시나리오: WAN 최적화 컨트롤러를 지원하도록 Exchange 구성

적용 대상: Exchange Server 2013

Microsoft Exchange Server 2013에서는 사서함 서버 간 전송 서비스의 모든 SMTP 통신에 대해 TLS(전송 계층 보안) 암호화를 반드시 사용해야 합니다. 이렇게 하면 사서함 서버 간의 전반적인 전송 서비스 통신 보안이 향상됩니다. 그러나 WOC(WAN 최적화 컨트롤러) 장치를 사용하는 특정 토폴로지에서는 SMTP 트래픽의 TLS 암호화가 적절하지 않을 수도 있습니다. 이러한 특정 시나리오에서는 사서함 서버 간의 전송 서비스 통신에 대해 TLS를 사용하지 않도록 설정할 수 있습니다.

다음 그림에 나오는 토폴로지를 살펴보겠습니다. 이 네 사이트 토폴로지는 두 개의 중앙 사무실 사이트와 지점 2가 제대로 연결되어 있고 중앙 사무실 사이트 1과 지점 1은 WAN 링크를 통해 연결되는 경우를 가정한 것입니다. 회사는 이 링크에 WOC 장치를 설치하여 WAN을 통한 트래픽을 압축하고 최적화합니다.

WOC 장치가 있는 네트워크 토폴로지 예제

이 토폴로지에서는 Exchange 2013에서 사서함 서버 간의 통신에 TLS 암호화를 사용하므로 WAN 링크를 통과하는 SMTP 트래픽을 압축할 수 없습니다. WAN 링크를 통과하는 모든 SMTP 트래픽은 암호화되지 않은 SMTP인 동시에 제대로 연결된 사이트 내에서는 TLS 보안을 유지하는 것이 좋습니다. Exchange 2013에서는 수신 커넥터를 구성하여 사이트 간의 트래픽에 대해 TLS 암호화를 사용하지 않도록 설정할 수 있는 옵션이 있습니다. Exchange 2013에서 이 기능을 사용하면 다음 그림에 나와 있는 것처럼 중앙 사무실 사이트 1과 지점 1 간의 SMTP 트래픽에 대해 예외를 구성할 수 있습니다.

기본 논리적 메시지 흐름

권장되는 구성은 WAN 링크를 통과하는 메시지에만 암호화되지 않은 SMTP 트래픽을 사용하는 것입니다. 따라서 모든 사이트의 사서함 서버 간 사이트 내 전송 서비스 통신과 지점 1을 포함하지 않는 사서함 서버 간의 사이트 간 전송 서비스 통신은 모두 TLS로 암호화해야 합니다.

최종적으로 이와 같이 구성하려면 WOC 장치가 포함된 사이트(예제 토폴로지의 중앙 사무실 사이트 1 및 지점 1)의 모든 사서함 서버에 대해 다음 작업을 지정된 순서로 수행해야 합니다.

1. 다운그레이드된 Exchange Server 인증을 사용하도록 설정합니다.

2. WOC 장치가 포함된 연결을 통과하는 트래픽을 처리하기 위한 전용 수신 커넥터를 만듭니다.

   1. 전용 수신 커넥터의 원격 IP 주소 범위 속성을 원격 Active Directory 사이트에 있는 사서함 서버의 IP 주소 범위로 구성합니다.

   2. 전용 수신 커넥터에 대해 TLS를 사용하지 않도록 설정합니다.

또한 사용자가 만든 전용 수신 커넥터에서 WAN을 통과하는 모든 SMTP 트래픽을 처리하도록 하기 위해 다음 작업을 수행해야 합니다.

• 비 TLS 통신에 참가할 Active Directory 사이트(예제 토폴로지의 중앙 사무실 사이트 1 및 지점 사이트 1)를 허브 사이트로 구성하여 모든 메시지가 전용 수신 커넥터를 통과하도록 강제 적용합니다.

• 원격 사이트(예제 토폴로지의 지점 1)에 대한 최저 비용 라우팅 경로가 WOC 장치를 포함하는 네트워크 링크를 통과하도록 Active Directory IP 사이트 링크 비용이 구성되어 있는지 확인합니다. 필요에 따라 Exchange 관련 비용을 Active Directory 사이트 링크에 할당합니다.

다음 섹션에서는 이러한 단계에 대해 간략하게 설명합니다. 이 시나리오로 조직을 구성하는 방법에 대한 단계별 지침은 Active Directory 사이트 간의 TLS를 사용 하지 않도록 설정을 참조하십시오.

TLS를 사용할 수 없는 연결을 통한 인증 다운그레이드

Exchange에서는 Kerberos 인증이 TLS 암호화와 함께 사용됩니다. 사서함 서버 간의 전송 서비스 통신에 대해 TLS를 사용하지 않도록 설정하는 경우에는 다른 형식의 인증을 수행해야 합니다. Exchange 2013에서는 X-ANONYMOUSTLS 를 지원하지 않는 다른 Exchange 실행 서버와 통신할 때 GSSAPI(Generic Security Services Application Programming Interface) 인증을 대신 사용합니다. Exchange 2013 사서함 서버 간의 모든 전송 서비스 통신에서는 X-ANONYMOUSTLS 를 사용합니다. 다운그레이드된 Exchange Server 인증을 사용하도록 사서함 서버의 전송 서비스를 구성하면 다른 Exchange 2013 사서함 서버와의 전송 서비스 통신에 GSSAPI 인증이 사용하도록 설정됩니다.

