비즈니스용 Skype 서버 2015에 대한 환경 요구 사항

Skype for Business Server 2015
 

마지막으로 수정된 항목: 2017-07-06

비즈니스용 Skype 서버 2015에 대한 '환경 요구 사항'이란 무엇일까요? 이 항목에서는 서버와 직접적으로 관련된 모든 내용을 다루지는 않으므로 몇 가지만 클릭하여 확인하면 됩니다. 서버 필수 구성 요소에 대한 정보는 비즈니스용 Skype 서버 2015의 서버 요구 사항 문서에서 확인할 수 있습니다. Networking Planning도 별도의 문서에 설명되어 있습니다. 그 밖에 이 문서에서 다루는 내용은 다음과 같습니다.

Active Directory

DNS(도메인 이름 시스템)

인증서

파일 공유

서버 및 서비스에 대한 대부분의 구성 데이터는 비즈니스용 Skype 서버 2015의 중앙 관리 저장소에 저장되지만 일부 항목은 Active Directory에 저장됩니다.

 

Active Directory 개체개체 형식

스키마 확장

사용자 개체 확장

 

지원되는 이전 버전과의 호환성을 유지 관리하기 위한 Lync Server 2013 및 Lync Server 2010에 대한 확장

데이터

사용자 SIP URI 및 기타 사용자 설정

 

응용 프로그램에 대한 연락처 개체(예: 응답 그룹 응용 프로그램 및 회의 길잡이 응용 프로그램)

 

이전 버전과의 호환성을 위해 게시된 데이터

 

중앙 관리 저장소에 대한 SCP(서비스 연결 지점)

 

Kerberos 인증 계정(선택적 컴퓨터 개체)

다음은 사용 가능한 도메인 컨트롤러 OS의 목록입니다.

  • Windows Server 2012 R2

  • Windows Server 2012

  • Windows Server 2008 R2

  • Windows Server 2008

비즈니스용 Skype 서버 2015를 배포하는 모든 도메인의 도메인 기능 수준과 비즈니스용 Skype 서버 2015를 배포하는 모든 포리스트의 포리스트 기능 수준은 다음 중 하나여야 합니다.

  • Windows Server 2012 R2

  • Windows Server 2012

  • Windows Server 2008 R2

  • Windows Server 2008

  • Windows Server 2003

이러한 환경에서 읽기 전용 도메인 컨트롤러를 사용할 수 있을까요? 쓰기 가능한 도메인 컨트롤러도 있다면 가능합니다.

비즈니스용 Skype 서버 2015에서는 단일 레이블 도메인이 지원되지 않는다는 점을 반드시 감안해야 합니다. 단일 레이블 도메인이란 무엇일까요? contoso.local이라는 루트 도메인이 있다면 문제가 없습니다. 그러나 local이라고만 이름이 지정된 루트 도메인이 있는 경우에는 제대로 작동하지 않으며 이 도메인은 결국 지원되지 않습니다. 이에 대한 보다 자세한 내용은 이 기술 자료 문서에 나와 있습니다.

비즈니스용 Skype 서버 2015에서는 도메인 이름을 바꿀 수도 없습니다. 도메인 이름을 반드시 바꿔야 하는 경우에는 비즈니스용 Skype 서버 2015를 제거하고 도메인 이름을 바꾼 다음 비즈니스용 Skype 서버 2015를 다시 설치해야 합니다.

끝으로, 잠겨 있는 AD DS 환경에서는 도메인을 얼마든지 처리할 수 있습니다. 비즈니스용 Skype 서버 2015를 이 종류의 환경에 배포하는 방법은 배포 문서에 자세히 나와 있습니다.

비즈니스용 Skype 서버 2015의 지원되는 토폴로지는 다음과 같습니다.

