다른 언어로 사이트를 보시겠습니까?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
언어 변경
목차

소개

원격 데스크톱 서비스 배포는 원격 작업, 애플리케이션 중앙 집중화 및 제3자 액세스를 하나의 플랫폼에서 해결할 수 있습니다. 그러나 라이선스, 인증서 또는 보안 제어가 잘못 구성되면 RDS는 빠르게 실패할 수 있습니다. 이 기사는 즉시 적용할 수 있는 명확한 결정과 안전한 기본값에 중점을 둡니다. 문서화하고 지원할 수 있는 빌드 계획으로 마무리할 것입니다.

TSplus 원격 액세스 무료 평가판

궁극적인 Citrix/RDS 대안으로 데스크탑/앱 접근. 안전하고 비용 효율적이며, 온프레미스/클라우드

무료 평가판 시작

Windows 용어로 원격 데스크톱 서버란 무엇인가요?

RDS 대 표준 원격 데스크톱

Windows Pro Remote Desktop는 단일 머신을 위한 일대일 기능입니다. 원격 데스크톱 서버는 일반적으로 여러 동시 사용자를 지원하는 Windows Server Remote Desktop Services (RDS)입니다. RDS는 또한 중앙 정책, 세션 제어 및 라이센스를 추가합니다. 이러한 차이는 지원 가능성과 준수에 중요합니다.

중요한 RDS 역할

대부분의 실제 배포는 소규모 역할 서비스 집합을 사용합니다:

  • RD 세션 호스트: 사용자 세션 및 RemoteApps(게시된 애플리케이션)를 실행합니다.
  • RD 연결 브로커: 세션을 추적하고 사용자를 신뢰성 있게 재연결합니다.
  • RD 웹 액세스: 앱과 데스크톱을 위한 포털을 제공합니다.
  • RD 게이트웨이: 랩스 RDP HTTPS를 통한 보다 안전한 인터넷 접근.
  • RD 라이센스: RDS 클라이언트 액세스 라이센스(CALs)를 관리합니다.

작은 환경에서는 역할을 결합할 수 있지만, 프로덕션 설계에서는 일반적으로 세션 호스트와 게이트웨이를 최소한으로 분리합니다. 역할 분리는 성능뿐만 아니라 다른 이유도 있습니다.

1단계: RDS 설계 계획하기

토폴로지: 단일 서버 대 다중 서버

단일 서버 설정은 낮은 동시성의 실험실이나 소규모 사무실에서 작동할 수 있습니다. 생산을 위해서는 중단을 줄이고 문제 해결을 단순화하기 위해 역할을 분리하십시오. 일반적인 분할은 브로커, 웹 및 라이센스를 위한 하나의 서버와 세션 호스트를 위한 하나 이상의 서버입니다. 외부 사용자가 연결하는 경우 가능할 때 RD 게이트웨이를 별도의 서버에 배치하십시오.

크기 조정: CPU, RAM, 저장소, 네트워크

용량 계획은 사용자 경험이 승리하거나 패배하는 곳입니다. 대화형 앱은 로그인 및 앱 시작 중에 급증하므로 크기 조정에는 실용적인 우선 순위가 필요합니다.

  • CPU: 세션 반응성을 위해 더 높은 클럭 속도를 선호하세요.
  • RAM: 피크 동시성을 피하기 위한 계획
  • 스토리지: SSD로 프로필 및 앱 I/O 대기 시간 감소
  • 네트워크: 원시 대역폭보다 낮은 대기 시간을 우선시합니다.

메모리 압박은 느린 세션과 무작위 실패를 초래하므로 최대 동시성을 계획해야 합니다. SSD 저장소는 프로필 로드 시간을 줄이고 로그인 일관성을 향상시킵니다. 낮은 대기 시간 네트워크 경로는 일반적으로 원시 대역폭보다 더 중요합니다.

접근 모델: 내부, VPN 또는 인터넷

사용자가 서비스를 어떻게 이용할지 결정한 후 역할을 설치하세요. 내부 전용 액세스는 가장 간단하며 노출을 줄입니다. VPN 액세스는 제어 계층을 추가하지만 클라이언트 관리가 필요합니다. 인터넷 액세스는 HTTPS를 통한 RD Gateway를 사용해야 하므로 노출을 피할 수 있습니다. 포트 3389 이 결정 하나가 많은 보안 사고를 예방합니다.

관리되지 않는 장치를 지원해야 하는 경우, 더 엄격한 통제와 명확한 경계를 계획하십시오. 인터넷 접근을 체크박스가 아닌 제품으로 취급하고, 신원, 인증서 및 모니터링에 대한 소유권을 확보하십시오.

