Edge 구독 자격 증명 이해
적용 대상: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
마지막으로 수정된 항목: 2007-02-21
이 항목에서는 Edge 구독 프로세스에서 Microsoft Exchange Server 2007의 EdgeSync 동기화 프로세스 보안에 사용되는 자격 증명을 제공하는 방법과 Microsoft Exchange EdgeSync 서비스에서 해당 자격 증명을 사용하여 허브 전송 서버와 Edge 전송 서버 간에 보안 LDAP(Lightweight Directory Access Protocol) 연결을 설정하는 방법에 대해 설명합니다.
Edge 전송 서버를 Active Directory 디렉터리 서비스 사이트에 가입할 수 있습니다. Edge 전송 서버를 Active Directory 사이트에 가입하면, 해당 Edge 전송 서버가 Exchange 조직에 연결됩니다. 이 프로세스를 수행하면 허브 전송 서버 역할에 대해 필요한 구성 작업을 수행한 다음 해당 정보를 Edge 전송 서버에 있는 ADAM(Active Directory 응용 프로그램 모드) 디렉터리 서비스 인스턴스에 전달하므로 경계 네트워크에서 수행해야 하는 관리 작업이 줄어듭니다. 받는 사람 조회 또는 Safelist Aggregation 스팸 방지 기능을 사용하려는 경우 또는 상호 TLS를 사용하여 파트너 도메인과의 안전한 SMTP 통신을 수행하려는 경우에는 Edge 구독을 만들어야 합니다.
Active Directory의 데이터를 ADAM으로 동기화해야 하는 기능에 대한 자세한 내용은 다음 항목을 참조하십시오.
Edge 구독 프로세스
Edge 전송 서버는 Active Directory 사이트에 가입되어 Active Directory 사이트의 허브 전송 서버와 가입된 Edge 전송 서버 간의 동기화 관계를 설정합니다. Microsoft Exchange EdgeSync 서비스는 허브 전송 서버에서 실행되는 데이터 동기화 서비스입니다. 이 서비스는 Active Directory의 구성 및 받는 사람 데이터를 가입된 Edge 전송 서버의 ADAM 인스턴스로 단방향 복제합니다. Edge 구독 프로세스 중에 제공되는 자격 증명은 경계 네트워크에서 Edge 전송 서버와 허브 전송 서버 간의 안전한 LDAP 연결에 사용됩니다.
Edge 전송 서버의 Exchange 관리 셸에서 New-EdgeSubscription cmdlet를 실행하면, ESBRA(EdgeSync 부트스트랩 복제 계정) 자격 증명이 로컬 서버의 ADAM 디렉터리에 만들어지며 Edge 구독 파일에 기록됩니다. 이러한 자격 증명은 초기 동기화를 설정하는 데만 사용되며 Edge 구독 파일이 만들어진 후 1,440분(24시간) 후에 만료됩니다. Edge 구독 프로세스가 해당 시간 내에 완료되지 않으면, Edge 전송 서버의 Exchange 관리 셸에서 New-EdgeSubscription cmdlet를 다시 실행하여 새 Edge 구독 파일을 만들어야 합니다.
다음 표에서는 Edge 구독 XML 파일에 들어 있는 데이터에 대해 설명합니다.
