주요 콘텐츠로 건너뛰기 이 브라우저는 더 이상 지원되지 않습니다. Show
최신 기능, 보안 업데이트, 기술 지원을 이용하려면 Microsoft Edge로 업그레이드하세요. 암호 기반 802.1 X 인증된 무선 액세스 배포
이 문서의 내용
이 가이드는 Windows Server® 2016 Core Network 가이드의 도우미 가이드입니다. 핵심 네트워크 가이드는 완전히 작동하는 네트워크 및 새 포리스트의 새 Active Directory® 도메인에 필요한 구성 요소를 계획하고 배포하기 위한 지침을 제공합니다. 이 가이드에는 PEAP-MS-CHAP v2(Protected Extensible Authentication Protocol-Microsoft Challenge Handshake 인증 프로토콜 버전 2)를 사용하여 IEEE(Institute of Electrical and Electronics Engineers) 802.1X 인증 IEEE 802.11 무선 액세스를 배포하는 방법에 대한 지침을 제공함으로써 핵심 네트워크를 구축하는 방법에 대해 설명합니다. PEAP-MS-CHAP v2는 사용자가 인증 프로세스 중에 인증서가 아닌 암호 기반 자격 증명을 제공해야 하므로 일반적으로 EAP-TLS 또는 PEAP-TLS보다 배포하기가 더 쉽고 저렴합니다. 참고 이 가이드에서 PEAP-MS-CHAP v2를 사용한 IEEE 802.1X 인증 무선 액세스는 "무선 액세스" 및 "WiFi 액세스"로 축약됩니다. 이 가이드의 내용아래에 설명 된 필수 구성 요소 가이드와 함께에서이 가이드에서는 다음 WiFi 액세스 인프라를 배포 하는 방법에 대 한 지침을 제공 합니다.
이 가이드에 대 한 종속성이 가이드에서 인증 된 무선 연결을 성공적으로 배포 하려면 모든 배포는 필요한 기술을 사용 하 여 네트워크 및 도메인 환경이 있어야 합니다. 또한 인증 NPS에 서버 인증서를 배포해야 합니다. 다음 섹션에서는 이러한 기술을 배포 하는 방법을 보여 주는 설명서 링크를 제공 합니다. 네트워크 및 도메인 환경 종속성이 가이드는 Windows Server 2016 핵심 네트워크 가이드의 지침에 따라 핵심 네트워크를 배포한 네트워크 및 시스템 관리자 또는 AD DS, DNS(도메인 이름 시스템), DHCP(동적 호스트 구성 프로토콜), TCP/IP, NPS 및 WINS(Windows Internet Name Service)를 포함하여 핵심 네트워크에 포함된 핵심 기술을 이전에 배포한 사용자를 위해 설계되었습니다. 핵심 네트워크 가이드는 다음 위치에서 사용할 수 있습니다.
서버 인증서 종속성802.1X 인증에 사용할 서버 인증서를 사용하여 인증 서버를 등록하는 데 사용할 수 있는 두 가지 옵션이 있습니다. AD CS(Active Directory Certificate Services)를 사용하여 사용자 고유의 공개 키 인프라를 배포하거나 CA(공용 인증 기관)에서 등록한 서버 인증서를 사용합니다. AD CS네트워크 및 시스템 관리자가 인증 된 무선 배포에서 Windows Server 2016 핵심 네트워크 도우미 가이드의 지침에 따라야 합니다. 802.1 X 유선 및 무선 배포에 대 한 서버 인증서 배포합니다. 이 가이드에는 배포 하 고 NPS를 실행 하는 컴퓨터에 서버 인증서를 자동으로 등록 AD CS를 사용 하는 방법을 설명 합니다. 이 가이드는 다음 위치에서 사용할 수 있습니다.
공용 CA클라이언트 컴퓨터가 이미 신뢰 VeriSign 등의 공용 CA에서 서버 인증서를 구입할 수 있습니다. 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 CA 인증서가 설치 하는 경우 클라이언트 컴퓨터는 CA를 신뢰 합니다. 기본적으로 Windows 실행하는 컴퓨터에는 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 여러 공용 CA 인증서가 설치되어 있습니다. 이 배포 시나리오에서 사용되는 각 기술에 대한 디자인 및 배포 가이드를 검토하는 것이 좋습니다. 이들 가이드를 통해 이 배포 시나리오가 조직 네트워크에 필요한 서비스 및 구성을 제공하는지 확인할 수 있습니다. 요구 사항다음은 이 가이드에 설명된 시나리오를 사용하여 무선 액세스 인프라를 배포하기 위한 요구 사항입니다.
