여러 Active Directory 포리스트를 사용한 하이브리드 배포

  • 아티클

 

**적용 대상:**Exchange Online, Exchange Server, Exchange Server 2013

**마지막으로 수정된 항목:**2016-12-09

온-프레미스 Active Directory 포리스트가 여러 개이고 Office 365 테넌트가 하나인 조직에서는 Exchange 2010, Exchange 2013 이상 하이브리드 배포가 지원됩니다. 하이브리드 배포 기능 및 고려 사항과 관련하여 다중 포리스트 조직은 Exchange 서버가 여러 Active Directory 포리스트에 배포된 조직으로 정의됩니다. 사용자 계정에는 리소스 포리스트를 사용하지만 모든 Exchange 서버를 단일 포리스트에서 유지 관리하는 조직은 하이브리드 배포 시나리오에서 다중 포리스트 조직으로 분류되지 않습니다. 하이브리드 배포를 계획 및 구성할 때 이러한 유형의 조직은 단일 포리스트 조직으로 간주해야 합니다.

온-프레미스 환경에서 Office 365로의 공용 폴더 마이그레이션은 단일 Active Directory 포리스트에서만 지원됩니다. 마찬가지로 하이브리드 상태에서의 공용 폴더 액세스는 온-프레미스 공용 폴더가 단일 Active Directory 포리스트에 있을 때만 지원됩니다.

중요

하이브리드 배포를 사용하려면 온-프레미스 조직에 설치한 Exchange 버전에 사용할 수 있는 최신 누적 업데이트가 필요합니다. 최신 누적 업데이트를 설치할 수 없으면, 바로 이전 릴리스도 지원됩니다. 오래된 누적 업데이트는 지원되지 않습니다. 자세한 내용은 하이브리드 배포 필수 구성 요소를 참조하세요.

하이브리드 배포에 대한 자세한 내용은 Exchange Server 하이브리드 배포를 참조하세요.

다중 포리스트 하이브리드 배포 필수 구성 요소

다중 포리스트 하이브리드 배포 필수 구성 요소는 단일 포리스트 조직의 하이브리드 배포 필수 구성 요소와 거의 동일합니다. 단, 다음 항목은 예외입니다.

  • 자동 검색   각 Exchange 포리스트에는 하나 이상의 SMTP 네임스페이스 및 해당 자동 검색 네임스페이스에 대한 권한이 있어야 합니다. 여러 Exchange 포리스트에서 공유하는 도메인이 있는 경우 메일 라우팅 및 자동 검색 끝점을 모두 구성하고 Exchange 포리스트 간에 정상적으로 작동하는지 확인한 후에 다중 포리스트 하이브리드 배포를 구성해야 합니다. Office 365 서비스가 각 Exchange 포리스트의 자동 검색 서비스를 쿼리할 수 있어야 합니다.

  • 인증서   모든 하이브리드 배포에는 신뢰할 수 있는 타사 CA(인증 기관)에서 발급한 디지털 인증서가 필요합니다. 다중 포리스트 하이브리드 배포에서는 여러 Active Directory 포리스트에 단일 디지털 인증서를 사용할 수 없습니다. 하이브리드 배포에서 보안 메일 전송이 정상적으로 작동하려면 각 포리스트가 전용 CA 발급 인증서를 사용해야 합니다. 다중 포리스트 조직의 각 포리스트에서 하이브리드 배포 기능에 사용되는 인증서는 다음 속성 중 하나 이상이 달라야 합니다.

    1. 일반 이름   디지털 인증서의 CN(일반 이름)은 인증서 주체의 일부분입니다. 이 이름은 인증 대상 호스트와 일치해야 하며, 보통 Active Directory 포리스트에 있는 클라이언트 액세스 서버의 외부 호스트 이름입니다. mail.contoso.com 등을 예로 들 수 있습니다. 다중 포리스트 하이브리드 배포에서 사용되는 Active Directory 포리스트 간을 구분하는 속성으로 CN을 사용하는 것이 좋습니다.

    2. 발급자   조직 정보를 확인하고 인증서를 발급한 타사 CA입니다. VeriSign 또는 Go Daddy 등을 예로 들 수 있습니다. 예를 들어 두 포리스트가 각각 VeriSign과 Go Daddy에서 발급한 인증서를 사용할 수 있습니다.

    중요

    하이브리드 배포에서 메일 전송에 사용되는 각 Active Directory 포리스트의 사서함 및 클라이언트 액세스 서버와 Edge 전송 서버(배포된 경우)에 설치되는 인증서는 모두 같은 CA에서 발급되어야 하며 일반 이름이 같아야 합니다.

  • Exchange 서버   하이브리드 배포용으로 구성된 각 Active Directory 포리스트에 클라이언트 액세스 서버 역할이 있는 하나 이상의 Exchange 2010이나 Exchange 2013 서버 또는 사서함 역할이 있는 하나의 Exchange 2016 이상 서버를 설치해야 합니다.

