[Windows Server 실습] NCSI

* NLA(Network Level Authentication)

 - Windows는 NLA(네트워크 위치 인식) 서비스를 사용하여 네트워크 속성을 검색하고 해당 네트워크에 대한 연결을 관리하는 방법을 확인한다.

 - NLA는 NCSI라는 구성 요소를 사용하여 컴퓨터가 네트워크에 성공적으로 연결되어 있는지 여부와 네트워크가 인트라넷 또는 인터넷에 연결되어 있는지 여부를 확인한다.

 

* NCSI(Network Connectivity Status Indicator)

 - NCSI는 영어 뜻 그대로 네트워크가 연결되어 있는지 확인하는 윈도우의 기능이다.

 - HTTP와 DNS 쿼리를 통해 연결을 확인한다. (http://www.msftconnecttest.com/connecttest.txt)

 - Windows Server에서는 기본적으로 NCSI가 활성화되어있지 않은데 NCSI를 활성화시키면 더 여러 가지 서비스(ex. Direct Access, ADFS 등)를 이용할 수 있다.

 - DA, ADFS와 같은 NCSI를 이용한 서비스들의 특징은 외부(Internet)에서 내부(Intranet)의 자원들을 이용하는 것이기 때문에 인터넷 연결(NCSI)이 필요하다.

NCSI 연결 안된 상태

NCSI 연결된 상태

 

* NCSI에 연결하는 법 (Windows 10 기준)

 ① NCSI는 FQDN의 주소를 확인할 DNS www.msftconnecttest.com  요청을 전송한다.

 ② NCSI가 DNS 서버에서 유효한 응답을 받으면 NCSI는 http://www.msftconnecttest.com/connecttest.txt에서 텍스트 파일 다운

 ③ NCSI에서 텍스트 파일을 성공적으로 다운로드하면 파일에 Microsoft Connect Test가 포함되어 있는지 확인한다.

 ④ NCSI는 FQDN의 주소를 확인할 다른 DNS dns.msftncsi.com 요청을 전송한다.

 

* NCSI 실습

#실습 재료 (가상 머신 VMware, ISO 이미지 파일[Windows Server 2019, Windows10])

#Windows Server 2019 (IP : 10.0.0.1/24 | DNS : 10.0.0.1)

#Windows10 (IP : 10.0.0.100/24 | DNS : 10.0.0.1)

 

※Powershell 실행

NCSI를 활성화시키기 위해 DNS 기능을 추가해준다.

 

※dnsmgmt.msc

DNS 관리 도구를 실행하여 정방향 조회 영역의 새 영역을 클릭한다.

 

msftncsi.com이라는 이름의 영역을 만들어준다. (사진에 나오지 않은 설정들은 모두 기본값으로 설정합니다.)

 

똑같이 msftconnecttest.com이라는 이름의 영역도 만들어준다.

 

msftncsi.com에 새 호스트를 추가한다.

 

dns(131.107.255.255) A레코드 추가

 

똑같은 방법으로 msftconnecttest.com 영역에도 www(자신의 DNS 서버 IP) A레코드 추가

 

※Powershell 실행

C:\inetpub의 경로는 윈도우의 웹 서버인 IIS(Internet Information Service)를 설치해야 생깁니다.

 

Microsoft Connect Test라는 내용이 담긴 connecttest.txt 파일 생성

 

클라이언트를 재부팅하고 나면 NCSI가 연결된 것을 확인할 수 있다!