클라우드 폴더 배포 계획
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10, Windows 8.1, Windows 7
이 항목에서는 클라우드 폴더 구현을 위한 디자인 프로세스를 설명하며, 다음과 같은 배경 지식이 있는 것으로 가정합니다.
클라우드 폴더에 대한 기본적인 이해가 있어야 합니다(클라우드 폴더에 설명된 대로).
AD DS(Active Directory Domain Services) 개념에 대한 기본 이해
Windows 파일 공유 및 관련 기술에 대한 기본 이해
SSL 인증서 사용에 대한 기본 이해
역방향 웹 프록시를 통해 내부 리소스의 웹 액세스를 사용하는 방법에 대한 기본 이해
다음 섹션에서는 클라우드 폴더 구현을 디자인하는 데 유용한 정보를 제공합니다. 클라우드 폴더 배포에 대한 내용은 다음 항목인 Deploying Work Folders에서 설명합니다.
소프트웨어 요구 사항
클라우드 폴더에는 파일 서버와 네트워크 인프라에 대한 다음과 같은 소프트웨어 요구 사항이 있습니다.
사용자 파일과 동기화 공유를 호스팅하기 위해 Windows Server 2012 R2 또는 Windows Server 2016을 실행하는 서버
사용자 파일을 저장하기 위한 NTFS 파일 시스템으로 포맷된 볼륨
Windows 7 PC에서 암호 정책을 적용하려면 그룹 정책 암호 정책을 사용해야 합니다. 또한 클라우드 폴더 암호 정책(사용하는 경우)에서 Windows 7 PC를 제외해야 합니다.
클라우드 폴더를 호스트할 각 파일 서버에 대한 서버 인증서입니다. 이러한 인증서는 사용자가 신뢰하는 CA(인증 기관)(이상적으로는 공용 CA)에서 가져온 것이어야 합니다.
(선택 사항) Windows Server 2012 R2에서 스키마 확장이 있는 Active Directory 도메인 Services 포리스트는 여러 파일 서버를 사용할 때 PC 및 디바이스를 올바른 파일 서버에 자동으로 참조할 수 있도록 지원합니다.
사용자가 인터넷을 통해 동기화할 수 있도록 하려면 다음과 같은 추가 요구 사항을 충족해야 합니다.
조직의 역방향 프록시 또는 네트워크 게이트웨이에 게시 규칙을 만들어 인터넷에서 서버에 액세스할 수 있도록 하는 기능
(선택 사항) 공개적으로 등록된 do기본 이름 및 할 일의 추가 공용 DNS 레코드를 만드는 기능입니다기본
(선택 사항) AD FS 인증을 사용할 경우 AD FS(Active Directory Federation Services) 인프라
클라우드 폴더에는 클라이언트 컴퓨터에 대한 다음과 같은 소프트웨어 요구 사항이 있습니다.
컴퓨터에서 다음 운영 체제 중 하나를 실행해야 합니다.
Windows 10
Windows 8.1
Windows RT 8.1
Windows 7
Android 4.4 KitKat 이상
iOS 10.2 이상
Windows 7 PC에서 다음 Windows 버전 중 하나를 실행해야 합니다.
Windows 7 Professional
Windows 7 Ultimate
Windows 7 Enterprise
Windows 7 PC는 조직의 작업에 가입해야 합니다기본(작업 그룹에 조인할 수 없습니다).
로컬 NTFS 형식 드라이브의 여유 공간이 충분하여 모든 사용자의 파일을 클라우드 폴더에 저장할 수 있으며, 기본적으로 클라우드 폴더가 시스템 드라이브에 있는 경우 추가로 6GB의 여유 공간이 있습니다. 클라우드 폴더의 위치는 기본적으로 %USERPROFILE%\Work Folders입니다.
그러나 설정하는 동안 사용자가 위치를 변경할 수 있습니다(NTFS 파일 시스템으로 포맷된 microSD 카드와 USB 드라이브가 지원되는 위치이며, 드라이브가 제거된 경우 동기화가 중지됨).
개별 파일의 최대 크기는 기본적으로 10GB입니다. 관리자가 파일 서버 리소스 관리자의 할당량 기능을 사용하여 할당량을 구현할 수 있지만 사용자당 스토리지 제한은 없습니다.
클라우드 폴더는 클라이언트 가상 머신의 가상 머신 상태 롤백을 지원하지 않습니다. 대신 시스템 이미지 백업 또는 다른 백업 응용 프로그램을 사용하여 클라이언트 가상 머신 내에서 백업 및 복원 작업을 수행합니다.