  • 도메인이 하나인 단일 포리스트

  • 트리가 하나이고 도메인이 여러 개인 단일 포리스트

  • 트리 여러 개와 연결되지 않은 네임스페이스가 포함된 단일 포리스트

  • 중앙 포리스트 토폴로지의 다중 포리스트

  • 리소스 포리스트 토폴로지의 다중 포리스트

  • Exchange Online을 사용하는 비즈니스용 Skype 리소스 포리스트 토폴로지의 다중 포리스트

사용자 환경에 어느 토폴로지가 있는지 또는 비즈니스용 Skype 서버 2015를 설치하기 전에 설정해야 하는 항목은 무엇인지 손쉽게 확인할 수 있도록 다이어그램과 설명이 제공됩니다. 간단히 확인할 수 있도록 다음과 같은 키도 포함되어 있습니다.

비즈니스용 Skype 토폴로지 다이어그램에 사용되는 아이콘 기호

단일 도메인이 포함된 Active Directory 단일 포리스트 다이어그램

단일 도메인 포리스트이자 일반적인 토폴로지로, 가장 간편합니다.

단일 포리스트, 단일 트리, 다중 도메인 다이어그램

이 다이어그램에도 단일 포리스트가 나와 있지만 하나 이상의 하위 도메인도 포함되어 있습니다(이 예제에서는 3개). 사용자가 만들어지는 도메인은 비즈니스용 Skype 서버 2015가 배포되는 도메인과 다를 수 있습니다. 비즈니스용 Skype 서버 프런트 엔드 풀을 배포할 때는 해당 풀의 모든 서버가 단일 도메인에 있어야 한다는 것을 반드시 염두에 둬야 합니다. Windows 유니버설 관리자 그룹의 비즈니스용 Skype 서버 지원을 통해 도메인 간 관리를 수행할 수 있습니다.

위의 다이어그램에서는 한 도메인의 사용자가 하위 도메인에 있더라도 같거나 다른 도메인의 비즈니스용 Skype 서버 풀에 액세스할 수 있음을 알 수 있습니다.

단일 포리스트, 다중 트리, 연결되지 않은 네임스페이스 다이어그램

이 다이어그램에는 별도의 AD 네임스페이스를 가진 여러 도메인으로 구성된 한 포리스트가 있으며, 이와 유사한 토폴로지가 있을 수 있습니다. 이 경우 비즈니스용 Skype 서버 2015에 액세스하는 세 가지 도메인에 사용자가 있으므로 이 다이어그램에 잘 나타나 있습니다. 실선은 고유한 도메인의 비즈니스용 Skype 서버 풀에 액세스하는 것을 나타내고 점선은 다른 트리의 풀에 연결되는 것을 나타냅니다.

보는 바와 같이, 같은 도메인의 사용자는 트리가 동일한지 여부와 상관없이 풀에 액세스할 수 있습니다.

중앙 포리스트 토폴로지의 다중 포리스트 다이어그램

비즈니스용 Skype 서버 2015에서는 중앙 포리스트 토폴리지에서 구성된 다중 포리스트를 지원합니다. 해당 포리스트가 확실하지 않은 경우 토폴로지의 중앙 포리스트에서는 다른 포리스트의 사용자를 나타내기 위해 개체를 사용하고 포리스트의 모든 사용자 계정을 호스팅합니다.

이 작업은 디렉터리 동기화 제품(예: Forefront Identity Manager 또는 FIM)이 조직의 사용자 계정을 어디서나 관리하는 방식으로 수행됩니다. 포리스트에서 계정이 만들어지거나 삭제되면 이 변경 내용이 중앙 포리스트의 해당 대화 상대와 동기화됩니다.

AD 인프라가 갖추어져 있으면 이 토폴로지로 이동하기가 쉽지 않을 수 있지만 이미 해당 위치에 있거나 포리스트 인프라를 계속 계획 중인 경우에는 이를 선택하는 것이 유리할 수 있습니다. 단일 포리스트 내에서 비즈니스용 Skype 서버 2015 배포를 중앙에 배치할 수 있지만 사용자는 모든 포리스트의 다른 사용자를 검색하고 이러한 사용자와 통신하거나 해당 현재 상태를 확인할 수 있습니다. 모든 사용자 연락처 업데이트는 동기화 소프트웨어를 통해 자동으로 처리됩니다.

