이 칼럼에는 Windows Server "Longhorn"에 대한 시험판 정보가 수록되어 있으며 정보는 변경될 수 있습니다.
Active Directory 네트워크의 모든 컴퓨터에 대한 무선 네트워크 설정을 중앙 집중식으로 구성하고 배포할 수 있다면 관리자의 작업이 훨씬 수월해질 것입니다. 다행히도 Windows에서는 이를 가능하게 하는 특별한 컴퓨터 구성 그룹 정책 확장을 지원합니다.
이 확장은 무선 네트워크(IEEE 802.11) 정책 확장이라고 하는데, 현재 Windows Vista™, Windows® XP, Windows Server® 2003 및 차기 버전의 Windows Server(코드명 "Longhorn")에서 지원됩니다.
이 확장이 어떻게 작동하는지 알아보겠습니다. 이 그룹 정책 확장의 무선 설정은 도메인에 참가하거나 이러한 운영 체제를 시작할 때, 그리고 그 이후에 계속하여 자동으로 다운로드되고 적용됩니다. 그룹 정책 개체 편집기 스냅인의 컴퓨터 구성 | Windows 설정 | 보안 설정 | 무선 네트워크(IEEE 802.11) 정책 노드에서 도메인 기반 그룹 정책 개체에 대한 무선 정책을 구성할 수 있습니다.
그림 1은 Windows Server 코드명 "Longhorn" 도메인 또는 802.11Schema.ldf 및 802.3Schema.ldf 스키마 확장 파일로 스키마가 확장된 Windows Server 2003 도메인에 대한 무선 네트워크(IEEE 802.11) 정책 노드의 위치를 보여 줍니다. 스키마 확장 파일에 대한 자세한 내용은 microsoft.com/technet/network/wifi/vista_ad_ext.mspx를 참조하십시오.
그림 1 무선 네트워크(IEEE 802.11) 정책 노드 (Click the image for a smaller view)
그림 1 무선 네트워크(IEEE 802.11) 정책 노드 (Click the image for a larger view)
기본적으로는 무선 네트워크(IEEE 802.11) 정책이 없으므로 새로 만들어야 합니다. 새 정책을 만들려면 콘솔 트리에서 무선 네트워크(IEEE 802.11) 정책을 마우스 오른쪽 단추로 클릭한 다음 새 Windows XP 정책 만들기 또는 새 Windows Vista 정책 만들기를 클릭합니다. 각 정책 유형별로 하나의 정책만 만들 수 있지만, 각 정책에는 여러 무선 네트워크의 설정이 포함될 수 있습니다.
Windows XP 정책의 경우 정책 설정은 필자의 2003년 7월 칼럼에서 설명한 설정과 매우 비슷합니다. 그러나 non-broadcast 무선 네트워크, WPA2(Wi-Fi Protected Access 2) 인증 방법 및 WPA2 인증을 위한 빠른 로밍 설정에 대한 새로운 옵션이 있습니다. 이러한 새로운 설정을 지원하려면 Windows XP SP2(서비스 팩 2)를 실행하는 컴퓨터에 support.microsoft.com/kb/917021의 Windows XP SP2용 무선 클라이언트 업데이트를 설치해야 합니다.
Windows Vista 무선 정책에는 Windows Vista와 Windows Server "Longhorn" 무선 클라이언트에 고유한 정책 설정이 포함되어 있습니다. 두 유형의 무선 정책을 모두 구성하면 Windows XP 무선 클라이언트와 Windows Vista 무선 클라이언트가 모두 자체 정책 설정만 사용하게 됩니다. Windows Vista 정책 설정이 없으면 Windows Vista 무선 클라이언트는 Windows XP 설정을 사용합니다. 이 기사에서는 Windows Vista 무선 정책으로 구성할 수 있는 설정에 대해 설명합니다.
Windows Vista 무선 네트워크 정책의 일반 탭에서는 정책의 이름과 설정을 구성하고, WLAN AutoConfig 서비스의 사용 여부를 지정하고, 무선 네트워크 프로필 및 설정의 목록을 원하는 순서로 구성할 수 있습니다(그림 2 참조). 또한 프로필을 선택하고 내보내기를 클릭하여 프로필을 XML 파일로 내보낼 수도 있습니다. XML 파일을 무선 프로필로 가져오려면 가져오기를 클릭한 다음 파일 위치를 지정합니다.
