트래픽)을 선택합니다. |
|
Access Rule Sources(액세스 규칙 원본) |
트래픽의 원본으로 간주할 네트워크를 선택합니다. |
Add(추가)를 클릭하고 Networks(네트워크)를 확장한 후 다음 네트워크를 선택합니다. Internal(내부) 및 MIA_Net |
|
Access Rule Destinations(액세스 규칙 대상) |
트래픽의 대상으로 간주할 네트워크를 선택합니다. |
Add(추가)를 클릭하고 Networks(네트워크)를 확장한 후 다음 네트워크를 선택합니다. Internal(내부) 및 MIA_Net |
|
User Sets(사용자 집합) |
This rule applies to requests from the following user sets(다음 사용자 집합에서 보낸 요청에 이 규칙 적용) |
All Users(모든 사용자)를 선택합니다. |
|
Completing the New Access Rule Wizard(새 액세스 규칙 마법사 완료) |
설정을 검토합니다. |
Finish(마침)를 클릭합니다. |
새로 만든 정책이 배열 구성원에 제대로 업데이트되었는지 확인하려면 다음 절차를 수행하십시오.
배열에서 정책 업데이트를 모니터링하려면
|
1. |
ISA Server Management(ISA Server 관리) 콘솔 트리에서 Microsoft Internet Security and Acceleration Server 2006, Arrays(배열), LON을 차례로 확장한 다음 Monitoring(모니터링)을 클릭합니다. | ||||
|
2. |
세부 정보 창에서 Configuration(구성) 탭을 선택합니다. | ||||
|
3. |
새 정책이 업데이트되었으면 다음과 같이 표시됩니다.
|
사이트 간 VPN 연결 테스트
런던 지점의 client01 컴퓨터에서 다음 절차를 수행하십시오.
VPN 연결을 테스트하려면
| • |
Microsoft Internet Explorer®를 열고 http://miadc01/certsrv로 이동합니다. 그러면 다음 그림과 같은 페이지가 표시됩니다.  |
마이애미 지점과 시드니 지점 사이에 IPsec 터널 모드 사이트 간 연결 구성 및 배포
이 시나리오에서 Contoso는 IPsec 인증에 인증서를 사용하며 IPsec 터널 모드 VPN 연결을 통해 시드니 지점에 연결하기로 결정했습니다. 시드니 지점의 ISA Server 컴퓨터는 도메인에 가입하지 않고 작업 그룹에 남아 있을 것입니다.
이 단원에서는 다음과 같은 작업을 수행합니다.
|
1. |
|
|
2. |
원격 VPN 사이트의 응답 파일 만들기(선택 사항). 응답 파일 만들기에 대한 자세한 내용은 부록 A: Branch Office VPN Connectivity Wizard에 사용할 응답 파일 만들기를 참조하십시오. |
|
3. |
|
|
4. |
|
|
5. |
|
|
6. |
마이애미 및 시드니 네트워크 사이에 사이트 간 VPN 연결 만들기
이 단원에서는 Create Site-to-Site Connection Wizard를 실행합니다. Create Site-to-Site Connection Wizard는 다음과 같은 작업을 수행합니다.
| • |
시드니 지점의 네트워크를 만들고 IPsec 터널 모드를 사용하여 본사와 시드니 네트워크 사이에 사이트 간 VPN 연결을 구성합니다. |
| • |
본사 네트워크와 시드니 지점 네트워크 사이에 네트워크 경로 규칙을 만듭니다. |
| • |
본사와 시드니 지점 사이의 트래픽에 대한 액세스 규칙을 만듭니다. |
Create VPN Site-to-Site Connection Wizard를 실행하기 전에 다음 정보를 수집해야 합니다.
| 항목 | 옵션 | 값 |
|
원격 네트워크의 네트워크 이름 |
없음 |
SYD_Net |
|
VPN 프로토콜 |
L2TP over IPsec(IPsec을 통한 L2TP) IPsec tunnel mode(IPsec 터널 모드) Point-to-Point Tunneling Protocol(PPTP)(지점 간 터널링 프로토콜) |
IPsec tunnel mode(IPsec 터널 모드) |
|
원격 VPN 게이트웨이 IP 주소 |
없음 |
172.16.2.2 |
|
로컬 VPN 게이트웨이 IP 주소 |
없음 |
172.16.0.2 |
|
IPsec 인증. 각 서버가 서로 인증하는 방법입니다. 이 시나리오에서는 인증서를 사용하여 인증합니다. 중요:보안상의 이유로 IPsec 인증에는 전용 개인 CA의 인증서를 사용하는 것이 좋습니다. |
Certificate authentication(인증서 인증) Preshared key authentication(미리 공유한 키 인증) |
Certificate(인증서) 참고:miaisa01 컴퓨터의 로컬 컴퓨터 인증서 저장소에 개인 인증 기관에서 발급한 IPsec 인증서를 설치합니다. 이 시나리오에서는 miadc01에서 인증서를 발급합니다. |
|
원격 네트워크 주소 범위 참고:원격 배열 구성원이 구성 저장소 서버와 통신하려면 원격 배열 서버의 외부 IP 주소를 원격 네트워크 주소 목록에 추가해야 합니다. |
Add Range(범위 추가) Add Network(네트워크 추가) |
10.1.0.1–10.1.0.254 172.16.2.2–172.16.2.2 |
사이트 간 VPN 연결을 만들려면 miacss01 컴퓨터에서 다음 절차를 수행하십시오.
