RPC over HTTP 인증 및 보안

아티클
10/25/2013

마지막으로 수정된 항목: 2005-05-18

RPC over HTTP를 사용할 경우 인증 및 보안상 장점은 다음과 같습니다.

Microsoft® Office Outlook® Web Access, Microsoft Exchange ActiveSync® 또는 Outlook Mobile Access에 대해 이미 허용한 인터넷 포트 외에 다른 인터넷 포트를 허용할 필요가 없습니다.
SSL(Secure Sockets Layer)을 사용해야 합니다.
Outlook에서 인증된 요청을 보내야 합니다.
RPC 프록시 서버와 Exchange 서버에서 RPC over HTTP를 사용하는 Outlook 요청을 인증합니다.
종점 매퍼를 표시하지 않습니다.
클라이언트 컴퓨터에서는 지정한 Exchange 서버의 지정한 Exchange 서비스에만 액세스할 수 있습니다.

HTTP 인증

RPC 프록시 서버의 인터넷 정보 서비스(IIS)는 HTTP 세션 인증을 제어합니다. RPC 프록시 서버를 구성할 때 기본 인증, NTLM 인증 또는 기본 인증과 NTLM 인증 둘 다를 사용할 RPC 가상 디렉터리를 설정해야 합니다. Outlook 프로필 구성 방법에 따라 Outlook에서는 HTTP 세션에 대해 기본 인증 또는 NTLM 인증을 보낼 수 있습니다. RPC 프록시 서버 ISAPI(Internet Server API)는 익명으로 인증된 연결을 수락하지 않습니다.

참고

Exchange Server 2003 SP1(서비스 팩 1)에서 Exchange System Manager를 사용하여 RPC over HTTP를 구성하는 경우 RPC 가상 디렉터리에 대한 인증 설정이 자동으로 구성됩니다.

참고

NTLM 인증을 Windows 통합 인증이라고도 합니다.

Outlook 프로필에서 구성하는 인증 메커니즘은 RPC 프록시 서버에 대한 HTTP 세션에만 사용됩니다. RPC over HTTP를 사용하여 Outlook에서 Exchange 서버에 액세스할 때 Outlook과 Exchange 서버 간의 인증 메커니즘은 항상 NTLM입니다. RPC 프록시 서버에 대한 HTTP 세션에는 SSL 암호화를 사용해야 합니다. 특히 HTTP 세션에 기본 인증을 사용하는 경우 반드시 SSL 암호화를 사용해야 합니다. SSL 암호화를 사용하는 경우 사용자 이름과 암호가 일반 텍스트로 전송되지 않도록 방지할 수 있습니다. Outlook에서는 SSL 암호화를 사용하지 않고 RPC 프록시 서버에 연결할 때 기본 인증을 사용할 수 없습니다.

HTTP 트래픽을 검사하고 어떤 방식으로든 수정하는 방화벽이 있을 경우 NTLM 인증 대신 기본 인증을 사용해야 합니다. RPC 프록시 서버에서 인증 정보를 신뢰하지 않는 경우 NTLM 인증이 실패합니다. 예를 들어 수정하지 않고 HTTPS(SSL) 세션을 Exchange 서버에 전송하는 대신 인터넷에서 세션을 종료하고 RPC 프록시 서버에 새 세션을 설정하는 방화벽이 있을 수 있습니다. 이러한 프로세스를 역방향 프록시 또는 웹 게시라고 합니다. Microsoft Internet Security and Acceleration(ISA) Server 2004와 같은 특정 방화벽은 세션에 대해 역방향 프록시 또는 웹 게시를 실행할 수 있으며 여전히 NTLM 인증을 허용합니다.

참고

ISA Server 2000에서는 세션에 대해 역방향 프록시 또는 웹 게시를 실행할 수 없으며 여전히 NTLM 인증을 허용합니다.

기본 인증은 역방향 프록시 또는 웹 게시에 의해 영향을 받지 않으며 방화벽과 상관없이 작동합니다. 그러나 기본 인증을 사용하는 경우 Outlook 세션을 시작할 때마다 도메인, 사용자 이름 및 암호를 입력해야 합니다.

기본 인증 및 NTLM 인증

다음 표에서는 기본 인증과 NTLM 인증의 몇 가지 차이점을 보여 줍니다.

기본 인증	NTLM 인증
클라이언트 컴퓨터에서 사용자 이름 및 암호를 일반 텍스트로 보냅니다. 기본 인증을 사용할 경우 항상 SSL을 사용해야 합니다. Outlook에서는 SSL을 선택한 경우에만 기본 인증을 선택할 수 있습니다. RPC 프록시 서버에서도 SSL이 필요합니다.	클라이언트 컴퓨터에서 로그온 요청을 서버에 보냅니다. 서버에서는 임의로 생성된 "토큰" 또는 시도를 클라이언트 컴퓨터에 회신합니다. 클라이언트 컴퓨터는 현재 로그온한 사용자의 암호화로 보호된 암호를 시도로 해싱하여 결과 "응답"을 서버에 보냅니다. 서버에서는 시도로 해싱된 응답을 받아서 적절한 응답과 비교합니다. 서버에서는 생성된 원래 토큰의 복사본을 사용하여 고유 사용자 계정 데이터베이스에서 사용자의 암호 해시에 대해 해싱합니다. 받은 응답이 예상 응답과 일치할 경우 사용자는 호스트에서 성공적으로 인증됩니다.
기본 인증을 역방향 프록시 방화벽과 함께 사용할 수 있습니다.	NTLM 인증은 일부 역방향 프록시 방화벽과 함께 사용할 수 없습니다. 방화벽에서 트래픽을 검사하고 수정할 경우 NTLM 인증이 무효화될 수 있습니다.
기본 인증에서는 사용자가 도메인, 사용자 이름 및 암호를 입력해야 합니다.	NTLM에서는 현재 Microsoft Windows® 운영 체제 로그온 정보를 사용할 수 있습니다.

