Office Online Server 계획
요약: HTTPS, 인증서, 가상화, 부하 분산, 토폴로지 및 보안을 비롯한 Office Online Server 요구 사항 및 필수 구성 요소에 대해 설명합니다.
대상: IT 전문가
Office Online Server는 온-프레미스 환경에서 브라우저 기반 버전의 Office 앱을 제공함으로써 유연성을 개선하고 공동 작업 기회를 확장합니다. 이 문서에서는 조직에 Office Online Server를 설치하기 위해 수행해야 하는 단계와 요구 사항을 설명합니다.
SharePoint Server 및 Exchange Server 같은 모든 호스트가 Office Online Server 통신할 수 있도록 신중하게 계획하는 것이 중요합니다.
Office Online Server 버전 호환성 목록을 확인하여 호스트가 호환되는지 검토합니다.
Office Online Server의 소프트웨어, 하드웨어 및 구성 요구 사항
Office Online Server 단일 서버 팜 또는 다중 서버 부하 분산 팜으로 설치할 수 있습니다. 실제 서버 또는 가상 컴퓨터를 사용할 수 있습니다.
실제 사용자 데이터가 포함된 환경에서는 항상 HTTPS를 사용하는 것이 좋은데, 이 경우 인증서를 가져와야 합니다. 팜에서 여러 서버를 사용하는 경우 하드웨어 또는 소프트웨어 부하 분산 솔루션을 구성해야 합니다. 이러한 시나리오에 대한 자세한 내용은 다음 섹션에서 확인할 수 있습니다.
Office Online Server의 하드웨어 요구 사항
Office Online Server SharePoint Server 2016과 동일한 최소 하드웨어 요구 사항을 사용합니다.
Office Online Server의 지원되는 운영 체제
Office Online Server는 다음 운영 체제에서 실행할 수 있습니다.
Windows Server 2012 R2의 64비트 버전
64비트 버전의 Windows Server 2016(Office Online Server 2018년 11월 이상 필요).
64비트 버전의 Windows Server 2019(Office Online Server 2021년 7월 패치 이상 필요).
64비트 버전의 Windows Server 2022(Office Online Server 2021년 11월 패치 이상 필요).
참고
Office Online Server Windows Server 2016, Windows Server 2019 및 Windows Server 2022의 "데스크톱 환경이 있는 서버" 설치 옵션만 지원합니다. Windows Server 제품에 대한 자세한 내용은 Windows Server 반기 채널 개요를 참조하세요.
Office Online Server의 도메인 요구 사항
Office Online Server 팜의 모든 서버는 도메인의 일부여야 합니다. 이러한 서버는 같은 도메인(권장)에 있거나 같은 포리스트의 여러 도메인에 있을 수 있습니다.
외부 데이터 액세스(예: 데이터 모델, 파워 피벗 또는 파워 뷰)를 활용하는 Excel Online 기능을 사용하려는 경우 Office Online Server Windows 기반 인증을 사용하여 액세스하려는 외부 데이터 원본뿐만 아니라 사용자와 동일한 Active Directory 포리스트에 있어야 합니다.
지원 일정 및 업그레이드 요구 사항
Microsoft는 6개월마다 새 Office Online Server 빌드를 릴리스합니다. 새 빌드가 릴리스되면 이전 빌드에 대해 더 이상 중요한 업데이트가 생성되지 않습니다. 새 빌드가 릴리스될 때 Office Online Server 팜을 업데이트하는 것이 좋습니다. 자세한 내용은 릴리스 일정 Office Online Server 참조하세요.
다른 작업 및 서비스와의 호환성
Office Online Server 설치할 때 알아야 할 몇 가지 사항은 다음과 같습니다.
Office Online Server를 실행하는 서버에 다른 서버 응용 프로그램을 설치하면 안 됨. 여기에는 Exchange Server, SharePoint Server, 비즈니스용 Skype 서버 및 SQL Server가 포함됩니다. 서버가 부족한 경우 있는 서버 중 하나의 가상 머신에서 Office Online Server 실행하는 것이 좋습니다.