시드니 네트워크의 사이트 간 VPN 네트워크를 만들려면
|
1. |
ISA Server Management(ISA Server 관리) 콘솔 트리에서 Microsoft Internet Security and Acceleration Server 2006, Arrays(배열), MIA를 차례로 확장한 다음 Virtual Private Networks (VPN)(가상 사설망)를 클릭합니다. |
|
2. |
세부 정보 창에서 Remote Sites(원격 사이트) 탭을 선택합니다. |
|
3. |
Tasks(작업) 탭에서 Create VPN Site-to-Site Connection(VPN 사이트 간 연결 만들기)을 클릭합니다. 이 마법사를 사용하여 다음 표에 요약된 대로 네트워크를 만듭니다. |
| 페이지 | 필드 또는 속성 | 설정 | ||
|
Welcome(시작) |
Site-to-site network name(사이트 간 네트워크 이름) |
SYD_Net을 입력합니다. | ||
|
VPN Protocol(VPN 프로토콜) |
Select the VPN Protocol used to protect traffic sent between the sites(사이트 간에 전송하는 트래픽을 보호하는 데 사용할 VPN 프로토콜을 선택하십시오.) |
IP Security protocol (IPsec) tunnel mode(IPsec(IP 보안 프로토콜) 터널 모드)를 선택합니다. | ||
|
Connection Owner(연결 소유자) |
Select connection owner.(연결 소유자를 선택하십시오.) |
드롭다운 목록에서 miaisa01을 선택합니다. | ||
|
Connection Settings(연결 설정) |
Remote VPN gateway IP address(원격 VPN 게이트웨이 IP 주소) Local VPN gateway IP address(로컬 VPN 게이트웨이 IP 주소) |
172.16.2.2를 입력합니다. 172.16.0.2를 입력합니다. | ||
|
IPsec Authentication(IPsec 인증) |
사용할 IPsec 인증 방법을 지정합니다. |
Use a certificate from this certificate authority (CA)(이 인증 기관의 인증서 사용)를 선택하고 Browse(찾아보기)를 클릭한 다음 miadc01을 선택합니다. | ||
|
Network Addresses(네트워크 주소) |
원격 네트워크의 네트워크 주소 범위를 지정합니다. 참고:원격 ISA Server 컴퓨터의 외부 IP 주소는 네트워크 주소 범위에 자동으로 추가됩니다. 이 주소는 원격 ISA Server 컴퓨터와 마이애미 네트워크에 있는 구성 저장소 서버 사이의 통신에 필요합니다. 이 주소 범위를 제거하면 구성 저장소 서버와 통신할 수 없습니다. |
SYD_Net의 내부 네트워크를 추가하려면 Add Range(범위 추가)를 클릭합니다. | ||
|
IP Address Range Properties(IP 주소 범위 속성) |
Start address(시작 주소) End address(끝 주소) |
10.2.0.1을 입력합니다. 10.2.0.254를 입력합니다. | ||
|
Site-to-Site Network Rule(사이트 간 네트워크 규칙) |
이 네트워크에 대한 네트워크 규칙을 지금 만들지, 나중에 만들지 지정합니다. |
Create a network rule specifying a route relationship(경로 관계를 지정하는 네트워크 규칙 만들기)을 선택합니다. 규칙에 다른 네트워크를 추가해야 할 경우 Add(추가)를 클릭하여 추가 네트워크를 선택합니다. 참고:마법사에서는 경로 네트워크 관계만 지정할 수 있습니다. NAT(Network Address Translation) 네트워크 관계를 지정하려면 I'll create a network rule later(나중에 네트워크 규칙을 만듭니다.)를 클릭하십시오. | ||
|
Site-to-Site Network Access Rule(사이트 간 네트워크 액세스 규칙) |
원격 네트워크에 대한 액세스 규칙을 지금 만들지, 나중에 만들지 지정합니다. |
Create an allow access rule(액세스 허용 규칙 만들기)을 선택합니다. Apply the rule to these protocols(다음 프로토콜에 규칙 적용)에서
| ||
|
Completing the New VPN Site-to-Site Network Wizard(새 VPN 사이트 간 네트워크 마법사 완료) |
설정을 검토합니다. |
Back(뒤로)을 클릭하여 설정을 변경하거나 Finish(마침)를 클릭하여 마법사를 완료합니다. | ||
|
Remaining VPN Site-to-Site Tasks(기타 VPN 사이트 간 작업) |
필요한 기타 작업을 검토합니다. |
OK(확인)를 클릭합니다. |
구성 저장소 서버에 대한 연결의 배열 인증 속성 수정
시드니 지점의 배열 구성원은 도메인에 가입하지 않고 작업 그룹 구성에 남아 있을 것이기 때문에 다음 배열 속성을 변경해야 합니다.
| • |
구성 저장소 서버에 연결하는 데 사용할 인증 방법 변경 |
| • |
User (mirrored accounts) allowed to monitor this array(이 배열을 모니터링할 수 있는 사용자(미러 계정))에 관리자 계정을 추가합니다. |
miacss01 컴퓨터에서 다음 절차를 수행하십시오.
ISA Server와 구성 저장소 서버 사이의 연결에 사용할 인증 유형을 변경하려면
|
1. |
ISA Server Management(ISA Server 관리) 콘솔 트리에서 Microsoft Internet Security and Acceleration Server 2006, Arrays(배열)를 차례로 확장한 다음 SYD를 선택합니다. |
|
2. |
작업창의 Tasks(작업) 탭에서 Configure Array Properties(배열 속성 구성)를 클릭합니다. |
|
3. |
Configuration Storage(구성 저장소) 탭을 선택합니다. |
|
4. |
Select the authentication type used for connections between ISA Server and the Configuration Storage server(ISA Server와 구성 저장소 서버 사이의 연결에 사용할 인증 유형 선택)에서 Select(선택)를 클릭합니다. |
|
5. |
Authentication over SSL encrypted channel(SSL 암호화 채널을 통한 인증)을 선택하고 OK(확인)를 클릭합니다. |
|
6. |
OK(확인)를 클릭하여 배열 속성 창을 닫습니다. |
|
7. |
SYD 배열 속성 창을 다시 엽니다(1단계와 2단계 참조). |
|
8. |
Assign Roles(역할 할당) 탭을 선택하고 Users (mirrored accounts) allowed to monitor this array(이 배열을 모니터링할 수 있는 사용자(미러 계정)) 아래에서 Add(추가)를 클릭합니다. |
|
9. |
Group or User(그룹 또는 사용자)에 administrator를 입력합니다. |
|
10. |
Role(역할) 드롭다운 목록에서 ISA Server Array Auditor(ISA Server 배열 감사자)를 선택하고 OK(확인)를 클릭합니다. |
|
11. |
OK(확인)를 클릭하여 배열 속성 창을 닫습니다. |
|
12. |
세부 정보 창에서 Apply(적용)를 클릭하여 구성 변경 내용을 저장하고 적용합니다. |
ISA Server 2006 Enterprise Edition 설치
이 단원에서는 지점 ISA Server 컴퓨터에 ISA Server 서비스와 구성 저장소 서버를 함께 설치합니다. Branch Office VPN Connectivity Wizard를 실행하려면 ISA Server 서비스 및 구성 저장소 서버를 모두 설치해야 합니다. Branch Office VPN Connectivity Wizard를 실행하면 구성 저장소 서버가 제거됩니다.
sydisa01 컴퓨터에서 다음 절차를 수행하십시오.
