원하는 대로 클라우드로 이전(II부): 하이브리드 관리
최초 문서 게시일: 2012년 9월 21일 금요일
Exchange Server 2010의 릴리스와 함께 현재 Exchange Online for Office 365로 모두가 알고 있는 혁신적이고 새로운 클라우드 기반 서비스가 도입되었습니다. 클라우드 초창기에는 많은 시간과 에너지를 들여 사용자 및 조직 데이터를 빠르게 마이그레이션하는 데 전념했으며 온-프레미스 Exchange 엔터프라이즈 배포와 웹 기반 테넌트 간의 공존성을 배포하고 지원하는 데 중점을 두었습니다. 그러나 LORG(대규모 조직)에서는 데이터 마이그레이션의 효율성뿐만 아니라 온-프레미스와 클라우드가 보다 오랜 기간 공존하는 상태를 풍부하게 지원해야 할 필요성이 크다는 피드백을 강하게 제시했습니다. LORG는 이러한 피드백과 함께 온-프레미스와 클라우드 기반 사서함에 대한 전체 기능의 완벽한 관리 환경을 제공해 줄 것을 요청했습니다.
Exchange Server 2010은 EMC(Exchange 관리 콘솔)의 기존 기능을 확장하여 온-프레미스와 Exchange Online의 프레미스 간 공존성 솔루션을 최초로 제공했습니다. EMC는 원래 엔터프라이즈 서버의 대규모 배포를 관리하는 목적으로 설계되었으며 이후에 사실상의 Exchange Server 콘솔(현재는 단순히 "하이브리드"로 지칭)로 발전한 Windows MMC 기반의 클라이언트입니다. EMC는 클라우드(Office 365)로의 효율적인 데이터 마이그레이션을 촉진하고, 대량 편집을 비롯한 프레미스 간 받는 사람 관리 기능을 제공하고, 대부분의 조직 수준 정책 및 개체 관리를 지원했습니다.
EMC는 일반적으로 Exchange Server 역할을 호스팅하는 개별 x64 서버에 사용되거나 "관리 도구 전용" 설치를 통해 워크스테이션에서 별도로 사용됩니다. 이것은 Windows 전용 관리 도구이므로 PowerShell 프로토콜을 통해 원격 서버와 통신하는 데 WinRM과 같은 로컬 서비스를 사용합니다.
그림 1: Exchange Server 2010에서의 하이브리드 관리
EMC는 하이브리드 관리를 위해 관리자가 콘솔 창에 두 번째 "트리"를 추가하여 모든 받는 사람을 확인하고 사서함 마이그레이션을 수행하며 Exchange Online 테넌트와 관련된 조직 개체를 관리할 수 있는 기능을 제공합니다. Exchange Online 전용 배포에서는 EMC를 관리에 사용할 필요가 없으며, Exchange Server 2010에 새롭게 도입된 더 단순한 "ECP(Exchange 제어판)" 콘솔을 사용하면 됩니다.
하이브리드는 Exchange 서버 자체의 고유한 제공 사항이 아니라 공존성 상태로 생각해야 합니다. 공존성 상태는 온-프레미스 서버가 인터넷 기반 서비스와 협력하여 상호 작용하는 것을 의미합니다. 하이브리드의 개념은 Exchange 제품군에 고유한 것이 아니라 SharePoint 및 Lync를 비롯한 보다 광범위한 Microsoft Office 서버 제품군에 걸쳐 찾을 수 있습니다.
Exchange 하이브리드의 경우 일반적으로 일련의 사서함과 정책이 온-프레미스와 Office 365에 걸쳐 배포되어 하나의 "가상" 조직으로 작동하는 것을 나타냅니다. 하이브리드 설치와 배포에 대한 이전 블로그 게시물을 통해 두 프레미스 관점에서 이러한 공존성 상태가 내부 배포로 인식된다는 것을 설명했습니다. 다시 말해서, Office 365 테넌트에서 온-프레미스 받는 사람으로의 프레미스 간 메일 흐름 시 인증서가 자동으로 추가되어, 전송된 메일이 실제로 인터넷을 통해 전용 하이브리드 메일 커넥터를 사용하여 도착했더라도 해당 조직 내에서 온 것처럼 신뢰됩니다.