리소스 포리스트 토폴로지의 다중 포리스트 다이어그램

포리스트가 Microsoft Exchange Server 및 비즈니스용 Skype 서버 2015 등 서버 응용 프로그램 실행을 위한 전용 포리스트로 지정되는 리소스 포리스트 토폴로지도 지원됩니다. 리소스 포리스트는 활성 사용자 개체의 동기화된 표시를 호스팅하지만 로그온할 수 있는 사용자 계정은 표시하지 않습니다. 따라서 리소스 포리스트는 사용자 개체가 있는 다른 포리스트에 대한 공유 서비스 환경이며 리소스 포리스트와 포리스트 수준 트러스트 관계가 있습니다.

이러한 유형의 토폴로지에서 비즈니스용 Skype 서버 2015를 배포하려면 사용자 포리스트에 있는 각 사용자 계정에 대해 리소스 포리스트에서 사용하지 않도록 설정된 사용자 개체를 만듭니다(Microsoft Exchange Server가 해당 환경에 이미 있는 경우에는 이 사용자 개체가 자동으로 만들어짐). 그런 다음 디렉터리 동기화 도구(예: Forefront Identity Manager 또는 FIM)를 사용하여 수명 주기 동안 사용자 계정을 관리합니다.

이에 대한 다이어그램은 없지만 이 포리스트는 대개 토폴로지로 지원됩니다. 이 토폴로지에서는 하나 이상의 포리스트가 온-프레미스에 위치해 있으며 이 토폴로지는 AD 사용자 계정을 호스팅하는 용도로만 사용됩니다. 리소스 포리스트는 오프-프레미스에 위치해 있으며 타사 호스팅 공급자에 의해 유지 관리됩니다. 이 포리스트에는 비즈니스용 Skype 서버 2015와 온-프레미스 포리스트에서 동기화 및 복제된 사용자 계정만 포함됩니다. 로그온을 사용할 수 있는 사용자 계정은 리소스 포리스트에 포함되지 않습니다. Exchange는 온-프레미스에서 배포될 수 있으며 온-프레미스 계정을 위한 Exchange Online에 의해서만 제공될 수 있는 Exchange Online(하이브리드 배포) 또는 전자 메일 서비스와 통합됩니다.

그 외에는 이 섹션 바로 앞에서 설명한 리소스 포리스트 토폴로지의 다중 포리스트와 동일하게 작동합니다. 이를 배포하는 방법에 대한 자세한 내용은 다중 포리스트 아키텍처에서 비즈니스용 Skype 서버 배포(Exchange 하이브리드를 사용하는 파트너 호스트형 비즈니스용 Skype 서버)를 참조하세요.

비즈니스용 Skype 서버 2015에서는 다음과 같은 이유로 DNS가 필요합니다.

  • DNS를 사용하면 비즈니스용 Skype 서버 2015에서 서버 간 통신에 대해 허용되는 내부 서버 또는 풀을 검색할 수 있습니다.

  • DNS를 사용하면 클라이언트 컴퓨터에서 SIP에 사용되는 Standard Edition 서버 또는 프런트 엔드 풀을 검색할 수 있습니다.

  • 회의용 단순 URL을 해당 회의를 호스팅하는 서버와 연결합니다.

  • DNS를 사용하면 외부 사용자 및 클라이언트 컴퓨터가 IM(메신저 대화) 또는 회의를 위해 에지 서버 또는 HTTP 역방향 프록시에 연결할 수 있습니다.

  • 그러면 로그인되지 않은 UC(통합 통신) 장치에서 업데이트를 가져오고 로그를 보내기 위해 장치 업데이트 웹 서비스를 실행하는 Standard Edition 서버 또는 프런트 엔드 풀을 검색할 수 있습니다.

  • DNS를 사용하면 사용자가 장치 설정에 URL을 수동으로 입력할 필요 없이 모바일 클라이언트가 웹 서비스 리소스를 자동으로 검색할 수 있습니다.

  • 이는 DNS 부하 분산에서도 사용됩니다.

단, IDN(다국어 도메인 이름)은 비즈니스용 Skype 서버 2015에서 지원되지 않습니다.

