Windows Server 2008
향상된 터미널 서비스로 프레젠테이션 가상화
Joshua Schnoll
한 눈에 보기:
- Windows Server 2008 터미널 서비스의 새 기능
- 원격 액세스에 TS 게이트웨이 사용
- TS 세션 브로커로 부하 분산
목차
가상화는 요즘 화두가 되고 있는 용어이지만 그 전에는 사람들이 가상 컴퓨터와 운영 체제의 가상화에만 관련되어 있다고 생각했습니다. 그러나 터미널 서비스는 Windows NT 4.0 릴리스 이후로 원격으로 실행되는 응용 프로그램과 데스크톱의 프레젠테이션 계층을 추상화해 왔습니다. 터미널 서비스는 그 이후부터 큰 발전을 이루었으며, Windows Server 2008은 성숙하고 강력한 프레젠테이션 가상화 플랫폼을 제공하고 있습니다. 여기에서는 터미널 서비스의 주요 개선 영역에 대해 집중적으로 살펴보겠습니다.
터미널 서비스의 새로운 기능
Windows Server 2008의 터미널 서비스에는 새로운 요소와 기능이 많이 있습니다.
터미널 서비스 RemoteApp Windows Server 2008의 훌륭한 변화 중 하나는 단일 응용 프로그램을 원격으로 실행하는 기능입니다. 이전 버전의 터미널 서비스에서는 단일 응용 프로그램에만 액세스하려는 경우에도 전체 원격 데스크톱이 전송되었습니다. 원격 데스크톱에 표시되는 응용 프로그램도 있고(터미널 서비스를 통해), 로컬 데스크톱에 표시되는 응용 프로그램도 있어서 어떤 데스크톱에 어떤 응용 프로그램이 표시되는지를 기억하기가 쉽지 않았기 때문에 이러한 점이 사용자에게 혼란을 주는 경우가 많았습니다. 이제 터미널 서비스를 통해 응용 프로그램에 액세스하면 최종 사용자의 로컬 컴퓨터에서 실행되고 있는 것처럼 표시되며 작동합니다.
터미널 서비스 웹 액세스 최종 사용자들이 응용 프로그램을 간단하게 실행할 수 있는 방법을 개발하는 것은 모든 사람들의 바람이었습니다. TS 웹 액세스는 관리자들이 웹 페이지에 개별 응용 프로그램을 게시하게 함으로써 이러한 요구 사항을 만족시켰습니다. TS 웹 액세스에는 즉각적으로 배포하거나 사용자 지정하여 SharePoint 사이트에 통합할 수도 있는 기본 웹 페이지가 포함되어 있습니다. TS 웹 액세스로 TS RemoteApp를 시작하려면 사용자는 웹 페이지를 방문하고(인터넷 또는 인트라넷 중 하나로 액세스) 사용 가능한 모든 응용 프로그램의 목록을 보고, 시작할 응용 프로그램을 클릭합니다.
Windows Server 2003에서는 브라우저에서 연결을 설정하려면 RDWC(원격 데스크톱 웹 연결)라 불리는 별도의 ActiveX 컨트롤이 필요했습니다. 이제 기본 RDC(원격 데스크톱 연결) 클라이언트에서 이 컨트롤을 기본 제공하므로 클라이언트에 다운로드하거나 설치하지 않아도 됩니다. 또한 이전 RDWC 클라이언트에는 없었던 전체 RDP(원격 데스크톱 프로토콜) 기능 집합이 지원됩니다.
터미널 서비스 게이트웨이 TS 게이트웨이는 Windows Server 2008에서 가장 중요한 새로운 기능 중 하나입니다. RDP 트래픽은 포트 3389를 통해 흐릅니다. 예전에 관리자가 방화벽 외부의 사용자에게 터미널 서버를 배포할 때 겪었던 큰 문제 중 하나는 방화벽에서 이 포트를 개방하거나(권장되지 않음) 별도의 VPN 솔루션을 사용해야 하는 것(비용이 많이 듦)이었습니다. TS 게이트웨이를 사용하면 RDP 트래픽이 HTTPS(포트 443)를 통해 터널링되어 인터넷상의 원격 사용자와 터미널 서버(또는 원격 PC) 사이에 암호화된 연결을 설정합니다. 더 나아가 이 시나리오는 사용자나 터미널 서버가 NAT(Network Address Translation) 트래버스 기반 라우터를 통해 연결되어 있는 경우에도 효과적입이다.
TS 게이트웨이와 Windows Server 2008의 또 다른 기능인 NAP(Network Access Protection)를 함께 사용하면 터미널 서비스 리소스에 대한 액세스 권한을 부여하기 전에 클라이언트 컴퓨터의 상태를 확인할 수 있습니다.