조직의 요구 사항에 맞춰 온-프레미스와 Office 365 서비스 간의 받는 사람을 구성하는 다양한 가능성과 방법이 있습니다. 예를 들어 한 조직에서는 2년 내에 온-프레미스 받는 사람 전부를 테넌트로 이동하려고 계획할 수 있고, 다른 조직에서는 모든 자료실 사서함을 Office 365 테넌트에 즉시 추가하려고 할 수 있습니다. 또 다른 조직에서는 온라인 테넌트를 사용하여 안전하게 온라인 보관 사서함을 호스팅하려고 할 수 있습니다. 요점은 각 기업의 요구 사항에 맞출 수 있도록 유연성 있는 하이브리드를 제공한다는 것입니다.
이 블로그 게시물은 “원하는 대로 클라우드로 이전 - I부”의 내용에 이어 가장 일반적인 시나리오를 중심으로 "안정적인 상태"의 하이브리드 관리에 대해 설명합니다.
이 게시물에서는 다음과 같은 선행 조건이 이미 충족된 것으로 간주합니다.
- 하나 이상의 Exchange Server 2013 클라이언트 액세스 서버(CAS15)와 사서함 서버(MBX15) 역할이 설치되어 있습니다. 각 유형의 역할이 별도로 설치되어 있거나 둘 다 하나의 서버(예: 이전 Exchange Server 버전이 포함된 상호 운용성 환경)에 있을 수 있습니다.
- Exchange Server 2013과 함께 하이브리드 배포를 구성하려면 Office 365 테넌트 버전이 15.0.000.0 이상이어야 합니다. 라이선스 및 가격 책정 계획에 대한 자세한 최신 정보는 Office 365 사이트를 참조하십시오.
- Office 365 관리 포털을 통해 공존성을 사용하도록 설정하고 공존성 도메인 소유권 증명을 비롯하여 명시된 기타 모든 선행 조건 단계를 수행했습니다.
- Office 365 테넌트에 액세스하는 데 필요한 "테넌트 관리자" Microsoft 계정 자격 증명에 대한 액세스 권한을 가지고 있습니다.
- 모든 온-프레미스 의존 관계가 갖춰져 있습니다(:예 Active Directory 동기화 설치).
- 하이브리드 구성 마법사가 성공적으로 실행되었습니다. Exchange 2010과 Office 365를 통해 하이브리드를 이미 사용하고 있었던 경우 이전 하이브리드 구성 설정을 업그레이드하는 작업이 여기에 포함될 수 있습니다.
- 기본 제공되는 “관리자” 받는 사람 계정을 사용하고 있지 않습니다. 하이브리드 관리에 이것이 지원되지 않는 이유에 대한 자세한 정보를 확인해 보십시오.
그림 2: 새로운 Exchange의 하이브리드 구성 마법사 (Ben Appleby의 이전 게시물에서 검토한 내용 )
먼저 새로운 Exchange의 EAC(Exchange 관리자 센터)를 통한 새로운 하이브리드 관리 콘솔을 주석과 함께 소개하도록 하겠습니다.
A) “엔터프라이즈(Enterprise)”와 “Office 365” 피벗 - 온-프레미스 배포와 온라인 Office 365 테넌트 간에 전환하는 데 사용합니다.
B) 하나의 통합된 중앙 목록으로, 알림의 발생지와 현재 사용 중인 피벗에 관계없이 모든 알림이 여기에 표시됩니다(예: 온-프레미스에서 Office 365로의 사서함 마이그레이션 추적).
C) 두 프레미스의 모든 받는 사람이 포함된 단일 목록 보기
D) 원격으로(Office 365) 호스팅된 사서함에 대한 "세부 정보 창"
E) 탐색 탭을 통한 사서함 마이그레이션 진입점
새로운 Exchange의 하이브리드 방침은 매우 단순합니다. 거의 모든 장소에서 모든 프레미스의 조직을 관리할 수 있는 친숙한 하나의 콘솔을 관리자에게 제공하는 것입니다.
새로운 기능을 간략히 요약하면 다음과 같습니다.
1) Exchange 관리자를 위한 전체 기능을 갖춘 새로운 브라우저 기반의 콘솔을 활용합니다. 이를 통해 하이브리드 "관리 도구" 설치를 최신 상태로 유지하는 데 필요한 유지 관리 비용이 절감됩니다. Exchange Server 2013 사서함 서버를 업데이트하기만 하면 모든 EAC 관리가 최신 상태로 유지됩니다.