DNS의 모든 이름은 비즈니스용 Skype 서버 2015에서 사용되는 모든 서버에서 구성된 컴퓨터 이름과 동일하다는 점도 반드시 염두에 둬야 합니다. 특히 해당 환경에서는 짧은 이름을 사용할 수 없으며 토폴로지 작성기에 대한 FQDN을 사용해야 합니다.

이는 도메인에 이미 연결된 모든 컴퓨터에 적용될 것으로 보이지만 도메인에 연결되지 않은 에지 서버가 있는 경우에는 도메인 접미사가 없는 짧은 이름의 기본값을 사용할 수도 있습니다. DNS나 에지 서버 또는 모든 비즈니스용 Skype 서버 2015 서버/풀에서 이에 해당하지 않는지 확인해야 합니다.

유니코드 문자나 밑줄은 절대 사용하지 않아야 합니다. 표준 문자(A-Z, a-z, 0-9, 하이픈)는 외부 DNS 및 공용 인증 기관에서 지원되므로(인증서의 SN에 FQDN을 반드시 할당해야 함) 이러한 문자로 이름을 지정한 경우 다소 복잡한 절차를 거쳐야 합니다.

네트워킹에 대한 DNS 요구 사항에 대해 자세히 알아보려면 계획 설명서의 Networking 섹션을 참조하세요.

배포하기 전에 수행할 수 있는 가장 중요한 작업 중 하나는 인증서가 순서대로 배열되어 있는지 확인하는 것입니다. 비즈니스용 Skype 서버 2015에서는 TLS(전송 계층 보안)와 MTLS(Mutual Transport Layer Security) 연결을 위한 PKI(공개 키 인프라)가 필요합니다. 기본적으로 표준화된 방식으로 안전하게 통신하기 위해 비즈니스용 Skype 서버에서는 CA(인증 기관)에서 발급한 인증서가 사용됩니다.

비즈니스용 Skype 서버 2015에서 인증서를 사용하는 몇 가지 용도는 다음과 같습니다.

  • 클라이언트와 서버 간의 TLS 연결

  • 서버 간의 MTLS 연결

  • 파트너의 자동 DNS 검색을 사용한 페더레이션

  • IM(메신저 대화)에 대한 원격 사용자 액세스

  • AV(오디오/비디오) 세션, 응용 프로그램 공유, 회의에 대한 외부 사용자 액세스

  • 웹 응용 프로그램 및 OWA(Outlook Web Access)를 통한 대화

따라서 인증서 계획은 반드시 필요합니다. 이제 인증서를 요청할 때 염두에 둬야 하는 몇 가지 사항의 목록을 살펴보겠습니다.

  • 모든 서버 인증서는 서버 권한 부여(서버 EKU)를 지원해야 합니다.

  • 모든 서버 인증서에는 CDP(CRL 배포 지점)가 포함되어 있어야 합니다.

  • 모든 인증서에는 운영 체제에서 지원하는 서명 알고리즘을 사용하여 서명해야 합니다. 비즈니스용 Skype 서버 2015에서는 SHA-1 및 SHA-2의 다이제스트 크기 모음(224, 256, 384, 512비트)을 지원하며, 운영 체제 요구 사항을 충족하거나 초과합니다.

  • 비즈니스용 Skype 서버 2015를 실행하는 내부 서버에 대해 자동 등록이 지원됩니다.

  • 비즈니스용 Skype 서버 2015 에지 서버에 대해서는 자동 등록이 지원되지 않습니다.

  • Windows Server 2003 CA로 웹 기반 인증서 요청을 전송할 때는 Windows Server 2003 SP2 또는 Windows XP를 실행하는 컴퓨터에서 요청을 전송해야 합니다.

note참고:
KB922706에서는 Windows Server 2003 인증서 서비스 웹 등록에 대해 웹 인증서를 등록할 때 발생하는 문제를 해결하기 위한 지원 정보가 제공되지만 Windows Server 2008, Windows Vista 또는 Windows 7을 사용하여 Windows Server 2003 CA에서 인증서를 요청할 수는 없습니다.
  • 1024, 2048 및 4096의 암호화 키 길이가 지원됩니다. 2048 이상의 키 길이를 사용하는 것이 좋습니다.