ISA Server 2006 Enterprise Edition을 설치하려면
|
1. |
Windows Server 2003 SP1을 설치합니다. | ||||||||
|
2. |
Windows Update를 실행하여 최신 보안 업데이트를 모두 설치합니다. | ||||||||
|
3. |
다음 단계에 따라 ISA Server 2006 설치 프로그램을 실행합니다.
|
Branch Office VPN Connectivity Wizard 실행
Branch Office VPN Connectivity Wizard는 다음과 같은 절차를 수행합니다.
| • |
본사와 사이트 간 VPN 연결을 구성하고 설정합니다. |
| • |
시드니 및 마이애미 네트워크 사이의 네트워크 경로 규칙을 만듭니다. |
| • |
도메인에 가입하거나 작업 그룹 환경에 남아 있을 수 있는 옵션을 제공합니다. |
| • |
본사의 ISA Server 2006 엔터프라이즈에 가입합니다. |
| • |
배열에 가입합니다. |
| • |
ISA Server 2006 엔터프라이즈에 가입한 후 서버에서 구성 저장소 서버 구성 요소를 제거합니다. |
Branch Office VPN Connectivity Wizard를 실행하기 전에 다음 작업을 수행하십시오.
| • |
miaisa01의 인증서를 발급한 동일한 개인 CA(인증 기관)의 IPsec 인증서를 sydisa01 컴퓨터의 로컬 컴퓨터 인증서 저장소에 설치합니다. 이 시나리오에서는 miadc01에서 인증서를 발급합니다. |
| • |
지점 배열 구성원의 DNS 서버를 10.0.0.2로 구성하지 않으면 이름을 제대로 확인하지 못할 수 있습니다. 지점의 배열 구성원에서는 miacss01.corp.contoso.com 주소를 확인해야 합니다. |
| • |
시드니 ISA Server 컴퓨터는 도메인에 가입하지 않을 것이므로 sydisa01은 SSL(Secure Sockets Layer) 연결을 사용하여 구성 저장소 서버에 연결합니다. 따라서 구성 저장소 서버에 설치되어 있는 서버 인증서를 발급한 CA의 루트 CA 인증서를 설치해야 합니다. |
Branch Office VPN Site-to-Site Connectivity Wizard를 실행하기 전에 다음 정보를 수집해야 합니다.
| 항목 | 옵션 | 값 |
|
원격 네트워크의 네트워크 이름 |
없음 |
MIA_Net |
|
VPN 프로토콜 |
L2TP over IPsec(IPsec을 통한 L2TP) IPsec tunnel mode(IPsec 터널 모드) Point-to-Point Tunneling Protocol(PPTP)(지점 간 터널링 프로토콜) |
IPsec tunnel mode(IPsec 터널 모드) |
|
원격 VPN 게이트웨이 IP 주소 |
없음 |
172.16.0.2 |
|
로컬 VPN 게이트웨이 IP 주소 |
없음 |
172.16.2.2 |
|
IPsec 인증. 각 서버가 서로 인증하는 방법입니다. 이 시나리오에서는 인증서를 사용하여 인증합니다. 중요:보안상의 이유로 IPsec 인증에는 전용 개인 CA의 인증서를 사용하는 것이 좋습니다. |
Certificate authentication(인증서 인증) Preshared key authentication(미리 공유한 키 인증) |
Certificate(인증서) 참고:sydisa01 컴퓨터의 로컬 컴퓨터 인증서 저장소에 개인 인증 기관에서 발급한 IPsec 인증서를 설치합니다. 이 시나리오에서는 miadc01에서 인증서를 발급합니다. |
|
원격 네트워크 주소 범위 |
Add Range(범위 추가) Add Network(네트워크 추가) |
Add Range(범위 추가) 10.0.0.1–10.0.0.254 |
Branch Office VPN Connectivity Wizard를 실행하려면 sydisa01 컴퓨터에서 다음 절차를 수행하십시오.
시드니 지점에서 Branch Office VPN Connectivity Wizard를 실행하려면
|
1. |
시작, 실행을 차례로 클릭하고 명령 프롬프트 창에 cmd를 입력한 다음 확인을 클릭합니다. |
|
2. |
명령 프롬프트에서 ISA Server 2006 설치 폴더로 이동합니다. 예를 들어 C 드라이브의 기본 위치에 ISA Server를 설치한 경우 cd "c:\Program Files\Microsoft ISA Server"를 입력합니다. |
|
3. |
Branch Office VPN Connectivity Wizard를 실행하려면 명령 프롬프트에 AppCfgWzd.exe를 입력합니다. |
|
4. |
마법사를 사용하여 다음 표에 요약된 대로 지점을 본사에 연결합니다. |
| 페이지 | 필드 또는 속성 | 값 |
|
Welcome(시작) |
없음 |
Next(다음)를 클릭합니다. |
|
Configuration Setting Source(구성 설정 원본) |
구성 정보를 직접 입력할지 아니면 응답 파일을 사용하여 자동으로 설정할지 지정합니다. 응답 파일 만들기에 대한 자세한 내용은 부록 A: Branch Office VPN Connectivity Wizard에 사용할 응답 파일 만들기를 참조하십시오. |
Manually(수동으로)를 선택합니다. |
|
Connection Type(연결 형식) |
VPN 연결에 사용할 프로토콜을 선택합니다. 이 값은 본사에서 구성한 값과 일치해야 합니다. |
IP Security protocol (IPsec) tunnel mode(IPsec(IP 보안 프로토콜) 터널 모드)를 선택합니다. |
|
Array Server Deployment(배열 서버 배포) |
이 서버가 배열에 배포하는 첫 번째 서버인지 아니면 배열에 서버를 이미 배포했는지 지정합니다. |
This is the first server deployed in the array(배열에 배포하는 첫 번째 서버입니다.)를 선택합니다. |
|
IPsec Connection Settings(IPsec 연결 설정) |
다음과 같은 VPN 원격 사이트 설정을 지정합니다. 배열에서 원격 사이트를 나타내기 위해 만들 사이트 간 네트워크의 이름을 입력합니다. 원격 VPN 게이트웨이 IP 주소를 입력합니다. 로컬 VPN 게이트웨이 IP 주소를 입력합니다. |
MIA_Net을 입력합니다. 172.16.0.2를 입력합니다. 172.16.2.2를 입력합니다. |
|
Remote Site VPN IP Addresses(원격 사이트 VPN IP 주소) |
원격 네트워크의 IP 주소 범위를 지정합니다. |
Add Range(범위 추가)를 클릭합니다. |
|
IP Address Range Properties(IP 주소 범위 속성) |
Start address(시작 주소) End address(끝 주소) |
10.0.0.1을 입력합니다. 10.0.0.254를 입력합니다. |
|
IPsec Authentication(IPsec 인증) |
사용할 인증 방법을 지정합니다. |