참고 항목
모든 클라우드 폴더 서버 및 Windows 8.1 또는 Windows Server 2012 R2를 실행하는 모든 클라이언트 컴퓨터에 Windows 8.1 및 Windows Server 2012 R2 일반 공급 업데이트 롤업을 설치해야 합니다. 자세한 내용은 Microsoft 기술 자료 문서 2883200 을 참조하세요.
배포 시나리오
고객 환경 내의 원하는 파일 서버에 클라우드 폴더를 구현할 수 있습니다. 따라서 고객의 요구 사항에 따라 클라우드 폴더 구현을 확장할 수 있으므로 고도로 개별화된 배포가 가능합니다. 그러나 대부분의 배포는 다음 세 가지 기본 시나리오 중 하나에 해당합니다.
단일 사이트 배포
단일 사이트 배포에서는 파일 서버가 고객 인프라의 중앙 사이트 내에서 호스팅됩니다. 이 배포 유형은 인프라가 중앙에 매우 집중되어 있거나 로컬 파일 서버를 유지하지 않는 소규모 지점이 많은 고객에게 일반적입니다. 이 배포 모델은 모든 서버 자산이 로컬이므로 IT 직원이 보다 쉽게 관리할 수 있으며, 인터넷 송/수신도 이 위치에서 중앙 집중화될 가능성이 높습니다. 그러나 이 배포 모델은 중앙 사이트와 지점 간의 원활한 WAN 연결을 기반으로 하므로 지점의 사용자가 네트워크 상태로 인한 서비스 중단에 취약할 수 있습니다.
다중 사이트 배포
다중 사이트 배포에서 파일 서버는 고객의 인프라 내의 여러 위치에서 호스트됩니다. 따라서 데이터 센터가 여러 개 있거나 지점에서 개별 파일 서버를 유지 관리할 수 있습니다. 이 배포 모델은 대규모 고객 환경 또는 로컬 서버 자산을 유지 관리하는 여러 개의 대규모 지점이 있는 고객에게 일반적입니다. 이 배포 모델은 IT 담당자가 관리하기 복잡하며, 사용자가 클라우드 폴더의 올바른 동기화 서버를 사용할 수 있도록 AD DS(Active Directory 도메인 서비스)의 데이터 스토리지 및 유지 관리를 신중히 조정해야 합니다.
호스팅된 배포
호스팅된 배포에서는 동기화 서버가 Windows Azure VM과 같은 IAAS(Infrastructure-as-a-Service) 솔루션에 배포됩니다. 이 배포 방법은 파일 서버의 가용성이 고객의 비즈니스 내에서 WAN 연결에 덜 의존하게 만들 수 있다는 장점이 있습니다. 디바이스에서 인터넷에 연결할 수 있으면 해당 동기화 서버에 연결할 수 있습니다. 그러나 호스트된 환경에 배포된 서버는 여전히 조직의 Active Directory do기본 연결하여 사용자를 인증할 수 있어야 하며, 고객은 온-프레미스에서 인프라 요구 사항을 거래하여 해당 연결을 기본 더 복잡합니다.
배포 기술
클라우드 폴더 배포는 내부 및 외부 네트워크의 디바이스에 서비스를 제공하기 위해 함께 작동하는 여러 기술로 구성됩니다. 클라우드 폴더 배포를 디자인하기 전에 고객은 다음 각 기술에 대한 요구 사항을 알아야 합니다.
Active Directory Domain Services
AD DS는 클라우드 폴더 배포에서 중요한 두 가지 서비스를 제공합니다. 첫째, Windows 인증을 위한 백 엔드로서 AD DS는 사용자 데이터에 대한 액세스 권한을 부여하는 데 사용되는 보안 및 인증 서비스를 제공합니다. 할기본 컨트롤러에 연결할 수 없는 경우 파일 서버는 들어오는 요청을 인증할 수 없으며 디바이스는 해당 파일 서버의 동기화 공유에 저장된 데이터에 액세스할 수 없습니다.
둘째, AD DS(Windows Server 2012 R2 스키마 업데이트 포함)는 각 사용자에 대한 msDS-SyncServerURL 특성을 기본. 이 특성은 사용자를 적절한 동기화 서버로 자동으로 리디렉션하는 데 사용됩니다.
파일 서버
Windows Server 2012 R2 또는 Windows Server 2016을 실행하는 파일 서버는 클라우드 폴더 역할 서비스를 호스트하고 사용자의 클라우드 폴더 데이터를 저장하는 동기화 공유를 호스트합니다. 또한 파일 서버는 내부 네트워크에서 작동하는 다른 기술(예: 파일 공유)에 의해 저장된 데이터를 호스팅할 수 있으며, 사용자 데이터에 대한 내결함성을 제공하도록 클러스터될 수 있습니다.