그림 2 무선 네트워크 정책 속성 (Click the image for a smaller view)
그림 2 무선 네트워크 정책 속성 (Click the image for a larger view)
그림 3은 기본 설정 상태의 Windows Vista 무선 네트워크 정책의 네트워크 권한 탭을 보여 줍니다. Windows Vista에 새로 추가된 이 탭에서는 이름을 사용하여 무선 네트워크를 지정하고 해당 네트워크에 대한 액세스를 허용하거나 거부할 수 있습니다. 예를 들어 Windows Vista 무선 클라이언트의 연결을 허용하는 SSID(Service Set Identifier)라고도 하는 무선 네트워크 이름이 포함된 허용 목록을 만들 수 있습니다. 이러한 목록은 네트워크 관리자가 조직의 랩톱 컴퓨터에서 무선 네트워크 및 인터넷 서비스 공급자를 포함하는 일련의 특정 무선 네트워크에 연결하도록 하려는 경우에 유용합니다.
그림 3 네트워크 권한 탭 (Click the image for a smaller view)
그림 3 네트워크 권한 탭 (Click the image for a larger view)
거부 목록을 사용하면 무선 클라이언트의 연결이 허용되지 않는 일련의 무선 네트워크를 이름으로 지정할 수 있습니다. 이 목록은 관리되는 랩톱 컴퓨터가 범위 내의 다른 무선 네트워크에 연결하지 못하도록 할 때 유용합니다. 예를 들어 건물 한 층을 사용하고 있는 조직에서 인접 층에 있는 타 조직의 다른 무선 네트워크에 액세스하지 못하도록 할 때 효과적입니다. 또한 거부 목록을 사용하면 관리되는 랩톱 컴퓨터가 안전하지 않은 것으로 알려진 무선 네트워크에 연결하는 것을 방지할 수 있습니다. 액세스를 허용하거나 거부할 개별 무선 네트워크를 지정하거나 목록을 만들려면 추가를 클릭하여 이름으로 무선 네트워크를 추가하고 허용 여부를 지정합니다.
네트워크 권한 탭에는 애드혹 무선 네트워크 또는 인프라 모드 무선 네트워크에 연결하지 못하도록 하는 설정도 있습니다. 또한 거부되도록 구성된 무선 네트워크를 볼 수 있게 하거나 모든 사용자 프로필을 만들 수 있게 할 수도 있습니다. 모든 사용자 프로필은 컴퓨터에 계정이 있는 사용자가 특정 무선 네트워크에 연결할 때 사용할 수 있습니다. 이 설정을 사용하지 않도록 설정하면 Network Administrators 그룹 또는 Network Operators 그룹의 사용자만 컴퓨터에서 모든 사용자 무선 프로필을 만들 수 있습니다.
무선 네트워크 프로필 속성
Windows Vista 무선 정책의 일반 탭에서 무선 네트워크 프로필을 관리하려면 기존 프로필을 선택하고 편집을 클릭하거나, 추가를 클릭한 다음 애드혹 무선 네트워크나 인프라 모드 무선 네트워크 중 새 무선 프로필이 적용될 네트워크를 지정할 수 있습니다.
새 무선 프로필을 만들려면 먼저 연결 탭에서 프로필 이름을 지정하고 해당 프로필이 적용될 무선 네트워크 이름의 목록을 만듭니다(그림 4 참조). 네트워크 이름(SSID)에 이름을 입력하고 추가를 클릭하여 새 이름을 추가할 수 있습니다. 또한 프로필에 이름이 지정된 무선 네트워크가 범위 내에 있을 경우 해당 프로필을 사용하는 무선 클라이언트가 해당 네트워크로의 연결을 시도할지 여부도 지정할 수 있습니다. 이때 연결 시도는 Windows Vista 정책의 일반 탭에 있는 무선 프로필 목록의 우선 순위에 따라 이루어집니다. 그 밖에도 범위 내에 우선 순위가 더 높은 무선 네트워크가 있을 때 자동으로 해당 무선 네트워크와의 연결을 끊을 것인지 지정하고 해당 프로필의 무선 네트워크가 숨겨진 네트워크라고도 하는 non-broadcast 네트워크임을 지정할 수 있습니다.
그림 4 연결 탭 (Click the image for a smaller view)
그림 4 연결 탭 (Click the image for a larger view)
그림 5에 나와 있는 보안 탭에서는 프로필의 무선 네트워크에 대한 인증 및 암호화 방법을 구성할 수 있습니다. 암호화 방법은 인증 방법에 따라 달라집니다. 그림 6에는 각 방법이 나와 있습니다.