    Exchange 2010 및 Exchange 2013의 클라이언트 액세스 서버는 Office 365 테넌트 서비스에 포함된 EOP(Exchange Online Protection) 서비스용 인바운드 보안 메일 전송 끝점이며, Active Directory 포리스트에서 하이브리드 구성 마법사를 실행할 수 있도록 합니다. 또한 하이브리드 배포용으로 구성된 각 Active Directory 포리스트에 사서함 서버 역할이 있는 Exchange 서버도 하나 이상 설치해야 합니다. Exchange 2010 및 Exchange 2013 사서함 서버는 EOP 서비스와 Exchange Online 조직으로 전송되는 메시지용 아웃바운드 보안 메일 전송 끝점입니다.

    Exchange 2016 이상에서 사서함 서버 역할은 온-프레미스 조직과 Exchange Online 간의 모든 인바운드 및 아웃바운드 보안 전송을 처리합니다.

  • 네임스페이스 계획 Exchange를 설치하는 각 포리스트에는 외부에서 검색할 수 있는 고유한 네임스페이스가 필요합니다. 각 포리스트에서 실행할 때 하이브리드 구성 마법사에서 포리스트의 고유한 네임스페이스를 지정합니다.

  • Active Directory 동기화   모든 하이브리드 배포에는 Office 365와의 Active Directory 동기화가 필요합니다. 회사에서 이미 Forefront Identity Manager를 사용하여 다중 포리스트 온-프레미스 조직과 Office 365 간에 Active Directory 동기화를 설정한 경우 Azure Active Directory Connect를 사용할 수 있습니다.

  • Single Sign-On   단일 Active Directory 포리스트가 있는 하이브리드 배포에 반드시 필요한 것은 아니지만 관리자는 각 Active Directory 포리스트에서 SSO 서버를 구성할 수도 있고, 온-프레미스 포리스트 간에 양방향 포리스트 트러스트가 구성되어 있으면 단일 SSO 서버를 구성할 수도 있습니다. 원활한 사용자 인증 환경을 위해 AD FS 또는 암호 동기화를 사용합니다.

    자세한 내용은 하이브리드 배포 SSO(Single Sign-On)을 참조하세요.

하이브리드 배포 필수 구성 요소의 전체 목록은 하이브리드 배포 필수 구성 요소를 참조하세요.

다중 포리스트 하이브리드 배포 시나리오

다음 시나리오를 잘 살펴보시기 바랍니다. 이는 일반적인 Exchange 2013 배포에 대한 개요를 제공하는 토폴로지 예입니다. Contoso, Ltd.는 Active Directory 포리스트 두 개를 보유한 다중 포리스트/다중 도메인 조직입니다. 포리스트 A에는 contoso.com 도메인이 있고 포리스트 B에는 sale.contoso.com 도메인이 있습니다. 각 포리스트에는 도메인 컨트롤러가 포함되어 있습니다. 그 중 하나는 클라이언트 액세스 역할이 설치된 Exchange 2013 서버이고 다른 하나는 사서함 서버 역할이 설치된 Exchange 2013 서버입니다. 원격 Contoso 사용자는 사서함을 검사하고 Outlook 일정에 액세스하기 위해 인터넷에서 Outlook Web App를 사용하여 Exchange 2013에 연결합니다.

다중 포리스트를 사용한 하이브리드 배포 전

Contoso의 네트워크 관리자로서 하이브리드 배포 구성에 관심이 있다고 가정해보겠습니다. 포리스트 A에서 필수 Active Directory 동기화 서버를 배포 및 구성합니다. 그와 동시에 포리스트 A의 Office 365 서비스에 액세스하는 Contoso 사용자 및 관리자에 대한 계정 자격 증명의 프롬프트 수를 최소화하기 위한 옵션으로 ADFS(Active Directory Federation Services) 서버를 배포하기로 결정합니다. 하이브리드 배포 필수 구성 요소 설치를 완료하고 하이브리드 구성 마법사를 사용하여 하이브리드 배포를 위한 옵션을 선택하면 새로운 토폴로지에는 다음과 같은 구성이 적용됩니다.

  • 사용자는 온-프레미스 조직과 Exchange Online 조직에 로그온하기 위해 기존 네트워크 계정 자격 증명을 사용합니다("Single Sign-On").

  • 온-프레미스와 Exchange Online 조직에 있는 사용자 사서함은 동일한 전자 메일 주소 도메인을 사용합니다. 예를 들어 포리스트 A 온-프레미스에 있는 사서함과 Exchange Online 조직에 있는 일부 사서함은 사용자 전자 메일 주소에 @contoso.com을 사용하고 포리스트 B에 있는 사서함과 Exchange Online 조직에 있는 일부 사서함은 @sales.contoso.com을 사용합니다.

  • 모든 메일은 온-프레미스 조직에 의해 인터넷으로 배달됩니다. 온-프레미스 조직은 모든 메시징 전송을 제어하고 Exchange Online 조직의 릴레이 역할을 합니다("중앙 집중식 메일 전송").