그룹 정책
환경에 Windows 7 PC가 있는 경우 다음을 수행하는 것이 좋습니다.
클라우드 폴더를 사용하는 모든 도메인 가입 PC에 대해 그룹 정책을 사용하여 암호 정책을 제어합니다.
클라우드 폴더를 사용하여 자동으로 잠금 화면을 사용하고 사용자의 작업에 조인되지 않은 PC의 암호 정책이 필요합니다기본.
또한 그룹 정책을 사용하여 도메인에 가입된 PC의 클라우드 폴더 서버를 지정할 수도 있습니다. 이는 클라우드 폴더 설정을 약간 간소화합니다. 그룹 정책을 사용하지 않으면 사용자가 회사 이메일 주소를 입력하여 설정을 조회(클라우드 폴더가 올바르게 설정되었다고 가정할 경우)하거나, 이메일 또는 다른 통신 수단을 통해 명시적으로 제공받은 클라우드 폴더 URL을 입력해야 합니다.
그룹 정책을 사용하여 사용자 또는 컴퓨터별로 클라우드 폴더를 강제로 설정할 수도 있습니다. 그러나 이 경우 사용자가 로그인(사용자별 정책 설정을 사용할 경우)하는 모든 PC에서 클라우드 폴더가 동기화되며 사용자가 자신의 PC에서 클라우드 폴더의 대체 위치(예: 기본 드라이브의 공간을 절약하기 위한 microSD 카드)를 지정할 수 없게 됩니다. 따라서 자동 설정을 강제로 적용하기 전에 사용자의 요구 사항을 신중히 평가하는 것이 좋습니다.
Windows Intune
Windows Intune도 도메인에 가입되지 않은 디바이스에 대해 다른 방식으로는 제공할 수 없는 보안 및 관리 효율성을 제공합니다. Windows Intune을 사용하여 인터넷을 통해 클라우드 폴더에 연결하는 태블릿과 같은 사용자의 개인 디바이스를 구성하고 관리할 수 있습니다. Windows Intune은 디바이스에 사용할 동기화 서버 URL을 제공할 수 있습니다. 그렇지 않으면 사용자가 설정을 조회하기 위해 회사 전자 메일 주소를 입력하거나(공용 클라우드 폴더 URL을 contoso.com 형식https://workfolders.으로 게시하는 경우) 동기화 서버 URL을 직접 입력해야 합니다.
Windows Intune 배포가 없으면 사용자는 외부 디바이스를 수동으로 구성해야 하므로 고객의 지원 센터 직원에 대한 요구가 증가할 수 있습니다.
Windows Intune을 사용하면 나머지 데이터에 대한 영향 없이 사용자 디바이스의 클라우드 폴더에서 데이터를 선택적으로 지울 수 있습니다. 이는 사용자가 퇴사하거나 디바이스를 도난 당한 경우에 편리합니다.
웹 애플리케이션 프록시 또는 Microsot Entra 애플리케이션 프록시
클라우드 폴더는 인터넷에 연결된 디바이스가 내부 네트워크에서 비즈니스 데이터를 안전하게 검색할 수 있도록 하는 개념을 기반으로 작성되었으며, 이를 통해 사용자는 일반적으로 작업 파일에 액세스할 수 없는 태블릿 및 디바이스에서 "데이터를 가져와"할 수 있습니다. 이를 위해서는 역방향 프록시를 사용하여 동기화 서버 URL을 게시하고 인터넷 클라이언트에서 이를 사용할 수 있도록 해야 합니다.
클라우드 폴더는 웹 애플리케이션 프록시, Microsoft Entra 애플리케이션 프록시 또는 타사 역방향 프록시 솔루션 사용을 지원합니다.
웹 애플리케이션 프록시 온-프레미스 역방향 프록시 솔루션입니다. 자세한 내용은 Windows Server 2016의 웹 애플리케이션 프록시 참조하세요.
Microsoft Entra 애플리케이션 프록시는 클라우드 역방향 프록시 솔루션입니다. 자세한 내용은 온-프레미스 애플리케이션에 대한 보안 원격 액세스를 제공하는 방법을 참조 하세요.
추가 디자인 고려 사항
위에 설명된 각 구성 요소를 이해하는 것 외에도 고객은 운영할 동기화 서버 및 공유 수, 장애 조치(failover) 클러스터링을 활용하여 이러한 동기화 서버에 대한 내결함성을 제공할지 여부 등을 결정해야 합니다.
