문제
- RDP가 2단계 인증을 통해 보안이 설정된 경우에만 도메인 사용자가 RDP를 통해 가상 데스크톱 인프라 클라이언트(가상 머신)에 연결할 수 있도록 하려고 합니다
해결 방법
2FA를 통해 VDI(가상 데스크톱 인프라) 클라이언트의 RDP 연결을 보호하여 두 번째 인증 요소로 OTP(일회용 암호)를 제공하지 않으면 RDP를 통한 액세스가 허용되지 않도록 하려면 요구 사항에 따라 VDI 템플릿을 설치하고 구성한 후 두 가지 필수 변경 작업을 수행해야 합니다.
VDI 템플릿(예: Windows 7)을 설치 및 사전 구성하고, 사용자(또는 고객)의 요구 사항에 맞게 시스템을 사용자 지정하고, ESET 보안 인증(ESA)의 원격 데스크톱 플러그인을 설치합니다( 제품 설명서의 설치 섹션 참조).
Sysprep를 수행하기 전에 수행해야 할 두 가지 필수 단계가 있습니다:
- ESA 자격 증명 프록시 서비스 서비스가 실행 중인 경우에만 시작하도록 원격 데스크톱 서비스에 대한 종속성을 설정합니다.
이렇게 하려면 Windows 키 + R 키 조합을 누르고 실행 대화 상자에 다음 명령을 입력(또는 복사하여 붙여넣기)한 후 Enter 키를 누릅니다:sc config TermService depend= EsaCpProxy/RpcSs - 실행 대화 상자에서 다음 명령을 실행하여 도메인 계정(즉, 도메인 관리자 계정)으로 ESA 자격 증명 프록시 서비스 서비스를 실행하도록 설정합니다:
sc config EsaCpProxy obj= "도메인\사용자 이름" password= "비밀번호"
여기서 도메인\사용자 이름은 Active Directory 도메인의 도메인 이름과 원하는 도메인 사용자의 사용자 이름으로 대체해야 합니다. 유사하게 password는 특정 도메인 사용자의 비밀번호로 대체해야 합니다.
예제에서는 다음 코드를 실행했습니다:
sc config EsaCpProxy obj= "acswin2012\administrator" password= "demo1234"
안전 예방 조치로 장애 발생 시 자동으로 다시 시작되도록 ESA 자격 증명 공급자 프록시 서비스(EsaCpProxy)를 구성할 수 있습니다. 실행 대화 상자에서 다음 명령을 실행하여 수행할 수 있습니다:
sc failure EsaCpProxy actions= restart/60000/restart /60000// reset= 120이 명령은 장애 발생 시 60초 후에 EsaCpProxy 서비스를 다시 시작하도록 합니다.
1, 2단계의 변경이 성공했다면 1과 2번의 변경이 성공했다면 서비스 목록에서 해당 서비스를 확인할 수 있습니다:
- Ctrl + Shift + Esc 키 조합을 눌러 Windows 작업 관리자를 엽니다
- 서비스 탭으로 전환하고 오른쪽 하단에 있는 서비스... 버튼을 클릭하여 서비스 창을 엽니다
- ESA 자격 증명 공급자 프록시 서비스 서비스를 찾아 더블 클릭하고 로그온 탭으로 전환합니다. 이 계정 옵션이 선택되어 있고 위 2단계의 스크립트에서 사용한 도메인 사용자의 사용자 이름이 표시됩니다.
그림 1-1
이미지를 클릭하면 크게 볼 수 있습니다
- 원격 데스크톱 서비스 서비스를 찾아 두 번 클릭하고 종속성 탭으로 전환하면 ESA 자격 증명 공급자 프록시 서비스가 나열됩니다.
그림 1-2
이미지를 클릭하면 크게 볼 수 있습니다