포트 80, 443 또는 809에서 웹 서버(IIS) 역할을 사용하는 서비스 또는 역할을 설치하면 안 됨. Office Online Server는 이러한 포트에서 웹 응용 프로그램을 주기적으로 제거하기 때문입니다.
모든 Office 버전을 설치하면 안 됨. 이미 설치한 경우에는 Office Online Server를 설치하기 전에 제거해야 합니다.
도메인 컨트롤러에 Office Online Server를 설치하면 안 됨. AD DS(Active Directory 도메인 서비스)가 설치된 서버에서는 실행되지 않습니다.
Office Online Server 가상화 지원
Office Online Server 온-프레미스 데이터 센터에서 Windows Server Hyper-V 또는 기타 가상화 기술을 사용하여 배포할 때 지원됩니다. Office Online Server를 가상화할 계획이라면 다음 지침을 따르세요.
자체 가상 머신에 Office Online Server 설치합니다. 이 가상 머신에 SharePoint Server와 같은 다른 서버 애플리케이션을 설치하지 마세요.
다중 서버 Office Online Server 팜에 Hyper-V를 사용하는 경우 각 가상 머신은 별도의 가상 머신 호스트에 있어야 합니다. 이렇게 하면 호스트 중 하나가 실패하는 경우에도 Office Online Server 팜을 계속 사용할 수 있습니다.
Office Online Server의 방화벽 요구 사항
방화벽은 웹 브라우저, Office Online Server 실행되는 서버 및 SharePoint Server를 실행하는 서버 간의 통신을 차단하여 문제를 일으킬 수 있습니다. 서버가 네트워크의 서로 다른 부분에 있는 경우에는 이러한 문제가 더욱 복잡해질 수 있습니다.
Office Online Server 또는 부하 분산 장치를 실행하는 서버에서 다음 포트가 방화벽에 의해 차단되지 않는지 확인합니다.
HTTPS 트래픽용 포트 443
HTTP 트래픽용 포트 80
Office Online Server를 실행하는 서버 간의 전용 트래픽용 포트 809(다중 서버 팜을 설정하는 경우)
Office Online Server의 부하 분산 장치 요구 사항
둘 이상의 서버에서 Office Online Server를 실행할 때에는 부하 분산 솔루션을 사용하는 것이 좋습니다. ARR(응용 프로그램 요청 라우팅)을 실행하는 웹 서버(IIS) 역할의 서버를 포함하여 거의 모든 부하 분산 솔루션을 사용할 수 있습니다. 실제로 Office Online Server를 실행하는 서버 중 하나에서 ARR을 실행할 수 있습니다.
다음 기능을 지원하는 부하 분산 솔루션을 확인해 보는 것이 좋습니다.
계층 7 라우팅
클라이언트 선호도 또는 프런트 엔드 선호도 사용
부하 분산 장치를 사용하는 경우 HTTPS를 사용하여 Office Online Server 통신 보안에 설명된 대로 부하 분산 장치에 인증서를 설치해야 합니다.
Office Online Server의 DNS 요구 사항
HTTPS 및 부하 분산을 사용하는 환경에서는 인증서의 FQDN(정규화된 도메인 이름)이 Office Online Server를 실행하는 서버의 IP 주소 또는 Office Online Server 팜용 부하 분산 장치에 할당된 IP 주소로 확인되도록 DNS를 업데이트해야 합니다.
Office Online Server용 언어 팩 계획
Office Online Server 언어 팩을 사용하면 SharePoint Server 문서 라이브러리, Outlook Web App(첨부 파일 미리 보기) 및 비즈니스용 Skype 서버(PowerPoint 브로드캐스트)에서 여러 언어로 웹 기반 Office 파일을 볼 수 있습니다. 그러나 이 기능은 호스트에 구성된 언어에 따라 달라집니다. 호스트에서 웹 기반 Office 파일을 다국어로 보려면 다음 사항을 충족해야 합니다.
호스트(예: SharePoint Server 또는 Exchange Server)는 추가 언어로 애플리케이션을 실행하도록 구성됩니다. 호스트에서 언어 팩을 설치 및 구성하는 프로세스는 Office Online Server 팜에 언어 팩을 설치하는 프로세스와 독립적으로 수행됩니다.