그림 5 보안 탭 (Click the image for a smaller view)
그림 5 보안 탭 (Click the image for a larger view)
WPA-엔터프라이즈, WPA2-엔터프라이즈 또는 802.1X로 열기를 인증 방법으로 선택할 경우 네트워크 인증 방법(EAP[Extensible Authentication Protocol] ), 인증 모드(사용자 재인증, 컴퓨터 인증, 사용자 인증 또는 게스트 인증), 인증이 중단되기까지 허용할 인증 시도 실패 횟수, 이후 연결을 위해 사용자 정보를 캐시할 것인지 여부도 구성할 수 있습니다. 마지막 설정은 사용자가 로그오프할 때 사용자 자격 증명 데이터를 레지스트리에서 제거할지 여부를 지정합니다. 따라서 다음에 사용자가 로그온할 때 이름과 암호와 같은 자격 증명을 묻는 메시지가 표시됩니다.
WPA-엔터프라이즈, WPA2-엔터프라이즈 또는 802.1X로 열기 인증 방법에 대한 고급 보안 설정을 구성하려면 고급을 클릭합니다. 그림 7은 기본 고급 보안 설정 대화 상자를 보여 줍니다.
그림 7 고급 보안 설정 대화 상자 (Click the image for a smaller view)
그림 7 고급 보안 설정 대화 상자 (Click the image for a larger view)
IEEE 802.1X 섹션에서는 초기 EAPOL(EAP over LAN)-Start 메시지에 대한 응답이 수신되지 않았을 때 전송될 연속적인 EAPOL-Start 메시지의 수와, 이전에 전송된 EAPOL-Start 메시지에 대한 응답이 수신되지 않았을 때 EAPOL-Start 메시지를 재전송할 시간 간격을 지정할 수 있습니다. 또한 인증 클라이언트가 인증자로부터 인증 실패 알림을 받은 후 어떠한 802.1X 인증 활동도 수행하지 않을 기간과, 종단 간 802.1X 인증이 시작된 후 802.1X 요청을 재전송하기까지 인증 클라이언트가 기다릴 간격도 설정할 수 있습니다.
SSO(Single Sign-On)를 사용하면 802.1X 인증이 수행될 시점을 사용자 로그온 시점에 상대적으로 구성하고, 사용자 로그온과 802.1X 인증 자격 증명을 Windows 로그온 서버에 통합할 수 있습니다. SSO 섹션에는 사용자 로그온 프로세스 직전 또는 직후 무선 인증을 수행하도록 하는 설정과 프로세스가 시작되기 전에 연결이 지연되는 시간(초)을 지정하는 설정이 있습니다. 또한 인증 방법에 따라 사용자가 추가적인 자격 증명을 입력해야 하는 경우 사용자에게 추가적인 입력 필드를 표시할 것인지 여부, 해당 필드의 표시 시간, 해당 프로필의 무선 네트워크가 컴퓨터 또는 사용자 인증에 다른 가상 LAN(VLAN)을 사용할 것인지 여부도 지정할 수 있습니다.
빠른 로밍 섹션에서는 PMK(Pairwise 마스터 키) 캐싱 및 미리 인증 옵션을 구성할 수 있습니다. 빠른 로밍 섹션은 WPA2-엔터프라이즈를 인증 방법으로 선택하는 경우에만 나타납니다. PMK 캐싱을 사용하면 무선 클라이언트와 무선 AP(액세스 지점)가 802.1X 인증의 결과를 캐시합니다. 따라서 무선 클라이언트가 이미 인증한 무선 AP로 다시 로밍하는 경우 훨씬 빠르게 액세스할 수 있습니다. 항목을 PMK 캐시에 유지할 최대 시간과 최대 항목 수를 구성할 수 있습니다. 미리 인증을 사용하면 무선 클라이언트가 현재 무선 AP와 연결된 상태에서 범위 내의 다른 무선 AP와 802.1X 인증을 수행할 수 있습니다. 무선 클라이언트가 미리 인증된 무선 AP로 로밍하면 액세스 시간이 크게 단축됩니다. 무선 AP와의 미리 인증을 시도할 최대 횟수를 구성할 수 있습니다.
Windows의 무선 지원에 대한 자세한 내용은 microsoft.com/wifi를 참조하십시오. Windows 그룹 정책에 대한 자세한 내용은 microsoft.com/gp의 리소스를 참조하십시오.