터미널 서비스 세션 브로커 Windows Server 2000에 도입된 NLB(네트워크 부하 분산)는 웹 서버에 대해서만 잘 작동하며 터미널 서비스의 부하를 분산하는 데는 적합하지 않았습니다. 새로운 TS 세션 브로커는 세션 기반 부하 분산을 지원하도록 Windows Server 2003의 세션 디렉터리 기능을 확장함으로써 훌륭한 대안을 제시합니다.
TS 세션 브로커를 사용하면 팜 내에서 가장 부하가 적은 서버에 새로운 세션이 배포되며, 사용자는 기존 세션에 다시 연결하기 위해 세션이 설정된 위치를 알아야 할 필요가 없습니다. IT 관리자는 이 기능을 사용하여 각 터미널 서버의 IP 주소를 단일 DNS 항목에 매핑할 수 있습니다. 이 구성 방식은 또한 내결함성도 제공합니다. 팜 서버 중 하나를 사용할 수 없는 경우 사용자는 팜에서 다음으로 부하가 적은 서버에 연결됩니다.
터미널 서비스 Easy Print 인쇄는 오래 전부터 터미널 서비스 환경에서 많은 관리자의 존재를 위협해 왔습니다. 서버 컴퓨터와 클라이언트 컴퓨터에 필요한 인쇄 드라이버를 일치시키느라 최종 사용자는 프린터를 설치할 때 유연성을 거의 발휘할 수 없었고, 관리자는 서버에서 인쇄 드라이버를 관리할 걱정을 해야 했습니다. 이와는 달리 TS Easy Print를 사용하면 이제 사용자는 TS RemoteApp 또는 전체 데스크톱 세션에서 직접 연결되어 있거나 네트워크를 통해 연결된 로컬 인쇄 장치에 안정적으로 인쇄 작업을 전송할 수 있습니다. 가장 좋은 점은 이제 터미널 서버에 드라이버를 설치하지 않아도 프린터를 지원할 수 있다는 점입니다.
TS RemoteApp 프로그램 또는 데스크톱 세션에서 인쇄하려는 사용자는 로컬 클라이언트에서 전체 프린터 속성 대화 상자를 보고 모든 프린터 기능(예: 워터마크, 데이터 정렬 및 스테이플링)에 액세스할 수 있습니다. 인쇄 시에는 인쇄 작업이 서버에서 Microsoft XPS 파일 형식을 사용하여 렌더링되고 클라이언트로 전송됩니다. 또한 TS Easy Print를 통해 관리자는 기본 프린터로 리디렉션되는 프린터 개수를 제한하는 그룹 정책을 사용하여 오버헤드를 줄이고 확장성을 개선할 수 있습니다.
이것이 바로 Windows Server 2008의 “비싼” 기능이지요. TS RemoteApp, 웹 액세스, TS 게이트웨이, TS 세션 브로커에 대해서는 나중에 다시 살펴보겠습니다. 일단 이 릴리스의 숨겨진 몇 가지 훌륭한 기능에 대해 알아보겠습니다.
보안 기능
새로운 터미널 서비스 릴리스에서 보안이 강화되었습니다.
NLA(네트워크 수준 인증) 및 SA(서버 인증) 이전 버전의 TS에서는 사용자가 RDC 클라이언트에서 연결을 클릭하면 로그온 화면이 나타났기 때문에 터미널 서버의 로그온 화면이 서비스 거부 공격 또는 MITM(Man-In-The-Middle) 공격의 대상이 될 수 있었습니다. 이제는 NLA와 사용자, 클라이언트 컴퓨터 및 서버 자격 증명 간에 서로 인증이 이루어진 후에 서버에서 TS 세션이 만들어지고 사용자에게 로그온 화면이 표시됩니다. 서버 인증에서는 클라이언트가 일부 악의적인 컴퓨터가 아닌 올바른 터미널 서버에 연결하고 있는지 확인하기 위해 TLS(전송 계층 보안)를 사용합니다.
Single Sign-On 사용자는 자격 증명 집합(사용자-암호 조합 또는 스마트 카드와 PIN 조합)을 사용하여 한 번만 인증하면 새 리소스를 사용할 때마다 자격 증명을 반복적으로 입력하지 않아도 됩니다. 이 릴리스에서 Windows Vista 또는 Windows Server 2008을 실행 중인 도메인에 가입된 컴퓨터는 이제 Windows Server 2008 기반 터미널 서버 또는 TS 게이트웨이에 연결할 때 Single Sign-On을 사용할 수 있습니다.
시스템 수준 강화 Windows Vista와 Windows Server 2008에서는 이제 기본적으로 운영 체제의 구성 요소를 모듈화하고 하위 권한 수준에서 이를 실행하는 새로운 시스템 강화 기능을 제공합니다. 터미널 서비스에서 이 기능은 핵심 TS 엔진(termsrv.dll)을 별개의 두 구성 요소(핵심 세션 관리자인 lsm.exe와 원격 연결을 위한 termsrv.dll)로 분할하는 방식으로 구현되었습니다.