Use server certificate(서버 인증서 사용)를 선택합니다. |
|
IPsec Certificate(IPsec 인증서) |
인증에 사용할 서버 인증서를 지정합니다. |
Use existing certificate(기존 인증서 사용)를 선택하고 Browse(찾아보기)를 클릭하여 인증서를 발급한 인증 기관을 선택합니다. 중요:마이애미에서 시드니로 연결되는 사이트 간 VPN 연결을 설정할 때도 동일한 인증 기관을 선택해야 합니다. |
|
Ready to Configure the VPN Connection(VPN 연결 구성 준비) |
VPN 설정을 검토합니다. 참고:VPN 터널을 구성하고 만드는 데 5-10분 정도 소요될 수 있습니다. |
Next(다음)를 클릭하여 VPN 연결을 만듭니다. |
|
Join Remote Domain(원격 도메인에 가입) |
작업 그룹에 남아 있을지 아니면 본사 도메인에 가입할지 지정합니다. |
Remain in a workgroup(작업 그룹에 그대로 남아 있음)을 선택합니다. |
|
Securely Published Configuration Storage Server(안전하게 게시된 구성 저장소 서버) |
게시된 구성 저장소 서버를 지정합니다. 구성 저장소 서버 게시에 대한 자세한 내용은 부록 B: 게시된 구성 저장소 서버를 참조하십시오. |
Next(다음)를 클릭합니다. |
|
Array Membership(배열 구성원 자격) |
없음 |
Join an existing array(기존 배열에 가입)를 선택합니다. |
|
Join Existing Array(기존 배열에 가입) |
Array name(배열 이름) |
SYD를 입력합니다. |
|
Configuration Storage Server Authentication Options(구성 저장소 서버 인증 옵션) |
이 컴퓨터를 구성 저장소 서버에서 인증하는 방법을 선택합니다. |
Authenticate over SSL encrypted channel(SSL 암호화 채널을 통한 인증)을 선택하고 Use an existing trusted root CA certificate(기존의 트러스트된 루트 CA 인증서 사용)를 선택합니다. |
|
Ready to Configure ISA Server(ISA Server 구성 준비) |
설정을 검토합니다. |
Next(다음)를 클릭합니다. |
|
Completing the ISA Server Branch Office VPN Connectivity Wizard(ISA Server 지점 VPN 연결 마법사 완료) |
없음 |
Finish(마침)를 클릭합니다. |
SYD 배열의 액세스 규칙 만들기
액세스 규칙은 프로토콜, 원본, 대상 및 사용자 집합을 기준으로 트래픽을 허용하거나 거부합니다. 이 규칙에서는 두 번째 지점과 본사 사이의 트래픽에 모든 프로토콜을 사용할 수 있도록 허용합니다. miacss01 컴퓨터에서 다음 절차를 수행하십시오.
액세스 규칙을 만들려면
|
1. |
ISA Server Management(ISA Server 관리) 콘솔 트리에서 Microsoft Internet Security and Acceleration Server 2006, Arrays(배열), SYD를 차례로 확장한 다음 Firewall Policy (SYD)(방화벽 정책(SYD))를 클릭합니다. |
|
2. |
작업창의 Tasks(작업) 탭에서 Create Access Rule(액세스 규칙 만들기)을 클릭합니다. 다음 표에 요약된 대로 규칙을 만듭니다. |
배열에서 정책 업데이트 모니터링
새로 만든 이 정책이 배열 구성원에 제대로 업데이트되었는지 확인하려면 다음 절차를 수행하십시오.
배열에서 정책 업데이트를 모니터링하려면
|
1. |
ISA Server Management(ISA Server 관리) 콘솔 트리에서 Microsoft Internet Security and Acceleration Server 2006, Arrays(배열), SYD를 차례로 확장한 다음 Monitoring(모니터링)을 클릭합니다. | ||||
|
2. |
세부 정보 창에서 Configuration(구성) 탭을 선택합니다. | ||||
|
3. |
새 정책이 업데이트되었으면 다음과 같이 표시됩니다.
|
사이트 간 VPN 연결 테스트
시드니 지점의 client02 컴퓨터에서 다음 절차를 수행하십시오.
VPN 연결을 테스트하려면
| • |
Internet Explorer를 열고 http://miadc01/certsrv (영문)로 이동합니다. 그러면 다음 그림과 같은 페이지가 표시됩니다. |
부록 A: Branch Office VPN Connectivity Wizard에 사용할 응답 파일 만들기
Branch Office VPN Connectivity Wizard에 사용할 응답 파일은 다음과 같은 두 가지 방법으로 만들 수 있습니다.
| • |
ISA Server Management(ISA Server 관리) 스냅인에서 Create Answer File Wizard를 실행합니다. |
| • |
-create_answer_file 스위치를 사용하여 Branch Office VPN Connectivity Wizard를 실행합니다. |
Create Answer File Wizard를 사용하여 응답 파일 만들기
이 단원에서는 해당 지점에서 Branch Office VPN Connectivity Wizard를 실행할 때 사용할 수 있는 응답 파일을 만듭니다. 이 마법사는 선택한 VPN 사이트 간 네트워크에서 최대한 많은 정보를 가져오기 때문에 대부분의 정보가 일치하며, 설정이 호환되지 않아서 VPN 연결이 실패할 가능성이 줄어듭니다.
원격 VPN 사이트에서 사용할 응답 파일을 만들려면
|
1. |
ISA Server Management(ISA Server 관리) 콘솔 트리에서 Microsoft Internet Security and Acceleration Server 2006, Arrays(배열), Array_Name을 차례로 확장한 다음 Virtual Private Networks (VPN)(가상 사설망)를 클릭합니다. |
|
2. |
세부 정보 창에서 Remote Sites(원격 사이트) 탭을 선택합니다. |
|
3. |
원격 사이트 간 네트워크를 선택합니다. |
|
4. |
Tasks(작업) 탭에서 Create Answer File for Remote VPN Site(원격 VPN 사이트의 응답 파일 만들기)를 클릭하고 마법사를 사용하여 응답 파일을 만듭니다. |
중요:이 마법사를 실행할 때는 원격 사이트의 ISA Server 컴퓨터를 기준으로 생각해야 합니다. 즉, 이 단원에서 Create Answer File Wizard에서 언급하는 원격 위치는 마이애미 본사를 가리키고, 로컬 위치는 런던 지점 또는 시드니 지점을 가리킵니다. 이 응답 파일은 지점에서 Branch Office VPN Connectivity Wizard와 함께 사용됩니다.
