익스트라넷 환경을 위한 보안 강화 계획(Windows SharePoint Services)

아티클
05/17/2012

업데이트: 2009-04-16

이 문서의 내용

네트워크 토폴로지
도메인 트러스트 관계
서버 팜 역할과 통신
인프라 서버 역할과 통신
네트워크 도메인 간의 Active Directory 통신

이 문서에서는 Windows SharePoint Services 3.0 서버 팜이 경계 네트워크에 있고 인터넷이나 회사 네트워크의 사이트를 사용할 수 있는 익스트라넷 환경에 대한 보안 강화 요구 사항에 대해 자세히 설명합니다.

네트워크 토폴로지

이 문서의 보안 강화 지침은 여러 가지 익스트라넷 구성에 적용할 수 있습니다. 다음 그림에서는 익스트라넷 환경 전체의 서버 및 클라이언트 역할을 나타내는 연속 경계 네트워크 토폴로지의 예제 구현을 보여 줍니다.

익스트라넷 환경 보안 강화 예제

이 그림의 목적은 가능한 각 역할과 전체 환경에 대한 관계를 적절하게 보여 주는 것입니다. 중앙 관리 사이트는 웹 서버 또는 검색 서버(그림에 나와 있음)에 설치할 수 있습니다. 표시된 라우터는 방화벽을 대신하여 사용할 수 있습니다.

도메인 트러스트 관계

도메인 트러스트 관계에 대한 요구 사항은 서버 팜의 구성 방식에 따라 달라집니다. 이 섹션에서는 가능한 두 가지 구성에 대해 설명합니다.

서버 팜이 경계 네트워크에 있는 경우

경계 네트워크에는 자체 Active Directory 디렉터리 서비스 인프라 및 도메인이 필요합니다. 일반적으로 경계 도메인과 회사 도메인은 서로 신뢰하도록 구성되지 않습니다. 그러나 인트라넷 사용자 및 도메인 자격 증명(Windows 인증)을 사용하는 원격 직원을 인증하려면 경계 도메인이 회사 도메인을 신뢰하는 단방향 트러스트 관계를 구성해야 합니다. 폼 인증 및 웹 SSO에는 도메인 트러스트 관계가 필요하지 않습니다.

서버 팜이 경계 네트워크와 회사 네트워크로 분할된 경우

서버 팜이 경계 네트워크와 회사 네트워크 내에 데이터베이스 서버가 있는 회사 네트워크로 분할된 경우에 Windows 계정을 사용하면 도메인 트러스트 관계가 필요합니다. 이 경우 경계 네트워크가 회사 네트워크를 신뢰해야 합니다. SQL 인증을 사용하는 경우에는 도메인 트러스트 관계가 필요하지 않습니다. 다음 표에는 두 가지 방식의 차이점이 설명되어 있습니다.

	Windows 인증	SQL 인증
설명	응용 프로그램 풀 계정을 비롯한 모든 Windows SharePoint Services 3.0 서비스 및 관리 계정에 회사 도메인 계정이 사용됩니다. 경계 네트워크가 회사 네트워크를 신뢰하는 단방향 트러스트 관계가 필요합니다.	Windows SharePoint Services 3.0 계정은 다음과 같은 방식으로 구성됩니다. 생성된 모든 데이터베이스에 SQL 인증이 사용됩니다. 다른 관리 및 서비스 계정이 모두 경계 네트워크의 도메인 계정으로 만들어집니다. 웹 서버 및 검색 서버가 경계 네트워크에 연결됩니다. 트러스트 관계가 필요하지는 않지만 내부 도메인 컨트롤러에 대한 클라이언트 인증을 지원하기 위해 트러스트 관계를 구성할 수 있습니다. 참고: 검색 서버가 회사 도메인에 있으면 경계 네트워크가 회사 네트워크를 신뢰하는 단방향 트러스트 관계가 필요합니다.
설정	설정 사항: 회사 도메인에 Windows SharePoint Services 3.0 관리 및 서비스 계정이 생성됩니다. 웹 서버 및 응용 프로그램 서버가 경계 네트워크에 연결됩니다. 경계 도메인이 회사 도메인을 신뢰하는 트러스트 관계가 설정됩니다.	설정 사항: SQL Server 2000 엔터프라이즈 관리자 또는 SQL Server 2005 Management Studio에서 모든 데이터베이스 계정을 SQL 로그인 계정으로 만들어야 합니다. 이러한 계정은 구성 데이터베이스 및 SharePoint_AdminContent 데이터베이스를 비롯하여 Windows SharePoint Services 3.0 데이터베이스를 만들기 전에 만들어야 합니다. 구성 데이터베이스 및 AdminContent 데이터베이스를 만들려면 Psconfig 명령줄 도구를 사용해야 합니다. SharePoint 제품 및 기술 구성 마법사를 사용하여 만들 수는 없습니다. -user 및 -password 매개 변수를 사용하여 서버 팜 계정을 지정하고 -dbuser 및 -dbpassword 매개 변수를 사용하여 SQL 인증 계정도 지정해야 합니다. SQL 인증 옵션을 선택하면 중앙 관리에서 다른 콘텐츠 데이터베이스를 추가로 만들 수 있습니다. 그러나 먼저 SQL Server 2000 엔터프라이즈 관리자 또는 SQL Server 2005 Management Studio에서 SQL 로그인 계정을 만들어야 합니다. SSL을 사용하여 데이터베이스 서버와의 모든 통신에 대한 보안을 유지합니다. SQL Server와 통신하는 데 사용한 포트가 경계 네트워크와 회사 네트워크 간에 계속 열려 있는지 확인합니다.
추가 정보	단방향 트러스트 관계를 사용하면 익스트라넷 도메인에 연결된 웹 서버 및 응용 프로그램 서버가 회사 도메인의 계정을 확인할 수 있습니다.	SQL 로그인 계정이 웹 서버 및 응용 프로그램 서버의 레지스트리에서 암호화됩니다. 구성 데이터베이스 및 SharePoint_AdminContent 데이터베이스에 액세스하는 데는 서버 팜 계정이 사용되지 않습니다. 대신 해당 SQL 로그인 계정이 사용됩니다.