이전에 termsrv.dll은 상위 시스템 권한 수준에서 실행되었습니다. 이제 새로운 lsm.exe에서는 원래 termsrv.dll 코드의 3분의 1만이 이 수준에서 실행되며 나머지 3분의 2는 훨씬 하위의 네트워크 서비스 권한 수준에서 실행됩니다. 이러한 변화에 따라 노출 영역이 Windows Server 2003보다 현저히 감소했습니다.
사용자 환경 기능
사용자를 돕기 위해 여러 기능이 향상되었습니다.
사용자 지정 디스플레이 해상도 대형 모니터의 가로 비율이 넓어지고 디스플레이 해상도 비율이 다양해짐에 따라 Windows Server 2008 터미널 서비스도 여러분의 요구에 맞게 개선되었습니다.
최종 사용자는 사용자 지정 디스플레이 해상도를 설정하거나(최대 4096 x 2048) 비율을 16:9 또는 16:10으로 변경하여 와이드스크린 환경을 만들 수 있습니다. 1680 x 1050 또는 1920 x 1200 해상도 모니터와 같은 새로운 모니터 구성 유형이 모두 지원됩니다. 최대 1600 x 1200 해상도와 4:3 디스플레이 해상도 비율만 지원했던 Windows Server 2003과 비교하면 눈에 띄게 개선된 것이지요. 사용자 지정 디스플레이 해상도는 RDC 클라이언트 대화 상자, .rdp 파일 또는 명령줄 프롬프트에서 설정할 수 있습니다.
.rdp 파일에서 사용자 지정 디스플레이 해상도를 설정하려면 텍스트 편집기에서 .rdp 파일을 열고 다음 설정을 추가하거나 변경합니다(참고: <value>는 1680 또는 1050과 같은 해상도임).
desktopwidth:i:<value>
desktopheight:i:<value>
명령줄에서 사용자 지정 디스플레이 해상도를 설정하려면 mstsc.exe 명령에 다음 구문을 사용합니다(참고: <width>와 <height>는 1680 또는 1050과 같은 해상도임).
mstsc.exe /w:<width> /h:<height>
모니터 확장 이제 원격 데스크톱 세션에서 여러 대의 모니터를 확장할 수 있습니다. 이 기능이 제대로 작동하려면 몇 가지 필수 조건이 있습니다.
- 모든 모니터가 동일한 해상도를 사용해야 합니다. 예를 들어 똑같이 1024 x 768을 사용하는 두 대의 모니터는 확장할 수 있지만 1024 x 768 모니터와 800 x 600 모니터는 확장할 수 없습니다.
- 모든 모니터는 가로로(즉, 옆으로 나란히) 정렬되어야 합니다. 현재 클라이언트 시스템에서 여러 대의 모니터를 세로로 확장하는 기능은 지원되지 않습니다.
- 모든 모니터의 전체 해상도는 최대 해상도인 4096 x 2048을 초과할 수 없습니다.
.rdp 파일에서 모니터 확장을 설정하려면 텍스트 편집기에서 .rdp 파일을 열고 다음 설정을 추가하거나 변경합니다(참고: <value>=0일 경우 모니터 확장이 해제되고 <value>=1일 경우에는 설정됨).
명령 프롬프트에서 모니터 확장을 설정하려면 mstsc.exe 명령에 다음 구문을 사용합니다.
데스크톱 경험 데스크톱 경험은 터미널 서비스 데스크톱을 Windows Vista 데스크톱 환경과 매우 비슷하게 만들어 줍니다. 이 기능은 원격 데스크톱에 Windows Media Player 11, 바탕 화면 테마 및 사진 관리와 같은 여러 가지 구성 요소를 추가합니다. 데스크톱 경험을 설정하는 방법은 다음과 같습니다.
- 서버 관리자를 엽니다. 서버 관리자를 열려면 시작을 클릭하고 관리 도구를 가리킨 다음 서버 관리자를 클릭합니다.
- 기능 요약 아래에서 기능 추가를 클릭합니다.
- 기능 선택 페이지에서 데스크톱 경험 확인란을 선택한 후 다음을 클릭합니다.
- 설치 선택 확인 페이지에서 데스크톱 경험 기능이 선택되어 있는지 확인하고 설치를 클릭합니다.
- 설치 결과 페이지에서 설치 프로세스를 완료하려면 서버를 다시 시작하라는 메시지가 표시됩니다. 닫기를 클릭한 다음 예를 클릭하여 서버를 다시 시작합니다.
