Active Directory 포리스트 토폴로지
적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
마지막으로 수정된 항목: 2007-08-01
Microsoft Windows Server 2003과 Microsoft Exchange Server 2007은 모두 디렉터리 서비스를 위한 Active Directory 디렉터리 서비스에 의존하기 때문에 Exchange 2007을 Active Directory 구조에 통합하는 방법을 결정해야 합니다. Active Directory에는 다음과 같은 논리적 요소가 포함되며 이 요소들이 조합되어 Active Directory 토폴로지가 정의됩니다.
포리스트
하나 이상의 도메인
하나 이상의 Active Directory 사이트
Active Directory 포리스트
포리스트는 디렉터리 서비스의 가장 바깥쪽 경계를 나타냅니다. 포리스트는 연속적인 보안 컨텍스트 내에서 작동합니다. 즉, 한 포리스트 내의 모든 리소스는 포리스트에서의 위치와 관계없이 서로 암시적으로 트러스트합니다. 각 포리스트에는 공용 디렉터리 스키마가 있으며 디렉터리 서비스가 구성되어 있습니다. 포리스트는 하나 이상의 도메인으로 구성될 수 있습니다. 포리스트 토폴로지의 유형에는 단일 포리스트와 다중 포리스트 두 가지가 있습니다.
단일 포리스트 토폴로지
단일 포리스트 토폴로지에서는 Exchange가 전체 조직을 포괄하는 하나의 Active Directory 포리스트에 설치되고 모든 사용자 및 그룹 계정과 모든 Exchange 구성 정보가 동일한 포리스트에 위치합니다.
조직에 단일 Active Directory 포리스트가 있는 경우 이 포리스트에 Exchange 2007을 구현할 수 있습니다. 단일 포리스트 Exchange 디자인은 가장 다양한 전자 메일 시스템 기능을 제공하며 가장 효율적인 관리 모델을 갖추고 있기 때문에 권장되고 있습니다. 모든 리소스가 단일 포리스트에 포함되므로 단일 GAL(전체 주소 목록)에는 포리스트 전체의 사용자가 포함됩니다. 다음 그림에서는 이 시나리오를 보여줍니다.
단일 Active Directory 포리스트에서 Exchange를 구현하는 두 가지 예
.gif "단일 포리스트의 Exchange 배포")
단일 포리스트 옵션의 장점은 다음과 같습니다.
매우 다양한 전자 메일 시스템 기능을 제공합니다.
효율적인 관리 모델을 제공합니다.
기존 Active Directory 구조를 활용합니다.
기존 도메인 컨트롤러 및 글로벌 카탈로그 서버를 사용합니다.
GAL 동기화가 필요하지 않습니다.
단일 포리스트의 가장 큰 단점은 관리자가 Active Directory 및 Exchange 개체 관리에 대한 책임을 공유하거나 나누는 방법을 결정해야 한다는 것입니다.
다중 포리스트 토폴로지
단일 포리스트 토폴로지가 가장 풍부한 메시징 기능 집합을 제공하므로 권장되는 방법이기는 하지만 여러 가지 이유로 다중 포리스트를 구현해야 하는 경우도 있습니다. 몇 가지 경우를 들면 다음과 같습니다.
메시징 서비스를 분리해야 하는 여러 개의 업무 단위가 있습니다.
별도의 스키마 요구 사항이 적용되는 여러 개의 업무 단위가 있습니다.
합병, 인수 또는 매각이 진행됩니다.
어떤 이유로든지 업무 단위 간에 확실한 경계를 설정하려면 각 업무 단위마다 별개의 Active Directory 포리스트를 만들어야 합니다. Active Directory를 이렇게 구성할 경우 선호되는 Exchange 구현 방법은 Exchange 리소스 포리스트를 만드는 것입니다. Exchange 리소스 포리스트에 대한 자세한 내용은 이 항목 뒷부분의 "리소스 포리스트 토폴로지"를 참조하십시오.
그러나 여러 포리스트에서 자체 Exchange 인스턴스를 실행 중이거나 인수, 합병의 경우처럼 리소스 포리스트가 적합하지 않은 시나리오가 있습니다. 이러한 경우에는 상호 포리스트 토폴리지를 구현할 수 있습니다.