동기화 서버 수
고객은 하나의 환경에서 여러 동기화 서버를 운영할 수 있습니다. 이 구성의 장점은 다음과 같습니다.
사용자의 지리적 분산 - 지점 파일 서버 또는 지역 데이터 센터 등
데이터 스토리지 요구 사항 – 특정 비즈니스 부서에 전용 서버를 사용할 경우 보다 용이한 특정 데이터 저장/처리 요구 사항이 있을 수 있습니다.
부하 분산 – 대규모 환경의 경우 여러 서버에 사용자 데이터를 저장하면 서버 성능 및 가동 시간이 증가할 수 있습니다.
클라우드 폴더 서버 확장 및 성능에 대한 자세한 내용은 클라우드 폴더 배포를 위한 성능 고려 사항(영문)을 참조하세요.
참고 항목
여러 동기화 서버를 사용할 때는 사용자에 대해 자동 서버 검색을 설정하는 것이 좋습니다. 이 프로세스는 AD DS의 각 사용자 계정에 대한 특성 구성을 기반으로 합니다. 이 특성의 이름은 msDS-SyncServerURL이며 Windows Server 2012 R2 do기본 컨트롤러가 do기본에 추가되거나 Active Directory 스키마 업데이트가 적용된 후 사용자 계정에서 사용할 수 있습니다. 사용자가 적절한 동기화 서버에 연결되도록 하려면 각 사용자에 대해 이 특성을 설정해야 합니다. 조직에서는 자동 서버 검색을 사용하여 작업 중인 동기화 서버 수에 관계없이 "친숙한" URL https://workfolders.contoso.com뒤에 클라우드 폴더를 게시할 수 있습니다.
동기화 공유 수
개별 동기화 서버에서 여러 동기화 공유를 유지할 수 있습니다. 이 구성의 장점은 다음과 같습니다.
감사 및 보안 요구 사항 – 특정 부서에서 사용하는 데이터에 대해 감사를 강화하거나 보다 장기간 보존해야 하는 경우 관리자는 별도의 동기화 공유를 통해 감사 수준이 서로 다른 사용자 폴더를 별도로 유지할 수 있습니다.
서로 다른 할당량 또는 파일 차단 - 여러 스토리지 할당량을 설정하거나 사용자 그룹별로 클라우드 폴더에서 허용되는 파일 형식을 제한(파일 차단)하려는 경우 별도의 동기화 공유가 유용할 수 있습니다.
부서별 제어 – 관리 업무가 부서별로 분산된 경우 부서마다 별도의 공유를 활용하면 관리자가 할당량 또는 기타 정책을 적용하기가 용이해집니다.
서로 다른 디바이스 정책 - 조직에서 다양한 사용자 그룹에 대해 여러 디바이스 정책(예: 클라우드 폴더 암호화)을 유지해야 하는 경우 여러 공유를 사용할 수 있습니다.
스토리지 용량 - 파일 서버에 여러 볼륨이 있는 경우 추가 공유를 사용하여 이러한 추가 볼륨을 활용할 수 있습니다. 개별 공유에서는 호스팅되는 볼륨에만 액세스할 수 있으며, 파일 서버의 추가 볼륨을 활용할 수 없습니다.
동기화 공유 액세스
사용자가 액세스할 수 있는 동기화 서버는 해당 클라이언트에 입력된 URL(또는 서버 자동 검색을 사용하는 경우 해당 사용자에 대해 AD DS에 게시된 URL)에 따라 결정되는 반면, 개별 동기화 공유에 대한 액세스는 해당 공유에 대한 사용 권한에 따라 결정됩니다.
따라서 고객이 같은 서버에서 여러 동기화 공유를 호스팅하는 경우 개별 사용자에게 이러한 공유 중 하나에만 액세스할 수 있는 권한이 있는지 확인해야 합니다. 그렇지 않으면 사용자가 서버에 연결할 때 해당 클라이언트가 잘못된 공유에 연결될 수 있습니다. 이와 같이 구성하려면 각 동기화 공유에 대해 별도의 보안 그룹을 만들면 됩니다.
또한 동기화 공유 내의 개별 사용자 폴더에 대한 액세스는 폴더에 대한 소유권 권한에 따라 결정됩니다. 동기화 공유를 만들 때 클라우드 폴더는 기본적으로 사용자에게 자신의 파일에 대한 독점 액세스 권한을 부여합니다(상속을 허용하지 않으며 사용자를 자신의 개별 폴더에 대한 소유자로 지정함).