서버를 다시 시작한 후에는 데스크톱 경험 기능이 설치되었는지 확인해야 합니다.
글꼴 다듬기 글꼴 다듬기는 터미널 서비스의 ClearType 기능 이름이며 컴퓨터 글꼴이 특히 LCD 모니터에서 좀 더 깔끔하게 표시되도록 합니다. Windows Server 2008에서 글꼴 다듬기는 기본적으로 사용하도록 설정되어 있으며 클라이언트 컴퓨터에서 연결할 때 원격 데스크톱 연결의 확인란( 그림1 참조)을 통해 설정할 수도 있습니다.
그림 1 글꼴 다듬기 설정
글꼴 다듬기를 사용하면 클라이언트 컴퓨터와 터미널 서버 간에 사용되는 대역폭이 증가합니다(경우에 따라 4 ~ 10배). 이러한 대역폭의 증가는 ClearType 글꼴이 원격 연결에서 RDP가 훨씬 더 효율적으로 처리하는 문자가 아닌 비트맵으로 처리되기 때문에 발생합니다.
데이터 표시 우선 순위 설정 Windows Server 2003에서는 대량 작업 인쇄가 종종 화면 환경에 악영향을 주곤 했습니다. 데이터 표시 우선 순위 설정은 디스플레이, 키보드 및 마우스 데이터에 인쇄 또는 파일 전송과 같은 다른 트래픽보다 높은 우선 순위가 부여될 수 있도록 가상 채널 트래픽을 자동으로 제어합니다. 이러한 우선 순위 설정은 화면, 키보드 및 마우스 성능이 대량 인쇄 작업과 같이 대역폭을 많이 사용하는 작업에 영향을 받지 않도록 하기 위해 고안되었습니다.
기본적으로 이 설정은 70:30입니다. 디스플레이 및 입력 데이터에 대역폭의 70%가 할당되고, 파일 전송 또는 인쇄 작업과 같은 다른 모든 트래픽에는 30%가 할당됩니다.
이 설정을 조정하려면 터미널 서버의 레지스트리를 변경해야 합니다. 이렇게 하려면 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD 하위 키 아래에서 다음 항목의 값을 변경합니다.
FlowControlDisable
FlowControlDisplayBandwidth
FlowControlChannelBandwidth
FlowControlChargePostCompression
이 항목이 표시되지 않으면 TermDD를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 가리킨 다음 DWORD(32비트) 값을 클릭하여 이 항목을 추가할 수 있습니다.
FlowControlDisable=1 값을 설정하면 데이터 표시 우선 순위 설정을 해제할 수 있습니다. 데이터 표시 우선 순위 설정을 해제하면 모든 요청이 순서대로 처리됩니다. 기본값은 FlowControlDisable=0입니다.
FlowControlDisplayBandwidth 값을 설정하면 디스플레이(및 입력 데이터)에 대한 상대적 대역폭 우선 순위를 설정할 수 있습니다. 기본값은 70이고, 허용되는 최대값은 255입니다. 마찬가지로 FlowControlChannelBandwidth 값을 설정하면 다른 가상 채널(예: 클립보드, 파일 전송 또는 인쇄 작업)에 대한 상대적 대역폭 우선 순위를 설정할 수 있습니다. 기본값은 30이고, 허용되는 최대값은 255입니다.
데이터 표시 우선 순위 설정의 대역폭 비율은 FlowControlDisplayBandwidth 및 FlowControlChannelBandwidth 값을 기준으로 합니다. 예를 들어 FlowControlDisplayBandwidth와 FlowControlChannelBandwidth가 각각 150과 50으로 설정되어 있는 경우 비율은 150:50입니다. 따라서 디스플레이 및 입력 데이터에는 75%의 대역폭이 할당됩니다.
FlowControlChargePostCompression 값은 흐름 제어가 압축 전 또는 후 바이트에 따라 대역폭 할당을 계산할지를 결정합니다. 기본값은 0이며, 이는 압축 전 바이트에 따라 계산된다는 의미입니다.
레지스트리 값을 변경하려면 터미널 서버를 다시 시작해야 변경 내용이 적용됩니다.
플러그 앤 플레이 장치 리디렉션 Windows Server 2008 터미널 서비스에서 장치 리디렉션이 향상 및 확장되었습니다. 이제 MTP(미디어 전송 프로토콜) 기반 미디어 플레이어와 PTP(사진 전송 프로토콜) 기반 디지털 카메라와 같은 Windows 휴대용 장치를 리디렉션할 수 있습니다.
이 기능은 원격 데스크톱 연결에서 옵션 단추로 설정할 수 있습니다. 이 기능을 설정하면 현재 연결되어 있는 지원되는 플러그 앤 플레이 장치 목록이 표시됩니다. 지원되지 않는 장치는 표시되지 않습니다. 또한 아직 연결되지 않은 장치를 리디렉션하는 옵션을 선택할 수도 있습니다. 그림 2에는 RDC 클라이언트에서 이러한 장치를 활성화하는 방법이 나와 있습니다.