전용 수신 커넥터 만들기 및 구성

TLS로 암호화되지 않은 트래픽을 처리하는 용도로만 수신 커넥터를 만들어야 합니다. 이러한 목적으로 별도의 수신 커넥터를 사용하면 WAN 링크를 통과하지 않는 모든 트래픽이 TLS 암호화로 보호된 상태를 유지할 수 있습니다.

전용 수신 커넥터가 WAN을 통과하는 트래픽만 처리하도록 제한하려면 원격 IP 주소 범위 속성을 구성해야 합니다. Exchange에서는 항상 원격 IP 주소 범위가 가장 구체적인 커넥터를 사용합니다. 따라서 모든 위치의 메시지를 수신하도록 구성된 기본 수신 커넥터보다 이러한 새 커넥터가 우선적으로 사용됩니다.

예제 토폴로지로 돌아가, 클래스 C 서브넷 10.0.1.0/24가 중앙 사무실 사이트 1에 사용되고 10.0.2.0/24가 지점 1에 사용되는 상황을 가정해 보겠습니다. 이 두 사이트 간에 TLS를 사용하지 않도록 설정하려면 다음을 수행해야 합니다.

1. 중앙 사무실 사이트 1 및 지점 1의 각 사서함 서버에서 WAN이라는 수신 커넥터를 만듭니다.

2. 중앙 사무실 사이트 1의 각 전용 수신 커넥터에 대해 원격 IP 주소 범위 10.0.2.0/24를 구성합니다.

3. 지점 1의 각 전용 수신 커넥터에 대해 원격 IP 주소 범위 10.0.1.0/24를 구성합니다.

4. 모든 전용 수신 커넥터에 대해 TLS를 사용하지 않도록 설정합니다.

최종 결과는 다음 그림에 나와 있습니다(WAN이라는 Receive 커넥터의 원격 IP 주소 범위 속성이 괄호로 표시됨). 단일 사서함 서버만 지점 1에 표시되고, 명확성을 위해 지점 2는 생략됩니다.

수신 커넥터 구성

허브 사이트 구성

기본적으로 Exchange 2013 사서함 서버는 특정 메시지의 최종 대상에 가장 가까운 사서함 서버에 대한 직접 연결을 시도합니다. 예제 토폴로지에서 지점 2의 사용자가 지점 1의 사용자에게 메시지를 보내면 지점 2의 사서함 서버가 지점 1의 사서함 서버에 직접 연결하여 해당 메시지를 배달합니다. 해당 연결은 암호화되므로 이 특정 토폴로지에서는 적합하지 않습니다. 이러한 메시지가 중앙 사무실 사이트 1의 사서함 서버를 통과하여 WAN 링크를 통과할 때 암호화되지 않도록 하려면 중앙 사무실 사이트 1 및 지점 1을 허브 사이트로 구성해야 합니다. 요약하자면, 수신 커넥터가 TLS를 사용하지 않도록 설정된 사서함 서버를 포함하는 모든 사이트는 허브 사이트로 구성해야 다른 사이트의 서버가 해당 사이트를 통해 트래픽을 라우팅하도록 강제 적용할 수 있습니다. 자세한 내용은 Active Directory의 Exchange 메일 라우팅 설정 구성을 참조하십시오.

Exchange 관련 Active Directory 사이트 링크 비용 구성

허브 사이트를 구성하는 것만으로는 WAN 링크를 통과하는 모든 트래픽이 암호화되지 않도록 보장하기에 충분하지 않습니다. Exchange에서는 허브 사이트가 최저 비용 라우팅 경로에 있을 때만 허브 사이트를 통해 메시지를 라우팅하기 때문입니다. 예를 들어 예제 토폴로지의 IP 사이트 링크 비용이 다음 그림과 같이 Active Directory에서 구성된다고 가정해 보겠습니다(이해하기 쉽도록 중앙 사무실 사이트 2는 생략됨).

예제 토폴로지에 대한 IP 사이트 링크 비용

이 경우에는 직접 경로의 비용이 10인데 비해 허브 사이트를 통과하는 지점 2에서 지점 1로의 총 경로 비용은 12(6+6)입니다. 따라서 지점 2에서 지점 1로 보내는 메시지는 중앙 사무실 사이트 1을 통과하지 않으며, 모든 트래픽이 여전히 TLS로 암호화됩니다.

이러한 문제를 방지하려면 다음 그림에 나와 있는 것처럼 지점 2와 지점 1 사이의 IP 사이트 링크에 대해 12보다 높은 Exchange 관련 비용을 지정해야 합니다. 이렇게 하면 모든 메시지가 중앙 사무실 사이트 1과 지점 1 간의 암호화되지 않은 채널을 통과합니다.

Exchange 관련 IP 사이트 링크 비용이 구성된 예제 토폴로지

자세한 내용은 Active Directory의 Exchange 메일 라우팅 설정 구성을 참조하십시오.