상호 포리스트 토폴로지
상호 포리스트 토폴로지에서는 한 회사가 여러 Active Directory 포리스트를 보유하며 각 포리스트에는 Exchange 조직이 포함됩니다. 리소스 포리스트 토폴로지와는 달리 사용자 계정이 사서함과 분리되지 않고 사용자 계정 및 연결된 사서함이 같은 포리스트에 있습니다.
상호 포리스트 토폴로지를 구현할 때의 가장 큰 장점은 Exchange 조직들 간에 데이터를 격리하고 보안 경계를 유지할 수 있다는 점입니다. 상호 포리스트 토폴로지의 단점은 다음과 같습니다.
다양한 메시징 기능이 제공되지 않습니다.
대상 포리스트에 대리인 연락처가 있거나 사서함 대리인을 동시에 이동하는 경우가 아니면 사서함을 한 포리스트에서 다른 포리스트로 이동할 때 사서함 위임 권한이 보존되지 않습니다.
약속 있음/없음 정보를 포리스트 간에 동기화하고 이 정보를 사용하여 모임 계획을 조정할 수 있지만 Microsoft Office Outlook의 다른 사용자의 폴더 열기 기능을 사용하여 다른 포리스트에 있는 사용자의 일정 자세히를 볼 수 없습니다.
다른 포리스트의 그룹이 연락처로 표시되기 때문에 그룹 구성원을 볼 수 없습니다. 연락처로 표시된 그룹이 포함된 포리스트에 메일을 보내기 전까지는 그룹 구성원이 확장되지 않습니다.
포리스트 간 디렉터리 개체의 동기화와 약속 있음/없음 정보의 복제가 필요합니다. 디렉터리 동기화에 가장 일반적으로 사용되는 솔루션은 MIIS(Microsoft Identity Integration Server) 2003 SP2(서비스 팩 2) 또는 Microsoft Windows Server Active Directory SP2용 Identity Integration 기능 팩입니다. Exchange 2007의 가용성 서비스를 사용하여 서로 다른 포리스트에 있는 Exchange 조직 간에 모임 있음/없음 정보와 일정 정보를 공유할 수 있습니다.
포리스트 간 토폴로지 내의 Exchange
.gif "다중 포리스트가 있는 복잡한 Exchange 조직")
리소스 포리스트 토폴로지
Exchange 실행 전용의 별도 Active Directory 포리스트를 설정해야 하는 경우가 일부 있습니다. 예를 들어 보유하고자 하는 기존의 Active Directory 포리스트가 있거나 Active Directory 개체와 Exchange 개체를 분리하여 관리해야 하는 경우 Exchange 실행 전용의 별도 Active Directory 포리스트를 설정해야 합니다. 별도의 전용 포리스트는 Exchange 리소스 포리스트라고 합니다. 리소스 포리스트 모델에서는 사용자, 컴퓨터 및 응용 프로그램 서버가 설치된 Active Directory 포리스트와는 별개의 Active Directory 포리스트에 Exchange가 설치됩니다. 일반적으로 Active Directory 관리와 Exchange 관리 간에 보안 경계가 필요한 회사에서 이 옵션을 사용합니다.
Exchange 리소스 포리스트는 Exchange 실행 및 사서함 호스팅 전용으로 사용됩니다. 사용자 계정은 계정 포리스트라는 하나 이상의 포리스트에 포함됩니다. 계정 포리스트는 Exchange 리소스 포리스트와는 별개입니다. 계정 포리스트와 Exchange 리소스 포리스트 간에는 단방향 트러스트가 생성되어 Exchange 포리스트가 계정 포리스트를 트러스트할 수 있게 되므로 계정 포리스트의 사용자에게 Exchange 리소스 포리스트의 사서함에 액세스할 수 있는 권한이 부여됩니다. Exchange 조직은 Active Directory 포리스트 경계를 통과할 수 없기 때문에 Exchange 리소스 포리스트에 생성된 각 사서함에는 Exchange 리소스 포리스트에 상응하는 사용자 개체가 있어야 합니다. Exchange 리소스 포리스트의 사용자 개체에는 사용자가 로그온하지 못하며 악용되지 못하도록 비활성화됩니다. 따라서 일반적으로 사용자는 복제된 계정이 있다는 사실조차 알지 못합니다. Exchange 리소스 포리스트의 계정은 비활성화되고 로그온 목적으로는 사용되지 않기 때문에 계정 포리스트에 있는 사용자의 실제 계정에 사서함에 로그온할 수 있는 권한이 부여되어야 합니다. Exchange 리소스 포리스트의 비활성화된 사용자 개체에 있는 msExchMasterAccountSID 특성에 계정 포리스트 사용자 개체의 보안 식별자(SID)를 포함시켜 액세스 권한을 부여합니다.