그림 2 아직 연결되지 않은 장치 활성화
원격 컴퓨터 세션이 시작되면 리디렉션된 플러그 앤 플레이 장치가 원격 컴퓨터에 자동으로 설치되는지 확인해야 합니다. 작업 표시줄에 플러그 앤 플레이 알림이 나타날 것입니다. 리디렉션된 플러그 앤 플레이 장치가 설치되면 원격 컴퓨터의 세션에서 사용할 수 있습니다. 예를 들어 디지털 카메라와 같은 Windows 휴대용 장치를 리디렉션하는 경우 원격 컴퓨터에서 스캐너 및 카메라 마법사와 같은 응용 프로그램을 통해 직접 액세스할 수 있습니다.
다음 그룹 정책 설정 중 하나를 사용하여 플러그 앤 플레이 장치 리디렉션을 제어할 수 있습니다.
- 컴퓨터 구성\관리 템플릿\Windows 구성 요소\터미널 서비스\터미널 서버\장치 및 리소스 리디렉션에 있는 지원되는 플러그 앤 플레이 장치 리디렉션은 허용하지 마십시오.
- 이 정책 설정은 컴퓨터 구성\관리 템플릿\시스템\장치 설치\장치 설치 제한에 있습니다.
또한 터미널 서비스 구성 도구(tsconfig.msc)의 클라이언트 설정 탭에서 지원되는 플러그 앤 플레이 장치 확인란을 사용하여 플러그 앤 플레이 장치 리디렉션을 제어할 수도 있습니다.
더욱 간편해진 원격 액세스
앞서 TS RemoteApp를 통해 사용자가 단일 응용 프로그램을 원격으로 실행하고 TS 웹 액세스를 사용하여 웹 페이지에서 간편하게 응용 프로그램에 액세스할 수 있다고 언급한 바 있습니다. 이제 이러한 기능과 일부 세부 구성에 대해 좀 더 자세히 살펴보겠습니다.
TS RemoteApp RemoteApp 프로그램은 다양한 방법을 통해 사용자 데스크톱에 배포될 수 있습니다. TS 웹 액세스 외에도 다음을 수행할 수 있습니다.
- 원격 데스크톱 프로토콜 파일을 만듭니다.
- 이전에 배포한 Windows Installer(.msi) 패키지를 통해 바탕 화면이나 시작 메뉴에 프로그램 아이콘을 만듭니다.
- 파일 이름 확장명이 RemoteApp 프로그램과 연결되어 있는 파일을 실행합니다. 이는 관리자가 Windows Installer 패키지로 구성할 수 있습니다.
사용자가 RemoteApp 프로그램에 액세스할 수 있는 방법에 대한 자세한 내용은 Windows Server 2008 TS RemoteApp 단계별 가이드(
go.microsoft.com/fwlink/?LinkID=84895)에서 “RemoteApp 프로그램 배포 방법”을 참조하십시오.
TS 웹 액세스 TS 웹 액세스를 사용하면 단일 서버 또는 터미널 서버의 팜에서 RemoteApp 프로그램을 배포할 수 있습니다. TS RemoteApp 관리자는 응용 프로그램을 TS 웹 액세스로 게시하기 위한 매우 신속하고 효율적인 프로세스를 제공합니다. 먼저 터미널 서비스를 설치한 다음 호스팅할 응용 프로그램을 설치합니다.
TS RemoteApp 관리자를 사용하여 TS 웹 액세스를 사용하도록 설정된 RemoteApp 프로그램을 추가합니다. 그런 다음 사용자가 웹을 통해 연결하도록 할 서버에 TS 웹 액세스를 설치합니다. 터미널 서버의 TS 웹 액세스 컴퓨터 그룹에 TS 웹 액세스 서버의 컴퓨터 계정을 추가합니다. 마지막으로 단일 터미널 서버 또는 단일 팜을 통해 RemoteApp 프로그램 목록을 채우도록 TS 웹 액세스 서버를 구성합니다.
응용 프로그램을 기존의 방법을 통해 설치하거나 Application Virtualization(이전의 SoftGrid)을 사용하여 터미널 서버에 배포하고 나면 이 응용 프로그램을 매우 간단하게 TS 웹 액세스에 게시할 수 있습니다. RemoteApp 마법사가 관리자에게 몇 가지 신속하고 간편한 단계를 안내하고 나면 게시된 RemoteApp 프로그램 목록에 응용 프로그램이 표시됩니다.