Edge 구독 파일 콘텐츠
| 구독 데이터 | 설명 |
|---|---|
Edge 서버 이름 |
Edge 전송 서버의 NetBIOS 이름으로 Active Directory의 Edge 구독 이름과 같습니다. |
Edge 서버 FQDN |
Edge 전송 서버의 FQDN(정규화된 도메인 이름)입니다. 가입된 Active Directory 사이트의 허브 전송 서버는 DNS를 사용하여 Edge 전송 서버를 찾아 FQDN을 확인할 수 있어야 합니다. |
Edge 인증서 BLOB(Binary Large Object) |
Edge 전송 서버 자체 서명 인증서의 공개 키입니다. |
ESRA 사용자 이름 |
ESBRA에 할당된 이름입니다. ESBRA 계정 형식은 ESRA.Edge 전송 서버 이름입니다. ESRA란 EdgeSync 복제 계정입니다. |
ESRA 암호 |
ESBRA에 할당된 암호입니다. 암호는 난수 생성기를 사용하여 생성되며, 암호화되지 않은 텍스트로 Edge 구독 파일에 저장됩니다. |
개시 날짜 |
Edge 구독 파일을 만든 날짜입니다. |
기간 |
자격 증명이 만료될 때까지 유효한 상태로 유지되는 시간입니다. ESBRA 계정은 24시간 동안만 유효합니다. |
ADAM SSL 포트 |
데이터를 Active Directory에서 ADAM으로 동기화할 때 EdgeSync 서비스가 바인딩하는 보안 LDAP 포트입니다. 기본적으로 이 포트는 TCP 포트 50636입니다. |
제품 ID |
Edge 전송 서버의 라이선스 정보입니다. Edge 전송 서버를 Active Directory에 가입하면 해당 Edge 전송 서버에 대한 라이선스 정보가 Exchange 조직의 Exchange 관리 콘솔에 표시됩니다. 이 정보가 올바르게 표시되도록 하려면 Edge 구독을 만들기 전에 Edge 전송 서버의 라이선스를 얻어야 합니다. |
중요
ESBRA 자격 증명은 암호화되지 않은 텍스트로 Edge 구독 파일에 기록됩니다. 구독 프로세스 전체 과정에서 이 파일을 안전하게 보호해야 합니다. Edge 구독 파일을 허브 전송 서버로 가져온 후에는 Edge 전송 서버, 허브 전송 서버 및 이동식 미디어에서 Edge 구독 파일을 즉시 삭제해야 합니다.
EdgeSync 복제 계정
ESRA(EdgeSync 복제 계정)는 EdgeSync 보안의 중요한 부분입니다. ESRA의 인증 및 권한은 Edge 전송 서버와 허브 전송 서버 간의 안전한 연결에 사용되는 메커니즘입니다.
Edge 구독 파일에 포함된 ESBRA는 초기 동기화하는 동안 보안 LDAP 연결을 설정하는 데 사용됩니다. Edge 구독 파일을 Edge 전송 서버가 가입되는 Active Directory 사이트의 허브 전송 서버로 가져오면, 각 Edge 전송 서버-허브 전송 서버 쌍에 대해 Active Directory에 ESRA 계정이 추가로 만들어집니다. 초기 동기화하는 동안 새로 만들어진 ESRA 자격 증명은 ADAM으로 복제됩니다. 이러한 ESRA 자격 증명은 이후의 동기화 세션 보안에 사용됩니다.
각 EdgeSync 복제 계정에는 다음 표에서 설명하는 속성이 할당됩니다.
Ms-Exch-EdgeSyncCredential 속성
| 속성 이름 | 종류 | 설명 |
|---|---|---|
TargetServerFQDN |
String |
해당 자격 증명을 수락하는 Edge 전송 서버입니다. |
SourceServerFQDN |
String |
해당 자격 증명을 제공하는 허브 전송 서버입니다. 부트스트랩 자격 증명의 경우에는 이 값이 비어 있습니다. |
EffectiveTime |
DateTime(UTC) |
해당 자격 증명을 사용하기 시작하는 시간입니다. |
ExpirationTime |
DateTime(UTC) |
해당 자격 증명이 만료되는 시간입니다. |
UserName |
String |
인증하는 데 사용하는 사용자 이름입니다. |
Password |
Byte |
인증하는 데 사용하는 암호입니다. 이 암호는 ms-Exch-EdgeSync-Certificate를 사용하여 암호화됩니다. |
이 항목의 다음 섹션에서는 EdgeSync 동기화 프로세스 동안 ESRA 자격 증명이 제공되고 사용되는 방법에 대해 설명합니다.