Exchange 리소스 포리스트를 사용할 때 디렉터리 동기화가 필요하지 않은 경우가 있습니다. Exchange 및 Outlook 관점에서는 디렉터리 서비스에 나열된 모든 개체가 단일 위치(이 경우에는 Exchange 리소스 포리스트를 호스팅하는 디렉터리 서비스)로부터 제공된 것입니다. 그러나 계정 포리스트에 GAL 관련 데이터가 있는 경우에는 GAL 사용을 위해 이 데이터를 Exchange 리소스 포리스트로 가져올 수 있도록 동기화가 이루어져야 합니다. 또한 계정 포리스트에 계정을 만들 때 Exchange 리소스 포리스트에 사서함이 있는 비활성화된 계정이 생성되도록 프로세스를 설정해야 할 수 있습니다.
계정 포리스트에서 활성화된 사용자는 리소스 포리스트의 비활성화된 사용자에 연결된 사서함과 연결됩니다. 이러한 구성에서는 사용자들이 다른 포리스트에 있는 사서함에 액세스할 수 있게 됩니다. 이 시나리오에서는 리소스 포리스트와 계정 포리스트 사이에 트러스트 관계를 구성해야 합니다. 또한 관리자가 계정 포리스트에 사용자를 만들 때마다 사서함과 연결된 비활성화된 사용자가 Exchange 리소스 포리스트에 생성되도록 준비 과정을 설정해야 할 수 있습니다.
모든 Exchange 리소스가 단일 포리스트에 포함되므로 단일 GAL에 포리스트의 모든 사용자가 포함됩니다. 전용 Exchange 포리스트를 구성하는 시나리오의 가장 큰 장점은 Active Directory 관리와 Exchange 관리 사이에 보안 경계가 형성된다는 점입니다.
이 토폴로지의 단점은 다음과 같습니다.
리소스 포리스트를 구현하면 Exchange와 Active Directory를 분리하여 관리할 수 있지만 리소스 포리스트를 배포하는 데 드는 비용이 이러한 분리 필요성보다 클 수 있습니다.
Exchange가 실행되는 Microsoft Windows 사이트에 도메인 컨트롤러와 글로벌 카탈로그 서버를 추가로 설치해야 하므로 비용이 증가합니다.
Active Directory 업데이트가 Exchange에 반영되도록 준비 과정이 필요합니다. 한 포리스트에서 개체를 만들었으면 다른 포리스트에서 해당 개체가 만들어졌는지 확인해야 합니다. 예를 들어 한 포리스트에서 사용자를 만든 경우 다른 포리스트에 해당 사용자의 개체 틀이 만들어졌는지 확인해야 합니다. 해당 개체를 수동으로 만들 수도 있고 프로세스를 자동화할 수도 있습니다.
리소스 포리스트 시나리오의 한 변형은 Exchange를 호스팅하는 포리스트 하나가 포함된 다중 포리스트입니다. Active Directory 포리스트가 여러 개 있을 경우 Exchange를 배포하는 방식은 포리스트 간에 유지해야 할 자치 정도에 따라 달라집니다. 디렉터리 개체에 대한 보안(포리스트) 경계가 필요하지만 Exchange 개체를 공유할 수 없는 업무 단위를 가진 회사에서는 포리스트 중 하나에 Exchange를 배포한 다음 다른 포리스트에 대한 사서함을 호스팅하는 데 사용하도록 선택할 수 있습니다. 모든 Exchange 리소스가 단일 포리스트에 포함되므로 단일 GAL에 전체 포리스트의 모든 사용자가 포함됩니다.