2단계: RDS를 위한 Windows Server 준비

패치, 기준선 및 관리자 액세스

Windows Server를 완전히 패치한 후 RDS 역할을 추가하고 예측 가능한 업데이트 주기를 유지하십시오. 환경에 맞는 기준 하드닝 표준을 적용하십시오. 명확한 관리자 경계를 사용하십시오.

  • 특권 관리자 계정을 일상 사용자 계정과 분리하십시오.
  • 관리된 점프 호스트에서만 관리자 접근 가능 (엔드포인트에서 접근 불가)
  • 로컬 관리자 권한을 제한하고 변경 사항을 정기적으로 감사합니다.

DNS 이름 및 방화벽 상태

사용자에게 표시되는 DNS 이름을 미리 선택하고 도구 및 인증서 전반에 걸쳐 일관성을 유지하십시오. 방화벽 규칙을 "최소 노출" 사고방식으로 계획하십시오. 인터넷에 노출되는 배포의 경우, 게이트웨이에 TCP 443만 노출되도록 하십시오. TCP 3389는 공용 인터넷에서 차단하십시오.

빌드 전제 조건: 도메인 가입 및 서비스 계정(필요한 경우)

대부분의 RDS 배포는 도메인에 가입되어 있으며, 그룹 기반 액세스 제어와 GPO가 관리의 핵심입니다. 서버를 올바른 AD 도메인에 조기에 가입시키고, 시간 동기화 및 DNS 해상도를 검증하십시오. 모니터링 에이전트나 관리 도구를 위해 서비스 계정을 사용하는 경우, 최소 권한으로 생성하고 소유권을 문서화하십시오.

3단계: 원격 데스크톱 서비스 역할 설치

서버 관리자와 함께하는 표준 배포

서버 관리자에서 원격 데스크톱 서비스 설치 경로를 사용하여 깔끔한 설정을 하십시오. 다중 사용자 데스크톱 및 RemoteApps에 대해 세션 기반 데스크톱 배포를 선택하십시오. 편의성이 아닌 토폴로지 계획에 따라 역할 서비스를 할당하십시오. 향후 업그레이드를 간소화하기 위해 각 역할이 설치된 위치를 문서화하십시오.

역할 배치 및 분리 규칙

역할 배치는 성능과 문제 해결 속도에 영향을 미칩니다. 모든 것을 함께 배치하는 것이 가능하지만, 사용자 부하가 증가할 때까지 병목 현상을 숨깁니다. 엣지 역할을 컴퓨트 역할과 분리하면 중단 시간을 더 쉽게 격리할 수 있고 보안 위험이 줄어듭니다.

  • 실험실 또는 매우 작은 배포를 위한 역할만 공동 배치하십시오.
  • 세션 호스트에서 인터넷에 노출된 액세스를 위해 RD 게이트웨이를 끄십시오.
  • 세션 호스트를 하나의 호스트를 과도하게 크기 조정하는 대신 수평으로 추가하십시오.
  • 서버 이름을 일관되게 사용하여 로그를 쉽게 추적할 수 있도록 하십시오.

설치 후 점검

사용자를 추가하기 전에 플랫폼을 검증하십시오. 서비스가 실행 중이며 자동으로 시작되도록 설정되어 있는지 확인하십시오. 배포한 경우 내부에서 RD 웹 액세스를 테스트하십시오. 세션 호스트에 대한 테스트 연결을 만들고 세션 생성이 작동하는지 확인하십시오. 인증서와 정책을 추가하기 전에 지금 오류를 수정하십시오.

변경 후 반복할 수 있는 짧은 검증 체크리스트를 추가하세요. 여기에는 연결 테스트, 앱 실행 테스트, 새로운 경고에 대한 로그 확인이 포함되어야 합니다. 반복은 RDS를 "취약한" 상태에서 "예측 가능한" 상태로 바꾸는 요소입니다.

4단계: RD 라이센스 구성

활성화, CAL 추가, 모드 설정

RD 라이센스 역할을 설치한 후 라이센스 서버를 활성화합니다. RDS CAL을 추가하고 올바른 라이센스 모드(사용자당 또는 장치당)를 선택합니다. 세션 호스트 환경에 라이센스 서버와 모드를 적용합니다. 이를 필수 단계로 간주하고 나중의 작업으로 생각하지 마십시오.

라이센스가 적용되었는지 확인하십시오.