EdgeSync 부트스트랩 복제 계정 제공
New-EdgeSubscription cmdlet가 Edge 전송 서버에서 실행되면 ESBRA가 다음과 같이 제공됩니다.
자체 서명 인증서(Edge-Cert)가 Edge 전송 서버에 만들어집니다. 개인 키는 로컬 컴퓨터 저장소에 저장되고 공개 키는 Edge 구독 파일에 기록됩니다.
ESBRA(ESRA.Edge)가 ADAM에 만들어지고 자격 증명은 Edge 구독 파일에 기록됩니다.
Edge 구독 파일은 이동식 미디어에 복사하는 방법으로 내보냅니다. 그 후에 이 파일을 허브 전송 서버로 가져올 수 있습니다.
Active Directory에서 EdgeSync 복제 계정 제공
허브 전송 서버에서 Edge 구독 파일을 가져오면, 다음 단계가 수행되어 Active Directory에서 Edge 구독 레코드가 설정되고 추가 ESRA 자격 증명이 제공됩니다.
Edge 전송 서버 구성 개체가 Active Directory에 만들어집니다. Edge-Cert 인증서가 이 개체에 특성으로 기록됩니다.
가입된 Active Directory 사이트의 모든 허브 전송 서버에서 새 Edge 구독이 등록되었다는 Active Directory 알림을 수신합니다. 알림을 수신하는 즉시 각 허브 전송 서버는 ESRA.Edge 계정을 검색하고, Edge-Cert 공개 키를 사용하여 해당 계정을 암호화합니다. 암호화된 ESRA.Edge 계정은 Edge 전송 서버 구성 개체에 기록됩니다.
각 허브 전송 서버에서 자체 서명 인증서(Hub-Cert)를 만듭니다. 개인 키는 로컬 컴퓨터 저장소에 저장되고 공개 키는 Active Directory의 허브 전송 서버 구성 개체에 저장됩니다.
각 허브 전송 서버는 자체 Hub-Cert 인증서의 공개 키를 사용하여 ESRA.Edge 계정을 암호화한 다음 자체 구성 개체에 저장합니다.
각 허브 전송 서버에서 Active Directory에 있는 각각의 기존 Edge 전송 서버 구성 개체에 대해 ESRA(ESRA.Hub.Edge)를 생성합니다. 계정 이름은 다음 명명 규칙을 사용하여 생성됩니다.
ESRA.<허브 전송 서버 NetBIOS 이름>.<Edge 전송 서버 NetBIOS 이름>.<개시 날짜 UTC 시간>
ESRA.Hub.Edge의 암호는 난수 생성기를 통해 생성되며, Hub-Cert 인증서의 공개 키를 사용하여 암호화됩니다. 생성된 암호는 Microsoft Windows Server에 허용되는 최대 길이를 갖습니다.
각 ESRA.Hub.Edge 계정은 Edge-Cert 인증서의 공개 키를 사용하여 암호화되며, Active Directory의 Edge 전송 서버 구성 개체에 저장됩니다.
이 항목의 다음 섹션에서는 EdgeSync 동기화 프로세스 동안 이러한 계정이 사용되는 방법에 대해 설명합니다.
초기 복제 인증
ESBRA 계정인 ESRA.Edge는 초기 동기화 세션을 설정할 때만 사용됩니다. 첫 번째 EdgeSync 동기화 세션 동안 추가 ESRA 계정인 ESRA.Hub.Edge가 ADAM으로 복제됩니다. 이러한 계정은 이후의 EdgeSync 동기화 세션을 인증하는 데 사용됩니다.
초기 복제를 수행하는 허브 전송 서버는 임의로 결정됩니다. 토폴로지 검색을 수행하고 새 Edge 구독을 검색하는 Active Directory 사이트의 첫 번째 허브 전송 서버에서 초기 복제를 수행합니다. 이 검색 작업은 토폴로지 검색 시간을 기반으로 하므로 사이트에 있는 어떤 허브 전송 서버에서나 초기 복제를 수행할 수 있습니다.
