Active Directory 사이트 간 TLS를 사용하지 않도록 설정하여 WAN 최적화 지원

  • 아티클

 

적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3

마지막으로 수정된 항목: 2009-12-01

Microsoft Exchange Server 2007에서는 허브 전송 서버 간의 모든 SMTP 연결에 TLS(전송 계층 보안) 암호화가 필수입니다. 이를 통해 허브 간 통신의 전반적인 보안이 향상됩니다. 그러나 WOC(WAN 최적화 컨트롤러) 장치가 사용되는 특정 토폴로지의 경우, SMTP 트래픽의 TLS 암호화는 권장되지 않습니다. Exchange Server 2010에서는 이러한 특정 시나리오의 허브 간 통신에 TLS를 사용하지 않도록 설정할 수 있습니다.

다음 그림에 나오는 토폴로지를 살펴보겠습니다. 이 네 사이트 토폴로지는 두 개의 본점 사이트와 지점 2가 잘 연결되어 있고 본점 사이트 1과 지점 1의 연결은 WAN 링크인 경우를 가정한 것입니다. 회사는 이 링크에 WOC 장치를 설치하여 WAN을 통한 트래픽을 압축하고 최적화합니다.

WOC 장치가 있는 네트워크 토폴로지 예제

WAN 최적화 프로그램이 있는 샘플 토폴로지

이 토폴로지에서는 Exchange 2010이 허브 전송 서버 간 통신에 TLS 암호화를 사용하므로 WAN 링크를 통한 SMTP 트래픽을 압축할 수 없습니다. 이상적으로는, 잘 연결된 사이트 내에서 TLS 보안은 유지하면서 WAN 링크를 통한 모든 SMTP 트래픽은 암호화되지 않은 SMTP여야 합니다. Exchange 2010에서는 수신 커넥터를 구성하여 사이트 간 트래픽에 TLS 암호화를 사용하지 않도록 설정할 수 있습니다. Exchange 2010의 이러한 기능을 사용하면 다음 그림에 나오는 것처럼 본점 사이트 1과 지점 1 간의 SMTP 트래픽에 대한 예외를 구성할 수 있습니다.

기본 논리적 메시지 흐름

기본 논리적 메시지 흐름

권장되는 구성은 암호화되지 않은 SMTP 트래픽을 WAN 링크를 통과하는 메시지로 제한하는 것입니다. 따라서 모든 사이트에서 사이트 내부 허브 간 트래픽, 그리고 지점 1을 포함하지 않는 사이트 간의 허브 간 통신은 모두 TLS 암호화가 적용되어야 합니다.

이러한 최종 결과를 얻으려면 WOC 장치가 있는 사이트(예제 토폴로지에서는 본점 사이트 1과 지점 1)의 모든 허브 전송 서버에서 지정된 순서로 다음 작업을 수행해야 합니다.

  1. 낮은 수준의 Exchange 서버 인증을 사용하도록 설정합니다.

  2. WOC 장치가 있는 연결을 통한 트래픽을 처리할 수신 커넥터를 만듭니다.

  3. 새 수신 커넥터의 원격 IP 주소 범위 속성을 원격 사이트에 있는 허브 전송 서버의 IP 주소 범위로 구성합니다.

  4. 새 수신 커넥터에서 TLS를 사용하지 않도록 설정합니다.

또한 WAN을 통한 모든 SMTP 트래픽이 새로 만든 수신 커넥터에서 처리되도록 하려면 다음 작업을 수행해야 합니다.

  • 비 TLS 통신에 허브 사이트로 참여할 사이트에서 새 수신 커넥터를 통한 모든 메시지 흐름을 가져가도록 구성합니다(예제 토폴로지에서 본점 사이트 1과 지점 사이트 1).

  • 원격 사이트(예제 토폴로지에서 지점 1)로의 최소 비용 라우팅 경로가 WOC 장치가 있는 네트워크 링크를 통해 가도록 보장하는 방식으로 IP 사이트 링크 비용이 구성되어 있는지 확인합니다.

다음 섹션에서는 이들 각 단계에 대한 개요를 제공합니다. 허브 전송 서버에서 TLS를 사용하지 않도록 구성하는 방법에 대한 단계별 지침은 익명 TLS 연결 표시 안 함을 참조하십시오.

전송 서버 관리와 관련된 관리 작업에 대한 자세한 내용은 전송 서버 관리를 참조하십시오.

목차

TLS를 사용하지 않는 연결에 대한 인증 수준 낮추기

수신 커넥터 만들기 및 구성

허브 사이트 만들기

사이트 링크 비용 구성

TLS를 사용하지 않는 연결에 대한 인증 수준 낮추기

Kerberos 인증은 Exchange에서 TLS 암호화와 함께 사용됩니다. 허브 간 통신에 TLS를 사용하지 않도록 설정할 경우 다른 형식의 인증을 수행해야 합니다. Exchange 2010이 X-ANONYMOUSTLS를 지원하지 않는 Exchange(예: Exchange Server 2003)를 실행 중인 다른 서버와 통신하는 경우에는 GSSAPI(Generic Security Services Application Programming Interface) 인증을 대신 사용합니다. Exchange 2010 허브 전송 서버 간의 모든 통신은 X-ANONYMOUSTLS를 사용합니다. 허브 전송 서버가 낮은 수준의 Exchange 서버 인증을 사용하도록 구성하는 것은 사실상 다른 Exchange 2010 허브 전송 서버와 통신할 때 GSSAPI를 사용하도록 설정하는 것과 같습니다.

