프런트 엔드/백 엔드 토폴로지 검사 목록

  • 아티클

 

마지막으로 수정된 항목: 2005-05-24

다음 검사 목록에서는 프런트 엔드 서버, 백 엔드 서버 및 방화벽을 구성하는 데 필요한 단계를 요약합니다.

참고

다음 절차에는 레지스트리 편집에 관련된 정보가 포함되어 있습니다. 레지스트리 편집기를 잘못 사용하면 심각한 문제가 발생하여 운영 체제를 다시 설치해야 할 수도 있습니다. 레지스트리 편집기를 잘못 사용하여 발생할 수 있는 문제는 Microsoft에서 해결하지 못할 수도 있습니다. 레지스트리 편집기를 사용하여 발생하는 모든 위험은 전적으로 사용자 책임입니다. 레지스트리 편집 방법에 대한 자세한 내용은 레지스트리 편집기(Regedit.exe)에서 "키와 값 변경" 도움말 항목이나 Regedt32.exe에서 "레지스트리에서 정보 추가 및 삭제" 또는 "레지스트리 정보 편집" 도움말 항목을 참조하십시오. 레지스트리를 편집하려면 먼저 레지스트리를 백업해야 합니다. 또한 응급 복구 디스크(ERD)를 업데이트해야 합니다.

참고

다음 표는 프런트 엔드/백 엔드 토폴로지 작업을 표 형식의 검사 목록 형식으로 보여 줍니다.

프런트 엔드 서버 구성

작업

1단계. Exchange 서버 설치:

프런트 엔드 서버에 Exchange 서버를 설치합니다.

2단계. 필요한 경우 사서함 및 공용 저장소에 액세스하도록 프런트 엔드 서버에 HTTP 가상 서버 또는 디렉터리 구성:

추가 가상 서버에 대해 SMTP 도메인, IP 주소, 호스트 헤더 또는 포트를 지정합니다. 기본 인증 확인란을 선택한 상태로 둡니다.

공용 저장소의 추가 가상 디렉터리에 대해 적합한 공용 저장소 루트를 지정합니다.

사서함 저장소의 추가 가상 디렉터리에 대해 SMTP 도메인을 지정합니다.

3단계. 필요 없는 서비스 사용 안 함:

사용 중인 프로토콜에 필요하지 않은 서비스를 중지합니다.

4단계. 필요한 경우 저장소 분리 및 삭제:

SMTP를 사용하지 않는 경우 모든 사서함 저장소를 분리하고 삭제합니다.

SMTP를 실행하는 경우 사서함 저장소를 분리하지 않고 사서함 저장소에 사서함이 포함되지 않는지 확인합니다. 공용 폴더에 대한 많은 양의 외부 전자 메일을 받은 경우 공용 저장소를 탑재할 수 있습니다. 그러면 공용 폴더에 대한 메일 전달 성능이 향상됩니다.

5단계. 필요에 따라 프런트 엔드 서버 부하 분산을 설정:

모든 프런트 엔드 서버에 부하 분산을 설치합니다.

(권장) 클라이언트 접근 허용을 사용 가능으로 설정합니다.

6단계. SSL 구성(권장):

옵션 1: 프런트 엔드 서버에서 SSL을 구성합니다.

옵션 2: 클라이언트와 프런트 엔드 서버 사이에서 서버를 설정하여 SSL 해독을 오프로드합니다.

7단계. 주변 네트워크를 사용하는 경우:

참고

주변 네트워크에서는 프런트 엔드 서버 대신 고급 방화벽 서버(예: ISA Server)를 사용하는 것이 좋습니다. 자세한 내용은 주변 네트워크의 고급 방화벽을 참조하십시오.

DisableNetlogonCheck 레지스트리 키를 만들고 REG_DWORD 값을 1로 설정합니다.

LdapKeepAliveSecs 레지스트리 키를 만들고 REG_DWORD 값을 0으로 설정합니다.

특정 도메인 컨트롤러와 글로벌 카탈로그 서버에만 연결하도록 프런트 엔드를 제한하려면 프런트 엔드 서버의 Exchange System Manager에서 해당 도메인 컨트롤러와 글로벌 카탈로그 서버를 지정합니다.