기본적으로 응용 프로그램은 TS 웹 액세스에 게시됩니다. 그런 다음 RemoteApp 관리자가 게시된 응용 프로그램과 사용자가 TS 웹 액세스를 통해 사용할 수 있는 모든 응용 프로그램의 목록을 보여 줍니다.
이제 기본 최종 사용자 환경을 간단히 살펴보겠습니다. TS 웹 액세스의 첫 번째 탭에는 게시된 모든 응용 프로그램의 아이콘이 표시됩니다(
그림 3 참조). 두 번째 탭을 통해 사용자는 웹 프런트 엔드를 사용하는 특정 데스크톱 컴퓨터에 연결할 수 있습니다. 앞서 언급했듯이 이 웹 인터페이스는 전체적으로 사용자 지정할 수 있으며, “TS 웹 액세스 단계별 가이드: Windows SharePoint Services를 사용하여 TS 웹 액세스 사용자 지정”(
go.microsoft.com/fwlink/?LinkID=111241)은 SharePoint Services의 사용자 지정을 안내하는 훌륭한 리소스입니다.
그림 3 TS 웹 액세스에서 RemoteApp 프로그램 보기(더 크게 보려면 이미지를 클릭하십시오.)
기타 배포 방법 TS 웹 액세스를 사용하지 않고도 .rdp 파일 또는 Windows Installer 패키지를 사용하여 RemoteApp 프로그램을 배포할 수 있습니다. 이 패키지는 파일 공유 또는 Microsoft System Center Operations Manager 또는 Active Directory 소프트웨어 배포를 통해 배포할 수 있습니다. 다음 섹션에서는 응용 프로그램 배포에 적합한 패키지를 만들기 위한 주요 단계를 설명합니다.
파일 공유 또는 다른 배포 메커니즘을 통해 배포할 RemoteApp 프로그램을 준비하려면 게시할 터미널 서비스와 응용 프로그램을 설치하고 원격 연결 설정을 확인해야 합니다. TS RemoteApp 마법사는 RemoteApp 프로그램을 추가하고 전역 배포 설정을 구성하는 데 많은 도움이 될 것입니다. 그런 다음 .rdp 파일 또는 Windows Installer 패키지를 만들 수 있습니다.
RemoteApp 마법사를 간단히 살펴보겠습니다. 1단계에서는 .rdp 파일의 터미널 서버, TS 게이트웨이 및 인증서 설정을 구성합니다(그림 4 참조).
그림 4 .rdp 파일에 대한 설정 입력(더 크게 보려면 이미지를 클릭하십시오.)
2단계에서는 바탕 화면 또는 시작 메뉴에서 바로 가기 아이콘을 어디에 표시할지를 지정하고 로컬 파일이 RemoteApp와 함께 시작될 수 있도록 클라이언트 파일 확장명을 연결합니다(그림 5 참조).
그림 5 프로그램 패키지 설정 옵션(더 크게 보려면 이미지를 클릭하십시오.)
마지막 단계에서는 RemoteApp 마법사에서 사용자가 원하는 배포 소프트웨어를 사용하여 클라이언트 컴퓨터에 이 패키지 응용 프로그램을 쉽게 배포할 수 있도록 Packaged Programs 폴더를 엽니다(그림 6 참조).
그림 6 배포용 프로그램 패키지(더 크게 보려면 이미지를 클릭하십시오.)
터미널 서비스 게이트웨이
이제 원격 사용자가 방화벽 외부에서 응용 프로그램, 데이터 또는 데스크톱에 액세스하는 데 TS 게이트웨이가 어떠한 도움을 줄 수 있는지 살펴보겠습니다. 그림 7에는 인터넷을 통해 사용자에게 액세스 권한을 제공하기 위해 TS 게이트웨이를 배포하는 대표적인 시나리오가 대략적으로 나와 있습니다.
그림 7 가정에서 랩톱으로 기업 네트워크에 연결 중인 작업자(더 크게 보려면 이미지를 클릭하십시오.)
기본적으로 TS 게이트웨이는 네트워크 경계에 위치하며 HTTPS를 통해 RDP 트래픽을 터널링합니다. 또는 사용자가 네트워크 경계에 SSL 종결자(예: Microsoft ISA(Internet Security and Acceleration) Server)를 배치하고 들어오는 RDP 트래픽을 다른 쪽의 TS 게이트웨이에 전달할 수 있습니다.
그림 7은 이러한 단계를 보여 줍니다.
- 가정용 랩톱 사용자는 RDP 파일 또는 바탕 화면에 있는 RemoteApp 프로그램 아이콘, TS 웹 액세스를 통해 게시된 TS RemoteApp 아이콘을 클릭하거나 원격 데스크톱 연결 클라이언트를 열어 인터넷을 통해 연결할 수 있습니다.