언어는 Office Online Server 팜의 모든 서버에서 설치되며 사용 가능합니다.
Office Web Apps Server용 언어 팩을 다운로드하는 위치는 다음과 같습니다.
Office Online Server 토폴로지 계획
최소한 Office Online Server 토폴로지에는 Office Online Server 실행되는 물리적 또는 가상 머신 하나와 하나 이상의 호스트(예: Exchange Server 또는 SharePoint Server를 실행하는 서버)가 포함됩니다. 물론 호스트 중 하나에 연결하고 기능을 사용하려면 클라이언트 PC 또는 디바이스가 필요합니다. 이 최소 토폴로지에서 조직의 요구 사항에 맞게 필요한 경우 Office Online Server 팜에 호스트와 서버를 추가할 수 있습니다.
다음은 Office Online Server 토폴로지가 복잡해짐에 따라 유의해야 할 권장 사항의 목록입니다.
중복성 계획. 가상 머신을 사용하는 경우 중복성을 위해 별도의 가상 머신 호스트에 배치해야 합니다.
한 데이터 센터 유지. Office Online Server 팜의 서버는 같은 데이터 센터에 있어야 합니다. 팜의 서버를 여러 지리적 위치에 분산시키지 마세요. 자체 Office Online Server 팜이 포함된 격리된 네트워크가 필요한 보안 요구 사항이 있는 경우를 제외하고는 팜은 일반적으로 하나만 있으면 됩니다.
호스트가 가까울수록 좋습니다. Office Online Server 팜이 제공하는 호스트와 동일한 데이터 센터에 있을 필요는 없지만 편집이 많은 경우 Office Online Server 팜을 가능한 한 호스트에 가깝게 배치하는 것이 좋습니다. 이는 주로 Office 파일을 보기 위해 Office Online을 사용하는 조직에서 덜 중요합니다.
연결을 계획합니다. Office Online Server 팜의 모든 서버를 서로만 연결합니다. 더 넓은 네트워크에 연결하려면 역방향 프록시 부하 분산 장치 방화벽을 통해 연결합니다.
HTTP 또는 HTTPS 요청을 허용하도록 방화벽 구성. Office Online Server를 실행하는 서버가 호스트에 대한 HTTP 또는 HTTPS 요청을 시작할 수 있도록 방화벽을 구성해야 합니다.
들어오고 나가는 통신 계획. 인터넷 연결 배포에서 나가는 모든 통신을 NAT 장치를 통해 라우팅합니다. 다중 서버 팜에서 들어오는 모든 통신을 부하 분산 장치를 통해 처리합니다.
Office Online Server 팜의 모든 서버가 도메인에 가입되어 있고 같은 OU(조직 구성 단위)에 속함. New-OfficeWebAppsFarm cmdlet에서 FarmOU 매개 변수를 사용하여 이 OU에 속하지 않은 다른 서버가 팜에 가입하지 않도록 합니다.
들어오는 모든 요청에 HTTPS(Hypertext Transfer Protocol Secure) 사용
IPsec이 네트워크에 배포되어 있으면 이를 사용하여 서버 간의 트래픽 암호화
인터넷을 사용하는 Office 기능 계획. 클립아트 및 번역 서비스와 같은 기능이 필요한 경우에 팜 서버에서 인터넷 관련 요청을 시작할 수 없으면 Office Online Server 팜에 대한 프록시 서버를 구성해야 합니다. 그러면 외부 사이트 관련 HTTP 요청이 허용됩니다.
Excel Online 외부 데이터 연결 계획
Excel Online에는 SharePoint Server 2013의 Excel Services 있는 것과 유사한 외부 데이터 연결 및 데이터 새로 고침 기능이 포함되어 있습니다. Excel Services SharePoint Server 2016의 SharePoint에서 제거되었습니다. 대신 Excel Online을 사용합니다.
포함된 데이터 연결에 대한 데이터 새로 고침은 표준 Office Online Server 설치에서 작동합니다. 그러나 ODC(Office 데이터 연결) 파일 지원 및 IT 관리 대시보드(SharePoint용 SQL Server 파워 피벗의 일부)를 비롯한 고급 기능을 사용하려면 Office Online Server 및 SharePoint Server 2016 간에 서버 간 인증을 구성해야 합니다.