  • 기본 다이제스트 또는 해시 서명의 경우 알고리즘은 RSA입니다. ECDH_P256, ECDH_P384 및 ECDH_P521 해시 알고리즘도 지원됩니다.

이처럼 CA에서 인증서를 요청하는 데에는 고려할 사항도 많고 신뢰 수준도 다양합니다. 가급적 손쉽게 계획할 수 있도록 다음과 같은 몇 가지 추가 지침을 제공합니다.

인증서는 대부분의 내부 서버에 필요하며 사용자 도메인에 있는 내부 CA에서 얻게 될 가능성이 큽니다. 원하는 경우 인터넷에 있는 외부 CA에서 이러한 인증서를 요청할 수 있습니다. 이용할 공용 CA에 대해 알아보려면 통합 통신 인증서 파트너 목록을 확인해 보세요.

다른 응용 프로그램 또는 서버(예: Microsoft Exchange Server)와 비즈니스용 Skype 서버 2015 통신을 수행하는 경우에도 인증서가 필요합니다. 이 경우 반드시 다른 앱 및 서버에서 지원되는 방식으로 사용할 수 있는 인증서를 사용해야 합니다. 비즈니스용 Skype 서버 2015 및 다른 Microsoft 제품에서는 서버 간 인증 및 권한 부여에 OAuth(Open Authorization) 프로토콜을 지원합니다. 이에 대해 자세히 알아보려면 OAuth 및 비즈니스용 Skype 서버 2015에 관한 추가 계획 문서를 참조하세요.

비즈니스용 Skype 서버 2015에는 SHA-256 암호화 해시 기능을 사용하여 서명된 인증서에 대한 지원도 포함되어 있지만 이를 요구하지는 않습니다. SHA-256을 사용한 외부 액세스를 지원하기 위해 외부 인증서는 SHA-256을 사용하는 공용 CA에서 발급되어야 합니다.

간단히 시도해 볼 수 있도록 다음 표에 Standard Edition 서버, 프런트 엔드 풀, 기타 역할에 대한 인증서 요구 사항이 나와 있습니다. 이 표에서는 가상의 contoso.com을 예로 사용하며 사용자가 해당 환경에 맞게 다른 이름을 사용할 수도 있습니다. 여기에 나오는 인증서는 모두 표준 웹 서버 인증서이며 포함된 공개 키는 내보낼 수 없습니다. 다음 몇 가지 사항을 추가로 참조하세요.

  • 인증서 마법사를 사용하여 인증서를 요청하면 서버 EKU(확장된 키 사용)가 자동으로 구성됩니다.

  • 컴퓨터 저장소의 각 인증서 이름은 고유해야 합니다.

  • 아래의 예제 이름별로 DNS에 sipinternal.contoso.com 또는 sipexternal.contoso.com을 구성한 경우 인증서의 SAN(주체 대체 이름)에 추가해야 합니다.

Standard Edition 서버용 인증서:

 

인증서주체 이름/일반 이름주체 대체 이름설명

기본값

풀의 FQDN

풀의 FQDN 및 서버의 FQDN

SIP 도메인이 여러 개 있고 자동 클라이언트 구성을 활성화한 경우 인증서 마법사는 지원되는 각 SIP 도메인 FQDN을 검색하고 추가합니다.

이 풀이 클라이언트의 자동 로그온 서버이고 그룹 정책에 엄격한 DNS(Domain Name System) 일치가 필요한 경우에는 각 SIP 도메인에 sip.sipdomain에 대한 항목도 필요합니다.

SN=se01.contoso.com, SAN=se01.contoso.com

이 풀이 클라이언트의 자동 로그온 서버이고 그룹 정책에 엄격한 DNS 일치가 필요한 경우 SAN=sip.contoso.com, SAN=sip.fabrikam.com도 필요합니다.

Standard Edition 서버 Standard Edition 서버에서는 서버 FQDN이 풀 FQDN과 같습니다.

이 마법사는 설치 시 지정한 SIP 도메인을 검색한 다음 주체 대체 이름에 자동으로 추가합니다.

서버 간 인증에도 이 인증서를 사용할 수 있습니다.