라이센스 문제는 종종 유예 기간 후에 발생하므로 추적하기 어렵습니다. 확인하십시오. 세션 호스트의 이벤트 뷰어에서 라이센스 경고를 확인합니다. 세션 호스트가 네트워크를 통해 라이센스 서버에 도달할 수 있는지 확인합니다. 모드가 실제로 소유하고 있는 CAL 유형과 일치하는지 확인합니다. 빌드 문서를 위한 스크린샷을 캡처합니다.

  • 라이센스 서버가 각 세션 호스트에서 접근 가능한지 확인하십시오.
  • 라이센스 모드가 세션이 실행되는 곳에 적용되었는지 확인하십시오.
  • 사용자 온보딩 전에 RDS 관련 로그에서 경고를 검토하십시오.
  • GPO 변경 후 RDS 설정을 덮어쓸 수 있는 재테스트

조기 발견을 위한 라이센스 실패 패턴

대부분의 라이센스 "놀람"은 예방할 수 있습니다. 문제는 종종 CAL 유형과 라이센스 모드가 일치하지 않거나, 설치되었지만 활성화되지 않은 라이센스 서버, 또는 DNS나 방화벽 변경으로 인해 라이센스 서버를 발견할 수 없는 세션 호스트에서 발생합니다.

프로세스에 간단한 규칙을 하나 추가하세요: 부하가 걸린 상태에서 라이센스 로그가 깨끗해질 때까지 파일럿에서 생산으로 이동하지 마십시오. 빌드가 최대 로그인 테스트를 통과하고 여전히 라이센스 경고가 표시되지 않으면, 향후 중단의 주요 원인을 제거한 것입니다.

단계 5: 데스크톱 및 원격 앱 게시

세션 수집 및 사용자 그룹

세션 컬렉션은 세션 호스트와 사용자 액세스 규칙의 명명된 그룹입니다. 개별 사용자 할당보다 보안 그룹을 사용하여 관리의 효율성을 높이세요. 작업 부하가 다를 때는 "사무실 사용자"와 "ERP 사용자"와 같은 별도의 컬렉션을 만드세요. 이렇게 하면 성능 조정 및 문제 해결이 더 예측 가능해집니다.

컬렉션과 비즈니스 결과 간의 명확한 매핑을 추가하세요. 사용자가 어떤 컬렉션이 어떤 앱을 지원하는지 알게 되면, 헬프데스크 팀은 문제를 더 빠르게 처리할 수 있습니다. 컬렉션 설계는 일관된 세션 한도와 리디렉션 규칙을 설정하는 곳이기도 합니다.

원격 앱 게시 기본 사항

RemoteApps는 사용자가 필요로 하는 것만 제공함으로써 사용자 마찰을 줄입니다. 그리고 [TSplus]와 같은 플랫폼은 TSplus 원격 액세스 팀이 이동 부품을 줄이기를 원하는 경우 게시 및 웹 액세스를 간소화할 수 있습니다. 사용자가 하나 또는 두 개의 애플리케이션만 필요로 할 때 "전체 데스크톱" 공격 표면도 제한합니다. 게시 과정은 일반적으로 간단하지만 신뢰성은 애플리케이션 실행 경로 및 종속성 테스트에 따라 달라집니다.

  • 각 RemoteApp을 관리자 계정이 아닌 표준 사용자로 테스트하십시오.
  • 파일 연결 및 필요한 도우미 구성 요소를 확인하십시오.
  • 프린터 및 클립보드 요구 사항을 제한을 시행하기 전에 확인하십시오.
  • 지원되는 클라이언트 유형 및 버전을 문서화하십시오.

프로필 및 로그인 속도 기본 사항

느린 로그인은 종종 프로필 크기와 프로필 처리 단계에서 발생합니다. 명확한 프로필 전략으로 시작하고 간단하게 유지하세요. 빈 계정이 아닌 실제 사용자 데이터를 사용하여 로그인 시간을 테스트하세요. 변경 후 퇴보를 발견할 수 있도록 로그인 지속 시간을 조기에 추적하세요.

확장하기 전에 가드레일을 추가하세요. 프로필 크기 제한, 임시 데이터 정리 프로세스, 캐시된 자격 증명 및 사용자 상태를 처리하는 방법을 정의하세요. 많은 "성능" 사건은 실제로 "프로필 확장" 사건입니다.