2) 사서함 서버에 있는 ECP(EAC의 프로토콜 이름) IIS 가상 디렉터리의 보안 구성에 따라 도메인 연결 컴퓨터에 대한 외부 및 내부 관리자 액세스를 모두 허용하거나 내부 액세스만 허용할 수 있습니다.
3) 하나의 브라우저 탭에서 받는 사람과 조직 개체(예: 주소 목록 및 정책)를 모두 제어할 수 있습니다.
4) 모든 프레미스에 걸친 하나의 통합된 Exchange 알림
5) ADFS 2.0을 통한 Single Sign-On 지원 - Single Sign-On 배포와 관리에 대해서만 집중적으로 다루는 게시물을 곧 게재할 예정입니다. Single Sign-On 사용 준비에 대한 자세한 내용은 Office 365에서 제공됩니다.
그림 4: 하이브리드 모드를 위한 ADFS Single Sign-On 모듈
6) 모든 프레미스의 “다른 사용자 …” 관리 - 휴가 중인 다른 사용자를 대신하여 부재 중 메시지를 설정하는 것과 같은 지원 센터 시나리오를 수행하려면 콘솔 오른쪽 위의 표시 이름 옆에 있는 “다른 사용자 …” 옵션을 사용하면 됩니다. 그러면 모든 프레미스의 전체 받는 사람 목록이 표시됩니다.
그림 5: "다른 사용자 ..." 병합된 받는 사람 보기 관리
이미 HCW(하이브리드 구성 마법사)를 실행했거나 PowerShell에서 직접 Update-HybridConfiguration cmdlet을 실행한 경우 EAC의 하이브리드 모드를 이미 사용하고 있는 것입니다. 실제로 EAC의 “하이브리드(Hybrid)” 탭에서 “사용(enable)”을 클릭하면 Microsoft 계정 자격 증명을 입력하라는 메시지가 나타나고 해당 테넌트가 검색된 후에는 다시 EAC로 돌아가지만 이때는 하이브리드 모드로 실행됩니다.
이후에는 HCW를 성공적으로 실행한 후에 하이브리드 모드에 들어가기 위해 별도로 해야 할 작업이 없습니다. 이는 마법사에서 프레미스 간 메일 흐름 및 데이터(즉, 약속 있음/없음 정보) 공유 서비스와 같은 주요 시나리오를 사용하도록 설정할 뿐만 아니라 요청 시 자동으로 EAC에 하이브리드 모드를 사용하도록 설정하는 온-프레미스 아티팩트를 만들기 때문입니다. 구체적으로 설명하면, Update-HybridConfiguration이 HCW를 통해 특수한 Remote-Domain 개체를 만들며, EAC에서 -TargetDeliveryDomain(TDD) 속성이 감지될 경우 이 Remote-Domain 개체가 EAC 하이브리드 모드를 자동으로 시작합니다.
하이브리드 모드를 사용할 때 경험하는 가장 큰 차이점 중 하나는 “Office 365” 탭을 클릭하면 Microsoft 계정 또는 ADFS 자격 증명을 통해 온라인 테넌트에 로그인하라는 메시지가 표시된다는 점입니다. 성능상의 이유로 EAC에서는 하이브리드 모드를 사용할지 여부를 캐시하고 로그온 할 때마다 확인하지 않습니다. 캐시 상태는 30분마다 자동으로 새로 고쳐집니다. TDD를 사용하여 원격 도메인을 수동으로 만들었고 즉시 하이브리드 모드를 사용해야 하는 경우 Exchange Server 2013 사서함 서버에서 IIS를 다시 시작해야 합니다.
Exchange 2010 및/또는 Exchange 2007 서버가 있는 온-프레미스 상호 운용성 환경에서 하이브리드를 관리하는 경우 세심하게 고려해야 할 사항이 몇 가지 있습니다.