설명

응용 프로그램 풀 계정을 비롯한 모든 Windows SharePoint Services 3.0 서비스 및 관리 계정에 회사 도메인 계정이 사용됩니다.

경계 네트워크가 회사 네트워크를 신뢰하는 단방향 트러스트 관계가 필요합니다.

Windows SharePoint Services 3.0 계정은 다음과 같은 방식으로 구성됩니다.

생성된 모든 데이터베이스에 SQL 인증이 사용됩니다.
다른 관리 및 서비스 계정이 모두 경계 네트워크의 도메인 계정으로 만들어집니다.
웹 서버 및 검색 서버가 경계 네트워크에 연결됩니다.

트러스트 관계가 필요하지는 않지만 내부 도메인 컨트롤러에 대한 클라이언트 인증을 지원하기 위해 트러스트 관계를 구성할 수 있습니다.

참고:

검색 서버가 회사 도메인에 있으면 경계 네트워크가 회사 네트워크를 신뢰하는 단방향 트러스트 관계가 필요합니다.

설정

설정 사항:

회사 도메인에 Windows SharePoint Services 3.0 관리 및 서비스 계정이 생성됩니다.
웹 서버 및 응용 프로그램 서버가 경계 네트워크에 연결됩니다.
경계 도메인이 회사 도메인을 신뢰하는 트러스트 관계가 설정됩니다.

설정 사항:

SQL Server 2000 엔터프라이즈 관리자 또는 SQL Server 2005 Management Studio에서 모든 데이터베이스 계정을 SQL 로그인 계정으로 만들어야 합니다. 이러한 계정은 구성 데이터베이스 및 SharePoint_AdminContent 데이터베이스를 비롯하여 Windows SharePoint Services 3.0 데이터베이스를 만들기 전에 만들어야 합니다.
구성 데이터베이스 및 AdminContent 데이터베이스를 만들려면 Psconfig 명령줄 도구를 사용해야 합니다. SharePoint 제품 및 기술 구성 마법사를 사용하여 만들 수는 없습니다. -user 및 -password 매개 변수를 사용하여 서버 팜 계정을 지정하고 -dbuser 및 -dbpassword 매개 변수를 사용하여 SQL 인증 계정도 지정해야 합니다.
SQL 인증 옵션을 선택하면 중앙 관리에서 다른 콘텐츠 데이터베이스를 추가로 만들 수 있습니다. 그러나 먼저 SQL Server 2000 엔터프라이즈 관리자 또는 SQL Server 2005 Management Studio에서 SQL 로그인 계정을 만들어야 합니다.
SSL을 사용하여 데이터베이스 서버와의 모든 통신에 대한 보안을 유지합니다.
SQL Server와 통신하는 데 사용한 포트가 경계 네트워크와 회사 네트워크 간에 계속 열려 있는지 확인합니다.

추가 정보

단방향 트러스트 관계를 사용하면 익스트라넷 도메인에 연결된 웹 서버 및 응용 프로그램 서버가 회사 도메인의 계정을 확인할 수 있습니다.