Office Online Server 보안 계획
다음은 Office Online Server의 보안 지침에 대한 정보입니다.
HTTPS를 사용하여 Office Online Server 통신 보안 유지
Office Online Server HTTPS 프로토콜을 사용하여 SharePoint Server, 비즈니스용 Skype 서버 및 Exchange Server 통신할 수 있습니다. 프로덕션 환경에서는 HTTPS를 사용하는 것이 좋습니다. Office Online Server를 실행하는 서버(단일 서버를 사용하는 경우) 또는 부하 분산 장치(Office Online Server를 실행하는 여러 서버를 사용하는 경우)에 할당할 수 있는 인터넷 서버 인증서를 설치해야 합니다.
사용자 데이터가 없는 테스트 환경에서는 SharePoint Server 및 Exchange Server HTTP를 사용하고 인증서 요구 사항을 건너뛸 수 있습니다. 비즈니스용 Skype 서버 HTTPS만 지원합니다.
Office Online Server에서 사용하는 인증서는 다음 요구 사항을 충족해야 합니다.
인증서는 신뢰할 수 있는 인증 기관에서 발급된 것이어야 하며 SAN(주체 대체 이름) 필드에 Office Online Server 팜의 FQDN(정규화된 도메인 이름)이 포함되어 있어야 합니다. FQDN이 SAN에 없으면 인증서를 사용하려고 할 때 브라우저에 보안 경고가 표시되거나 응답이 처리되지 않습니다.
인증서에는 내보낼 수 있는 개인 키가 있어야 합니다. 이 옵션은 단일 서버 팜에서 IIS(인터넷 정보 서비스) 관리자 스냅인을 사용하여 인증서를 가져올 때 기본적으로 선택됩니다.
이름 필드는 신뢰할 수 있는 루트 인증 기관 저장소 내에서 고유해야 합니다. 이름 필드를 공유하는 인증서가 여러 개 있으면 New-OfficeWebAppsFarm cmdlet에서 어떤 인증서를 사용해야 하는지 알 수 없기 때문에 팜을 만들지 못합니다.
Office Online Server에는 특정 인증서 속성과 확장이 필요하지 않습니다. 예를 들면 클라이언트 EKU(확장된 키 사용) 확장이나 서버 EKU 확장이 필요하지 않습니다.
Windows Server에 "HTTP 활성화 허용" WCF(Windows Communication Foundation) 기능을 설치해야 합니다.
인증서는 다음과 같이 가져와야 합니다.
단일 서버 팜의 경우Office Online Server를 실행하는 서버에서 인증서를 직접 가져와야 합니다. 인증서를 수동으로 바인딩하지 마세요. 나중에 실행하는 New-OfficeWebAppsFarm cmdlet이 해당 작업을 수행합니다. 인증서를 수동으로 바인딩하면 서버가 다시 시작될 때마다 인증서가 삭제됩니다.
부하가 분산된 팜의 경우 SSL을 오프로드하는 경우 하드웨어 부하 분산 장치에서 인증서를 가져와야 합니다. SSL을 오프로드하지 않는 경우 Office Online Server 팜의 각 서버에 인증서를 설치해야 합니다.
참고
중요하지 않은 테스트 환경을 제외하고는 자체 서명된 인증서를 사용하지 마십시오.
하드웨어 부하 분산 장치에 SSL 오프로드 사용
새 Office Online Server 팜을 설치한 경우 SSL 오프로드는 기본적으로 Off로 설정됩니다. 그러나 팜의 각 Office Online Server에서 HTTP를 사용하여 부하 분산 장치와 통신할 수 있도록 SSL 오프로드를 On으로 설정하는 것이 좋습니다. SSL 오프로드를 On으로 설정하면 다음과 같은 이점도 얻을 수 있습니다.
인증서 관리 간소화
소프트 선호도 향상
성능 향상
참고
HTTP를 사용하는 경우 부하 분산 장치에서 Office Online Server 실행되는 서버로의 트래픽은 암호화되지 않으므로 네트워크 자체가 안전한지 확인해야 합니다. 전용 서브넷을 사용하면 트래픽을 보호하는 데 도움이 될 수 있습니다.