이 가이드에서 설명하지 않는 정보다음은 이 가이드에서 제공하지 않는 몇 가지 항목입니다. 802.1X 지원 무선 액세스 지점을 선택하기 위한 포괄적인 지침802.1X 지원 무선 AP의 브랜드와 모델 간에 많은 차이가 있기 때문에 이 가이드에서는 다음 사항에 대한 자세한 정보를 제공하지 않습니다.
또한 용어와 이름을 설정에 대 한 무선 AP 브랜드와 모델에 따라 다 고이 가이드에 사용 되는 일반 설정 이름을 일치 하지 않을 수 있습니다. 무선 AP 구성 세부 정보는 무선 AP 제조업체에서 제공하는 제품 설명서를 검토해야 합니다. NPS 인증서 배포 지침NPS 인증서를 배포하기 위한 두 가지 대안이 있습니다. 이 가이드에서는 요구 사항에 가장 적합한 대안을 결정하는 데 도움이 되는 포괄적인 지침을 제공하지 않습니다. 그러나 일반적으로 직면하는 선택은 다음과 같습니다.
NPS 네트워크 정책 및 기타 NPS 설정설정한 구성 실행 하는 경우를 제외 하 고는 구성 802.1 X 마법사,이 가이드에 설명 된 대로,이 가이드 NPS 조건, 제약 조건 또는 기타 NPS 설정을 수동으로 구성 하는 것에 대 한 자세한 정보를 제공 하지 않습니다. DHCP이 배포 가이드에서는 무선 LAN용 DHCP 서브넷을 디자인하거나 배포하는 방법에 대한 정보를 제공하지 않습니다. 기술 개요무선 액세스를 배포하기 위한 기술 개요는 다음과 같습니다. IEEE 802.1XIEEE 802.1X 표준은 이더넷 네트워크에 대한 인증된 네트워크 액세스를 제공하는 데 사용되는 포트 기반 네트워크 액세스 제어를 정의합니다. 이 포트 기반 네트워크 액세스 제어는 전환된 LAN 인프라의 물리적 특성을 사용하여 LAN 포트에 연결된 디바이스를 인증합니다. 인증 프로세스에 실패하면 포트에 대한 액세스를 정의할 수 있습니다. 이 표준은 유선 이더넷 네트워크를 위해 설계되었지만 802.11 무선 LAN에서 사용하도록 조정되었습니다. 802.1X 지원 무선 액세스 지점(AP)이 시나리오에서는 RADIUS(원격 인증 전화 접속 사용자 서비스) 프로토콜과 호환되는 하나 이상의 802.1X 지원 무선 AP를 배포해야 합니다. 802.1X 및 RADIUS 규격 AP는 NPS와 같은 RADIUS 서버를 사용하여 RADIUS 인프라에 배포되는 경우 RADIUS 클라이언트라고 합니다. 무선 클라이언트이 가이드에서는 Windows 10, Windows 8.1 및 Windows 8 실행하는 무선 클라이언트 컴퓨터를 사용하여 네트워크에 연결하는 도메인 구성원 사용자에게 802.1X 인증된 액세스를 제공하는 포괄적인 구성 세부 정보를 제공합니다. 인증된 액세스를 성공적으로 설정하려면 컴퓨터를 도메인에 가입해야 합니다. 참고 또한 무선 클라이언트와 Windows Server 2016, Windows Server 2012 R2 및 Windows Server 2012를 실행 하는 컴퓨터를 사용할 수 있습니다. IEEE 802.11 표준 지원지원되는 Windows 및 Windows Server 운영 체제는 802.11 무선 네트워킹을 기본적으로 지원합니다. 이러한 운영 체제에서 설치 된 802.11 무선 네트워크 어댑터가 네트워크 및 공유 센터에 무선 네트워크 연결으로 표시 됩니다. 802.11 무선 네트워킹에 대한 기본 제공 지원이 있지만 Windows 무선 구성 요소는 다음 사항에 따라 달라집니다.