상호 운용성 배포에서는 관리자 사서함이 새로운 Exchange에 있지 않은 경우 로그온 시 배포에 액세스하는 데 사용하는 URI로 사용해야 하는 추가 기능이 있습니다. 이러한 URI 키는 대부분의 경우 기본적으로 추가되지 않지만 향후 릴리스에서 미리 빌드된 링크가 포함될 수 있으니 계속 관심을 가지고 자세한 정보를 확인하십시오. 간편히 참조할 수 있도록 필요한 키/값 쌍과 함께 URI의 책갈피를 만드는 것이 좋습니다.
상호 운용성 기능 | 참고 사항 |
---|---|
관리자 사서함을 새로운 Exchange로 아직 마이그레이션하지 않은 경우 “ExchClientVer=15” 키/값을 사용하여, 사서함 저장소가 있는 위치가 아닌 Exchange Server 2013 사서함 서버로 라우팅되도록 해야 합니다.
이는 저장소가 없는 “메일 사용자” 계정에도 적용됩니다.
예를 들면 다음과 같습니다. https://contoso.com /ecp?ExchClientVer=15 |
이것은 순수 온-프레미스 관리에도 적용됩니다. Exchange Server 2013 클라이언트 액세스 서버는 기본적으로 자격 증명에 연결된 동일한 버전의 사서함을 기반으로 사서함 서버로 라우팅됩니다. 또한 이것은 “메일 사용자”에게도 적용됩니다. 메일 사용자는 사서함 저장소를 갖지 않지만 이들이 처음 만들어진 SYSTEM 사서함(이전에 마이그레이션되지 않은 경우)에 대한 참조를 포함하고 있기 때문입니다. 온-프레미스에 Exchange Server 2013을 설치할 때 설치 관리자의 마지막 단계에서 “ExchClientVer=15”를 자동으로 추가하는 링크가 표시되며, 이를 통해 EAC로 쉽게 이동할 수 있습니다. |
Single Sign-On에 대한 ADFS 인증 모드를 사용하기 위한 힌트로 “cross=1"을 사용합니다.
예를 들면 다음과 같습니다. https://contoso.com /ecp?ExchClientVer=15&cross=1 |
공유 OWA 및 ECP 프로토콜 인증 모듈에서 ADFS 모드를 사용하려면 힌트가 필요합니다. Outlook Web App 가상 디렉터리는 현재 ADFS 인증 방법을 지원하지 않습니다. |
Exchange Server에서 기본 제공되는 "관리자" 계정은 하이브리드 관리 시 사용하면 안 됩니다.
ADFS를 통해 SSO(Single Sign-On)에 "관리자" 계정을 사용하려고 할 경우 하이브리드 배포의 “Office 365” 쪽을 관리할 수 없습니다. |
이 모범 사례는 상호 운용성 환경과 상호 운용성 이외 환경에 모두 적용됩니다.
Exchange의 기본 제공되는 "관리자" 계정은 Microsoft Online 디렉터리 동기화(“DirSync”)를 통해 온-프레미스와 Office 365 테넌트 간에 동기화되지 않습니다.
“관리자” 계정을 사용하여 하이브리드 테넌트 쪽을 관리하려고 하면 Office 365에 대응되는 "메일 사용자" 계정이 없기 때문에 ADFS에서 오류 메시지가 표시됩니다.
“관리자”인 사용자는 디렉터리 동기화 규칙에 따라 개체 속성이 isCriticalSystemObject = TRUE이므로 동기화되지 않습니다. |
“엔터프라이즈(Enterprise)” 피벗의 "사서함(mailboxes)” 탭에서 모든 받는 사람의 전체 목록을 볼 수 있습니다. 하이브리드 모드에서 새 받는 사람을 만들고 관리할 때에는 몇 가지 유의해야 할 사항이 있습니다.
하이브리드로 받는 사람을 프로비저닝하거나 수정할 때 따라야 하는 단순한 규칙은 항상 온-프레미스 “엔터프라이즈(Enterprise)” 쪽을 사용해야 한다는 것입니다. 이는 MSO 디렉터리 동기화 서비스가 대부분 단방향으로 동기화되는 특성을 갖기 때문이며 이렇게 할 때 온-프레미스와 테넌트 양측에서 모든 받는 사람 Active Directory 정보의 동일한 복사본을 갖게 됩니다.