6단계: RD 게이트웨이를 통한 외부 액세스 보안 설정

왜 HTTPS가 노출된 RDP보다 우수한가

RD 게이트웨이는 원격 데스크톱 트래픽을 통해 터널링합니다. HTTPS 포트 443에서. 이는 RDP의 직접 노출을 줄이고 더 나은 제어 지점을 제공합니다. 또한 HTTPS만 허용되는 잠금된 네트워크와의 호환성을 개선합니다. 대부분의 팀에게 외부 액세스를 위한 가장 안전한 기본값입니다.

정책, 인증서 및 MFA 옵션

게이트웨이 정책을 사용하여 누가 연결할 수 있는지와 그들이 도달할 수 있는 것을 제어하십시오. 외부 DNS 이름과 일치하고 사용자 장치에서 신뢰할 수 있는 인증서를 바인딩하십시오. MFA가 필요한 경우 게이트웨이 또는 신원 공급자 경로를 통해 이를 시행하십시오. 규칙을 그룹 기반으로 유지하여 접근 검토가 관리 가능하도록 하십시오.

  • AD 보안 그룹에 연결된 CAP/RAP 정책 사용
  • 특정 내부 리소스에 대한 접근을 제한하고 전체 서브넷은 제외합니다.
  • 비즈니스 위험이 정당화될 때 외부 액세스에 대해 MFA를 시행하십시오.
  • 감사 목적으로 인증 및 권한 부여 이벤트 기록

게이트웨이와 엣지 레이어 강화

RD 게이트웨이를 인터넷에 노출된 애플리케이션 서버처럼 취급하십시오. 패치를 유지하고, 설치된 구성 요소를 최소화하며, 관리자 접근 경로를 제한하십시오. 필요하지 않은 약한 레거시 설정을 비활성화하고, 무차별 대입 공격 행동을 모니터링하십시오. 귀하의 조직에 엣지 리버스 프록시가 있는 경우 WAF 전략, 게이트웨이 배포를 이에 맞추십시오.

마지막으로, 사고 대응 조치를 연습하세요. 사용자를 차단하고, 인증서를 교체하며, 의심되는 공격 중에 접근을 제한하는 방법을 알아두세요. 이러한 조치는 계획했을 때 훨씬 더 쉽습니다.

성능 및 신뢰성 조정 7단계

세션 부하를 줄이는 GPO 설정

그룹 정책을 사용하여 워크플로를 중단하지 않고 불필요한 오버헤드를 줄이십시오. 유휴 세션을 제한하고 리소스를 안전하게 확보하기 위해 연결 해제 시간 초과를 설정하십시오. 데이터 민감도에 따라 클립보드 및 드라이브 리디렉션을 제어하십시오. 영향을 측정할 수 있도록 작은 단계로 변경 사항을 적용하십시오.

조기 추적을 위한 모니터링 신호

세션 호스트에서 CPU, 메모리 및 디스크 대기 시간을 첫날부터 모니터링합니다. 주간 로그온 시간 및 세션 수 추세를 추적합니다. 무차별 대입 패턴에 대한 게이트웨이 인증 실패를 주시합니다. 서버 다운 이벤트뿐만 아니라 리소스 포화에 대한 경고를 설정합니다. 좋은 모니터링은 '놀라운 월요일'을 방지합니다. 작은 기준 세트로 시작하세요.

  • 로그온 지속 시간 추세 (중앙값 + 최악의 10%)
  • 세션 호스트 메모리 압박 피크 시간 동안
  • 프로필 및 앱 경로의 디스크 대기 시간
  • RD 게이트웨이 실패 로그인 및 비정상적인 급증

운영 안정성: 패치 윈도우 및 변경 주기

성능은 운영 규율에 따라 달라집니다. 세션 호스트와 게이트웨이 서버에 대한 유지 관리 시간을 정의한 후 이를 사용자에게 전달하십시오. 한 세션 호스트가 먼저 업데이트되고 나머지가 그 뒤를 따르는 단계적 롤아웃을 사용하십시오. 이 접근 방식은 나쁜 패치나 드라이버 업데이트로 인한 광범위한 중단의 위험을 줄입니다.

또한 귀하의 환경에서 "롤백"이 무엇을 의미하는지 정의하십시오. VM의 경우, 스냅샷이 도움이 될 수 있지만, 신중하고 짧게 사용해야만 합니다. 물리적 시스템의 경우, 롤백은 골든 이미지를 되돌리거나 자동화를 통해 최근 변경 사항을 제거하는 것을 의미할 수 있습니다.