- 가정용 랩톱과 TS 게이트웨이 서버의 SSL 인증서를 사용하는 터미널 서버 간에 SSL 터널이 설정됩니다. 연결을 설정하려면 사용자는 TS CAP(터미널 서비스 연결 권한 부여 정책) 및 TS RAP(터미널 서비스 리소스 권한 부여 정책)에 따라 인증을 받고 권한을 부여받아야 합니다. TS RAP 및 TS CAP 정책(아래에서 설명함)이 실행되고 나면 사용자가 세션을 열 수 있습니다.
- 가정용 랩톱은 포트 443을 통해 SSL 내에 캡슐화된 암호화된 RDP 패킷을 TS 게이트웨이와 주고받습니다. TS 게이트웨이는 포트 3389를 통해 이 RDP 패킷을 터미널 서버로 전달합니다.
대규모 설치를 위해 TS 게이트웨이 서버 팜을 만들 수도 있지만 서버 팜 시스템 간에 부하를 분산하려면 별도의 솔루션(예: NLB 또는 타사 부하 분산 장치)이 필요합니다. TS 세션 브로커는 TS 게이트웨이 서버에 대한 부하 분산을 처리하지 않습니다.
이제 이 기능을 배포하는 방법에 대해 간략히 살펴보겠습니다. 간단히 말하자면 TS 게이트웨이 서버에 대한 인증서를 얻고 구성한 후 앞서 언급한 TS CAP와 TS RAP라는 두 가지 권한 부여 정책을 만들어야 합니다.
인증서 얻기 기존 인증서를 사용하거나 새 인증서를 요청할 수 있습니다. TS 게이트웨이가 작동하려면 유효한 인증서가 필요하며 설치하는 동안 인증서를 가져오거나 자체 서명된 인증서를 만들 수 있습니다.
자체 서명된 인증서는 내부 테스트 중일 때 유용하지만 올바른 배포를 위해서는 엔터프라이즈 인증 기관(예: VeriSign)이 발급한 인증서가 필요합니다. 인증서를 설치하고 나면 배포 권한 부여 정책을 고려해 볼 수 있습니다.
권한 부여 정책 TS CAP는 TS 게이트웨이에 연결할 수 있는 사용자를 결정하고 사용자가 연결할 수 있는 조건을 지정합니다. 예를 들어 로컬 TS 게이트웨이 서버 또는 Active Directory에 있는 사용자 그룹이 TS 게이트웨이에 연결할 수 있고 해당 그룹 구성원은 스마트 카드를 사용해야 한다는 조건을 지정할 수 있습니다.
반면에 TS RAP는 사용자가 TS 게이트웨이를 통해 액세스할 수 있는 내부 리소스를 결정합니다. 예를 들어 임의의 컴퓨터 그룹(예: 터미널 서버의 팜)을 만들고 이를 TS RAP와 연결할 수 있습니다.
사용자가 액세스 권한을 얻으려면 최소한 하나의 TS CAP와 하나의 TS RAP의 조건을 만족해야 하므로 원격 사용자에게 내부 리소스에 대한 액세스 권한을 부여하는 TS CAP 및 TS RAP를 만들어야 합니다. 관리자는 그림 8 및 그림 9에서와 같이 TS 게이트웨이 관리자를 통해 두 유형을 모두 만들 수 있습니다.
그림 8 연결 권한 부여 정책 만들기(더 크게 보려면 이미지를 클릭하십시오.)
그림 9 리소스 권한 부여 정책 만들기(더 크게 보려면 이미지를 클릭하십시오.)
TS CAP와 TS RAP에서 제공하는 두 가지 권한 부여 정책을 사용하면 네부 네트워크의 컴퓨터에 대한 액세스 제어 수준을 좀 더 세부적으로 구성할 수 있습니다. 자세한 내용은 “터미널 서비스 게이트웨이 단계별 가이드”(
go.microsoft.com/fwlink/?LinkID=85872)를 참조하십시오.
TS 세션 브로커
마지막으로 다루려는 항목은 배포가 간편한 세션 기반의 부하 분산 솔루션을 제공하는 세션 브로커입니다. 이 기능은 Windows Server 2003에서 사용자를 기존 세션에 연결했던 세션 디렉터리 기능에 기반을 두고 만들어졌으며, 여기에 팜에서 부하가 제일 적은 서버에 새 새션을 만드는 기능이 추가되었습니다.
팜의 모든 터미널 서버가 DNS에 특정 터미널 서버 팜 이름(예: Farm1)에 매핑되는 호스트 리소스 레코드를 갖고 있는 전형적인 시나리오를 살펴보겠습니다. 이 경우 팜의 모든 터미널 서버는 리디렉터 역할을 할 수 있고 초기 연결 요청을 처리할 수 있습니다.