이 시나리오의 주요 장점은 다음과 같습니다.
기존 Active Directory 구조를 사용합니다.
기존 도메인 컨트롤러 및 글로벌 카탈로그 서버를 사용합니다.
포리스트 간에 엄격한 보안 경계를 제공합니다.
이 시나리오의 단점은 다음과 같습니다.
Active Directory 업데이트가 Exchange에 반영되도록 준비 과정이 필요합니다. 예를 들어 포리스트 A에 Active Directory 사용자를 만들면 사용 권한을 가진, 포리스트 B에서는 비활성화는 사서함 사용 가능 개체가 생성되는 스크립트를 만들 수 있습니다.
Active Directory와 Exchange 개체 관리에 대한 책임을 공유하거나 나누는 방법을 포리스트 관리자가 결정해야 합니다.
리소스 포리스트 토폴로지 내의 Exchange
.gif "리소스 포리스트가 있는 복잡한 Exchange 조직")
Active Directory 도메인
도메인은 집합적으로 관리되는 보안 주체 및 기타 개체의 그룹입니다. 도메인은 유연합니다. 도메인을 어떻게 구성하여 구현할지는 정해져 있지 않으며 관리자가 판단하여 결정할 수 있습니다. 예를 들어 도메인이 하나의 실제 위치에 있는 사용자 및 컴퓨터의 그룹을 나타낼 수도 있고, 다양한 위치 또는 지리적으로 넓은 지역에 걸쳐 있는 모든 사용자 및 컴퓨터를 나타낼 수도 있습니다. 관리 및 인프라 지원을 통합하는 경우 지원 비용 절감을 위해 넓은 지역에 걸쳐 도메인을 배포하는 것이 일반적입니다. 그러나 디렉터리 서비스의 범위가 커짐에 따라 최대한 효율적으로 적절한 리소스에 디렉터리 액세스를 지정할 수 있는 기능이 필요합니다.
Active Directory 사이트
Active Directory 사이트는 안정적인 연결을 갖춘 Active Directory 내에 있는 컴퓨터의 논리적 그룹을 나타냅니다. Active Directory 사이트를 사용할 경우 클라이언트 컴퓨터를 분할하여 특정 디렉터리 리소스 집합이나 그룹을 사용하도록 할 수 있습니다. Active Directory 사이트는 관리자가 Active Directory 액세스 및 복제를 구성할 수 있는 연결된 하나 이상의 TCP/IP 서브넷입니다. 이러한 서브넷은 물리적 토폴로지와 부합할 수도 있고 아닐 수도 있습니다.
다음 그림에서는 Active Directory 논리적 정의와 실제 위치 간의 몇 가지 일반적인 관계를 보여줍니다.
포리스트, 도메인, 위치 및 사이트
.gif "포리스트, 도메인, 위치 및 사이트")
Active Directory 배포 시나리오
Exchange와 Active Directory를 통합하는 시나리오는 다음 네 가지입니다.
단일 포리스트
리소스 포리스트
상호 포리스트
인수 및 합병
다음 표에는 각 시나리오의 장점이 요약되어 있습니다.
| Active Directory 시나리오 | 설명 | 이 시나리오를 사용하는 이유 |
|---|---|---|
단일 포리스트 |
사용자와 사서함이 같은 포리스트에 있습니다. |
|
리소스 포리스트 |
한 포리스트가 Exchange 실행 및 Exchange 사서함 호스팅 전용으로 사용됩니다. 사서함과 연관된 사용자 계정이 하나 이상의 별도의 포리스트에 있습니다. |
|
상호 포리스트 |
Exchange가 별도의 포리스트에서 실행되지만 전자 메일 기능은 전체 포리스트에서 사용할 수 있습니다. |
|
인수 및 합병 |
인수 및 합병의 경우 Exchange 조직들이 합병될 때까지 공존해야 하는 경우가 많습니다. 계획 시 고려할 사항은 마이그레이션과 관련된 몇 가지 사항만 추가하면 다중 포리스트 시나리오의 경우와 비슷합니다. |
인수 및 합병은 마이그레이션 문제에 보다 많이 주의를 기울여야 하는 다중 포리스트 배포의 특별한 경우입니다. |