다음 표에서는 일반적인 IEEE 802.11 무선 표준에 대한 전송 속도 및 주파수를 보여 줍니다.
무선 네트워크 보안 방법무선 네트워크 보안 방법은 무선 인증(무선 보안이라고도 함) 및 무선 보안 암호화를 비공식적으로 그룹화한 것입니다. 무선 인증 및 암호화는 무단 사용자가 무선 네트워크에 액세스하지 못하도록 방지하고 무선 전송을 보호하기 위해 쌍으로 사용됩니다. 무선 네트워크 정책의 그룹 정책에서 무선 보안 설정을 구성 하는 경우 여러 조합을 선택할 수 있습니다. 그러나 802.1X 인증 표준이 있는 WPA2-Enterprise, WPA Enterprise 및 Open만 802.1X 인증 무선 배포에 대해 지원됩니다. 참고 무선 네트워크 정책을 구성하는 동안 802.1X 인증 무선 배포에 필요한 EAP 설정에 액세스하려면 WPA2-Enterprise, WPA Enterprise 또는 802.1X로 열기를 선택해야 합니다. 무선 인증이 가이드는 다음과 같은 무선 인증 표준 사용 802.1 X 인증 무선 배포 하는 것이 좋습니다. Wi-Fi 보호 액세스 – Enterprise(WPA-Enterprise) WPA는 802.11 무선 보안 프로토콜을 준수하기 위해 WiFi Alliance에서 개발한 임시 표준입니다. WPA 프로토콜은 이전 WEP(유선 등가 개인 정보 보호) 프로토콜에서 발견된 여러 가지 심각한 결함에 대응하여 개발되었습니다. WPA-Enterprise 다음을 통해 WEP에 대한 향상된 보안을 제공합니다.
Wi-Fi 보호 액세스 2 – Enterprise(WPA2-Enterprise) WPA-Enterprise 표준과 마찬가지로 WPA2-Enterprise 802.1X 및 EAP 프레임워크를 사용합니다. WPA2-Enterprise 여러 사용자 및 대규모 관리형 네트워크에 대해 더 강력한 데이터 보호를 제공합니다. WPA2-Enterprise 인증 서버를 통해 네트워크 사용자를 확인하여 무단 네트워크 액세스를 방지하도록 설계된 강력한 프로토콜입니다. 무선 보안 암호화무선 보안 암호화는 무선 클라이언트와 무선 AP 간에 전송되는 무선 전송을 보호하는 데 사용됩니다. 무선 보안 암호화는 선택한 네트워크 보안 인증 방법과 함께 사용됩니다. 기본적으로 Windows 10, Windows 8.1 및 Windows 8을 실행 하는 컴퓨터 두 대의 암호화 표준을 지원 합니다.
Windows Server 2016 WPA2-Enterprise 인증 방법을 선택하는 경우 무선 프로필 속성에서 다음 AES 기반 무선 암호화 방법을 구성할 수 있습니다.