사용자가 RDC 클라이언트를 시작하고 터키널 서버 팜 이름을 Farm1로 지정하는 경우를 생각해 보십시오. 클라이언트는 DNS 서버에 연결하여 Farm1이라는 이름을 IP 주소로 변환하고, 라운드 로빈 방식을 사용하여 초기 연결 요청의 부하를 분산하도록 구성된 DNS 서버는 Farm1에 대해 등록된 IP 주소 목록을 반환합니다.
클라이언트는 DNS 서버에서 반환한 목록의 첫 번째 IP 주소로 연결 요청을 보냅니다. 이 주소에 있는 터미널 서버는 TS 세션 브로커 서버를 쿼리하여 클라이언트가 로그온해야 하는 터미널 서버를 확인하는 리디렉터 역할을 합니다. TS 세션 브로커 서버는 데이터베이스를 확인하고 사용자에게 기존 세션이 있으면 세션 브로커가 해당 터미널 서버의 IP 주소를 반환합니다. 사용자에게 기존 세션이 없으면 세션 브로커는 팜에서 부하가 가장 낮은 터미널 서버를 확인한 다음(세션 개수와 상대적 서버 부하 값에 따라) 이 서버의 IP 주소를 반환합니다.
리디렉터가 클라이언트에게 해당 IP 주소를 보내면 클라이언트가 해당 서버로 연결 요청을 보냅니다. 그러면 이 서버에서 로그온 요청을 처리하고 TS 세션 브로커에게 로그온 성공을 알립니다.
초기 연결을 배포할 때 모든 부하 분산 메커니즘을 사용할 수 있지만 DNS 라운드 로빈 방식이 가장 배포하기 쉬운 메커니즘입니다. 그러나 DNS 라운드 로빈 방식은 클라이언트의 DNS 요청이 캐싱되면 클라이언트가 각 초기 연결 요청마다 동일한 IP 주소를 사용할 수 있고, 사용자가 오프라인이지만 여전히 DNS에 나열되어 있는 터미널 서버로 리디렉션되는 경우 30초 미만의 지연이 발생할 수 있다는 등의 몇 가지 제한 사항이 뒤따릅니다.
NLB 또는 하드웨어 부하 분산 장치와 같은 네트워크 수준 부하 분산 솔루션을 사용하여 TS 세션 브로커 부하 분산을 배포하면 TS 세션 브로커의 기능은 활용하면서 DNS의 제한 사항은 피할 수 있습니다. TS 세션 브로커 부하 분산 기능을 사용하면 각 서버에 상대적 부하 값을 할당할 수 있으므로 팜에서 상대적으로 성능이 높은 서버와 낮은 서버 간에 부하를 분산하는 데 도움이 됩니다. 예를 들어 팜의 다른 서버보다 세션을 두 배 더 많이 처리할 수 있는 서버가 있는 경우 다른 서버의 부하 값 100에 대해 상대적으로 해당 서버에는 부하 값을 200으로 할당할 수 있습니다.
세션 브로커 부하 분산 기능은 특정 터미널 서버에 대해 보류 중인 로그온 요청의 최대 개수를 16개로 제한합니다. 이 기능은 예를 들어 팜에 새 서버를 추가하거나 이전에 거부당한 서버에서 사용자 로그온을 활성화할 때 단일 서버가 새 로그온 요청으로 복잡해지지 않도록 하는 데 도움이 됩니다.
또한 유지 관리를 위해 종료하도록 예약된 터미널 서버에 새로운 사용자가 로그온하는 것을 방지하는 새로운 “서버 드레이닝” 메커니즘도 제공됩니다. 특정 터미널 서버에서 새 로그온이 거부될 경우 TS 세션 브로커는 사용자가 기존 세션을 사용하여 다시 연결하도록 지원하지만 새 사용자는 새 로그온을 허용하도록 구성된 터미널 서버로 리디렉션합니다.
자세한 내용은 “TS 세션 브로커 부하 분산 단계별 가이드”(
go.microsoft.com/fwlink/?LinkID=92670)를 참조하십시오. 지면 관계상 Windows Server 2008 TS의 새 기능에 대한 설명은 여기까지만 하겠습니다. 그러나 터미널 서비스 웹 사이트에 심층적인 웹 캐스트를 포함한 많은 콘텐츠가 있으니 한 번 살펴보십시오. 더 자세한 정보를 보려면
technet.microsoft.com/ts를 참조하십시오.
Joshua Schnoll은 마케팅과 기술 분야에 15년 이상의 경력이 있으며 최근 6년 동안에는 서버 기반 컴퓨팅에 집중해 왔습니다. 국제 Windows Server Terminal Services 수석 제품 관리자인 그는 Microsoft에 입사하기 전에 Sun Microsystems에서 울트라 씬 클라이언트 제품 마케팅을 추진하는 등 다양한 업무를 담당했습니다.