OU 구성원 자격을 기준으로 Office Online Server 팜에 참가할 수 있는 서버 제한
권한이 없는 서버용으로 조직 구성 단위를 만들고 나서 팜을 만들 때 FarmOU 매개 변수를 지정하면 권한 없는 서버가 Office Online Server 팜에 가입하지 못하도록 할 수 있습니다. FarmOU 매개 변수에 대한 자세한 내용은 New-OfficeWebAppsFarm을 참조하세요.
허용 목록을 사용하여 Office Online Server에 대한 호스트 액세스 제한
허용 목록은 원치 않는 호스트가 Office Online Server 팜에 연결하여 관리자 동의 없이 팜을 파일 작업에 사용하지 못하도록 하는 보안 기능입니다. 승인된 호스트를 포함하는 도메인을 허용 목록에 추가하면 Office Online Server에서 파일 검색, 메타데이터 검색, 파일 변경 등의 파일 작업 요청을 허용하는 호스트를 제한할 수 있습니다.
Office Online Server 팜을 만든 다음 허용 목록에 도메인을 추가할 수 있습니다. 허용 목록에 도메인을 추가하는 방법을 알아보려면 New-OfficeWebAppsHost를 참조하세요.
중요
허용 목록에 도메인을 추가하지 않으면 Office Online Server에서 모든 도메인 호스트에 대한 파일 요청을 허용합니다. 인터넷에서 Office Online Server 팜에 액세스할 수 있는 경우에는 이 목록을 비워 두지 마세요. 목록을 비워 두면 누구나 Office Online Server 팜을 사용하여 콘텐츠를 보고 편집할 수 있습니다.
Office Online Server에서 온라인 뷰어 계획
기본적으로 온라인 뷰어 기능은 Office Online Server를 설치하고 면 사용하도록 설정됩니다. 조직에서 온라인 뷰어를 사용하려는 경우 다음 지침을 검토하세요. 온라인 뷰어 내에서 일부 기능을 사용하지 않도록 설정해야 하는 경우도 있습니다. 이러한 지침은 Microsoft PowerShell cmdlet New-OfficeWebAppsFarm 및 Set-OfficeWebAppsFarm을 사용하여 설정된 매개 변수를 참조합니다.
온라인 뷰어에 대한 보안 고려 사항
온라인 뷰어를 사용하여 웹 브라우저에서 볼 수 있는 파일에는 인증이 필요하지 않아야 합니다. 즉 온라인 뷰어는 파일을 검색할 때 인증을 수행할 수 없기 때문에 이러한 파일은 공개적으로 사용할 수 있어야 합니다. 온라인 뷰어에서 사용하는 Office Online Server 팜은 인트라넷과 인터넷 모두가 아닌 둘 중 하나에만 액세스할 수 있도록 하는 것이 좋습니다. Office Online Server는 인트라넷 URL과 인터넷 URL 요청을 구분하지 않기 때문입니다. 예를 들면 인터넷 사용자가 인트라넷 URL을 요청할 수 있게 되므로, 내부 문서가 인터넷 사용자에게 제공되면 보안상 위험해질 수 있습니다.
같은 이유로 Office Online Server가 인터넷에만 연결하도록 설정하는 경우에는 온라인 뷰어에서 UNC 지원을 해제하는 것이 좋습니다. UNC 지원을 사용하지 않도록 설정하려면 Microsoft PowerShell cmdlet New-OfficeWebAppsFarm (새 팜의 경우) 또는 Set-OfficeWebAppsFarm (기존 팜의 경우)을 사용하여 OpenFromUncEnabled 매개 변수를 False로 설정합니다.
추가적인 보안 예방 조치로, 온라인 뷰어는 10MB 이하의 Office 파일만 볼 수 있도록 제한됩니다.
온라인 뷰어의 구성 옵션
New-OfficeWebAppsFarm(새 팜의 경우) 또는 Set-OfficeWebAppsFarm(기존 팜의 경우)에서 다음 Microsoft PowerShell 매개 변수를 사용하여 온라인 뷰어를 구성할 수 있습니다.