디자인 검사 목록
다음 디자인 질문은 환경에 가장 적합한 클라우드 폴더 구현을 디자인하도록 도와줍니다. 고객은 서버를 배포하기 전에 이 검사 목록을 통해 작업해야 합니다.
대상 사용자
어떤 사용자가 클라우드 폴더를 사용합니까?
사용자가 어떻게 구성되어 있습니까? (지리적, 사무실별, 부서별 등)
사용자에게 데이터 스토리지, 보안 또는 보존에 대한 특별한 요구 사항이 있습니까?
사용자에게 암호화와 같은 특정 디바이스 정책 요구 사항이 있습니까?
어떤 클라이언트 컴퓨터와 디바이스를 지원해야 합니까(Windows 8.1, Windows RT 8.1, Windows 7)?
Windows 7 PC를 지원하고 암호 정책을 사용하려는 경우 작업 폴더 암호 정책에서 컴퓨터 계정을 저장하는 기본 제외하고, 대신 그룹 정책 암호 정책을 사용하여 기본 가입된 PC를 기본.
폴더 리디렉션과 같은 다른 사용자 데이터 관리 솔루션과 상호 운용하거나 이러한 솔루션에서 마이그레이션해야 합니까?
여러 도메인의 사용자가 인터넷을 통해 단일 서버와 동기화해야 합니까?
도메인에 가입된 PC에서 로컬 관리자 그룹의 구성원이 아닌 사용자를 지원해야 합니까? (그렇다면 암호화 및 암호 정책과 같은 클라우드 폴더 디바이스 정책에서 관련 도메인을 제외해야 함)
인프라 및 용량 계획
동기화 서버가 네트워크에 있어야 하는 사이트는 어디입니까?
동기화 서버가 Azure VM과 같이 IaaS(Infrastructure as a Service) 공급자에 의해 호스팅됩니까?
특정 사용자 그룹에 전용 서버가 필요합니까? 그렇다면 각 전용 서버의 사용자 수는 몇 명입니까?
네트워크의 인터넷 송/수신 지점은 어디입니까?
내결함성을 위해 동기화 서버가 클러스터됩니까?
동기화 서버에서 사용자 데이터를 호스팅할 여러 데이터 볼륨을 유지 관리해야 합니까?
데이터 보안
동기화 서버에 여러 동기화 공유를 만들어야 합니까?
동기화 공유에 대한 액세스를 제공하는 데 사용할 그룹은 무엇입니까?
여러 동기화 서버를 사용하는 경우 사용자 개체의 msDS-SyncServerURL 속성을 수정할 수 있는 위임된 권한을 위해 만들 보안 그룹은 무엇입니까?
개별 동기화 공유에 대한 특별한 보안 또는 감사 요구 사항이 있습니까?
MFA(다단계 인증)가 필요합니까?
PC와 디바이스에서 클라우드 폴더 데이터를 원격으로 지울 수 있어야 합니까?
디바이스 액세스
인터넷 기반 디바이스에 대한 액세스를 제공하는 데 사용할 URL은 무엇입니까(이메일 기반 자동 서버 검색에 필요한 기본 URL은 workfolders.domainname)?
URL이 인터넷에 어떻게 게시됩니까?
자동 서버 검색을 사용합니까?
도메인에 가입된 PC를 구성하는 데 그룹 정책을 사용합니까?
외부 디바이스를 구성하는 데 Windows Intune을 사용합니까?
디바이스를 연결하는 데 디바이스 등록이 필요합니까?
다음 단계
클라우드 폴더 구현을 디자인한 후에는 클라우드 폴더를 배포해야 합니다. 자세한 내용은 Deploying Work Folders를 참조하세요.
추가 참조
자세한 내용은 다음 리소스를 참조하세요.
| 내용 유형 | 참조 |
|---|---|
| 제품 평가 | - 클라우드 폴더 - Windows 7용 클라우드 폴더 (블로그 게시물) |
| 배포 | - 클라우드 폴더 구현 디자인 - 클라우드 폴더 배포 - AD FS 및 WAP(웹 애플리케이션 프록시)를 사용하여 클라우드 폴더 배포 - Microsoft Entra를 사용하여 클라우드 폴더 배포 애플리케이션 프록시 - 클라우드 폴더 배포에 대한 성능 고려 사항 - Windows 7용 클라우드 폴더(64비트 다운로드) - Windows 7용 클라우드 폴더(32비트 다운로드) - 클라우드 폴더 테스트 랩 배포 (블로그 게시물) |