클라이언트 컴퓨터에서 사용자 이름 및 암호를 일반 텍스트로 보냅니다.

기본 인증을 사용할 경우 항상 SSL을 사용해야 합니다.

Outlook에서는 SSL을 선택한 경우에만 기본 인증을 선택할 수 있습니다.

RPC 프록시 서버에서도 SSL이 필요합니다.

클라이언트 컴퓨터에서 로그온 요청을 서버에 보냅니다.

서버에서는 임의로 생성된 "토큰" 또는 시도를 클라이언트 컴퓨터에 회신합니다.

클라이언트 컴퓨터는 현재 로그온한 사용자의 암호화로 보호된 암호를 시도로 해싱하여 결과 "응답"을 서버에 보냅니다.

서버에서는 시도로 해싱된 응답을 받아서 적절한 응답과 비교합니다. 서버에서는 생성된 원래 토큰의 복사본을 사용하여 고유 사용자 계정 데이터베이스에서 사용자의 암호 해시에 대해 해싱합니다.

받은 응답이 예상 응답과 일치할 경우 사용자는 호스트에서 성공적으로 인증됩니다.

기본 인증을 역방향 프록시 방화벽과 함께 사용할 수 있습니다.

NTLM 인증은 일부 역방향 프록시 방화벽과 함께 사용할 수 없습니다.

방화벽에서 트래픽을 검사하고 수정할 경우 NTLM 인증이 무효화될 수 있습니다.

기본 인증에서는 사용자가 도메인, 사용자 이름 및 암호를 입력해야 합니다.

NTLM에서는 현재 Microsoft Windows® 운영 체제 로그온 정보를 사용할 수 있습니다.

RPC over HTTP에서 현재 Windows 운영 체제 로그온 정보를 사용하기 위한 요구 사항

RPC over HTTP에서 현재 Windows 운영 체제 로그온 정보를 사용하려면 다음 요구 사항이 충족되어야 합니다.

올바른 도메인 자격 증명을 사용하여 클라이언트 컴퓨터에 로그온해야 합니다.
Outlook 프로필에서 NTLM 인증을 선택해야 합니다.
방화벽에서 NTLM 인증을 허용해야 합니다. 방화벽에서 SSL 세션을 수정(포트 필터링)하지 않고 Exchange 서버에 전달하는 경우 또는 방화벽이 ISA Server 2004와 같은 고급 방화벽인 경우 NTLM 인증이 허용됩니다. ISA Server 2004에서는 Exchange 서버에 대해 역방향 프록시 웹 게시를 실행할 수 있으며 여전히 NTLM 인증을 허용합니다.
연결을 통해 NTLM 인증 정보를 자동으로 보냅니다. 다음 조건 중 하나에 해당하는 경우 NTLM 인증 정보가 자동으로 보내집니다.
- SSL을 통해 상호 인증을 수행하도록 Outlook을 구성합니다. 이 방법을 사용하는 것이 좋습니다.
- 클라이언트 컴퓨터의 LmCompatibilityLevel을 2 또는 3으로 설정해야 합니다.

LmCompatibilityLevel 설정에 대한 자세한 내용은 Microsoft 기술 자료 문서 820281 "Outlook 2003 RPC over HTTP 기능을 사용하여 Exchange Server 2003에 연결하는 경우에는 Windows 계정 자격 증명을 제공해야 한다"(https://go.microsoft.com/fwlink/?linkid=3052&kbid=820281)를 참조하십시오.

RPC 인증

RPC는 Exchange 서버에서 항상 NTLM 인증을 사용하도록 요청합니다.

SSL

클라이언트 컴퓨터에서 SSL에 사용되는 인증서를 신뢰해야 합니다. 클라이언트 컴퓨터에서 SSL에 사용되는 인증서를 신뢰하려면 다음 조건에 해당되어야 합니다.

인증서 이름이 액세스하는 웹 사이트와 일치해야 합니다.
인증서가 만료되지 않아야 합니다.
클라이언트 컴퓨터에서 인증서를 발급한 인증 기관을 신뢰해야 합니다.

프런트 엔드 Exchange 서버를 사용하도록 Outlook Web Access, Exchange ActiveSync 또는 기타 웹 서비스를 구성한 경우 인증서는 이 요구 사항을 충족시킵니다.

Microsoft Internet Explorer를 사용하여 RPC 가상 디렉터리를 찾아 인증서가 맞는지 확인할 수 있습니다. 인증서가 유효하지 않으면 Internet Explorer에서 경고 메시지가 나타납니다.

SSL 오프로드

RPC 프록시 서버의 방화벽이 SSL 세션을 종료하고 비-SSL 세션을 프런트 엔드 서버에 설정할 때 SSL 오프로드가 발생합니다. 특별히 새 SSL 세션을 설정하지는 않습니다.

SSL 오프로드를 사용하는 경우 비-SSL 세션을 수락하도록 RPC 프록시 서버에 지시하는 레지스트리 키를 설정해야 합니다. 이 레지스트리 키의 설정 방법에 대한 자세한 내용은 별도의 서버에서 SSL 오프로드를 허용하도록 RPC 프록시 서버를 구성하는 방법을 참조하십시오.

Share via