Microsoft Exchange EdgeSync 서비스는 허브 전송 서버에서 Edge 전송 서버로의 보안 LDAP 세션을 시작합니다. Edge 전송 서버에서 해당 자체 서명 인증서를 제공하고, 허브 전송 서버에서는 해당 인증서가 Active Directory의 Edge 전송 서버 구성 개체에 저장되어 있는 인증서와 일치하는지 확인합니다. Edge 전송 서버의 ID가 확인되면, 허브 전송 서버에서 ESRA.Edge 계정의 자격 증명을 Edge 전송 서버에 제공합니다. 그러면 Edge 전송 서버에서 해당 자격 증명을 ADAM에 저장되어 있는 계정과 비교하여 확인합니다.
그런 다음 허브 전송 서버의 Microsoft Exchange EdgeSync 서비스가 Active Directory의 토폴로지, 구성 및 받는 사람 데이터를 ADAM으로 전달합니다. Active Directory의 Edge 전송 서버 구성 개체에 대한 변경 내용도 ADAM으로 복제됩니다. ADAM에서 새로 추가된 ESRA.Hub.Edge 항목을 받으면 Edge 자격 증명 서비스에서 해당 ADAM 계정을 만듭니다. 그러면 이후에 예약된 EdgeSync 동기화 세션을 인증하는 데 이러한 계정을 사용할 수 있습니다.
Edge 자격 증명 서비스
Edge 자격 증명 서비스는 Edge 구독 프로세스의 일부이며, Edge 전송 서버에서만 실행됩니다. 이 서비스는 ADAM에 상호 ESRA 계정을 만들어 허브 전송 서버에서 Edge 전송 서버를 인증하여 EdgeSync 동기화를 수행할 수 있도록 합니다. Microsoft Exchange EdgeSync 서비스는 Edge 자격 증명 서비스와 직접 통신하지 않습니다. Edge 자격 증명 서비스가 ADAM과 통신하여 허브 전송 서버에서 ESRA 자격 증명을 업데이트할 때마다 해당 자격 증명을 설치합니다.
예약된 동기화 세션 인증
초기 EdgeSync 동기화가 완료되면 EdgeSync 동기화 일정이 설정되며, Active Directory에서 변경된 데이터가 ADAM에서 정기적으로 업데이트됩니다. 허브 전송 서버가 Edge 전송 서버에 있는 ADAM 인스턴스를 사용하여 보안 LDAP 세션을 시작합니다. ADAM은 허브 전송 서버에 해당 자체 서명 인증서를 제공하여 ID를 증명합니다. 그리고 허브 전송 서버는 해당 ESRA.Hub.Edge 자격 증명을 ADAM에 제공합니다. ESRA.Hub.Edge 암호는 허브 전송 서버의 자체 서명 인증서 공개 키를 사용하여 암호화됩니다. 즉, 해당 작업을 수행하는 허브 전송 서버만이 이러한 자격 증명을 사용하여 ADAM을 인증할 수 있습니다.
EdgeSync 복제 계정 갱신
ESRA 계정의 암호는 로컬 서버의 암호 정책을 따라야 합니다. 암호 갱신 프로세스로 인해 일시적으로 인증이 실패하는 현상이 발생하지 않도록 하기 위해 첫 번째 ESRA.Hub.Edge 계정이 만료되기 7일 전(첫 번째 ESRA 만료 시간 3일 전)에 두 번째 ESRA.Hub.Edge 계정이 만들어집니다. 두 번째 ESRA 계정이 적용되는 즉시 EdgeSync에서 첫 번째 계정 사용을 중지하고 두 번째 계정을 사용합니다. 첫 번째 계정이 만료되면 해당 ESRA 자격 증명은 삭제됩니다. Edge 구독을 제거할 때까지 이 갱신 프로세스는 계속됩니다.
자세한 내용
자세한 내용은 다음 항목을 참조하십시오.