중요 WEP(유선 등가 개인 정보 보호)는 네트워크 트래픽을 암호화하는 데 사용된 원래 무선 보안 표준이었습니다. 이 오래된 형태의 보안에 잘 알려진 취약성이 있으므로 네트워크에 WEP를 배포해서는 안 됩니다. AD DS(Active Directory Domain Services)AD DS에서는 디렉터리 사용 애플리케이션의 네트워크 리소스와 애플리케이션별 데이터에 대한 정보를 저장하고 관리하는 분산 데이터베이스를 제공합니다. 관리자는 AD DS를 이용해 사용자, 컴퓨터 및 다른 디바이스와 같은 네트워크 요소를 계층적 포함 구조로 구성할 수 있습니다. 계층적 포함 구조에는 Active Directory 포리스트, 포리스트의 도메인 및 각 도메인의 OU(조직 구성 단위)가 포함되어 있습니다. AD DS를 실행하는 서버를 도메인 컨트롤러라고 합니다. AD DS에는 사용자 자격 증명을 인증하고 무선 연결에 대한 권한 부여를 평가하기 위해 IEEE 802.1X 및 PEAP-MS-CHAP v2에 필요한 사용자 계정, 컴퓨터 계정 및 계정 속성이 포함됩니다. Active Directory 사용자 및 컴퓨터Active Directory 사용자 및 컴퓨터는 컴퓨터, 사용자 또는 보안 그룹을 같은 실제 엔터티를 나타내는 계정을 포함 하는 AD DS의 구성 요소입니다. 보안 그룹은 관리자가 단일 단위로 관리할 수 있는 사용자 또는 컴퓨터 계정의 컬렉션입니다. 특정 그룹에 속하는 사용자 및 컴퓨터 계정을 그룹 구성원이라고 합니다. 그룹 정책 관리그룹 정책 관리를 사용하면 보안 및 사용자 정보를 포함하여 사용자 및 컴퓨터 설정의 디렉터리 기반 변경 및 구성 관리를 사용할 수 있습니다. 그룹 정책을 사용하여 사용자 및 컴퓨터 그룹에 대한 구성을 정의합니다. 그룹 정책을 사용하면 레지스트리 항목, 보안, 소프트웨어 설치, 스크립트, 폴더 리디렉션, 원격 설치 서비스 및 Internet Explorer 유지 관리에 대한 설정을 지정할 수 있습니다. 만든 그룹 정책 설정은 GPO(그룹 정책 개체)에 포함되어 있습니다. Active Directory 시스템 컨테이너에 선택 된 GPO를 연결 하 여-사이트, 도메인 및 Ou-사용자 및 해당 Active Directory 컨테이너에는 컴퓨터에 GPO의 설정을 적용할 수 있습니다. 엔터프라이즈에서 그룹 정책 개체를 관리하려면 그룹 정책 관리 편집기 MMC(Microsoft Management Console)를 사용할 수 있습니다. 이 가이드에서는 그룹 정책 관리의 무선 네트워크(IEEE 802.11) 정책 확장에서 설정을 지정하는 방법에 대한 자세한 지침을 제공합니다. 무선 네트워크(IEEE 802.11) 정책은 802.1X 인증된 무선 액세스를 위해 필요한 연결 및 무선 설정을 사용하여 도메인 구성원 무선 클라이언트 컴퓨터를 구성합니다. 서버 인증서이 배포 시나리오에는 802.1X 인증을 수행하는 각 NPS에 대한 서버 인증서가 필요합니다. 서버 인증서는 일반적으로 인증에 사용되며 열린 네트워크에서 정보를 보호하는 데 사용되는 디지털 문서입니다. 인증서는 퍼블릭 키를 해당 프라이빗 키가 포함된 엔터티와 안전하게 바인딩합니다. 인증서는 발급 CA에서 디지털 서명되며 사용자, 컴퓨터 또는 서비스에 대해 발급할 수 있습니다. CA(인증 기관)는 주체(일반적으로 사용자 또는 컴퓨터) 또는 기타 CA에 속하는 공개 키의 신뢰성을 설정하고 보증하는 역할을 하는 엔터티입니다. 인증 기관의 활동에는 서명된 인증서를 통해 고유 이름에 공개 키를 바인딩하고 인증서 일련 번호를 관리하고 인증서를 해지하는 작업이 포함될 수 있습니다. AD CS(Active Directory 인증서 서비스)는 네트워크 CA로 인증서를 발급하는 서버 역할입니다. PKI(공개 키 인프라)라고도 하는 AD CS 인증서 인프라는 엔터프라이즈용 인증서를 발급하고 관리하기 위한 사용자 지정 가능한 서비스를 제공합니다. EAP, PEAP 및 PEAP-MS-CHAP v2EAP(확장 가능 인증 프로토콜)는 임의 길이의 자격 증명 및 정보 교환을 사용하는 추가 인증 방법을 허용하여 PPP(지점 간 프로토콜)를 확장합니다. EAP 인증을 사용하면 성공적인 인증이 수행되려면 네트워크 액세스 클라이언트와 인증자(예: NPS)가 모두 동일한 EAP 유형을 지원해야 합니다. Windows Server 2016 EAP 인프라를 포함하고, 두 가지 EAP 형식을 지원하며, EAP 메시지를 NPS에 전달하는 기능을 포함합니다. EAP를 사용 하 여 라고 하는 추가 인증 체계를 지원할 수 있습니다 EAP 종류합니다. Windows Server 2016에서 지원 되는 EAP 유형은 다음과 같습니다.
