Outlook Anywhere에 대한 권장 사항

  • 아티클

 

적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

마지막으로 수정된 항목: 2007-10-24

이 항목에서는 Exchange 사용자의 인프라에서 Outlook Anywhere를 사용하기 위한 권장 사항을 제공합니다.

Microsoft Exchange에서 Outlook Anywhere를 사용할 경우에는 다음 구성을 사용하는 것이 좋습니다.

  • SSL(Secure Sockets Layer)을 통해 NTLM 인증   모든 클라이언트와 서버간 통신을 위해 클라이언트 액세스 서버 역할이 설치된 Microsoft Exchange Server 2007 컴퓨터에서 SSL을 사용하고 요구하는 것이 좋습니다. 또한 NTLM 인증을 사용하는 것이 좋습니다. 항상 SSL(포트 443)을 통해 HTTP 세션을 설정해야 합니다. SSL을 사용하는 Outlook Anywhere 인증을 구성하는 방법에 대한 자세한 내용은 Outlook Anywhere 보안 관리를 참조하십시오.

    중요

       NTLM을 처리하지 않는 방화벽을 사용하는 경우에는 SSL을 통한 기본 인증을 사용해야 합니다.

  • 주변 네트워크에서 고급 방화벽 서버 사용   Exchange 컴퓨터의 보안을 강화할 수 있도록 전용 방화벽 서버를 사용하는 것이 좋습니다. Microsoft ISA(Internet Security and Acceleration) 서버 2006은 전용 방화벽 서버 제품의 한 가지 예입니다. ISA 서버가 NTLM 인증 정보를 이해할 수 있으므로, ISA 서버 2006을 사용하면 기본 인증 대신에 NTLM 인증을 사용할 수 있습니다. 다른 방화벽 서버는 NTLM 인증을 사용하는 방법을 알고 있을 수 있습니다. 사용자의 방화벽 서버에서 NTLM 인증을 허용하는지 여부를 판별하려면 방화벽 제품에 대한 제품 설명서를 참조하십시오.

  • 타사의 CA(인증 기관)에서 인증서 얻기   클라이언트 액세스 서버와 Outlook 클라이언트 간의 모든 통신을 위해 SSL을 사용하고 요구하려면 기본 웹 사이트 수준에서 인증서를 얻고 게시해야 합니다. 다양한 웹 브라우저에서 해당 인증서를 신뢰하는 타사의 인증 기관으로부터 인증서를 구입하는 것이 좋습니다.

Exchange 2007 SP1(서비스 팩 1)의 외부에서 Outlook 사용 인증 옵션

기본적으로 Exchange 2007의 원본 릴리스(RTM) 버전에서는 기본 인증과 Windows 통합 인증에 모두 /rpc 가상 디렉터리가 사용되도록 설정되어 있지만 수정할 수는 없었습니다. 하나의 인증 방법만 사용하는 경우에도 /rpc 가상 디렉터리에 대해 항상 두 인증 방법을 모두 사용할 수 있었습니다. 이 점은 보안 취약점으로 확인되어 Exchange 2007 SP1에서는 이제 /rpc 가상 디렉터리에 하나의 인증 방법만을 사용하도록 선택할 수 있습니다. 권장되지는 않지만 기본 인증과 Windows 통합 인증을 모두 허용하도록 선택할 수도 있습니다.

Exchange 2007 SP1을 새로 설치할 경우 기본적으로 /rpc 가상 디렉터리에 대한 인증 방법은 외부에서 Outlook 사용 설정 마법사를 사용하여 외부에서 Outlook 사용을 설정할 때 선택하는 인증 방법과 동일합니다. Set-OutlookAnywhere cmdlet를 사용하여 IIS(인터넷 정보 서비스)에 대한 기본 인증 방법을 Windows 통합 인증이나 기본 인증 또는 모두로 수정할 수 있습니다. 외부에서 Outlook 사용 설정 마법사를 사용하는 대신 Enable-OutlookAnywhere cmdlet를 사용하여 외부에서 Outlook 사용을 구성할 수 있습니다.

중요

Exchange 2007의 RTM 버전을 Exchange 2007 SP1으로 업그레이드한 후에는 Set-OutlookAnywhere cmdlet를 사용하여 수동으로 하나의 인증 방법을 지정하는 것이 좋습니다.

외부에서 Outlook 사용을 위해 여러 인증 방법 사용

인증 위임을 수행하는 방화벽 서버를 배포할 경우 /rpc 가상 디렉터리에 대한 인증 방법을 클라이언트에서 사용하는 인증 방법과는 다른 방법으로 변경해야 합니다. 예를 들어, 인증 위임을 수행하는 방화벽 서버를 배포하는 경우 방화벽 서버는 NTLM 인증을 사용하여 클라이언트 액세스 서버를 인증하지만 클라이언트는 기본 인증을 사용합니다. 이 예에서 방화벽 서버는 사용자 인증 위임을 담당합니다. 이것이 IIS의 /rpc 가상 디렉터리가 NTLM 인증을 사용하도록 구성하는 이유입니다.

권장되지는 않지만 Exchange 2007 SP1에서는 IIS의 /rpc 가상 디렉터리에서 NTLM 인증과 기본 인증을 모두 사용하도록 구성할 수 있습니다. RPC over HTTP에 대한 추가 서비스가 외부에서 Outlook 사용 액세스를 제공하는 동일한 클라이언트 액세스 서버로 프록시 처리되면 일반적으로 두 인증 방법을 모두 사용할 수 있습니다. 이 예에서 각 서비스에는 두 인증 방법이 모두 필요합니다. IIS의 /rpc 가상 디렉터리에서 NTLM 인증과 기본 인증을 모두 사용하도록 구성하려면 다음 명령을 실행합니다.

Set-OutlookAnywhere -Name Server01 -IISAuthenticationMethod Basic,NTLM

자체 인증 기관 사용

Microsoft Windows의 인증 기관 도구를 사용하여 자체 인증 기관을 설치할 수 있습니다. 기본적으로 자체 인증 기관을 설치하면 응용 프로그램과 웹 브라우저에서 사용자의 루트 인증 기관을 신뢰하지 않습니다. Outlook Anywhere를 사용하여 Microsoft Office Outlook 2007 또는 Outlook 2003에서 연결을 시도하는 경우에는 사용자와 Microsoft Exchange의 연결이 끊어집니다. 사용자에게 알리지 않습니다. 다음 조건 중 하나가 만족되면 사용자의 연결이 끊어집니다.

  • 클라이언트가 인증서를 신뢰하지 않습니다.

  • 인증서가 클라이언트가 연결을 시도하는 이름과 일치하지 않습니다.

  • 인증서 날짜가 올바르지 않습니다.

따라서 클라이언트 컴퓨터가 인증 기관을 신뢰하는지 확인해야 합니다. 또한, 자체 인증 기관을 사용하는 경우에는 클라이언트 액세스 서버에 인증서를 발급할 때 해당 인증서의 일반 이름 필드나 발급 대상 필드에 인터넷에서 사용할 수 있는 클라이언트 액세스 서버의 URL과 동일한 이름이 들어있는지 확인해야 합니다. 예를 들어 일반 이름 필드 또는 발급 대상 필드에는 mail.contoso.com과 비슷한 이름이 포함되어야 합니다. 이 필드에는 컴퓨터의 내부 정규화된 도메인 이름이 포함될 수 없습니다. 예를 들어 mycomputer.contoso.com과 비슷한 이름이 포함될 수 없습니다.

자세한 내용

Outlook Anywhere에 대한 자세한 내용은 다음 항목을 참조하십시오.