| 페이지 | 필드 또는 속성 | 설정 |
|
Welcome(시작) |
없음 |
Next(다음)를 클릭합니다. |
|
Answer File Details(응답 파일 정보) |
응답 파일의 전체 경로를 입력합니다. |
c:\London.inf를 입력합니다. |
|
Connection Type(연결 형식) |
VPN 연결에 사용할 프로토콜을 선택합니다. |
이 설정은 이미 선택되어 있으며 변경할 수 없습니다. |
|
Array Server Deployment(배열 서버 배포) |
VPN 연결이 배열에 배포하는 첫 번째 서버에 대해 생성됩니다. 그 이후에 배포하는 서버에서는 초기 VPN 구성 시 이 연결을 사용해야 합니다. |
This is the first server deployed in the array(배열에 배포하는 첫 번째 서버입니다.)를 선택합니다. |
|
Local Site-to-Site Authentication(로컬 사이트 간 인증) |
Network name(네트워크 이름) Password(암호) Confirm Password(암호 확인) |
MIA_Net을 입력합니다. Passw0rd를 입력합니다. Passw0rd를 입력합니다. |
|
Remote Site VPN IP Addresses(원격 사이트 VPN IP 주소) |
원격 사이트 VPN 네트워크의 IP 주소 범위를 지정합니다. Address ranges of remote VPN network(원격 VPN 네트워크의 주소 범위) Remote VPN server (IP address or name)(원격 VPN 서버(IP 주소 또는 이름)) |
주소 범위가 10.0.0.1–10.0.0.254인지 확인합니다. 172.16.0.2를 입력합니다. |
|
Local Network VPN Settings(로컬 네트워크 VPN 설정) |
들어오는 VPN 클라이언트 연결에 IP 주소를 할당하는 방법을 지정합니다. |
Static IP address pool(고정 IP 주소 풀)을 선택합니다. Add Range(범위 추가)를 클릭합니다. |
|
IP Address Range Properties(IP 주소 범위 속성) |
IP 주소 범위를 지정합니다. Start address(시작 주소) End address(끝 주소) |
11.1.0.1을 입력합니다. 11.1.0.254를 입력합니다. |
|
Remote Authentication(원격 인증) |
User name(사용자 이름) Domain(도메인) Password(암호) Confirm Password(암호 확인) |
LON_Net을 입력합니다. Corp.contoso.com을 입력합니다. Passw0rd를 입력합니다. Passw0rd를 입력합니다. |
|
IPsec Authentication(IPsec 인증) |
사이트 간 VPN 연결을 설정하는 데 사용할 인증 방법을 지정합니다. |
Use server certificate(서버 인증서 사용)를 선택합니다. |
|
IPsec Certificate(IPsec 인증서) |
인증에 사용할 서버 인증서를 지정합니다. |
Use existing certificate(기존 인증서 사용)를 선택합니다. 참고:이 경우 런던 ISA Server 컴퓨터에 올바른 인증서가 설치되어 있는지 확인해야 할 수 있습니다. |
|
Join Remote Domain(원격 도메인에 가입) |
사이트 간 VPN 연결을 성공적으로 설정하면 ISA Server 컴퓨터를 도메인에 가입시킬 수 있습니다. Domain name (FQDN)(도메인 이름(FQDN)) |
Join a domain(도메인에 가입)을 선택합니다. corp.contoso.com을 입력합니다. |
|
Join Domain(도메인에 가입) |
도메인에 가입할 수 있는 권한을 가진 사용자 이름과 암호를 입력합니다. User name(사용자 이름) Password(암호) |
corp\administrator를 입력합니다. Passw0rd를 입력합니다. |
|
Locate Configuration Storage Server(구성 저장소 서버 위치) |
Configuration Storage server (type the FQDN)(구성 저장소 서버(FQDN을 입력하십시오.)) Connection Credentials(연결 자격 증명) User name(사용자 이름) Password(암호) |
miacss01.corp.contoso.com을 확인합니다. Connect using this account(이 계정을 사용하여 연결)를 선택합니다. corp\administrator를 입력합니다. Passw0rd를 입력합니다. |
|
Securely Published Configuration Storage Server(안전하게 게시된 구성 저장소 서버) |
구성 저장소 서버를 안전하게 게시한 경우 여기에 FDQN을 입력할 수 있습니다. |
비워 둡니다. |
|
Array Membership(배열 구성원 자격) |
없음 |
Join an existing array(기존 배열에 가입)를 선택합니다. |
|
Join Existing Array(기존 배열에 가입) |
Array name(배열 이름) |
LON을 입력합니다. |
|
Configuration Storage Server Authentication Options(구성 저장소 서버 인증 옵션) |
이 컴퓨터에서 구성 저장소 서버를 인증하는 방법을 선택합니다. |
Windows Authentication(Windows 인증)을 선택합니다. |
|
Completing the Create Answer File Wizard(응답 파일 만들기 마법사 완료) |
설정을 검토합니다. |
Back(뒤로)을 클릭하여 설정을 변경하거나 Finish(마침)를 클릭하여 마법사를 완료합니다. |
|
1. |
지점 ISA Server 2006 컴퓨터의 다음 위치 중 하나에 파일을 복사하고 이름을 IsaUsrConfig.inf로 변경합니다. AppCfgWzd.exe를 실행하면 마법사가 다음과 같은 위치에서 순서대로 IsaUsrConfig.inf를 자동으로 검색합니다.
|
중요:IPsec 터널 모드 네트워크에서 Create Answer File Wizard를 실행하는 경우에는 Remote Site VPN IP Addresses(원격 사이트 VPN IP 주소) 페이지의 IP 주소 범위 목록에서 본사 ISA Server 컴퓨터의 IP 주소를 제거해야 합니다. 본사 ISA Server 컴퓨터의 IP 주소를 제거하지 않으면 게시된 구성 저장소 서버에 연결할 수 없습니다.
중요:응답 파일에는 기밀 정보가 들어 있으므로 파일이 노출되지 않도록 주의해야 합니다. 또한 응답 파일을 지점 ISA Server 컴퓨터에 전송할 때는 반드시 안전한 방법으로 전송해야 합니다.
Branch Office VPN Connectivity Wizard를 사용하여 응답 파일 만들기
IsaUsrConfig.inf 응답 파일을 만들려면 -create_answer_file 스위치를 사용하여 AppCfgWzd.exe 파일을 실행합니다. -create_answer_file 스위치를 사용하여 마법사를 실행하면 마법사를 페이지별로 진행해야 하기 때문에 응답 파일에 원하는 정보를 입력할 수 있지만 모든 정보를 직접 입력해야 하므로 잘못된 정보를 입력할 가능성이 그만큼 높습니다.
-create_answer_file 스위치를 사용하여 마법사를 실행하면 자동으로 변경되는 구성이 없기 때문에 ISA Server 2006 배열 구성원 중 어디에서나 응답 파일을 만들 수 있습니다.
Branch Office VPN Connectivity Wizard용 응답 파일을 만들고 사용하려면
|
1. |
-create_answer_file 스위치를 사용하여 Branch Office VPN Connectivity Wizard를 실행합니다.
| ||||||
|
2. |
마법사에 필요한 정보를 입력합니다. | ||||||
|
3. |
마법사를 완료하면 응답 파일이 <root drive>:\Windows\temp 디렉터리에 isaconfig_*.inf라는 이름으로 저장됩니다. 여기서 *는 임의의 숫자를 나타내며 예를 들어 IsaConfig_705.inf와 같은 이름으로 저장됩니다. | ||||||
|
4. |
지점 ISA Server 2006 컴퓨터의 다음 위치 중 하나에 isaconfig_*.inf 파일을 복사하고 이름을 IsaUsrConfig.inf로 변경합니다. AppCfgWzd.exe를 실행하면 마법사가 다음과 같은 위치에서 순서대로 IsaUsrConfig.inf를 자동으로 검색합니다.
|
중요:응답 파일에는 기밀 정보가 들어 있으므로 파일이 노출되지 않도록 주의해야 합니다. 또한 응답 파일을 지점 ISA Server 컴퓨터에 전송할 때는 반드시 안전한 방법으로 전송해야 합니다.