맨 위로 이동

수신 커넥터 만들기 및 구성

TLS 암호화되지 않은 트래픽을 처리하는 용도로만 사용될 수신 커넥터를 만들어야 합니다. 이러한 목적으로 별도의 수신 커넥터를 사용하면 WAN 링크를 통과하지 않는 모든 트래픽이 TLS 암호화로 보호된 상태를 유지할 수 있습니다.

새 수신 커넥터를 WAN을 통한 트래픽에만 제한하려면 원격 IP 주소 범위 속성을 구성해야 합니다. Exchange는 항상 가장 특정한 원격 IP 주소 범위를 가진 커넥터를 사용합니다. 따라서 모든 곳으로부터 메시지를 수신하도록 구성된 기본 수신 커넥터보다 이러한 새 커넥터가 우선적으로 사용됩니다.

예제 토폴로지로 돌아가, 클래스 C 서브넷 10.0.1.0/24가 본점 사이트 1에 사용되고 10.0.2.0/24가 지점 1에 사용되는 상황을 가정해 보겠습니다. 이 두 사이트 간에 TLS를 사용하지 않도록 설정하려면 다음과 같은 준비 작업이 필요합니다.

  1. 본점 사이트 1과 지점 1의 각 허브 전송 서버에 WAN이라는 수신 커넥터를 만듭니다.

  2. 본점 사이트 1의 새 수신 커넥터 각각에서 원격 IP 주소 범위를 10.0.2.0/24로 구성합니다.

  3. 지점 1의 새 수신 커넥터 각각에서 원격 IP 주소 범위를 10.0.1.0/24로 구성합니다.

  4. 모든 새 수신 커넥터에서 TLS를 사용하지 않도록 설정합니다.

그 최종 결과가 다음 그림에 나와 있습니다. WAN 수신 커넥터의 원격 IP 주소 범위 속성은 괄호 안에 표시됩니다. 편의상 지점 1에 허브 전송 서버 하나만 표시하고, 지점 2는 생략합니다.

수신 커넥터 구성

수신 커넥터 구성

맨 위로 이동

허브 사이트 만들기

기본적으로 Exchange 2010 허브 전송 서버는 특정 메시지의 최종 대상에 가장 가까운 허브 전송 서버로 직접 연결을 시도합니다. 예제 토폴로지에서 지점 2의 사용자가 지점 1의 사용자에게 메시지를 보내면 지점 2의 허브 전송 서버는 이 메시지를 배달하기 위해 지점 1의 허브 전송 서버에 직접 연결합니다. 해당 연결은 암호화되며, 이 특정한 토폴로지에서는 적합하지 않습니다. 그러한 메시지가 본점 사이트 1의 허브 전송 서버를 통과하게 하기 위해, WAN 링크로 전송되는 동안 암호화되지 않게 하려면 본점 사이트 1과 지점 1을 허브 사이트로 구성해야 합니다. 요약하자면, TLS를 사용하지 않도록 설정한 수신 커넥터와 허브 전송 서버가 있는 사이트는 허브 사이트로 구성해야 다른 사이트의 서버가 이 사이트를 통한 트래픽을 강제로 라우팅하게 할 수 있습니다. 허브 사이트에 대한 자세한 내용은 메시지 라우팅 이해에서 "허브 사이트 구현"을 참조하십시오.

맨 위로 이동

사이트 링크 비용 구성

허브 사이트를 구성하는 것만으로는 WAN 링크를 통한 모든 트래픽이 암호화되지 않도록 보장하기에 충분하지 않습니다. Exchange는 허브 사이트가 최소 비용 라우팅 경로에 있는 경우에만 이 허브 사이트를 통해 메시지를 라우팅하기 때문입니다. 예를 들어 위에서 살펴본 예제 토폴로지에 대한 IP 사이트 링크 비용이 다음 그림에 나오는 것처럼 Active Directory에 구성되어 있다고 가정해 보겠습니다(본점 사이트 2는 편의상 생략).

예제 토폴로지에 대한 IP 사이트 링크 비용

샘플 토폴로지의 IP 사이트 링크 순위

이 경우에는 직접 경로의 비용이 10인데 반해, 허브 사이트를 통과하는 지점 2에서 지점 1로의 총 경로 비용은 12(6+6)입니다. 따라서 지점 2에서 지점 1로 보내는 메시지는 본점 사이트 1을 통과하지 않으며, 모든 트래픽이 여전히 TLS 암호화된 상태로 유지됩니다.

이러한 문제를 방지하려면 다음 그림에 나오는 것처럼 지점 2와 지점 1 간의 IP 사이트 링크에 12보다 높은 Exchange 관련 비용을 지정해야 합니다. 이렇게 하면 모든 메시지가 본점 사이트 1과 지점 1 간의 암호화되지 않은 채널을 통과합니다.

Exchange 관련 IP 사이트 링크 비용이 구성된 예제 토폴로지

Exchange 순위가 있는 샘플 토폴로지

Exchange 관련 IP 사이트 링크 비용 구성에 대한 자세한 내용은 메시지 라우팅 이해에서 "IP 사이트 링크 비용 구성"을 참조하십시오.

맨 위로 이동

 © 2010 Microsoft Corporation. 모든 권리 보유.