중요 강력한 EAP 유형(예: 인증서 기반)은 암호 기반 인증 프로토콜(예: CHAP 또는 MS-CHAP 버전 1)보다 무차별 암호 대입 공격, 사전 공격 및 암호 추측 공격에 대해 더 나은 보안을 제공합니다. PEAP(Protected EAP)는 TLS를 사용하여 무선 컴퓨터와 같은 인증 PEAP 클라이언트와 NPS 또는 기타 RADIUS 서버와 같은 PEAP 인증자 간에 암호화된 채널을 만듭니다. PEAP는 인증 방법을 지정하지 않지만 PEAP에서 제공하는 TLS 암호화 채널을 통해 작동할 수 있는 다른 EAP 인증 프로토콜(예: EAP-MS-CHAP v2)에 대한 추가 보안을 제공합니다. PEAP는 다음과 같은 유형의 NAS(네트워크 액세스 서버)를 통해 조직의 네트워크에 연결하는 액세스 클라이언트에 대한 인증 방법으로 사용됩니다.
PEAP-MS-CHAP v2는 인증서 또는 스마트 카드 대신 암호 기반 자격 증명(사용자 이름 및 암호)을 사용하여 사용자 인증을 수행하므로 EAP-TLS보다 배포하기 쉽습니다. 인증서를 사용하려면 NPS 또는 다른 RADIUS 서버만 필요합니다. NPS 인증서는 인증 프로세스 중에 NPS에서 PEAP 클라이언트에 대한 ID를 증명하는 데 사용됩니다. 이 가이드에서는 802.1X 인증된 액세스에 PEAP-MS-CHAP v2를 사용하도록 무선 클라이언트와 NPS를 구성하는 지침을 제공합니다. 네트워크 정책 서버NPS(네트워크 정책 서버)를 사용하면 RADIUS(원격 인증 전화 접속 사용자 서비스) 서버 및 RADIUS 프록시를 사용하여 네트워크 정책을 중앙에서 구성하고 관리할 수 있습니다. NPS는 802.1X 무선 액세스를 배포할 때 필요합니다. NPS에서 802.1X 무선 액세스 지점을 RADIUS 클라이언트로 구성하면 NPS는 AP에서 보낸 연결 요청을 처리합니다. 연결 요청 처리 중에 NPS는 인증 및 권한 부여를 수행합니다. 인증은 클라이언트가 유효한 자격 증명을 제공했는지 여부를 결정합니다. NPS가 요청 클라이언트를 성공적으로 인증하는 경우 NPS는 클라이언트가 요청된 연결을 만들 수 있는 권한이 있는지 여부를 결정하고 연결을 허용하거나 거부합니다. 이 내용은 다음과 같이 자세히 설명됩니다. 인증성공적인 상호 PEAP-MS-CHAP v2 인증에는 다음 두 가지 주요 부분이 있습니다.
자격 증명이 유효하고 인증에 성공하면 NPS는 연결 요청을 처리하는 권한 부여 단계를 시작합니다. 자격 증명이 유효하지 않고 인증이 실패하면 NPS에서 액세스 거부 메시지를 보내고 연결 요청이 거부됩니다. 권한 부여NPS를 실행하는 서버는 다음과 같이 권한 부여를 수행합니다.