8단계. 주변 네트워크를 사용하지만 인트라넷 방화벽을 통한 RPC를 허용하지 않을 경우:

참고

프런트 엔드 서버에서 인증을 해제하면 익명 요청이 백 엔드 서버에 전달될 수 있습니다.

프런트 엔드 서버에서 인증을 해제합니다.

9단계. 필요한 경우 프런트 엔드 서버에서 IPSec 정책을 만듭니다.

백 엔드 서버 구성

작업
  1. HTTP 가상 서버 또는 디렉터리를 만들어 프런트 엔드와 일치하도록 구성합니다.
  2. 추가 가상 서버에 대해 호스트 헤더와 IP 주소를 적절하게 설정합니다. TCP 포트는 80이어야 합니다. 기본 인증Windows 통합 인증 확인란을 모두 선택해야 합니다.
  3. 공용 폴더 저장소의 추가 가상 디렉터리에 대해 프런트 엔드 서버에서 구성한 루트와 일치하도록 적합한 공용 폴더 저장소 루트를 지정합니다.
  4. 사서함 저장소의 추가 가상 디렉터리에 대해 SMTP 도메인을 지정합니다.

방화벽 구성

작업

1단계. 인터넷과 프런트 엔드 서버 사이에 인터넷 방화벽 구성:

메일 프로토콜에 대해 인터넷 방화벽에서 TCP 포트 열기:

443(HTTPS)

993(SSL 사용 IMAP)

995(SSL 사용 POP)

25(SMTP, TLS 포함)

2단계: (계속) ISA Server를 사용하는 경우 다음과 같이 구성합니다.

SSL 수신기를 구성합니다.

ISA Server의 외부 IP 주소를 포함하는 대상 집합을 만듭니다. 이 대상 집합은 웹 게시 규칙에 사용됩니다.

요청을 내부 프런트 엔드 서버로 리디렉션하는 웹 게시 규칙을 만듭니다.

보내는 트래픽에 대해 ISA Server의 포트를 열도록 프로토콜 규칙을 만듭니다.

Outlook Web Access에 대한 ISA 서버를 구성합니다. Outlook Web Access에 대한 ISA 서버 구성 방법은 Microsoft 기술 자료 문서 307347, "ISA server 안의 보안 OWA 게시는 사용자 지정 HTTP 헤더가 필요하다"를 참조하십시오.

3단계. 주변 네트워크에서 프런트 엔드 서버를 사용할 경우 인트라넷 방화벽을 구성합니다.

사용 중인 프로토콜에 대한 인트라넷 방화벽에서 TCP 포트 열기:

  • 80(HTTP)
  • 143(IMAP)
  • 110(POP)
  • 25(SMTP)
  • 691(연결 상태 알고리즘 라우팅 프로토콜)

Active Directory 통신을 위한 포트 열기:

  • TCP 포트 389(LDAP(Directory Service))
  • UDP 포트 389(LDAP(Directory Service))
  • TCP 포트 3268(LDAP(글로벌 카탈로그 서버))
  • TCP 포트 88(Kerberos 인증)
  • UDP 포트 88(Kerberos 인증)

DNS 서버 액세스에 필요한 포트 열기:

  • TCP 포트 53
  • UDP 포트 53

RPC 통신에 적합한 포트 열기:

  • TCP 포트 135 - RPC 종점 매퍼
  • TCP 포트 1024+ - 임의 RPC 서비스 포트

(옵션) 인트라넷 방화벽에서 RPC를 제한하려면 인트라넷에 있는 서버의 레지스트를 편집하여 RPC 트래픽을 특정 포트로 지정합니다. 그런 다음 내부 방화벽에서 적합한 포트를 엽니다.

  • TCP 포트 135 - RPC 종점 매퍼
  • TCP 포트 1600(예) – RPC 서비스 포트

프런트 엔드 및 백 엔드 서버 간에 IPsec을 사용하려면 적합한 포트를 엽니다. 구성한 정책이 AH만 사용하는 경우 ESP를 허용할 필요가 없으며 그 반대의 경우도 마찬가지입니다.

  • UDP 포트 500 – IKE
  • IP 프로토콜 51 - AH
  • IP 프로토콜 50 – ESP
  • UDP 포트 88 및 TCP 포트 88 – Kerberos