OpenFromUrlEnabled 온라인 뷰어를 설정하거나 해제합니다. 이 매개 변수는 URL 및 UNC 경로가 포함된 파일에 대한 온라인 뷰어 기능을 제어합니다. 기본적으로 새 Office Online Server 팜을 만들 때 이 매개 변수는 False(사용 안 함)로 설정됩니다.
OpenFromUncEnabled 온라인 뷰어가 설정되어 있을 때(OpenFromUrlEnabled를 사용하여 True로 설정) 이 매개 변수는 온라인 뷰어가 UNC 경로의 파일을 표시하는 기능을 설정하거나 해제합니다. 기본적으로 이 매개 변수는 True로 설정되지만, UNC 경로에서 파일을 열 수 있도록 설정하기 전에 OpenFromUrlEnabled도 True로 설정되어 있는지 확인해야 합니다. 위에서 설명한 바와 같이 인터넷에 연결하도록 Office Online Server를 설정한 경우 이 매개 변수를 False로 설정하는 것이 좋습니다.
OpenFromUrlThrottlingEnabled 일정 기간에 지정된 서버에서 보내는 URL 요청의 열기 횟수를 제한합니다. 기본 제한 값(구성 불가)을 사용하면 Office Online Server 팜이 온라인 뷰어에서 보려는 콘텐츠에 대한 요청을 보내 단일 서버가 과도하게 소모되지 않도록 합니다.
Office Online Server 업데이트 계획
Office Online Server를 배포하기 전에 조직에서 Office Online Server 팜의 소프트웨어 업데이트를 관리할 방법을 결정해야 합니다. 소프트웨어 업데이트는 서버 보안, 성능 및 안정성을 향상시키는 데 도움이 되지만 업데이트를 잘못 설치하면 Office Online Server에서 문제가 발생할 수 있습니다.
Microsoft 자동 업데이트 프로세스를 사용하여 Office Online Server를 업데이트하는 기능은 Office Online Server에서 지원되지 않습니다. Office Online Server 소프트웨어 업데이트 적용에 설명된 대로 Office Online Server 업데이트 특정 방식으로 적용해야 합니다. Office Online Server를 자동으로 업데이트하면 사용자가 Office Online에서 문서를 보거나 편집하지 못할 수 있습니다. 이 경우 Office Online Server 팜을 다시 빌드해야 합니다.
WSUS(Windows Server Update Services)를 사용하거나 WSUS를 사용하는 Microsoft 엔드포인트 Configuration Manager 사용하여 업데이트를 관리하는 것이 좋습니다. WSUS를 사용하면 Office Online Server 팜의 각 서버에서 Microsoft 업데이트를 통해 출시되는 업데이트 배포를 완벽하게 관리할 수 있습니다. 예를 들어 WSUS를 사용하면 서버 팜에 자동으로 적용할 수 있는 업데이트와 수동으로 적용해야 하는 업데이트(예: Office Online Server 업데이트)를 결정할 수 있습니다. WSUS에 대한 자세한 내용은 Windows Server Update Services 참조하세요.
WSUS 또는 Microsoft 엔드포인트 Configuration Manager 사용하지 않는 경우 Office Online Server 팜의 각 서버에서 Microsoft 자동 업데이트를 자동으로 다운로드하도록 설정하지만 설치를 사용자에게 알립니다. Office Online Server 업데이트에 대한 알림이 표시되면 Office Online Server 소프트웨어 업데이트 적용의 단계를 수행합니다. Windows 업데이트를 적용하고 서버의 보안을 유지하려면 업데이트를 사용할 수 있다는 알림을 받았을 때 Windows 업데이트를 수락하세요.
ULS 로그 2018 업데이트의 변경 내용
2018년 Office Online Server 업데이트에서는 아래에 자세히 설명된 ULS 로그 형식에 대한 몇 가지 변경 내용이 표시됩니다.
| 열 | 변경 |
|---|---|
| TimestampUtc |
|
| 프로세스 |
|
| ThreadId |
|
| 영역 |
|
| 범주 |
|
| Eventid |
|
| 수준 | (변경 내용 없음) |
| 메시지 |
|
| Correlation |
|