그림 7: Office 365 테넌트에서 메일 사용자로 지칭되는 온-프레미스 사서함
받는 사람 유형 | 참고 사항 |
---|---|
온-프레미스 사용자 사서함 | “엔터프라이즈(Enterprise)” 피벗에서 평소와 같이 만듭니다. 온-프레미스 사용자 사서함은 테넌트에 동기화되며 "Office 365"의 "연락처(contacts)" 탭을 통해 동기화된 것을 확인할 수 있습니다(위 그림 참조). 보시다시피 이러한 사서함은 테넌트 내에서 "메일 사용자"로 만들어집니다. 사용자가 온라인에서 “메일 사용자”로 나타나도록 할 때 완전한 GAL(전체 주소 목록)이 작성될 수 있습니다. |
주 사서함이 온-프레미스에 있고 보관 사서함이 Office 365 테넌트에 있는 사용자 | 온-프레미스 주 사서함에 대한 보관 사서함을 테넌트에서 처음 만들거나(아래 그림 참조) 온-프레미스에서 마이그레이션할 수 있습니다. |
Office 365 주 사서함을 갖는 사용자 | “엔터프라이즈(Enterprise)" 쪽에 "Office 365" 사서함으로 나타납니다. PowerShell에서 볼 때 Get-Mailbox cmdlet 출력 값인 “RecipientTypeDetails”에 해당하는 원격 개체는 Microsoft Online 디렉터리 동기화를 통해 메일 사용자를 Office 365 테넌트에 동기화하는 특별한 매개 변수(RemoteRoutingAddress)가 추가된 메일 사용자와 유사합니다. |
메일 연락처 및 배포 그룹 | 이러한 개체 유형은 Office 365 쪽에 자동으로 동기화되어 양쪽에서 동일한 위치에 있게 됩니다. 현재는 15,000명이 넘는 구성원을 갖는 온-프레미스 그룹은 디렉터리 동기화 서비스에서 필터링되어 제외되고 동기화되지 않습니다. |
하이브리드 모드에서 새 Office 365 사서함을 프로비저닝하는 작업은 온-프레미스 “사서함(mailbox)” 탭에서 시작됩니다. 새로 만들기 아이콘의 드롭다운 목록에서 “Office 365 사서함(Office 365 mailbox)" 유형을 선택합니다. 테넌트에서 새 사서함을 만드는 것은 사용 가능한 클라이언트 라이선스에 영향을 미칠 수 있습니다. Microsoft 계정 자격 증명을 사용하여 Office 365 포털에서 사용 가능한 라이선스와 계획을 확인하십시오.
“Office 365” 서비스 쪽에는 하이브리드 모드에서 EAC를 사용하여 사서함을 만드는 옵션이 없습니다. 이를 통해 모든 새 사서함이 온-프레미스 쪽에서 프로비저닝되어 완전한 받는 사람 복사본이 만들어집니다. Office 365 포털에서 바로 새 Office 365 사서함을 프로비저닝할 수도 있지만 이 사서함은 Office 365에서 온-프레미스로 "역방향 동기화"가 되지 않아 메일 흐름 문제가 발생할 수 있으므로 하이브리드 배포에서는 이 방법을 사용하지 않아야 합니다.
하이브리드 모드에서는 “Office 365” 쪽에서 받는 사람을 수정하는 것도 권장되거나 허용되지 않습니다. 이렇게 하면 받는 사람이 프레미스 간 배포의 한 쪽에서 최신 상태로 유지되지 않습니다. 실제로 이 작업은 복사본 차이를 방지하기 위해 RBAC(역할 기반 액세스 제어) 런타임 유효성 검사 규칙에 의해 차단됩니다(아래 오류 메시지 참조).
그림 9: 차이가 발생하지 않도록 서비스 쪽에서 받는 사람을 편집하는 것이 차단됨
저희가 Exchange 관리 센터의 새로운 하이브리드 모드에 대해 기대가 큰 만큼 여러분도 모두 기대해 주셨으면 합니다. 마이그레이션, ADFS를 통한 Single Sign-On, 하이브리드 디버깅 등 다양한 주제를 다루는 더 많은 글을 곧 게시할 예정이니 관심을 가지고 지켜봐 주십시오.
Warren Johnson
이 문서는 번역된 블로그 게시물입니다. 원본 문서는 The Cloud On Your Terms (PART II): Managing Hybrid를 참조하십시오.