SQL 로그인 계정이 웹 서버 및 응용 프로그램 서버의 레지스트리에서 암호화됩니다.
구성 데이터베이스 및 SharePoint_AdminContent 데이터베이스에 액세스하는 데는 서버 팜 계정이 사용되지 않습니다. 대신 해당 SQL 로그인 계정이 사용됩니다.

위 표의 정보는 다음과 같은 내용을 전제로 합니다.

웹 서버와 응용 프로그램 서버가 모두 경계 네트워크에 있습니다.
모든 계정은 필요한 최소 사용 권한을 사용하여 생성되었습니다. 다음은 그와 관련된 권장 사항입니다.
- 모든 관리 및 서비스 계정에 대해 별도의 계정을 만듭니다.
- SQL Server를 호스팅하는 서버 컴퓨터를 비롯한 모든 컴퓨터에 Administrators 그룹 구성원의 계정이 없습니다.

Windows SharePoint Services 3.0 계정에 대한 자세한 내용은 관리 및 서비스 계정 계획(Windows SharePoint Services)을 참조하십시오.

Psconfig 명령줄 도구를 사용하여 데이터베이스를 만드는 방법에 대한 자세한 내용은 SharePoint 제품 및 기술 구성 마법사의 명령줄 참조(Windows SharePoint Services)를 참조하십시오.

서버 팜 역할과 통신

익스트라넷 환경을 구성하는 경우 서버 팜 내에서 다양한 서버 역할이 어떤 방식으로 통신하는지 알아야 합니다.

서버 역할 간 통신

다음 그림은 서버 팜 내의 통신 채널을 보여 줍니다. 그림 아래의 표에서는 그림에 나타난 포트 및 프로토콜을 설명합니다. 화살표는 통신을 시작하는 서버 역할을 나타냅니다. 예를 들어 웹 서버가 데이터베이스 서버와의 통신을 시작합니다. 데이터베이스 서버 역할은 웹 서버와의 통신을 시작하지 않습니다. 이런 정보는 어떤 경우에 라우터 또는 방화벽에서 인바운드 및 아웃바운드 통신을 구성할지 파악하는 데 유용합니다.

Windows SharePoint Services 팜 간 통신

설명선	포트 및 프로토콜
1	클라이언트 액세스(IRM 및 검색 쿼리 포함) - 다음 중 하나 이상: TCP 포트 80 TCP/SSL 포트 443 사용자 지정 포트
2	파일 및 프린터 공유 서비스 - 다음 중 하나 직접 호스팅된 SMP(서버 메시지 블록)(TCP/UDP 445) - 권장됨 TCP/IP(TCP/UDP 포트 137, 138, 139)를 통한 NetBIOS - 사용하지 않는 경우 비활성화
3	검색 크롤링 - 인증 구성 방법에 따라 인덱스 구성 요소에서 콘텐츠에 액세스할 수 있도록 SharePoint 사이트를 다른 영역이나 IIS(인터넷 정보 서비스) 사이트로 확장할 수 있습니다. 이 구성을 통해 사용자 지정 포트를 만들 수 있습니다. TCP 포트 80 TCP/SSL(Secure Sockets Layer) 포트 443 사용자 지정 포트
4	데이터베이스 통신: 기본 인스턴스에 대한 TCP/SSL 포트 1433(기본값)(사용자 지정 가능) 명명된 인스턴스에 대해 임의로 할당되는 TCP/SSL 포트(사용자 지정 가능)

관리자 워크스테이션과 중앙 관리 간의 통신

중앙 관리 사이트는 모든 웹 서버 또는 검색 서버에 설치할 수 있습니다. 중앙 관리 사이트를 통해 변경한 구성은 구성 데이터베이스로 전달됩니다. 팜의 다른 서버 역할은 구성 데이터베이스에 등록된 구성 변경 사항을 폴링 주기 중에 가져옵니다. 따라서 중앙 관리 사이트에서는 서버 팜의 다른 서버 역할에 새로운 통신 설정을 적용하지 않습니다. 그러나 중앙 관리 사이트를 배포하는 서버에 따라서는 관리자 워크스테이션으로부터의 액세스를 설정해야 합니다.

다음 그림은 관리자 워크스테이션에서 중앙 관리 사이트와 구성 데이터베이스로 전달되는 통신을 보여 줍니다.

WSS 팜 간 통신 예제

다음 표에서는 중앙 관리 사이트와의 통신에 필요한 포트 및 프로토콜에 대해 설명합니다.