웹 내부

서버의 FQDN

각각 다음과 같습니다.

  • 내부 웹 FQDN(서버의 FQDN과 같음)

  • 모임 단순 URL

  • 전화 접속 단순 URL

  • 관리 단순 URL

또는

  • 단순 URL에 대한 와일드카드 항목

SN=se01.contoso.com, SAN=se01.contoso.com, SAN=meet.contoso.com, SAN=meet.fabrikam.com, SAN=dialin.contoso.com, SAN=admin.contoso.com

와일드카드 인증서 사용:

SN=se01.contoso.com, SAN=se01.contoso.com, SAN=*.contoso.com

토폴로지 작성기에서 내부 웹 FQDN을 덮어쓸 수 없습니다.

모임 단순 URL이 여러 개인 경우 모두 SAN으로 포함해야 합니다.

와일드카드 항목은 단순 URL 항목에 대해 지원됩니다.

웹 외부

서버의 FQDN

각각 다음과 같습니다.

  • 외부 웹 FQDN

  • 전화 접속 단순 URL

  • SIP 도메인에 대한 모임 단순 URL

또는

  • 단순 URL에 대한 와일드카드 항목

SN=se01.contoso.com, SAN=webcon01.contoso.com, SAN=meet.contoso.com, SAN=meet.fabrikam.com, SAN=dialin.contoso.com

와일드카드 인증서 사용:

SN=se01.contoso.com, SAN=webcon01.contoso.com, SAN=*.contoso.com

모임 단순 URL이 여러 개인 경우 모두 주체 대체 이름으로 포함해야 합니다.

와일드카드 항목은 단순 URL 항목에 대해 지원됩니다.

프런트 엔드 풀의 프런트 엔드 서버용 인증서:

 

인증서주체 이름/일반 이름주체 대체 이름설명

기본값

풀의 FQDN

풀의 FQDN 및 서버의 FQDN

SIP 도메인이 여러 개 있고 자동 클라이언트 구성을 활성화한 경우 인증서 마법사는 지원되는 각 SIP 도메인 FQDN을 검색하고 추가합니다.

이 풀이 클라이언트의 자동 로그온 서버이고 그룹 정책에 엄격한 DNS(Domain Name System) 일치가 필요한 경우에는 각 SIP 도메인에 sip.sipdomain에 대한 항목도 필요합니다.

SN=eepool.contoso.com, SAN=eepool.contoso.com, SAN=ee01.contoso.com

이 풀이 클라이언트의 자동 로그온 서버이고 그룹 정책에 엄격한 DNS 일치가 필요한 경우 SAN=sip.contoso.com, SAN=sip.fabrikam.com도 필요합니다.

이 마법사는 설치 시 지정한 SIP 도메인을 검색한 다음 주체 대체 이름에 자동으로 추가합니다.

서버 간 인증에도 이 인증서를 사용할 수 있습니다.

웹 내부

풀의 FQDN

각각 다음과 같습니다.

  • 내부 웹 FQDN(서버의 FQDN과 다름)

  • 서버 FQDN

  • 비즈니스용 Skype 풀 FQDN

  • 모임 단순 URL

  • 전화 접속 단순 URL

  • 관리 단순 URL

또는

  • 단순 URL에 대한 와일드카드 항목

SN=ee01.contoso.com, SAN=ee01.contoso.com, SAN=meet.contoso.com, SAN=meet.fabrikam.com, SAN=dialin.contoso.com, SAN=admin.contoso.com

와일드카드 인증서 사용:

SN=ee01.contoso.com, SAN=ee01.contoso.com, SAN=*.contoso.com

모임 단순 URL이 여러 개인 경우 모두 주체 대체 이름으로 포함해야 합니다.

와일드카드 항목은 단순 URL 항목에 대해 지원됩니다.

웹 외부

풀의 FQDN

각각 다음과 같습니다.

