Windows Server CodeName LongHorn

오늘은 한번 터미널 서비스 시나리오중 터미널 서비스 게이트웨이(Terminal Service Gateway)에 대해서 논해볼까 합니다.

터미널 서비스는 Windows 2000 Server에서부터 대중적으로 사용되었습니다. 실제로는 Windows NT 4.0 시절에도 터미널 서비스용 버전이 있긴 했지만, 많은 분들께서 사용하시지는 않았다고 생각됩니다. 대중적인 사용은 Windows XP에 터미널 서비스가 기본 내장되고, 내 컴퓨터의 속성에서 손쉽게 설정을 변경할 수 있으면서부터, 원격 관리용으로 인기리에 아직까지 사용되고 있습니다.

회사내 주위 분들을 한번 쭉 돌아보면, 댁에 컴퓨터를 잘 꺼지 않고 다니시는 분들이 많습니다. 어느 조직이나 조직내 보안 정책이 존재하지 때문에, 불필요하다고 판단된 포트들에 대해서는 회사내에서 사용이 불가능하게 해놓은 경우가 많습니다. 이에 해당 컴퓨터에 접속을 하셔서, 막힌 포트 없이 서비스를 제공받으시거나, 집 컴퓨터에 저장해놓은 자료들을 이용하기 위해서도 마찬가지입니다. :) (터미널 서비스 클라이언트를 이용하시면 원격 컴퓨터에 접근 후, 하드 드라이브가 리디렉션되는 서비스를 받으실 수 있죠.)

서두가 너무 길어졌네요.. 터미널 서비스를 이용하시려고 할 때, 가장 난감한 경우가 바로, 포트가 막혀있을 때입니다. 기본적으로 터미널 서비스는 TCP 포트 3389을 사용합니다. 조직내 방화벽 또는 프록시에 3389 포트에 대한 처리가 되지 않은 경우... 더 많은 경우가 출장이나 외근시 회사 네트워크에 접근하려는데 포트가 막힌 경우가 가장 난감합니다. 이 경우 VPN을 사용하시던지(사실 3389가 막혀 있는 조직은 VPN 포트도 막혀있는 경우가 다반사입니다.), 터미널 서비스의 포트를 변경해놨어야 합니다.

이럴 경우에 대한 해결 시나리오를 바로 Windows Server CodeName LongHorn에서 제공합니다. 첫번째 아티클에서 간략한 소개와 기본 네트워크 아키텍쳐를 보여드렸습니다.

Windows Server CodeName LongHorn에서 Terminal Service Gateway(TSG)를 설치하시게 되면, IIS 7.0이 같이 설치가 됩니다. 예상하신 데로, RDP over HTTPS를 처리하게 됩니다. (TSG의 경우 Exchange Server 2003에서 발표된 RPC over HTTPS와 동일한 아키텍쳐를 가지게 됩니다.) HTTPS를 사용하기 때문에, SSL 인증서에 대한 처리도 하셔야 합니다.

TSG까지의 사용자 접근은 포트 443(HTTPS)를 사용하게 되고, 이에 대한 접근을 받은 TSG는

접근에 대한 인증(CAP - Connection Authentication Policies)과 접근 가능한 리소스에 대한 허가(RAP - Resource Authorization Policies)

를 한 후, 내부의 터미널 서버 포트 3389를 통해 연결을 하게 됩니다. 결국 내부단의 프록시 처리를 TSG가 처리해준다고 생각하시면 됩니다.

CAP이라고 하는 것은 기존의 RADIUS 구성과 동일합니다. 어느 포트로 접근한, 어떠한 사용자에 대한, 환경 구성 등을 조건으로 비교한 후, 이에 대한 허가 여부를 결정해줍니다. 이는 다른 네트워크 장비처럼 중앙의  Windows Server 2003 RADIUS 또는 Windows Server CodeName LongHorn NPS 환경에 Windows Server CodeName LongHorn TSG를 연동하실 수도 있고, TSG를 설치하면 기본적으로 같이 설치되는 Network Policy Server(NPS)를 이용하실 수도 있습니다. NPS에 대해서도 언제 한번 포스팅하도록 하겠습니다.

TSG 경우에는 DMZ에 구성되는 시나리오가 가능하기 때문에, TSG는 필수적으로 도메인에 참여하지 않아도 됩니다, 다만 TSG Server Farm을 구성하실 경우에는 도메인에 참여되어야 합니다.

CAP을 통과한 사용자는 일단 인증은 받은 후가 됩니다. 인증만 받고 모두 끝나는 시나리오가 아니라, TSG는 RAP을 이용하여 해당 사용자 또는 그룹에 접근할 수 있는 서버의 범위를 제한할 수 있습니다.

특정 사용자 그룹 : 특정 컴퓨터 그룹 으로 연결되는 것을 RAP이라고 부릅니다. 쉽게 이해 되시죠? RAP의 경우에는 RADIUS의 컨셉을 이용하지 않기 때문에, 많은 서버와 많은 그룹에 대한 맵핑을 하시고자 할때는 당연히 액티브 디렉터리에 TSG 머신을 가입시키셔야 합니다.

이렇게 CAP, RAP에 대한 설정이 된 이후에 클라이언트는 원격 데스크톱 연결 6.0을 이용하여 TSG에 접근하여 RDP Over HTTPS를 제공받을 수 있습니다. 이 경우 HTTPS 접근을 하므로, 해당 웹 서버 인증서를 발급한 기관에 대해 클라이언트는 신뢰하고 있어야 합니다. (Exchange Server 2003에서도 동일했습니다.)

TSG에 대해서도 출시이후, IT 관리자들의 필요에 의해 상당히 많이 구성되지 않을까라는 예상을 해봅니다.