설명선	포트 및 프로토콜
1	중앙 관리 사이트 - 다음 중 하나 이상: TCP 포트 80 TCP/SSL 포트 443 사용자 지정 포트
4	데이터베이스 통신: 기본 인스턴스에 대한 TCP/SSL 포트 1433(기본값)(사용자 지정 가능) 명명된 인스턴스에 대해 임의로 할당되는 TCP/SSL 포트(사용자 지정 가능)

중앙 관리 사이트 - 다음 중 하나 이상:

TCP 포트 80
TCP/SSL 포트 443
사용자 지정 포트

데이터베이스 통신:

기본 인스턴스에 대한 TCP/SSL 포트 1433(기본값)(사용자 지정 가능)
명명된 인스턴스에 대해 임의로 할당되는 TCP/SSL 포트(사용자 지정 가능)

인프라 서버 역할과 통신

익스트라넷 환경을 구성하는 경우 다양한 서버 역할이 인프라 서버 컴퓨터 내에서 어떤 방식으로 통신하는지 알아야 합니다.

Active Directory 도메인 컨트롤러

다음 표에는 각 서버 역할에서 Active Directory 도메인 컨트롤러로 연결(인바운드 연결)하는 데 필요한 포트가 나열되어 있습니다.

항목	웹 서버	검색서버	데이터베이스 서버
TCP/UDP 445(디렉터리 서비스)	X	X	X
TCP/UDP 88(Kerberos 인증)	X	X	X
LDAP(Lightweight Directory Access Protocol)/LDAPS 포트 389/636(기본값)(사용자 지정 가능)	X

웹 서버에서는 LDAP 인증을 구성하는 경우에만 LDAP/LDAPS 포트를 사용해야 합니다.

DNS 서버

다음 표에는 각 서버 역할에서 DNS(Domain Name System) 서버로 연결(인바운드 연결)하는 데 필요한 포트가 나열되어 있습니다. 여러 익스트라넷 환경에서 서버 컴퓨터 한 대가 Active Directory 도메인 컨트롤러와 DNS 서버 모두를 호스팅합니다.

항목	웹 서버	검색 서버	데이터베이스 서버
DNS, TCP/UDP 53	X	X	X

SMTP 서비스

전자 메일 통합 기능을 이용하려면 서버 팜의 프런트 엔드 웹 서버 중 적어도 하나에서 TCP 포트 25를 사용하는 SMTP(Simple Mail Transport Protocol) 서비스를 사용해야 합니다. SMTP 서비스는 받는 전자 메일(인바운드 연결)에 필요합니다. 보내는 전자 메일의 경우에는 SMTP 서비스를 사용하거나, 조직의 전용 전자 메일 서버(예: Microsoft Exchange Server를 실행하는 컴퓨터)를 통해 보내는 전자 메일을 라우팅할 수 있습니다.

항목	웹 서버	검색 서버	데이터베이스 서버
TCP 포트 25	X

네트워크 도메인 간의 Active Directory 통신

회사 네트워크에서 도메인 컨트롤러를 사용하여 인증할 수 있도록 지원하기 위해 도메인 간의 Active Directory 통신을 사용하려면 경계 네트워크가 회사 네트워크를 신뢰하는 단방향 트러스트 관계 이상이 필요합니다.

이 문서의 첫 번째 그림에 제시한 예에서 단방향 트러스트 관계를 지원하려면 다음 포트를 ISA Server B에 대한 인바운드 연결로 구성해야 합니다.

TCP/UDP 135(RPC)
TCP/UDP 389(기본값, 사용자 지정 가능)(LDAP)
TCP 636(기본값, 사용자 지정 가능)(LDAP SSL)
TCP 3268(LDAP GC)
TCP 3269(LDAP GC SSL)
TCP/UDP 53(DNS)
TCP/UDP 88(Kerberos)
TCP/UDP 445(디렉터리 서비스)
TCP/UDP 749(Kerberos-Adm)
TCP port 750(Kerberos-IV)

ISA Server B(또는 경계 네트워크와 회사 네트워크 사이의 다른 장치)를 구성할 때 네트워크 관계를 라우팅됨으로 정의해야 합니다. 네트워크 관계를 NAT(네트워크 주소 변환)로 정의하지 마십시오.

트러스트 관계와 관련된 보안 강화 요구 사항에 대한 자세한 내용은 다음 리소스를 참조하십시오.

이 문서의 다운로드

이 항목은 다운로드 가능한 다음 문서에도 포함되어 있어 더 쉽게 읽고 인쇄할 수 있습니다.

사용 가능한 문서의 전체 목록은 다운로드 가능한 Windows SharePoint Services 관련 문서 (영문)를 참조하십시오.