  • 온-프레미스와 Exchange Online 조직 사용자는 약속 있음/없음 일정 정보를 서로 공유할 수 있습니다. 두 조직에 구성된 조직 관계를 통해 크로스-프레미스 메시지 추적, 메일 설명, 메시지 검색을 할 수 있습니다.

  • 온-프레미스와 Exchange Online 사용자는 인터넷상에서 동일한 URL을 사용하여 자신의 사서함에 접속합니다.

다중 포리스트를 사용한 하이브리드 배포 후

Contoso의 기존 조직 구성과 하이브리드 배포 구성을 비교해 보면 하이브리드 배포 구성에 추가 통신을 지원하는 서버와 서비스 그리고 온-프레미스 조직과 Exchange Online 조직 간에 공유되는 기능이 추가되었음을 알 수 있습니다. 다음은 하이브리드 배포가 초기 온-프레미스 Exchange 조직에서 만들어졌다는 변경에 대한 개요입니다.

구성 혼성 배포 전 하이브리드 배포 후

사서함 위치

온-프레미스 사서함만 해당.

온-프레미스와 Exchange Online에 있는 사서함.

메시지 전송

온-프레미스 클라이언트 액세스 서버는 모든 인바운드 및 아웃바운드 메시지 라우팅을 처리합니다.

온-프레미스 클라이언트 액세스 서버는 온-프레미스 및 Exchange Online 조직 간 내부 메시지 라우팅을 처리합니다.

Outlook Web App

온-프레미스 클라이언트 액세스 서버는 모든 Outlook Web App 요청을 수신하고 사서함 정보를 표시합니다.

온-프레미스 클라이언트 액세스 서버는 Outlook Web App 요청을 온-프레미스 Exchange 2013 사서함 서버에 리디렉션하거나 Exchange Online 조직에 로그온하기 위한 링크를 제공합니다.

두 조직에 대한 통합 GAL

해당 없음, 단일 조직만 해당.

온-프레미스 Active Directory 동기화 서버는 메일 사용이 가능한 개체에 대한 Active Directory 정보를 Exchange Online 조직에 복제합니다.

두 조직에 사용된 Single Sign-On

해당 없음, 단일 조직만 해당.

온-프레미스 ADFS(Active Directory Federation Services) 서버는 온-프레미스 또는 Office 365 조직에 있는 사서함에 대해 Single Sign-On 자격 증명을 사용하도록 지원합니다.

조직 관계 및 Azure AD 인증 시스템과의 페더레이션 트러스트가 설정됨

Azure AD 인증 시스템과 설정한 트러스트 관계 및 다른 페더레이션 Exchange 조직과 맺은 조직 관계를 구성할 수 있습니다.

Azure AD 인증 시스템과 설정한 트러스트 관계가 필요합니다. 온-프레미스 조직과 Exchange Online 조직 간에 조직 관계가 설정됩니다.

약속 있음/없음 공유

온-프레미스 사용자 간의 약속 있음/없음 공유.

온-프레미스 사용자와 Exchange Online 사용자 간의 약속 있음/없음 공유.

다중 포리스트 조직에서 하이브리드 배포 구성

다중 포리스트 조직에 대한 하이브리드 배포를 구성하려면 아래의 기본 단계를 완료해야 합니다.

  1. 하이브리드 배포 필수 구성 요소가 충족되었는지 확인합니다. 이 항목의 앞부분과 하이브리드 배포 필수 구성 요소에 나와 있는 필수 구성 요소를 참조하세요. 일반적으로는 포리스트 하나에만 Active Directory 동기화 서버를 설치하면 됩니다. 포리스트 간에 양방향 포리스트 트러스트가 구성되어 있지 않은 경우 Single Sign-On을 사용하도록 설정하려면 AD FS(Active Directory Federation Services)를 사용하는 Azure AD Connect(Azure Active Directory Connect)가 있는 서버를 각 포리스트에 설치해야 합니다.

  2. 이 항목의 앞부분에 나와 있는 요구 사항을 충족하는 각 Active Directory 포리스트용으로 타사 CA 인증서를 받습니다.

  3. 각 포리스트의 모든 Exchange 2013 클라이언트 액세스 및 사서함 서버 또는 Exchange 2016 사서함 서버에 인증서를 설치합니다.

  4. 기본 포리스트에 대해 하이브리드 구성 마법사를 사용하여 하이브리드 배포 만들기 항목에 나와 있는 단계를 완료합니다.

    중요

    하이브리드 구성 마법사에서 기본 포리스트용으로 지정된 인증서를 선택하고 포리스트의 기본 SMTP 도메인을 선택합니다.

  5. 보조 포리스트에 대해 하이브리드 구성 마법사를 사용하여 하이브리드 배포 만들기 항목에 나와 있는 단계를 완료합니다.

    중요

    하이브리드 구성 마법사에서 보조 포리스트용으로 지정된 인증서를 선택하고 포리스트의 기본 SMTP 도메인을 선택합니다.