응답 파일의 매개 변수 목록
다음 표에서는 IsaUsrConfig.inf 파일의 매개 변수와 이에 따른 관련 마법사 페이지를 보여 줍니다.
| 마법사 페이지 | 설명 | 매개 변수 값 |
|
없음 |
마법사를 실행할 모드를 지정합니다. BasicUI 이 모드에서는 마법사 진행 단계는 볼 수 있지만 응답 파일에 제공된 값을 변경할 수는 없습니다. 마법사를 시작하면 사용자 개입 없이 마법사가 자동으로 실행됩니다. FullUI 이 모드에서는 모든 정보가 자동으로 입력되지만 필요한 경우 정보를 변경할 수 있습니다. .inf 파일에 이 매개 변수를 지정하지 않으면 FullUI가 기본적으로 사용됩니다. |
UnattendedMode={FullUI | BasicUI} |
|
Connection Type(연결 형식) |
없음 |
ConnectionType={VPN} VpnProtocol={L2TP|IPSEC} |
|
Array Server Deployment(배열 서버 배포) |
이 서버가 배열에 배포하는 첫 번째 서버인지 아니면 배열에 서버를 이미 배포했는지 선택합니다. |
JoiningEmptyArray={1 | 0} |
|
Local Site-to-Site Authentication (L2TP setting)(로컬 사이트 간 인증(L2TP 설정)) |
이 어플라이언스에서 원격 VPN 사이트를 나타내기 위해 만들 사이트 간 네트워크의 이름을 지정합니다. 동일한 이름의 사용자 계정이 이 어플라이언스에 만들어지고 원격 사이트에서는 로컬 VPN 사이트에 액세스할 때 이 사용자 계정을 사용합니다. 또한 계정의 암호를 지정합니다. |
RemoteSiteNetworkName=SiteToSiteNetworkName VpnLocalUserPassword=Password |
|
Remote Site VPN IP Addresses (L2TP setting)(원격 사이트 VPN IP 주소(L2TP 설정)) |
원격 게이트웨이의 IP 주소 및 원격 네트워크의 IP 주소 범위를 지정합니다. |
RemoteSiteIpOrName=IP_Address S2SNetIpRanges=StartIPAddress1-EndIPAddress1,StartIPAddress2-EndIPAddress2 … |
|
Local Network VPN Settings (L2TP setting)(로컬 네트워크 VPN 설정(L2TP 설정)) |
VPN 클라이언트 연결에 할당할 IP 주소를 고정 풀에서 가져올지 아니면 DHCP를 사용하여 IP 주소를 할당할지 지정합니다. |
AddressAssignmentType={StaticPool|DHCP} StaticAddressPool=StartIPAddress1-EndIPAddress1,StartIPAddress2-EndIPAddress2 … |
|
Remote Authentication (L2TP setting)(원격 인증(L2TP 설정)) |
로컬 사이트에서 원격 사이트를 인증하는 데 사용할 자격 증명을 지정합니다. 이 자격 증명은 원격 사이트에서 인식할 수 있는 계정이어야 합니다. |
S2SUserName=Account_Name S2SDomain=Account_Domain S2SUserPassword=Account_Password |
|
IPsec Authentication (L2TP setting)(IPsec 인증(L2TP 설정)) |
인증하는 데 서버 인증서를 사용할지 아니면 미리 공유한 키를 사용할지 선택합니다. |
VPNAuthenticationType={Certificate|PresharedKey} PresharedKey=Preshared_Key VpnClientCertificate_UserPath=Certificate_Folder |
|
IPsec Certificate (L2TP setting)(IPsec 인증서(L2TP 설정)) |
.pfx 파일에서 새 인증서를 설치할지 아니면 개인 인증서 저장소에 있는 기존 인증서를 사용할지 지정합니다. |
VPNCertificate_InstallMode={InstallNew|UseExisting} SERVER_CERTIFICATE_FULLPATH=PathtoPfxFile VPNCertificate_Password=Passwordforpfxfile VPNCertificate_CAName=ExistingCertificateName |
|
IPsec Connection Settings (IPsec Tunnel Mode setting)(IPsec 연결 설정(IPsec 터널 모드 설정)) |
이 어플라이언스에서 원격 VPN 사이트를 나타내기 위해 만들 사이트 간 네트워크의 이름을 지정합니다. 또한 원격 VPN 게이트웨이의 IP 주소 및 로컬 VPN 게이트웨이의 IP 주소를 지정합니다. |
RemoteSiteNetworkName=SiteToSiteNetworkName RemoteSiteIPOrName=RemoteGatewayIPAddress LocalGatewayIp=LocalGatewayIPAddress |
|
Remote Site VPN IP Addresses (IPsec Tunnel Mode setting)(원격 사이트 VPN IP 주소(IPsec 터널 모드 설정)) |
원격 사이트 VPN 네트워크의 IP 주소 범위를 지정합니다. |
S2SNetIpRanges= StartIPAddress1-EndIPAddress1,StartIPAddress2-EndIPAddress2 … |
|
IPsec Authentication (IPsec Tunnel Mode setting)(IPsec 인증(IPsec 터널 모드 설정)) |
인증하는 데 서버 인증서를 사용할지 아니면 미리 공유한 키를 사용할지 선택합니다. |
VPNAuthenticationType={Certificate|PresharedKey} PresharedKey=Preshared_Key |
|
IPsec Certificate (IPsec Tunnel Mode setting)(IPsec 인증서(IPsec 터널 모드 설정)) |
.pfx 파일에서 새 인증서를 설치할지 아니면 개인 인증서 저장소에 있는 기존 인증서를 사용할지 지정합니다. |
VPNCertificate_InstallMode={InstallNew|UseExisting} SERVER_CERTIFICATE_FULLPATH=PathtoPfxFile VPNCertificate_Password=Passwordforpfxfile VPNCertificate_CAName=ExistingCertificateName |
|
Join Remote Domain(원격 도메인에 가입) |
도메인에 가입할지 아니면 작업 그룹 모드에 남아 있을지 지정합니다. |
JoinDomainAction={JoinDomain|RemainInWG} JoinDomainName=Domain_Name JoinDomain_UserAccount=Account_Name JoinDomain_Password=Account_Password |
|
Locate Configuration Storage Server(구성 저장소 서버 위치) |
연결에 사용할 자격 증명 및 구성 저장소 서버를 지정합니다. |
STORAGESERVER_COMPUTERNAME=ConfigurationStorageServer_Name STORAGESERVER_CONNECT_ACCOUNT=Account_Name. 도메인 계정은 domainname\username 형식으로 지정해야 합니다. STORAGESERVER_CONNECT_PWD=Account_Password |
|
Securely Published Configuration Storage Server(안전하게 게시된 구성 저장소 서버) |
게시된 구성 저장소 서버 설정을 지정합니다. CLIENT_CERTIFICATE_PATH_PROP 매개 변수는 PublishedCssRootCACertPath 매개 변수를 사용하는 경우에만 사용할 수 있습니다. |
VpnBackupCssName=PublishedConfigurationStorageServerName PublishedCssRootCACertPath=PathToTrustedRootCert CLIENT_CERTIFICATE_PATH_PROP=PublishedCssRootCACertPath |
|
Array Membership(배열 구성원 자격) |
이 어플라이언스를 기존 배열에 추가하거나 새 배열을 만들어 추가합니다. |
ARRAY_MODE={Join|New} |
|
Create new array(새 배열 만들기) |
새 배열의 이름과 해당 DNS 이름을 지정합니다. 원하는 경우 설명도 추가합니다. |
ARRAY_NAME=Array_Name ARRAY_DESCR=Array_Description ARRAY_DNS_NAME=DNS_Name |
|
Join Existing Array(기존 배열에 가입) |
이 어플라이언스가 가입할 배열을 지정합니다. |
ARRAY_NAME=Array_Name |
|
Configuration Storage Server Authentication Options(구성 저장소 서버 인증 옵션) |
이 어플라이언스에서 구성 저장소 서버를 인증하는 방법을 선택합니다. 어플라이언스가 구성 저장소 서버와 같은 도메인 또는 트러스트된 도메인에 속해 있으면 Windows 인증을 사용하고, 그렇지 않으면 SSL 암호화 채널을 통한 서버 인증을 사용합니다. |
ARRAY_AUTHENTICATIONMETHOD={Windows|Certificate} CLIENT_CERTIFICATE_FULL_PATH=TrustedRootCert_Location |
L2TP 연결에 사용할 수 있는 응답 파일 예제
다음은 L2TP 연결에 사용할 수 있는 응답 파일 예제입니다.
[Appliance_Parameters];
;
; Connection Type L2TP
;
ConnectionType=VPN
VpnProtocol=L2TP
JoiningEmptyArray=1
RemoteSiteNetworkName=MIA_Net
VpnLocalUserPassword=1
RemoteSiteIpOrName=172.16.0.2
S2SNetIpRanges=10.0.0.1-10.0.0.254
AddressAssignmentType=StaticPool
StaticAddressPool=11.1.0.1-11.1.0.254
S2SUserName=LON_Net
S2SUserDomain=corp
S2SUserPassword=Passw0rd
;
; Authentication is with pre-shared key
;
VPNAuthenticationType=PresharedKey
PresharedKey=123456
;
; Joining a Domain
;
JoinDomainAction=JoinDomain
JoinDomainName=corp.contoso.com
JoinDomain_UserAccount=corp\administrator
JoinDomain_Password=Passw0rd
;
; Connect to Configuration Storage server and join an existing array
;
STORAGESERVER_COMPUTERNAME=miacss01.corp.contoso.com
STORAGESERVER_CONNECT_ACCOUNT=corp\administrator
STORAGESERVER_CONNECT_PWD=Passw0rd
PublishedCssRootCACertPath=
VpnBackupCssName=
ARRAY_MODE=Join
ARRAY_NAME=LON
ARRAY_AUTHENTICATIONMETHOD=Windows
CLIENT_CERTIFICATE_FULLPATH=
IPsec 터널 모드 연결에 사용할 수 있는 응답 파일 예제
다음은 IPsec 터널 모드 연결에 사용할 수 있는 응답 파일 예제입니다.
[Appliance_Parameters]
;
;Connection type IPsec Tunnel Mode
;
ConnectionType=VPN
JoiningEmptyArray=1
VpnProtocol=IPsec
RemoteSiteNetworkName=MIA_Net
RemoteSiteIpOrName=172.16.0.2
LocalGatewayIp=172.16.2.2
S2SNetIpRanges=10.0.0.1-10.0.0.254
;
; Authentication is with pre-shared key
;
VPNAuthenticationType=PresharedKey
PresharedKey=123456
;
; Remain in a workgroup configuration
;
JoinDomainAction=RemainInWG
JoinDomainName=
;
; Connect to Configuration Storage server and join an existing array
;
STORAGESERVER_COMPUTERNAME=storage01.corp.contoso.com
STORAGESERVER_CONNECT_ACCOUNT=corp\administrator
STORAGESERVER_CONNECT_PWD=Passw0rd
PublishedCssRootCACertPath=
VpnBackupCssName=
ARRAY_MODE=Join
ARRAY_NAME=SYD
ARRAY_AUTHENTICATIONMETHOD=Certificate
CLIENT_CERTIFICATE_FULLPATH=
부록 B: 게시된 구성 저장소 서버
ISA Server 2006에서는 구성 저장소 서버에 연결하는 데 주로 사용하는 VPN 터널을 구성 오류로 인해 사용할 수 없는 경우 안전하게 게시된 대체 구성 저장소 서버에 연결할 수 있는 기능을 지원합니다. 이 기능은 구성 문제가 발생하기 전에 구성하고 테스트해야 합니다.
ISA Server 배열 구성원과 구성 저장소 서버가 사이트 간 VPN 연결을 통해 연결된 경우에는 VPN 연결을 사용할 수 없을 때를 대비하여 구성 저장소 서버에 연결하는 다른 방법을 정의할 수 있습니다. 이렇게 하면 배열 구성원이 인터넷을 통해 안전하게 게시된 구성 저장소 서버에 연결할 수 있으므로 구성 저장소 서버에서 구성 업데이트를 계속해서 받을 수 있습니다. 사이트 간 VPN 연결이 복원되면 배열 구성원은 사이트 간 VPN 연결을 통해 기본 구성 저장소 서버로 다시 전환하여 연결합니다.
배열 구성원은 다음과 같은 경우에만 안전하게 게시된 구성 저장소 서버에 연결합니다.
| • |
기본 구성 저장소 서버 또는 대체 구성 저장소 서버(배열 구성원이 대체 구성 저장소 서버에 이미 연결되어 있는 경우)를 30분 동안 사용할 수 없는 경우 |
| • |
대체 구성 저장소 서버를 사용할 수 없는 경우. Configuration Storage(구성 저장소) 페이지에서 대체 구성 저장소 서버를 구성한 경우에만 해당합니다. |
| • |
배열 속성의 Published Configuration Storage(게시된 구성 저장소) 페이지에서 Over a VPN site-to-site connection(VPN 사이트 간 연결 사용)을 선택한 경우 |
| • |
안전하게 게시된 구성 저장소 서버의 FQDN을 Alternate securely published Configuration Storage server(안전하게 게시된 대체 구성 저장소 서버) 필드에 입력한 경우 |
중요:안전하게 게시된 대체 구성 저장소 서버를 활용하려면 VPN 연결이 끊어지기 전에 이러한 구성 설정을 입력해야 합니다.
구성 저장소 서버를 안전하게 게시하는 방법에 대한 자세한 내용은 Microsoft TechNet 웹 사이트에서 "Securely Publish ISA Server Configuration Storage Server"를 참조하십시오.
배열 구성원이 기본 구성 저장소 서버와 대체 구성 저장소 서버 사이를 전환하기 전에 대기할 시간을 변경하는 방법에 대한 자세한 내용은 Microsoft TechNet 웹 사이트에서 (영문) "Setting Configuration Storage Server Delay Times"를 참조하십시오.
부록 C: 미리 공유한 키 또는 인증서 변경
이 단원에서는 다음과 같은 내용을 설명합니다.
| • | |
| • |
중요:이러한 변경 사항을 올바른 순서로 적용하지 않으면 VPN 사이트 간 연결이 끊어져서 지점 배열 구성원이 본사의 구성 저장소 서버에 연결하지 못할 수 있습니다. 이와 같은 이유로, VPN 사이트 간 연결 속성을 변경하기 전에 구성 저장소 서버를 게시하는 것이 좋습니다. 자세한 내용은 부록 B: 게시된 구성 저장소 서버를 참조하십시오.
중요:구성을 변경하기 전에 내보내는 것이 좋습니다. 구성을 내보내는 방법에 대한 자세한 내용은 제품 도움말을 참조하십시오.
L2TP 및 IPsec 터널 모드에 사용하는 미리 공유한 키 변경
미리 공유한 키가 노출되었거나, 미리 공유한 키를 변경하려면 다음 절차를 수행하십시오.
L2TP를 통한 사이트 간의 들어오는 연결에서는 동일한 미리 공유한 키를 사용합니다. 즉, 본사 하나와 지점 다섯 개로 구성된 시나리오에서 모든 지점은 동일한 미리 공유한 키를 사용하여 본사에 대한 사이트 간 연결을 시작합니다. L2TP를 사용하도록 구성된 VPN 액세스 클라이언트도 동일한 미리 공유한 키를 사용합니다. 본사에서 지점에 대한 연결을 시작할 경우 본사에서는 지점 배열에 구성되어 있는 미리 공유한 키를 사용해야 합니다.
IPsec 터널 모드에서는 본사와 지점 중 어느 쪽에서 연결을 시작하는지에 관계없이 각각의 사이트 간 연결에서 고유한 미리 공유한 키를 사용합니다.
미리 공유한 키를 변경하려면
|
1. |
엔터프라이즈 구성을 내보냅니다. | ||||||||||||||||||||||||||||||
|
2. |
영향을 받는 모든 지점의 모든 사이트 간 연결에서 미리 공유한 키를 변경합니다. | ||||||||||||||||||||||||||||||
|
3. |
L2TP를 사용하는 경우 다음 단계를 수행합니다.
| ||||||||||||||||||||||||||||||
|
4. |
IPsec 터널 모드를 사용하는 경우 다음 단계를 수행하십시오.
|
미리 공유한 키 방식에서 인증서 방식으로 IPsec 인증 변경
미리 공유한 키를 사용하여 사이트 간 VPN 연결을 배포한 경우에 인증서 기반 인증을 사용하도록 설정을 변경하려면 다음 절차를 수행하십시오.
IPsec 터널 모드 사이트 간 VPN 연결을 사용할 때는 모든 연결에 대해 인증 방식을 인증서로 한꺼번에 변경할 필요 없이 지점별로 각각 따로 설정을 변경할 수 있습니다. 작업을 마치면 미리 공유한 키 설정을 제거할 수 있습니다.
미리 공유한 키 방식에서 인증서 방식으로 IPsec 인증을 변경하려면
|
1. |
지점 배열 구성원에 적절한 인증서를 설치합니다. | ||||||||||||||||||||||||||||||
|
2. |
본사 배열 구성원에 적절한 인증서를 설치합니다. 중요:이때 동일한 CA에서 발급한 인증서를 본사와 지점 배열 구성원에 설치해야 합니다. IPsec 인증에는 전용 개인 CA의 인증서를 사용하는 것이 좋습니다. | ||||||||||||||||||||||||||||||
|
3. |
L2TP를 사용하는 경우 다음 단계를 수행합니다.
| ||||||||||||||||||||||||||||||
|
4. |
IPsec 터널 모드를 사용하는 경우 다음 단계를 수행하십시오.
|
부록 D: 문제 해결
이 단원에서는 로그 파일 및 오류 메시지에 대해 설명합니다.
로그 파일
Branch Office VPN Connectivity Wizard를 실행하면 설치 프로그램에서는 기본 로그 파일과는 별도로 추가적인 로그 파일을 자동으로 생성합니다. Windows Installer는 ISA Server 2006 설치 프로그램을 실행하는 동안 발생하는 오류 및 기타 정보를 기록합니다. 로그 파일은 메모장에서 볼 수 있습니다. Windows Installer에서 로그 파일에 기록하는 정보는 설치에 실패한 경우 문제를 해결하는 데 도움이 될 수 있습니다.
Branch Office VPN Connectivity Wizard 로그 파일은 %windir%\temp 폴더에 ISAACW_nnn.log라는 이름으로 저장됩니다. 파일 이름에서 nnn은 고유한 세 자리 설치 ID입니다.
오류 메시지
다음과 같은 오류 메시지가 나타나면 다음 표에 나와 있는 프로토콜이 지점 배열 구성원과 구성 저장소 서버 간 연결에 허용되는지 확인하십시오.
오류 메시지: A connection to the specified Configuration Storage server could not be established. This may be because the local computer needs to be added to the Managed ISA Server Computers computer set(지정한 구성 저장소 서버에 연결할 수 없습니다. 관리되는 ISA Server 컴퓨터 컴퓨터 집합에 로컬 컴퓨터를 추가해야 할 수 있습니다.).
| 프로토콜 | ISA Server와 구성 저장소 서버 사이의 연결에 사용하는 인증 유형 |
|
MS Firewall Storage Server |
Windows 인증 |
|
MS Firewall Secure Storage Server |
SSL 암호화 채널을 통한 인증 |