  • 외부 웹 FQDN

  • 전화 접속 단순 URL

  • 관리 단순 URL

또는

  • 단순 URL에 대한 와일드카드 항목

SN=ee01.contoso.com, SAN=webcon01.contoso.com, SAN=meet.contoso.com, SAN=meet.fabrikam.com, SAN=dialin.contoso.com

와일드카드 인증서 사용:

SN=ee01.contoso.com, SAN=webcon01.contoso.com, SAN=*.contoso.com

모임 단순 URL이 여러 개인 경우 모두 주체 대체 이름으로 포함해야 합니다.

와일드카드 항목은 단순 URL 항목에 대해 지원됩니다.

디렉터용 인증서:

 

인증서주체 이름/일반 이름주체 대체 이름

기본값

디렉터 풀

디렉터의 FQDN 및 디렉터 풀의 FQDN

이 풀이 클라이언트의 자동 로그온 서버이고 그룹 정책에 엄격한 DNS 일치가 필요한 경우에는 각 SIP 도메인에 sip.sipdomain에 대한 항목도 필요합니다.

pool.contoso.com, SAN=dir01.contoso.com

이 디렉터 풀이 클라이언트의 자동 로그온 서버이고 그룹 정책에 엄격한 DNS 일치가 필요한 경우 SAN=sip.contoso.com, SAN=sip.fabrikam.com도 필요합니다.

웹 내부

서버의 FQDN

각각 다음과 같습니다.

  • 내부 웹 FQDN(서버의 FQDN과 같음)

  • 모임 단순 URL

  • 전화 접속 단순 URL

  • 관리 단순 URL

또는

  • 단순 URL에 대한 와일드카드 항목

SN=dir01.contoso.com, SAN=dir01.contoso.com, SAN=meet.contoso.com, SAN=meet.fabrikam.com, SAN=dialin.contoso.com, SAN=admin.contoso.com

와일드카드 인증서 사용:

SN=dir01.contoso.com, SAN=dir01.contoso.com, SAN=*.contoso.com

웹 외부

서버의 FQDN

각각 다음과 같습니다.

  • 외부 웹 FQDN

  • SIP 도메인에 대한 모임 단순 URL

  • 전화 접속 단순 URL

또는

  • 단순 URL에 대한 와일드카드 항목

디렉터 외부 웹 FQDN은 프런트 엔드 풀 또는 프런트 엔드 서버와 달라야 합니다.

SN=dir01.contoso.com, SAN=directorwebcon01.contoso.com, SAN=meet.contoso.com, SAN=meet.fabrikam.com, SAN=dialin.contoso.com

와일드카드 인증서 사용:

SN=dir01.contoso.com, SAN=directorwebcon01.contoso.com, SAN=*.contoso.com

독립 실행형 중재 서버용 인증서:

 

인증서주체 이름/일반 이름주체 대체 이름

기본값

풀의 FQDN

풀의 FQDN

풀 구성원 서버의 FQDN

SN=medsvr-pool.contoso.net, SAN=medsvr-pool.contoso.net, SAN=medsvr01.contoso.net

SBA(Survivable Branch Appliance)용 인증서:

 

인증서주체 이름/일반 이름주체 대체 이름

기본값

SBA의 FQDN

SIP.<SIP 도메인>(SIP 도메인당 하나의 항목만 필요)

SN=sba01.contoso.net, SAN=sip.contoso.com, SAN=sip.fabrikam.com

영구 채팅 서버를 설치하는 경우 비즈니스용 Skype 서버 2015 내부 서버에서 사용하는 CA와 동일한 CA에서 발급된 인증서가 필요합니다. 이러한 인증서는 파일 업로드/다운로드용 영구 채팅 웹 서비스를 실행하는 각 서버에 대해 필요합니다. 영구 채팅 설치를 시작하기 전, 그리고 외부 CA를 사용하는 등의 경우에는 반드시 필요한 인증서를 보유하는 것이 좋습니다. 이러한 인증서는 잠깐이면 발급 받을 수 있습니다.

비즈니스용 Skype 서버 2015에서는 액세스 및 웹 회의 에지 외부 인터페이스와 A/V 인증 서비스에 단일 공용 인증서 사용을 지원하며 이 인증서는 에지 서버를 통해 모두 제공됩니다. 에지 내부 인터페이스에서는 일반적으로 내부 CA에서 발급된 개인 인증서를 사용하지만 원하는 경우 신뢰할 수 있는 CA에서 발급된 공용 인증서도 사용할 수 있습니다.