8단계: 일반 빌드 문제 및 수정 경로

인증서, DNS, 방화벽, 및 NLA

인증서 오류는 일반적으로 이름 불일치 또는 신뢰 체인이 누락되어 발생합니다. DNS 문제는 "서버를 찾을 수 없음" 또는 포털 로드 실패로 나타납니다. 방화벽 오류는 종종 사용자 트래픽뿐만 아니라 내부 역할 간 트래픽을 차단합니다. 세션 생성 전에 인증을 요구하기 위해 네트워크 수준 인증(NLA)을 활성화하십시오. 문제 해결 속도를 유지하기 위해 각 계층을 순서대로 테스트하십시오.

  • 정확한 사용자-facing 호스트 이름에 대한 DNS 해상도
  • TLS 인증서 일치 + 신뢰 체인 검증
  • 방화벽 도달 가능성 (443에서 게이트웨이, 내부 역할 트래픽 허용)
  • NLA가 활성화되고 세션 생성 전에 인증이 성공적으로 이루어졌습니다.

클라이언트 관점에서 검증하는 습관을 기르세요. 서버뿐만 아니라 일반 사용자 장치에서 인증서 신뢰성을 확인하세요. 사용자가 사용하는 정확한 호스트 이름이 인증서와 일치하는지 확인하세요. 실제 클라이언트에서 재현하면 많은 "무작위" 실패가 예측 가능합니다.

느린 세션 및 연결 끊김

갑작스러운 연결 끊김은 종종 라이센스, 프로필 실패 또는 리소스 고갈과 관련이 있습니다. 느린 세션은 일반적으로 메모리 압박, 디스크 지연 또는 무거운 로그인 스크립트와 관련이 있습니다. 세션 호스트와 게이트웨이에서 이벤트 뷰어를 확인하고 타임스탬프를 상관시킵니다. 설정을 변경하기 전에 문제가 사용자 전체에 해당하는지 또는 컬렉션 특정인지 확인하십시오. 큰 "재구성" 작업보다는 작은 수정 사항을 사용하고 재테스트하십시오.

프린터, 주변 장치 및 리디렉션 문제 지점

인쇄 및 주변 장치 리디렉션은 RDS 티켓의 큰 비율을 차지합니다. 그 원인은 종종 드라이버 불일치, 구형 프린터 검색 동작 또는 과도한 리디렉션 정책입니다. 가능한 경우 프린터 드라이버를 표준화하고 가장 일반적인 장치로 조기에 테스트하십시오. 사용자가 필요하지 않은 리디렉션 기능을 제한하되 이해관계자의 의견 없이 전면 차단을 피하십시오.

문제가 지속될 경우, 한 번에 하나의 리디렉션 기능을 비활성화하여 격리하십시오. 이 접근 방식은 스캔, 라벨 인쇄 또는 서명 패드를 우연히 중단시키는 "수정"을 방지합니다. 지원되는 장치를 문서화하여 헬프 데스크가 사용자 기대치를 설정할 수 있도록 하십시오.

TSplus가 원격 데스크톱 제공을 어떻게 간소화합니까?

TSplus 원격 액세스 Windows 데스크톱과 애플리케이션을 전체 다중 역할 RDS 스택을 구축하지 않고 게시하는 간소화된 방법을 제공합니다. 관리자는 앱을 게시하고, 이를 사용자 또는 그룹에 할당하며, 사용자 정의 가능한 웹 포털을 통해 액세스를 제공합니다. 사용자는 장치 요구 사항에 따라 HTML5를 사용하는 브라우저 또는 RDP 호환 클라이언트에서 연결할 수 있습니다. 이 접근 방식은 설정 마찰을 줄이면서 애플리케이션과 세션에 대한 중앙 집중식 제어를 유지하여 효율적인 운영을 가능하게 합니다.

결론

신뢰할 수 있는 원격 데스크톱 서버는 명확한 디자인 선택과 안전한 기본값으로 시작됩니다. 실제 작업 부하에 맞게 세션 호스트의 크기를 조정하고, 라이센스를 올바르게 구성하며, 공용 RDP 노출을 피하십시오. 안전한 외부 액세스를 위해 RD 게이트웨이와 클린 인증서를 사용하십시오. 모니터링과 일관된 정책을 통해 RDS 환경은 사용량이 증가함에 따라 안정성을 유지할 수 있습니다.

TSplus 원격 액세스 무료 평가판

궁극적인 Citrix/RDS 대안으로 데스크탑/앱 접근. 안전하고 비용 효율적이며, 온프레미스/클라우드

무료 평가판 시작

공유:

Facebook 트위터 LinkedIn

당신의 TSplus 팀

추가 읽기

back to top of the page icon