인증과 권한 부여가 모두 성공하고 일치하는 네트워크 정책이 액세스 권한을 부여하는 경우 NPS는 네트워크에 대한 액세스 권한을 부여하고 사용자와 컴퓨터는 권한이 있는 네트워크 리소스에 연결할 수 있습니다. 참고 무선 액세스를 배포하려면 NPS 정책을 구성해야 합니다. 사용 하는 지침을 제공 하는이 가이드는 구성 802.1 X 마법사 802.1 X 인증 무선 액세스에 대 한 NPS 정책 만들기를 NPS에서. 부트스트랩 프로필802.1X 인증 무선 네트워크에서 무선 클라이언트는 네트워크에 연결하기 위해 RADIUS 서버에서 인증하는 보안 자격 증명을 제공해야 합니다. 보호된 EAP [PEAP]-Microsoft Challenge 핸드셰이크 인증 프로토콜 버전 2 [MS-CHAP v2]의 경우 보안 자격 증명은 사용자 이름과 암호입니다. EAP-Transport 계층 보안 [TLS] 또는 PEAP-TLS의 경우 보안 자격 증명은 클라이언트 사용자 및 컴퓨터 인증서 또는 스마트 카드와 같은 인증서입니다. PEAP-MS-CHAP v2, PEAP-TLS 또는 EAP-TLS 인증을 수행하도록 구성된 네트워크에 연결할 때 기본적으로 Windows 무선 클라이언트는 RADIUS 서버에서 보낸 컴퓨터 인증서의 유효성도 검사해야 합니다. 모든 인증 세션에 대해 RADIUS 서버에서 보낸 컴퓨터 인증서를 일반적으로 서버 인증서라고 합니다. 앞에서 설명한 것처럼 RADIUS 서버의 서버 인증서는 상용 CA(예: VeriSign, Inc.) 또는 네트워크에 배포하는 프라이빗 CA의 두 가지 방법 중 하나로 발급할 수 있습니다. RADIUS 서버에서 클라이언트의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 설치 된 루트 인증서를 이미가지고 있는 상용 CA에서 발급 하는 컴퓨터 인증서를 보내는 경우 무선 클라이언트가 무선 클라이언트가 Active Directory 도메인에 연결 하는 여부에 관계 없이 RADIUS 서버의 컴퓨터 인증서를 확인할 수 있으며 무선 클라이언트가 무선 네트워크에 연결할 수는 경우 및 다음 컴퓨터를 도메인에 조인할 수 있습니다. 참고 클라이언트가 서버 인증서의 유효성을 검사하도록 요구하는 동작은 사용하지 않도록 설정할 수 있지만 프로덕션 환경에서는 서버 인증서 유효성 검사를 사용하지 않도록 설정하는 것이 좋습니다. 무선 부트스트랩 프로필은 컴퓨터가 도메인에 가입되기 전 및/또는 사용자가 지정된 무선 컴퓨터를 처음으로 사용하여 도메인에 성공적으로 로그온하기 전에 무선 클라이언트 사용자가 802.1X 인증 무선 네트워크에 연결할 수 있도록 하는 방식으로 구성된 임시 프로필입니다. 이 섹션에서는 무선 컴퓨터를 도메인에 가입하려고 할 때 또는 사용자가 도메인에 처음으로 가입된 무선 컴퓨터를 사용하여 도메인에 로그온할 때 발생하는 문제를 요약합니다. 배포는 사용자 또는 IT 관리자는 컴퓨터를 도메인에 가입 하려면 유선된 이더넷 네트워크에 컴퓨터를 물리적으로 연결할 수 없습니다 했으며 컴퓨터에 필요한 발급 CA 인증서가 설치 되어 루트에 대 한 해당 신뢰할 수 있는 루트 인증 기관 인증서 저장소를 호출 하는 임시 무선 연결 프로필 무선 클라이언트를 구성할 수는 프로필 부트스트랩, 무선 네트워크에 연결 합니다. A 프로필 부트스트랩 RADIUS 서버의 컴퓨터 인증서의 유효성을 검사 하는 요구 사항을 제거 합니다. 이 임시 구성을 사용하면 무선 사용자가 컴퓨터를 도메인에 가입할 수 있으며, 이때 무선 네트워크(IEEE 802.11) 정책이 적용되고 해당 루트 CA 인증서가 컴퓨터에 자동으로 설치됩니다. 상호 인증에 대 한 요구 사항을 적용 하는 무선 연결 프로필을 하나 이상의 컴퓨터에 적용 됩니다 그룹 정책이 적용 되는 경우 부트스트랩 프로필은 더 이상 필요 하 고 제거 됩니다. 컴퓨터를 도메인에 가입하고 컴퓨터를 다시 시작한 후 사용자는 무선 연결을 사용하여 도메인에 로그온할 수 있습니다. 이러한 기술을 사용 하 여 무선 액세스 배포 프로세스의 개요를 참조 하십시오. 무선 액세스 배포 개요합니다. |