RP(역방향 프록시)에서도 공용 인증서를 사용하며 HTTP(즉, HTTP를 통한 TLS)를 사용해 RP에서 클라이언트로의 통신과 RP에서 내부 서버로의 통신을 암호화합니다.

모바일 기능을 배포하고 모바일 클라이언트에 대해 자동 검색을 지원하는 경우에는 모바일 클라이언트로부터의 보안 연결을 지원하기 위해 인증서에 몇 가지 추가 주체 대체 이름 항목을 포함해야 합니다.

인증서에 자동 검색을 위한 SAN 이름이 있어야 합니다.

  • 디렉터 풀

  • 프런트 엔드 풀

  • 역방향 프록시

아래의 각 표에 구체적인 설명이 나와 있습니다.

이제 몇몇 항목을 미리 계획해도 되지만 경우에 따라 모바일 기능을 배포할 의도 없이 비즈니스용 Skype 서버 2015를 배포하여 사용자 환경에 인증서가 이미 있는 경우 문제가 발생할 수 있습니다. 내부 CA를 통해서는 이러한 인증서를 대체로 쉽게 다시 발급할 수 있지만 공용 CA의 공용 인증서의 경우 비교적 복잡할 수 있습니다.

이 경우에 해당하며 SIP 도메인이 여러 개 있어 SANS 추가 비용이 큰 경우, 초기 자동 검색 서비스 요청에 기본 구성인 HTTPS를 사용하는 대신 HTTP를 사용하도록 역방향 프록시를 구성할 수 있습니다. 자세한 내용은 모바일 기능 계획 항목을 참조하세요.

디렉터 풀 및 프런트 엔드 풀 인증서 요구 사항:

 

설명SAN 항목

내부 자동 검색 서비스 URL

SAN=lyncdiscoverinternal.<SIP 도메인>

외부 자동 검색 서비스 URL

SAN=lyncdiscover.<SIP 도메인>

SAN=*.<SIP 도메인>을 대신 사용할 수 있습니다.

역방향 프록시(공용 CA) 인증서 요구 사항:

 

설명SAN 항목

외부 자동 검색 서비스 URL

SAN=lyncdiscover.<SIP 도메인>

이 SAN은 역방향 프록시의 SSL 수신기에 할당된 인증서에 할당되어야 합니다.

note참고:
역방향 프록시 수신기에는 외부 웹 서비스 URL의 SAN이 있어야 합니다. 디렉터를 배포한 경우(선택 사항)의 SAN=skypewebextpool01.contoso.com 및 dirwebexternal.contoso.com을 예로 들 수 있습니다.

비즈니스용 Skype 서버 2015에서는 모든 파일 저장소에 동일한 파일 공유를 사용할 수 있습니다. 이 경우 다음과 같은 사항을 염두에 둬야 합니다.

  • 파일 공유는 DAS(직접 연결된 저장소) 또는 SAN(저장 영역 네트워크)에 있어야 하며 여기에는 DFS(분산 파일 시스템)뿐 아니라 파일 저장소의 RAID(Redundant Array of Independent Disks)도 포함됩니다. Windows Server 2012용 DFS에 대한 자세한 내용은 이 DFS 페이지를 참조하세요.

  • 파일 공유에 공유 클러스터를 사용하는 것이 좋습니다. 공유 클러스터가 있는 경우 Windows Server 2012 또는 Windows Server 2012 R2를 클러스터링해야 합니다. Windows Server 2008 R2도 허용됩니다. 이전 버전의 Windows에서는 모든 기능을 사용할 수 있는 적절한 사용 권한이 없을 수 있으므로 최신 Windows를 사용해야 합니다. 클러스터 관리자를 사용하여 파일 공유를 만들 수 있습니다. 자세한 내용은 클러스터 만들기 기술 자료 문서를 참조하세요.

Caution주의:
DAS(직접 연결형 저장소)는 파일 공유로 사용할 수 없으므로 위에 나열된 옵션 중 하나만 사용해야 합니다.
 
표시: